Translate

10 fevereiro 2016

Como não se perder com senhas


E-mail, conta de banco, redes sociais... Em meio a tantas exigências, vale seguir dicas de especialistas, como as do Dr. Paulo Pagliusi nesta entrevista ao jornal "O Globo"
Fonte: "O Globo - Economia & Tecnologia - 09Fev2016.
Por causa de uma senha esquecida, o professor Luiz Guilherme Santos perdeu o acesso a uma conta de e-mail que mantinha há dez anos, e sofreu com as consequências de ficar temporariamente sem um dos seus principais canais de comunicação. Mensagens de trabalho ou recados de amigos se perderam em algum servidor inacessível, provocando broncas e reclamações. E o pequeno drama vivido por Santos é cada vez mais comum, dado o crescente número de códigos para se guardar. Conta de banco, cartão de crédito e e-mails pessoal e profissional. Redes sociais aos montes, Netflix, programa de milhagem e outros serviços. Tudo protegido por senha, tudo passível de ser esquecido ou hackeado.
— Eu tenho o costume de deixar a conta conectada no computador e no celular, mas tive que alterar a senha há cerca de dois meses, e esqueci a senha nova. Tentei recuperar, mas não tinha cadastrado o meu número de telefone. Acabei tendo que criar uma nova conta — diz o professor. — As pessoas achavam que eu não estava respondendo às mensagens de propósito, mas não era o caso. Agora está tudo resolvido. Pelo menos eu recebo menos spams.
Para evitar os problemas com a memória, muitas pessoas escolhem o caminho mais simples: usar senhas fáceis. Um levantamento realizado pela firma de segurança digital SplashData apontou que as cinco piores senhas do ano passado foram “123456”, “password” (senha em inglês), “12345678”, “qwerty” e “12345”. A análise foi feita com a compilação de aproximadamente duas milhões de contas vazadas na internet ao longo de 2015. Pela primeira vez, a sequência “1234567890” apareceu na lista das 25 piores senhas, o que mostra que a exigência de mais caracteres nem sempre aumenta a segurança.

AJUDA DE APLICATIVOS
Além das sequências de números e letras, muitas pessoas recorrem a datas e informações pessoais para criarem suas senhas, o que também não é recomendado por especialistas. Elas são fáceis de lembrar, mas também são fáceis de serem descobertas por criminosos.
As pessoas tendem a utilizar senhas que façam parte do seu universo, como time favorito, tendência política, nome do cachorro e datas especiais. O problema é que os criminosos cibernéticos também sabem disso — diz Paulo Pagliusi, diretor de Gestão de Riscos Cibernéticos da Deloitte. — Uma senha forte precisa ter maiúsculas, minúsculas, números e pontuação, com tamanho mínimo de oito caracteres. E a linguagem não pode ter nexo. Um hacker consegue varrer um dicionário em minutos usando força bruta.
Mas o problema das senhas seguras é lembrar. Anotá-las em um papel guardado embaixo do teclado não é recomendado, tampouco armazená-las em um arquivo de texto no computador. Pagliusi explica que é comum hackers utilizarem a chamada engenharia social para arquitetarem seus crimes, e essa técnica envolve espionagem. O hábito de usar a mesma senha para diferentes serviços também deve ser abandonado, pois se uma conta for comprometida, todas ficarão vulneráveis.

TÉCNICAS
Existem algumas técnicas que podem ajudar, como o uso de frases em vez de palavras. Edward Snowden, conhecido por ter vazado documentos sobre o esquema de vigilância global do governo americano, fez essa recomendação em entrevista no início do ano passado, brincando que uma boa chave seria “MargaretThatcheris110%SEXY”. Outra saída é o uso de aplicativos desenvolvidos especialmente para este fim, como Last Pass e F-Secure Key. Eles prometem armazenar de forma segura todas as senhas, que são acessadas por uma senha mestre.
— Basicamente, as pessoas têm que guardar apenas uma senha — explica Ariel Torres, gerente de serviços técnicos da F-Secure para a América Latina. — É como uma caixa virtual, todas as senhas ficam armazenadas lá dentro, criptografadas. Para entrar no aplicativo, basta lembrar uma senha.
Outra dica é criar códigos que mesclem letras e números para formar palavras e frases.
Torres, por exemplo, se tornaria “T0RR3S” — diz o especialista.
Essa simples mudança faz com que os termos sejam mais difíceis de serem descobertos em ataques de força bruta, quando o criminoso cibernético usa poder computacional para testar milhões de combinações. Alguns sites na internet oferecem testes de força das senhas, como o “How Secure Is My Password” (http://bit.ly/Kz6V00).

FIM DAS SENHAS?
A preocupação com as senhas não é apenas dos usuários, mas também das empresas. Muitos prestadores de serviços on-line oferecem a autenticação de dois fatores, uma camada adicional de segurança para a entrada em contas, além do login e senha. Redes sociais, como Twitter e Facebook, por exemplo, usam o sistema de código por SMS. Bancos e outros serviços financeiros apostam nos tokens, que geram códigos temporários.
A senha como conhecemos hoje tende a acabar. Existem outras formas de você provar que é você — prevê Pagliusi. — A tendência é que serviços críticos ofereçam a autenticação de dois fatores. Eles exploram não apenas algo que você sabe, no caso, a senha, mas o que você possui e o que você é, com códigos transmitidos por SMS e tokens e biometria.

O ‘ABC’ DAS SENHAS
FORÇA: Os especialistas recomendam, para ter uma senha “forte”, usar no mínimo 8 caracteres, se possível mais. O ideal é mesclar letras maiúsculas, minúsculas, números e caracteres especiais. Não se deve usar sequências óbvias ou pessoais como, por exemplo, datas de aniversário
PARA MEMORIZAR: Há aplicativos que guardam todas as senhas e são acessados por apenas uma chave. Outra dica é criar frases, em vez de palavras. Ou mesclar letras e números para formar palavras. Um exemplo: se seu nome é Sérgio, use uma mescla de letras maiúsculas e minúsculas e números que, escritos, formarão a palavra Sérgio, como na sequência S3rGl0
EVITAR: Os especialistas orientam a não anotar senhas em papéis ou arquivos no computador. Deve-se evitar usar informações pessoais e usar a mesma chave para diferentes serviços.

08 dezembro 2015

Webinar: Inteligência de Ameaças - Como Identificar os ataques que mais importam

Apresentador: Scott Simkin, Palo Alto Cybersecurity. Realização: ISACA CSX.
Para a grande maioria das equipes de segurança, há uma enorme quantidade de alertas a lidar em um determinado dia. Passando pelos vários dispositivos de segurança, feedback de terceiros até as fontes de inteligência de ameaças, o mar de informação gerada faz com que seja praticamente impossível para as organizações responderem rapidamente aos alertas antes que qualquer dano ocorra.
Como as equipes de operações, análise e investigação de segurança podem eliminar todo este ruído e acertar em cheio quais são os eventos de segurança que mais importam?
Junte-se ao Scott Simkin e à equipe da ISACA CSX (CyberSecurity Nexus), responsável pela realização desta apresentação, em um webinar que se concentrará em descobrir como a inteligência de ameaças à segurança cibernética pode ajudar as equipes de segurança a:
• Determinar que ataque é único, crítico e direcionado;
• Adicionar a (muito necessária) análise de contexto aos indicadores de comprometimento; e
•  Adotar indicadores de malícia (maliciousness) e transformá-los em novos mecanismos de proteção.

06 novembro 2015

Segurança digital nos jogos Rio 2016

Saiba quais são as principais preocupações dos especialistas
O Programa "Tema Livre" da Rádio Nacional do Rio | Rádio MEC FM promoveu uma discussão sobre segurança digital durante os Jogos Olímpicos Rio 2016. A menos de um ano para a realização das Olimpíadas no Rio de Janeiro, quando a cidade vai receber, além do grande público, 10.500 atletas, de 206 países e mais de 100 mil pessoas envolvidas em sua organização, entre voluntários e funcionários, a segurança de toda a informação que será gerada é uma questão de grande preocupação.
Para esta edição do programa, gravado em 12Ago e que foi ao ar em 03Nov2015, estiveram presentes Paulo Pagliusi, especialista em Gestão de Risco Cibernético, militar da reserva, doutor em Segurança da Informação, Diretor da Consultoria em Gestão de Riscos Cibernéticos da Deloitte, Vice-Presidente da CSA BR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association) Rio de Janeiro; Guilherme Caselli, inspetor da Polícia Civil do Estado do Rio de Janeiro, representante da Delegacia de Repressão a Crimes de Informática; e Alexandre Knoploch, analista de sistemas e presidente da Associação Brasileira de Profissionais e Empresas de Segurança da Informação e Defesa Cibernética.
Ouça esta edição do Programa na íntegra clicando aqui ou na imagem acima!

27 outubro 2015

MPSafe agora chama-se Pagliusi Cibersegurança


Informamos que a MPSafe CyberSecurity & CounterEspionage alterou o nome para Pagliusi Cibersegurança.

Os novos endereços do site e das redes sociais da empresa são:

www.pagliusi.com.br

twitter.com/PagliusiCyber

www.facebook.com/PauloPagliusi

www.linkedin.com/company/pagliusi-cybersecurity


As mensagens ao CEO poderão ser encaminhadas para:

ceo@pagliusi.com.br

Para entrar em contato com a área de Comunicação e Marketing:

marketing@pagliusi.com.br

Para contatar, respectivamente, a área de Suporte Técnico e Relacionamento com Clientes, utilize:

ciberseguranca@pagliusi.com.br e

contato@pagliusi.com.br

Abraços e bons ventos!


31 agosto 2015

MPSafe patrocina a it-sa Brasil

A MPSafe CyberSecurity tem a honra de patrocinar a it-sa Brasil – The IT Security Conference and Corporate Networking. A NürnbergMesse Brasil (NMB) realiza a segunda edição da Conferência it-sa Brasil, nos dias 01 e 02 de setembro de 2015 no Clube Transatlântico – São Paulo – SP, em virtude do sucesso do lançamento da it-sa Brasil em 2014.
A it-sa Brasil é uma plataforma de conteúdo e negócios única, que permite que executivos tomadores de decisão dos mais variados segmentos discutam o tema Segurança da Informação, com exclusividade, em painéis compostos por especialistas nessa área. É, portanto, um espaço voltado a conectar pessoas e compartilhar conhecimento, visando esclarecer e desenvolver o mercado na busca constante de soluções em Segurança da Informação. 
O evento apresenta tópicos de vanguarda apoiado em temas idôneos, relevantes e com qualidade, promovendo um entendimento estratégico em seus painéis de discussão. Obtenha aqui a grade da programação.
conteúdo dos painéis é estruturado por um Advisory Committee, formado por profissionais do mercado envolvidos diretamente em atividades voltadas à Segurança da Informação. Paulo Pagliusi, CEO da MPSafe e integrante do Comitê de Serviços da it-sa, é debatedor no painel "Cloud II: Segurança e Privacidade na Nuvem", dia 01Set2015, das 15:30 às 16:30.

05 agosto 2015

Como evitar fraudes ao fornecer dados na Internet

Ouça a entrevista de Paulo Pagliusi, Doutor em Segurança da Informação, à repórter Priscila Rangel, da Radioagência Nacional - Empresa Brasil de Comunicação – EBC - Rádio Nacional de Brasília, em 05/08/2015.
Ao acessar a internet para fazer compras, entrar em redes sociais ou ouvir músicas, o consumidor quase sempre precisa preencher um cadastro. Saiba os cuidados que você deve tomar ao fornecer seus dados pessoais para não ser alvo de fraudes virtuais.

27 julho 2015

10 Passos para Aprimorar a Segurança e Privacidade na Internet

Hoje em dia, todos nós sabemos que a vigilância é onipresente. As revelações de Snowden desvendaram o grande alcance dos Five Eyes (“Cinco Olhos”), a aliança de agências de inteligência formada pelo Tratado de Segurança entre Reino Unido e EUA que inclui NSA, GCHQ, entre outras.
Mas os recentes vazamentos da empresa italiana de segurança Hacking Team expuseram um lado ainda mais sombrio dessa vigilância. A empresa foi colocada na lista de “inimigos da Internet” pela organização "Repórteres Sem Fronteiras", e os dados vazados confirmam o quão relevante é sua inclusão nessa lista:
Hacking Team: "O Sistema de Controle Remoto ‘DaVinci’ da empresa Hacking Team é capaz, segundo a própria companhia, de quebrar sistemas de criptografia permitindo o monitoramento — por parte de agências de inteligência e forças policiais — de arquivos, e-mails (mesmo que criptografados com PGP), Skype e outros serviços de comunicação que usam Voz sobre IP ou chat. Ele permite identificar a localização do alvo, bem como pessoas que fazem parte de seus círculos de relacionamento. Também permite ativar remotamente câmeras e microfones de computadores em qualquer lugar do mundo. A empresa ainda alega que seu software é capaz de monitorar centenas de milhares de computadores simultaneamente em todo o país” (Meet the Corporate Enemies of the Internet for 2013)
Depois de examinar os arquivos contidos no vazamento e de ter escrito sobre o envolvimento de outros países da Europa com a citada companhia (Irlanda, Reino Unido e França, Suíça, Luxemburgo e Alemanha e Chipre), decidimos reavaliar os mecanismos de segurança para o usuário final e ver o que pode ser feito para deixá-los mais fortes.
Encontramos algumas fontes muito boas e decidimos compartilhá-las com vocês aqui, para vocês poderem acessá-las a partir de um único lugar. Os guias “Surveillance Self-Defense”, da Electronic Frontier Foundation, são um excelente começo.
Tips, Tools and How-tos for Safer Online Communications

1 — Desabilite o Flash
Desabilite o Flash. Agora. Não iremos listar todas as muitas razões porque você tem que fazer isso, mas aqui vão listadas algumas: 1234.
Mozilla se livrou dele recentemente, e de uma vez por todas.

BIG NEWS!! All versions of Flash are blocked by default in Firefox as of now
E saiba que o Chefe de Segurança do Facebook está pedindo seu fim:

video
Veja como desabilitar o Flash em seu navegador:
  • Chrome: Digite o endereço chrome://plugins na barra de endereço. Desça até Adobe Flash Player. Clique em Desabilitar.
  • Safari: Vá para Safari > Preferências. Clique em “Segurança”. Clique em “Ajustes dos Sites”. Clique em “Adobe Flash Player”. Vá até o menu dropdown do item “Quando estiver visitando outros websites” e selecione “bloquear”
  • Firefox: Clique "menu do hambúrguer", no lado superior direito do browser. Clique em “Complementos”. Na coluna da esquerda, clique em “Plugins”. Vá ao menu dropdown próximo a “Shockwave Flash” e selecione “Nunca Ativar”
  • Internet Explorer: Clique no ícone da engrenagem no lado superior direito do browser. Clique em “Opções da Internet”. Clique em “Programas. Clique em “Gerenciar Complementos”. Clique em “Shockwave Flash Object” e em seguida clique em “Desabilitar”, no canto inferior direito da janela.
2 — Troque e revise suas senhas
O especialista do Intercept, Micah Lee, escreveu alguns guias excelentes sobre o assunto. Abaixo você encontra um ótimo artigo sobre como se certificar de que sua senha é realmente segura:


3 — Criptografe seu laptop
especialista em pauta também escreveu um ótimo artigo sobre este assunto. A única sugestão nossa é que, ao invés de utilizar o programa de criptografia TrueCrypt sugerido por ele - já descontinuado -, use o VeraCrypt, seu sucessor:
4— Crie uma VPN
Nós criamos uma VPN usando AWS (nuvem da Amazon), depois de ler esse excelente artigo.

Vantagens de ter um servidor VPN:

  • É simples: mesmo quem não é especialista em tecnologia consegue seguir esse guia tranquilamente. 
  • Rápido: Você só precisa de 10 minutos pra criar um servidor VPN. 
  • Privado: O servidor VPN é dedicado apenas ao seu uso. 
  • Seguro: Criptografado e protegido por senha. E nada fica registrado. 
  • Funciona sob demanda: Você pode iniciar e parar o servidor quando quiser. 
  • Global: Existe pelo menos um servidor VPN em 9 regiões do mundo (incluindo EUA, Japão e Cingapura). 
  • Suporte a Dispositivos: o servidor VPN aceita PPTP e L2TP com IPsec, o que significa que você pode acessar o servidor VPN com seus dispositivos Android, iPhone, iPad, PC, Mac, e a maioria dos roteadores (para acessar Apple TV e Chromecast, por exemplo). 
  • Open Source: o código é aberto, e você pode contribuir para esse projeto
  • *Grátis: usuários novos do Amazon AWS têm um ano de serviço de graça.
5 — Use o TOR
O que é Tor?
Tor é um serviço gerido por voluntários que oferece tanto privacidade quanto anonimato online através do mascaramento da sua identidade e do local de onde você está conectando. O serviço também protege você da própria rede Tor.
Para pessoas que precisam ocasionalmente de anonimato e privacidade na rede, o Browser Tor oferece uma maneira rápida de usar a Rede Tor. O pacote Tor Browser Bundle é a forma mais fácil de usar a Rede Tor, combinando o browser, o software Tor e outros softwares úteis que lhe darão uma forma mais segura de acessar a web (Fonte: EFF). Mais detalhes sobre o Tor, vide nosso artigo sobre a Internet Profunda.
Clique aqui para obter dicas de como usar Tor no Windows; clique aqui para dicas no Mac OS.

6 — Criptografe seus emails usando PGP
Utilizar o PGP é uma forma de impedir que seus e-mails sejam lidos por qualquer pessoa que não seja o destinatário da mensagem. Pode lhe proteger contra empresas, governos ou criminosos usando sua conexão à Internet e, de certa forma, impedir que seu e-mail seja lido caso o computador em que ele está armazenado seja roubado. De fato, o ideal é utilizar a versão Gnu PG.
Para usar PGP para trocar e-mails seguros, você tem que reunir três programas: Gpg4win (GNU Privacy Guard para Windows, conhecido como GnuPG), Mozilla Thunderbird e Enigmail. GnuPG é o programa que realmente cifra e decifra o conteúdo de seus e-mails, Mozilla Thunderbird é um cliente de e-mail que lhe permite ler e escrever e-mails sem o uso de um navegador, e Enigmail é um add-on para o Mozilla Thunderbird que combina tudo junto.
Aprenda a instalar e usar PGP nos ambientes LinuxWindows e OS X



7— Use OTR Messaging
OTR (Off-the-record, na sigla em inglês) é um protocolo que permite ter conversas confidenciais nos sistemas de mensagens que você já usa. Não deve ser confundido com o “Off the record” do Google, que simplesmente desabilita a gravação de conversas, mas não criptografa nem verifica essas conversas.
OTR usa criptografia ponto a ponto. Isso significa que você pode usá-lo combinado a serviços como o Google Hangouts ou o Facebook sem que essas companhias tenham acesso a essas conversas nem ao conteúdo compartilhado nelas (Fonte: EFF).

Aprenda a instalar e usar o OTR no Windows e no OS X
8 — Utilize aplicativos de mensagens que usam criptografia
Este outro guia de Micah Lee também traz informações valiosas sobre como proteger mensagens trocadas no seu celular.
9 — Blinde seu hardware
Se você usa um notebook, é importante que você trave o firmware dele. Se o seu aparelho for roubado ou perdido, ele pode ser iniciado por meio de um HD externo ou um pendrive, e seus dados podem então ser acessados.

Aprenda como travar o firmware no Mac OS X e no Windows

10 — Utilize Anti Malwares e Limpadores
O software Malwarebytes Anti-Malware (em versão gratuita e Premium) pode lhe ajudar a remover adwares e malwares presentes no seu computador, incluindo novas ameaças que os antivírus não conseguem detectar.
Malwarebytes Anti-Malware
O software limpador CCleaner é um utilitário pequeno, eficaz para computadores que executam o Microsoft Windows, que limpa o "lixo" que se acumula ao longo do tempo: arquivos temporários, atalhos quebrados e outros problemas.
Além disto, o CCleaner pode ajudar a proteger a sua privacidade. Ele limpa seu histórico de navegação e arquivos temporários de Internet, permitindo que você se torne um usuário mais confiável e menos suscetível ao roubo de identidade.