quinta-feira, 26 de fevereiro de 2015

A Intel Security divulgou um relatório intitulado “Hacking the Human OS” (Invadindo o Sistema Operacional Humano) que revela as mais recentes técnicas de persuasão utilizadas por cibercriminosos para manipular os funcionários das empresas a fazerem coisas que eles normalmente não fariam, resultando na perda de dinheiro ou de dados valiosos.
Estima-se que o custo global com cibercrimes chega a uma estimativa de US$ 445 bilhões, fortuna que desperta o interesse e a criatividade dos hackers. A análise revela a extensão e a gravidade da engenharia social e a importância do treinamento em segurança corporativa. 
“O predomínio da engenharia social em muitos ataques demonstra uma fraqueza inerente na capacidade das vítimas de distinguir as comunicações mal-intencionadas, o que os criminosos estão utilizando métodos mais complexos para evitar o “firewall humano”, indica o relatório. 
Segundo dados da pesquisa, dois terços de todos os e-mails do mundo atualmente são spam, mensagens com o objetivo de extorquir informações e/ou roubar dinheiro, e 80% dos colaboradores são incapazes de detectar as fraudes de phishing por e-mail mais comuns e usadas com frequência.
O estudo também registrou um aumento dramático no uso de URLs maliciosas (com mais de 30 milhões identificadas até o final de 2014). O aumento é atribuído à utilização de novos domínios curtos, que frequentemente escondem sites maliciosos ou servem como phishing. 
Um estudo recente da Enterprise Management Associates constatou que apenas 56% de todos os funcionários das empresas passam por algum tipo de treinamento sobre segurança ou sensibilização quanto à política da empresa. Com isso, os cibercriminosos não precisam, necessariamente, de conhecimento técnico considerável para alcançar seus objetivos.
A Intel revela algumas das técnicas de persuasão utilizadas atualmente pelos cibercriminosos para contornar a conscientização dos seus alvos e manipular as vítimas através do uso de técnicas subconscientes de influência. A companhia listou ainda seis táticas para serem observadas no mundo digital:
1. Reciprocidade: Quando as pessoas ganham algo, eles tendem a se sentir obrigadas a retribuir o favor em seguida.
2. Escassez: As pessoas tendem a agir em conformidade quando acreditam que algo está no fim. Por exemplo, um e-mail cujo conteúdo dá a impressão de ser de um banco, o qual está pedindo ao usuário para agir em conformidade com uma solicitação, caso contrário, a conta será desativada dentro de 24 horas.
3. Consistência: Uma vez que os alvos ‘prometem’ fazer algo, eles geralmente cumprem suas promessas, pois as pessoas não querem dar a impressão de serem desonestas ou de não serem dignas de confiança. Por exemplo, um hacker se passa por alguém da equipe de TI de uma empresa pode fazer com que um colaborador concorde em cumprir todos os processos de segurança e, em seguida, pede para que ele execute uma tarefa suspeita supostamente em conformidade com as exigências de segurança.
4. Probabilidade: Os alvos são mais propensos a agir em conformidade quando o engenheiro social é alguém de quem eles gostam. Um hacker pode usar seu charme por telefone ou online para ‘conquistar’ uma vítima inocente.
5. Autoridade: As pessoas tendem a agir em conformidade quando uma solicitação é feita por alguém que transmite autoridade. Por exemplo, um e-mail encaminhado para o departamento financeiro que pareça ter vindo do CEO ou do presidente.
6. Validação social: As pessoas têm tendência a agir em conformidade quando os outros estão fazendo a mesma coisa. Por exemplo, um e-mail de phishing pode parecer ter sido enviado a um grupo de colaboradores, o que faz com que um colaborador acredite que está tudo bem, uma vez que outros colegas também receberam a solicitação.

quinta-feira, 19 de fevereiro de 2015

meganet-decentralized-anonymous-network

O famoso Empresário e ex-hacker Kim Dotcom, que introduziu lendário o Megaupload e os serviços de compartilhamento de arquivos MEGA para o Mundo, veio com outra ideia maluca - Para iniciar a sua internet própria que usa a "blockchain".

Apenas no mês passado, Kim Dotcom, um milionário alemão conhecido anteriormente como Kim Schmitz, lançou a versão beta do seu chat de vídeo criptografado end-to-end e um serviço de bate-papo de áudio chamado "MegaChat", que ele diz que dá uma melhor proteção do que alternativas como o Skype e Google Hangouts.

Agora, em sua mais recente série de tweets que se refere à suposta "MegaNet" de Kim Dotcom, que, segundo ele, seria imune à vigilância cibernética, conduzida por governos ou empresas e que e a nova tecnologia não seria baseada em endereços IP.

A MegaNet, seria uma rede descentralizada, não-IP com base no qual o blockchain, usado por Bitcoins, irá desempenhar um "papel importante". Descentralizar a Internet significa tomar o poder da Web, longe de mãos poderosas de governos e corporações e colocá-la de volta nas mãos de usuários online.
Esta medida vai oferecer aos usuários um espaço verdadeiramente livre, onde podem se comunicar de forma privada com qualquer outra pessoa, sem censura.

Sr. Dotcom continuou a informar a seus seguidores que "se surpreenderiam" sobre "a quantidade de armazenamento ociosa e a capacidade de banda que as redes telemóveis têm", acrescentando que a "MegaNet vai transformar essa capacidade ociosa em uma nova rede".

O Empreendedor também assegurou a seus seguidores, que o consumo da bateria, não será um problema para um grande número de telefones transportando a rede  MegaNet.

"MegaNet não vai depender apenas de redes móveis no início. Mas quanto mais potentes os smartphones se tornam, mais dados e tráfego eles podem carregar"



meganet-decentralized-internet
Há um grande número de projetos semelhantes que levam à mudança no sentido da descentralização.

MAIDSAFE - OUTRA REDE DESCENTRALIZADA

Uma delas é de David Irvine, apelidado MaidSafe - enorme variedade de discos de Internet - Secure Access For Everyone. Maidsafe é um programa de código aberto (hospedado no GitHub) que permite a utilização de uma plataforma de Internet descentralizada.

A parte fundamental do MaidSafe, é a sua rede SAFE, alimentado por computadores de seus participantes, o que significa, em vez de servidores especializados, os dados são armazenados e distribuídos por uma rede de computadores conectados à Internet.

Qualquer um que executar o programa do MaidSafe, passará a fazer parte da Rede SAFE. O sistema MaidSafe transforma todos os dispositivos conectados em nós da rede SAFE que armazenam coletivamente dados para todos os usuários MaidSafe.

O armazenamento de dados é automaticamente descentralizado, o que significa uma aplicação web utilizando MaidSafe, não armazena dados do seu usuário em qualquer servidor central - e os dados são distribuídos por diversos discos e dispositivos próprios e administrados por muitos usuários diferentes. Portanto, ninguém, seja pessoa ou corporação, tem uma cópia intacta do arquivo de um usuário

Projeto Maelstrom - rede P2P para hospedar sites.

No final do ano passado, A BitTorrent anunciou o Projeto Maelstrom, que é "o primeiro passo para uma web verdadeiramente distribuída, e que não depende de servidores centralizados."

"Verdadeiramente uma internet mantida pelas pessoas, para diminuir barreiras e negar a liderança da tecnologia para as operadoras" - Disse a BitTorrent
"Se formos bem sucedidos, acreditamos que este projeto tem o potencial para ajudar a resolver alguns dos problemas mais inquietantes que enfrentamos na Internet hoje em dia."

De acordo com o BitTorrent, o navegador distribuído poderia ajudar a manter uma Internet mais neutra. Se um ISP não poder identificar de onde o tráfego é proveniente, então ele não pode suprimir determinados sites acessados a partir de um navegador como o Maelstrom.

ZeroNet - HOSPEDAGEM DE WEBSITES DESCENTRALIZADOS usando a rede Bit Torrent

No início do novo ano, um novo projeto de código aberto conhecido como ZeroNet FOI lançado e tem como objetivo oferecer uma plataforma web descentralizada usando criptografia de Bitcoin e da rede BitTorrent.

ZeroNet usa uma combinação de BitTorrent, um servidor de arquivos de costume e uma interface de usuário baseada na web para fazê-lo, e que consegue proporcionar uma experiência bastante utilizável. O principal objetivo deste projeto é hospedar sites e fornecer anonimato para o proprietário de cada site.

Fonte: The Hacker News

terça-feira, 17 de fevereiro de 2015



A companhia de segurança Kaspersky Lab apontou que um grupo hacker roubou aproximadamente U$1 bilhão de bancos dos Estados Unidos e demais países. Segundo a publicação, entregue primeiramente ao The New York Times e divulgado ao público nesta segunda-feira (16), o grupo era composto de membros da Russia, China e Europa. Os hackers estavam ativos desde 2013 e invadiram mais de 100 bancos em 30 países.

Segundo a Kaspersky, os hackers utilizaram malwares que se infiltraram nos computadores dos bancos, buscando por fraquezas em suas operações diárias. Após meses de monitoria, os cibercriminosos utilizaram uma tática antiga: se passar por funcionários do banco utilizando credenciais falsas para transferir milhões de dólares para suas contas pessoais. Eles também programaram caixas eletrônicos para emitir dinheiro em momentos específicos. 

"A tática dos hackers envolvia limitar seus roubos para um máximo de U$10 milhões antes de atacar outro banco, uma estratégia que, em parte, dificultou a detecção da fraude anterior," disse o pesquisador de segurança Vicente Diaz em entrevista ao The Associated Press. "Esse tipo de ataque é incomum porque é direcionado ao banco em si ao invés de seus clientes e suas respectivas informações de contas. O objetivo parece ser muito mais voltado ao ganho financeiro do que espionagem."

A publicação revela que a maior parte dos alvos está localizada na Russia, nos EUA, Alemanha, China e Ucrânia, embora os ataques possam estar se expandindo pela Ásia, Oriente Médio, Africa e Europa. 

A Kaspersky não identificou os bancos e ainda está trabalhando com agências de segurança para investigar os ataques, dos quais a empresa afirma que continuam a ocorrer, e nenhum banco até o momento está ciente disso. Até o momento, a empresa de segurança virtual viu evidências de U$300 milhões roubados, embora acredite que o total seja, pelo menos, três vezes maior.

Segundo o Centro de Serviços de Compartilhamento e Análise de Informações Financeiras,uma entidade sem fins lucrativos que alerta bancos sobre atividades hacker, disse em uma publicação que seus membros receberam um alerta sobre as brechas em janeiro.

"Não podemos comentar sobre as ações individuais tomadas por nossos membros, mas ao todo acreditamos que nossa equipe está tomando ações apropriadas para prevenir e detectar esse tipo de ataque e minimizar quaisquer efeitos em seus clientes. A informação de que bancos russos foram as principais vítimas dos ataques pode ser uma mudança significativa na estratégia de localizar os alvos cibercriminosos."
Publicação do Centro de Serviços de Compartilhamento e Análise de Informações Financeiras

Fonte: Adrenaline

sexta-feira, 13 de fevereiro de 2015

Vint Cerf: vice-presidente do Google é considerado um dos pioneiros da internet
Vint Cerf: vice-presidente do Google é considerado um dos pioneiros da internet

São Paulo - Vint Cerf, vice-presidente do Google considerado um dos pioneiros da internet, afirmou estar preocupado com a possibilidade de todas as imagens e documentos salvos nos computadores serem perdidas em algum momento da história.

O executivo, que também é evangelista chefe de tecnologia do Google, acredita que isso poderá acontecer à medida que hardware e software se tornem obsoletos.

Ele teme que as gerações futuras tenham poucos ou nenhum registro do século XXI, fazendo a humanidade entrar no que ele descreve de "Idade das Trevas digital."

Durante um encontro da Associação Americana para o Avanço da Ciência, Cerf afirmou que irá concentrar seu trabalho na solução dos problemas que ameaçam erradicar a história.

"Formatos antigos de documentos que criamos ou apresentações podem não ser compatíveis com a última versão de um software porque a compatibilidade retroativa não é sempre confiável", disse Cerf à BBC.

"O que pode acontecer com o tempo é que mesmo que acumulemos vastos arquivos de conteúdo digital, nós poderemos saber do que se trata", afirmou.
Cerf quer promover uma ideia para preservar digitalmente cada software e hardware, de forma que eles nunca se tornem obsoletos. Uma espécie de "museu na nuvem".
"A solução é tirar uma chapa em Raios-X do conteúdo, aplicação e do sistema operacional, com uma descrição da máquina na qual ele é reproduzido, e preservar isso por um longo período de tempo. Essa fotografia poderá recriar o passado no futuro", afirmou o executivo do Google.
Um conceito do que Cerf chama de "pergaminho digital" foi desenvolvido pelo pesquisador Mahadev Satyanarayanan da universidade Carnegie Mellon, nos Estados Unidos.
"Ele ainda têm algumas arestas a serem reparadas, mas o conceito principal já está funcionando", disse Vint Cerf.
Fonte: EXAME
Os profissionais de segurança da informação vivenciaram os piores cenários em 2014.  Pesadelos se tornaram reais e o futuro, aparentemente, guarda um cenário tão assustador quanto o já visto até então. Violações de dados que foram notícia nos últimos meses continuarão este ano. 
A natureza dos ataques de cibercriminosos está mudando, de acordo Gemalto. Cada vez, hackers buscam roubo de identidade, o que torna mais difícil ações de barrar ou travar os atacantes. Outro ponto apontado pela provedora de ferramentas de segurança aponta para um número impressionante. 
De acordo com um relatório anual, os 1,514 incidentes de violação tornados públicos em 2014 expuseram e comprometeram mais de 1 bilhão de registros. Proporcionalmente, isso representou um aumento de 78% em relação ao ano anterior.
A Gemalto coleta dados a partir de fontes públicas e, apesar de eventuais lapsos, acredita que seu relatório reflete o que, de fato, está acontecendo no mundo em termos de segurança. "As leis de notificação de violação não mudaram dramaticamente", disse Tsion Gonen, diretor de estratégia de identidade e proteção de dados da Gemalto. 
Mega violações se configuram em uma dura realidade. Ataques comprometeram dezenas de milhões de registros de grandes empresas como  Home Depot (109 milhões de registros violados), eBay (145 milhões) e JP Morgan Chase (83 milhões).
O roubo de identidade foi responsável por 54% dos ataques, superando em até 20% o volume de 2013.  Gonen observa que o aumento é reflexo do sucesso de empresas de serviços financeiros em parar rapidamente crimes de acesso financeiros, como fraude de cartão de crédito. 
Códigos maliciosos foram responsáveis por 55% dos incidentes de violação. A segunda maior fonte de brechas toca erro humano (25% dos casos), que incluem temas como perda de dispositivos e dados não criptografados. 
Gonen acredita que 2014 será lembrado como um ponto de inflexão da segurança. Na sua opinião, conscientização é mais necessária do que nunca para que o cenário não fique pior do que já está. 
Fonte: IDG NOW!

quinta-feira, 12 de fevereiro de 2015

 (Foto: Mattia Notari/flickr/creative commons)
Neste exato momento, hackers simpatizantes ou membros do Estado Islâmico travam batalhas virtuais contra instituições do Ocidente em um movimento que os próprios definem como “cyberjihad”, que nada mais é do que o conceito islâmico de guerra santa aplicado ao contexto da internet. Para conter o avanço do terrorismo na web, que vem sendo o principal meio de recrutamento de novos jihadistas, o grupo hacktivista Anonymous está em guerra declarada contra o EI.

“Nós vamos caçar e expor vocês, derrubar seus sites, contas, e-mails. De agora em diante, não há lugar online seguro para vocês”, afirmaram em um comunicado divulgado nesta segunda-feira (9), que também contém os links de centenas de contas no Twitter e Facebook, endereços de e-mail, sites, entre outros serviços atacados por ter relação com os terroristas.

A guerra começou com o massacre na redação do jornal francês Charlie Hebdo, considerado pelo Anonymous como um ataque à liberdade de expressão. Os ativistas divulgaram o vídeo abaixo poucos dias depois, no qual se comprometem a perseguir todas as organizações que tiveram qualquer envolvimento com o atentado.

Na internet os ataques do EI vêm sendo mais frequentes. Em janeiro, por exemplo, um grupo denominado CyberCaliphate (CyberCalifado) invadiu o perfil do Comando Central dos Estados Unidos (Centcom) no Twitter. Hoje, a mesma organização, que afirma ter ligações com o EI, hackeou a conta de Twitter da revista semanal americana Newsweek, quem tem mais de 2,5 milhões de seguidores. Por 14 minutos, postaram ameaças ao presidente dos EUA Barack Obama e a sua família e chegaram a divulgar uma imagem provocativa de um jihadista com a frase “Je suIS IS”, uma referência ao movimento “Je suis Charlie”.
Mensagem do CyberCaliphate no Twitter da Newsweek (Foto: Reprodução)MENSAGEM DO CYBERCALIPHATE NO TWITTER DA NEWSWEEK (FOTO: Reprodução)


O CyberCaliphate também aproveitou o espaço para alertar os americanos de que o Estado Islâmico está mais próximo do que eles imaginam. “Nós estamos destruindo seu sistema nacional de cybersegurança por dentro”, afirmaram, dizendo que acessariam a rede do Pentágono e que divulgariam documentos confidenciais.

Assistam os videos da Anonymous sobre a Guerra contra o EI:




Fonte: Revista Galileu

quarta-feira, 11 de fevereiro de 2015

O Facebook construiu uma plataforma para empresas de todos os setores compartilharem informações e dados sobre ciberataques e riscos de segurança. A plataforma, chamadaThreatExchange, tem como objetivo ajudar as companhias a enfrentar melhor as ameaças à segurança digital.
Empresas especializadas em soluções de segurança têm, há muito tempo, redes fechadas nas quais trocam informações sobre o cenário de cibersegurança, mas esses canais têm sua limitação, ditada especialmente por questões de concorrência entre as companhias provedoras de serviços e soluções de segurança.
A ideia da plataforma, segundo o Facebook, nasceu há um ano, quando várias empresas de internet, incluindo a rede social, tentaram bloquear o ataque de uma botnet que estava abusando de seus serviços para disseminar spam.
"Aprendemos rapidamente que a troca de informações entre nós foi vital para derrubar a botnet, porque partes dela estavam espalhadas em diferentes serviços e nenhum de nós tinha acesso ao quadro completo", escreveu Mark Hammell, gerente do time de Infraestrutura de Ameaças (Threat Infrastructure) do Facebook, num post no blog oficial nesta quarta-feira.
A ThreatExchange está montada sobre a infraestrutura preexistente do Facebook e provê às companhias participantes APIs (application programming interfaces, ou interfaces de programação de aplicações) para fazer buscas ou informar novos ataques. As informações incluem nomes de domínio maliciosos, amostras de malware e outros indicadores de comprometimento de estrutura.
A plataforma também tem mecanismos de controle que permite às empresas compartilhar certas informações apenas com grupos específicos de organizações, por exemplo aquelas que fazem parte de uma mesma vertical econômica ou que sofreram o mesmo tipo de ataque.
Twitter, Yahoo, Tumblr e Pinterest foram os primeiros a aderir à ideia e testaram a plataforma quando ela estava em desenvolvimento. As empresas Box e Bitly se juntaram ao grupo mais recentemente e o Facebook espera que mais empresas adotem a iniciativa. Quem quiser participar deve aderir ao programa beta no site da ThreatExchange.
Fonte: IDG NOW!

terça-feira, 10 de fevereiro de 2015

E ai pessoal!

Como provavelmente vocês já viram o post "A importância da programação", programação é realmente muito importante. Eu não sou nenhum expert em programação, pelo contrário, sou bem mediano, para não dizer ruim.



Para resolver isso, estou melhorando minhas habilidades de programação e um dos primeiros conteúdos que fui atras foi o famoso curso de programação de Harvard. Se você não está sabendo, a Universidade de Harvard dos EUA disponibiliza online a disciplina de programação do curso de Ciência da Computação no portal edX. Neste portal também podem encontrar diversos outros cursos, então fica a dica.

Descobri recentemente que existe uma comunidade brasileira que redistribui este curso. Para o pessoal que ainda tem um problema com o idioma inglês deixo aqui a dica do site cc50.com.br, que tem o curso e algumas outras informações da comunidade.

O curso em si é muito bom, mas já aviso, antes de cair de cara é necessário que você já tenha um conhecimento básico de lógica de programação e quem sabe até mesmo programação em si. O curso de Ciência da Computação tem um nível elevado comparado com a maioria dos cursos similares daqui, então se você pensa em seguir com o curso prepare-se para estudar muito.

Mais uma informação, no curso a linguagem de programação usada é o C, e o Scratch na primeira aula.

Deixo essa dica e fico por aqui!

Vou lá estudar programação também! :D

sexta-feira, 6 de fevereiro de 2015

Gamers são normalmente atacados por cyber criminosos, contas de jogos roubadas, itens e contas vendidas, são só alguns exemplos de o que os atacantes estão buscando. Para conseguirem acesso a máquina e a conta do jogo, eles enviam pishings bem elaborados ou tentam fazer que o usuário instale spywares para que eles cheguem até as credenciais.

A malwarebytes recentemente divulgou uma versão falsa do site oficial da Razer, desenvolvedora do Razer Comms, um mensageiro popular entre os gamers, até mesmo com o link para download da ferramenta.


O link para a versão de Android vai para a página legítima n Google Play, já o link para Windows leva a um Trojan feito especialmente para esse tipo de ataque.

A boa notícia é que o malware ainda não está funcionando perfeitamente como deveria, mas isso não quer dizer que ele não será atualizado em breve.

"Na maioria dos casos que vemos, a idéia é atrair a vítima para fora da janela do sistema de comércio. Se você está recebendo links para "previews" de itens no chat da Steam por estranhos que conheceu a alguns minutos, você pode estar no seu caminho para um dia ruim," aponta o pesquisador Chris Boyd.

quinta-feira, 5 de fevereiro de 2015

O governo sempre pensou no uso do celular como ferramenta para ampliar a bancarização da população de baixa renda, mas os sites dos quatro maiores bancos do País - Banco do Brasil, Caixa, Bradesco e Itaú - apresentam erros graves que inviabilizam a navegação justamente para os mais pobres.


Pesquisa da empresa deviceLab apontou falhas que inviabilizaram o uso dos sites, como alerta de site não confiável exibida nos navegadores Chrome e Firefox, botões sem função ao toque e teclado do aparelho que sobrepunha campos e áreas de clique.

Das 552 falhas encontradas, 31,2% foram no site do Bradesco, 26% do BB e 25,2% da Caixa. O Itaú ficou com uma parcela menor de erros (17,6%) por ter um sistema mais eficaz de busca de agências no site quando acessados por celular ou tablet. Nenhum dos quatro bancos usam o recurso da geolocalização para indicar, pelo site, a agência mais próxima de onde o cliente está.

A avaliação foi feita, de 23 a 28 de janeiro, com um software especializado em testes automatizados em dispositivos reais, chamado blink. O estudo analisou simulação de crédito imobiliário, busca por agência, página inicial e acesso ao internet banking.

Um dos problemas apontados foi a lentidão para o carregamento da página principal do recém lançado site da Caixa. Em geral, o site leva mais do que um minuto para carregar independentemente do aparelho e do navegador utilizado - de 10 a 20 segundos já é acima do limite considerado aceitável.

Ao digitar o nome do banco direto no navegador, os outros três bancos - BB, Bradesco e Itaú, sugerem com insistência o download do aplicativo do internet banking. O pior é que os bancos públicos não permitem que o cliente acesse sua conta pelo navegador do smartphone e avisam que isso só é permitido pelo aplicativo.

A sugestão de download de um aplicativo de forma tão incisiva torna-se arriscada à medida que o usuário médio brasileiro possui aparelhos antigos e conexão de péssima qualidade, concluiu o estudo.

Para Leandro Ginane, presidente da deviceLab, faltam aos bancos planejamento e testes antes de lançar uma nova versão dos sites.

Ele explica que geralmente os testes são feitos em aparelhos de última geração, com conexão wifi e grande capacidade de memória para suportar cinco ou seis aplicativos rodando simultaneamente em segundo plano.

"A realidade do País é totalmente distinta: a maioria da população pertence à classe C e utiliza celulares menos modernos para acessar bancos, e-commerce e ao mesmo tempo conversar com amigos pelas redes sociais, tudo isso com uma conexão precária", afirma Ginane.

Fonte: Info

quarta-feira, 4 de fevereiro de 2015

Este artigo é uma versão traduzida e adaptada do artigo da EFF.

Porque recordar muitas senhas diferentes é difícil, as pessoas muitas vezes reutilizam um pequeno número de senhas através de muitas contas diferentes, sites e serviços. Hoje, os usuários são constantemente convidados a criar novas senhas mas muitas pessoas acabam re-utilizando as mesmas dezenas ou mesmo centenas de vezes.

Reutilizar senhas é uma prática de segurança excepcionalmente ruim, porque se um intruso se apodera de uma senha, muitas vezes ele vai tentar usar essa senha em várias contas pertencentes à mesma pessoa. Se essa pessoa tiver a mesma senha reutilizada várias vezes, o atacante será capaz de acessar várias contas. Isso significa que uma determinada senha pode ser tão segura quanto o serviço menos seguro, onde ele foi usado.

Evitar a reutilização de senha é uma medida de segurança valiosa, mas você não será capaz de se lembrar de todas as suas senhas, se cada um é diferente. Felizmente, existem ferramentas de software para ajudar com isso, um gerenciador de senhas (também chamado de seguro de senha) é uma aplicação de software que ajuda a armazenar um grande número de senhas com segurança. Isto torna mais prático para evitar usar a mesma senha em vários contextos. O gerenciador de senhas protege todas as suas senhas com uma única senha master, assim você só tem que lembrar uma coisa. As pessoas que usam um gerenciador de senhas já não sabem realmente as senhas para as suas diferentes contas; o gerenciador de senhas pode lidar com todo o processo de criar e lembrar as senhas para elas.

Por exemplo, KeePassX é uma ferramenta open-source, gratuito que você mantenha em seu desktop. É importante notar que, se você estiver usando KeePassX, não vai salvar automaticamente as alterações. Isto significa que se ele falhar depois que você adicionou algumas senhas, você pode perdê-las para sempre. Você pode mudar isso nas configurações.

Usando um gerenciador de senhas também ajuda você a escolher senhas fortes que são difíceis para um atacante de adivinhar. Isso também é importante; muitas vezes os usuários de computador, escolher senhas curtas e simples que um invasor pode facilmente adivinhar, incluindo "password1", "12345", a data de nascimento, ou de um amigo, esposo, ou o nome do animal de estimação. Um gerenciador de senhas pode ajudá-lo a criar e usar uma senha aleatória, sem padrão ou uma estrutura que não será adivinhação. Por exemplo, um gerenciador de senhas é capaz de escolher senhas como "vAeJZ Q3p $ Kdkz / CRHzj0v7,!", Que um ser humano seria improvável que se lembre ou palpite. Não se preocupe;. O gerenciador de senhas pode lembre-se estes para você!

Sincronizando suas senhas entre diversos dispositivos

Você pode usar suas senhas em mais de um dispositivo, como o seu computador e seu smartphone. Muitos gerenciadores de senha têm um recurso de sincronização de senha embutida. Quando você sincroniza o seu arquivo de senhas, será atualizado em todos os seus dispositivos, de modo que se você adicionou uma nova conta no seu computador, você ainda será capaz de acessar a partir do seu telefone. Outros gerenciadores de senha irá oferecer para armazenar suas senhas "na nuvem", o que quer dizer, eles vão armazenar suas senhas criptografadas em um servidor remoto, e quando você precisa deles em um laptop ou celular, eles vão recuperar e decifrá-los para você automaticamente. Gerenciadores de senha como este são mais convenientes, mas o trade-off é que eles são um pouco mais vulneráveis a ataques. Se você acabou de manter suas senhas em seu computador, em seguida, alguém que possa assumir o seu computador pode ser capaz de obtê-los. Se você mantê-los na nuvem, o atacante pode direcionar essa também. Normalmente, não é um compromisso que você precisa se preocupar com a não ser que o atacante tem poderes legais sobre a empresa gerenciador de senhas ou é conhecido por empresas.

Escolhendo senhas fortes

Existem algumas senhas que precisam ser memorizadas e que precisam ser particularmente forte: aquela que criptografa todos os seus dados. Isso inclui, pelo menos, as senhas para o seu dispositivo, a criptografia como criptografia de disco completo, e a senha mestra para o seu gerenciador de senhas.

Senhas curtas de qualquer espécie, mesmo os totalmente aleatórios como nQ \ m = 8 * x ou s7e! & Nuy ou "gaG5 ^ BG, não são fortes o suficiente para o uso com criptografia hoje.

Existem várias maneiras de criar uma senha forte e memorável; o método mais simples e infalível é de Arnold Reinhold "Diceware."

O método de Reinhold envolve dados físicos rolantes para escolher aleatoriamente várias palavras de uma lista de palavras; em conjunto, estas palavras irá formar sua senha. Para criptografia de disco (e segura senha), nós recomendamos selecionar um mínimo de seis palavras.

Quando você usa um gerenciador de senhas, a segurança de suas senhas e sua senha mestra é tão forte quanto a segurança do computador onde o gerenciador de senhas é instalado e usado. Se o seu computador ou dispositivo está comprometido e spyware é instalado, o spyware pode assistir você digitar sua senha mestre e poderia roubar o conteúdo do cofre de senha. Por isso, ainda é muito importante para manter o seu computador e outros dispositivos limpo do software malicioso ao usar um gerenciador de senhas.

Uma palavra sobre Questões de Segurança

Esteja ciente das "questões de segurança" (como "O que é o nome de solteira da sua mãe?" Ou "Qual era o nome do seu primeiro animal de estimação?") Que os sites usam para confirmar a sua identidade, se você esquecer a senha. As respostas honestas para muitas questões de segurança são publicamente fatos descobertos que um determinado adversário pode facilmente encontrar e, portanto, ignorar sua senha inteiramente. Por exemplo, o candidato à vice-presidência dos EUA Sarah Palin teve sua conta Yahoo! hackeada desta maneira. Em vez disso, dar respostas fictícias que, como sua senha, ninguém sabe, mas você. Por exemplo, se a pergunta de senha pede-lhe o nome de seu animal de estimação, você pode ter postado fotos em sites de compartilhamento de fotos com legendas como "Aqui está uma foto do meu gato bonito, spot!" Em vez de usar "Spot" como a sua resposta de recuperação de senha , você pode escolher "Rumplestiltskin." não use as mesmas senhas ou respostas da pergunta de segurança para várias contas em diferentes sites ou serviços. Você deve armazenar suas respostas fictícias no seu cofre senha também.

Pense em locais onde pergunta de segurança é utilizado. Considere verificar suas configurações e alterar suas respostas.

Lembre-se de manter um backup de seu cofre senha! Se você perder a sua senha em segurança em um acidente (ou se você tiver seus dispositivos tirado de você), pode ser difícil de recuperar suas senhas. Programas seguros senha geralmente têm uma maneira de fazer um backup separado, ou você pode usar o programa de backup regular.

Normalmente você pode redefinir suas senhas, pedindo aos serviços para lhe enviar um e-mail de recuperação de senha para o seu endereço de e-mail registrado. Por essa razão, você pode querer memorizar a senha para esta conta de e-mail também. Se você fizer isso, então você vai ter uma forma de redefinição de senhas sem depender de seguro de senha.

Autenticação de múltiplos fatores e senhas de uso único

Muitos serviços e ferramentas de software permitem que você use a autenticação de dois fatores, também chamado de autenticação de dois passos ou em duas etapas. Aqui a idéia é que, a fim de efetuar o login, você precisa estar de posse de um determinado objeto físico: geralmente um telefone celular, mas, em algumas versões, um dispositivo especial chamado de token de segurança. Usando a autenticação de dois fatores garante que, mesmo se a sua senha para o serviço é hackeado ou roubado, o ladrão não será capaz de logar, a menos que eles também têm posse ou controle de um segundo dispositivo e os códigos especiais que só ele pode criar.

Normalmente, isso significa que um ladrão ou um hacker teria de controlar tanto o seu laptop e seu telefone antes que eles tenham pleno acesso às suas contas.

Porque isso só pode ser configurado com a cooperação do operador de serviço, não há nenhuma maneira de fazer isso por si mesmo se você estiver usando um serviço que não oferece isso.

A autenticação de dois fatores usando um telefone celular pode ser feito de duas maneiras: o serviço pode enviar-lhe uma mensagem de texto SMS para o seu telefone sempre que você tente fazer login (fornecendo um código de segurança extra que você precisa digitar), ou o seu telefone pode executar um aplicativo autenticador que gera códigos de segurança de dentro do próprio telefone. Isso vai ajudar a proteger a sua conta em situações em que um atacante tem a sua senha, mas não tem acesso físico ao seu telefone celular.

Alguns serviços, como o Google, também permitem que você gerar uma lista de senhas de uso único. Estas são destinadas a ser impressa ou escrita no papel e levado com você (embora em alguns casos, poderá ser possível memorizar um pequeno número deles). Cada uma dessas senhas funciona apenas uma vez, por isso, se um é roubado por spyware quando você entra nele, o ladrão não será capaz de usá-lo para qualquer coisa no futuro.

Se você ou sua organização executa sua própria infra-estrutura de comunicação, como a seus próprios servidores de e-mail, não há software disponível gratuitamente que pode ser usado para ativar a autenticação de dois fatores para acesso a seus sistemas. Pergunte a seus administradores de sistemas para procurar software oferecendo uma implementações do padrão aberto "Time-Based One-Time Passwords" ou RFC 6238.

As ameaças de dano físico ou Prisão

Finalmente, entendemos que há sempre uma maneira que os atacantes podem obter sua senha: Eles podem ameaçá-lo diretamente com danos físicos ou detenção. Se você tem medo esta pode ser uma possibilidade, considere maneiras em que você pode esconder a existência de dados ou dispositivo que você está, ao invés de confiança que você nunca vai entregar a senha de protecção de senha. Uma possibilidade é a de manter pelo menos uma conta que contém informações em grande parte sem importância, cuja senha você pode divulgar rapidamente.

Se você tem uma boa razão para acreditar que alguém pode ameaçá-lo para as suas senhas, é bom certificar-se de seus dispositivos são configurados para que ele não vai ser óbvio que a conta que você está revelando não é o "real". É a sua conta real mostrado na tela de login do seu computador, ou automaticamente exibida quando você abre um navegador? Se sim, você pode precisar reconfigurar as coisas para tornar a sua conta menos óbvia.

Em algumas jurisdições, como os Estados Unidos ou a Bélgica, você pode ser capaz de desafiar legalmente uma demanda para a sua senha. Em outras jurisdições, como o Reino Unido ou a Índia, as leis locais permitem ao governo para exigir a revelação. EFF tem informações detalhadas para quem viaja através das fronteiras dos Estados Unidos, que pretende proteger seus dados em seus dispositivos digitais em nossa privacidade Defendendo na guia de Fronteira dos EUA.

Por favor, note que a destruição intencional de provas ou de obstrução de uma investigação pode ser cobrado como um crime separado, muitas vezes com consequências muito graves. Em alguns casos, isso pode ser mais fácil para o governo para provar e permitir punições mais substancial do que o suposto crime originalmente sendo investigado.

segunda-feira, 2 de fevereiro de 2015


Preocupado com privacidade? É bem possível que se um hacker do governo quiser obter acesso a seus emails e outras comunicações ele vai ter.

O famoso empresário Kim Dotcom, que criou os famosos serviços de compartilhamento Megaupload e Mega, liberou dessa vez um serviço de comunicação criptografado.

O serviço chamado MegaChat tem suporte a chamadas de áudio e vídeo criptografadas ponto-a-ponto. O serviço garante que tem uma proteção muito melhor que seus concorrentes Skype e Google Hangouts.

O MegaChat é gratuito e está disponível no momento apenas direto no navegador.

Para usar o MegaChat basta apenas criar uma conta no Mega, logar no serviço e ir no botão "Conversations", adicionar seus amigos através da conta Mega e sair falando.







Subscribe to RSS Feed Follow me on Twitter!