| Artigos |
Os fins não justificam os e-mails - III
31/3/2004 - 0:00 Amaro Moraes e Silva Neto
Voltar ao índice de artigos
Origem e conceituação do sistema opt-out
Frente ao pandêmico problema do spamming ― e já que é impossível bani-lo de vez ―, aos legisladores, aparentemente, não restava outra opção senão a de pensarem em medidas profiláticas para o seu combate. Assim, não com o objetivo de eliminar o spam, mas para minimizar seus males, muitos parlamentares entenderam ser prudente adotar o sistema opt-out.
Tal sistema (uma excrescência legislativa nascida em assépticos laboratórios legislativos dos EUAN e sem contágio com realidades sociais ou jurídicas, mas meramente econômicas) influenciou todas as legislações que vieram posteriormente - em suas Terras e em inúmeros outros Países, dentre os quais o Brasil. No entanto, essas aberrações lógicas e jurídicas não foram óbice para que esse sistema teratológico fosse consagrado pela Lei federal promulgada em fins de 2003 por Jorge Caminhante Bush, então presidente dos EUAN (1).
O mecanismo opt-out autoriza os spammers a me enviarem uma mensagem que não solicitei, na qual deverá constar um mecanismo de exclusão que me permita lhes dizer: ¡Não me aborreçam de novo! No entanto, para ser excluído, deverei ou enviar um email ao spammer ou, então, visitar seu website (coisa que provavelmente nunca faria caso me fosse dada essa opção) para acionar o mecanismo da exclusão ― isso quando esse mecanismo existe. No entanto, em ambos os casos (enviando um email para me descadastrar do banco de dados ou descadastrando-me através do website do spammer), assumo o risco de confirmar que meu email está ativo e, incontinenti, tornar-me-ei potencial vítima de spammers inescrupulosos (perdoe-me a tautologia).
Ao pensar no sistema opt-out, inevitavelmente o associo à idéia dos participantes de festas ― e em festas, sempre existem dois tipos de convivas: os efetivamente convidados e os penetras.
Os convidados, como o nome o diz, eu os convido, eu lhes digo: venham à minha festa. Já com os penetras é diferente. Apesar de não ter pedido para que eles entrassem, sou forçado a lhes pedir para que saiam e que não retornem uma segunda vez.
Como salta aos olhos, em vez de evitar o spamming, em verdade o sistema opt-out incentiva e institucionaliza o ingresso do spammer nas caixas de correio eletrônico dos internautas, do mesmo modo que autoriza que lá permaneça até que suas vítimas compulsoriamente manifestem seu desejo de exclusão. Entretanto, enquanto essa manifestação de exclusão não se fizer efetiva, o spammer estará amparado, legalmente, para estorvar a quem bem quiser.
Constata-se, pois, que a adoção do sistema opt-out implica em dar status de direito à contravenção e ao ilícito penal cometidos pelos spammers (2), além de autorizar o descrédito dos vigentes preceitos consumeristas (3), civis (4) e constitucionais (5).
Infelizmente essa má idéia legiferante da América supra-equatorial entrou em sintonia com as idéias de alguns dos legisladores do Brasil e propiciou a concepção de projetos de Lei insensíveis à realidade e incompatíveis com os anseios dos internautas.
Contudo, no Brasil, até o início de 2004, se houve a concepção, não houve, em decorrência, uma gestação a termo; nem tampouco um parto. ¡Deo gratia!
Os legisladores, ao considerarem o sistema opt-out uma opção para a tranqüilidade dos destinatários do spam, por certo não consideraram os imensos prejuízos que seriam causados pelos spammers aos cidadãos comuns e às empresas, como positiva até mesmo a ótica corporativista das monofônicas mídias que agrilhoam a questão.
Segundo um artigo publicado pelo website IDG Now! , aos 02 de julho de 2003, cada empregado que ganhe U$ 30.00 (trinta dólares américo-nortistas) por hora (e na América nortista, em 2003, um ano de trabalho compreendia 2.080 horas), anualmente gastaria cerca de 29 horas e dez minutos para se livrar dos spams, o que significa US$ 874.00 (oitocentos e setenta e quatro dólares américo-nortistas).
Neste mesmo artigo consta que um usuário comum consome, pelo menos, 40 minutos semanais para tanto, o que significa um prejuízo anual de US$ 1,042.00 (hum mil e quarenta e dois dólares américo-nortistas), respeitado o valor de trinta dólares dos EUAN pela hora de trabalho.
Todas as leis da América supra-equatorial editadas anteriormente à Lei de 2003 da California preconizavam a adoção do sistema opt-out.
Enfim, o sistema opt-out (puro ou simulado) é a autorização legal para que os spammers possam aborrecer a quem bem quiserem, legalmente; é a imposição para que os cibernautas arquem com os custos do spam que é enviado. É uma espécie de telemarketing grátis - ¡mas grátis tão somente para os spammers!
Notas:
(1) Cf. in http://wyden.senate.gov/leg_issues/bills/s877_canspam.pdf. (voltar para o texto)
(2) Como sempre pontuei, estou convicto que não há necessidade de ser criada uma legislação penal extravagante para punir o spamming. Dependendo do modus operandi e das circunstâncias, o spamming pode ser configurado como contravenção (artigo 65 da Lei das Contravenções Penais), pois que o spamming implica em “molestar alguém ou perturbar-lhe a tranqüilidade, por acinte ou motivo reprovável”. O spamming também pode ser enquadrado em duas outras modalidades de crime: por afronta ao artigo 146 (“Constranger alguém, mediante violência ou grave ameaça, ou depois de lhe haver reduzido, por qualquer outro meio, a capacidade de resistência, a não fazer o que a lei permite, ou a fazer o que ela não manda”) ou por afronta ao artigo 265 (“atentar contra a segurança ou o funcionamento de serviço de água, luz, força ou calor, ou qualquer outro de utilidade pública”). (voltar para o texto)
(3) Vide artigos 6º, IV, 33, 36, 37 e §§, 39, II/IV, 43, § 2º, 51, I, VI, VII, VIII e IX, § único, 60, § 1º, 66 e §§, 67, 72, 73 e 78, todos do Código de Defesa do Consumidor. (voltar para o texto)
(4) Vide artigo 21 do Código Civil de 2002. (voltar para o texto)
(5) Vide artigo 5º, X, da Constituição Federal. (voltar para o texto)
Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.
Voltar ao índice de artigos
| Noticias |
Sistemas ubíquos podem trazer riscos à privacidade
30/3/2004 - 15:47 Redação InfoGuerra
Durante o evento Security Week 2004, que ocorreu entre os dias 16 e 18 de março, quatro profissionais brasileiros receberam o prêmio Secmaster 2003, por suas contribuições na área de segurança da informação. Entre os premiados, estava Francisco Milagres, mestrando em Ciência da Computação na USP de São Carlos, escolhido pelas pesquisas que vem desenvolvendo sobre segurança e privacidade em sistemas ubíquos.
O conceito por trás da chamada computação ubíqua envolve a interação entre dispositivos ― geralmente móveis ―, usuários e o ambiente ao seu redor. Tal interação tende a ser tão sutil que muitas vezes não chega a ser notada. Para fornecer as respostas requeridas, os sistemas ubíquos normalmente precisam coletar informações sobre os usuários, como identificação, preferências e histórico de uso. Em um ambiente como este, no qual a tecnologia estaria inserida em nosso cotidiano ainda mais do que hoje, é natural a preocupação com as questões sobre segurança e privacidade dos dados coletados.
O trabalho de mestrado de Milagres e seus colaboradores aborda estas questões, entre outras. Para aqueles que desejam saber mais sobre este intrigante assunto, InfoGuerra está disponibilizando um arquivo no formato PDF, que trata dos principais conceitos envolvidos no trabalho. Para acessá-lo, clique aqui.
O Prêmio Secmaster 2003 é uma iniciativa conjunta do Capítulo Brasileiro da Information Systems Security Association (ISSA) e da Via Forum. Informações sobre os outros premiados e seus trabalhos podem ser encontradas aqui.
| Artigos |
Os fins não justificam os e-mails - II
30/3/2004 - 0:00 Amaro Moraes e Silva Neto
Voltar ao índice de artigos
As primeiras leis anti-spamming do Planeta
Nevada foi o primeiro Estado américo-nortista -- e, ao que me consta, do mundo -- a apresentar um projeto de Lei anti-spam (a par de tal proposta não ser necessariamente anti-spamming) que se transformou em Lei - a de nº 13/98, do Senado daquele Estado.
Das subsecções 01 e 02, da secção 01, dessa Lei, depreende-se que spam é toda correspondência eletrônica não solicitada que oferece bens de raiz ou de consumo ou, então, serviços. Contudo não se configuraria o spamming se o destinatário da mensagem possuísse um relacionamento comercial pré-existente com o comerciante ou o prestador de serviços que lhe remeteu o email. Em caso de infração a essa Lei, seria aplicada uma multa de US$ 10.00 (dez dólares américo-nortistas) por spam enviado, o que pode chegar a um montante inexeqüível em se considerando que é comum um mesmo spammer enviar mais que um milhão de mensagens a cada vez que estorvar a rede mundial de computadores com o envio de seus indesejados comunicados.
Essa Lei também exigia que a mensagem fosse identificada e identificável como publicitária (bem como nela estivessem consignados o nome de seu representante legal e endereços físico e eletrônico) e que incluísse um mecanismo para que o destinatário pudesse manifestar seu desejo de não mais receber o lixo eletrônico que lhe estivesse sendo enviado. ¡E eis que surgiu o sistema opt-out!
Quatro são os pontos chaves da questionada Lei de Nevada (EUAN):
a) A necessidade de o spam ser identificado e identificável como informe publicitário;
b) O valor excessivo das multas;
c) A qualificação do spammer e
d) A adoção do sistema opt-out.
Desses quatro pontos, pelo menos dois sempre estão presentes nas Leis e nos projetos de Lei da América nortista que vieram depois.
Ao comentar essa Lei, Lance Rose ponderou que “se alguns [spammers] quiserem enviar seus spams para um grupo de pessoas, eles poderão assediar essas pessoas - embora não lhes peçam para comprar algo. Os spammers não vão mais pedir a essas pessoas que comprem algo. Os spammers simplesmente pedirão aos destinatários para ligarem para determinado número para mais informações” (1). Qual seja: a expressão “mensagem comercial” será um passaporte diplomático expedido aos spammers para que possam incomodar a quem bem lhes aprouver, indefinidamente, desde que não digam que sua proposta é comercial ou que proponha serviços.
Derradeiramente, Rose considerou essa Lei inconstitucional por legislar sobre questões além das fronteiras de seu Estado -- o que não é permitido pela Constituição da América nortista.
Se a Nevada coube a elaboração do primeiro PL anti-spamming, coube a Washington a promulgação da primeira Lei nesse sentido.
A Lei nº 7.752, de Washington (promulgada aos 25 de março de 1998) (2), inspirada no PL de Nevada, mantinha um figurino legislativo que, de modo igual, não se ajustava ao corpo dos fatos. Além disso, as vantagens concedidas aos spammers aumentaram, haja vista que eles não mais necessitavam disponibilizar um mecanismo de exclusão, como fica evidenciado na parte I, da 3ª secção (que regulamenta esse aspecto do spam), a saber:
(1) Nenhuma pessoa, corporação, parceria ou associação pode iniciar a transmissão de uma mensagem comercial via correio eletrônico a partir de um computador localizado em Washington ou para um endereço de correio eletrônico cujo remetente saiba -- ou tenha motivos para saber -- que é propriedade de um residente de Washington que:
(a) Utilize o domain name da Internet de terceiros sem sua permissão ou adultere, por outros meios, qualquer informação na identificação quanto a ponto de origem ou à transmissão do caminho de uma mensagem comercial via correio eletrônico, ou
(b) Contenha informações falsas ou enganosas no campo referente ao assunto.
Na seqüência afloraram projetos de Lei em quase todos os Estados américo-nortistas. Porém, dos 50 Estados, somente o da California (EUAN), em fins de 2003, fez uma legislação dissonante e adotou o sistema opt-in (onde se opta para entrar em um banco de dados, em vez de se optar para sair).
No Brasil, no início de 2004, tramitavam no Congresso Nacional os seguintes projetos de Lei exclusivamente destinados a um pretenso combate ao spamming:
PL nº 367/03, do senador Hélio Costa,
PL nº 2.186/03, do deputado federal Ronaldo Vasconcellos),
PL nº 2.423/03, do deputado Chico da Princesa,
PL nº 21/04, do senador Duciomar Costa e
PL nº 36/04, do senador Antonio Carlos Valadares.
Os três primeiros projetos adotavam o sistema opt-out simulado, enquanto os dois últimos adotavam, aparentemente, o sistema opt-in. Em comum tinham o espírito de punição sem limites (quer em multas civis, quer nas sanções penais).
Notas:
(1) Cf. in http://nj.npri.org/nj98/07/spam.htm. (voltar para o texto)
(2) Cf. in http://www.leg.wa.gov/pub/billinfo/1997-98/house/2750-2774/2752-s_pl_030798.txt. (voltar para o texto)
Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.
Voltar ao índice de artigos
| Noticias |
Nova versão do Netsky ataca sites P2P
29/3/2004 - 18:13 Redação InfoGuerra
Empresas antivírus como Trend Micro e F-Secure estão alertando o mercado para o surgimento e rápida disseminação de mais uma variante do Netsky, batizada com a letra Q. Segundo a Trend Micro, que classificou a praga como de risco médio (alerta amarelo), o Netsky.Q está causando um grande número de infecções na Ásia, especialmente no Japão e na China, e na Europa, em países como França e Alemanha. A novidade desta variante são os ataques de negação de serviço (DoS) que deverá lançar, de 8 a 11 de abril, contra diversos sites, entre os quais os das redes P2P Kazaa, eDonkey e eMule.
Como as outras versões do Netsky, a variante Q usa seu próprio mecanismo SMTP (Simple Mail Transfer Protocol) para se propagar via e-mail, com campo de assunto, corpo da mensagem e arquivo anexo bastante variados. Os endereços de e-mail usados, tanto no campo do remetente como do destinatário, são retirados de arquivos com certas extensões encontrados no computador infectado. As mensagens, portanto, são forjadas e o endereço do remetente não deve ser usado como indicativo de contaminação da máquina supostamente comprometida.
O Netsky.Q, a exemplo das últimas variantes desta praga, aproveita-se de uma conhecida vulnerabilidade do Internet Explorer envolvendo o cabeçalho MIME (Multipurpose Internet Mail Extensions), usado para inserir arquivos em mensagens eletrônicas. A brecha de segurança, que já foi explorada com sucesso por vírus como Klez e BugBear, permite que um anexo de e-mail seja executado apenas com a visualização de uma mensagem HTML, sem necessidade de que o usuário clique no arquivo. A falha já tem correção desde 2001, mas sabe-se que muita gente simplesmente não atualiza seus sistemas.
Entre os dias 8 e 11 de abril (ou 7 e 12 de abril, de acordo com a F-Secure), o Netsky.Q está programado para atacar os sites kazaa.com, edonkey2000.com, emule-project.net, cracks.am e cracks.st. Os dois últimos endereços pertencem a conhecidos sites de “cracks”, isto é, programas para burlar o registro de softwares pagos. Isto leva a crer em mais uma desavença entre os criadores do vírus e outros integrantes do underground da Internet.
O Netsky.Q foi escrito com a linguagem de programação Microsoft Visual C++ e ataca os sistemas Windows 95, 98, 2000, NT e XP. As principais empresas antivírus já possuem “vacinas” para detectar e eliminar a praga, por isso é importante que o usuário atualize seus programas de proteção.
Leia também:
Symantec eleva nível de risco do vírus Netsky.D
Empresa antivírus envia vírus aos clientes
Vírus Netsky.C é considerado de alto risco
| Destaque |
Especial: Os fins não justificam os e-mails
29/3/2004 - 6:08 Redação InfoGuerra
A partir desta segunda-feira, 29/03, InfoGuerra publica um ensaio inédito batizado com o ótimo título de "Os fins não justificam os e-mails". De autoria do advogado paulistano Amaro Moraes e Silva Neto, o ensaio é composto de 15 textos, que serão publicados durante três semanas, um a cada dia (excetuando-se os sábados e domingos). Trata-se de um minucioso estudo das leis e projetos de leis que têm tentado limitar o abuso no envio de mensagens eletrônicas publicitárias em massa ― o famigerado spam.
Com seu estilo particular de escrever e uma dose de ironia que sempre acompanha seus textos (a começar pela escolha do título deste ensaio), Silva Neto faz um apanhado histórico sobre o tema, desde as primeiras tentativas legais no planeta para conter o spam, até os mais recentes projetos de lei brasileiros, passando por definições cruciais para o entendimento do assunto, como opt-in e opt-out. O autor ainda destrincha os projetos apresentados e aponta-lhes as falhas.
Se você quer aprofundar seus conhecimentos sobre como o ordenamento jurídico brasileiro tem tratado o spam no país, não pode deixar de ler os 15 artigos que compõem este ensaio. Clique nos links abaixo para acessar cada um deles:
Os fins não justificam os e-mails - A fonte dos projetos de lei anti-spam no Brasil
As primeiras leis anti-spamming do Planeta
Origem e conceituação do sistema opt-out
Os primeiros Projetos de Lei exclusivamente anti-spamming do Brasil
O sistema opt-out simulado
O primeiro spam a gente nunca esquece
O sistema opt-out e as provas
O sistema opt-in
O primeiro PL federal brasileiro a adotar o sistema opt-in
No legislativo nada se cria, tudo se copia
Propostas anti-spamming da sociedade civil
O terror que vem do ciberespaço
O ciberespaço, o legislador brasileiro, as penas e as multas
Perdimento de razão no ciberespaço I (as leis da América Nortista)
Perdimento de razão no ciberespaço II (os Projetos de Lei brasileiros)
| Artigos |
Os fins não justificam os e-mails
29/3/2004 - 5:29 Amaro Moraes e Silva Neto
Voltar ao índice de artigos
A fonte dos projetos de lei anti-spam no Brasil
Os trabalhos de nossos nobres legisladores federais (deputados e senadores), relativamente às propostas anti-spamming apresentadas até os primeiros meses de 2004, refletiam uma influência doutrinária alienígena não condizente com o sistema legislativo brasileiro; e o pior: somente atendiam aos interesses dos spammers.
A proposta de uma legislação para a Internet, além de ser desnecessária, não leva em conta as opiniões dos usuários, dos técnicos em comunicação, dos técnicos em informática, dos profissionais do Direito &c.
Com o surgimento dessa supermídia, como era de se esperar, vieram à tona diversos problemas, aparentemente sem solução no ordenamento jurídico pátrio. Entrementes, antes que houvesse uma análise mais profunda do que ocorria, a idiossincrática legismania que sempre assolou o País mais uma vez se fez presente e, de pronto, nossos solícitos hominis legis, em vez de tentarem resolver nossos problemas sócio-jurídicos com soluções nascidas de nossas tradições (e contradições), preferiram se valer de projetos de Lei e de Leis de outras terras ― que necessariamente não se ajustam e não se aplicam à realidade brasileira. Preferiram a cópia barata à criatividade. Regrediram na escala evolutiva para aquém das esponjas, as quais pelo menos devolvem a água que ingerem.
Como seria esperado, o resultado foi uma plena e absoluta inadequação, vez que o que é quadrado não é feito para se encaixar no que é circular.
Mas nem todos os PLs em trâmite nos primeiros meses de 2004 foram cópia fiel ― e exangue de criatividade ― a doutrina ou da legislação além fronteiras. Um exemplo, entre os projetos de Lei então em trâmite no Congresso Nacional, é o PL nº 89/2003 (1) ― ao menos em sua última alteração (2).
Assim, caso se faça imperante uma mudança na Legislação em decorrência da Internet, que tal se proceda nos moldes preconizados pelo projeto de Lei nº 89/2003 (sucessor do PL nº 84/99) e não através de Leis extravagantes, cujos projetos serão mais adiante analisados. Eis a parte desse PL destinada a combater o spamming.
Artigo 6º - os artigos 265 e 266, ambos do decreto-lei nº 2.848, de 07 de dezembro de 1940 (Código Penal) passam a vigorar com as seguintes alterações:
“Atentado contra a segurança de serviço de utilidade pública”
Artigo 265 - atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor ou telecomunicação, ou qualquer outro de utilidade pública:
.............................. (NR)
“Interrupção ou perturbação de serviço telegráfico ou telefônico”
Artigo 266 - interromper ou perturbar serviço telegráfico, radiotelegráfico, telefônico ou de telecomunicação, impedir ou dificultar-lhe o restabelecimento:
.............................. (NR)
No entanto esses adendos são dispensáveis porque a Internet é, intrinsecamente, um serviço de utilidade pública em razão de sua utilização objetivar, entre outras coisas, a educação (ou instrução pública) e a construção de estabelecimentos virtuais destinados ao bem geral da comunidade (3).. Além disso, a Internet se equipara a um serviço público por ser prestado por empresas de comunicação.
Consoante o ordenamento jurídico pátrio, “têm esse direito certas empresas de transporte, de fornecimento de luz ou água; estabelecimentos de ensino ou assistência social, fundações, associações esportivas, culturais, artísticas, científicas, etc.. (4)”. E todas existem na Internet.
Em poucas palavras: a Internet não apenas é um serviço de utilidade pública, como é o maior serviço de utilidade pública do Planeta, desde que se tem a idéia do que é um serviço de utilidade pública. O comércio, a indústria, o sistema financeiro, os cidadãos e os três Poderes da República, entre tantos outros, valem-se da Internet para alcançarem seus objetivos. ¿Como, então, não considerá-la um serviço de utilidade pública, nos termos dos vigentes artigos 265 e 266 do Código Penal?
“Mas é proibida a analogia em questões penais”, poderá me retrucar quem faz essa leitura.
Concordo, não poderia ser diferente. Entretanto não estou a me valer de um raciocínio analógico, mas, isso sim, de um raciocínio extensivo e abrangente ― o que não só é autorizado como também é bastante apreciado pela boa doutrina e pela praxis forense.
Pobre do exegeta cujo coração não possuir uma aurícula analógica e outra extensiva; um ventrículo avaliando o passado e outro tentando imaginar o futuro. Se não for assim, seu coração estará incapacitado para permitir que flua em suas veias o sangue que exorta a eterna revisão, que permite que a doutrina leve oxigênio aos julgados para cristalizar a jurisprudência, ou seja, o direito com prudência. Enfim, o exegeta deve agir com a mesma atenção dos motoristas de automóveis: ao mesmo tempo que olham para a frente não descuidam com o que passou e, pelo espelho retrovisor, verificam o que existe atrás.
Mesmo sem as alterações legislativas propostas, o exegeta sabe que o spamming é de ser punido nos moldes da legislação vigente.
Notas:
(1) O PL nº 89/2004 (aprovado pelo plenário da Câmara aos 05 de novembro de 2003) é sucessor do PL nº 84/99. Ambos são de autoria do deputado federal Luiz Piauhylino (PSDB/PE). (voltar para o texto)
(2) Esse PL sofreu mudanças radicais desde sua apresentação até sua aprovação pelo plenário da Câmara. Não é exagero dizer que mudou da água para o vinho. (voltar para o texto)
(3) Apesar da expressão “utilidade pública” constar da Constituição Federal de 1988, não é lá que será encontrada a sua definição. Será necessário mergulhar no artigo 590, § 2º, I e II, do vetusto Código Civil de 1916, e no artigo 910, da CLT, para serem tomados os elementos que justificam a Internet como um serviço e um instituto de utilidade pública. (voltar para o texto)
(4) NUNES, Pedro, DICIONÁRIO DE TECNOLOGIA JURÍDICA, 10ª edição, Volume II (G-Z), Livraria Freitas Bastos S/A (Rio de Janeiro/RJ), 1997, fls. 863. (voltar para o texto)
Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.
Voltar ao índice de artigos
COMENTE O ASSUNTO (1) |
RECOMENDE INFOGUERRA |
ENVIE ESTA NOTÍCIA
| Destaque |
Antigos spammers são acusados de lesar consumidores
26/3/2004 - 12:46 Giordani Rodrigues
Lembra-se de Diar e Econoshop, nomes de dois sites que o antigo Museu do Spam costumava chamar de "cancro da Internet brasileira", por causa da quantidade de lixo eletrônico que enviavam para a caixa postal dos internautas? Os sites já não mais existem e os responsáveis pelos negócios mudaram de tática e aparentemente já não mais enviam spam ― agora estão fazendo campanhas publicitárias em alguns dos maiores portais do Brasil. Mas o tipo de produto que vendem e alguns procedimentos comerciais que tomam continuam muito parecidos e sujeitos a denúncias de consumidores que se sentem lesados.
Antes, os spams de Diar, Econoshop e outros sites do mesmo grupo ofereciam produtos miraculosos, como gel para eliminar gorduras do corpo em apenas uma hora, aparelho para modelagem física sem esforço, cápsulas para aumentar a capacidade cerebral, e eliminador de ar em canos para reduzir a conta de água. Hoje, sites como ereto.com.br, emagrecerdormindo.com.br, instantcelluliteeraser.com.br e hairplus.com.br oferecem, como os próprios nomes sugerem, produtos para enrijecer e desenvolver o pênis, emagrecer dormindo, eliminar celulite instantaneamente e fazer crescer cabelo.
Talvez os sites passassem despercebidos entre tantos outros do gênero que se espalham pela Internet, não fosse o fato de que seus banners de divulgação têm aparecido há semanas em portais como UOL, MSN, Yahoo!, iG e outros. Todos os endereços estão sob responsabilidade administrativa de Luiz Eduardo Auricchio Bottura, o mesmo nome que figurava nos cadastros do Registro.br ligado aos domínios diar.com.br e econoshop.com.br.
Alguém pode dizer que os produtos anunciados são de duvidosa eficácia, mas o problema com os sites começa mesmo com alguns métodos que o “departamento comercial” é acusado de usar. A queixa principal dos consumidores, desde a época da Diar/Econoshop, é a de ter recebido um produto sem ter solicitado e, ao tentarem devolver a mercadoria, são ameaçados – sutilmente ou não – de ter o nome incluído no Serviço de Proteção ao Crédito (SPC).
O comerciante Alan Rodrigues da Silva, de Pouso Alegre, Minas Gerais, é um dos que passou por esta situação no começo deste ano e procurou a redação de InfoGuerra para denunciar o caso. Ele está com uma audiência marcada para esta sexta-feira, no Juizado Especial de sua cidade, onde protocolou uma ação contra Shoptura.com Internet do Brasil Ltda., nome da entidade responsável pelo domínio ereto.com.br.
Ele conta que no dia dia 8 de janeiro de 2004 navegava pelo portal MSN quando viu um banner apresentando um produto chamado “Ereto”. Clicou no banner e, de imediato, abriu-se uma tela promocional com os dizeres: "preencha os campos abaixo e concorra a um Ereto e a descontos”. Esta tela já não mais aparece quando se acessa a página inicial do site ereto.com.br, mas realmente aparecia há algumas semanas e ainda houve tempo de salvar uma cópia dela, que pode ser vista aqui.
Alan Rodrigues preencheu seus dados supondo que estaria concorrendo a um sorteio, mas afirma que não fez opção de nenhuma compra. Qual não foi sua surpresa quando, uma semana depois, seus filhos encontraram no quintal de sua casa uma caixa sem identificação, apenas com seu nome na embalagem. “O correio não tocou a campainha, nem assinamos nada”, garante. "Eles enviam as mercadorias por correspondência comum, que não necessita de assinatura do destinatário para ser entregue". Dentro da caixa estavam três boletos de cobrança, o aparelho Ereto com um manual, e uma “nota relevante”' ― é assim que vem escrito, segundo Alan – na qual se lia o seguinte: “Você se inscreveu para ganhar um Ereto ou descontos e ganhou um incrível desconto de 66% no frete”.
”A tal nota segue com diversas ameaças de cobrança do 'valor real' do produto (o dobro) caso a pessoa não pague, e ainda inclusão no SPC”, afirma o consumidor. Depois de várias tentativas frustradas de contato com o site, que não tem nenhum número de telefone à mostra, Alan finalmente recebeu um e-mail do endereço sac@ereto.com.br, alegando que, após pesquisas do caso, “foi levantado que não houve nenhuma irregularidade”. O atendente afirma que “o cadastro efetuado foi para comprar ganhando descontos ou até sem ter que pagar nada” e que “o desconto de quase 70% foi dado no frete”.
Em seguida, a mensagem pede que o cliente leia as “normas contratuais” presentes na página www.ereto.com.br/normas, cujos termos são “de caráter obrigatório e vinculativo”. Se qualquer pessoa não os aceitar “deverá se abster de utilizar o site e/ou os serviços”. O link dessa página não está presente no menu principal do site ou no formulário de pedido do Ereto. A única referência à página, sem o link, está no último item da página “modo de usar”, que afirma literalmente o seguinte: “Ao comprar o cliente declara conhecer e aceitar todas as normas presentes no site (/normas)”.
A pedido de InfoGuerra, a advogada Eliane Saldan analisou o caso de Alan Rodrigues da Silva e constatou a presença de várias possíveis irregularidades. “Percebo que a situação relatada pode representar violação do Código de Defesa do Consumidor (CDC), crime contra as relações de consumo (Lei 8.137/90) e mesmo o crime tipificado no artigo 172 do Código Penal (duplicata simulada)”, opina a advogada.
Entre os artigos citados por Saldan, estão: o artigo 6o do CDC, que versa sobre “proteção contra a publicidade enganosa e abusiva, métodos comerciais coercitivos ou desleais, bem como contra práticas e cláusulas abusivas ou impostas no fornecimento de produtos e serviços”; o artigo 39 do CDC (“enviar ou entregar ao consumidor, sem solicitação prévia, qualquer produto, ou fornecer qualquer serviço”); o artigo 66 do CDC (“fazer afirmação falsa ou enganosa, ou omitir informação relevante sobre a natureza, característica, qualidade, quantidade, segurança, desempenho, durabilidade, preço ou garantia de produtos ou serviços”) e o artigo 7o da lei 8.137/90, que dispõe sobre os crimes contra as relações de consumo (“induzir o consumidor ou usuário a erro, por via de indicação ou afirmação falsa ou enganosa sobre a natureza, qualidade do bem ou serviço, utilizando-se de qualquer meio, inclusive a veiculação ou divulgação publicitária”).
O caso de Alan Rodrigues é apenas o mais recente, mas InfoGuerra já recebeu pelo menos mais duas queixas semelhantes de outros consumidores que se sentiram lesados pelo mesmo grupo de pessoas, ao receberem produtos que não solicitaram e ameaças de ter o nome “negativado”. Tentamos fazer contato com Luiz Eduardo Auricchio Bottura, mas as chamadas para o telefone (11-3487-2188) presente em seu cadastro no Registro.br caem em um suposto call center terceirizado. As chamadas para o telefone celular dele caem na caixa postal. Também foram enviadas mensagens de e-mail para Bottura e para o serviço de atendimento do Ereto, mas até o momento de publicação desta reportagem nenhum esclarecimento foi dado.
Leia também:
Domínios de spammers notórios são cancelados
Registro.br devolve domínios de spammers
| Destaque |
Resenha: Roubando este computador
24/3/2004 - 11:52 Marcos Machado
|
| Noticias |
Grupos de segurança e redes ainda aceitam trabalhos
24/3/2004 - 10:19 Giordani Rodrigues
O Grupo de Trabalho em Segurança de Redes (GTS) e o Grupo de Trabalho de Engenharia e Operações de Redes (GTER) estenderam até esta quarta-feira, 24/03, o prazo para envio dos resumos de trabalhos que deverão ser apresentados pelos interessados na reunião conjunta, que acontece em São Paulo, de 18 a 20 de abril. O evento é patrocinado pelo Comitê Gestor da Internet no Brasil e está aberto a toda a comunidade de Internet do país.
Os trabalhos para o GTS e para o GTER devem tratar preferencialmente de aplicações práticas nas áreas de segurança e de redes. Como em anos anteriores, vários tópicos estão sendo sugeridos por cada grupo. Detalhes de como devem ser as apresentações do GTS podem ser encontrados em https://www.unesp.br/gts/chamada.htm e do GTER em http://eng.registro.br/gter17/call.html.
A reunião ocorrerá no Centro de Convenções Frei Caneca, na Rua Frei Caneca, 569. Mais informações podem ser obtidas aqui.
| Destaque |
O terrorismo digital e a defesa da privacidade
18/3/2004 - 21:05 Rinaldo Ribeiro
Uma pessoa, ao tomar um avião em um aeroporto nos EUA, faz uma chamada telefônica em pleno vôo para um amigo. Durante a conversa, faz uma piada, e diz que é um grão-mestre da Al Qaeda e que Osama bin Laden foi convidado para jantar em sua casa. Pronto. Isto é motivo suficiente para o FBI, a polícia federal americana, interceptar a chamada e forçar o retorno do avião. Um episódio semelhante aconteceu recentemente, e foi divulgado em diversos noticiários pelo mundo, o que nos faz pensar pelo menos em um detalhe: como essa chamada foi particularmente interceptada? Não seria mais simples entender se na verdade um conjunto muito maior de chamadas foi e é monitorado constantemente, e algumas palavras chaves fizeram com que o interesse do FBI aumentasse neste caso? Em nome da batalha contra o terrorismo, a privacidade de muitos pode estar sendo completamente devassada.
Um relatório do “Administrative Office of the United States Courts”, divulgado no ano passado, mostra que nos 1358 casos em que houve necessidade de intervenção legal para monitoração, leia-se grampos ou medidas semelhantes, em apenas 16 casos foi encontrado algum tipo de criptografia na comunicação. Mesmo nestes casos a interceptação aconteceu sem dificuldades, o que nos mostra claramente a ineficiência dos métodos utilizados. Por imposição da lei ou por motivações diversas, grampos, escutas e artimanhas variadas são utilizados para monitoração de comunicações alheias. Percebemos, também pela infinita quantidade de notícias sobre o tema, que atualmente não existe grande dificuldade para se interceptar uma chamada telefônica.
Somamos a este cenário o crescimento de comunicações de VoIP, termo utilizado para “Voz sobre IP” em inglês, que significa a codificação da voz em pacotes IP para serem transmitidos pela rede. Na prática estamos falando da possibilidade de comunicação de voz sem a necessidade de linhas ou companhias telefônicas tradicionais. O que acontece é a transmissão de dados com voz encapsulada, podendo utilizar até a Internet. Cada vez mais vemos novos produtos e novos serviços, cenário que mudará bruscamente quando o serviço for finalmente regulamentado no país. Será que a mesma facilidade de grampos e monitorações variadas existe no mundo de comunicações de VoIP?
Certamente com o surgimento de uma nova tecnologia, desta vez com níveis crescentes de adoção e utilização, novas técnicas e mecanismos de monitoração serão exigidos. Como seria a mesma interceptação do caso do avião se a chamada fosse realizada por VoIP? O FBI e diversas outras organizações estão se perguntando e já estão tomando ações para que este cenário seja possível. Mesmo assim continuam preocupados pois sabem que novos problemas exigem novas soluções, desta vez, muito mais complexas.
A comunicação de voz através de transmissão de dados por redes de computadores pode também ser monitorada. Certamente, trata-se de um novo tipo de monitoração, diferente do tradicional grampo. Tendo-se acesso a um segmento de rede por onde o tráfego de voz é transmitido, seria possível capturar os pacotes e praticamente “gravar” a conversação realizada. O mesmo processo é ou seria utilizado para monitoração de outros tipos de tráfego como e-mails e acessos a Web.
Em notícia publicada em 12 de março de 2004, o site News.com informa que o FBI deseja solicitar que todos os provedores de banda larga, incluindo DSL e cabo, modifiquem a estrutura de rede para facilitar a monitoração. A matéria cita explicitamente o tráfego de VoIP.
É importante dizer que mecanismos existentes na VoIP, ou seja nos protocolos como H323 e SIP, por si só não garantem a confidencialidade das informações. Alguns usuários possuem a falsa sensação de que teriam uma comunicação segura pelo simples fato de utilizar um “telefone IP”. Não é verdade. Já existem programas disponíveis livremente na Internet que capturam e remontam chamadas telefônicas realizadas por VoIP, demonstrando apenas a “ponta do iceberg” em termos de produtos e mecanismos existentes. Este quadro muda sensivelmente com a adoção de criptografia. A voz neste caso, tratada como um pacote de dados, pode ser criptografada utilizando tecnologias de alto nível de segurança.
Utilizando-se redes de computadores e VoIP, ao contrário da telefonia tradicional, é possível interagir de forma mais simples com a transmissão da voz, incluindo novas camadas de segurança, como autenticação e criptografia.
Os mesmos 16 casos citados no relatório, em que existia algum tipo de criptografia na comunicação tradicional, poderiam ser praticamente à prova de escutas e grampos se considerarmos a voz sobre IP. A criptografia disponível atualmente, como o algoritmo “rijnadel”, novo AES – Advanced Encryption Standard - escolhido para substituir o antigo DES no governo americano, é apenas um exemplo do que poderia ser utilizado para garantia de sigilo em VoIP.
A falta de privacidade torna-se evidente a cada dia que passa. Mas diante de um cenário de risco constante de ataques terroristas no mundo, onde o crime está cada vez mais organizado, a mesma tecnologia poderia ser útil e/ou extremamente perigosa. Dependendo de como for utilizada, poderia garantir um canal seguro de comunicação entre facções criminosas espalhadas pelo mundo, ou uma forma de garantia de privacidade para os cidadãos comuns.
Muito ainda estar por vir e o cenário mundial está em constante mudança no que diz respeito a voz sobre IP. O importante é que enquanto profissionais e usuários de tecnologia precisamos ficar atentos aos impactos que podem ser causados em nossas vidas, profissionais e pessoais. Afinal, queremos privacidade, mas a que preço?
Rinaldo Ribeiro é gerente de tecnologia da 3Elos Segurança em TI e especialista em segurança da informação.
| Artigos |
Mitos de segurança: Certificações
18/3/2004 - 0:00 Nelson Murilo
Em algumas áreas do conhecimento a certificação dá credibilidade ao possuidor. O orgulho em exibir um certificado, um diploma ou equivalente pode ser visto em clínicas médicas, escritórios de advogados e até em oficinas mecânicas. Um fabricante treinar clientes e ao final do curso afirmar, com uma declaração ou certificado, que o aluno está apto a utilizar corretamente seus produtos parece bastante razoável, mas será que faz algum sentido exigir certificados em áreas tão sensíveis como a de consultores de segurança?
Existem, atualmente, várias empresas (nacionais e internacionais) que dizem treinar profissionais em segurança de computadores. Alguém por acaso tem se perguntado porque mais e mais empresas estão entrando nesse mercado? Vamos às outras perguntas antes das possíveis respostas.
A pergunta inicial, talvez metafísica, seria: Quem certifica a empresa certificadora?
Elaborando um pouco mais: Com que prerrogativa uma empresa se outorga o direito de dizer que alguém está ou não qualificado para desempenhar o papel de profissional de segurança? Quais os atributos uma empresa deveria ter para pretender certificar terceiros?
Alguns diriam que o mercado certamente se encarrega de eleger os melhores, mas que mercado? Como já vimos anteriormente, as empresas que têm necessidade de segurança têm encontrado (no mundo inteiro) muita dificuldade de avaliar tecnicamente as opções. Não é raro encontrar grandes empresas que se deixaram levar por atributos não-técnicos de empresas igualmente grandes que dizem vender segurança, com uma propaganda contínua e agressiva, e deixam de perceber que a qualidade do serviço de segurança prestado nem de longe lembra a que foi vendida. Isso, em muitos casos, passa a nivelar por baixo as empresas de segurança, já que o contratante acaba por achar que, se as grandes empresas da área fazem esse péssimo trabalho, o que esperar das demais?
Outras empresas optam por soluções caseiras, e elegem um profissional do quadro para atividades para as quais ele não foi minimante treinado. O resultado disso são as rotineiras perguntas em listas de discussão, expondo detalhes das próprias instalações, tornando o ambiente um alvo fácil para ataques. São somente alguns exemplos de que o mercado não tem qualquer condição de avaliar as qualificações de uma suposta empresa certificadora.
Examinemos, então, a certificação contrapondo-a com o perfil necessário a um profissional de segurança. A área essencialmente é dinâmica, novos métodos de ataque, ferramentas e mecanismos de proteção são criados diariamente, por outro lado um profissional certificado será sempre certificado, independentemente da época. Raras são as empresas certificadoras que ao menos sugerem (nenhuma obriga, por exemplo poderiam exigir uma reciclagem sob pena de perda de certificado) aos seus membros certificados atualizações periódicas.
A característica crucial em um consultor de segurança é a ética, e nenhuma empresa tem condições de avaliar esse aspecto. Qualquer um que tenha dinheiro para pagar e conseguir passar nos testes recebe o certificado. No Brasil temos exemplos reais de pessoas com passado de ataques a redes e outras atividades ilícitas, hoje exibindo certificados muito bem aceitos no mercado (novamente o mercado...). Veja o contra-senso: pessoas com antecedentes criminais não podem prestar exame para academias de polícia, mas vários atacantes brasileiros, inclusive os já processados por delitos na área de informática, têm conseguido obter sem problemas certificados na área de segurança.
Outro ponto é a forma como os certificados são vendidos. Certificados não técnicos são vendidos como tal, causando confusão ainda maior em quem pretende contratar serviços de segurança de rede, por achar que o simples fato de ter um ou mais profissionais certificados (por empresas certificadoras que ele nem conhece, mas que os portadores imputam grande valor ) pode ser um diferencial importante. Quanto ao certificado em si não quer dizer nada, visto que é muito raro alguém pagar, fazer o treinamento ou teste e não receber um, qualquer que seja ele. Até porque, na maioria dos testes, o pretendente deve conhecer algumas áreas com detalhes e outras é necessário apenas ter noção, então se o certificado, em tese, cobre uma gama vastíssima de áreas, como, criptografia, políticas de segurança, planos de contingência, entendimento de protocolos de rede, conhecimento de ameaças, gerenciamento de rede, entre outras. O portador do certificado pode vender a parte que achar mais conveniente mesmo que, na prática, tenha somente “noção” daquele determinado item.
Se o certificado parece ser um diferencial, o que acontecerá se ou quando todos os profissionais forem certificados? Aliás essa é uma forma perversa de seleção, visto que os certificados têm custo alto e pessoas com boa experiência mas com menor poder aquisitivo são postas automaticamente fora da disputa por uma vaga.
Na prática o que se tem visto são empresas contratantes, que, acreditando nos certificados de funcionários de empresas que se esmeram em promovê-los, terminam pagando para serem cobaias em serviços que esses profissionais não têm nenhum conhecimento prático. A coisa vira uma bola de neve, já que ao longo do tempo não satisfeita em vender aos funcionários certificados, algumas empresas passam então elas próprias a atuar como certificadoras, qualificadas por elas mesmas, e têm como conseqüência imediata o fato de que todos os seus funcionários passam a ser certificados, e esses mesmos funcionários, alunos no curso anterior, passam agora a atuarem como instrutores para os cursos seguintes.
Por fim, vale a pena citar que facilita enormemente o trabalho do setor de recursos humanos contratar profissionais em áreas que o RH não tem afinidade, basta ver o que tem maior número de certificações e passam a imaginar que este seria o mais qualificado.
Então qual seria a forma correta de contratação de serviços e profissionais de segurança?
Certamente os critérios que balizam qualquer escolha devem ser a ética e a qualidade técnica.
Mas como avaliar essas características?
Da mesma forma como são contratados prestadores de serviço para serviços domésticos de confiança: referências. O que adianta uma babá com ISO 9000 se ela tem um histórico de maus-tratos?
Pergunte sobre a empresa que pretende contratar aos clientes atuais e/ou a ex-clientes. Principalmente investigue a conduta ética, se alguma informação confidencial de clientes já vazou de alguma maneira, ou com que impressão o corpo técnico ficou dos profissionais e do serviço. Deve-se tomar muito cuidado também com empresas que, logo após sua rede sofrer um ataque ou invasão, se apresentam imediatamente oferecendo proteção.
Trecho reproduzido do livro Segurança Nacional, de Nelson Murilo de Oliveira Rufino. Copyright 2002, Novatec Editora. Para comprar o livro, clique aqui.
Leia também:
Mitos de segurança: Firewalls
Mitos de segurança: Senhas
Mitos de segurança: Ataques e defesas
| Artigos |
Mitos de segurança: Ataques e defesas
17/3/2004 - 23:58 Nelson Murilo
"Para saber defender é preciso saber atacar"
Ter conhecimento de métodos e técnicas de ataque é importante para identificar possíveis vulnerabilidades e tornar o ambiente mais seguro. Porém, diferentemente do que possa parecer à primeira vista, habilidades para atacar não qualificam alguém para montar mecanismos de defesa. Defesa e ataque são funções totalmente distintas, não são sequer atividades assemelhadas.
Atacantes, se tiverem um objetivo definido, podem ficar tentando explorar inúmeras possíveis vulnerabilidades, antigas ou recentes, conhecidas ou descobertas domesticamente, podem tentar métodos menos ortodoxos, como engenharia social, revirar lixo e tentar acesso físico ao local desejado. Atacantes são oportunistas, podem esperar para atacar num momento de fragilidade da vítima, que vai desde atraso na instalação de correções ou, ao contrário, uma atualização apressada, utilizar uma janela de tempo em que um serviço antigo ainda coexiste com um mais recente e mais seguro; podem tentar induzir um funcionário a executar um cavalo de tróia, ou mesmo se aproveitar de alguma situação específica, como diminuição da segurança para economizar energia, por exemplo. Métodos de ataque podem ser repetidos sem modificações em praticamente todos os ambientes, podem ser automatizados e não costumam exigir conhecimento técnico para quem somente executa os procedimentos (evidentemente que quem os cria deve possuir essas habilidades), tornando, na maioria dos casos, os atacantes simples apertadores de botões. Atacantes que não têm alvo definido costumam dominar somente um ou dois métodos de ataque, e reproduzem os mesmos procedimentos em vários ambientes, até achar um ou mais ambientes que ainda permitam ataques bem-sucedidos.
Topologias, metodologias e demais aspectos de defesa não podem ser reproduzidos de um ambiente para outro, sob pena de permitir brechas de segurança. Da mesma forma que a montagem de estruturas de defesa de boa qualidade deve contemplar mecanismos de bloqueio contra ataques conhecidos, mas também deve possuir mecanismos preventivos, ou seja, o que fazer quando algo falha, quais alternativas emergenciais devem ser adotadas quando um problema identificado, por qualquer razão, ainda não puder ser definitivamente corrigido. Deve identificar os pontos vulneráveis do ambiente (para isso basta poder de observação e conhecimento técnico, não precisa existir necessariamente habilidades para saber atacar), eliminar ou reduzir as vulnerabilidades existentes e monitorar com mais atenção o que não pode ser corrigido.
A defesa exige que o administrador esteja sempre atualizado não só em relação aos novos problemas de segurança (como fazem ou deveriam fazer os atacantes), mas também estar a par das opções técnicas de defesa, novas ferramentas, métodos e possibilidades de implementação e integração com o restante do ambiente, enfim estar informado das maneiras de tornar o ambiente mais seguro possível. Atacantes podem agir à medida que as vulnerabilidades são divulgadas, mas defensores não devem adotar essa postura, o ambiente por ele administrado deve, na pior das hipóteses, reagir imediatamente quando um ataque não previsto ocorrer. Identificar a existência de um problema somente quando ocorrer um ataque não parece ser a maneira de agir ideal de um administrador preocupado com a imagem e as informações da empresa para qual ele trabalha.
Finalmente, se compararmos com qualquer outra atividade, vemos que ataque e defesa têm aspectos completamente diferentes. Somente no campo dos esportes os exemplos são muitos: no futebol americano existe um time exclusivo somente para defesa; no futebol como conhecemos, é inconcebível imaginar que um Romário possa ter uma atuação próxima da categoria de um Mauro Galvão e vice-versa; no vôlei foi criada a figura do líbero, com o único objetivo de promover defesas; mesmo onde teoricamente as duas coisas deveriam andar juntas, nas lutas, os praticantes fazem opção por aprimorar um ou outro aspecto.
Trecho reproduzido do livro Segurança Nacional, de Nelson Murilo de Oliveira Rufino. Copyright 2002, Novatec Editora. Para comprar o livro, clique aqui.
Leia também:
Mitos de segurança: Firewalls
Mitos de segurança: Senhas
Mitos de segurança: Certificações
| Noticias |
Internet em hotéis e aeroportos oferece riscos a executivos
17/3/2004 - 18:37 Redação/Divulgação
O acesso a redes corporativas por meio de conexão banda larga oferecido por hotéis a executivos em viagem não garante a segurança dos dados. É o que revelou o boletim "Remote Insecurity" promovido pela Secure Computing, companhia especializada em proteger redes de computadores.
O relatório foi desenvolvido pelo consultor independente de segurança, Rodney Thayer, da Canola/Jones Internet Investigations, em São Francisco, nos Estados Unidos, e documenta os sérios riscos de roubos de senhas que executivos encontram ao acessar a Internet a partir de hotéis, cafés, aeroportos e quiosques.
Mesmo dentro de cômodos fechados em hotéis é arriscado usar conexões padrão de banda larga para o acesso à Web. Thayer mostrou como um hóspede pode usar um software com um laptop conectado à rede local e visualizar informações do disco rígido de outros hóspedes que tenham permitido o compartilhamento de arquivos em seus PCs, o que permitiria a obtenção de dados corporativos e senhas.
De acordo com o consultor, pontos de acesso wireless são os mais vulneráveis. Testes feitos em um cibercafé de um aeroporto e em uma rede de coffee shops mostraram que o fluxo de dados sem codificação em laptops de clientes é facilmente reconhecido por outro usuário que esteja por perto com um software "farejador".
Softwares espiões que registram a digitação em teclados (keyloggers) também podem ser baixados secretamente e instalados em terminais públicos que não foram devidamente assegurados, permitindo a coleta e roubo de senhas ou informações particulares. Mesmo uma estação com segurança adequada pode deixar vulnerável um executivo em viagem por meio apenas da observação de um indivíduo mal-intencionado.
A pesquisa completa pode ser encontrada aqui.
| Artigos |
Mitos de segurança: Senhas
16/3/2004 - 23:27 Nelson Murilo
"Senhas tem que ser trocadas regularmente"
Senhas podem ser descobertas por escuta de rede, observação, captura de teclado, engenharia social ou mesmo reveladas por livre e espontânea vontade. Em toda troca de senha a forma utilizada para obtê-la da primeira vez poderá ser repetida, principalmente pela escuta de rede ou revelação espontânea. Portanto, impor uma periodicidade de troca de senha, na maioria dos casos, não contribui para melhorar a segurança. As medidas mais eficazes para evitar comprometimento da senha são, sobretudo o trabalho de conscientização dos funcionários para aspectos de segurança, incluindo a preservação da senha. Outro ponto fundamental é prover estruturas que não permitam a passagem da senha em claro pela rede, mecanismos de criptografia e isolamento de segmentos são fundamentais para aumentar a segurança da senha.
Existem ainda alguns efeitos colaterais importantes, é comum o usuário que troque a senha constantemente esquecer a atual, ou ter uma quantidade finita de senhas que vão sendo informadas ciclicamente a cada troca, problemas que causam transtorno e não agregam nenhum valor à segurança do ambiente.
Trocas de senhas devem ocorrer quando houver suspeita de comprometimento, e existir a certeza de que foram criados mecanismos para que a troca seja feita com segurança e realmente pelo proprietário e que tenham sido sanadas as falhas que permitiram obtê-las.
Trecho reproduzido do livro Segurança Nacional, de Nelson Murilo de Oliveira Rufino. Copyright 2002, Novatec Editora. Para comprar o livro, clique aqui.
Leia também:
Mitos de segurança: Firewalls
Mitos de segurança: Ataques e defesas
Mitos de segurança: Certificações
| Noticias |
Relatório aponta tendências de segurança na Internet
16/3/2004 - 7:24 Redação/Divulgação
As principais preocupações de segurança para as empresas em 2004 serão o aumento da presença de ataques combinados, um maior número de vulnerabilidades focando componentes do Windows e o crescimento de falhas violentas em sistemas de informação. Estas são as conclusões da sexta edição da pesquisa Internet Security Threat Report, divulgada pela Symantec.
O estudo apontou que, no segundo semestre de 2003, as ameaças combinadas foram responsáveis por 54% das submissões dos dez vírus mais perigosos registrados e a disseminação foi mais rápida, devido à maior velocidade de propagação e à popularização da banda larga.
O número de vulnerabilidades descobertas se estabilizou, mas sua periculosidade ― em relação ao impacto, capacidade de ser explorada remotamente, autenticação e disponibilidade ― cresceu. Além disso, o período de tempo entre o anúncio da falha em um sistema e o aparecimento de uma forma relacionada de exploração diminuiu. Neste cenário, está cada vez mais comum o surgimento das pragas chamadas "zero-day", que atacam antes de a vulnerabilidade ser encontrada e do lançamento de atualizações corretivas.
Tendências de ataques
Nos primeiros seis meses de 2003, apenas um sexto das companhias analisadas reportou brechas sérias de segurança. Já no segundo semestre, este porcentual subiu para 50%. Este avanço é, em grande parte, resultado do sucesso dos últimos worms, que continuam sendo a atividade maliciosa mais comum. Entre as vítimas de ataques severos, estão as empresas do segmento financeiro, de saúde e de energia.
Outra tendência apontada pelo relatório é o foco crescente dos ataques nas backdoors (porta oculta no sistema) deixadas por outros agressores e vírus, para que instalem suas próprias backdoors ou usem o sistema comprometido para participar em ataques do tipo negação de serviço distribuída (Distributed Denial of Services ou DDoS). Em janeiro de 2004, o Mydoom se espalhou com velocidade similar ao Sobig.F, expondo ambientes por meio de uma backdoor e disseminando um ataque dirigido. Posteriormente, outras pragas, como Doomjuice e Deadhat, propagaram-se pela porta deixada pelo Mydoom.
Tendências de vulnerabilidades
A média de vulnerabilidades descobertas em 2003 foi de sete por dia, com um total de 2.636 ― pouco superior às 2.587 marcadas no ano anterior. A quantidade de falhas consideradas graves cresceu da média de 98 para 115 por mês e 70% delas foram classificadas como de fácil exploração, em comparação a 60% em 2002.
Muitos destes problemas permitem aos crackers comprometer sistemas de clientes que visitam Web sites com conteúdo malicioso, intencional ou não. A razão primordial da preocupação causada por esta propensão é a grande dominância do mavegador Internet Explorer no mercado.
Tendências de códigos maliciosos
Os ataques combinados foram responsáveis pelos eventos de segurança mais significativos do ano, ocorridos em agosto, com o surgimento de três novos vírus classificados pela Symantec como de nível quatro (em uma escala de um a cinco) em apenas 12 dias. Blaster, Welchia e Sobig.F infectaram milhares de computadores pelo mundo e, de acordo com estimativas do instituto Computer Economics, podem ter causado mais de US$ 2 bilhões de prejuízo.
O segundo semestre de 2003 apresentou duas vezes e meia mais submissões dos vírus Win32, em comparação ao mesmo período de 2002. Além disso, o tempo entre o descobrimento e a disseminação das pragas está diminuindo e os crackers têm usado cada vez mais pacotes comprimidos e arquivos anexados para espalhá-las.
Entre os dez maiores códigos maliciosos, a quantidade de worms com a própria ferramenta de envio de email subiu 61% nos últimos seis meses de 2003. Outro ponto indicado pelo relatório foi a velocidade de crescimento das ameaças à privacidade e confidencialidade no segundo semestre do ano passado. Houve um aumento de 519% no volume deste tipo de submissão com os dez maiores vírus, em comparação à primeira metade de 2003. Enquanto worms mais antigos comprometiam a confidencialidade ao exportar documentos privados, os vírus mais recentes e os ataques combinados também roubam senhas, códigos criptográficos e registros de digitação.
| Artigos |
Mitos de segurança: Firewalls
"Frases proferidas por um dito especialista são difíceis de questionar em qualquer área do conhecimento humano, pessoas em geral sabem dirigir, mas pouco conhecem da mecânica de automóveis, pessoas vão ao médico e dificilmente conseguiram rebater um diagnóstico de um exame radiológico, e o que o especialista informar que significa aquela mancha será uma verdade irrefutável. Infelizmente a área de segurança de rede não é diferente. Pessoas utilizam computadores, desenvolvem programas, gerenciam sistemas, mas não têm obrigação de conhecer sobre aspectos de segurança nesses ambientes."
Assim começa o capítulo 6 do livro Segurança Nacional, de Nelson Murilo (Editora Novatec - 248 pgs. Leia resenha aqui). Este capítulo trata dos mitos que povoam a área de seguança de redes e foi inspirado em frases reais que Murilo colecionou em eventos de que participou. Ele explica: "Achei por bem selecionar os temas que aparecem com mais freqüência, para tentar esclarecer alguns pontos que considero importantes, lembrando que são frases de outros autores; então, como forma de homenagem, preservei as aspas".
Durante esta semana, InfoGuerra trará os textos presentes no capítulo, reunidos em quatro tópicos, um por dia, a começar por conceitos relacionados a firewall. Os outros tópicos são: senhas, defesas e ataques e certificações profissionais. Leia o primeiro:
"Firewall é indispensável em redes ligadas à Internet"
Nelson Murilo
Até meados da década de 90, a instalação de um firewall era vendida como a forma de resolver todos os problemas de segurança, e os vendedores faziam os potenciais clientes imaginarem que a simples existência de um equipamento separando sua rede local da Internet tornaria o ambiente seguro. Ainda é muito comum em serviços para identificar a origem e o grau de comprometimento de uma invasão, algum funcionário dizer que não sabe como o ataque pode acontecer, já que “nós temos um firewall”. Por outro lado tenho clientes em cujas instalações nunca existiu tal equipamento, as redes funcionam sem grandes restrições de uso, todos os servidores são atualizados quanto a problemas de segurança e a rede é monitorada em tempo integral, e nesse ambiente não foi (ainda) reportado qualquer ataque bem-sucedido, apesar das tentativas diárias. É importante perceber que cada rede tem suas características próprias, um perfil técnico particular e necessidades distintas de qualquer outro ambiente de rede. Com isso em mente nota-se claramente que a existência de um firewall não é fundamental e muito menos garantia de segurança para determinado ambiente.
É certo que, nos locais onde a presença de um firewall for uma necessidade, a única forma de ele colaborar na segurança é quando corretamente configurado, ter suas regras revistas regularmente e estar constantemente atualizado.
"Firewal é para Internet, não faz sentido em redes locais"
Cada ambiente de rede tem suas próprias características, é muito arriscado generalizar que componentes devem ou não existir, principalmente em se tratando de mecanismos de proteção. Algumas redes de grandes proporções não utilizam firewall algum, outras utilizam vários, algumas redes locais têm particularidades que fazem por exigir a existência de alguma forma de controle de tráfego, e nesses casos esse componente pode ser de fundamental importância sob o aspecto de segurança, mesmo que não existam conexões com a Internet.
Trechos reproduzidos do livro Segurança Nacional, de Nelson Murilo de Oliveira Rufino. Copyright 2002, Novatec Editora. Para comprar o livro, clique aqui.
Leia também:
Mitos de segurança: Senhas
Mitos de segurança: Ataques e defesas
Mitos de segurança: Certificações
| Noticias |
Nova versão do Bagle já se espalha na Ásia
15/3/2004 - 14:55 Redação
A Trend Micro emitiu um alerta amarelo (médio risco) devido ao surgimento de uma nova variante do worm Bagle, que vem atormentando os internautas deste o início do ano. A empresa detectou diversas mensagens pelo mundo infectadas com a versão "P" da praga, principalmente na Coréia e no Japão. O Bagle.P interrompe processos que estejam rodando no sistema invadido, como alguns antivírus e sistemas de segurança, além de tentar impedir que tal sistema seja contaminado pelo vírus concorrente, o NetSky.
O Bagle.P chega por e-mail e traz remetentes, linhas de assunto, corpos de mensagem e arquivos anexos variáveis. Após a infecção, o vírus cria cópias de si próprio em pastas que contenham o texto "shar" no nome, o que costuma indicar que são pastas compartilhadas em rede, podendo assim infectar outras máquinas.
O worm não se limita a utilizar os endereços eletrônicos encontrados no catálogo do sistema infectado para se auto-enviar. O programa maléfico também vasculha diversos arquivos do sistema atrás de endereços de e-mail para continuar sua propagação.
Para criar um falso endereço de remetente, o vírus usa o mesmo domínio do e-mail alvo e se disfarça como uma mensagem de retorno do servidor ou do administrador desse domínio. As mensagens, em inglês, alegam problemas com vírus ou spam e tentam convencer o usuário a clicar no arquivo anexo, que carrega o vírus.
O anexo, que pode ter as extensões EXE, PIF, RAR, ou ZIP, costuma vir compactado e só pode ser aberto com uma senha variável, informada no corpo das mensagens contaminadas. A técnica serve para burlar sistemas antivírus presentes em servidores de e-mal e foi introduzida a partir da versão F do worm.
Como uma típica ameaça mista, o Bagle.P abre a porta TCP 2556, o que possibilita acesso remoto ao sistema “zumbi”, em geral usado para envio de spam. O worm aborta sua própria ação em sistemas com data de 31/12/2005 ou posterior e afeta os sistemas Windows 95, 98, ME, NT, 2000 e XP.
A Trend Micro avisa que devido ao fuso horário no ocidente, outros países, entre eles o Brasil, também podem começar a ver um alto número de e-mails com esse vírus com o passar das horas.
Leia também:
Vírus Bagle ganha 7 novas versões
Vírus de rápida disseminação abre o PC a crackers
Worm Bagle finge ser um teste e se espalha com rapidez
| Noticias |
Microsoft realiza simpósio sobre segurança na América Latina
9/3/2004 - 17:54 Redação/Divulgação
A Microsoft realizará o 1o Simpósio Latino-Americano de Segurança entre os meses de março e abril deste ano. O evento faz parte da estratégia batizada de Computação Confiável, criada pela companhia em 2002 com o objetivo de aumentar a segurança de seus clientes. Além do Brasil, que terá apresentações em nove cidades, participarão simultaneamente outros países da América Latina, como Argentina, México e Chile, reunindo um público esperado de mais de 10 mil pessoas.
Durante o simpósio brasileiro, serão apresentados dados sobre o cenário de segurança no país, os impactos das novas regulamentações sobre o tema, além de procedimentos e novas ferramentas disponíveis no mercado para garantir ambientes mais confiáveis.
Entre os palestrantes estão profissionais certificados do Seminar Group da Microsoft, como José Carlos Manzano e Adriano Gomes; além de Fernando Nery, sócio-diretor da Módulo Security; Ricardo Costa, engenheiro de sistemas da Symantec; Edgar D'Andrea, sócio da área de segurança e tecnologia da Pricewaterhouse Coopers; e Eurico Soalheiro Brás, sócio-fundador da Brás e Figueiredo.
As vagas são limitadas e as inscrições gratuitas podem ser feitas pelo site www.technetbrasil.com.br/simposio, ou pelo telefone 0800-7044081. Os participantes receberão material de apoio e certificado de participação. O simpósio será realizado com base no calendário abaixo:
Março:
15 e 16 - Belo Horizonte: Ouro Minas Palace Hotel - Av. Cristiano Machado, 4.001
22 e 23 - Curitiba: Hotel Four Points Sheraton - Av. Sete de Setembro, 4.211
24 e 25 - Porto Alegre: Hotel Deville - Av. dos Estados, 1.909
30 e 31 - Recife: Hotel Golden Tulip - Av. Bernardo Vieira de Melo, 1.204
Abril
06 e 07 - Rio de Janeiro: Hotel Intercontinental - Av. Prefeito Mendes de Moraes, 222
12 e 13 - Salvador: Fiesta Bahia Hotel - Av. Antônio Carlos Magalhães, 711
14 e 15 - Fortaleza: Hotel Caesar Park Fortaleza - Av. Beira Mar, 3.980
26 e 27 - Brasília: Naoum Plaza Hotel - SHS Qd. 05 Bloco H
29 e 30 - São Paulo: Gran Meliá São Paulo - Av. das Nações Unidas, 12.559 - Piso C
| Noticias |
Projeto prevê "recompensa" a quem identificar spammers
6/3/2004 - 21:49 Omar Kaminski
O senador Duciomar Costa (PTB/PA) apresentou, no início de março, mais um projeto de lei que pretende disciplinar o envio de mensagens eletrônicas comerciais no Brasil. O autor decidiu pelo caminho da inovação, criando a figura do destinatário "consenciente" e oferecendo uma polêmica "recompensa" pelo auxílio na identificação dos spammers que impedem ou dificultam sua localização.
Segundo a justificativa do senador paraense, "é chegado o momento de chamarmos a nós legisladores a tarefa de tentar salvar a Internet, antes que ela seja submersa pelo lixo do spam. Neste projeto, optamos pela posição firme, proposta inicialmente pela União Européia, de proibirmos mensagens eletrônicas de cunho comercial que não tenham sido solicitadas pelo destinatário".
O projeto prevê que o remetente de mensagens comerciais só poderá enviá-las a destinatários que tenham previamente consentido em recebê-las. Uma vez estabelecida a comunicação, buscou-se atender a três quesitos: a não dissimulação do propósito comercial ou publicitário de uma mensagem eletrônica; a identificação clara e verdadeira do remetente; e a habilitação do destinatário a solicitar sua exclusão da lista de mala direta de determinado remetente, ou a bloquear eficazmente mensagens deste.
O parlamentar defende o mecanismo de "opt-in" como sendo o único capaz de resolver o problema. Ou seja, caberá ao destinatário a iniciativa de receber ou não a mensagem. Para ele, o "opt-out", em que o destinatário precisa se manifestar se quiser parar de recebê-las, "não é uma maneira satisfatória de lidar com o spam".
Pelo teor da proposição, a identificação será exigida apenas dos remetentes que enviam mensagens eletrônicas comerciais em grande escala. Entre os que se encaixam neste perfil, estão aqueles que enviam mensagens com objetivos comerciais ou publicitários de bens ou serviços, a partir de computadores instalados no País, para mais de quinhentos destinatários "consencientes" (artigo 2º, V) ou não, "em um período de 96 horas".
No artigo 6º, a dissimulação da origem da mensagem é tipificada como crime, com pena idêntica à de falsidade ideológica. No mesmo artigo, o senador prevê a oferta de uma "recompensa" de 20% do valor da fiança pela identificação do agente do crime. Isso, segundo a justificativa, irá "motivar os especialistas em informática e hackers a colaborar na difícil tarefa de identificação e posterior punição desse tipo de crime".
Para o senador, "talvez essa seja a única maneira de conseguir realmente coibir o spam, pois os spammers são extremamente hábeis na dissimulação de seus rastros, e não há recursos humanos suficientes para investigação policial desses casos".
No artigo 8º, instituiu-se multa para cada mensagem não-solicitada que seja enviada, no valor de quinhentos reais, com acréscimo de um terço no caso de reincidência. No artigo 9º, há a previsão de multas para as demais violações, entre elas a não retirada do nome do solicitante da lista de mala direta, ou distribuição indevida de dados pessoais.
Costa considerou, por fim, a possibilidade de inserção dos dispositivos do projeto no Código de Defesa do Consumidor. Porém, o "exame cuidadoso da questão constatou que o presente texto tem sua força em sua organicidade, impossível de ser mantida caso inserido naquele Código".
Leia a íntegra do projeto aqui.
Omar Kaminski é advogado em Curitiba, diretor de Internet do Instituto Brasileiro de Política e Direito da Informática (IBDI), editor do site InternetLegal e organizador da obra "Internet Legal - O Direito na Tecnologia da Informação" (Juruá, 2003).
Leia também:
Outro projeto admite o envio de spam uma única vez
Criado mais um projeto de lei contra o spam
Projeto de Lei contra spam é renovado
Projeto para limitar spam volta reformulado
| Noticias |
Symantec eleva nível de risco do vírus Netsky.D
3/3/2004 - 18:12 Redação/Divulgação
A Symantec divulgou um alerta a seus usuários sobre a elevação de risco relacionado ao novo vírus Netsky.D, variante do Nestky.A. Descoberta no dia primeiro de março, a praga passou de nível três para quatro, em uma escala que chega até cinco. Trata-se de um worm de distribuição em massa que utiliza seu próprio mecanismo SMTP para enviar cópias de si mesmo para endereços eletrônicos encontrados no computador infectado.
Assim como seu antecessor Netsky.C, o vírus tenta remover chaves de registro de diversos worms, como o Mydoom.A, o Mydoom.B e o Mimail.T, e torna as máquinas mais lentas, além de congestionar o tráfego de dados nos servidores de email.
As mensagens que carregam o vírus possuem variados assuntos e conteúdos, bem como anexos com múltiplos nomes, dificultando sua identificação. Os endereços do rementente e do destinatário das mensagens são recolhidos aleatoriamente de vários tipos de arquivos encontrados no sistema infectado. Por isso, estes endereços não servem como indicativo da origem real das mensagens, pois elas costumam ser forjadas.
Nas primeiras 24 horas de ataques, a Symantec registrou uma média de 140 tentativas por hora de infecção pelo Netsky.D, em todo o mundo. A empresa forneceu uma ferramenta para remoção automática do vírus, a qual pode ser encontrada aqui. Informações detalhadas (em inglês) sobre a praga podem ser vistas aqui.
Leia também:
Vírus Netsky.C é considerado de alto risco
| Noticias |
Novo servidor BoxServer controla a segurança de redes
3/3/2004 - 13:37 Redação InfoGuerra
A BoxServer, desenvolvedora de soluções de alto desempenho, e a FTD Comunicação de Dados, especializada em infra-estrutura de telecomunicações, lançaram o BoxServer Bundle - Hardware + InternetBox. Trata-se de um servidor voltado às pequenas e médias empresas, desenvolvido para garantir a segurança e o controle no uso da Internet.
O BoxServer Bundle oferece aplicações de ferramentas como firewall, VPN, Proxy e IDS. O produto também possui um antivírus de e-mail, que verifica o conteúdo das mensagens e os arquivos anexados antes de chegarem aos usuários da rede.
O software integrado InternetBox foi desenvolvido em plataforma Linux e reúne aplicações "open source" de segurança e controle, que podem ser integradas com outras ferramentas. O produto também permite aplicações como servidor de rede local, acesso à Internet e e-mails.
Marcelo Gallo, diretor de negócios do Grupo Uniserv, que controla a BoxServer, está otimista em relação ao lançamento do novo produto. "Nosso objetivo é atingir uma abrangência nacional com uma meta mínima de 1.000 BoxServers no ano de 2004", afirma. "Pretendemos formar um canal composto por 50 revendas, que passarão a comercializar, instalar e fornecer suporte às empresas". Segundo Gallo, o desenvolvimento do produto consumiu dois anos e US$ 250 mil.
O Box Server Bundle já está sendo comercializado por seus revendedores, na forma de "locação" pelo período de 24 meses. O produto custa a partir de R$ 490,00 mensais com a configuração básica.
| Dicas |
Como manter seu sistema atualizado
3/3/2004 - 3:29 Redação InfoGuerra
Os programas para gerenciamento de e-mails e para navegação na Internet são como portas de passagem entre o seu computador e o mundo externo. É por eles que transitam dados vindos da Internet para o sistema local e em sentido inverso. Alguns desses dados podem conter códigos maléficos (vírus, programas "espiões" e outros), por isso é extremamente importante manter estes softwares atualizados com as últimas correções de segurança ― também chamadas de patches.
Se você mantiver o programa de e-mail, o browser (navegador) e o sistema operacional do computador sempre atualizados, a chance de que sua máquina seja infectada por vírus que se executam automaticamente apenas ao se abrir um e-mail ou visitar uma página na Web, é reduzida drasticamente. Em compensação, se você nunca atualiza estes programas, a probabilidade de ter seu sistema violado por códigos maléficos é muito alta.
Isto vale para programas de qualquer fabricante, mas se o seu sistema operacional é Windows, o navegador é o Internet Explorer e o programa de e-mail é o Outlook ou Outlook Express, essa probabilidade é ainda maior. E o motivo é simples: estes softwares são os mais utilizados no mundo inteiro e por isso também são os mais visados por criadores de vírus, hackers e outros elementos indesejados, que tentam explorar eventuais brechas de segurança descobertas nos programas.
Como fazer as atualizações
A Microsoft, fabricante destes softwares, publica aproximadamente uma vez por mês boletins de segurança com patches para estas falhas. As correções chamadas de "críticas" são as mais importantes e você deve instalá-las logo que forem disponibilizadas. A forma mais prática de fazer isso é visitar o endereço http://windowsupdate.microsoft.com.
Você também pode clicar em "Iniciar" (ou "Start", se seu sistema está em inglês) e depois escolher o ícone "Windows Update", que geralmente vem pré-configurado em várias versões do sistema operacional. Ao fazer isso, a página que você irá acessar identificará de que país está sendo feita sua conexão à Internet e trará instruções no idioma adequado. Também identificará quais patches precisam ser instalados e em que ordem. É recomendável que você instale todos os patches classificados como críticos. Habitue-se a visitar esta página regularmente.
Se você usa Windows 2000, XP ou 2003 Server, poderá configurar seu sistema para avisá-lo sempre que houver atualizações importantes. Algumas versões do Windows 98 também permitem que se instale um arquivo para avisar sobre novas atualizações do sistema. Este arquivo pode ser baixado na página do próprio Windows Update.
Links relacionados:
Instruções da Microsoft, em português, para habilitar atualizações automáticas no Windows XP e no Windows 2000
| Dicas |
Proteja-se de golpes atualizando seu browser
3/3/2004 - 3:10 Giordani Rodrigues
Golpes eletrônicos enviados por e-mail sempre pedem para o usuário clicar em um link e baixar um software qualquer para participar de uma "promoção", ou acessar um site e nele preencher seus dados, sob os mais variados pretextos. Antes de clicar em qualquer link (e isto vale para qualquer situação na Internet), preste atenção no endereço. A linguagem HTML (padrão em páginas Web), permite que se insira qualquer endereço em qualquer palavra. Por exemplo, o link www.siteverdadeiro.com.br de fato está apontando para www.sitefalso.com.br. Como descobrir?
Pousar o mouse sobre links, em mensagens de e-mail e páginas Web, para observar a que página ou endereço estamos sendo direcionados, é uma recomendação clássica de especialistas para se evitar golpes pela Internet. Se você colocar o mouse sobre o link www.siteverdadeiro.com.br acima e olhar para a barra de status do navegador verá que está sendo levado a outro endereço (no Internet Explorer, a barra de status fica na parte inferior da tela, e as informações aparecem no canto esquerdo da barra, logo acima do ícone "Iniciar"). De modo geral, nesta barra aparecem informações sobre todos os arquivos que seu computador está baixando e todos os endereços que estão sendo visitados. Esta mesma barra de status se encontra nos programas de e-mail Outlook e Outlook Express, largamente utilizados por usuários do sistema Windows.
A prática tem demonstrado que a técnica ainda é suficiente para detectar boa parte dos golpes que circulam pela Internet, principalmente em mensagens de e-mail, mas desde dezembro de 2003 ela pode ser burlada, se o usuário não tomar certas precauções. Tudo por causa da descoberta de uma brecha de segurança que atinge principalmente o browser Microsoft Internet Explorer.
Trata-se de um bug batizado de URLSpoof (algo como "falsificação de URL"), que permite que um endereço falso se apresente como um endereço confiável ― como o de seu banco, por exemplo ― tanto na barra de endereços, como na barra de status do navegador. O truque consiste em inserir caracteres com fins especiais, como @, %00 e %01, entre o endereço real da página e o falso endereço que se quer fazer parecer legítimo.
No início de fevereiro de 2004, a Microsoft lançou uma correção para o problema e é fundamental que você aplique esta correção ao seu browser, se utiliza o Internet Explorer. Para isso, visite o site Windows Update para verificar todas as atualizações necessárias para seu sistema, incluindo o pacote de atualizações cumulativas para o Internet Explorer que corrige a falha mencionada. Este pacote também corrige todos os problemas anteriores do navegador.
Caso você não atualize o Internet Explorer, nunca poderá ter certeza de que está visitando um site verdadeiro apenas olhando para os endereços apresentados pelo navegador. Você poderá saber mais sobre este problema, lendo os artigos abaixo:
Brecha do IE faz site falso parecer verdadeiro
Golpe por e-mail tenta explorar novo bug do IE
| Noticias |
Vírus Bagle ganha 7 novas versões
2/3/2004 - 13:01 Giordani Rodrigues
De sexta-feira, 27/02, até esta terça-feira, 02/03, nada menos do que sete variantes do vírus Bagle foram descobertas pelas empresas antivírus. As versões C, D, E, F, G, H e I, juntamente com as variantes A e B que já existiam, formam uma família de códigos maléficos capaz de se alastrar rapidamente por e-mail e instalar uma porta de comunicação secreta (backdoor) nas máquinas atingidas, através da qual um atacante poderia executar comandos a distância no sistema.
As cinco primeiras variantes, descobertas no final de semana, apontam para um mesmo autor dos programas, de acordo com a empresa F-Secure. "Aparentemente ele (o autor) tem monitorado de perto quão rapidamente os fabricantes de antivírus lançam vacinas, então faz as alterações necessárias para evitar a detecção e lança novas versões imediatamente", opina Mikko Hypponen, diretor de pesquisa antivírus da empresa.
A favor desta opinião existe o fato de que estas cinco primeiras versões foram lançadas num prazo de apenas 48 horas e que houve uma evolução nos métodos de envio dos anexos contaminados. A partir da variante F, os arquivos com o vírus passaram a ser compactados em formato .ZIP e protegidos por uma senha criada aleatoriamente. No corpo das mensagens contaminadas era informada esta senha. Isto garantia que os usuários pudessem abrir manualmente os anexos, mas impedia que os filtros e sistemas antivírus automatizados fizessem o mesmo para analisar os arquivos.
O Bagle também usa um disfarce que foi sendo aprimorado à medida que novas variantes da praga eram lançadas: os ícones que representam os arquivos maléficos são exibidos como símbolos de inocentes pastas do sistema. Tal truque, junto com a grande variedade de assuntos, nomes de anexos e conteúdo das mensagens infectadas, dificulta bastante a identificação do worm pelos usuários menos experientes. A F-Secure chegou a lançar um blog, no qual tem publicado detalhes sobre o Bagle e sobre versões de outros vírus, assim que são descobertas.
A família Bagle, cuja primeira variante surgiu em meados de janeiro de 2004, espalha-se principalmente por e-mail, mas também lança cópias de arquivos contaminados em pastas compartilhadas por redes locais e remotas. O worm possui um mecanismo SMTP próprio para se auto-enviar por e-mail e a capacidade de criar mensagens com endereço do remetente forjado.
Depois de executado, o worm descarrega arquivos nas pastas de sistema do Windows e modifica o registro para ser rodado cada vez que a máquina é iniciada. A praga consegue infectar as versões do Windows 95, 98, ME, NT, 2000 e XP. Entre as ações mais perigosas do Bagle estão sua capacidade de instalar uma backdoor em diferentes portas da rede TCP/IP e finalizar processos associados a programas de segurança, como antivírus.
Crime organizado
É cada vez mais plausível a hipótese de que a epidemia de worms recentes, como MyDoom, Netsky e Bagle, está relacionada à ação de criminosos organizados com fins específicos, e não a bandos de adolescentes desocupados querendo impressionar os amigos da escola.
A consultoria britânica mi2g trouxe hoje uma lista de perguntas e respostas relacionadas a estes códigos maléficos. De acordo com a empresa, as evidências levam a crer que os autores dos vírus pretendem criar uma rede de computadores domésticos e corporativos transformados em "zumbis", para serem usados em golpes do tipo "phishing scam" (roubo de identidade), envio de spam e ataques de negação de serviço.
Aparentemente também está havendo uma disputa entre grupos rivais representados pelos autores do Netsky e pelos criadores do MyDoom e do Bagle, já que o primeiro worm tem capacidade de interromper a ação de arquivos relacionados aos dois últimos. Tal fato sugere que os grupos podem ainda estar engajados em uma disputa intelectual no submundo da Internet.
De qualquer forma, os principais beneficiários desta epidemia de vírus é o crime organizado na Internet, que pode utilizar as máquinas comprometidas para uma série de ações clandestinas ou maléficas.
Leia também:
Vírus Netsky.C é considerado de alto risco
MyDoom.F ataca RIAA e destrói arquivos
Vírus de rápida disseminação abre o PC a crackers
Vírus Doomjuice ataca máquinas infectadas pelo MyDoom
Microsoft oferece recompensa pelo autor do MyDoom.B
MyDoom.B: conheça mais sobre essa praga
Infecções pelo Mydoom cresceram mais de 3000% no Brasil
Nova versão do MyDoom ataca site da Microsoft
SCO oferece US$ 250 mil por criadores do MyDoom
MyDoom chega a 1,2 milhões de cópias
Vírus mais rápido de 2004 ataca site da SCO
| Destaque |
Empresa antivírus envia vírus aos clientes
1/3/2004 - 11:53 Giordani Rodrigues
A F-Secure, conhecida empresa finlandesa produtora de softwares antivírus e de segurança para computadores, admitiu ter enviado, sem querer, um vírus a milhares de clientes e parceiros no Reino Unido. Segundo o pedido de desculpas remetido pela empresa a seus clientes e reproduzido pelo site britânico VNUNet, o incidente se deveu a "um erro humano".
A nota explica que uma cópia do worm Netsky.B foi enviada a milhares de assinantes de uma lista de correio eletrônico pertencente à empresa. "O vírus não se originou de nossa rede", afirma o comunicado, concluindo que o incidente ocorreu quando um desconhecido enviou uma mensagem contaminada para o endereço da lista e o sistema da empresa redistribuiu a mensagem para os assinantes. A mensagem também tentou tranqüilizar os usuários: "Se você tem um antivírus atualizado, o vírus já foi detido automaticamente e nenhuma providência adicional é necessária de sua parte".
Mikko Hypponen, um dos diretores da F-Secure, disse à VNUNet que a lista atingida não era submetida aos procedimentos de análise antivírus normais que sua empresa utiliza. Ele disse também que depois do incidente a empresa mudou as configurações de acesso à lista. "Não havia necessidade para nós de aceitar mensagens de e-mail externas sendo enviadas para a lista. Nós retificamos isso e contatamos as pessoas da lista para alertá-las". Hypponen disse ainda que "providências haviam sido tomadas para garantir que o incidente não ocorreria de novo".
O Netsky.B foi descoberto há alguns dias e provocou alertas de várias empresas antivírus devido à velocidade com que se espalhou pelo mundo. O worm se dissemina por redes e por e-mail, em mensagens forjadas, com múltiplas características e diversos tipos de anexos. A praga tem capacidade de interromper o funcionamento de outros vírus, como Mydoom e Mimail, e pode congestionar servidores de e-mail devido à grande quantidade de mensagens contaminadas que envia.
Não é a primeira vez que uma empresa antivírus envia involuntariamente um programa maléfico a seus clientes. Em 2002, crackers invadiram o servidor Web da empresa antivírus russa Kaspersky e enviaram uma cópia do vírus Bridex aos assinantes de seu boletim eletrônico.
Leia também:
Vírus Netsky.C é considerado de alto risco
Crackers invadem Kaspersky e enviam vírus aos seus usuários
| Artigos |
Os fins não justificam os e-mails - III
31/3/2004 - 0:00 Amaro Moraes e Silva Neto
Voltar ao índice de artigos
Origem e conceituação do sistema opt-out
Frente ao pandêmico problema do spamming ― e já que é impossível bani-lo de vez ―, aos legisladores, aparentemente, não restava outra opção senão a de pensarem em medidas profiláticas para o seu combate. Assim, não com o objetivo de eliminar o spam, mas para minimizar seus males, muitos parlamentares entenderam ser prudente adotar o sistema opt-out.
Tal sistema (uma excrescência legislativa nascida em assépticos laboratórios legislativos dos EUAN e sem contágio com realidades sociais ou jurídicas, mas meramente econômicas) influenciou todas as legislações que vieram posteriormente - em suas Terras e em inúmeros outros Países, dentre os quais o Brasil. No entanto, essas aberrações lógicas e jurídicas não foram óbice para que esse sistema teratológico fosse consagrado pela Lei federal promulgada em fins de 2003 por Jorge Caminhante Bush, então presidente dos EUAN (1).
O mecanismo opt-out autoriza os spammers a me enviarem uma mensagem que não solicitei, na qual deverá constar um mecanismo de exclusão que me permita lhes dizer: ¡Não me aborreçam de novo! No entanto, para ser excluído, deverei ou enviar um email ao spammer ou, então, visitar seu website (coisa que provavelmente nunca faria caso me fosse dada essa opção) para acionar o mecanismo da exclusão ― isso quando esse mecanismo existe. No entanto, em ambos os casos (enviando um email para me descadastrar do banco de dados ou descadastrando-me através do website do spammer), assumo o risco de confirmar que meu email está ativo e, incontinenti, tornar-me-ei potencial vítima de spammers inescrupulosos (perdoe-me a tautologia).
Ao pensar no sistema opt-out, inevitavelmente o associo à idéia dos participantes de festas ― e em festas, sempre existem dois tipos de convivas: os efetivamente convidados e os penetras.
Os convidados, como o nome o diz, eu os convido, eu lhes digo: venham à minha festa. Já com os penetras é diferente. Apesar de não ter pedido para que eles entrassem, sou forçado a lhes pedir para que saiam e que não retornem uma segunda vez.
Como salta aos olhos, em vez de evitar o spamming, em verdade o sistema opt-out incentiva e institucionaliza o ingresso do spammer nas caixas de correio eletrônico dos internautas, do mesmo modo que autoriza que lá permaneça até que suas vítimas compulsoriamente manifestem seu desejo de exclusão. Entretanto, enquanto essa manifestação de exclusão não se fizer efetiva, o spammer estará amparado, legalmente, para estorvar a quem bem quiser.
Constata-se, pois, que a adoção do sistema opt-out implica em dar status de direito à contravenção e ao ilícito penal cometidos pelos spammers (2), além de autorizar o descrédito dos vigentes preceitos consumeristas (3), civis (4) e constitucionais (5).
Infelizmente essa má idéia legiferante da América supra-equatorial entrou em sintonia com as idéias de alguns dos legisladores do Brasil e propiciou a concepção de projetos de Lei insensíveis à realidade e incompatíveis com os anseios dos internautas.
Contudo, no Brasil, até o início de 2004, se houve a concepção, não houve, em decorrência, uma gestação a termo; nem tampouco um parto. ¡Deo gratia!
Os legisladores, ao considerarem o sistema opt-out uma opção para a tranqüilidade dos destinatários do spam, por certo não consideraram os imensos prejuízos que seriam causados pelos spammers aos cidadãos comuns e às empresas, como positiva até mesmo a ótica corporativista das monofônicas mídias que agrilhoam a questão.
Segundo um artigo publicado pelo website IDG Now! , aos 02 de julho de 2003, cada empregado que ganhe U$ 30.00 (trinta dólares américo-nortistas) por hora (e na América nortista, em 2003, um ano de trabalho compreendia 2.080 horas), anualmente gastaria cerca de 29 horas e dez minutos para se livrar dos spams, o que significa US$ 874.00 (oitocentos e setenta e quatro dólares américo-nortistas).
Neste mesmo artigo consta que um usuário comum consome, pelo menos, 40 minutos semanais para tanto, o que significa um prejuízo anual de US$ 1,042.00 (hum mil e quarenta e dois dólares américo-nortistas), respeitado o valor de trinta dólares dos EUAN pela hora de trabalho.
Todas as leis da América supra-equatorial editadas anteriormente à Lei de 2003 da California preconizavam a adoção do sistema opt-out.
Enfim, o sistema opt-out (puro ou simulado) é a autorização legal para que os spammers possam aborrecer a quem bem quiserem, legalmente; é a imposição para que os cibernautas arquem com os custos do spam que é enviado. É uma espécie de telemarketing grátis - ¡mas grátis tão somente para os spammers!
Notas:
(1) Cf. in http://wyden.senate.gov/leg_issues/bills/s877_canspam.pdf. (voltar para o texto)
(2) Como sempre pontuei, estou convicto que não há necessidade de ser criada uma legislação penal extravagante para punir o spamming. Dependendo do modus operandi e das circunstâncias, o spamming pode ser configurado como contravenção (artigo 65 da Lei das Contravenções Penais), pois que o spamming implica em “molestar alguém ou perturbar-lhe a tranqüilidade, por acinte ou motivo reprovável”. O spamming também pode ser enquadrado em duas outras modalidades de crime: por afronta ao artigo 146 (“Constranger alguém, mediante violência ou grave ameaça, ou depois de lhe haver reduzido, por qualquer outro meio, a capacidade de resistência, a não fazer o que a lei permite, ou a fazer o que ela não manda”) ou por afronta ao artigo 265 (“atentar contra a segurança ou o funcionamento de serviço de água, luz, força ou calor, ou qualquer outro de utilidade pública”). (voltar para o texto)
(3) Vide artigos 6º, IV, 33, 36, 37 e §§, 39, II/IV, 43, § 2º, 51, I, VI, VII, VIII e IX, § único, 60, § 1º, 66 e §§, 67, 72, 73 e 78, todos do Código de Defesa do Consumidor. (voltar para o texto)
(4) Vide artigo 21 do Código Civil de 2002. (voltar para o texto)
(5) Vide artigo 5º, X, da Constituição Federal. (voltar para o texto)
Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.
Voltar ao índice de artigos
| Noticias |
Sistemas ubíquos podem trazer riscos à privacidade
30/3/2004 - 15:47 Redação InfoGuerra
Durante o evento Security Week 2004, que ocorreu entre os dias 16 e 18 de março, quatro profissionais brasileiros receberam o prêmio Secmaster 2003, por suas contribuições na área de segurança da informação. Entre os premiados, estava Francisco Milagres, mestrando em Ciência da Computação na USP de São Carlos, escolhido pelas pesquisas que vem desenvolvendo sobre segurança e privacidade em sistemas ubíquos.
O conceito por trás da chamada computação ubíqua envolve a interação entre dispositivos ― geralmente móveis ―, usuários e o ambiente ao seu redor. Tal interação tende a ser tão sutil que muitas vezes não chega a ser notada. Para fornecer as respostas requeridas, os sistemas ubíquos normalmente precisam coletar informações sobre os usuários, como identificação, preferências e histórico de uso. Em um ambiente como este, no qual a tecnologia estaria inserida em nosso cotidiano ainda mais do que hoje, é natural a preocupação com as questões sobre segurança e privacidade dos dados coletados.
O trabalho de mestrado de Milagres e seus colaboradores aborda estas questões, entre outras. Para aqueles que desejam saber mais sobre este intrigante assunto, InfoGuerra está disponibilizando um arquivo no formato PDF, que trata dos principais conceitos envolvidos no trabalho. Para acessá-lo, clique aqui.
O Prêmio Secmaster 2003 é uma iniciativa conjunta do Capítulo Brasileiro da Information Systems Security Association (ISSA) e da Via Forum. Informações sobre os outros premiados e seus trabalhos podem ser encontradas aqui.
| Artigos |
Os fins não justificam os e-mails - II
30/3/2004 - 0:00 Amaro Moraes e Silva Neto
Voltar ao índice de artigos
As primeiras leis anti-spamming do Planeta
Nevada foi o primeiro Estado américo-nortista -- e, ao que me consta, do mundo -- a apresentar um projeto de Lei anti-spam (a par de tal proposta não ser necessariamente anti-spamming) que se transformou em Lei - a de nº 13/98, do Senado daquele Estado.
Das subsecções 01 e 02, da secção 01, dessa Lei, depreende-se que spam é toda correspondência eletrônica não solicitada que oferece bens de raiz ou de consumo ou, então, serviços. Contudo não se configuraria o spamming se o destinatário da mensagem possuísse um relacionamento comercial pré-existente com o comerciante ou o prestador de serviços que lhe remeteu o email. Em caso de infração a essa Lei, seria aplicada uma multa de US$ 10.00 (dez dólares américo-nortistas) por spam enviado, o que pode chegar a um montante inexeqüível em se considerando que é comum um mesmo spammer enviar mais que um milhão de mensagens a cada vez que estorvar a rede mundial de computadores com o envio de seus indesejados comunicados.
Essa Lei também exigia que a mensagem fosse identificada e identificável como publicitária (bem como nela estivessem consignados o nome de seu representante legal e endereços físico e eletrônico) e que incluísse um mecanismo para que o destinatário pudesse manifestar seu desejo de não mais receber o lixo eletrônico que lhe estivesse sendo enviado. ¡E eis que surgiu o sistema opt-out!
Quatro são os pontos chaves da questionada Lei de Nevada (EUAN):
a) A necessidade de o spam ser identificado e identificável como informe publicitário;
b) O valor excessivo das multas;
c) A qualificação do spammer e
d) A adoção do sistema opt-out.
Desses quatro pontos, pelo menos dois sempre estão presentes nas Leis e nos projetos de Lei da América nortista que vieram depois.
Ao comentar essa Lei, Lance Rose ponderou que “se alguns [spammers] quiserem enviar seus spams para um grupo de pessoas, eles poderão assediar essas pessoas - embora não lhes peçam para comprar algo. Os spammers não vão mais pedir a essas pessoas que comprem algo. Os spammers simplesmente pedirão aos destinatários para ligarem para determinado número para mais informações” (1). Qual seja: a expressão “mensagem comercial” será um passaporte diplomático expedido aos spammers para que possam incomodar a quem bem lhes aprouver, indefinidamente, desde que não digam que sua proposta é comercial ou que proponha serviços.
Derradeiramente, Rose considerou essa Lei inconstitucional por legislar sobre questões além das fronteiras de seu Estado -- o que não é permitido pela Constituição da América nortista.
Se a Nevada coube a elaboração do primeiro PL anti-spamming, coube a Washington a promulgação da primeira Lei nesse sentido.
A Lei nº 7.752, de Washington (promulgada aos 25 de março de 1998) (2), inspirada no PL de Nevada, mantinha um figurino legislativo que, de modo igual, não se ajustava ao corpo dos fatos. Além disso, as vantagens concedidas aos spammers aumentaram, haja vista que eles não mais necessitavam disponibilizar um mecanismo de exclusão, como fica evidenciado na parte I, da 3ª secção (que regulamenta esse aspecto do spam), a saber:
(1) Nenhuma pessoa, corporação, parceria ou associação pode iniciar a transmissão de uma mensagem comercial via correio eletrônico a partir de um computador localizado em Washington ou para um endereço de correio eletrônico cujo remetente saiba -- ou tenha motivos para saber -- que é propriedade de um residente de Washington que:
(a) Utilize o domain name da Internet de terceiros sem sua permissão ou adultere, por outros meios, qualquer informação na identificação quanto a ponto de origem ou à transmissão do caminho de uma mensagem comercial via correio eletrônico, ou
(b) Contenha informações falsas ou enganosas no campo referente ao assunto.
Na seqüência afloraram projetos de Lei em quase todos os Estados américo-nortistas. Porém, dos 50 Estados, somente o da California (EUAN), em fins de 2003, fez uma legislação dissonante e adotou o sistema opt-in (onde se opta para entrar em um banco de dados, em vez de se optar para sair).
No Brasil, no início de 2004, tramitavam no Congresso Nacional os seguintes projetos de Lei exclusivamente destinados a um pretenso combate ao spamming:
PL nº 367/03, do senador Hélio Costa,
PL nº 2.186/03, do deputado federal Ronaldo Vasconcellos),
PL nº 2.423/03, do deputado Chico da Princesa,
PL nº 21/04, do senador Duciomar Costa e
PL nº 36/04, do senador Antonio Carlos Valadares.
Os três primeiros projetos adotavam o sistema opt-out simulado, enquanto os dois últimos adotavam, aparentemente, o sistema opt-in. Em comum tinham o espírito de punição sem limites (quer em multas civis, quer nas sanções penais).
Notas:
(1) Cf. in http://nj.npri.org/nj98/07/spam.htm. (voltar para o texto)
(2) Cf. in http://www.leg.wa.gov/pub/billinfo/1997-98/house/2750-2774/2752-s_pl_030798.txt. (voltar para o texto)
Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.
Voltar ao índice de artigos
| Noticias |
Nova versão do Netsky ataca sites P2P
29/3/2004 - 18:13 Redação InfoGuerra
Empresas antivírus como Trend Micro e F-Secure estão alertando o mercado para o surgimento e rápida disseminação de mais uma variante do Netsky, batizada com a letra Q. Segundo a Trend Micro, que classificou a praga como de risco médio (alerta amarelo), o Netsky.Q está causando um grande número de infecções na Ásia, especialmente no Japão e na China, e na Europa, em países como França e Alemanha. A novidade desta variante são os ataques de negação de serviço (DoS) que deverá lançar, de 8 a 11 de abril, contra diversos sites, entre os quais os das redes P2P Kazaa, eDonkey e eMule.
Como as outras versões do Netsky, a variante Q usa seu próprio mecanismo SMTP (Simple Mail Transfer Protocol) para se propagar via e-mail, com campo de assunto, corpo da mensagem e arquivo anexo bastante variados. Os endereços de e-mail usados, tanto no campo do remetente como do destinatário, são retirados de arquivos com certas extensões encontrados no computador infectado. As mensagens, portanto, são forjadas e o endereço do remetente não deve ser usado como indicativo de contaminação da máquina supostamente comprometida.
O Netsky.Q, a exemplo das últimas variantes desta praga, aproveita-se de uma conhecida vulnerabilidade do Internet Explorer envolvendo o cabeçalho MIME (Multipurpose Internet Mail Extensions), usado para inserir arquivos em mensagens eletrônicas. A brecha de segurança, que já foi explorada com sucesso por vírus como Klez e BugBear, permite que um anexo de e-mail seja executado apenas com a visualização de uma mensagem HTML, sem necessidade de que o usuário clique no arquivo. A falha já tem correção desde 2001, mas sabe-se que muita gente simplesmente não atualiza seus sistemas.
Entre os dias 8 e 11 de abril (ou 7 e 12 de abril, de acordo com a F-Secure), o Netsky.Q está programado para atacar os sites kazaa.com, edonkey2000.com, emule-project.net, cracks.am e cracks.st. Os dois últimos endereços pertencem a conhecidos sites de “cracks”, isto é, programas para burlar o registro de softwares pagos. Isto leva a crer em mais uma desavença entre os criadores do vírus e outros integrantes do underground da Internet.
O Netsky.Q foi escrito com a linguagem de programação Microsoft Visual C++ e ataca os sistemas Windows 95, 98, 2000, NT e XP. As principais empresas antivírus já possuem “vacinas” para detectar e eliminar a praga, por isso é importante que o usuário atualize seus programas de proteção.
Leia também:
Symantec eleva nível de risco do vírus Netsky.D
Empresa antivírus envia vírus aos clientes
Vírus Netsky.C é considerado de alto risco
| Destaque |
Especial: Os fins não justificam os e-mails
29/3/2004 - 6:08 Redação InfoGuerra
A partir desta segunda-feira, 29/03, InfoGuerra publica um ensaio inédito batizado com o ótimo título de "Os fins não justificam os e-mails". De autoria do advogado paulistano Amaro Moraes e Silva Neto, o ensaio é composto de 15 textos, que serão publicados durante três semanas, um a cada dia (excetuando-se os sábados e domingos). Trata-se de um minucioso estudo das leis e projetos de leis que têm tentado limitar o abuso no envio de mensagens eletrônicas publicitárias em massa ― o famigerado spam.
Com seu estilo particular de escrever e uma dose de ironia que sempre acompanha seus textos (a começar pela escolha do título deste ensaio), Silva Neto faz um apanhado histórico sobre o tema, desde as primeiras tentativas legais no planeta para conter o spam, até os mais recentes projetos de lei brasileiros, passando por definições cruciais para o entendimento do assunto, como opt-in e opt-out. O autor ainda destrincha os projetos apresentados e aponta-lhes as falhas.
Se você quer aprofundar seus conhecimentos sobre como o ordenamento jurídico brasileiro tem tratado o spam no país, não pode deixar de ler os 15 artigos que compõem este ensaio. Clique nos links abaixo para acessar cada um deles:
Os fins não justificam os e-mails - A fonte dos projetos de lei anti-spam no Brasil
As primeiras leis anti-spamming do Planeta
Origem e conceituação do sistema opt-out
Os primeiros Projetos de Lei exclusivamente anti-spamming do Brasil
O sistema opt-out simulado
O primeiro spam a gente nunca esquece
O sistema opt-out e as provas
O sistema opt-in
O primeiro PL federal brasileiro a adotar o sistema opt-in
No legislativo nada se cria, tudo se copia
Propostas anti-spamming da sociedade civil
O terror que vem do ciberespaço
O ciberespaço, o legislador brasileiro, as penas e as multas
Perdimento de razão no ciberespaço I (as leis da América Nortista)
Perdimento de razão no ciberespaço II (os Projetos de Lei brasileiros)
| Artigos |
Os fins não justificam os e-mails
29/3/2004 - 5:29 Amaro Moraes e Silva Neto
Voltar ao índice de artigos
A fonte dos projetos de lei anti-spam no Brasil
Os trabalhos de nossos nobres legisladores federais (deputados e senadores), relativamente às propostas anti-spamming apresentadas até os primeiros meses de 2004, refletiam uma influência doutrinária alienígena não condizente com o sistema legislativo brasileiro; e o pior: somente atendiam aos interesses dos spammers.
A proposta de uma legislação para a Internet, além de ser desnecessária, não leva em conta as opiniões dos usuários, dos técnicos em comunicação, dos técnicos em informática, dos profissionais do Direito &c.
Com o surgimento dessa supermídia, como era de se esperar, vieram à tona diversos problemas, aparentemente sem solução no ordenamento jurídico pátrio. Entrementes, antes que houvesse uma análise mais profunda do que ocorria, a idiossincrática legismania que sempre assolou o País mais uma vez se fez presente e, de pronto, nossos solícitos hominis legis, em vez de tentarem resolver nossos problemas sócio-jurídicos com soluções nascidas de nossas tradições (e contradições), preferiram se valer de projetos de Lei e de Leis de outras terras ― que necessariamente não se ajustam e não se aplicam à realidade brasileira. Preferiram a cópia barata à criatividade. Regrediram na escala evolutiva para aquém das esponjas, as quais pelo menos devolvem a água que ingerem.
Como seria esperado, o resultado foi uma plena e absoluta inadequação, vez que o que é quadrado não é feito para se encaixar no que é circular.
Mas nem todos os PLs em trâmite nos primeiros meses de 2004 foram cópia fiel ― e exangue de criatividade ― a doutrina ou da legislação além fronteiras. Um exemplo, entre os projetos de Lei então em trâmite no Congresso Nacional, é o PL nº 89/2003 (1) ― ao menos em sua última alteração (2).
Assim, caso se faça imperante uma mudança na Legislação em decorrência da Internet, que tal se proceda nos moldes preconizados pelo projeto de Lei nº 89/2003 (sucessor do PL nº 84/99) e não através de Leis extravagantes, cujos projetos serão mais adiante analisados. Eis a parte desse PL destinada a combater o spamming.
Artigo 6º - os artigos 265 e 266, ambos do decreto-lei nº 2.848, de 07 de dezembro de 1940 (Código Penal) passam a vigorar com as seguintes alterações:
“Atentado contra a segurança de serviço de utilidade pública”
Artigo 265 - atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor ou telecomunicação, ou qualquer outro de utilidade pública:
.............................. (NR)
“Interrupção ou perturbação de serviço telegráfico ou telefônico”
Artigo 266 - interromper ou perturbar serviço telegráfico, radiotelegráfico, telefônico ou de telecomunicação, impedir ou dificultar-lhe o restabelecimento:
.............................. (NR)
No entanto esses adendos são dispensáveis porque a Internet é, intrinsecamente, um serviço de utilidade pública em razão de sua utilização objetivar, entre outras coisas, a educação (ou instrução pública) e a construção de estabelecimentos virtuais destinados ao bem geral da comunidade (3).. Além disso, a Internet se equipara a um serviço público por ser prestado por empresas de comunicação.
Consoante o ordenamento jurídico pátrio, “têm esse direito certas empresas de transporte, de fornecimento de luz ou água; estabelecimentos de ensino ou assistência social, fundações, associações esportivas, culturais, artísticas, científicas, etc.. (4)”. E todas existem na Internet.
Em poucas palavras: a Internet não apenas é um serviço de utilidade pública, como é o maior serviço de utilidade pública do Planeta, desde que se tem a idéia do que é um serviço de utilidade pública. O comércio, a indústria, o sistema financeiro, os cidadãos e os três Poderes da República, entre tantos outros, valem-se da Internet para alcançarem seus objetivos. ¿Como, então, não considerá-la um serviço de utilidade pública, nos termos dos vigentes artigos 265 e 266 do Código Penal?
“Mas é proibida a analogia em questões penais”, poderá me retrucar quem faz essa leitura.
Concordo, não poderia ser diferente. Entretanto não estou a me valer de um raciocínio analógico, mas, isso sim, de um raciocínio extensivo e abrangente ― o que não só é autorizado como também é bastante apreciado pela boa doutrina e pela praxis forense.
Pobre do exegeta cujo coração não possuir uma aurícula analógica e outra extensiva; um ventrículo avaliando o passado e outro tentando imaginar o futuro. Se não for assim, seu coração estará incapacitado para permitir que flua em suas veias o sangue que exorta a eterna revisão, que permite que a doutrina leve oxigênio aos julgados para cristalizar a jurisprudência, ou seja, o direito com prudência. Enfim, o exegeta deve agir com a mesma atenção dos motoristas de automóveis: ao mesmo tempo que olham para a frente não descuidam com o que passou e, pelo espelho retrovisor, verificam o que existe atrás.
Mesmo sem as alterações legislativas propostas, o exegeta sabe que o spamming é de ser punido nos moldes da legislação vigente.
Notas:
(1) O PL nº 89/2004 (aprovado pelo plenário da Câmara aos 05 de novembro de 2003) é sucessor do PL nº 84/99. Ambos são de autoria do deputado federal Luiz Piauhylino (PSDB/PE). (voltar para o texto)
(2) Esse PL sofreu mudanças radicais desde sua apresentação até sua aprovação pelo plenário da Câmara. Não é exagero dizer que mudou da água para o vinho. (voltar para o texto)
(3) Apesar da expressão “utilidade pública” constar da Constituição Federal de 1988, não é lá que será encontrada a sua definição. Será necessário mergulhar no artigo 590, § 2º, I e II, do vetusto Código Civil de 1916, e no artigo 910, da CLT, para serem tomados os elementos que justificam a Internet como um serviço e um instituto de utilidade pública. (voltar para o texto)
(4) NUNES, Pedro, DICIONÁRIO DE TECNOLOGIA JURÍDICA, 10ª edição, Volume II (G-Z), Livraria Freitas Bastos S/A (Rio de Janeiro/RJ), 1997, fls. 863. (voltar para o texto)
Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.
Voltar ao índice de artigos
COMENTE O ASSUNTO (1) |
RECOMENDE INFOGUERRA |
ENVIE ESTA NOTÍCIA
| Destaque |
Antigos spammers são acusados de lesar consumidores
26/3/2004 - 12:46 Giordani Rodrigues
Lembra-se de Diar e Econoshop, nomes de dois sites que o antigo Museu do Spam costumava chamar de "cancro da Internet brasileira", por causa da quantidade de lixo eletrônico que enviavam para a caixa postal dos internautas? Os sites já não mais existem e os responsáveis pelos negócios mudaram de tática e aparentemente já não mais enviam spam ― agora estão fazendo campanhas publicitárias em alguns dos maiores portais do Brasil. Mas o tipo de produto que vendem e alguns procedimentos comerciais que tomam continuam muito parecidos e sujeitos a denúncias de consumidores que se sentem lesados.
Antes, os spams de Diar, Econoshop e outros sites do mesmo grupo ofereciam produtos miraculosos, como gel para eliminar gorduras do corpo em apenas uma hora, aparelho para modelagem física sem esforço, cápsulas para aumentar a capacidade cerebral, e eliminador de ar em canos para reduzir a conta de água. Hoje, sites como ereto.com.br, emagrecerdormindo.com.br, instantcelluliteeraser.com.br e hairplus.com.br oferecem, como os próprios nomes sugerem, produtos para enrijecer e desenvolver o pênis, emagrecer dormindo, eliminar celulite instantaneamente e fazer crescer cabelo.
Talvez os sites passassem despercebidos entre tantos outros do gênero que se espalham pela Internet, não fosse o fato de que seus banners de divulgação têm aparecido há semanas em portais como UOL, MSN, Yahoo!, iG e outros. Todos os endereços estão sob responsabilidade administrativa de Luiz Eduardo Auricchio Bottura, o mesmo nome que figurava nos cadastros do Registro.br ligado aos domínios diar.com.br e econoshop.com.br.
Alguém pode dizer que os produtos anunciados são de duvidosa eficácia, mas o problema com os sites começa mesmo com alguns métodos que o “departamento comercial” é acusado de usar. A queixa principal dos consumidores, desde a época da Diar/Econoshop, é a de ter recebido um produto sem ter solicitado e, ao tentarem devolver a mercadoria, são ameaçados – sutilmente ou não – de ter o nome incluído no Serviço de Proteção ao Crédito (SPC).
O comerciante Alan Rodrigues da Silva, de Pouso Alegre, Minas Gerais, é um dos que passou por esta situação no começo deste ano e procurou a redação de InfoGuerra para denunciar o caso. Ele está com uma audiência marcada para esta sexta-feira, no Juizado Especial de sua cidade, onde protocolou uma ação contra Shoptura.com Internet do Brasil Ltda., nome da entidade responsável pelo domínio ereto.com.br.
Ele conta que no dia dia 8 de janeiro de 2004 navegava pelo portal MSN quando viu um banner apresentando um produto chamado “Ereto”. Clicou no banner e, de imediato, abriu-se uma tela promocional com os dizeres: "preencha os campos abaixo e concorra a um Ereto e a descontos”. Esta tela já não mais aparece quando se acessa a página inicial do site ereto.com.br, mas realmente aparecia há algumas semanas e ainda houve tempo de salvar uma cópia dela, que pode ser vista aqui.
Alan Rodrigues preencheu seus dados supondo que estaria concorrendo a um sorteio, mas afirma que não fez opção de nenhuma compra. Qual não foi sua surpresa quando, uma semana depois, seus filhos encontraram no quintal de sua casa uma caixa sem identificação, apenas com seu nome na embalagem. “O correio não tocou a campainha, nem assinamos nada”, garante. "Eles enviam as mercadorias por correspondência comum, que não necessita de assinatura do destinatário para ser entregue". Dentro da caixa estavam três boletos de cobrança, o aparelho Ereto com um manual, e uma “nota relevante”' ― é assim que vem escrito, segundo Alan – na qual se lia o seguinte: “Você se inscreveu para ganhar um Ereto ou descontos e ganhou um incrível desconto de 66% no frete”.
”A tal nota segue com diversas ameaças de cobrança do 'valor real' do produto (o dobro) caso a pessoa não pague, e ainda inclusão no SPC”, afirma o consumidor. Depois de várias tentativas frustradas de contato com o site, que não tem nenhum número de telefone à mostra, Alan finalmente recebeu um e-mail do endereço sac@ereto.com.br, alegando que, após pesquisas do caso, “foi levantado que não houve nenhuma irregularidade”. O atendente afirma que “o cadastro efetuado foi para comprar ganhando descontos ou até sem ter que pagar nada” e que “o desconto de quase 70% foi dado no frete”.
Em seguida, a mensagem pede que o cliente leia as “normas contratuais” presentes na página www.ereto.com.br/normas, cujos termos são “de caráter obrigatório e vinculativo”. Se qualquer pessoa não os aceitar “deverá se abster de utilizar o site e/ou os serviços”. O link dessa página não está presente no menu principal do site ou no formulário de pedido do Ereto. A única referência à página, sem o link, está no último item da página “modo de usar”, que afirma literalmente o seguinte: “Ao comprar o cliente declara conhecer e aceitar todas as normas presentes no site (/normas)”.
A pedido de InfoGuerra, a advogada Eliane Saldan analisou o caso de Alan Rodrigues da Silva e constatou a presença de várias possíveis irregularidades. “Percebo que a situação relatada pode representar violação do Código de Defesa do Consumidor (CDC), crime contra as relações de consumo (Lei 8.137/90) e mesmo o crime tipificado no artigo 172 do Código Penal (duplicata simulada)”, opina a advogada.
Entre os artigos citados por Saldan, estão: o artigo 6o do CDC, que versa sobre “proteção contra a publicidade enganosa e abusiva, métodos comerciais coercitivos ou desleais, bem como contra práticas e cláusulas abusivas ou impostas no fornecimento de produtos e serviços”; o artigo 39 do CDC (“enviar ou entregar ao consumidor, sem solicitação prévia, qualquer produto, ou fornecer qualquer serviço”); o artigo 66 do CDC (“fazer afirmação falsa ou enganosa, ou omitir informação relevante sobre a natureza, característica, qualidade, quantidade, segurança, desempenho, durabilidade, preço ou garantia de produtos ou serviços”) e o artigo 7o da lei 8.137/90, que dispõe sobre os crimes contra as relações de consumo (“induzir o consumidor ou usuário a erro, por via de indicação ou afirmação falsa ou enganosa sobre a natureza, qualidade do bem ou serviço, utilizando-se de qualquer meio, inclusive a veiculação ou divulgação publicitária”).
O caso de Alan Rodrigues é apenas o mais recente, mas InfoGuerra já recebeu pelo menos mais duas queixas semelhantes de outros consumidores que se sentiram lesados pelo mesmo grupo de pessoas, ao receberem produtos que não solicitaram e ameaças de ter o nome “negativado”. Tentamos fazer contato com Luiz Eduardo Auricchio Bottura, mas as chamadas para o telefone (11-3487-2188) presente em seu cadastro no Registro.br caem em um suposto call center terceirizado. As chamadas para o telefone celular dele caem na caixa postal. Também foram enviadas mensagens de e-mail para Bottura e para o serviço de atendimento do Ereto, mas até o momento de publicação desta reportagem nenhum esclarecimento foi dado.
Leia também:
Domínios de spammers notórios são cancelados
Registro.br devolve domínios de spammers
| Destaque |
Resenha: Roubando este computador
24/3/2004 - 11:52 Marcos Machado
|
| Noticias |
Grupos de segurança e redes ainda aceitam trabalhos
24/3/2004 - 10:19 Giordani Rodrigues
O Grupo de Trabalho em Segurança de Redes (GTS) e o Grupo de Trabalho de Engenharia e Operações de Redes (GTER) estenderam até esta quarta-feira, 24/03, o prazo para envio dos resumos de trabalhos que deverão ser apresentados pelos interessados na reunião conjunta, que acontece em São Paulo, de 18 a 20 de abril. O evento é patrocinado pelo Comitê Gestor da Internet no Brasil e está aberto a toda a comunidade de Internet do país.
Os trabalhos para o GTS e para o GTER devem tratar preferencialmente de aplicações práticas nas áreas de segurança e de redes. Como em anos anteriores, vários tópicos estão sendo sugeridos por cada grupo. Detalhes de como devem ser as apresentações do GTS podem ser encontrados em https://www.unesp.br/gts/chamada.htm e do GTER em http://eng.registro.br/gter17/call.html.
A reunião ocorrerá no Centro de Convenções Frei Caneca, na Rua Frei Caneca, 569. Mais informações podem ser obtidas aqui.
| Destaque |
O terrorismo digital e a defesa da privacidade
18/3/2004 - 21:05 Rinaldo Ribeiro
Uma pessoa, ao tomar um avião em um aeroporto nos EUA, faz uma chamada telefônica em pleno vôo para um amigo. Durante a conversa, faz uma piada, e diz que é um grão-mestre da Al Qaeda e que Osama bin Laden foi convidado para jantar em sua casa. Pronto. Isto é motivo suficiente para o FBI, a polícia federal americana, interceptar a chamada e forçar o retorno do avião. Um episódio semelhante aconteceu recentemente, e foi divulgado em diversos noticiários pelo mundo, o que nos faz pensar pelo menos em um detalhe: como essa chamada foi particularmente interceptada? Não seria mais simples entender se na verdade um conjunto muito maior de chamadas foi e é monitorado constantemente, e algumas palavras chaves fizeram com que o interesse do FBI aumentasse neste caso? Em nome da batalha contra o terrorismo, a privacidade de muitos pode estar sendo completamente devassada.
Um relatório do “Administrative Office of the United States Courts”, divulgado no ano passado, mostra que nos 1358 casos em que houve necessidade de intervenção legal para monitoração, leia-se grampos ou medidas semelhantes, em apenas 16 casos foi encontrado algum tipo de criptografia na comunicação. Mesmo nestes casos a interceptação aconteceu sem dificuldades, o que nos mostra claramente a ineficiência dos métodos utilizados. Por imposição da lei ou por motivações diversas, grampos, escutas e artimanhas variadas são utilizados para monitoração de comunicações alheias. Percebemos, também pela infinita quantidade de notícias sobre o tema, que atualmente não existe grande dificuldade para se interceptar uma chamada telefônica.
Somamos a este cenário o crescimento de comunicações de VoIP, termo utilizado para “Voz sobre IP” em inglês, que significa a codificação da voz em pacotes IP para serem transmitidos pela rede. Na prática estamos falando da possibilidade de comunicação de voz sem a necessidade de linhas ou companhias telefônicas tradicionais. O que acontece é a transmissão de dados com voz encapsulada, podendo utilizar até a Internet. Cada vez mais vemos novos produtos e novos serviços, cenário que mudará bruscamente quando o serviço for finalmente regulamentado no país. Será que a mesma facilidade de grampos e monitorações variadas existe no mundo de comunicações de VoIP?
Certamente com o surgimento de uma nova tecnologia, desta vez com níveis crescentes de adoção e utilização, novas técnicas e mecanismos de monitoração serão exigidos. Como seria a mesma interceptação do caso do avião se a chamada fosse realizada por VoIP? O FBI e diversas outras organizações estão se perguntando e já estão tomando ações para que este cenário seja possível. Mesmo assim continuam preocupados pois sabem que novos problemas exigem novas soluções, desta vez, muito mais complexas.
A comunicação de voz através de transmissão de dados por redes de computadores pode também ser monitorada. Certamente, trata-se de um novo tipo de monitoração, diferente do tradicional grampo. Tendo-se acesso a um segmento de rede por onde o tráfego de voz é transmitido, seria possível capturar os pacotes e praticamente “gravar” a conversação realizada. O mesmo processo é ou seria utilizado para monitoração de outros tipos de tráfego como e-mails e acessos a Web.
Em notícia publicada em 12 de março de 2004, o site News.com informa que o FBI deseja solicitar que todos os provedores de banda larga, incluindo DSL e cabo, modifiquem a estrutura de rede para facilitar a monitoração. A matéria cita explicitamente o tráfego de VoIP.
É importante dizer que mecanismos existentes na VoIP, ou seja nos protocolos como H323 e SIP, por si só não garantem a confidencialidade das informações. Alguns usuários possuem a falsa sensação de que teriam uma comunicação segura pelo simples fato de utilizar um “telefone IP”. Não é verdade. Já existem programas disponíveis livremente na Internet que capturam e remontam chamadas telefônicas realizadas por VoIP, demonstrando apenas a “ponta do iceberg” em termos de produtos e mecanismos existentes. Este quadro muda sensivelmente com a adoção de criptografia. A voz neste caso, tratada como um pacote de dados, pode ser criptografada utilizando tecnologias de alto nível de segurança.
Utilizando-se redes de computadores e VoIP, ao contrário da telefonia tradicional, é possível interagir de forma mais simples com a transmissão da voz, incluindo novas camadas de segurança, como autenticação e criptografia.
Os mesmos 16 casos citados no relatório, em que existia algum tipo de criptografia na comunicação tradicional, poderiam ser praticamente à prova de escutas e grampos se considerarmos a voz sobre IP. A criptografia disponível atualmente, como o algoritmo “rijnadel”, novo AES – Advanced Encryption Standard - escolhido para substituir o antigo DES no governo americano, é apenas um exemplo do que poderia ser utilizado para garantia de sigilo em VoIP.
A falta de privacidade torna-se evidente a cada dia que passa. Mas diante de um cenário de risco constante de ataques terroristas no mundo, onde o crime está cada vez mais organizado, a mesma tecnologia poderia ser útil e/ou extremamente perigosa. Dependendo de como for utilizada, poderia garantir um canal seguro de comunicação entre facções criminosas espalhadas pelo mundo, ou uma forma de garantia de privacidade para os cidadãos comuns.
Muito ainda estar por vir e o cenário mundial está em constante mudança no que diz respeito a voz sobre IP. O importante é que enquanto profissionais e usuários de tecnologia precisamos ficar atentos aos impactos que podem ser causados em nossas vidas, profissionais e pessoais. Afinal, queremos privacidade, mas a que preço?
Rinaldo Ribeiro é gerente de tecnologia da 3Elos Segurança em TI e especialista em segurança da informação.
| Artigos |
Mitos de segurança: Certificações
18/3/2004 - 0:00 Nelson Murilo
Em algumas áreas do conhecimento a certificação dá credibilidade ao possuidor. O orgulho em exibir um certificado, um diploma ou equivalente pode ser visto em clínicas médicas, escritórios de advogados e até em oficinas mecânicas. Um fabricante treinar clientes e ao final do curso afirmar, com uma declaração ou certificado, que o aluno está apto a utilizar corretamente seus produtos parece bastante razoável, mas será que faz algum sentido exigir certificados em áreas tão sensíveis como a de consultores de segurança?
Existem, atualmente, várias empresas (nacionais e internacionais) que dizem treinar profissionais em segurança de computadores. Alguém por acaso tem se perguntado porque mais e mais empresas estão entrando nesse mercado? Vamos às outras perguntas antes das possíveis respostas.
A pergunta inicial, talvez metafísica, seria: Quem certifica a empresa certificadora?
Elaborando um pouco mais: Com que prerrogativa uma empresa se outorga o direito de dizer que alguém está ou não qualificado para desempenhar o papel de profissional de segurança? Quais os atributos uma empresa deveria ter para pretender certificar terceiros?
Alguns diriam que o mercado certamente se encarrega de eleger os melhores, mas que mercado? Como já vimos anteriormente, as empresas que têm necessidade de segurança têm encontrado (no mundo inteiro) muita dificuldade de avaliar tecnicamente as opções. Não é raro encontrar grandes empresas que se deixaram levar por atributos não-técnicos de empresas igualmente grandes que dizem vender segurança, com uma propaganda contínua e agressiva, e deixam de perceber que a qualidade do serviço de segurança prestado nem de longe lembra a que foi vendida. Isso, em muitos casos, passa a nivelar por baixo as empresas de segurança, já que o contratante acaba por achar que, se as grandes empresas da área fazem esse péssimo trabalho, o que esperar das demais?
Outras empresas optam por soluções caseiras, e elegem um profissional do quadro para atividades para as quais ele não foi minimante treinado. O resultado disso são as rotineiras perguntas em listas de discussão, expondo detalhes das próprias instalações, tornando o ambiente um alvo fácil para ataques. São somente alguns exemplos de que o mercado não tem qualquer condição de avaliar as qualificações de uma suposta empresa certificadora.
Examinemos, então, a certificação contrapondo-a com o perfil necessário a um profissional de segurança. A área essencialmente é dinâmica, novos métodos de ataque, ferramentas e mecanismos de proteção são criados diariamente, por outro lado um profissional certificado será sempre certificado, independentemente da época. Raras são as empresas certificadoras que ao menos sugerem (nenhuma obriga, por exemplo poderiam exigir uma reciclagem sob pena de perda de certificado) aos seus membros certificados atualizações periódicas.
A característica crucial em um consultor de segurança é a ética, e nenhuma empresa tem condições de avaliar esse aspecto. Qualquer um que tenha dinheiro para pagar e conseguir passar nos testes recebe o certificado. No Brasil temos exemplos reais de pessoas com passado de ataques a redes e outras atividades ilícitas, hoje exibindo certificados muito bem aceitos no mercado (novamente o mercado...). Veja o contra-senso: pessoas com antecedentes criminais não podem prestar exame para academias de polícia, mas vários atacantes brasileiros, inclusive os já processados por delitos na área de informática, têm conseguido obter sem problemas certificados na área de segurança.
Outro ponto é a forma como os certificados são vendidos. Certificados não técnicos são vendidos como tal, causando confusão ainda maior em quem pretende contratar serviços de segurança de rede, por achar que o simples fato de ter um ou mais profissionais certificados (por empresas certificadoras que ele nem conhece, mas que os portadores imputam grande valor ) pode ser um diferencial importante. Quanto ao certificado em si não quer dizer nada, visto que é muito raro alguém pagar, fazer o treinamento ou teste e não receber um, qualquer que seja ele. Até porque, na maioria dos testes, o pretendente deve conhecer algumas áreas com detalhes e outras é necessário apenas ter noção, então se o certificado, em tese, cobre uma gama vastíssima de áreas, como, criptografia, políticas de segurança, planos de contingência, entendimento de protocolos de rede, conhecimento de ameaças, gerenciamento de rede, entre outras. O portador do certificado pode vender a parte que achar mais conveniente mesmo que, na prática, tenha somente “noção” daquele determinado item.
Se o certificado parece ser um diferencial, o que acontecerá se ou quando todos os profissionais forem certificados? Aliás essa é uma forma perversa de seleção, visto que os certificados têm custo alto e pessoas com boa experiência mas com menor poder aquisitivo são postas automaticamente fora da disputa por uma vaga.
Na prática o que se tem visto são empresas contratantes, que, acreditando nos certificados de funcionários de empresas que se esmeram em promovê-los, terminam pagando para serem cobaias em serviços que esses profissionais não têm nenhum conhecimento prático. A coisa vira uma bola de neve, já que ao longo do tempo não satisfeita em vender aos funcionários certificados, algumas empresas passam então elas próprias a atuar como certificadoras, qualificadas por elas mesmas, e têm como conseqüência imediata o fato de que todos os seus funcionários passam a ser certificados, e esses mesmos funcionários, alunos no curso anterior, passam agora a atuarem como instrutores para os cursos seguintes.
Por fim, vale a pena citar que facilita enormemente o trabalho do setor de recursos humanos contratar profissionais em áreas que o RH não tem afinidade, basta ver o que tem maior número de certificações e passam a imaginar que este seria o mais qualificado.
Então qual seria a forma correta de contratação de serviços e profissionais de segurança?
Certamente os critérios que balizam qualquer escolha devem ser a ética e a qualidade técnica.
Mas como avaliar essas características?
Da mesma forma como são contratados prestadores de serviço para serviços domésticos de confiança: referências. O que adianta uma babá com ISO 9000 se ela tem um histórico de maus-tratos?
Pergunte sobre a empresa que pretende contratar aos clientes atuais e/ou a ex-clientes. Principalmente investigue a conduta ética, se alguma informação confidencial de clientes já vazou de alguma maneira, ou com que impressão o corpo técnico ficou dos profissionais e do serviço. Deve-se tomar muito cuidado também com empresas que, logo após sua rede sofrer um ataque ou invasão, se apresentam imediatamente oferecendo proteção.
Trecho reproduzido do livro Segurança Nacional, de Nelson Murilo de Oliveira Rufino. Copyright 2002, Novatec Editora. Para comprar o livro, clique aqui.
Leia também:
Mitos de segurança: Firewalls
Mitos de segurança: Senhas
Mitos de segurança: Ataques e defesas
| Artigos |
Mitos de segurança: Ataques e defesas
17/3/2004 - 23:58 Nelson Murilo
"Para saber defender é preciso saber atacar"
Ter conhecimento de métodos e técnicas de ataque é importante para identificar possíveis vulnerabilidades e tornar o ambiente mais seguro. Porém, diferentemente do que possa parecer à primeira vista, habilidades para atacar não qualificam alguém para montar mecanismos de defesa. Defesa e ataque são funções totalmente distintas, não são sequer atividades assemelhadas.
Atacantes, se tiverem um objetivo definido, podem ficar tentando explorar inúmeras possíveis vulnerabilidades, antigas ou recentes, conhecidas ou descobertas domesticamente, podem tentar métodos menos ortodoxos, como engenharia social, revirar lixo e tentar acesso físico ao local desejado. Atacantes são oportunistas, podem esperar para atacar num momento de fragilidade da vítima, que vai desde atraso na instalação de correções ou, ao contrário, uma atualização apressada, utilizar uma janela de tempo em que um serviço antigo ainda coexiste com um mais recente e mais seguro; podem tentar induzir um funcionário a executar um cavalo de tróia, ou mesmo se aproveitar de alguma situação específica, como diminuição da segurança para economizar energia, por exemplo. Métodos de ataque podem ser repetidos sem modificações em praticamente todos os ambientes, podem ser automatizados e não costumam exigir conhecimento técnico para quem somente executa os procedimentos (evidentemente que quem os cria deve possuir essas habilidades), tornando, na maioria dos casos, os atacantes simples apertadores de botões. Atacantes que não têm alvo definido costumam dominar somente um ou dois métodos de ataque, e reproduzem os mesmos procedimentos em vários ambientes, até achar um ou mais ambientes que ainda permitam ataques bem-sucedidos.
Topologias, metodologias e demais aspectos de defesa não podem ser reproduzidos de um ambiente para outro, sob pena de permitir brechas de segurança. Da mesma forma que a montagem de estruturas de defesa de boa qualidade deve contemplar mecanismos de bloqueio contra ataques conhecidos, mas também deve possuir mecanismos preventivos, ou seja, o que fazer quando algo falha, quais alternativas emergenciais devem ser adotadas quando um problema identificado, por qualquer razão, ainda não puder ser definitivamente corrigido. Deve identificar os pontos vulneráveis do ambiente (para isso basta poder de observação e conhecimento técnico, não precisa existir necessariamente habilidades para saber atacar), eliminar ou reduzir as vulnerabilidades existentes e monitorar com mais atenção o que não pode ser corrigido.
A defesa exige que o administrador esteja sempre atualizado não só em relação aos novos problemas de segurança (como fazem ou deveriam fazer os atacantes), mas também estar a par das opções técnicas de defesa, novas ferramentas, métodos e possibilidades de implementação e integração com o restante do ambiente, enfim estar informado das maneiras de tornar o ambiente mais seguro possível. Atacantes podem agir à medida que as vulnerabilidades são divulgadas, mas defensores não devem adotar essa postura, o ambiente por ele administrado deve, na pior das hipóteses, reagir imediatamente quando um ataque não previsto ocorrer. Identificar a existência de um problema somente quando ocorrer um ataque não parece ser a maneira de agir ideal de um administrador preocupado com a imagem e as informações da empresa para qual ele trabalha.
Finalmente, se compararmos com qualquer outra atividade, vemos que ataque e defesa têm aspectos completamente diferentes. Somente no campo dos esportes os exemplos são muitos: no futebol americano existe um time exclusivo somente para defesa; no futebol como conhecemos, é inconcebível imaginar que um Romário possa ter uma atuação próxima da categoria de um Mauro Galvão e vice-versa; no vôlei foi criada a figura do líbero, com o único objetivo de promover defesas; mesmo onde teoricamente as duas coisas deveriam andar juntas, nas lutas, os praticantes fazem opção por aprimorar um ou outro aspecto.
Trecho reproduzido do livro Segurança Nacional, de Nelson Murilo de Oliveira Rufino. Copyright 2002, Novatec Editora. Para comprar o livro, clique aqui.
Leia também:
Mitos de segurança: Firewalls
Mitos de segurança: Senhas
Mitos de segurança: Certificações
| Noticias |
Internet em hotéis e aeroportos oferece riscos a executivos
17/3/2004 - 18:37 Redação/Divulgação
O acesso a redes corporativas por meio de conexão banda larga oferecido por hotéis a executivos em viagem não garante a segurança dos dados. É o que revelou o boletim "Remote Insecurity" promovido pela Secure Computing, companhia especializada em proteger redes de computadores.
O relatório foi desenvolvido pelo consultor independente de segurança, Rodney Thayer, da Canola/Jones Internet Investigations, em São Francisco, nos Estados Unidos, e documenta os sérios riscos de roubos de senhas que executivos encontram ao acessar a Internet a partir de hotéis, cafés, aeroportos e quiosques.
Mesmo dentro de cômodos fechados em hotéis é arriscado usar conexões padrão de banda larga para o acesso à Web. Thayer mostrou como um hóspede pode usar um software com um laptop conectado à rede local e visualizar informações do disco rígido de outros hóspedes que tenham permitido o compartilhamento de arquivos em seus PCs, o que permitiria a obtenção de dados corporativos e senhas.
De acordo com o consultor, pontos de acesso wireless são os mais vulneráveis. Testes feitos em um cibercafé de um aeroporto e em uma rede de coffee shops mostraram que o fluxo de dados sem codificação em laptops de clientes é facilmente reconhecido por outro usuário que esteja por perto com um software "farejador".
Softwares espiões que registram a digitação em teclados (keyloggers) também podem ser baixados secretamente e instalados em terminais públicos que não foram devidamente assegurados, permitindo a coleta e roubo de senhas ou informações particulares. Mesmo uma estação com segurança adequada pode deixar vulnerável um executivo em viagem por meio apenas da observação de um indivíduo mal-intencionado.
A pesquisa completa pode ser encontrada aqui.
| Artigos |
Mitos de segurança: Senhas
16/3/2004 - 23:27 Nelson Murilo
"Senhas tem que ser trocadas regularmente"
Senhas podem ser descobertas por escuta de rede, observação, captura de teclado, engenharia social ou mesmo reveladas por livre e espontânea vontade. Em toda troca de senha a forma utilizada para obtê-la da primeira vez poderá ser repetida, principalmente pela escuta de rede ou revelação espontânea. Portanto, impor uma periodicidade de troca de senha, na maioria dos casos, não contribui para melhorar a segurança. As medidas mais eficazes para evitar comprometimento da senha são, sobretudo o trabalho de conscientização dos funcionários para aspectos de segurança, incluindo a preservação da senha. Outro ponto fundamental é prover estruturas que não permitam a passagem da senha em claro pela rede, mecanismos de criptografia e isolamento de segmentos são fundamentais para aumentar a segurança da senha.
Existem ainda alguns efeitos colaterais importantes, é comum o usuário que troque a senha constantemente esquecer a atual, ou ter uma quantidade finita de senhas que vão sendo informadas ciclicamente a cada troca, problemas que causam transtorno e não agregam nenhum valor à segurança do ambiente.
Trocas de senhas devem ocorrer quando houver suspeita de comprometimento, e existir a certeza de que foram criados mecanismos para que a troca seja feita com segurança e realmente pelo proprietário e que tenham sido sanadas as falhas que permitiram obtê-las.
Trecho reproduzido do livro Segurança Nacional, de Nelson Murilo de Oliveira Rufino. Copyright 2002, Novatec Editora. Para comprar o livro, clique aqui.
Leia também:
Mitos de segurança: Firewalls
Mitos de segurança: Ataques e defesas
Mitos de segurança: Certificações
| Noticias |
Relatório aponta tendências de segurança na Internet
16/3/2004 - 7:24 Redação/Divulgação
As principais preocupações de segurança para as empresas em 2004 serão o aumento da presença de ataques combinados, um maior número de vulnerabilidades focando componentes do Windows e o crescimento de falhas violentas em sistemas de informação. Estas são as conclusões da sexta edição da pesquisa Internet Security Threat Report, divulgada pela Symantec.
O estudo apontou que, no segundo semestre de 2003, as ameaças combinadas foram responsáveis por 54% das submissões dos dez vírus mais perigosos registrados e a disseminação foi mais rápida, devido à maior velocidade de propagação e à popularização da banda larga.
O número de vulnerabilidades descobertas se estabilizou, mas sua periculosidade ― em relação ao impacto, capacidade de ser explorada remotamente, autenticação e disponibilidade ― cresceu. Além disso, o período de tempo entre o anúncio da falha em um sistema e o aparecimento de uma forma relacionada de exploração diminuiu. Neste cenário, está cada vez mais comum o surgimento das pragas chamadas "zero-day", que atacam antes de a vulnerabilidade ser encontrada e do lançamento de atualizações corretivas.
Tendências de ataques
Nos primeiros seis meses de 2003, apenas um sexto das companhias analisadas reportou brechas sérias de segurança. Já no segundo semestre, este porcentual subiu para 50%. Este avanço é, em grande parte, resultado do sucesso dos últimos worms, que continuam sendo a atividade maliciosa mais comum. Entre as vítimas de ataques severos, estão as empresas do segmento financeiro, de saúde e de energia.
Outra tendência apontada pelo relatório é o foco crescente dos ataques nas backdoors (porta oculta no sistema) deixadas por outros agressores e vírus, para que instalem suas próprias backdoors ou usem o sistema comprometido para participar em ataques do tipo negação de serviço distribuída (Distributed Denial of Services ou DDoS). Em janeiro de 2004, o Mydoom se espalhou com velocidade similar ao Sobig.F, expondo ambientes por meio de uma backdoor e disseminando um ataque dirigido. Posteriormente, outras pragas, como Doomjuice e Deadhat, propagaram-se pela porta deixada pelo Mydoom.
Tendências de vulnerabilidades
A média de vulnerabilidades descobertas em 2003 foi de sete por dia, com um total de 2.636 ― pouco superior às 2.587 marcadas no ano anterior. A quantidade de falhas consideradas graves cresceu da média de 98 para 115 por mês e 70% delas foram classificadas como de fácil exploração, em comparação a 60% em 2002.
Muitos destes problemas permitem aos crackers comprometer sistemas de clientes que visitam Web sites com conteúdo malicioso, intencional ou não. A razão primordial da preocupação causada por esta propensão é a grande dominância do mavegador Internet Explorer no mercado.
Tendências de códigos maliciosos
Os ataques combinados foram responsáveis pelos eventos de segurança mais significativos do ano, ocorridos em agosto, com o surgimento de três novos vírus classificados pela Symantec como de nível quatro (em uma escala de um a cinco) em apenas 12 dias. Blaster, Welchia e Sobig.F infectaram milhares de computadores pelo mundo e, de acordo com estimativas do instituto Computer Economics, podem ter causado mais de US$ 2 bilhões de prejuízo.
O segundo semestre de 2003 apresentou duas vezes e meia mais submissões dos vírus Win32, em comparação ao mesmo período de 2002. Além disso, o tempo entre o descobrimento e a disseminação das pragas está diminuindo e os crackers têm usado cada vez mais pacotes comprimidos e arquivos anexados para espalhá-las.
Entre os dez maiores códigos maliciosos, a quantidade de worms com a própria ferramenta de envio de email subiu 61% nos últimos seis meses de 2003. Outro ponto indicado pelo relatório foi a velocidade de crescimento das ameaças à privacidade e confidencialidade no segundo semestre do ano passado. Houve um aumento de 519% no volume deste tipo de submissão com os dez maiores vírus, em comparação à primeira metade de 2003. Enquanto worms mais antigos comprometiam a confidencialidade ao exportar documentos privados, os vírus mais recentes e os ataques combinados também roubam senhas, códigos criptográficos e registros de digitação.
| Artigos |
Mitos de segurança: Firewalls
"Frases proferidas por um dito especialista são difíceis de questionar em qualquer área do conhecimento humano, pessoas em geral sabem dirigir, mas pouco conhecem da mecânica de automóveis, pessoas vão ao médico e dificilmente conseguiram rebater um diagnóstico de um exame radiológico, e o que o especialista informar que significa aquela mancha será uma verdade irrefutável. Infelizmente a área de segurança de rede não é diferente. Pessoas utilizam computadores, desenvolvem programas, gerenciam sistemas, mas não têm obrigação de conhecer sobre aspectos de segurança nesses ambientes."
Assim começa o capítulo 6 do livro Segurança Nacional, de Nelson Murilo (Editora Novatec - 248 pgs. Leia resenha aqui). Este capítulo trata dos mitos que povoam a área de seguança de redes e foi inspirado em frases reais que Murilo colecionou em eventos de que participou. Ele explica: "Achei por bem selecionar os temas que aparecem com mais freqüência, para tentar esclarecer alguns pontos que considero importantes, lembrando que são frases de outros autores; então, como forma de homenagem, preservei as aspas".
Durante esta semana, InfoGuerra trará os textos presentes no capítulo, reunidos em quatro tópicos, um por dia, a começar por conceitos relacionados a firewall. Os outros tópicos são: senhas, defesas e ataques e certificações profissionais. Leia o primeiro:
"Firewall é indispensável em redes ligadas à Internet"
Nelson Murilo
Até meados da década de 90, a instalação de um firewall era vendida como a forma de resolver todos os problemas de segurança, e os vendedores faziam os potenciais clientes imaginarem que a simples existência de um equipamento separando sua rede local da Internet tornaria o ambiente seguro. Ainda é muito comum em serviços para identificar a origem e o grau de comprometimento de uma invasão, algum funcionário dizer que não sabe como o ataque pode acontecer, já que “nós temos um firewall”. Por outro lado tenho clientes em cujas instalações nunca existiu tal equipamento, as redes funcionam sem grandes restrições de uso, todos os servidores são atualizados quanto a problemas de segurança e a rede é monitorada em tempo integral, e nesse ambiente não foi (ainda) reportado qualquer ataque bem-sucedido, apesar das tentativas diárias. É importante perceber que cada rede tem suas características próprias, um perfil técnico particular e necessidades distintas de qualquer outro ambiente de rede. Com isso em mente nota-se claramente que a existência de um firewall não é fundamental e muito menos garantia de segurança para determinado ambiente.
É certo que, nos locais onde a presença de um firewall for uma necessidade, a única forma de ele colaborar na segurança é quando corretamente configurado, ter suas regras revistas regularmente e estar constantemente atualizado.
"Firewal é para Internet, não faz sentido em redes locais"
Cada ambiente de rede tem suas próprias características, é muito arriscado generalizar que componentes devem ou não existir, principalmente em se tratando de mecanismos de proteção. Algumas redes de grandes proporções não utilizam firewall algum, outras utilizam vários, algumas redes locais têm particularidades que fazem por exigir a existência de alguma forma de controle de tráfego, e nesses casos esse componente pode ser de fundamental importância sob o aspecto de segurança, mesmo que não existam conexões com a Internet.
Trechos reproduzidos do livro Segurança Nacional, de Nelson Murilo de Oliveira Rufino. Copyright 2002, Novatec Editora. Para comprar o livro, clique aqui.
Leia também:
Mitos de segurança: Senhas
Mitos de segurança: Ataques e defesas
Mitos de segurança: Certificações
| Noticias |
Nova versão do Bagle já se espalha na Ásia
15/3/2004 - 14:55 Redação
A Trend Micro emitiu um alerta amarelo (médio risco) devido ao surgimento de uma nova variante do worm Bagle, que vem atormentando os internautas deste o início do ano. A empresa detectou diversas mensagens pelo mundo infectadas com a versão "P" da praga, principalmente na Coréia e no Japão. O Bagle.P interrompe processos que estejam rodando no sistema invadido, como alguns antivírus e sistemas de segurança, além de tentar impedir que tal sistema seja contaminado pelo vírus concorrente, o NetSky.
O Bagle.P chega por e-mail e traz remetentes, linhas de assunto, corpos de mensagem e arquivos anexos variáveis. Após a infecção, o vírus cria cópias de si próprio em pastas que contenham o texto "shar" no nome, o que costuma indicar que são pastas compartilhadas em rede, podendo assim infectar outras máquinas.
O worm não se limita a utilizar os endereços eletrônicos encontrados no catálogo do sistema infectado para se auto-enviar. O programa maléfico também vasculha diversos arquivos do sistema atrás de endereços de e-mail para continuar sua propagação.
Para criar um falso endereço de remetente, o vírus usa o mesmo domínio do e-mail alvo e se disfarça como uma mensagem de retorno do servidor ou do administrador desse domínio. As mensagens, em inglês, alegam problemas com vírus ou spam e tentam convencer o usuário a clicar no arquivo anexo, que carrega o vírus.
O anexo, que pode ter as extensões EXE, PIF, RAR, ou ZIP, costuma vir compactado e só pode ser aberto com uma senha variável, informada no corpo das mensagens contaminadas. A técnica serve para burlar sistemas antivírus presentes em servidores de e-mal e foi introduzida a partir da versão F do worm.
Como uma típica ameaça mista, o Bagle.P abre a porta TCP 2556, o que possibilita acesso remoto ao sistema “zumbi”, em geral usado para envio de spam. O worm aborta sua própria ação em sistemas com data de 31/12/2005 ou posterior e afeta os sistemas Windows 95, 98, ME, NT, 2000 e XP.
A Trend Micro avisa que devido ao fuso horário no ocidente, outros países, entre eles o Brasil, também podem começar a ver um alto número de e-mails com esse vírus com o passar das horas.
Leia também:
Vírus Bagle ganha 7 novas versões
Vírus de rápida disseminação abre o PC a crackers
Worm Bagle finge ser um teste e se espalha com rapidez
| Noticias |
Microsoft realiza simpósio sobre segurança na América Latina
9/3/2004 - 17:54 Redação/Divulgação
A Microsoft realizará o 1o Simpósio Latino-Americano de Segurança entre os meses de março e abril deste ano. O evento faz parte da estratégia batizada de Computação Confiável, criada pela companhia em 2002 com o objetivo de aumentar a segurança de seus clientes. Além do Brasil, que terá apresentações em nove cidades, participarão simultaneamente outros países da América Latina, como Argentina, México e Chile, reunindo um público esperado de mais de 10 mil pessoas.
Durante o simpósio brasileiro, serão apresentados dados sobre o cenário de segurança no país, os impactos das novas regulamentações sobre o tema, além de procedimentos e novas ferramentas disponíveis no mercado para garantir ambientes mais confiáveis.
Entre os palestrantes estão profissionais certificados do Seminar Group da Microsoft, como José Carlos Manzano e Adriano Gomes; além de Fernando Nery, sócio-diretor da Módulo Security; Ricardo Costa, engenheiro de sistemas da Symantec; Edgar D'Andrea, sócio da área de segurança e tecnologia da Pricewaterhouse Coopers; e Eurico Soalheiro Brás, sócio-fundador da Brás e Figueiredo.
As vagas são limitadas e as inscrições gratuitas podem ser feitas pelo site www.technetbrasil.com.br/simposio, ou pelo telefone 0800-7044081. Os participantes receberão material de apoio e certificado de participação. O simpósio será realizado com base no calendário abaixo:
Março:
15 e 16 - Belo Horizonte: Ouro Minas Palace Hotel - Av. Cristiano Machado, 4.001
22 e 23 - Curitiba: Hotel Four Points Sheraton - Av. Sete de Setembro, 4.211
24 e 25 - Porto Alegre: Hotel Deville - Av. dos Estados, 1.909
30 e 31 - Recife: Hotel Golden Tulip - Av. Bernardo Vieira de Melo, 1.204
Abril
06 e 07 - Rio de Janeiro: Hotel Intercontinental - Av. Prefeito Mendes de Moraes, 222
12 e 13 - Salvador: Fiesta Bahia Hotel - Av. Antônio Carlos Magalhães, 711
14 e 15 - Fortaleza: Hotel Caesar Park Fortaleza - Av. Beira Mar, 3.980
26 e 27 - Brasília: Naoum Plaza Hotel - SHS Qd. 05 Bloco H
29 e 30 - São Paulo: Gran Meliá São Paulo - Av. das Nações Unidas, 12.559 - Piso C
| Noticias |
Projeto prevê "recompensa" a quem identificar spammers
6/3/2004 - 21:49 Omar Kaminski
O senador Duciomar Costa (PTB/PA) apresentou, no início de março, mais um projeto de lei que pretende disciplinar o envio de mensagens eletrônicas comerciais no Brasil. O autor decidiu pelo caminho da inovação, criando a figura do destinatário "consenciente" e oferecendo uma polêmica "recompensa" pelo auxílio na identificação dos spammers que impedem ou dificultam sua localização.
Segundo a justificativa do senador paraense, "é chegado o momento de chamarmos a nós legisladores a tarefa de tentar salvar a Internet, antes que ela seja submersa pelo lixo do spam. Neste projeto, optamos pela posição firme, proposta inicialmente pela União Européia, de proibirmos mensagens eletrônicas de cunho comercial que não tenham sido solicitadas pelo destinatário".
O projeto prevê que o remetente de mensagens comerciais só poderá enviá-las a destinatários que tenham previamente consentido em recebê-las. Uma vez estabelecida a comunicação, buscou-se atender a três quesitos: a não dissimulação do propósito comercial ou publicitário de uma mensagem eletrônica; a identificação clara e verdadeira do remetente; e a habilitação do destinatário a solicitar sua exclusão da lista de mala direta de determinado remetente, ou a bloquear eficazmente mensagens deste.
O parlamentar defende o mecanismo de "opt-in" como sendo o único capaz de resolver o problema. Ou seja, caberá ao destinatário a iniciativa de receber ou não a mensagem. Para ele, o "opt-out", em que o destinatário precisa se manifestar se quiser parar de recebê-las, "não é uma maneira satisfatória de lidar com o spam".
Pelo teor da proposição, a identificação será exigida apenas dos remetentes que enviam mensagens eletrônicas comerciais em grande escala. Entre os que se encaixam neste perfil, estão aqueles que enviam mensagens com objetivos comerciais ou publicitários de bens ou serviços, a partir de computadores instalados no País, para mais de quinhentos destinatários "consencientes" (artigo 2º, V) ou não, "em um período de 96 horas".
No artigo 6º, a dissimulação da origem da mensagem é tipificada como crime, com pena idêntica à de falsidade ideológica. No mesmo artigo, o senador prevê a oferta de uma "recompensa" de 20% do valor da fiança pela identificação do agente do crime. Isso, segundo a justificativa, irá "motivar os especialistas em informática e hackers a colaborar na difícil tarefa de identificação e posterior punição desse tipo de crime".
Para o senador, "talvez essa seja a única maneira de conseguir realmente coibir o spam, pois os spammers são extremamente hábeis na dissimulação de seus rastros, e não há recursos humanos suficientes para investigação policial desses casos".
No artigo 8º, instituiu-se multa para cada mensagem não-solicitada que seja enviada, no valor de quinhentos reais, com acréscimo de um terço no caso de reincidência. No artigo 9º, há a previsão de multas para as demais violações, entre elas a não retirada do nome do solicitante da lista de mala direta, ou distribuição indevida de dados pessoais.
Costa considerou, por fim, a possibilidade de inserção dos dispositivos do projeto no Código de Defesa do Consumidor. Porém, o "exame cuidadoso da questão constatou que o presente texto tem sua força em sua organicidade, impossível de ser mantida caso inserido naquele Código".
Leia a íntegra do projeto aqui.
Omar Kaminski é advogado em Curitiba, diretor de Internet do Instituto Brasileiro de Política e Direito da Informática (IBDI), editor do site InternetLegal e organizador da obra "Internet Legal - O Direito na Tecnologia da Informação" (Juruá, 2003).
Leia também:
Outro projeto admite o envio de spam uma única vez
Criado mais um projeto de lei contra o spam
Projeto de Lei contra spam é renovado
Projeto para limitar spam volta reformulado
| Noticias |
Symantec eleva nível de risco do vírus Netsky.D
3/3/2004 - 18:12 Redação/Divulgação
A Symantec divulgou um alerta a seus usuários sobre a elevação de risco relacionado ao novo vírus Netsky.D, variante do Nestky.A. Descoberta no dia primeiro de março, a praga passou de nível três para quatro, em uma escala que chega até cinco. Trata-se de um worm de distribuição em massa que utiliza seu próprio mecanismo SMTP para enviar cópias de si mesmo para endereços eletrônicos encontrados no computador infectado.
Assim como seu antecessor Netsky.C, o vírus tenta remover chaves de registro de diversos worms, como o Mydoom.A, o Mydoom.B e o Mimail.T, e torna as máquinas mais lentas, além de congestionar o tráfego de dados nos servidores de email.
As mensagens que carregam o vírus possuem variados assuntos e conteúdos, bem como anexos com múltiplos nomes, dificultando sua identificação. Os endereços do rementente e do destinatário das mensagens são recolhidos aleatoriamente de vários tipos de arquivos encontrados no sistema infectado. Por isso, estes endereços não servem como indicativo da origem real das mensagens, pois elas costumam ser forjadas.
Nas primeiras 24 horas de ataques, a Symantec registrou uma média de 140 tentativas por hora de infecção pelo Netsky.D, em todo o mundo. A empresa forneceu uma ferramenta para remoção automática do vírus, a qual pode ser encontrada aqui. Informações detalhadas (em inglês) sobre a praga podem ser vistas aqui.
Leia também:
Vírus Netsky.C é considerado de alto risco
| Noticias |
Novo servidor BoxServer controla a segurança de redes
3/3/2004 - 13:37 Redação InfoGuerra
A BoxServer, desenvolvedora de soluções de alto desempenho, e a FTD Comunicação de Dados, especializada em infra-estrutura de telecomunicações, lançaram o BoxServer Bundle - Hardware + InternetBox. Trata-se de um servidor voltado às pequenas e médias empresas, desenvolvido para garantir a segurança e o controle no uso da Internet.
O BoxServer Bundle oferece aplicações de ferramentas como firewall, VPN, Proxy e IDS. O produto também possui um antivírus de e-mail, que verifica o conteúdo das mensagens e os arquivos anexados antes de chegarem aos usuários da rede.
O software integrado InternetBox foi desenvolvido em plataforma Linux e reúne aplicações "open source" de segurança e controle, que podem ser integradas com outras ferramentas. O produto também permite aplicações como servidor de rede local, acesso à Internet e e-mails.
Marcelo Gallo, diretor de negócios do Grupo Uniserv, que controla a BoxServer, está otimista em relação ao lançamento do novo produto. "Nosso objetivo é atingir uma abrangência nacional com uma meta mínima de 1.000 BoxServers no ano de 2004", afirma. "Pretendemos formar um canal composto por 50 revendas, que passarão a comercializar, instalar e fornecer suporte às empresas". Segundo Gallo, o desenvolvimento do produto consumiu dois anos e US$ 250 mil.
O Box Server Bundle já está sendo comercializado por seus revendedores, na forma de "locação" pelo período de 24 meses. O produto custa a partir de R$ 490,00 mensais com a configuração básica.
| Dicas |
Como manter seu sistema atualizado
3/3/2004 - 3:29 Redação InfoGuerra
Os programas para gerenciamento de e-mails e para navegação na Internet são como portas de passagem entre o seu computador e o mundo externo. É por eles que transitam dados vindos da Internet para o sistema local e em sentido inverso. Alguns desses dados podem conter códigos maléficos (vírus, programas "espiões" e outros), por isso é extremamente importante manter estes softwares atualizados com as últimas correções de segurança ― também chamadas de patches.
Se você mantiver o programa de e-mail, o browser (navegador) e o sistema operacional do computador sempre atualizados, a chance de que sua máquina seja infectada por vírus que se executam automaticamente apenas ao se abrir um e-mail ou visitar uma página na Web, é reduzida drasticamente. Em compensação, se você nunca atualiza estes programas, a probabilidade de ter seu sistema violado por códigos maléficos é muito alta.
Isto vale para programas de qualquer fabricante, mas se o seu sistema operacional é Windows, o navegador é o Internet Explorer e o programa de e-mail é o Outlook ou Outlook Express, essa probabilidade é ainda maior. E o motivo é simples: estes softwares são os mais utilizados no mundo inteiro e por isso também são os mais visados por criadores de vírus, hackers e outros elementos indesejados, que tentam explorar eventuais brechas de segurança descobertas nos programas.
Como fazer as atualizações
A Microsoft, fabricante destes softwares, publica aproximadamente uma vez por mês boletins de segurança com patches para estas falhas. As correções chamadas de "críticas" são as mais importantes e você deve instalá-las logo que forem disponibilizadas. A forma mais prática de fazer isso é visitar o endereço http://windowsupdate.microsoft.com.
Você também pode clicar em "Iniciar" (ou "Start", se seu sistema está em inglês) e depois escolher o ícone "Windows Update", que geralmente vem pré-configurado em várias versões do sistema operacional. Ao fazer isso, a página que você irá acessar identificará de que país está sendo feita sua conexão à Internet e trará instruções no idioma adequado. Também identificará quais patches precisam ser instalados e em que ordem. É recomendável que você instale todos os patches classificados como críticos. Habitue-se a visitar esta página regularmente.
Se você usa Windows 2000, XP ou 2003 Server, poderá configurar seu sistema para avisá-lo sempre que houver atualizações importantes. Algumas versões do Windows 98 também permitem que se instale um arquivo para avisar sobre novas atualizações do sistema. Este arquivo pode ser baixado na página do próprio Windows Update.
Links relacionados:
Instruções da Microsoft, em português, para habilitar atualizações automáticas no Windows XP e no Windows 2000
| Dicas |
Proteja-se de golpes atualizando seu browser
3/3/2004 - 3:10 Giordani Rodrigues
Golpes eletrônicos enviados por e-mail sempre pedem para o usuário clicar em um link e baixar um software qualquer para participar de uma "promoção", ou acessar um site e nele preencher seus dados, sob os mais variados pretextos. Antes de clicar em qualquer link (e isto vale para qualquer situação na Internet), preste atenção no endereço. A linguagem HTML (padrão em páginas Web), permite que se insira qualquer endereço em qualquer palavra. Por exemplo, o link www.siteverdadeiro.com.br de fato está apontando para www.sitefalso.com.br. Como descobrir?
Pousar o mouse sobre links, em mensagens de e-mail e páginas Web, para observar a que página ou endereço estamos sendo direcionados, é uma recomendação clássica de especialistas para se evitar golpes pela Internet. Se você colocar o mouse sobre o link www.siteverdadeiro.com.br acima e olhar para a barra de status do navegador verá que está sendo levado a outro endereço (no Internet Explorer, a barra de status fica na parte inferior da tela, e as informações aparecem no canto esquerdo da barra, logo acima do ícone "Iniciar"). De modo geral, nesta barra aparecem informações sobre todos os arquivos que seu computador está baixando e todos os endereços que estão sendo visitados. Esta mesma barra de status se encontra nos programas de e-mail Outlook e Outlook Express, largamente utilizados por usuários do sistema Windows.
A prática tem demonstrado que a técnica ainda é suficiente para detectar boa parte dos golpes que circulam pela Internet, principalmente em mensagens de e-mail, mas desde dezembro de 2003 ela pode ser burlada, se o usuário não tomar certas precauções. Tudo por causa da descoberta de uma brecha de segurança que atinge principalmente o browser Microsoft Internet Explorer.
Trata-se de um bug batizado de URLSpoof (algo como "falsificação de URL"), que permite que um endereço falso se apresente como um endereço confiável ― como o de seu banco, por exemplo ― tanto na barra de endereços, como na barra de status do navegador. O truque consiste em inserir caracteres com fins especiais, como @, %00 e %01, entre o endereço real da página e o falso endereço que se quer fazer parecer legítimo.
No início de fevereiro de 2004, a Microsoft lançou uma correção para o problema e é fundamental que você aplique esta correção ao seu browser, se utiliza o Internet Explorer. Para isso, visite o site Windows Update para verificar todas as atualizações necessárias para seu sistema, incluindo o pacote de atualizações cumulativas para o Internet Explorer que corrige a falha mencionada. Este pacote também corrige todos os problemas anteriores do navegador.
Caso você não atualize o Internet Explorer, nunca poderá ter certeza de que está visitando um site verdadeiro apenas olhando para os endereços apresentados pelo navegador. Você poderá saber mais sobre este problema, lendo os artigos abaixo:
Brecha do IE faz site falso parecer verdadeiro
Golpe por e-mail tenta explorar novo bug do IE
| Noticias |
Vírus Bagle ganha 7 novas versões
2/3/2004 - 13:01 Giordani Rodrigues
De sexta-feira, 27/02, até esta terça-feira, 02/03, nada menos do que sete variantes do vírus Bagle foram descobertas pelas empresas antivírus. As versões C, D, E, F, G, H e I, juntamente com as variantes A e B que já existiam, formam uma família de códigos maléficos capaz de se alastrar rapidamente por e-mail e instalar uma porta de comunicação secreta (backdoor) nas máquinas atingidas, através da qual um atacante poderia executar comandos a distância no sistema.
As cinco primeiras variantes, descobertas no final de semana, apontam para um mesmo autor dos programas, de acordo com a empresa F-Secure. "Aparentemente ele (o autor) tem monitorado de perto quão rapidamente os fabricantes de antivírus lançam vacinas, então faz as alterações necessárias para evitar a detecção e lança novas versões imediatamente", opina Mikko Hypponen, diretor de pesquisa antivírus da empresa.
A favor desta opinião existe o fato de que estas cinco primeiras versões foram lançadas num prazo de apenas 48 horas e que houve uma evolução nos métodos de envio dos anexos contaminados. A partir da variante F, os arquivos com o vírus passaram a ser compactados em formato .ZIP e protegidos por uma senha criada aleatoriamente. No corpo das mensagens contaminadas era informada esta senha. Isto garantia que os usuários pudessem abrir manualmente os anexos, mas impedia que os filtros e sistemas antivírus automatizados fizessem o mesmo para analisar os arquivos.
O Bagle também usa um disfarce que foi sendo aprimorado à medida que novas variantes da praga eram lançadas: os ícones que representam os arquivos maléficos são exibidos como símbolos de inocentes pastas do sistema. Tal truque, junto com a grande variedade de assuntos, nomes de anexos e conteúdo das mensagens infectadas, dificulta bastante a identificação do worm pelos usuários menos experientes. A F-Secure chegou a lançar um blog, no qual tem publicado detalhes sobre o Bagle e sobre versões de outros vírus, assim que são descobertas.
A família Bagle, cuja primeira variante surgiu em meados de janeiro de 2004, espalha-se principalmente por e-mail, mas também lança cópias de arquivos contaminados em pastas compartilhadas por redes locais e remotas. O worm possui um mecanismo SMTP próprio para se auto-enviar por e-mail e a capacidade de criar mensagens com endereço do remetente forjado.
Depois de executado, o worm descarrega arquivos nas pastas de sistema do Windows e modifica o registro para ser rodado cada vez que a máquina é iniciada. A praga consegue infectar as versões do Windows 95, 98, ME, NT, 2000 e XP. Entre as ações mais perigosas do Bagle estão sua capacidade de instalar uma backdoor em diferentes portas da rede TCP/IP e finalizar processos associados a programas de segurança, como antivírus.
Crime organizado
É cada vez mais plausível a hipótese de que a epidemia de worms recentes, como MyDoom, Netsky e Bagle, está relacionada à ação de criminosos organizados com fins específicos, e não a bandos de adolescentes desocupados querendo impressionar os amigos da escola.
A consultoria britânica mi2g trouxe hoje uma lista de perguntas e respostas relacionadas a estes códigos maléficos. De acordo com a empresa, as evidências levam a crer que os autores dos vírus pretendem criar uma rede de computadores domésticos e corporativos transformados em "zumbis", para serem usados em golpes do tipo "phishing scam" (roubo de identidade), envio de spam e ataques de negação de serviço.
Aparentemente também está havendo uma disputa entre grupos rivais representados pelos autores do Netsky e pelos criadores do MyDoom e do Bagle, já que o primeiro worm tem capacidade de interromper a ação de arquivos relacionados aos dois últimos. Tal fato sugere que os grupos podem ainda estar engajados em uma disputa intelectual no submundo da Internet.
De qualquer forma, os principais beneficiários desta epidemia de vírus é o crime organizado na Internet, que pode utilizar as máquinas comprometidas para uma série de ações clandestinas ou maléficas.
Leia também:
Vírus Netsky.C é considerado de alto risco
MyDoom.F ataca RIAA e destrói arquivos
Vírus de rápida disseminação abre o PC a crackers
Vírus Doomjuice ataca máquinas infectadas pelo MyDoom
Microsoft oferece recompensa pelo autor do MyDoom.B
MyDoom.B: conheça mais sobre essa praga
Infecções pelo Mydoom cresceram mais de 3000% no Brasil
Nova versão do MyDoom ataca site da Microsoft
SCO oferece US$ 250 mil por criadores do MyDoom
MyDoom chega a 1,2 milhões de cópias
Vírus mais rápido de 2004 ataca site da SCO
| Destaque |
Empresa antivírus envia vírus aos clientes
1/3/2004 - 11:53 Giordani Rodrigues
A F-Secure, conhecida empresa finlandesa produtora de softwares antivírus e de segurança para computadores, admitiu ter enviado, sem querer, um vírus a milhares de clientes e parceiros no Reino Unido. Segundo o pedido de desculpas remetido pela empresa a seus clientes e reproduzido pelo site britânico VNUNet, o incidente se deveu a "um erro humano".
A nota explica que uma cópia do worm Netsky.B foi enviada a milhares de assinantes de uma lista de correio eletrônico pertencente à empresa. "O vírus não se originou de nossa rede", afirma o comunicado, concluindo que o incidente ocorreu quando um desconhecido enviou uma mensagem contaminada para o endereço da lista e o sistema da empresa redistribuiu a mensagem para os assinantes. A mensagem também tentou tranqüilizar os usuários: "Se você tem um antivírus atualizado, o vírus já foi detido automaticamente e nenhuma providência adicional é necessária de sua parte".
Mikko Hypponen, um dos diretores da F-Secure, disse à VNUNet que a lista atingida não era submetida aos procedimentos de análise antivírus normais que sua empresa utiliza. Ele disse também que depois do incidente a empresa mudou as configurações de acesso à lista. "Não havia necessidade para nós de aceitar mensagens de e-mail externas sendo enviadas para a lista. Nós retificamos isso e contatamos as pessoas da lista para alertá-las". Hypponen disse ainda que "providências haviam sido tomadas para garantir que o incidente não ocorreria de novo".
O Netsky.B foi descoberto há alguns dias e provocou alertas de várias empresas antivírus devido à velocidade com que se espalhou pelo mundo. O worm se dissemina por redes e por e-mail, em mensagens forjadas, com múltiplas características e diversos tipos de anexos. A praga tem capacidade de interromper o funcionamento de outros vírus, como Mydoom e Mimail, e pode congestionar servidores de e-mail devido à grande quantidade de mensagens contaminadas que envia.
Não é a primeira vez que uma empresa antivírus envia involuntariamente um programa maléfico a seus clientes. Em 2002, crackers invadiram o servidor Web da empresa antivírus russa Kaspersky e enviaram uma cópia do vírus Bridex aos assinantes de seu boletim eletrônico.
Leia também:
Vírus Netsky.C é considerado de alto risco
Crackers invadem Kaspersky e enviam vírus aos seus usuários