Uma das formas mais manjadas e mesmo assim mais bem sucedidas de se enganar um usuário de internet é usando páginas quase idênticas às originais para infectar o computador do visitante. No meio da correria que vivemos diariamente, não é tão difícil quanto parece se confundir com algum site e achar que estamos na sua versão original.

Agora os vagabundos de plantão passaram a usar um dos sites mais acessados da internet para tentar se dar bem em cima dos desatentos. O procedimento é o mesmo de sempre: o sujeito recebe um email com um link falando sobre um vídeo "interessante" e ao clicar nele, a pessoa é enviada para uma página muito parecida com a do Youtube. Nela é exibida uma mensagem que diz que para ver tal vídeo é necessário instalar um aplicativo.

Morrendo de vontade de assistir o [insira um vídeo que esteja na moda aqui], ele aceita a instalação e pronto. O seu computador já está nas mãos do bandido cibernético. Para não deixar suspeitas, o usuário é redirecionado para o vídeo e nem imagina que em breve a sua conta no banco poderá ser esvaziada.

A recomendação não poderia ser diferente: nunca clique em links que venham de emails de pessoas que você não conhece e ainda mais importante, NUNCA, em hipótese alguma, instale programas de sites que você desconfie.

É por isso que seu patrão manda você ir trabalhar e não ficar o dia todo vendo vídeozinhos no Youtube...

[via Physorg]

O Brasil sempre foi muito bom em automação bancária, graças a Darwin. O know-how adquirido foi transferido para a área de urnas eletrônicas e hoje temos a eleição mais rápida do planeta. Nos velhos temos chegaram a levar 30 dias para dar um resultado, com urnas de papel sumindo, votos em branco sendo sumariamente preenchidos por fiscais de partidos e todo tipo de fraude.

Há, claro, dois grupos que reclamam das urnas eletrônicas: Os Luditas, que temem tudo que é associado com tecnologia, e os políticos que acham complicado demais fraudar uma urna eletrônica, preferindo a boa e velha urna tradicional com votos em papel. Faz até sentido, quanta gente você conhece com know-how para escrever um programa que se oculte em uma urna eletrônica, quebre a criptografia, assinatura digital, decodifique os dados, altere-os e grave-os de novo? E quanta gente você conhece capaz de marcar um X em um quadrado no papel?

A última grande crítica sobre o processo eletrônico, de que o sistema era fechado, proprietário e não se sabia o que fazia (afinal a Microsoft tem muito interesse em escolher nossos vereadores e prefeitos) caiu por terra. O TRE migrou as urnas de VirtuOS e WindowsCE para Linux.

São mais de 480 mil urnas rodando Software Livre, uma economia de R$4 milhões, além da possibilidade de auditoria por parte dos partidos. (isso soou estranho, não?)

Auditoria essa que levou seis meses, com participação dos partidos, da OAB e do Ministério Público. Todos satisfeitos, os programas foram digitalmente assinados e lacrados, dia 12 de Setembro.

A eleição de 5 de Outubro será o primeiro grande teste, mas como se com as urnas antigas já não houve caso comprovado de fraude, exceto se levarmos em conta as urnas clonadas, mas aí também é covardia. Mas se houver alguma suspeita, os fiscais poderão comparar a assinatura digital dos programas nas urnas com os valores obtidos por eles do software livre devidamente auditado, técnica de segurança e autenticação que tem servido ao mundo Linux (e outros) faz tempo.

Claro, nada impede que alguém construa uma urna fala e coloque no lugar da verdadeira, então se sua urna se comportar como a do Homer no filme abaixo, denuncie!

Em uma trapalhada que só foi superada por um agente que ia encontrar seus contatos em um pub e não se dava ao trabalho de tirar o crachá, um agente não-identificado (d’oh!) perde uma câmera Nikon que continha nada menos do que:

• informações sobre suspeitos de terrorismo
• impressões digitais
• registros acadêmicos dos suspeitos
• fotos de mísseis e lançadores de foguetes

A câmera foi parar no eBay britânico, adquirida por US$30,00 e felizmente um bom samaritano viu as informações e decidiu levá-la para uma delegacia de polícia, que para mostrar serviço disse que então a câmera foi “confiscada”.

Nos velhos tempos os espiões tinham mais cuidado com seus materiais, mas hoje em dia, na época dos pendrives parece que todo mundo ficou relaxado. Não é a primeira vez que esse tipo de coisa acontece. Autoridades britânicas relevaram na Segunda-feira que um funcionário público senior esqueceu no tem uma pasta com informações sobre a Al Qaeda e forças de segurança no Iraque.

Em 2007 o Primeiro Ministro pediu desculpas à população por terem perdido, no malote entre duas repartições CDs com informações completas –nome, endereço, seguro social, dados bancários, etc- de 25 milhões de cidadãos britânicos. Mais ou menos metade da população.

PS: Eu sei que Maxwell Smart é americano mas com essas trapalhadas ele representa bem melhor a imagem do espião britânico moderno do que James Bond.

Fonte: Reuters

Que o Windows é alvo número de todos os criadores de vírus e malware ninguém discorda, mas mesmo um relógio quebrado está certo duas vezes por dia, e nem o Windows pode estar sempre “errado”. Só que alguns programas investem justamente na imagem de sistema vulnerável do Windows para vender seu peixe. O termo aliás é perfeitamente adequado, pois da mesma forma que pescado, esses programas começam a feder depois de 24 horas.

São softwares que mostram mensagens de “alerta”, anunciando violações de segurança, vírus e malware em seu sistema, mesmo sem terem rodado nenhum tipo de scanner.

Esses programas são feitos para enganar e assustar leigos, que pagam bom dinheiro por sua “proteção”. Sem contar que vários desses programas trazem de reboque malware, trojans e vírus.

Um dos maiores exemplos é um tal de Registry Cleaner XP, que sempre indica que há algo de errado ou suspeito com seu PC. Para em seguida oferecer um programa de limpeza, que custa módicos US$39,95.

A Microsoft agora entrou na Justiça contra a empresa produtora do software pedindo indenização e exibindo que o site e os anúncios sejam retirados do ar. O Promotor de Justiça Rob McKeena, do Estado de Washington apóia o processo, e diz:

Não vamos tolerar avisos alarmistas e enganadores ou “scanners grátis” , que tentam convencer os usuários a comprar softwares para resolver problemas que eles não têm"

Vejamos o que diz o tal programa no meu computador:

Claro, não há detalhes sobre quais seriam tais aplicações e entradas suspeitas no Registro, eu tenho que confiar no programa, pagar US$39,95 e acreditar que ele iria “reparar entradas no registro, otimizar a velocidade do sistema, bloquear popups e melhorar a velocidade do sistema”, como diz no site.

O programa aliás é tão bom que segundo as especificações funciona do Windows 95 ao 2000. Rodei no Vista e nem reclamou ;)

Espero que a Microsoft ganhe essa, pois o que o mundo menos precisa são picaretas que vivem de explorar o medo e ignorância alheios.

Fonte: Ars Technica

O Governo britânico está criando uma nova agência, com o objetivo de proteger crianças de sites que incentivam o suicídio e a pornografia.

Segundo a secretária do Interior Jacqui Smith a agência será a maior parceria entre órgão públicos e privados para salvaguardar jovens de sites perigosos. O objetivo é informar os jovens sobre os perigos, combater os sites com conteúdo ilegal e criar um código de conduta que possibilite a publicação de vídeos e mensagens. O UKCCIS (Conselho Britânico para Segurança de Crianças na Internet), deve também fiscalizar os videogames, combatendo os jogos violentos e promovendo propaganda online mais responsável.

Dentre os membros da agência estão empresas como o Facebook, a Google e a Microsoft. A organização reporta-se diretamente ao premiê britânico Gordon Brown.

Existe uma pressão sobre o governo e seus ministros para que mais seja feito no combate a jogos e sites que promovem suicido. Em março deste ano, um estudo resultou numa série de medidas para a proteção de crianças na Web, incluindo a idéia da formação de um conselho de segurança.

Andy Burnham, secretário britânico de Cultura disse que o objetivo do conselho é ajudar a garantir que o que é recriminado fora da Web também não seja aceito nela.

[via Reuters]

Na semana passada, a notícia de que a Polícia Federal não conseguiu decodificar os dados contidos nos HDs do banqueiro Daniel Dantas gerou um certo rebuliço entre os leitores. Para piorar, a notícia ainda dizia que a Justiça poderia solicitar à fabricante (americana) do programa de codificação as chaves para se abrir os arquivos. Há várias considerações a se fazer e muito já foi dito sobre isso. Minha idéia aqui é, simplesmente, ensinar ao bom cidadão brasileiro como esconder seus dados sigilosos de forma bastante razoável.

Aqui mesmo no Meio Bit, já demos várias dicas: esteganografia, criptografia open-source… há também outras opções, tanto gratuitas quanto pagas.

Neste artigo, vou usar o já conhecido TrueCrypt, que é um ótimo substituto “free” do PGP (Pretty Good Privacy), que agora só tem versões pagas (há algumas gratuitas, bem antigas, no site PGPi).

Bem, vamos começar. Aponte seu navegador para o site do programa, especificamente para a página de download. Há versões para GNU/Linux®, OS X e Windows. Neste tutorial vou usar a versão para Windows, mas não há grandes diferenças. Baixe a versão escolhida e siga a instalação conforme mostrado abaixo (feche todos os outros programas, pois será necessário reiniciar o computador):

Um estudo da Universidade da Carolina do Norte com estudantes universitários, que deveriam estar no lado da direita da curva de inteligência (em teoria, eu sei) demonstrou que 63% deles foram iludidos por popups falsos simulando janelas do sistema operacional.

Você sabe, aqueles “alerta de segurança”, “Você tem uma mensagem” e outros. Janelas do navegador disfarçadas para parecer avisos legítimos, e não um esquema safado para tomar seu computador, seus dados, seu dinheiro, sua virtude.

Janelas que literalmente pedem sua permissão para instalar sabe-se lá o quê, com propósitos malignos.

Os autores testaram 4 modelos de alertas, do indistinguível de uma janela do XP a um completamente fake. Dos 42 estudantes que serviram de cobaia, 26 clicaram no mais parecido e 23 no menos parecido com um aviso real.

Nove simplesmente arrastaram a janela para fora de vista.

O modelo das janelas variou, mas o tempo gasto para tomar a decisão não. Isso significa que a mesma consideração foi dada a todos, ou seja, nenhuma. Em termos leigos, NINGUÉM LÊ ESSA @&¨#¨&@!!!

Concluíram que nenhum processo de pensamento é gasto AVALIANDO a legitimidade da mensagem.

Questionados os estudantes disseram que consideravam as janelas uma distração. Metade deles afirmou que só queriam se livrar das janelas, por isso clicavam sem se dar ao trabalho de ler.

A idéia de que é preciso mais educação e treinamento para que esse tipo de engenharia social seja eliminado é questionada pelo próprio autor. Afinal, estamos falando de estudantes, teoricamente a elite intelectual do país.

Que será das mães e tias, do pessoal que usa computador “por obrigação”? Será mesmo que alguém tem ilusão de que é possível ensinar segurança de redes, malícia e bom-senso pra essa gente aqui?

E não, não adianta culpar o Windows. O UAC do Vista é muito mais restritivo que o controle de segurança do OS X, por exemplo. Na fome por se livrar do popup ou ver as fotos proibidas da lua-de-mel da Sandy, o pessoal clica qualquer coisa, até abre uma janela de terminal e digita “SUDO PHP scriptdomal.php” e por aí vai.

Talvez seja tarde demais. Talvez ao invés de tentarmos adestrar um enorme contingente de usuários que não quer e/ou não tem condições de ser adestrado, devamos nos concentrar em sistemas avançados de detecção de botnets, filtros para eliminar todo o SPAM vindo de máquinas contaminadas e no caso dos bancos, ferramentas de biometria. Assim o estelionatário tem que convencer a salsinha a fazer uma transferência, ao invés de apenas roubar os dados. Se bem que nem isso, vide os milhares que caem todo ano nos golpes da Nigéria, do Filho do Ministro do Petróleo, com 45 milhões de dólares e precisando de sua ajuda…

Fonte: Ars Technica