blog.dennyroger.com.br

Quem está monitorando o dia-a-dia dos funcionários é o próprio dono da empresa. Por Denny Roger

É comum ouvirmos o seguinte comentário: “O administrador da rede consegue acessar qualquer informação da empresa”. Fato ou mito? Não, não responda ainda!

Você já ouviu o seguinte comentário: “O analista de segurança consegue ler qualquer e-mail que está trafegando em nossa rede”. Fato ou mito? Espere um pouco mais antes de responder.

Outro comentário comum: “O pessoal do suporte técnico consegue ler todas as mensagens do nosso sistema de troca de mensagens (MSN Messenger)”. Fato ou mito?

O fato mais comum em qualquer empresa, nos dias atuais, é o próprio dono da empresa monitorar os e-mails dos funcionários, visualizar as mensagens trocadas no MSN Messenger, bloquear o acesso a determinadas informações que estão armazenadas nos servidores da empresa etc.

Ficou espantado? É isso mesmo. Quem está monitorando o dia-a-dia dos funcionários é o próprio dono da empresa.

Durante uma reunião, na cidade de São Paulo, a empresária explicou que identificou a má conduta de um funcionário utilizando um programa de acesso remoto, o VNC. Este tipo de programa, normalmente, é utilizado por equipes de suporte técnico para a manutenção remota do computador do usuário. Pode parecer absurdo, mas todos os funcionários, incluindo o pessoal de TI, estavam sendo monitorados pela dona da empresa.

As ferramentas disponíveis para o monitoramento das informações são de fácil instalação e administração. Toda essa praticidade permite que até mesmo o executivo com pouquíssimo conhecimento em informática, consiga realizar o “grampo virtual” na sua empresa.

O empresário transformou-se no maior de todos os hackers, corporativamente falando.

Pense muito bem antes de praticar desvios na política e normas de segurança da sua empresa. O “empresário hacker” está monitorando o seu e-mail, suas mensagens do Instant Messaging, páginas acessadas na internet, entre outras informações.

Denny Roger é um dos fundadores da Batori Software & Security, já atuou como Security Officer de instituições financeiras e é autor dos cursos Segurança da Informação em Ambientes de Rede e Sistema de Gestão da Segurança da Informação – ISO 17799. E-mail: denny@batori.com.br .

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2006-11-30.8796064651

Sem comentários »

Crackers desenvolveram um código malicioso que consegue burlar o esquema de segurança do sistema comercial de buscas do Google, conhecido também como Google Search Appliance. A informação é da empresa de segurança digital Batori Software.

O Google Search Appliance é um sistema desenvolvido e comercializado pelo portal junto a outras empresas, para que elas possam utilizar a tecnologia de busca do Google em suas aplicações Web. Conforme sua popularização, profissionais de segurança de todo mundo começaram a procurar falhas em seu sistema. Mesmo protegido contra uma gama de scripts maliciosos, o appliance em questão acabou apresentando uma vulnerabilidade.

“A técnica para penetrar no sistema é conhecida como XSS (Cross Site Scripting). Ela representa um ataque baseado em induzir o navegador da Web (Internet Explorer, Firefoz, entre outros) a executar um código malicioso dentro da configuração de um site confiável” declarou Denny Roger, diretor da Batori. “A exploração bem sucedida deste ataque permite ao cracker inserir um código malicioso - na forma de Javascript ou VBScript - em campos de entrada, os quais são inseridos de volta para a resposta do servidor. Caso a técnica seja utilizada pelo criminoso, as empresas e os usuários poderão ser vitimas de diversas modalidades de ataque, principalmente, de phishing”.

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=6671

Sem comentários »

Palestra reúne em dezembro, dia 06, especialistas dos EUA e Brasil para apresentarem técnicas e cases de sucesso de investigação digital forense.

A Access Data, empresa pioneira nos Estados Unidos em perícia forense aplicada a informática, e a Batori Software & Security, empresa brasileira especializada em segurança da informação, reúne em dezembro, dia 06, executivos e profissionais de TI no evento “Cyber Crime”. O encontro contará com a presença de aproximadamente 20 empresas e acontece a partir das 14h, em São Paulo, no auditório da Batori - Rua Borges Lagoa, 1.065, Vila Clementino.

O objetivo é apontar as tendências na área de investigação digital forense, apresentando as principais técnicas utilizadas no Brasil e EUA. No evento, Corey Johnson, da Access Data, comentará sobre a importância das investigações forense no ambiente de TI. O executivo também discutirá formas das empresas evitarem a ocorrência de fraudes e crimes corporativos, minimizando prejuízos e exposições de dados estratégicos.

Também no evento, Giuliano Giova, presidente do Instituto Brasileiro de Peritos em Comércio Eletrônico e Telemática (IBP Brasil), apresentará técnicas de investigação empregadas em casos bem-sucedidos no Brasil sobre perícia digital.

Denny Roger, CSO da Batori, ainda debaterá no encontro o perfil do criminoso no Brasil e os incidentes causados pelos próprios funcionários das empresas. O assunto merece destaque, pois o número de crimes na internet está crescendo constantemente.

Cyber Crime
Dia 06/12, quarta-feira, a partir das 14h, em São Paulo, na Batori - Rua Borges Lagoa, 1.065, Vila Clementino.
Evento gratuito
Informações: (11) 5084 0071 ou gabriela@batori.com.br.

Sem comentários »

Um e-mail falso em nome da Nossa Caixa com um suposto Informativo de Segurança circula pela Internet disseminando um código malicioso do tipo Trojan. O malware transforma o máquina da vítima em um zumbi replicador de spams e repassa todos os dados pessoais de quem usa a máquina para o criminoso que disseminou o código.

De acordo com a Batori Software & Security, a incidência deste tipo de golpe – que rouba dados com e-mails falsos – cresceu cerca de 60% de outubro para novembro. Para Denny Roger, analista da empresa, o aumento já era esperado. “É nesta época do ano que as pessoas recebem o décimo terceiro salário, aumentam as compras na internet e surgem grandes promoções que são utilizadas como iscas pelos cracker”, completou.

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=6612

Sem comentários »

Um e-mail que tem circulado na Internet sobre entrevista de Hebe Camargo é vírus. A mensagem promete mostrar a declaração da apresentadora fez recentemente dizendo que queria fazer sexo com o cantor Roberto Carlos. Mas o objetivo e fazer com que o internauta clique no link e contamine sua máquina. Segundo o especialista em segurança, Denny Roger, da Batori Software & Security, a praga desabilita o antivírus do computador contaminado e pode ser programada para fazer download de outros vírus.

“Como os antivírus atualmente já conseguem barrar vírus como o Cavalo-de-tróia, que rouba dados pessoais do usuário, os crackers estão utilizando esta nova modalidade, os downloaders”, conta Roger. Com este vírus o criminoso pode programar a máquina para fazer o que ele quiser, como baixar um programa que roube senhas de banco, por exemplo.

O spam com o vírus é disparado dos EUA e vírus está hospedado na Argentina, conta Roger. Porém, todos os usuários afetados pela praga são do Brasil. “Este crime na Internet prova que a lei que está sendo proposta pelo senador Eduardo Azeredo não irá resolver o problema”, ressalta o especialista. Segundo Roger, a proposta de Azeredo só cobre crimes cometidos no Brasil, mas os criminosos experientes jamais usarão servidores brasileiros para cometer crimes.

Projeto prevê que difusão de vírus passe a ser crime

A Projeto de lei PSL 2000 proposto pelo deputado Eduardo Azeredo tipifica crimes praticados na Internet e estipula penas que variam entre três e dez anos de prisão para os infratores. Passam a ser considerados crimes: dano por difusão de vírus digital, acesso indevido a dispositivo de comunicação, obtenção indevida de informação digital, violação e divulgação de informações depositadas em banco de dados, permitir acesso à rede ou sistema por usuário não identificado e não autenticado, atentado contra a segurança de serviço de utilidade pública, interrupção ou perturbação de serviço telegráfico ou telefônico, difusão maliciosa de código (phishing), falsificação de cartão de crédito ou débito ou qualquer dispositivo digital portátil de armazenamento e processamento de informações, falsificação de telefone celular ou meio de acesso a sistema digital, furto qualificado por uso de informática e qualquer outro crime não específico como furto de senha e fraude de informações.

“O projeto é um conjunto de medidas para atualizar legislação brasileira no que diz respeito a crimes cibernéticos, que não são previstos atualmente. Queremos atualizar a legislação para que esse tipo de crime não fique sem punição”, garantiu o Senador.

“Não há intenção de controlar Internet”, declarou o senador Eduardo Azeredo. O parlamentar negou que o projeto atente contra o direito à privacidade e à liberdade de expressão de internautas. “Não é verdadeira a informação de que as pessoas teriam a sua navegação na Internet rastreada”, garantiu em discurso no Senado Federal. “Houve um mal entendido. Nem todos leram o projeto, que é complicado e trata de várias questões”, disse.

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=6511

Sem comentários »

Um projeto para aumentar a segurança na Internet obrigando aos usuários a se identificar em determinados casos provocou fortes protestos de várias organizações e especialistas.

O controle de acesso à Internet seria feito ao iniciar qualquer operação que envolve interatividade, como troca de e-mails, salas de bate-papo, compartilhamento de arquivos, compras virtuais e acesso a serviços bancários.

O projeto que pode ser votado esta semana diz que todo aquele que acessar uma rede de computadores deverá identificar-se e cadastrar-se no provedor que torna disponível o acesso, sendo obrigatórios o endereço e o documento de identidade.

“Para quem quer apenas consultar a Internet, uma biblioteca, não muda nada, não precisa de identificação. O usuário correto da Internet não tem a nada a temer. Apenas aquele que se esconde atrás do anonimato, esse sim, pode ter o que temer”, defende o senador Eduardo Azeredo (PSDb-MG).

A proposta foi defendida numa conferência internacional sobre crimes cibernéticos em Brasília. Os prejuízos com golpes na Internet chegam a mais de R$ 1 bilhão por ano, e e-mails falsos são armadilhas perigosas e comuns na rede. “Nós chamamos de pescaria de senhas, onde o estelionatário envia um e-mail falso, em que a pessoa instala automaticamente um programa pra roubar senhas de bancos”, diz o especialista em segurança na Internet Denny Roger.

Paul Gillespie, policial canadense autor de um programa de rastreamento de exploração infantil, elogia o projeto. Ele diz que os usuários devem ser responsáveis por suas ações na Internet, e pergunta: que outra maneira de cobrar responsabilidade, a menos que você peça a identificação dos internautas?

Resistência
A obrigação de identificar todos os usuários da Internet pode ajudar no trabalho da polícia, mas é vista como um instrumento de censura por muitos especialistas. A Associação Brasileira de Provedores, o comitê gestor da Internet no Brasil e organizações não-governamentais criticaram o projeto.

A ONG Safernet diz que os criminosos vão burlar a lei com documentos falsos, enquanto a maioria dos usuários vai se sentir sob suspeita. “Esse projeto não surte efeitos práticos e ele acaba restringindo as liberdades civis, prejudicando o consumidor”, acredita Thaigo Tavares, presidente da ONG.

A associação de provedores defende a criação de um conselho de auto-regulamentação da Internet, como já acontece com a publicidade. “É inadequado criar leis, porque elas jamais vão acompanhar a velocidade, nem da tecnologia, nem do desenvolvimento que é demandado pela mudança de comportamento”, explica o presidente da Abranet, Antônio Tavares.

O ministro da Justiça disse que o governo não deve apoiar o projeto. “Eu tenho um conhecimento ligeiro do projeto e acredito que qualquer tentativa de coibir a liberdade de expressão, ainda mais nesses tempos tão tumultuados, deve ser afastada liminarmente”, declarou o ministro da Justiça, Márcio Thomaz Bastos.

Fonte: http://jg.globo.com/JGlobo/0,19125,VTJ0-2742-20061106-251137,00.html

Sem comentários »

De acordo com especialistas, o usuário da internet pode ser a maior vítima dos projetos de lei que serão votados nesta quarta-feira na Comissão de Constituição e Justiça do Senado e tratam de regulamentação da web no País. Ao contrário do que se imagina, o controle facilitará a ação criminosa dos hackers.

O substitutivo do senador Eduardo Azeredo (PSDB-MG) obriga todos os provedores a identificar os usuários antes de iniciarem qualquer operação, como envio de e-mails, conversas em salas de bate-papo, criação de blogs e captura de dados (baixar músicas, filmes, imagens). Os internautas teriam de informar aos provedores nome, endereço, número de telefone, da carteira de identidade e do CPF para ter acesso liberado à Internet.

No entanto, de acordo com diretor da empresa de segurança em Internet Batori Software & Security, Denny Roger, o usuário será prejudicado caso o projeto se torne lei. Segundo ele, é grande a chance de os dados mantidos pelos provedores serem vazados por hackers caso as empresas tenham de manter as informações armazenadas por três anos, como prevê o projeto. “Quem elaborou esse projeto não conhece o perfil dos criminosos da Internet. Na maioria das vezes os hackers usam computadores públicos, de lan houses e faculdades, para cometer crimes. Essa nova lei não vai conseguir identificá-los da mesma forma, como já não consegue hoje. Além disso, o usuário pode ser prejudicado caso dados como CPF e RG vazem”, diz. Ele explica que, se a base de cadastro seguir para as mãos erradas, criminosos poderão até mesmo abrir contas falsas com o nome do internauta.

Além disso, é o provedor que cadastrou os dados que será responsabilizado caso aconteça a ação dos criminosos. “Se as informações forem usadas de forma ilegal, quem vai ser responsabilizado é o provedor, não pode ser o usuário. Mas a vítima vai ter que provar que a informação vazou pelo provedor o que é muito difícil. Isso pode acarretar problemas judiciais graves”, explica.

Fonte: http://noticias.terra.com.br/brasil/interna/0,,OI1233113-EI306,00.html

Sem comentários »