Archive

Archive for the ‘Segurança da Informação’ Category

CQC: Matéria sobre o hacking no Brasil, entrevista com o LulzSec


Comentário:

Hoje, 05.07.2011, é possível ainda encontrar o arquivo ui.txt dentro do site da prefeitura de Corumbataí. O arquivo foi modificado (talvez por outro hacker) e agora contém a informação “porra Marcelo, jogou fora o relatorio do Esqueleto? larga essa bichice de Twilight e arruma logo essa merda”. O link para o arquivo é http://www.corumbatai.sp.gov.br/ui.txt.

Pelo que disse o integrante do LulzSec Brasil, dá a impressão de que eles querem fazer algo parecido com o que faz o WikiLeaks, divulgando informações que eles acreditam que deve ser do conhecimento da população. O problema é que isso está mais para vandalismo do que para protesto, já que nos sites onde eles não conseguiram entrar, eles tiraram do ar usando ataque de DDoS. Independentemente do que parece, é crime.

É sabido que os órgãos do governo não estão capacitados para tratar segurança da informação com a seriedade que o assunto necessita, no entanto acredito que o grupo poderia fazer como os pesquisadores de segurança fazem no mundo inteiro: descobrem a falha, alertam os responsáveis, combinam um período para que o problema seja resolvido e depois divulgam a falha ao público levando o crédito pela descoberta (e muitas vezes pela correção também).

Segurança da informação é construída com processos, ferramentas e pessoas. É necessário ter as ferramentas adequadas e pessoas capacitadas para usar essas ferramentas. Em muitos casos o maior problema é a ausência de um processo de gestão que periodicamente avalie as necessidades do negócio, identifique ameaças e vulnerabilidades e determine ações corretivas para o tratamento dos riscos identificados como não aceitáveis. No caso do governo, com a agilidade necessária para proteger as informações do governo (que envolvem segurança e soberania) e a privacidade dos cidadãos.

Atualização das 19h44: Agora ao tentar acessar o link, o servidor web retorna a mensagem: “You don’t have permission to access /ui.txt on this server.” O arquivo não está mais disponível. Fica a dúvida com relação à vulnerabilidade.

Morre aos 78 anos Robert Morris, pioneiro da segurança

foto de Paul O. Boisvert, The New York Times (1991)

Morreu no último dia 26 o criptógrafo Robert Morris, pioneiro da segurança e pai do criador do primeiro worm que se espalhou pela Internet em 1988, quando a rede tinha apenas 50.000 computadores. De acordo com sua mulher, Robert morreu de complicações de demência.

Morris começou como pesquisador no AT&T Bell Labs na década de 60, desenvolvendo compiladores e outros programas. Na década de 70 foi um dos líderes no desenvolvimento do sistema operacional Unix, criando funções de segurança e criptografia. Na década de 80 trabalhou para a NSA, a agência nacional de segurança americana. Em uma ocasião ele revelou à imprensa que iria ajudar o FBI a decriptar evidências em um caso.

Robert Morris nasceu em Boston em 25.07.1932, filho de Walter W. Morris e Helen Kelly Morris. Ele era formado em Matemática (1957) e possuía um mestrado em Matemática Aplicada (1958), ambos por Harvard. Ele se aposentou em 1994 e vivia em Etna, New Hampshire.

As três regras de ouro para garantir a segurança são: não tenha um computador; não ligue-o; e não use-o.

–Robert Morris

Dilma determina fim do sigilo eterno de documentos

Presidente dá ordem para que base aprove lei de acesso a papéis secretos

Medida pode revelar o conteúdo de telegramas diplomáticos, relatórios da ditadura militar e até da Guerra do Paraguai

Fernando Rodrigues e Fernanda Odilla, Folha de S. Paulo

A presidente Dilma Rousseff determinou o fim do sigilo eterno dos documentos classificados como ultrassecretos. Ela ordenou que a base do governo acelere no Senado a aprovação do projeto de lei de direito de acesso a informações públicas, já aprovado na Câmara.

A ideia do Planalto é sancionar o texto no Dia Mundial de Liberdade de Imprensa, data celebrada anualmente em 3 de maio pela ONU.

Todo documento considerado sigiloso recebe um grau de classificação. Cabe à autoridade ou ao órgão que produziu o documento estabelecer o grau de sigilo.

No passado, o governo federal considerou sigilosos telegramas diplomáticos, documentos do período da ditadura e da Guerra do Paraguai, entre outros.

Hoje, documentos públicos classificados como ultrassecretos ficam em sigilo até 30 anos, mas esse prazo pode ser renovado indefinidamente. A política foi adotada pelos presidentes Fernando Henrique Cardoso (1995-2002) e Luiz Inácio Lula da Silva (2003-2010).

Assinante da Folha de S. Paulo pode ler a matéria completa em Dilma determina o fim do sigilo eterno de documentos

Declaração de IR 2011

Neste ano de 2011 a declaração do Imposto de Renda do Exercício de 2010 será exclusivamente entregue em formato eletrônico. Fica então algumas recomendações para aqueles que não estão habituados com a mordida online do Leão, que valem para todos que já faziam a declaração pela Internet:

  • Não faça ou envie a declaração a partir de terminais públicos, como Lan Houses e Cybercafés. Muitos computadores e redes possuem trojans ou outros mecanismos de captura de senhas e outras informações pessoais. Se você não possui um computador, faça a partir do trabalho ou do computador de um amigo. Isso já reduz o risco de vazamento de informações pessoais.
  • Para fazer o download, utilize o site da Receita Federal. Digite o endereço do site na barra de endereços do seu navegador, não clique em links de outros sites. O endereço é http://www.receita.fazenda.gov.br
  • A Receita Federal não envia e-mails. Não clique em qualquer link contido em um suposto e-mail da Receita. Ele é falso.
  • Utilize antivírus e mantenha o sistema operacional e o antivírus atualizados. É uma maneira simples e eficaz de reduzir o risco de código malicioso instalado na estação no momento em que você estiver digitando informações ou enviando para o site da Receita.
  • Não utilize software pirata. Muitos dos softwares piratas disponíveis na Internet ou na rua estão contaminados com trojans.
  • Grave em CD ou pendrive as declarações e recibos após o envio para a Receita.
  • Para reduzir ainda mais o risco, o usuário pode considerar obter um certificado digital da ICP-Brasil, conhecido como e-CPF. Através do certificado digital, é possível garantir o não-repúdio, ou seja, o usuário garante que foi ele mesmo quem enviou a declaração, eliminando a oportunidade de outra pessoa fazer o envio em seu nome.

Alckmin afasta funcionário por vazamento de informações

1 . março . 2011 1 comentário

O Governador de SP, Geraldo Alckmin, afastou nesta terça-feira o sociólogo Tulio Kahn por vazamento de informações sigilosas referentes à estatísticas de violência no Estado. De acordo com a matéria da Folha, o sociólogo vendia serviços de consultoria com informações vetadas “para não alarmar o público”. Entre as informações estaria o tipo de bens levados com maior frequência em assaltos a condomínios de São Paulo e os furtos mais comuns na região de Campinas. Não havia, no entanto, informações sobre ruas ou locais específicos.

O sociólogo nega o vazamento das informações.

A notícia é da Folha de São Paulo e pode ser lida em http://www1.folha.uol.com.br/cotidiano/882683-alckmin-afasta-funcionario-por-venda-de-dados-sigilosos.shtml.

Gmail restaura contas de usuários

O Google informou hoje que recuperou de fitas de backup as mensagens de 40.000 contas de e-mail, ou 0.02% da base (antes o percentual era 0.08). No final do dia 28.02 uma pane apagou milhares de contas e os detalhes sobre o problema podem ser visualizados no blog do Gmail em http://gmailblog.blogspot.com/2011/02/gmail-back-soon-for-everyone.html.

Esta não é a primeira vez que o Gmail sofre de indisponibilidade temporária. Em incidentes ocorridos nos últimos anos, o Gmail ficou indisponível para alguns usuários que não conseguiam acessar o site do serviço. Dessa vez, pequena parte dos usuários foi afetada, recebendo a tela inicial de criação de conta ao tentar fazer logon. Ou seja, a conta estava vazia.

Para reduzir o risco de indisponibilidade, o usuário pode baixar suas mensagens para o computador local. Isso evita apenas que o usuário fique temporariamente sem uma informação necessária (se estiver com acesso ao computador onde as mensagens estão armazenadas), no entanto, dependendo do problema, pode não conseguir enviar e-mails. Qualquer programa de e-mail que suporte conexões criptografadas (SSL) pode ser usado.

Hora do Recreio: Grandma proof

26 . fevereiro . 2010 1 comentário

Da série “Mantenha seu laptop longe da sua avó” ou “Testando a Gestão da Continuidade de Negócios com o Lenovo Pizzapad“.

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

%d blogueiros gostam disto: