12 segredos obscuros da criptografia

A criptografia está se tornando uma solução rápida para o desenvolvedor, seja qual for a privacidade de dados ou a preocupação com a segurança. Com medo de colocar seu cartão de crédito em um formulário web? Não se preocupe. Estamos usando criptografia. Não tem certeza se um site é autêntico? A criptografia está de volta. A boa notícia é que os algoritmos de criptografia funcionam algumas vezes. A matemática oferece alguma proteção contra a espionagem e uma base sólida para a confiança.

Mas toda a magia tem seus limites e a coisa complicada com a criptografia é que pode ser impossível ter certeza de onde esses limites estão. A matemática pode ser tão inspiradora que só podemos nos sentar e olhar boaquiaberto. É fácil se perder e apenas se resignar a confiar que tudo dará certo quando os cálculos forem muito complexos.

No final, com criptografia, o melhor que podemos fazer é gerenciar nossas expectativas e nossa compreensão. Não podemos viver sem criptografia, mas não podemos presumir que funcionará com a mesma facilidade ou confiabilidade que um interruptor de luz.

Então, aqui estão uma dúzia de segredos obscuros da criptografia para se ter em mente ao procurar soluções para problemas intratáveis em sua arquitetura de informações.

Nós não entendemos isso

A maior parte do poder da criptografia depende do fato de não sabermos o suficiente sobre a matemática envolvida para revertê-la. Sabemos como calcular as funções, mas não como invertê-las. Podemos multiplicar e multiplicar números grandes, mas não podemos calcular o logaritmo. Em outras palavras, não sabemos a matemática de trás para frente, só a conhecemos somente pela frente. Quando um grupo de pessoas inteligentes não consegue descobrir como retroceder, ficamos por aqui, damos de ombros e abraçamos os algoritmos. É o melhor que podemos fazer. O algoritmo mais comumente implementado depende do fato de que ninguém descobriu publicamente qualquer maneira de atacá-los.

Nossas estimativas são apenas estimativas

Alguns matemáticos encontraram algoritmos básicos para atacar as funções de criptografia conhecidas, mas eles são lentos demais para quebrar a criptografia com chaves reais. Os algoritmos funcionam apenas com números pequenos e sua velocidade aumenta exponencialmente com o tamanho do problema. Esses algoritmos geram todas essas estimativas surpreendentes sobre como seriam necessários bilhões de quatrilhões de quintilhões de bilhões de anos para serem quebrados. Isso soa tranquilizador, mas é como um golfista iniciante dizendo que pode levar bilhões de anos no golfe para acertar um buraco na primeira. Isso pode ser verdade para o iniciante, mas não para os profissionais que os atingem regularmente. No mundo da criptografia, somos todos iniciantes lançando estimativas.

As provas são parciais

Alguns dos cientistas e matemáticos mais dedicados trabalham duro para fornecer uma “prova” de seu algoritmo. Essas cadeias de etapas lógicas bem avaliadas nos ajudam a entender a força do algoritmo de criptografia, mas isso não é a mesma coisa que garantir que seus dados estarão seguros. As provas apenas iluminam algum trabalho, e sempre há monstros escondidos na escuridão. Na maioria dos casos (exceto códigos de uso único), as provas não cobrem tudo e dependem de suposições sobre como alguns problemas são realmente difíceis. Isso pode ser verdade no passado, mas isso não é garantia para o futuro.

Nós não podemos medir a força

As equipes de vendas de tecnologia de segurança gostam de usar termos como “grau bancário” ou misturar números como 1024 bits, mas a realidade é que não temos uma boa maneira de fazer mais do que adivinhar a força dos algoritmos. O dobro de 2048 bits é igual a 1024 bits? Ou a diferença é astronômica?

A pesquisa só começa a arranhar a superfície. Alguns dos ataques funcionam apenas em uma faixa estreita de mensagens e apenas quando um milhão de estrelas se alinham. Outros ataques tornam tudo acessível. Podemos ver como esses ataques funcionam no laboratório, mas é difícil estender a ação até quanto eles podem ameaçar nossos dados.

O futuro da computação é um mistério

Ninguém sabe se computadores quânticos serão construídos com energia suficiente para lidar com problemas significativos, mas sabemos que as pessoas estão tentando e divulgando comunicados à imprensa sobre como fazer progressos. Sabemos também que, se as máquinas quânticas aparecerem, alguns algoritmos de criptografia serão quebrados.

Muitos cientistas de criptografia estão trabalhando duro na construção de novos algoritmos capazes de resistir a computadores quânticos, mas ninguém sabe realmente a extensão dos poderes de um computador quântico. Será limitado aos algoritmos conhecidos? Ou alguém encontrará outra maneira de usar o computador quântico para quebrar todos os novos algoritmos.

Dados criptografados não são dados seguros

Às vezes, a criptografia funciona muito bem. Ele bloqueia os dados dentro de um cofre matemático e, de alguma forma, a chave desaparece. É fácil fazer backup de dados criptografados, mas é um desafio fazer backup de chaves e senhas. Se você for muito cuidadoso, poderá acabar bloqueando-se dos próprios dados. Se você morrer inesperadamente, ninguém poderá descobrir a senha ou a chave que falta. Dados criptografados não são os mesmos que dados seguros. Dados criptografados são frágeis.

A criptografia é fácil. O gerenciamento de chaves é difícil!

Alguns padrões de criptografia são bem confiáveis porque foram desenvolvidos por meio de um processo árduo de vários anos. É fácil conseguir um de uma biblioteca de código aberto e ter certeza de que a criptografia será segura. A parte difícil, no entanto, é distribuir as chaves entre todos que precisam delas. Sistemas simétricos como o AES exigem que a chave viaje separadamente por meio de um canal seguro, mas se tivéssemos um canal seguro, não precisaríamos de criptografia. Se planejarmos com antecedência, geralmente podemos obter as chaves certas para as pessoas certas.

Os sistemas de chave pública tornaram mais fácil para as pessoas configurar um caminho seguro sem se reunir antecipadamente, mas elas têm seus próprios problemas. Como você sabe que está usando a chave pública certa para uma pessoa? A autoridade de certificação é confiável? Ainda há necessidade de voto de confiança no sistema.

O código de suporte é frágil

A distribuição de chaves não é a única faceta que cria pesadelos para os desenvolvedores de criptografia. Muitas partes do algoritmo podem vazar informações, às vezes deliberadamente. É comum, por exemplo, misturar números aleatórios com uma mensagem, mas encontrar esses números aleatórios pode ser complicado. Alguns dos chamados geradores de números aleatórios têm falhas, que os tornam longe de serem aleatórios, e sua previsibilidade pode ser usada para adivinhar a chave e quebrar a mensagem. O algoritmo de criptografia é apenas parte do jogo.

Hardware compartilhado é perigoso

Ultimamente mais e mais códigos estão sendo executados na nuvem devido ao custo e flexibilidade. O problema é que ninguém sabe o que os vizinhos que estão compartilhando sua máquina estão fazendo. Existem inúmeras vulnerabilidades que permitem que um software espie a memória de outra peça no mesmo computador. Os desenvolvedores do sistema operacional tentam pará-lo, mas novas falhas como o RowHammer aparecem com frequência. Parece que há dezenas de possíveis ataques a computadores na nuvem e estamos apenas começando a perceber o quanto precisamos nos preocupar com isso.

É impossível detectar um hardware invadido

Você já viu os transistores em seus chips? Você já se certificou de que eles são leais a você, o desenvolvedor de software? Alguns hackers perspicazes fizeram engenharia reversa de um chip e descobriram que ele tinha um modo de deus oculto e não documentado, o qual era acionado por uma sequência aleatória de bytes. Quem os colocou ali? Ninguém tem pressa para levar o crédito.

Assinaturas digitais apenas mudam a responsabilidade

A matemática por trás de alguns dos melhores algoritmos de assinatura digital é encantadora e hipnotizante. Somente o proprietário da chave privada pode executar os cálculos que produzem uma assinatura digital legítima. Isso soa muito, muito melhor do que uma assinatura manuscrita, que geralmente pode ser forjada por um aluno da quarta série que precisa de um pai para assinar um teste ruim.

Mas será mesmo? As chaves privadas não estão vinculadas à pessoas. Uma assinatura digital só pode ser produzida por alguém com acesso à chave privada. Esse pode ser o dono legítimo, ou pode ser alguém que invadiu o computador ou usou uma senha ou inseriu um registrador de chaves ou encontrou uma maneira de obter a chave. Se a sua chave está no seu computador e o seu computador está na rede, poderia ser qualquer pessoa no mundo que também estivesse conectada à rede.

Os cientistas estão se esforçando para construir hardware seguro e soluções fortes, mas eles apenas dificultam o trabalho dos invasores. A matemática maravilhosa é facilmente minada por fragilidades comuns.

Nem todos falam

Alguns matemáticos e especialistas em criptografia gostam de falar publicamente sobre a tecnologia. Outros não dizem nada. Nós nem sabemos quantos silenciosos estão por aí.
É realmente um milagre que a sociedade tenha desenvolvido tanto conhecimento em códigos e cifras quanto nós. Quanto mais usamos a tecnologia, no entanto, maior o incentivo para ficar inquieto sobre qualquer fraqueza. Quando dinheiro real e segredos reais estão fluindo através dos tubos blindados de criptografia da internet, bem, o conhecimento sobre qualquer rachadura na armadura se torna mais valioso. Em outras palavras, quanto mais usamos criptografia, mais profundos e obscuros se tornam os segredos.

A Future é parceira dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

7 conselhos para criptografar informações relevantes

Com a explosão de informações, proteger os dados é fundamental para qualquer negócio. Para ajudar empresas nesse sentido, a Eset, empresa de cibersegurança, indica conselhos importantes para criptografar dados. Confira!

1. Proteger as chaves de criptografia

A eficácia da criptografia depende das chaves usadas. Se elas estiverem comprometidas, as informações também estão, portanto, protegê-las é fundamental para manter os dados sigilosos.

2. Criptografar as informações armazenadas

Quando é necessário manter a confidencialidade dos dados armazenados, é possível criptografar os arquivos, pastas e até mesmo o disco rígido completo. Há também opções para criptografar informações em dispositivos removíveis ou em equipamentos móveis, como tablets e smartphones.

3. Criptografar a informação transmitida

Uma informação enviada e recebida é sempre vulnerável se não estiver criptografada. Nesses casos, é aconselhável usar protocolos seguros (por exemplo, HTTPS ou SSH) ao fazer conexões ou usar um serviço na internet, como e-mail ou redes sociais. Além disso, as ferramentas que criptografam o texto ou os arquivos antes de serem enviados são muito úteis. Caso os dados sejam interceptados, é necessário ter a chave para decodificar as informações e poder acessá-las.

4. Fazer backup de informações confidenciais

No caso de um incidente relacionado à informação, é uma boa prática de segurança fazer o backup de dados confidenciais. Isso permite que, em caso de perda de um dispositivo ou das chaves de criptografia que protegem os dados, seja possível recuperar os dados.

5. Use algoritmos de criptografia de domínio público

A vantagem de usar algoritmos de criptografia de domínio público, como o AES (Advanced Encryption Standard) ou o Blowfish, reside no fato de que eles são continuamente revisados pela comunidade científica e acadêmica. Eles também são disponibilizados para pesquisadores no campo, para identificar erros em sua implementação, de modo que eles são menos propensos a conter falhas do que um algoritmo proprietário.

6. Use a última versão do software de criptografia

Algo que é extremamente recomendado quando se fala de software, está relacionado ao uso das últimas versões dele, desde que as falhas que foram identificadas sejam corrigidas com as atualizações.

7. Use outras soluções de segurança

A criptografia ajuda a manter a confidencialidade das informações, mas não funciona contra malwares, vulnerabilidades não corrigidas ou ataques de engenharia social. Portanto, é necessário manter a segurança do computador utilizando outras medidas, como uma ferramenta contra códigos maliciosos, pois se ele estiver infectado, é provável que intrusos possam comprometer a criptografia.

Mantenha-se protegido! Conte com a Future! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Veritas complementa ambientes do Microsoft Office 365 com proteção e governança de dados corporativos

A Veritas Technologies anunciou hoje a solução Proteção e Governança de Dados Veritas para Microsoft Office 365, um novo conjunto de ofertas de proteção e governança de dados. Esses aplicativos baseados em software como serviço (SaaS) fáceis de usar podem ser ativados rapidamente e entregar recursos de gerenciamento de dados corporativos para analisar, descobrir e recuperar os dados do Office 365, onde e quando necessário.

As organizações estão adotando cada vez mais rápido ambientes de escritório em nuvem como o Office 365. De acordo com a Gartner: “Até 2021, mais de 70% dos usuários corporativos serão substancialmente provisionados com recursos do escritório em nuvem”. Como as organizações começam a perceber os inúmeros benefícios associados às assinaturas do Office 365, é fundamental que elas também tomem medidas para proteger seus dados do Office 365 para ajudar a garantir que sejam facilmente recuperáveis em caso de perda de dados. As organizações também devem assegurar que seus arquivos do Office 365 sejam preservados e pesquisáveis, em conformidade com os rigorosos requisitos regulamentares.

A Proteção e Governança de Dados Veritas para Office 365 dá às organizações ferramentas essenciais para gerenciar seus dados, incluindo o Veritas SaaS Backup, uma nova solução de backup e recuperação de nuvem em nuvem projetada para a proteção e recuperação abrangente dos dados do Office 365, bem como o Veritas Information Map e o Veritas Enterprise Vault.cloud. O software Information Map apresenta uma visão em tempo real dos atributos e uso do arquivo em todo o ecossistema do Office 365, enquanto a solução Enterprise Vault.cloud ajuda as organizações a manter e descobrir os dados do Office 365 para apoiar a conformidade regulamentar e os requisitos jurídicos.

Proteção e governança automatizadas para o Office 365

Com este conjunto abrangente de ofertas de SaaS, organizações de todos os portes serão capazes de estabelecer práticas de gerenciamento de dados corporativos com proteção e governança automatizadas para o seu ambiente Office 365. Essas ofertas são altamente escaláveis e fornecem cobertura holística em todo o ecossistema de Office 365, incluindo Microsoft Exchange Online, OneDrive, SharePoint Online, Skype for Business, Microsoft Teams e Yammer.

Veritas SaaS Backup é uma solução unificada de proteção de dados que une os recursos de backup, pesquisa e restauração em uma única interface de usuário para todos os dados do Office 365. Um processo simples de três etapas de configuração fornece acesso quase imediato aos dados do Office 365 a qualquer hora, em qualquer lugar e para qualquer dispositivo. O SaaS Backup oferece inúmeras opções de restauração, incluindo download direto, restauração no local, restauração de toda a conta e migração de dados da conta para garantir uma experiência de recuperação impecável.

A solução Veritas Enterprise Vault.cloud ajuda as organizações a abordarem os rigorosos requisitos legais e regulamentares, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) e o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), que entrou em vigor em 25 de maio de 2018. Com suporte para journaling no Exchange Online, OneDrive, Skype for Business e Yammer, a Enterprise Vault.cloud pode entregar um repositório inviolável para todos os conteúdos e limita a exposição à exclusão de dados ou violações da cadeia de custódia. A funcionalidade avançada eDiscovery da solução Enterprise Vault.cloud, incluindo a Busca Iterativa, ajuda as organizações a acelerarem o processo de revisão de documentos.

O software Veritas Information Map apresenta aos assinantes uma visão em tempo real de seus dados não estruturados armazenados em todo o ecossistema do Office 365. Organizações que mantêm uma melhor compreensão sobre seus dados armazenados no SharePoint e no OneDrive podem tomar decisões mais informadas sobre a retenção, migração e exclusão de dados que limitam a exposição das informações ao risco. Além disso, o Information Map coleta dados sobre as extensões do tipo de arquivo e rapidamente pode ajudar a identificar ataques de ransomware e outros arquivos suspeitos para ajudar a garantir que os administradores tenham toda as informações necessárias em mãos para proteger seu ambiente Office 365 da melhor forma.

“Cada vez mais, as organizações estão adotando plataformas de escritório baseadas em nuvem, como o Microsoft Office 365 como um componente essencial de sua estratégia de TI”, afirma Mike Palmer, vice-presidente executivo e diretor de produtos da Veritas. “Com nossas novas ofertas baseadas em SaaS estamos proporcionando um novo nível de gerenciamento de dados em ambientes do Office 365 que ajudarão os clientes a garantir a conformidade e a proteção de seus dados corporativos”.

As ofertas incluídas na Proteção e Governança de Dados Veritas para Office 365 já estão disponíveis globalmente pela Veritas e seus parceiros de canal em todo o mundo.

A Future é parceira Veritas e possui profissionais capacitados para implementar essa e outras soluções Veritas. Quer saber mais? Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Read More

15 maus hábitos tecnológicos que devem ser evitados a todo custo

Todo mundo tem vícios no mundo da tecnologia. Que atire a primeira pedra quem nunca usou a palavra “senha” como senha.

Mas agora vamos mais fundo, em busca dos hábitos realmente ruins que podem causar danos permanentes aos seus dispositivos, seu bolso e seu estado de espírito.

Apresentamos a vocês os 15 piores hábitos no mundo da tecnologia, que devem ser evitados a todo custo.

1. Não usar software de segurança

Então você pensou que poderia viver sem utilitários contra vírus e malware, apenas prestando atenção aos links nos quais clica em páginas web e e-mails. Está dando certo? Aposto que não por muito tempo.

Pelo amor de tudo o que é sagrado, use alguma coisa, qualquer coisa, para proteger seu PC e seus dispositivos móveis de malfeitores que adorariam ter você, seus aparelhos e sua conta bancária como alvo.

2. Não fazer backup de seus dispositivos

A coisa mais engraçada sobre as pessoas que não fazem backup das informações em seus computadores e smartphones é que elas sempre tem uma “boa” desculpa. “Eu sei que estou errado, mas…”. Escute: TODOS os dispositivos eventualmente falham. Todos. O seu também irá falhar. Não é uma questão de se, mas de quando, e você deve estar preparado.

3. Não fazer backups “off-site”

Imagine que um ladrão entra em seu apartamento e rouba o seu notebook. Você pensa: “não tem problema, eu fiz um backup completo ontem à noite”. Mas aí você descobre que o ladrão também roubou o HD de backup, que estava do lado do notebook. Oops!

Armazene seus dados em múltiplos locais, com backups automáticos para os dados armazenados remotamente (por exemplo, em um servidor na nuvem). E ao fazer planos para recuperar seus dados, sempre se prepare para o pior cenário possível.

4. Responder a SPAM

Sabe porque os spammers continuam emporcalhando sua caixa postal? Porque há um número grande o suficiente de pessoas que responde às mensagens, fazendo o esforço de enviá-las valer a pena.

Sim, clicar no link “remova meu e-mail” no rodapé da mensagem conta como uma resposta, já que confirma para o spammer que seu endereço existe, está ativo e há um “cliente” em potencial lendo as mensagens.

Apenas em raras ocasiões, se a mensagem vier de uma empresa legítima, seu endereço de e-mail será realmente removido da lista quando você clica no link. Lembre-se: se você não é parte da solução, é parte do problema. Invista também algum tempo aprendendo como funcionam as soluções anti spam de seu cliente de email ou provedor. Garantimos que vale a pena.

5. Andar por aí com um notebook ligado

Não há problema em tirar seu notebook da cozinha e levá-lo para a sala quando ele ainda está funcionando. Agora, tirar o notebook do escritório, enfiá-lo ligado dentro de uma mochila e encarar meia hora de metrô e um quilômetro de caminhada é uma PÉSSIMA ideia.

Um disco rígido em funcionamento pode ser danificado mesmo por um pequeno impacto (como um solavanco dentro de um ônibus), e micros podem facilmente superaquecer se deixados em lugares fechados. Desligue seu micro antes de transportá-lo.

6. Imprimir tudo

Você pode ter cópias digitais de todos os formulários, recibos e comprovantes de que precisa, basta instalar um software gratuito que “imprima” em arquivos PDF a partir de qualquer programa no Windows. Então pra que desperdiçar papel? Mesmo formulários hoje em dia podem ser assinados digitalmente, então antes de imprimir pense duas vezes: eu realmente preciso de uma cópia disso em papel? Seu bolso, e o meio-ambiente, irão agradecer.

7. Usar um notebook na cama

Você pode usar seu notebook na cama o quanto quiser. O problema é quando você o deixa ligado apoiado sobre seu maravilhoso edredon de penas de ganso. Edredons, cobertores, travesseiros e almofadas podem bloquear as saídas de ventilação do computador, causando superaquecimento e danos aos componentes. Além do mais, você pode acabar com um baita torcicolo se usar o computador em uma posição não natural. Use uma mesinha para notebook ou mesinha de café para manter a máquina em uma posição confortável e garantir um bom fluxo de ar.

8. Deixar o notebook no carro

Ladrões ficam à espreita em estacionamentos movimentados e procuram pessoas engravatadas que distraidamente deixam suas malas de notebook no carro, mesmo que por alguns minutos. Tudo o que eles tem a fazer é quebrar uma janela, agarrar a mala e pronto, seu portátil virou história em menos de 10 segundos.

Colocar a mala no bagageiro do carro em uma rua movimentada à vista de todos também é uma péssima ideia. Bandidos podem segui-lo e esperar você “dar bobeira” para atacar, seja com um revólver em punho ou simplesmente abrindo o porta-malas quando você estacionar, algo ainda mais fácil que quebrar a janela.

Se você precisa deixar o notebook na mala do carro, faça isso em um local discreto, longe dos olhos de curiosos. Melhor ainda, leve o notebook com você.

9. Não ter um endereço de e-mail “descartável”

Não dê seu endereço principal de e-mail para sites questionáveis ou pessoas que você encontrou na balada. Um endereço “descartável” que você checa de vez em quando é uma solução melhor.

10. Guardar todos os seus e-mails!

Todas as mensagens que você recebeu em sua vida estão sentadinhas na sua caixa de entrada em ordem cronológica? Parabéns! Você não só tem um histórico perfeito de toda sua comunicação online como a garantia de que nunca mais conseguirá achar uma mensagem importante no meio de tudo aquilo.

Use pastas e tags (marcadores) para separar suas mensagens por categoria (trabalho, pessoal, importante, etc…) e seja liberal no uso da tecla Delete para apagar mensagens que não terão mais serventia.

11. Não aprender os atalhos de teclado

Você sabia que há pessoas que não sabem que Ctrl+C serve para copiar um item e Ctrl+V para colar? Não estou dizendo que você tem que decorar todas as combinações de Alt, Ctrl e Shift existentes, mas quanto mais você aprender, mais cedo vai terminar seu serviço. É simples: é necessário mais tempo para pegar o mouse e clicar em Arquivo / Salvar do que para teclar Ctrl + S.

12. Instalar coisas demais

Porque o Windows está tão lento? Porque você instalou três programas de mensagens instantâneas e 7 barras de ferramentas em seu navegador. Depois que tudo isso estiver instalado o estrago já está feito, porque muitos destes programas deixam para trás rastros que são difíceis de eliminar. Você pode fazer um esforço para Limpar seu PC, mas se precaver é a melhor opção. Antes de instalar um programa, faça a pergunta: eu realmente preciso dele?

13. Salvar arquivos em qualquer lugar

Quando a conta de luz chega você a joga em cima da mesa, em uma pilha com as fotos da família, folhetos de pizzaria, o jornal de domingo e um monte de DVDs? Ou você gasta os 20 segundos necessários para colocá-la no lugar certo? Nem precisa responder. Assim como nos e-mails, organize seus arquivos em pastas. Elas são suas amigas.

14. Usar uma única senha para tudo

Basta que sua operadora de telefonia escorregue e deixe vazar informações sobre seus assinantes para que um malfeitor, de posse de sua senha de auto-atendimento, acesse seu e-mail, conta no banco e perfil de rede social. É como uma pista expressa para ladrões de identidade!

Nos dias de hoje, ter uma senha única para cada site é algo impossível, mas ao menos use um conjunto de várias senhas, e guarde as melhores para os serviços mais importantes.

15. Não trancar seu smartphone

Quando um pilantra encontra um smartphone perdido, a primeira coisa que ele irá fazer é ligações. Provavelmente interurbanas e internacionais também. Depois, ele vai coletar toda a informação que puder para uso em spam ou roubo de identidade.

Mas você pode evitar tudo isso colocando uma simples senha no aparelho. Ou investir em ferramentas de segurança, que permitam bloquear o aparelho à distância e até “formatar” a memória interna com um simples comando via SMS, impedindo que suas informações caiam em mãos erradas.

A Future possui Soluções que ajudam você e sua empresa a proteger seus dados e ativos. Clique aqui e conheça!

Fonte: CIO.

Read More

Hackers roubam ao menos US$ 7 milhões com malware de mineração de criptomoedas

Pesquisadores de empresa identificaram que um grupo hacker ganhou ao menos US$ 7 milhões, em apenas seis meses, com um método sofisticado de infecção para instalar software de mineração de criptomoedas em computadores corporativos.

No total, 2,7 milhões de usuários foram atacados por mineradores mal-intencionados em 2017. O número é aproximadamente 50% maior que o de 2016 (1,87 milhão). Os usuários se tornaram vítimas por conta de adware, jogos e software pirateados usados pelos criminosos virtuais para infectar computadores secretamente. Outra abordagem usada foi a mineração na Web, por meio de um código especial localizado em uma página da Web infectada. O minerador da Web mais usado foi o CoinHive, detectado em muitos sites populares.

Fim do ransomware?

Especialistas observaram que o ransomware está desaparecendo no segundo plano, ao mesmo tempo em que dá lugar aos mineradores. Isso é confirmado pelas estatísticas, que mostram um crescimento constante dos mineradores durante todo o ano, assim como o fato de que grupos de criminosos virtuais estão desenvolvendo seus métodos ativamente e já começaram a usar técnicas mais sofisticadas para propagar software de mineração. Nós já vimos uma evolução como essa; os hackers de ransomware usavam os mesmos truques quando estavam em ascensão.

Criptomoedas em voga

Os altos e baixos do bitcoin mudaram significativamente não apenas a economia mundial, mas também o universo da cibersegurança. Para ganhar valores em criptomoeda, os criminosos começaram a usar softwares de mineração em seus ataques que, como o ransomware, tem um modelo de monetização simples.

Porém, diferentemente do ransomware, eles não prejudicam os usuários de maneira destrutiva, e conseguem ficar no computador por muito tempo sem serem detectados, usando sua capacidade de processamento silenciosamente.

O ataque

Os pesquisadores identificaram um grupo de criminosos virtuais com técnicas de APTs em seu arsenal de ferramentas para infectar usuários com mineradores. Eles têm empregado o método de esvaziamento de processos (“process-hollowing”), normalmente utilizado em malware e já observado em alguns ataques direcionados de agentes de APTs, mas nunca em ataques de mineração.

No ataque, a vítima é enganada a baixar e instalar um software de publicidade que contém o instalador do minerador oculto. Esse instalador traz um utilitário legítimo do Windows cuja finalidade principal é baixar o próprio minerador de um servidor remoto. Após sua execução, um processo legítimo do sistema é iniciado, e o código legítimo desse processo é alterado para o código malicioso. Como resultado, o minerador opera sob o pretexto de uma tarefa legítima, sendo impossível para o usuário reconhecer se há uma infecção de mineração. Também é um desafio para as soluções de segurança detectarem essa ameaça.

Além disso, os mineradores marcam esse novo processo de modo a restringir o cancelamento de qualquer tarefa. Se o usuário tentar interromper o processo, o sistema do computador será reiniciado. Assim, os criminosos asseguram sua presença no sistema por um tempo mais longo e mais produtivo.

Fonte: Computer World

Read More

Ataques cibernéticos ameaçam segurança das urnas eletrônicas

O Brasil nunca esteve tão conectado como agora e o número de pessoas com acesso internet avança a cada ano. Todo esse crescimento amplia a demanda por informação, interação e capacidade de mobilização social. No entanto, ao mesmo tempo que isto permite aos brasileiros conhecer um novo mundo baseado nas interações virtuais, também cria grandes ameaças à democracia.

Em ano de eleições, esses desafios precisam ser levados bem mais a sério. Ataques cibernéticos, notícias falsas e uso de robôs para manipular a opinião pública são grandes entraves que ameaçam processos democráticos ao redor do mundo. O alerta, que chegou tarde em muitas nações, chamou atenção a nível global após o FBI apontar que a ação de hackers manipulou as eleições dos Estados Unidos no ano passado.

De acordo com o Instituto Brasileiro de Geografia e Estatística (IBGE), 63,8% dos domicílios brasileiros têm acesso à internet banda larga por meio de computadores convencionais. Quando se fala em conexões por celular, a porcentagem de lares com acesso à rede chega a 94,8%. Desde a última eleição geral, em 2014, a quantidade de residências conectadas deu um salto. Naquele ano, 50% das casas tinham serviços de internet, o que representava 97 milhões de pessoas. Agora, esse número pode passar de 130 milhões, bem próximo dos 144 milhões de eleitores registrados pelo Tribunal Superior Eleitoral (TSE).

O Brasil é um dos poucos países que tem um complexo sistema de votação eleitoral por meio da urna eletrônica. Além de garantir o voto secreto e universal, chegando aos locais mais remotos do país, o equipamento é de fácil utilização e pode receber uma quantidade incontável de votos. Mas essa mesma tecnologia é alvo de dúvidas quanto à segurança no armazenamento das informações, segundo especialistas.

O temor é de que uma falha na urna eletrônica possibilite que pessoas má intencionadas mudem o resultado das eleições a nível regional ou até que alterem o destino de um país inteiro com um ataque generalizado ao sistema de votação. Para garantir que isso não ocorra, o TSE faz uma série de testes públicos com as urnas, antes de cada pleito. A convite da Justiça Eleitoral, especialistas de vários estados montam equipes e elaboram ataques contra a urna.

Para definir as estratégias e encontrar vulnerabilidades no sistema, os hackers têm acesso privilegiado aos softwares (programas) e hardwares (componentes físicos) que compõem o aparelho de votações. De acordo com o TSE, neste ano, 14 especialistas integraram os grupos de ataque. O resultado foi preocupante, pois as equipes encontraram três vulnerabilidades, que de acordo com o tribunal, não estavam presentes nos pleitos anteriores.

ATUALIZAÇÃO

O ministro Gilmar Mendes, presidente do TSE, afirmou que as falhas encontradas surgiram após atualização do sistema voltado para o pleito deste ano. O grupo mais bem-sucedido nos testes, que ainda estão em andamento, foi o de um professor, da Universidade de Campinas (Unicamp), que encontrou falhas em alguns pontos do software utilizado nas urnas eletrônicas logo no primeiro dia de testes. Entre os achados, está a possibilidade de alteração nos logs, que são os registros de voto. Essa mudança foi realizada em um equipamento, onde uma das bibliotecas (subprogramas) estava sem assinatura eletrônica.

Por causa dessa falha, a equipe da Unicamp conseguiu introduzir novos comandos na urna e fazer com que ela aceitasse um teclado acoplado externamente por meio de uma porta USB. Essa entrada existe em todas as urnas e tem algumas funções específicas, como permitir a conexão com uma impressora, a fim de que um comprovante físico de voto seja emitido. Por meio dessa técnica, a equipe conseguiu saber a sequência dos votos. Mas não foi possível alterar os resultados.

Código

A equipe liderada pelo professor da Unicamp também conseguiu realizar alteração no texto que aparece na tela do equipamento, durante a votação. Para conseguir isso, o grupo do docente realizou alterações no código binário, que é uma linguagem usada por computadores. Desta forma, foi possível mudar o texto de “seu voto para…” e substituir por “vote em 99”. O sucesso no ataque revela que o software não é tão íntegro como se imaginava e pode sofrer alterações importantes.

O Secretário de Tecnologia da Informação do TSE, Giuseppe Janino, afirma que o processo eleitoral é seguro. “Nós temos um processo automatizado desde 1996. A tecnologia reduziu a intervenção do homem no processo, trouxe celeridade, precisão, integridade, auditabilidade e segurança”, destacou. Após receber os resultados, o TSE, responsável por garantir a realização das eleições em todas as unidades da federação, adota um plano de resposta.

As fragilidades encontradas são corrigidas e de acordo com a corte eleitoral, podem ser testadas novamente, se necessário. Novos testes devem ocorrer no começo de 2018, a fim de sanar qualquer problema que esteja persistindo. De acordo com o TSE, os procedimentos de engenharia reversa serão bloqueados pela equipe de tecnologia do órgão que trabalha na segurança da urna, além da retirada das chaves de dentro do código.

Fonte: em.com.br

Read More

Segurança da informação: o que aprendemos em 2017

Depois de uma série de ciberataques ocorridos ao longo de 2017, a tendência é que a ocorrência de incidentes contra a segurança da informação vão continuar a acontecer. E o Brasil permanece entre os países com uma alta incidência de problemas relacionados à segurança da informação. De acordo com dados de pesquisa divulgada pela PwC, o número de incidentes de segurança reportados por organizações brasileiras aumentou em 247%; à título de comparação, o aumento em escala global é de 38%.

Ciberataques envolvendo malwares como o Petya, o WannaCry e o Bad Habbit não pouparam o Brasil durante sua disseminação mundial nos últimos meses. De maio para cá, foram muitas as notícias envolvendo organizações públicas e privadas afetadas por um desses problemas. Diante desse cenário, seria normal pensar que as empresas e pessoas passaram a se preocupar mais com a segurança dos seus dados e o uso seguro da internet, correto? Nem tanto.

Analisando a partir de uma perspectiva de quem trabalha com defesa cibernética, o que notamos é que os ocorridos citados não foram suficientes para aumentar os investimentos das empresas brasileiras em medidas preventivas. Notou-se uma movimentação momentânea horas e dias depois dos ataques, sobretudo por parte de gestores e tomadores de decisão das organizações. Essa preocupação, no entanto, em muitos casos observados, não se converteu em uma estratégia de proteção, seja por aquisição ou revisão de processos.

Em outras palavras, as pessoas e empresas menos maduras e preparadas ficaram rapidamente comovidas com os incidentes de segurança que foram divulgados com ênfase. Nesse contexto, muitas olham para seus ambientes e procuram prestadores de serviço especializados, mas poucas efetivamente compram soluções para maximizar a segurança dos seus ambientes para, em consequência, diminuir o risco de ataques de sequestro de dados e outros derivados. Outras continuam optando pelo caminho mais curto, que é investir e revisar políticas de backup, ao invés de também direcionar esforços para técnicas de prevenção.

Ainda há um grande desafio para romper a ideia de que segurança da informação é algo caro, apenas para grandes empresas ou que um negócio pequeno nunca será atacado. Faltam mecanismos para conscientizar as pessoas – por exemplo, as que adotam o home office, prática profissional que se tornará mais comum nos próximos anos – e empresas sobre o perigo que ciberataques como estes podem gerar para seus negócios e/ou vida financeira.

As organizações brasileiras – independente do porte e segmento de atuação – ainda precisam se ater ao básico, desenvolvendo políticas internas mínimas para a segurança dos dados. Aquelas que trabalham com dados sensíveis normalmente possuem maturidade, mas não estão livres destes incidentes, por isso o momento (e muito mais o futuro próximo) requer atenção. Elas estão mais preparadas, possuem recursos e tem uma estrutura de governança e compliance forte. No entanto, representam uma minoria.

Enquanto não houver mais conhecimento e acesso à esse tipo de informação e mercado, a realidade no Brasil sobre segurança da informação continuará sendo a de vivenciar momentos de um breve pânico quando houver a divulgação de ocorrências dessas ameaças, seguida de uma falta de contenção das vulnerabilidades existentes e, por fim, manter-se alheio à proteção dos dados, julgando que jamais será vítima de uma ameaça dessa natureza. Por isso, é preciso mudar essa mentalidade e buscar medidas verdadeiramente preventivas para evitar problemas futuros maiores, seja em ambientes corporativos ou domésticos.

Fonte: Administradores.com

Read More

Os hackers avançam – e o Brasil abre a guarda

O país continua na inocência, depois que o gmail da ex-presidente Dilma Rousseff já foi bisbilhotado pelo serviço secreto americano, que o escândalo pelo uso de uma conta pessoal de email contribuiu para a derrota da candidata democrata Hillary Clinton, que a Rússia usou as redes sociais para se intrometer nas eleições americanas, que a China e a Coreia do Norte empregam legiões de hackers para invadir bancos de dados, desviar dinheiro e fazer pressão política.

O aparelho de celular do ex-ministro da Secretaria de Governo da Presidência Geddel Vieira Lima, apreendido pela Polícia Federal, continha o número de celular e o endereço de email pessoal de Temer. As informações, incluindo centenas de outros documentos, foram entregues à Câmara dos Deputados, que as tornou públicas.

Um repórter do jornal O Globo ligou para o número e Temer atendeu. Três dias depois, no mesmo telefone, Temer voltou a atender uma chamada. E ainda confirmou que continua usando o mesmo gmail de quando era vice-presidente, justificando no entanto que as mensagens são recebidas por sua secretária. E afirmou “pode ligar de novo, viu”.

“As pessoas se colocam em vulnerabilidade porque não existe uma consciência da proteção dos dados pessoais”, constata Marco Konopacki, coordenador de projetos do Instituto de Tecnologia e Sociedade do Rio de Janeiro.

“A população do Brasil é a que menos se preocupa com proteção de dados. Dá o número do CPF ou qualquer informação a qualquer um a toda hora. Clica em links de emails sem checar a fonte. Coloca-se em risco por conta de falta de cuidado.”

No Brasil, até quando se vai pagar uma simples compra em uma loja, o caixa pede os números dos documentos pessoais, endereço, telefone e email, para preencher um “cadastro”.

Em geral, as pessoas informam tudo isso, sem se darem conta de que estão dando de graça algo que vale ouro no mercado: a associação de hábitos de consumo, renda e estilo de vida com a forma de localizar o consumidor.

É tudo de que as empresas precisam para traçar suas estratégias de vendas direcionadas ao consumidor e, no jargão do marketing, oferecer algo que seja “relevante” para ele, explica Konopacki. Além de entregar isso de graça, o consumidor está abrindo o flanco para golpes de criminosos, que se aproveitam também da impulsividade com que as pessoas clicam em qualquer link que lhes enviem.

Como parte da falta de cultura de proteção de dados, pessoas físicas, empresas privadas e entidades públicas não investem em segurança da informação.

Segundo Konopacki, esse tipo de investimento vai desde a atualização de sistemas operacionais, que vão incorporando novas proteções para novas ameaças, até a contratação de especialistas em segurança, passando por campanhas internas de conscientização. O uso de softwares piratas também não ajuda, porque eles não recebem as atualizações fornecidas pelo fabricante.

Em junho, os sistemas do Hospital do Câncer e da Santa Casa de Barretos saíram do ar por causa de um ataque global do ransomware (programa de resgate) Petya. O programa travava os computadores e cobrava 300 dólares na moeda virtual bitcoin para fornecer uma senha para desbloqueá-los. Cerca 2.000 computadores foram afetados em todo o mundo.

Ataque semelhante em maio, com o ransomware WannaCry, havia paralisado o atendimento do Serviço Nacional de Saúde do Reino Unido. Foi desenvolvido um sistema de proteção para o WannaCry, mas muitas empresas e indivíduos não haviam atualizado ainda seus sistemas operacionais, tornando seus computadores vulneráveis.

Konopacki foi assessor de Novas Tecnologias e Participação na Secretaria de Assuntos Legislativos do Ministério da Justiça entre 2014 e 2016, período em que coordenou as consultas públicas para a elaboração do Marco Civil da Internet. O Marco instituiu princípios de proteção dos dados, como por exemplo a proibição da venda de cadastros. Entretanto, diz o especialista, faltam leis para regulamentar esses princípios. Como está, depende ainda da avaliação subjetiva dos juízes.

“Há um projeto de lei que cria regras para a gestão de dados pessoais, e o instituto monitora a tramitação”, diz Konopacki. “Mas ainda não passou no Congresso e não sabemos se vai passar tão cedo. Isso coloca o Brasil num atraso tremendo.” A Espanha, por exemplo, além de leis, tem uma agência de proteção de dados pessoais, que fiscaliza seu uso adequado. “Nenhum dado pessoal deve ser coletado além do necessário para o serviço específico”, explica o especialista.

Em 2013, Edward Snowden, ex-funcionário da Agência Nacional de Segurança, dos EUA, revelou, entre muitas outras coisas, que o gmail de Dilma e também dados e trocas de mensagens na Petrobrás tinham sido grampeados. Konopacki lembra que, na “ressaca” desses vazamentos, formou-se uma comissão interministerial, com a missão de criar “canais robustos de comunicação segura, com criptografia, dentro do governo federal”.

Entre essas medidas estava o presidente — ou, na época, a presidente — usar telefone e email protegidos. Os sistemas criptografados, no entanto, são chatos e demorados de usar. Você não pega simplesmente o celular e liga, ou redige um email e manda. É preciso digitar uma série de senhas. “Há sempre um balanço entre segurança e liberdade”, observa o especialista.

Parece que a liberdade tem falado mais alto. Mas às vezes ela também fica ameaçada. Foi o caso da tentativa de alguns deputados de enfiar na reforma política a possibilidade de obrigar as plataformas de internet a tirar do ar uma informação considerada caluniosa por um político, mediante simples notificação.

“A intenção de combater informações falsas na internet era nobre, mas a forma foi desastrosa, porque é uma violação grave da liberdade de expressão”, avalia Konopacki. “Era um debate já superado pelo Marco Civil da Internet. Viraria uma guerra entre escritórios de advocacia. E a campanha seria morna, porque os eleitores não teriam a informação completa sobre os candidatos. Nem tudo o que desabona alguém é necessariamente calúnia.”

Conexão Moscou-Pyongyang

Em contrapartida, o “calor” que a Rússia conseguiu colocar na eleição presidencial americana do ano passado pode se repetir no Brasil, embora não partindo das mesmas fontes. Com o país muito polarizado politicamente, já têm proliferado na rede notícias falsas com aparência de verdadeiras, que se espalham à medida que confirmam os preconceitos e desejos de usuários, que por isso também pouco se interessam em verificar sua origem.

O Facebook está desenvolvendo programas de verificação de notícias falsas, com “robôs” que rastreiam sua origem e elaboram listas negras de endereços dos quais elas costumam partir. Isso é tecnicamente possível e ajuda. Mas as pessoas precisam estar interessadas na verdade.

No campo militar, a defesa cibernética do Brasil está a cargo do Exército. O governo publicou em dezembro de 2008 a Estratégia Nacional de Defesa, que definiu essa área como uma das três de importância estratégica. No ano seguinte, o Exército criou seu setor de Defesa Cibernética.

Segundo reportagem publicada no domingo pelo jornal The New York Times, agentes de segurança americanos e britânicos afirmam que a Coreia do Norte recrutou mais de 6.000 hackers. Suas ações são destinadas tanto a desviar dinheiro para o empobrecido país quanto a exercer pressões políticas contra os críticos do regime.

O país é suspeito de estar por trás do WannaCry e de outros ataques semelhantes, por meio dos quais já teria obtido centenas de milhões de dólares. Além das extorsões, os ataques visam entrar em computadores de pessoas e de empresas, em especial bancos, para roubar senhas e desviar dinheiro.

A partir de 2012, segundo agentes de segurança e detetives privados ouvidos pelo Times, as equipes de hackers passaram a ser distribuídas para outros países. Os ataques começaram então a se originar da Índia (que hoje responde por um quinto deles), Malásia, Nova Zelândia, Nepal, Quênia, Moçambique e Indonésia.

Em alguns casos, os hackers continuam fisicamente na Coreia do Norte, e apenas redirecionam os ataques pelos computadores norte-coreanos localizados em outros países.

Em dezembro de 2014, a Coreia do Norte mostrou seu poder de fogo em um ataque contra os computadores da Sony Pictures Entertainment, que estava prestes a lançar o filme A Entrevista, uma ficção narrando o assassinato do ditador norte-coreano, Kim Jong-un. Ao abrir seus computadores pela manhã, muitos funcionários encontraram uma imagem do CEO da companhia, Michael Lynton, degolado.

O FBI apurou que os hackers, auto-intitulados “Guardiães da Paz”, haviam roubado as senhas de um administrador com o máximo de acesso ao sistema da empresa. Eles pegaram as informações do banco de dados e ameaçaram publicá-las, se a Sony não abortasse o lançamento do filme. A empresa cedeu, tornando-se alvo de críticas do governo de Barack Obama e da indústria do cinema americana.

No ano passado, hackers norte-coreanos tentaram desviar 1 bilhão de dólares do Banco Central de Nova York. Eles tentaram a operação fazendo-se passar pelo Banco Central de Bangladesh. Entretanto, os funcionários do banco desconfiaram por causa de um erro de digitação: em vez de foundation (fundação), os criminosos escreveram “fandation.”

Segundo investigadores, há indícios de parceria entre a Coreia do Norte e o Irã — que também se ajudam mutuamente em seus programas de mísseis e nucleares.

Um ataque atribuído a hackers iranianos em 2012, contra a estatal do petróleo saudita Aramco, usou um malware (programa criminoso) para roubar dados e paralisar operações também usado por norte-coreanos, a partir de computadores na China, contra três bancos e as duas maiores emissoras de TV da Coreia do Sul.

Claro que nem todos os ataques originários da China são feitos por norte-coreanos. Pelo contrário. Artigo publicado em março de 2010 pela revista Foreign Policy citava uma estimativa segundo a qual os chineses teriam entre 50.000 e 100.000 hackers civis.

O ataque mais impressionante atribuído aos chineses foi o roubo das informações de 21,5 milhões de pessoas no banco de dados do Escritório de Gestão de Pessoal do governo americano, em 2015. O presidente Donald Trump, ao se defender das acusações de ter sido beneficiado pelas invasões do banco de dados e emails da campanha democrata, citou esse caso, como muito mais grave que o da Rússia.

Na verdade, quanto mais se sabe sobre a imensa gama de ameaças, mais atônito — e paranoico — se fica. Talvez seja dessa realidade que muitos brasileiros estejam se protegendo, mas, quanto mais se adia o contato com a realidade, mais traumático ele se torna.

A Future dispõe de todas as ferramentas necessárias para garantir a segurança da sua empresa. Saiba mais clicando aqui.

Fonte: EXAME

Read More

Impeça o Ransomware de bater a sua porta

Nos últimos dias, um novo tipo de Ransomware atacou empresas de mais de 70 países, incluindo o Brasil. Centenas de empresas de todos os portes foram foco dos ataques que trouxeram inúmeras preocupações, entre elas, Telefônica, hospitais do National Health Services da Inglaterra, entre outras empresas nacionais.

Mas o que é Ransomware?

Ransomware é um tipo código malicioso que pode infectar computadores, equipamentos de rede e dispositivos móveis impedindo que você tenha acesso aos seus dados usando uma criptografia com o objetivo de chantagear as empresas sem nenhuma garantia de recuperação do equipamento ou de seus dados.

E como ocorre a infecção?

A infecção pode ocorrer pela execução de arquivos infectados baixados de sites na internet, links e anexos em e-mails, redes sociais e mensagens instantâneas.

A Future preparou pra você um e-book para que saiba mais sobre o vírus que atormentou o mundo.

 

Read More

Receba conteúdos exclusivos