Go2Security

Habilitando 2FA - Duplo fator de autenticação - para serviços do Google



Como tínhamos comentado no post anterior, vamos disponibilizar aqui uma série de posts que vão mostrar para o usuário como ele pode colocar um pouco mais de segurança nos seus serviços. 

Neste post vamos mostrar como pode ser habilitada o duplo fator de autenticação para serviços oferecidos pelo Google, muito útil para usuários de GMAIL e DRIVE, mas este processo vai habilitar a necessidade de apresentar o código do 2FA para acesso à sua conta, sendo assim, todos os serviços usados pelo usuário serão protegidos.

Mesmo que o usuário opte por usar o 2FA como mais uma camada de proteção para as suas contas, isso não quer dizer que este usuário deva no momento da criação da sua senha usar uma senha fraca, achando que apenas o 2FA pode garantir sua segurança e de seus dados. Recomendamos fortemente que além do 2FA também seja criada uma senha complexa e forte.

Para habilitar esta funcionalidade na sua conta do Gmail é realmente muito simples, bastando alguns passos bem práticos para que o processo seja finalizado. Mesmo um usuário sem qualquer experiência técnica pode habilitar esta funcionalidade, garantindo assim que todos possam ter mais proteção em suas contas. Sendo assim, vamos começar.

Como esta configuração será feita no seu Painel de Configurações de sua conta no GMAIL, quando esta funcionalidade estive habilitada, todos os outros serviços também serão beneficiados com esta nova configuração, desta forma, o usuário somente precisará fazer isso apenas uma única vez. Aqui cabe um lembrete, caso ainda não tenha feito, agora é a hora de instalar o Google Authenticator no seu celular, pois é por ele que você terá acesso aos códigos que serão necessários para logar em sua conta. Outro lembrete interessante e que deve ser lembrado pelo usuário é que logo após habilitar esta funcionalidade, você deve imprimir os códigos de backup da conta, estes códigos irão permitir o acesso caso você perca ou não tenha acesso aos códigos gerados no telefone, cuidado com estes códigos de backup.

Ao ter acesso à sua página de configurações do Google, como mostrado na imagem abaixo, esta funcionalidade pode ser encontrada facilmente acessando o seu perfil de usuário, que pode ser encontrado apenas clicando em sua foto de usuário, por exemplo em sua conta do GMAIL, assim que abrir a janela de opções, selecione "Minha Conta". Caso não tenha conseguido, pode simplesmente digitar o seguinte endereço myaccount.google.com no seu navegador normalmente usado para acessar suas contas, você será redirecionado para uma página e será solicitado que você digite usuário e senha. Após logado, você verá esta imagem.





Após ter acessado a sua página de configurações, o próximo passo é selecionar a opção Sign-in & Security, como mostrado na imagem abaixo.



Esta opção permite a você ter acesso a todas as configurações necessárias para a segurança de sua conta, uma destas opções é a possibilidade habilitar o 2FA nas suas contas. Assim que acessar a parte de segurança, você será apresentado às opções de segurança, ai é só escolher a opção Signing in to Google como pode ser visto na imagem seguinte, no meu caso o 2FA já esta habilitado por isso a opção de ligar ou desligar aparece como para desabilitar, isso indica que a opção já esta habilitada, se você ainda não tem, esta opção estará como "Ligar ou mesmo On".

Agora basta habilita escolhendo a opção 2-Step Verification, o que levará você para a página onde a funcionalidade é habilitada, isso pode ser visto na imagem a seguir.



Um fator muito importante é que você faça o backup dos seus códigos de segurança, isso vai permitir que você tenha acesso à sua conta caso não tenha mais acesso aos códigos em seu telefone, por exemplo se perdeu ou trocou de telefone.

Nesta etapa recomendo o uso do Authenticator app, como mostrado na imagem acima, facilita para usar também em outros serviços. Com o Google Autheticator será possível cadastrar outros serviços que vamos mostrar aqui.

A partir deste ponto o processo é bem simples, e basta apenas ao usuário seguir as orientações na página para cadastrar e habilitar o 2FA na sua conta.

Após habilitado e validado o seu telefone, todas as vezes que você for fazer seu login em sua conta, será pedido para você digitar um código que será mostrado em seu telefone, no App do Google Authenticator. Isso irá garantir mais uma camada de proteção à sua conta.

Com estes simples passos, habilitando esta funcionalidade, você poderá garantir mais segurança para todos os seus serviços do Google.

Espero que todos consigam melhorar ainda mais a sua segurança.
Read More

Melhorando a segurança dos seus serviços com 2FA - Two-factor authentication.


https://www.eff.org/files/2016/12/08/2fa-1.png


Os últimos acontecimentos de vazamentos de mais dados pessoais demonstram que cada vez mais precisamos ficar atentos aos nossos dados, e hoje quase todos eles estão distribuídos por diversos serviços hospedados em sistemas de cloud - nuvem. 

No entanto, poucos usuários “comuns” tem noção de que uma simples ação pode trazer para estes serviços uma outra camada de proteção, implementando um pouco mais de segurança e deixando o usuário mais tranquilo sobre a segurança dos seus dados.

Disponível na grande maioria dos serviços mais populares hoje na Internet, o duplo fator de autenticação ou 2fA como é conhecido, é uma camada de proteção adicional que vai exigir do usuário, que além de entrar com as informações sobre usuário e senhas, também deva incluir mais um parâmetro para permitir o *login* e este parâmetro é um código de 6 dígitos gerado randomicamente por meio de um aplicativo, muitas vezes instalado em seu *smartphone*.

Mas afinal o que é um duplo fator de autenticação ? A forma tradicional com que os usuários hoje fazem login em sistemas permanece o mesmo desde os primeiros anos da informática, onde para que um usuários possa usar as funcionalidade de um sistema ele tenha que se identificar e se autentica para um sistema, isso permite que o sistema identifique e consiga determinar se aquela pessoa que esta tentando usar a aplicação tem mesmo permissão e direito de usar.

Para que o sistema possa identificar se um usuário esta realmente permitido a usar um sistema, ele deve apresentar ao sistema suas credenciais, e até hoje, a credencial mais usada ainda é a dupla usuário/senha. 

Sistema que permitem o uso de um segundo fator de autenticação são notadamente mais seguros, pois além de exigir a entrada dos dados de um usuário e um a senha válida, também lança um novo desafio ao usuário, esperando que este possa responder a este desafio. 

Caso o usuário consiga responder a este desafio, com a apresentação de uma resposta esperada pelo sistema é permitido o seu acesso. Neste processo, mesmo que a senha do usuário seja comprometida, para que um atacante tenha acesso ao sistema ele terá que fornecer uma outra informação, agora um código que muda a cada 60 segundo e esta de posse do dono da conta, portando é muito difícil, quase impossível de ser adivinhado pelo atacante.

Este processo, chamado de autenticação por duplo fator de autenticação usa um conceito de autenticação baseado no princípio de de que o usuário além de apresentar alguma coisa que ele conhece (senha) agora deve apresentar uma outra resposta, que ele possui. 

Falamos aqui sobre a forma como o usuário pode gerar a senha por meio de um aplicativo instalado em seu *smartphone* mas este sistema também pode ser implementado usando SMS ou mesmo um hardware especial para auxiliar neste processo.

Apesar de parecer complicado, o processo é bem simples, e pode ser acionado pelo próprio usuário de forma fácil e simples nos sistemas que suportarem esta funcionalidade. A instalação do app que proporcionará esta funcionalidade, o Google Authenticator, pode ser baixado diretamente das lojas dos sistemas Android e iOS. Depois de instalado no seu *smartphone* basta apenas habilitar a funcionalidade no sistema que estiver querendo usar, o Facebook por exemplo, e a cada vez que for fazer o *login* no sistema, será pedido um código que deve ser conseguido diretamente no app instalado no seu *smartphone*. 

Este processo pode parecer um processo chato mas, pode ser a diferença entre ter o seus dados vazados ou não na Internet.

Pensando nisso, estou criando um série de artigos que vai trazer a forma de habilitação deste funcionalidade em alguns dos principais serviços disponíveis na Internet, serviços como GMAIL, DropBox, Twitter, Facebook e outros. Se você esta curioso para saber se o seu sistema suporta esta funcionalidade e não quer esperar pelos próximos artigos, pode acessar o seguinte endereço https://twofactorauth.org/ e verifique se o seu sistema esta presente na lista de sistemas suportados.

Acompanhe nas próximas semana os novos artigos que vão trazer estes serviços e suas configurações de segurança, e espero que isso possa facilitar a forma como você pensa e trata a segurança dos serviços que vicie usa. Mas, para chegarmos nos próximos artigo já um pouco mais preparados, seu dever de casa vai ser instalar o Google Authenticator par ao seu sistema preferido, Android ou iOS. Isso é bastante simples, basta ir até a loja de seu sistema e buscar pelo Google Autheticator e instalar.

Nos vemos nos próximos artigos.
Read More

Em quê uma Certificação Profissional pode te ajudar ?


Falar sobre Certificações Profissionais em muitos aspectos e guardando a devida proporção é discutir sobre Política, Religião ou mesmo Futebol, sempre vai ter quem defenda e sempre vai ter quem não entenda o porque de tanto estardalhaço !

No entanto, o que não podemos deixar de perceber é que SIM, o mercado de trabalho dá importância a esta sua conquista. Apesar de muitos profissionais não verem nas certificações uma "grande coisa" o que elas mais indicam a quem esta buscando um candidato a uma vaga é a vontade de continuar aprendendo e a continuar evoluindo na profissão.

Pesquisas indicam que as Certificações Profissionais, quando bem escolhidas pelo profissional, não apenas podem representar um melhor oportunidade como também um aumento real de salário que pode ficam em média 15% maior.

O que temos notado nas buscas feitas por profissionais de recursos humanos, quando tentam encontrar profissionais para áreas chave das empresas é a presença de Certificados em seu curriculum, o que em um primeiro momento podem indicar que o profissional continua sua busca por conhecimento e atualizado.

Estudos mostram que no Brasil existe uma defasagem muito grande entre o mercado e as oportunidades apresentadas a profissionais, é o que diz a CompTIA em uma de suas pesquisas, e é aqui que uma boa certificação pode ajudar o profissional que esta buscando um novo emprego ou mesmo querendo assumir cargos maiores e melhores remunerados dentro da suas própria empresa.

Este número, que atualmente esta acima de 100 mil vagas em aberto sem profissionais qualificados, pode aumentar ainda mais com a crescente chegadas de novas tecnologias, cada vez mais rápido ao País, e novamente, as Certificações podem ser o diferencial nesta busca.

Ainda seguindo neste cominho, o IDC em uma de suas pesquisas chegou ao número de 53% no aumento das chances de um profissional conseguir uma vaga de emprego, frente aos que não tem um Certificado Profissional. Este número pode ainda ser maior se no caso a vaga em disputa seja mais elevada e que exija a demonstração de mais experiência.

Em uma reportagem na Info, desculpe não lembro o link, a reportagem indica que "A certificação é encarada hoje pelas empresas como uma espécie de selo de qualidade; atesta que o profissional está capacitado para resolver problemas – e dos grandes (…) Não é exagero dizer que um canudo desses é sinônimo de emprego garantido e salário acima da média (…) Não são diplomas fáceis de obter. Mas valem cada segundo e centavo dedicados.”

Ainda citando a CompTIA, em um dos seus materiais eles apresentam muitas informações sobre a importância de ser certificado para o mercado e para o profissional e uma das imagens que podem ajudar é esta que esta abaixo:



Independente de como você possa ver a importância dos Certificados Profissionais no mercado de trabalho, esta importância é uma realidade hoje e o profissional que deseja mais oportunidades ou mesmo novos cargos, precisa pensar seriamente em como pode demonstrar isso para o mercado ou mesmo para a empresa que esta trabalhando atualmente.

Ainda, cabe aqui uma lembrança muito pouco explorada ainda pela grande maioria dos profissionais brasileiros, apesar de ser o grande sonho de muitos, pouco se preparam e buscam informações sobre como as Certificações podem ajudar ao profissional que quer buscar um oportunidade no exterior, onde a importância destes "canudos" é muito maior que em nosso mercado e que podem representar sim uma grande diferença em termos financeiros e de oportunidades de emprego.

Esse ponto pode ser bem definido neste vídeo que a CompTIA liberou em seu canal.



Então, independente de sua opinião, é definitivamente importante que a busca por uma Certificação Profissional esteja em seus planos ou mesmo em suas avaliações para uma busca de melhoramentos em sua carreira.

Espero que realmente isso possa te ajudar a pensar de forma diferente, e pelo menos, uma tentativa de olhar as Certificações Profissionais como um mecanismo que possa te ajudar a melhorar na sua carreira.

O que você acha ? Contribua com suas experiências e nos conte como foi quando conseguiu a sua. Ah ! por falar nisso, criei um eBook onde listo 15 Certificações Mais buscadas no mercado de trabalho, se você ainda não tem, passa nesta página e pega a sua cópia.

Nos vemos em um próximo post.
Read More

Gerenciadores de senhas.

Quando vamos falar de dores de usuários, a que mais ouvimos é porque temos que ter várias senhas, uma para cada serviços, produto ou mesmo site. Os profissionais de segurança cansam de explicar os riscos envolvidos para os usuários que possuem e usam somente uma única senha em todos os seus serviços ou sites.

Mas claro, entedemos que cada vez mais vai ficando mais complicado para que esta regra da segurança seja obedecida, pois cada dia surgem mais serviços, mais sites, mais aplicativos e tudo vai se acumulando de uma forma que, para algusn usuários é praticamente impossível conviver com tantas senhas.

Multiplique isso quado colocamos nesta discussão o uso de senhas no ambiente profissional, que com certeza recebe e também influencia muito na escolha e uso das senhas dos usuários. Muitas vezes as senhas criadas no ambiente profissional acaba extrapolando para a vida profissional, isso até eleva um pouco mais o nível de segurança, pois as empresa com um maior preocupação habilitam regras de criação de senhas que podem levar o usuário a criar senhas mais robustas, o pior é quando o contrário acontece e as senhas de serviços pessoais invade o ambiente de trabalho, levando para dentro da empresa senhas mais fracas, e que se comprometidas, permitirá o acesso a dados bem mais comprometedores.

Um serviço que pode ajudar a muitos são os gerenciadores de senhas. Serviços de gerenciamento de senhas tem como objetivo ser um container de armazenamento de suas senhas, e que você precisaria se preocupar em apenas criar e se lembrar de uma ´¨nica senha, que teoricamente por ser ´¨nica poderia sem bem mais complexae e robusta.

Neste artivo vamos tentar apresentar alguns destes sistemas de armazenamento de senhas, vamos tentar mostrar gerenciamdores para sistemas Mac, Windows e Mobile como Android e iOS. Em um outro artigo já escrito, falamos um pouco sobre um destes serviços o LastPass, e se quiser pode ler um pouco sobre este serviço em nosso artigo anterior

Aqui vale uma lembrança, o fato de ter o seu sistema operacional e sistema e antivírus atualizado não protege contra todas as ameaças que podemos encontrar diariamente em nossa navegação na Internet, isso é verdade principalmente quando precisamos proteger nossa senha, a simples atualização do sistema e do antivírus não protegerão.

Aqui vale lembrar aos usuários que as suas senhas são, em sua grande maioria, a sua última barreira de segurança contra o vazamento de informações. Alguma das preocupações dos usuários deve ser com a "força" que sua senha deve apresentar a uma série de ataques, dentre eles os famosos ataques de força bruta, onde o atacante vai tentar descobrir a sua senha em um processo de tentativa e erro, isso sendo executado por software específicos para a quebra de senhas e que podem fazer milhões de tentativas por minuto. 

Um pesquisador demosntrou que é possivel quebrar uma senha de 8 caracteres em apenas 6 horas, mas estas não eram senhas simples de 8 caracteres, que usam apenas letras que estamos acostumados, estas eram senhas de 8 caracteres usando todos os tipos de caracteres como letras, números e símbolos, além de caracteres especiais. Só com isso já deveria ficar claro que senhas usando somente um conjunto de caracteres e apenas 8 caracteres de tamanho já deveriam ser banidas de seuas senhas a serem escolhidas.

Mas, vamos continuar, vamos mostrar algumas soluções que podem ajudar a guardar as suas senhas da melhor forma possível mas, aqui vale um lembrete, estes sistemas também não são infalíveis e quando possível, use a altenticação usando 2 fatores de autenticação, que além da senha, vai solicita que seja digitado mais um conjunto de números, serviços que podem usar este tipo de autenticação são o Google e o Facebook, além de muitos outros, veja nesta lista alguns deles.

Primeiro, o que é um Gerenciador de Senhas ?

Gerenciadores de senhas são serviços, ou aplicativos que tem como finalidade armazenar de forma segura as senhas e acessos de serviços, programas e sites. De uma forma bem básica é isso, é onde estarão armazenadas todas as suas senhas, e para ter acesso a elas, você terá que digitar uma única senha, o próprio sistema se encarrega de colocar a sua senha e usuário nos sites e serviços que você esta acessando.




Primeiro, é bom deixar claro que, em nossa opinião, as melhores soluções são aquelas que oferecem serviços multiplataformas, ou seja, que podem ser usadas em várias plataformas, pois facilita o uso e diminui a preocupação de ter vários gerenciadores em vários dispositivos, e com relação a isso são várias as soluções disponíveis.

Os usuários de sistemas Windows continuam sendo os mais vulneráveis e propensos a ataques e vulnerabilidades de segurança, por isso é interessante pensar em um sistema de Gerenciamento de Senhas, veja, apesar de estar listado aqui, isso nõa quer dizer que seja o único e ideal para você , estudo a solução e veja qual mais agrada.

O keeper é um dos melhores serviços de gerenciamento de senhas, e tem soluções bem interessantes e que podem manter as senhas dos usuários seguras. O Keeper é uma solução que atende todas as necessidades  da grande maioria dos usuários, pois tem versões para Windows, Mac e também para iPad e iPhone.

O keeper usa uma criptografia de 256-bit EAS, o que é uma criptografia bastante robusta e pode garantir a segurança das suas senhas. 

Alguns destes serviços ainda possibilitam que os usuários possam colocar suas informações em formato de anotações, que ficariam seguras dentro de um "cofre" criptografado.

O Keeper também permite que o usuário habilite o duplo fator de autenticação para que possa ter acesso às informações armazenadas nele, o que é uma ótima polítca para o usuário final. Uma das funcionalidades bem legais do Keeper é que quando usado em um dispositivo móvel, ao errar uma certa quantidade de vezes as informaões armazenadas no keepr de dispositivo serão aparagas, isso sem afetar as armazenadas nos outros dispositivos ou mesmo no armazenamento "central".



Uma outro alternativa que vale a pena é a Lastpass que já falamos em outro post. Esta é uma outra alternativa que pode ser usada em modo multiplataforma, pois pode ser usada tanto em equipamentos usando Windows, Mac, Linux, Android e mesmo iOS. O Lastpass além de "rodar" em sistemas operacionais, possui extensões que podem ser instaladas em browsers como o Chrome, Safare e Firefox além do Internet Explorer, o que facilita é muito o uso de sistemas e sites.

O Lastpass pode ajudar o usuário a criar suas senhas, sem que seja necessário que o usuário se preocupe em armazenar a senha, pois ela será automaticamente guardada em seu cofre. Como keepr, o Lastpass permite que além das senhas possam ser armazenadas outros tipode informações, o que pode permitir ao usuário guardar números de cartões de crédito, informações de contas de bancos e outras informações que ele achar interessante estarem armazenadas de forma segura.

Também permite que para que o usuário tenha acesso às suas senhas, seja necessário digitar um segundo conjunto de códigos, desde que a funcionalidade de duplo fator de autenticação esteja habilitada.

Este assunto ainda daria muito pano para a manga, mas também acabaria deixando o leitor muito cansado de ler um texto tão longo. Para que isso não aconteça, vamos ficando por aqui e qualquer dúvida, deixa ai nos comentários que vamos tentando ajudar no que for possível.

Até a próxima.




Read More

Criminosos e novo golpe de 'Conta de Celular atrasada'

Agora é a sua conta de telefone celular que pode ser perigoso. 

Já temos falando bastante aqui em outros artigos que a criatividade e a disposição dos criminosos virtuais brasileiros são comparáveis a ações que talvez só estamos acostumados a ver em filmes. Temos agora mais uma demonstração desta criatividade. 

Antes tínhamos o golpe dos boletos, que por meio de um malware instalado no computador do usuário, durante o processo de geração do boleto, alterava alguns parâmetros fazendo com que o valor do pagamento na verdade fosse depositado em contas de criminosos. 

Pois bem, agora o que temos observado no mercado é que os criminosos estão migrando de boletos para contas de telefone celular atrasadas, e o golpe tem conseguido muito sucesso, pois a grande maioria dos usuários continua a ter pouco, ou quase nenhuma atenção, com seus pagamentos. 

O objetivo neste caso é tentar roubar informações sigilosas das pessoas que, desanimadamente abrem um email de uma operadora de telefonia móvel, informando que a pessoa possui contas em atraso, e por meio de um link pode baixar um boleto com um valor atrativo de quitação de seu débito. 

Na verdade o boleto é um PDF contaminado que tem como finalidade a instalação de um malware no computador do usuário, e depois deste malware estar instalado, as informações são facilmente roubadas dos usuários. 

Mas dam vez não custa lembrar que o bom senso é fundamental nesta hora, lembramos que nenhuma operadora envia um boleto sem antes ter falado com o cliente e ter acertado valores e negociações, por isso recomendamos toda a atenção do usuário. 

Além das recomendações de atenção, claro não podemos deixar de deixar aqui nossas orientações para manter sistema operacional e sistemas de antivírus atualizados.
Read More

Facebook: De novo, outro vírus se espalhando usando a rede social.


No final de junho deste ano, mais um vírus foi identificado usando o Facebook para se espalhar para os usuários mais desavisados.

Pelo que foi levantado pela empresa Kaspersky, mais de 10 mil usuários já foram infectados, em sua grande maioria no Brasil e em alguns outros Países da América Latina.

Mais uma vez a técnica usada é a bom e velho phishing, e ainda segundo a Kaspersky, a infeção acontecia em duas etapas. Estas duas etapas tinham início quando o usuário era notificado de que foi marcado em um comentário de um outro usuário. Ainda, o ataque leva o usuário a instalar versões vulneráveis do Chrome e extensões que bloqueiam o acesso deste computador a sites de segurança.
Mas, vamos voltar às duas etapas.

A primeira etapa, como já falamos se inicia no momento em que o usuário clica no notificação. Assim que o comentário é acessado, o navegador da vítima é encerrado e uma versão vulnerável é instalada no computador da vítima.

Ao abrir o “novo” navegador, o usuário é direcionado a um página forjada do Facebook, imitando a tela de login da rede social, e já neste primeiro momento, o atacante já conseguia ter acesso tanto ao nome de usuário quanto à senha de acesso ao Facebook.

A segunda fase do ataque começa quando o login é realizado de forma correta. A sessão do usuário passa a ser controlada em background pelo atacante, e nesta segunda fase um outro arquivo malicioso é entregue à maquina do usuário, este tem a finalidade de modificar as configurações de segurança e privacidade do usuário, além disso, atuando para roubar mais informações que podem ser usados em outras atividades. Para finalizar esta fase, o malware torna o perfil do usuário um meio de espalhar ainda mais o malware, enviando ao seus contados a mesma notificação que deu início ao processo de infecção.

O Brasil é o País mais afetado.

Segundo os dados apurados pelo Kaspersky o Brasil é o País que mais foi afetado pela distribuição deste malware.


fonte:Kaspersky

Como mostra o gráfico, o Brasil representa 37% das notificações de infecção. Ainda, o malware foi desenvolvido para infectar dispositivos com o Windows, e por isso dispositivos com android e ou windows phone estão imunes, pelo menos por enquanto.

Segundo os pesquisadores, o phishing só é possível por uma falha no próprio Facebook, que ainda por cima, o Facebook já tinha sido avisado desta falha e supostamente corrigida.

Na verdade, este é um ataque bem inteligente, pois diferente de muitos outros não usa um texto elaborado, ou mesmo imagens mas, simplesmente uma notificação.

Uma das recomendações é que os usuários do browser Chrome verifique a lista de extensões instaladas e proceda com a retirada desta extensão do seu navegador.

No caso deste ataque, a extensão que é instalada, até agora, recebe o nome de thnudoaitawxjvuGB, e é esta que deve ser retirada do seu navegados.

Para você que quer saber se foi infectado, um dos primeiros sintamos é que ao acessar a notificação seu navegar fechar sem o menor aviso, e que ao ser reaberto não é identificado como sendo o seu navegador padrão. Além disso, busque pela extensão já mostrada anteriormente.

Conselhos básicos como o de ter cuidado com as promessas de melhorias tanto no próprio Facebook ou mesmo em outros serviços como o Youtube e ainda o uso do bom senso podem te ajudar em muito a evitar, não somente esta mas, também outras infecções.

Caso recebe estas notificações, avise os seus amigos e mostre como eles podem retirar o malware dos seus equipamentos.

Fica a sugestão !
Read More

Como ficar seguro usando redes wi-fi públicas.


Cada vez mais profissionais estão tendo a possibilidade de desenvolver suas atividades, completa ou parcialmente em um modelo de trabalho remoto.

Para estes profissionais isso pode ser uma das grandes mudanças no seu estilo de trabalho, que pode possibilitar mais equilíbrio, mais tempo com a família ou mesmo a possibilidade de em um dia qualquer, pegar o seu notebook e ir trabalhar naquele Café super legal e com acesso à internet super rápida, o que pode ser melhor, não é mesmo ?

Bom, o problema neste tipo de escolha é que você não tem controle sobre a internet que esta sendo oferecida, ou seja, você não sabe quem, como e nem o quão segura é esta Internet e dependendo do seu trabalho, informações bem importantes podem estar sendo “lidos” por quem não deveria.

Abaixo vou deixar algumas dicas que podem ajudar a reduzir a possibilidade de uma surpresa para você e para a sua empresa.

1.Desabilite os compartilhamentos.

Se você é como a maioria dos profissionais, tem em seu computador algum tipo de compartilhamento, que dentro de uma escritório pode ser de grande ajudar, para a enviar ou mesmo receber arquivos de seus colegas.

No entanto, em um local onde a rede não é controlada por você ou mesmo pela sua empresa, manter este compartilhamento aberto não é uma boa idéia.

Sendo assim, a primeira dica é, se não esta em uma rede que você ou sua empresa controle, mantenha os compartilhamentos desabilitados.

Para ajudar aos que não estão sabendo onde podem fazer isso, segue uma ajuda.

Em sistemas Mac vá em Preferências do Sistema > Compartilhamento > e desmarque Compartilhamento de Internet ou qualquer outro compartilhamento

Em sistema PC vá em Painel de Controle > Rede e Compartilhamento > e mude as configurações avançadas de compartilhamento e a descoberta na rede

2.Use um serviço confiável de VPN, ou monte um seu.

Uma das primeiras coisas que vimos nos episódios em que o whatsapp saiu do ar no Brasil foi uma corrida de muitos usuários do aplicativo para usar serviços de VPN (Virtual Private Network), o problema é que muitos dos sistemas que foram usados por estes usuários, muitos desavisados, eram serviços que não implementavam o sistema de VPN da forma correta ou mesmo usavam os sistema de VPN que eram usados para roubar informações de usuários.

Nossa segunda dica é, use um sistema de VPN para as suas conexões, principalmente enquanto estiver em locais com Internet pública. Para isso, veja nas link um bom artigo, em inglês, sobre alguns serviços de VPN que podem ser usado.

Caso você tenha conhecimento técnico, vá um pouco mais além e monte sua própria solução de VPN, mantendo assim o controle total sobre a sua conexão.

3.Use somente sites com o HTTPS

Manter o sigilo das informações é o grande objetivo de se implementar as soluções de segurança sugeridas neste post mas, sempre é bom melhorar e aumentar ainda mais a segurança, pois nunca é demais certo ?

Assim, vamos sugerir que mesmo com o uso das soluções de VPN, é aconselhável que sempre use as conexões pode meio de protocolos seguros, o HTTPS dos sites, o vamos cadeado na barra de endereços.

Caso você use o browser Chrome, uma boa idéia é usar uma extensão que “force” o uso do HTTPS para todos os sites, mesmo que você não tenha colocado isso diretamente no endereço.

4.Se não estiver usando, desligue.

Claro que o nosso objetivo quando vamos a um café trabalhar é estar sempre conectado à Internet, mas caso em algum momento você não esteja trabalhando ou mesmo precisando de acesso à Internet, a melhor solução é desligar a sua conexão wifi, deixando assim seu computador isolado da rede do Café.

Esta solução pode ajudar a garantir que seu computador não se conecte automaticamente a outro ponto de acesso que possa ser criado por alguém com uma má intenção.

5.Mantenha seu sistema e seu antivírus atualizado

Por último mas, não menos importante, mantenha sempre o seu sistema operacional e o seu sistema de antivírus sempre atualizado.

Apenas mantendo seu sistema atualizado pode ajudar a manter longe a grande maioria dos problemas e vulnerabilidades presentes hoje no “mundo virtual”.

Mas, aqui vai uma dica muito importante, sempre atualize o seu sistema ou mesmo seus aplicativos em uma rede confiável, de preferência uma em quê você tenha o controle ou mesmo que seja controlada pela sua empresa.

E você, tem alguma dica para ajudar a melhorar a segurança daqueles que tem a possibilidade de trabalhar fora do escritório ?
Read More

O que a Segurança da Informação tem a aprender com o desastre de Mariana ?

" Primeiro quero deixar bem claro que este artigo nada tem haver com um julgamento de qualquer dos lados envolvidos na tragédia, minha intenção aqui é trazer um paralelo sobre este evento e tentar, usando informações públicas, montar um aprendizado. "

Temos acompanhado já a mais de 1 mês os desdobramentos do caso do desastre do rompimento da(s) barreira(s) em Mariana, e fora o fato de isso por si só já ser uma catrástrofe, também temos visto, segundo o que é apresentado à imprensa, constantes denúncias de desrespeito da empresa com as pessoas que perderam tudo que foi construido durante uma vida, muitos além de parentes e familiares.

Mas, o que isso tem haver com Segurança da Informação ?

Bom, diretamente nada. Mas, como em tudo, devemos buscar aprendizados e aplicar este aprendizado em nossos trabalhos ou na nossa vida.

Se acompanharmos com mais caltela, veremos que o caso de Mariana pode guardar alguns bons ensinamentos para os profissionais de Segurança da Informação.

Vamos começar com a análise de uma da(s) possíve(l)is causa(s) do desastre. Estamos vendo surgir na imprensa notícias que colocam como a causa do rompimento a junção entre as duas barreiras, formando uma grande barreira. O que, pelas informações, pode ter acontecido é que a estrutura que mantinha o rejeito represado não aguentou a pressão e rompel, despejando tudo na direção da cidade.

Aqui, podemos ver uma prática que é muito comum em empresas que não tem uma maturidade em Segurança da Informação, a constante análise de riscos envolvidos com uma mudança em sua estrutura ou mesmo em seu modelo de negócio.

Empresas diligentes em suas atividades fazem, sempre que há uma mudança em sua estrutura ou mesmo em seus proessos extensa análise de risco, buscando assim analisar quais os possíveis problemas que esta mudança pode trazer à empresa.

Neste caso, podemos acreditar que esta análise não foi feita, e se foi não levou em consideração o pior cenário, que seria o do próprio rompimento. Como podemos dizer isso ? Simples, se tivesse sido levado em consideração, no mínimo teríamos visto um controle de detecção sendo implementado, para em caso de rompimento, houvesse o aviso da população.

Isso nos leva ao segundo ponto que podemos ter como exemplo. 

Para que possamos atuar de forma preventiva, temos que ter alguma forma de mantermos um monitoramento dos padrões que estamos buscando, no caso da barreira, acredito que o mínimo seria o monitoramento de uma possível movimentação da massa.

O que importa é que, tanto no caso de Mariana, quanto no uso diário nas empresas, precisamos ter algum mecanismos que possa nos ajudar no processo de monitoramento dos padrões desenhados e desejados para os nossos controles.

Sendo assim, a empresa deveria ter criado um sistema que informasse qualquer alteração de forma ou mesmo posicionamento de massa na barreira, lembrando que não tenho a menor noção de como fazer isso, é apenas meu pensamento.

Na área de Segurança da Informação, nossos controles de segurança devem ser constantemente monitorados para que possamos atuar de forma preventiva, dando tempo às equipes de resposta a incidentes agirem de forma apropriada.

Mas uma vez, isso é uma das práticas que deveriam ser mais bem implementadas mas, que temos acompanhado uma falta de maturidade muito grande neste proesso.

Outro problema com o monitoramento é que, mesmo a empresa tendo ferramentas de monitoramento, a grande maioria das equipes esta atarefada demais para checar os alertas e avisos emitidos, tornando assim a ferramenta simplesmente ineficiente.

Um último ponto que quero colocar é que, em muitos noticiário tenho visto entrevistas de moradores reclamando que falta a empresa entrar em contato ou mesmo dar algum tipo de explicação sobre a tragédia e o que esta sendo feito para remediar tudo o que aconteceu.

Claro, pode ser uma política da empresa que este contato seja feito diretamente com as famílias, e que não terão contatos com a imprensa mas, de uma forma mais ampla, esta falta de contato com a imprensa pode trazeer mais problemas para a empresa, e consequentemente para os acionistas, pois sem informações sendo divulgadas, a opinião pública não será informada, formando assim uma imagem negativa da empresa.

Aqui, na minha visão temos dois problemas. Primeiro a falta de uma análise de risco sobre o impacto da opinião negativa da população sobre a empresa, o que pode levar a perda de receita.

Um segundo problema que vejo, e indicado na ABNT NBR ISO/IEC 27001:2013 em seu item 7.4 é a falta de um plano de comunicação com entidades externas, para que as informações seja dadas e reveladas pela empresa, não deixando margem para que a imprensa ou mesmo outros concorrentes possam usar tais lacunas na comunicação, como um meio trazer mais problemas para a emrpesa. Em resumo, seja o primeiro a informar o ocorrido e não deixe que outros possam se aproveitar de um evento, já desastroso para trazer mais problemas.

Claro que esta visão colocada neste artigo não pode ser vista como um ponto de verdade, pois aqui faço apenas uma análise de informanções que temos tido acesso por meio de notícias e reportagens, mas que podem sim ser um reflexo de uma má conduta no processo de gestão de crise, fica o aprendizado. 
Read More

Os 5 celulares que mais emitem e menos emitem radiação.

Que tal conhecer os modelos de celulares e smartphones que mias emitem radiação e os que menos emitem ?



Este artigo pode ajudar a identificar se o seu celular esta na lista ou não. Isso não quer dizer que se o seu celular esta na lista de maiores emissões, que você deve sair correndo para trocar seu equipamento, apenas tome mais cuidado e evite ficar com ele muito perto do seu corpo.



Outro aviso bem importante, mesmo com este monte de artigos e posts, cientistas e fabricantes continuam a dizer que não existem evidencia de que a emissão de radiação feita por telefones celulares e ou smartphones traga algum perigo para a saúde.



The Top 5 Most Harmful Phones, And The Top 5 Safest - According to Research
Read More

PL 215/2015 o Projeto de Lei "espião".

De certa forma tudo começou de forma bem "ingênua" onde o Dep.Hildo Rocha (PMDB-MA) sugeria a modificação no Artigo 141 do Decreto-Lei No 2848/1940, colocando que também seriam punidos os crimes cometidos contra a hora por meio de redes sociais.

No entanto, no decorrer do tempo este PL passou a incorporar tantos assuntos que esta sendo e é conhecido pelas entidades que protegem o cidadão com relação aos assuntos diretamente ligados à Internet como o PL Espião, por trazer uma série de "pontos obscuros" que podem ferir e até mesmo desrespeitar o Marco Civil[1] da Internet, que também não é unanimidade entre os membros destas entidades mas, que de certa forma é unânime quando se fala sobre uma grande revolução para a Internet Brasileira.

Um dos pontos críticos que estão sendo fortemente defendidos, inclusive por membros das polícias, é a dispensa de Ordem Judicial para que  Policias, Mistério Público e outras Autoridades tenham acesso a históricos de navegação de usuários, sem que estes tenham conhecimento, claro !

Tantos movimentos dirigidos ao Marco Civil despertou o alerta de vários meios de defesa, que podem ser ajudados por você,  assinando a uma petição online [2], na tentativa de barrar este PL, que hoje (03/10) esta com despacho para avaliação, como mostra o trecho retirado do site da Camara onde pode ser visto todo o trâmite do PL.

"À Comissão de Constituição e Justiça e de Cidadania (Mérito e Art. 54, RICD)Proposição Sujeita à Apreciação do Plenário. Regime de Tramitação: Ordinária"

Mesmo tendo sido retirado uma série de informações que poderiam ser acessadas sem a necessidade de Ordem Judicial, os dados cadastrais dos usuários ainda permanece  com "livre" para as entidades policiais e para o MP. O que até certo ponto já é garantido por outras Leis, como por exemplo a Eleitoral, o acesso a estas informações sem a Ordem Judicial, o que pode caracterizar "duplicidade" e sobreposição de legislação. A questão aqui é o acesso as mensagens dos usuários sem o seu prévio conhecimento é o que mais chama a atenção.

Um dos melhores Podcasts de segurança, Segurança Legal, falou em seu episódio 86 muito bem sobre este problema, e recomendo a todos escutar o que foi apresentado e montar a sua opinião sobre o assunto.

Um dos pontos mais interessantes do episódio é a apresentação de vídeos e audios  gravados durante as audiências públicas sobre o PL. Em um dos momentos um dos defensores deste PL, membro da Policia defende que a grande maioria das buscar realizadas por pedófilos tem em seus termos os termos "12 anos" assim, defende ele, todos os que efetuassem buscas contendo estes termos deveriam ter seu acesso monitorado e informado aos Órgãos policiais para averiguação.

Outro ponto do episódio, podemos notar a defesa deste PL feito por outro membro da Policia (Instituto de Criminalistica) que usa um episódio do programa Olhar Digital para explicar criptografia, perdeu uma grande oportunidade de usar especialista reconhecidos para esta finalidade. Se não me engano, o mesmo membro da Policia usa um outro programa, este a Série de TV CSI Cyber, acredite é isso mesmo, para justificar a possibilidade de execução de alguns tipos de ataques. Acredito que usar meios mais simples para explicar coisa técnicas seja válido mas, usar um episódio de uma série de TV, que quem já viu sabe como é "viajante" não me parece a melhor forma de defender um PL tão importante.

O CGI Brasil já se posicionou e deixou bem claro isso na sua resolução de No. 2013/013 que pode ser visto no link[4] deixado abaixo. E neste documento estão as recomendações com relação ao PL tratado.

O ponto é que este tipo de tentativas estão cada vez mais se tornando "normais" e não vemos muito sendo falado na "grande mídia" ou mesmo fora das entidades que tem uma atuação mais direta na proteção dos direitos dos usuários, pena que a grande massa de usuários não tem muitas vezes a menor noção do que esta acontecendo e como isso pode afetar a sua vida.

Fica esperto Internauta, estão querendo te espionar !!!

Vou sugerir duas coisas, deixa de usar o Google e passa a usar o DuckDuckGo[5], um mecanismos de busca que não guarda logs, ou seja, registros de suas buscas e segundo, passa a usar mais criptografia, inclusive em suas mensagens de email.



Read More