"Lee possui informações essenciais sobre nossa tecnologia de busca, sobre o negócio e sobre nossa estratégia para a China"

Como proteger informações que estão "na cabeça" das pessoas? A Microsoft tem
o seu jeitinho...

http://ultimosegundo.ig.com.br/materias/mundovirtual/2053001-2053500/2053086
/2053086_1.xml

Comprovado: pornografia de GTA vem de fábrica

Comprovado: pornografia de GTA vem de fábrica
Por Marcelo Hessel (www.omelete.com.br)
18/7/2005

Quinta-feira passada a polêmica sobre o suposto conteúdo sexual do jogo
politicamente incorreto Grand Theft Auto: San Andreas estava pegando fogo. O
motivo é o Hot Coffee, nome de um dispositivo que, instalado em uma máquina
que tenha o San Andreas (a versão para PC foi lançada mês passado),
destravaria minigames pornográficos. O "café quente" está disponível para
download na internet, gratuitamente, a qualquer um - mas San Andreas tem
censura M para audiência madura e não pode ser vendido para menores de
dezessete anos.

Até agora, as investigações do Entertainment Software Ratings Board (ESRB),
órgão que regula e classifica os videogames nos Estados Unidos, examinavam
se o dispositivo destrava códigos pré-existentes ou se é uma criação de
inteira responsabilidade de terceiros. No primeiro caso, a culpa recairia
sobre a Take Two Interactive Software, dona da Rockstar Games que desenvolve
e publica o jogo. Na segunda hipótese, bem, todo mundo sabe como é difícil
pegar um hacker.

Semana passada a Rockstar se mostrava indignada. Dizia que o software fora
violado, que iria investigar maneiras de aumentar a proteção do
código-fonte. Pois as dúvidas acabaram - e de maneira um tanto peculiar.
Relatórios confirmam que o Hot Coffee existe na versão do jogo para
PlayStation 2. E como o DVD do PS2 é inviolável - acessórios de trucagens
como o GameShark ou o Action Replay Max só destravam conteúdos já
existentes, não conseguem criá-los - a mentira da Rockstar teve perna curta.

A GameSpot, revista especializada na área, fez o teste. Comprou um exemplar
novinho de GTA: San Andreas para o console e adquiriu do respeitado blog
tecnológico Kotaku o código Uncensored Hot Coffee, que foi facilmente
inserido. Truques selecionados, namoradas do anti-herói CJ (personagem
controlado pelo jogador) visitadas, inúmeros encontros marcados... e a
safadeza rola mesmo.

Não vamos aqui nos aprofundar no minigame, mas ao final dele a GameSpot
decreta: "Dado que o minigame sexual não pode ser acessado sem uma longa
cadeia de truques e sem horas e horas de esforço, acusar San Andreas de
pornográfico pode parecer exagero; entretanto, a comprovação da existência
do minigame contradiz o pronunciamento da Rockstar, que cuidadosamente culpa
a insubordinação de hackers pela existência do Hot Coffee".

E como a polêmica já ganhou o Congresso dos EUA, a coisa vai complicar.

http://www.omelete.com.br/games/news/base_para_news.asp?artigo=13783

O celular e a notícia

http://www.link.estadao.com.br/index.cfm?id_conteudo=4219

Repórteres de si mesmos

http://www.link.estadao.com.br/index.cfm?id_conteudo=4220

MP3 celebra 10° aniversário

Foi no dia 14 de julho de 1995 que pela primeira vez Karlheinz Brandenburg,
pesquisador do Instituto Fraunhofer, na Alemanha, usou a extensão MP3,
símbolo do maior sucesso de formato de áudio digital da história da
internet.

São Paulo - Há dez anos atrás o Instituto Fraunhofer, na Alemanha, batizava
de MP3 um novo formato de áudio digital desenvolvido pelo pesquisador
Karlheinz Brandenburg.

Em pouco tempo, a extensão se transformaria num dos termos mais pesquisados
em sites de buscas, perdendo apenas para sexo. E faixas de músicas,
comprimidas pelo MP3, seriam baixadas aos milhões, gratuitamente, através de
redes de trocas de arquivos, para desespero da indústria fonográfica.

Na realidade, a primeira patente da revolucionária tecnologia foi registrada
em 1986 e várias outras em 1991. Mas foi exatamente em 14 de julho de 1995
que Brandenburg usou pela primeira vez a extensão.

O MP3 abriu caminho para a produção dos players de música digital, que devem
vender cerca de 80 milhões de unidades até 2006.

Ataques por PCs zumbis crescem 300%

João Magalhães (estadao.com.br)

Aumenta também o número de spywares (códigos espiões) e de adwares
(programas que despejam publicidade indesejada), segundo relatório da
fabricante de antivírus McAfee.

São Paulo - De abril a junho deste ano, a fabricante de antivírus McAfee
registrou 13 mil tentativas de invasões a sistemas operacionais por
computadores gerenciados remotamente por hackers ( mais conhecidos como PCs
zumbis), frente a três mil verificados no primeiro trimestre, o que
significa um aumento de mias de 300%.

A McAfee relatou ainda o crescimento em 12% de programas spywares (códigos
espiões) e de adwares (programas que despejam publicidade indesejada) no
mesmo comparativo e destacou as fraudes financeiras como o principal razão
dos ataques.

Para Vicent Gulloto, executivo da McAfee o usuário dificilmente percebe a
ação criminosa, uma vez que os invasores estão utilizando técnicas cada vez
mais sutis, que burlam os softwares de segurança, como antivírus e
firewalls.

Microsoft desiste de comprar empresa de adware

João Magalhães (estadao.com.br)

Em razão da imagem negativa que poderia ter, a Microsoft desistiu de comprar
a Claria, empresa que, com o nome de Gator, ficou famosa pelos seus adwares,
programas que despejam publicidade indesejada nas telas dos computadores.

São Paulo - Fontes ligadas à Microsoft disseram que a companhia não irá mais
adquirir a Claria. A desistência está associada à imagem negativa que a
Microsoft poderia ter, uma vez que a Claria, com seus adwares (programas que
despejam publicidade indesejada), estava na lista negra de várias empresas
de segurança.

No começo de julho, a Microsoft modificou seu antispyware, eliminando a
proteção contra os adwares da Claria, e classificando-os, desde então, como
inofensivos. Foi o primeiro passa dado em direção à transação.

O que encheu os olhos da Microsoft em relação à Claria foi o BehaviorLink,
ferramenta capaz de rastrear os hábitos de navegação de 40 milhões de
internautas - um big brother que serviria aos interesses de sites do portal
MSN.

Falha permite o seqüestro de domínios internet

João Magalhães (estadao.com.br)

O delito acontece quando, de forma fraudulenta, alguém toma o controle de um
endereço internet, apresentando-se, geralmente, como seu suposto
administrador.

São Paulo - Relatório apresentado durante encontro internacional do ICANN,
entidade que designa nomes e números de domínios internet, revela que eles
podem ser seqüestrados, por meio de uma falha na forma em que são
registrados, transferidos e controlados.

Segundo o documento, o delito acontece quando, de forma fraudulenta, alguém
toma o controle de um domínio, apresentando-se, geralmente, como seu suposto
administrador.

Dois casos já foram registrados este ano: o do Panix.com, um dos mais
antigos portais de Nova York, e o do provedor de e-mail Hushmail
Communications.

O relatório completo, divulgado pelo Comitê Consultivo para Segurança e
Estabilidade do ICANN está disponível na web no formato PDF.

Sites de relacionamento prendem atenção de internautas brasileiros

Clarissa Oliveira (estadao.com.br)

Levantamento realizado pelo Ibope/NetRatings, com o título Web Brasil,
divulgado trimestralmente pela consultoria, aponta que os sites de
comunidades absorvem cerca de 20,5% do tempo total de navegação

São Paulo - Os sites de relacionamento compõem a área que mais prende a
atenção dos brasileiros na Internet. De acordo com um levantamento realizado
pelo Ibope/NetRatings, com o título Web Brasil, divulgado trimestralmente
pela consultoria, os sites de comunidades absorvem cerca de 20,5% do tempo
total de navegação. Em seguida, estão sites de e-mail (11,3%), portais de
interesse geral (10,5%), instituições financeiras (6,5%) e ferramentas de
busca (4,7%). De acordo com o diretor-executivo do Ibope Inteligência,
Marcelo Coutinho, isso é explicado porque os povos latinos possuem uma
cultura comunicativa forte, que se traduz em uma procura maior por
atividades de relacionamento na Internet.

O estudo mostrou ainda que os usuários brasileiros da Internet destinam
53,2% do tempo de navegação a apenas cinco ferramentas disponíveis na rede:
comunidades virtuais, e-mail, portais, bancos e ferramentas de busca. Em
países como Espanha e Estados Unidos, que também integram o levantamento, as
cinco áreas que mais absorvem a atenção do usuário respondem por 39,8% e
30,4% do tempo de uso, respectivamente.

Coutinho avalia que diversos fatores contribuem para explicar essa
concentração. Ele destaca que, em países como os Estados Unidos, a prestação
de serviços e a oferta de conteúdo na Internet são mais desenvolvidos, o que
resulta em uma pulverização maior do uso da Internet. "Lá, há uma oferta
maior de coisas para se fazer na rede", afirma o analista.

Além disso, Coutinho ressalta que a preocupação dos pais brasileiros com a
segurança tem estimulado os filhos a passarem mais tempo na Internet em vez
de buscar entretenimento fora de casa. "Hoje em dia, os pais preferem ver
seus filhos em frente ao computador do que na rua à noite."

Semelhanças
O levantamento do Ibope/NetRatings também mostra semelhanças significativas
entre Brasil, Estados Unidos e Espanha. Sites de e-mail, por exemplo,
aparecem entre as categorias mais visitadas em todos os casos, com 10,9% do
tempo de uso entre espanhóis e 7,7% entre norte-americanos. Ferramentas de
busca também aparecem nos três casos, com 8,4% na Espanha e 3,9% nos Estados
Unidos. O mesmo acontece nos portais de interesse geral, que ficam com 6,9%
e 6,6%, respectivamente.

Segundo Coutinho, outro item que ajuda a demonstrar um comportamento
semelhante dos usuários é a performance registrada pela categoria de jogos
online no levantamento. Nos Estados Unidos, esse tipo de ferramenta absorve
7,2% do tempo de navegação, enquanto no Brasil e na Espanha esse número é de
4% e 3,8%, respectivamente.

Diferenças
Por outro lado, a pesquisa do Ibope/NetRatings mostra que o Brasil também
possui algumas características que o distinguem dos outros países avaliados.
Mesmo tendo alcançado 6,2% do tempo de uso no Brasil, os sites de
instituições financeiras, por exemplo, não aparecem entre as cinco
categorias mais navegadas nos outros dois países, ficando com o oitavo lugar
na lista dos EUA, com 2,9% do tempo de uso, e com o 7º lugar na Espanha, com
4,4%.

Entre os exemplos citados pelo estudo estão ainda sites de governo, que
respondem por 3,1% do tempo total no Brasil, quase o dobro dos 1,7%
registrados nos Estados Unidos e acima também dos 2,7% contabilizados na
Espanha.

DRI International chega ao Brasil em agosto

DRI International chega ao Brasil em agosto
http://www.b2bmagazine.com.br/ler_materia.aspx?numero=13219
14/7/2005 17:08:06

O DRI International (Disaster Recovery Institute), especializado em Formação
e Certificação Profissional em Continuidade de Negócios, chega ao Brasil em
agosto, com a realização dos cursos BCP 501 e BCLE 2000, voltados para
executivos da área de Tecnologia da Informação que queiram aperfeiçoar seus
conhecimentos em continuidade de negócios e obter certificações do gênero.

Com 5 representações em países como Canadá, Estados Unidos e continente
asiático, o DRII chega ao Brasil através de uma parceria entre as empresas
DRP Consultores, do México, e a Daryus, do Brasil. ''Trazer o DRII para o
Brasil consistiu em uma negociação de um ano e muita conversa. São muito
importante esses cursos para que possamos desenvolver a disciplina de
Segurança da Informação, melhorar o níveil dos profissionais, gerar
conhecimento e preparar as empresas brasileiras para essa necessidade'', diz
Jeferson D'Addario, executivo que conduziu a negociação e atualmente é
Gerente Executivo de Consultoria da XCORP Consulting Brasil, especializada
em continuidade de negócios.

Os cursos serão ministrados em português, com material didático e os exames
aplicados em inglês. Ambos acontecem em São Paulo entre os dias 29 de agosto
e 4 de setembro. O instrutor do DRII vem ao Brasil especialmente para
ministrar os cursos, que só terão novas turmas em 2006.

Microsoft 38 X Linux 234

Mas quem vence é a Microsoft...

Terça-feira, 12 de julho de 2005 - 11h43
Eduardo Vieira, de Minneapolis para a INFO Online

MINNEAPOLIS – A Microsoft finalmente reconheceu o Linux como um competidor
sério, assumiu uma posição agressiva de negócios e preparou um arsenal de
argumentos para atacar o avanço do software livre no mercado corporativo.

Esse foi o tom do discurso de Kevin Johnson, vice-presidente de vendas e
marketing da Microsoft Corporation, durante a Worldwide Partner Conference,
que terminou no dia 10 de julho em Minneapolis (EUA). “Quando competimos com
alguém, competimos para ganhar. E seremos agressivos contra o Linux”, disse
ele.

A estratégia da Microsoft consiste em mostrar que o Windows é mais seguro,
reduz o TCO (Total Cost of Ownership) das empresas e protege os
investimentos já feitos pelos clientes. A Microsoft preparou um extenso
material com 300 estudos de caso que mostram que o Windows é melhor do que o
Linux nesses quesitos. Pouco mais de 100 desses cases são de “winbacks”, ou
seja, de empresas que migraram para o Linux e, insatisfeitas, retornaram
para os braços da Microsoft.

Além dos cases, a Microsoft reuniu 45 relatórios de analistas independentes
mostrando as vantagens do Windows frente ao software livre, 14 discussion
guides e 21 tutoriais e webcasts para ajudar os parceiros a ter argumentos
de venda contra o pingüim. Segundo Johnson, o maior crescimento do Linux
acontece na base instalada de Unix e de Netware, o que favorece os
argumentos da Microsoft. “Temos que aumentar nossa força e ganhar ainda mais
mercado”, disse o executivo.

Mike Nash, vice-presidente da divisão de segurança, completou o discurso de
Johnson ao apresentar números que mostram a incidência de vulnerabilidades
no Windows Server 2003 e no Red Hat 3. De acordo com os dados, colhidos do
Vendor’s Public Security Bulletins de julho de 2005, de janeiro a junho
deste ano o sistema operacional da Microsoft teve 38 vulnerabilidades
corrigidas, contra 234 da versão do Linux. “A discussão é simples: basta
olhar os números para ver quem é mais seguro”, disse ele.

http://info.abril.com.br/aberto/infonews/072005/12072005-4.shl

Software espião ameaça mundo das redes

"Invisível à maioria dos programas antivírus, spywares desafiam a indústria
e provocam prejuízos"
Valor Online: João Luiz Rosa De São Paulo

Quem passa pela Marginal Pinheiros, uma das vias de acesso mais movimentadas
de São Paulo, já deve ter encontrado um anúncio misterioso: "O spyware mexeu
com o cara de TI errado". Pouca gente sabe ao certo o que é um spyware, mas
a ameaça tem crescido tanto em todo o mundo que a empresa americana de
antivírus Symantec decidiu estampá-la em um outdoor, num triste prenúncio de
que, como tantos outros riscos digitais, é uma questão de tempo para a praga
ficar conhecida.

"O spyware é o spam de 2005", afirma o especialista Ricardo Costa, da
Symantec, numa comparação com as mensagens publicitárias indesejadas que
explodiram no ano passado, infernizando a vida dos usuários de internet.

Os programas espiões são considerados uma das principais ameaças eletrônicas
por um motivo simples: como não se comportam como os vírus comuns, eles não
podem ser bloqueados, nem sequer eliminados pelos softwares tradicionais de
proteção.

Em geral, os spywares chegam ao computador escondidos em arquivos gratuitos
baixados da rede, como músicas e pequenos aplicativos. Mas eles também podem
aparecer em mensagens de spam ou, simplesmente, como resultado da navegação
em alguns sites.

Uma vez no computador, os spywares instalam barras não-requeridas, mudam a
página inicial da internet e bombardeiam o internauta com anúncios que
saltam da tela a toda hora, incluindo pornografia. Mas o pior é que durante
muito tempo esses programas podem repassar informações confidenciais a
criminosos digitais, incluindo senhas e dados financeiros, sem que a vítima
perceba.

Ao todo, 43% de todos os internautas americanos, cerca de 59 milhões de
pessoas adultas, já tiveram problemas com spyware, revela uma pesquisa do
Pew Internet & American Life Project, divulgada na semana passada. Desse
total, 28 milhões de usuários chamaram um técnico e gastaram US$ 100, em
média, para livrar-se do risco da espionagem digital. Ou seja, por alto, é
um prejuízo de US$ 2,8 bilhões, sem levar em conta o próprio efeito das
fraudes eventualmente provocadas pelos spywares.

No Brasil, embora ainda não haja informações tão detalhadas, a situação
também é difícil. Um serviço de monitoramento da Trend Micro, uma empresa de
antivírus, indica que das dez ameaças mais disseminadas do mundo nos últimos
30 dias, três são spywares. Nessas três categorias, o Brasil aparece entre o
quinto e o oitavo lugares entre os países mais afetados.

Dois motivos explicam porque os spywares, que vem ganhando força há pelo
menos um ano e meio, continuam a desafiar o poder de reação da indústria de
segurança da informação. "No caso dos vírus, o objetivo de seus criadores é
espalhá-los rapidamente. Já com os spywares, a abordagem é outra: eles ficam
escondidos no computador. Isso gera dificuldades para a indústria porque,
para criar uma vacina, é preciso antes receber uma amostra do código
malicioso", justifica Rogério Moraes, presidente da Internet Security
Systems (ISS), que faz software de proteção.

Mas o ponto mais curioso é que em boa parte dos casos é o próprio usuário
quem concorda com a instalação de um programa de monitoramento em sua
máquina, apesar de, claro, não perceber isso.

Essa prática tem origem no chamado adware. São programas que o usuário
concorda em receber, depois de assinar um contrato on-line - geralmente não
lido - para fazer o download de algum aplicativo.

Existe um debate entre os limites entre o adware, que é legal, e o spyware,
mas a maioria das empresas de segurança tem definido o primeiro como uma
variação do segundo. "Há programas que tem um fim legítimo, mas tornam o
computador vulnerável para outros códigos, que são maliciosos", diz Fábio
Pícoli, gerente de novos negócios da Trend Micro.

Divergências à parte, é consenso que a batalha contra os spywares exige um
esforço multidisciplinar no caso das empresas. A compra de um único produto
- como os antispyware que estão chegando ao mercado -, não seria suficiente.
"Não existe uma bala de prata", diz Moraes, da ISS.

A recomendação dos especialistas é combinar várias camadas de software de
proteção, que incluem desde os PCs que ficam na mesa do funcionários até os
servidores - as máquinas que administram os recursos da rede. As companhias
especializadas já oferecem até um tipo de equipamento, o IPS ("intrusion
prevention system"), que reúne vários softwares de proteção.

As empresas estão atentas, embora a limitação dos orçamentos obrigue a
maioria delas a ter uma atitude mais reativa, avaliam os especialistas.
"Oito entre dez clientes têm nos procurado para saber sobre antispyware e
antispam", diz Costa, da Symantec.

A própria Microsoft, maior companhia de software do mundo, tem tomado
precauções. No período de um ano, a multinacional comprou três empresas de
segurança - uma delas, a Giant, especializada em antispyware. Agora, ela
prepara um produto próprio, cuja versão de teste já está disponível para
download, informa Carolina Aranha, especialista em segurança da Microsoft no
Brasil. Os espiões digitais não poupam nem Bill Gates

Fraude virtual cresce 1.313% em um ano no Brasil

A internet brasileira registrou 7,9 mil ocorrências de fraudes no segundo
trimestre de 2005, com crescimento de 1.313% sobre as 562 notificações
reportadas no mesmo período em 2004.

O aumento em relação aos três primeiros meses foi de 259%, quando foram
registradas 2,2 mil ocorrências. As estatísticas estão na pesquisa
trimestral do Grupo de Resposta a Incidentes para a Internet Brasileira, a
CERT.br, do Comitê Gestor da Internet.

Os programas de cavalos de tróia são a principal causa dos ataques na web,
com participação de 45%. Em 2003, essa categoria respondia por apenas 1% dos
incidentes e em 2004 por 5%.

Os worms, que se propagam rapidamente com envio de cópias para outros
computadores, vêm em segundo lugar, responsável por 29% dos ataques. Os
scams estão em terceiro, com 24% das ocorrências.

Edileuza Soares, do Plantão INFO

http://info.abril.com.br/aberto/infonews/072005/11072005-4.shl

Grand Theft Auto sob investigação por conteúdo sexual

"Na tarde de ontem, perguntado pela revista GameSpot, a Rockstar disse
através de um porta-voz que o Hot Coffee não é um código incluso nos discos
do game produzidos pela empresa."

O tal Hot Coffee certamente não é parte do código-fonte do jogo... Ele é
simplesmente a chave para os "joguinhos" dentro do jogo.

http://www.omelete.com.br/games/news/base_para_news.asp?artigo=13700

"O crime do Yahoo é idêntico ao de quem distribui cocaína ou heroína"

O escritório de advocacia americano Robins, Cloud & Lubel está processando o
Yahoo por hospedar o site do grupo Candyman. Segundo o The Register, o
Candyman vinha exibindo fotos de uma criança que vinha sofrendo abuso
sexual. Os advogados pedem uma indenização de 10 milhões de dólares por
danos morais.

Adam Voyes, um dos advogados do menor, disse ao The Register que o Yahoo
deve uma satisfação pública por permitir a divulgação de material ilegal. “O
crime do Yahoo é idêntico ao de quem distribui cocaína ou heroína”, comparou
Voyes.

De 2002 para cá o FBI conseguiu identificar 1.400 usuários do Candyman e
prendeu 86 deles, sob suspeita de pedofilia.

Documentário sobre Crimes Tecnológicos

Novamente o colunista Christiano Cony traz um artigo e uma entrevista (da
qual não tenho certeza da confiabilidade) que trata de crimes tecnológicos.
Nota: a história dos boletos falsos descrito na parte 1 são reais e muito
usados no mercado.

Documentário sobre crimes digitais - Parte 01
(http://www.imasters.com.br/artigo.php?cn=3023&cc=87)
Documentário sobre crimes digitais - Parte 02
(http://www.imasters.com.br/artigo.php?cn=3107&cc=87)

[Artigo] Key Loggers

Christiano Cony é colunista do site iMasters e neste artigo ensina de forma
bem prática como identificar a presença de softwares maliciosos em ambiente
Windows.

http://www.imasters.com.br/artigo.php?cn=3127&cc=87

Hackers encontram oportunidades nos softwares de segurança

Os hackers estão mudando seus alvos conforme descobrem novas
vulnerabilidades, diz o Yankee Group. E menos do que focar em sistemas
operacionais, especialmente no Windows, eles estão tentando atacar os
softwares que supostamente protegem os PCs.

"Estou louco, ou ultimamente têm acontecido muito mais anúncios de ataques
contra vulnerabilidades por companhias de segurança?", disse ao TechWeb
Andrew Jaquith, analista do Yankee Group que vem analisando dados de um
banco público de informações relacionadas a vulnerabilidade, o ICAT.

Do começo de 2004 a maio de 2005, 77 vulnerabilidades afetando produtos de
segurança foram registradas no ICAT. "Se for considerado o número de
produtos afetados menos do que apenas a quantidade de vulnerabilidades
distintas, a taxa de crescimento desses ataques tem sido bem mais rápida",
diz Jaquith.

Segundo ele, três fatores levaram a esse nível de insegurança. O primeiro é
que os pesquisadores de vulnerabilidades - tanto "bons moços" quanto hackers
underground - já particamente exploraram tudo o que tinham de explorar em
vulnerabilidades Windows, partindo então para territórios virgens.

O segundo é o fato de produtos de segurança serem um alvo atraente porque
quase todas as companhias os possuem, especialmente soluções anti-virus. E o
terceiro seria o fator de interesse econômico por parte das próprias
empresas de segurança, apesar da prática ser ilegal.

"Devemos fazer soar o alarme", argumentou Jaquith. "Devemos dizer aos
fornecedores: "sabemos que não há um grande problema no momento, mas
queremos que vocês fiquem alertas, e trabalhem nisso.""

Redação ITWeb

A Cryptographic Compendium

This site contains a brief outline of the various types of cipher systems
that have been used historically, and tries to relate them to each other
while avoiding a lot of mathematics.

http://www.quadibloc.com/crypto/entry.htm

Falha expõe 40 milhões de cartões de crédito

http://info.abril.com.br/aberto/infonews/062005/20062005-0.shl

SÃO PAULO – Informações de 40 milhões de usuários de cartões podem ter sido
roubadas por crackers. A MasterCard informou que uma falha de segurança no
sistema da CardSystems nos EUA abriu brechas para invasores.

Entre estes cartões, cerca de 13,9 milhões são da bandeira MasterCard.
Outros 20 milhões são da Visa e o restante de outras bandeiras, entre as
quais a American Express.

A MasterCard Internacional e Visa informaram que notificaram os bancos sobre
o problema, que segundo elas, ocorreu por uma falha de segurança no sistema
da CardSystems e que teria aberto portas para entrada de intrusos.

A CardSystems é uma das companhias que processam transações de pagamento de
cartão de crédito para bancos e comércio. A vulnerabilidade foi descoberta
por meio de ferramentas antifraude da MasterCard.

A Visa informou que seus clientes foram informados sobre o problema, que
teria ocorrido em maio.

Edileuza Soares, do Plantão INFO

[News] Hacker ladrão é preso no Rio

Antes da notícia, só uma consideração: o meliante não é hacker - é
estelionatário. Hacker que é hacker não precisa de convite pra entrar -
simplesmente vai e faz o serviço. A tática dele (Otávio) é diferente: pede
licença, conta uma lorota qualquer e o usuário é quem dá, de mão beijada, a
grana para o bandido...

O hacker Otávio de Oliveira Bandetini, 20 anos, foi preso ontem no Rio,
depois de invadir pelo menos 200 contas em sete bancos diferentes na
Internet e desviar R$ 2 milhões em todo o País. Mais sete pessoas da
quadrilha tiveram a prisão decretada ontem. Meses de investigações e de
rastreamento levaram os agentes da Delegacia de Repressão a Crimes de
Informática a instalar uma central de monitoramento no subsolo do
apart-hotel onde Otávio vivia, para vigiá-lo de perto. Ele quase não saía do
computador.

A mudança para o Rio aconteceu depois de ser preso, há cinco meses, em Minas
Gerais, e ganhar na Justiça o direito de responder a processo em liberdade.
Aqui, desfrutava de vida confortável e carro importado, em flat de classe
alta. Ele não sabia que todas as operações de seu computador eram
acompanhadas pelos policiais. Sua estratégia era capturar dados bancários de
pessoas em páginas na Internet com um programa-espião. Segundo a polícia,
Otávio não desviava o dinheiro diretamente: vendia as informações,
repassadas por 10% do que era desviado das contas.

A investigação apontou que seu pai, o dentista Marino Bandetini Junior – que
mora em Arujá (SP) – fazia parte da quadrilha, e a madrasta, Sara, sabia de
sua atividade criminosa. Gravações do monitoramento telefônico mostram que o
pai tinha contato na polícia e sabia que o telefone do seu consultório
estava “grampeado”. “A polícia me avisou para não usar que está grampeado.
Estou falando de um orelhão agora, pode ficar sossegado”, contou ao filho.

Em março, a Polícia Federal prendeu, em condomínio na Barra da Tijuca,
Valdir Paulo de Almeida, 42 anos, apontado como líder de quadrilha de
hackers, que desviou R$ 60 milhões de correntistas. Com el estavam CDs com
informações de 1 milhão de correntistas.

ENC: [News] As certificações são tão valorizadas quanto graduação e pós.

Após anos de estudo (graduação, pós-graduação, MBA e diversos cursos
técnicos), muitos profissionais de TI continuam correndo o risco de ter suas
habilidades questionadas se não tiverem no currículo alguma certificação. No
Brasil, um profissional certificado dobra as chances de ingressar no mercado
de trabalho. Não à toa, o País é o 13º do mundo em número de profissionais
certificados Microsoft. E o número 1 na América Latina, segundo pesquisa do
Ibope.

O estudo diz ainda que 21 mil MCPs (Microsoft Certified Professional) se
formaram até janeiro, 10.800 deles nos últimos três anos. E esta é apenas
uma das dezenas de empresas que oferecem uma linha cada vez mais extensa de
certificações. Frederico Novaes, gerente do Senac-Rio, e Andre Kischinevsky,
diretor do Infnet, acreditam que o mercado passou a identificar as
certificações como comprovante da atualização do profissional. “Em vários
processos seletivos a certificação é um pré-requisito”, diz Kischinevsky.
Mas o diretor da Softex, Márcio Girão, faz ressalvas. “Em licitações
públicas há um uso abusivo de certificações, com referências específicas a
produtos de determinadas empresas”, protesta.

Certificação ou faculdade?

O certo é que, em virtude das certificações, alguns profissionais invertem o
ciclo educacional. “Muitos alunos fazem uma formação específica, arranjam
emprego e só depois, com salário garantido, entram na faculdade”, conta José
Carlos Balula, diretor comercial da NSI.
É o caso de Júlio César Jesus, 29, administrador de redes da Leadership.
“Mesmo com muita experiência na área perdi uma oportunidade numa grande
empresa por não ter certificação”, conta. Só depois de obter uma
certificação Microsoft, Júlio ingressou na faculdade. “Ainda quero fazer
prova para certificação Linux”, completa.

O analista de suporte em TI Diogo Bittencourt, 25, também certificado
Microsoft, concorda. “Na minha área, uma certificação é tão valiosa quanto
uma Graduação”. Mas Diogo também acredita que o ideal hoje em dia é que o
profissional tenha tanto uma certificação, como um curso superior. “São
diferentes, e cada um tem sua importância. Nos cursos de Graduação aborda-se
vários assuntos relacionados à TI. Já nos cursos preparatórios para
certificações é 100% prática, e a maioria dos exemplos refletem o ambiente
real de trabalho”, acredita.
E quem já tem graduação, pode usar a certificação para mudar de área, como
foi o caso de Ronaldo Wada, 33. “Eu trabalhava na área de telefonia e passei
a ter interesse pela área de TI. A certificação MCSA foi fundamental para
essa mudança”, assegura.

http://odia.ig.com.br/info/in130401.htm

Alessandra Carneiro e Mylène Neno (o dia online)

ENC: [News] Bancos gastam R$ 12,5 bilhões com TI

A informação, divulgada pela Febraban, tem por base pesquisas da Fundação
Getúlio Vargas, segundo as quais, desde 2001, as instituições dedicam à
Tecnologia da Informação montante superior a 10% de seu patrimônio líquido.

São Paulo - Os bancos brasileiros aplicaram mais de R$ 12,5 bilhões em
tecnologia da informação (TI) em 2004, o que representa um aumento de 8% em
relação ao ano anterior.

A informação, divulgada pela Federação Brasileira de Bancos (Febraban), tem
por base pesquisas da Fundação Getúlio Vargas, segundo as quais, desde 2001,
as instituições dedicam à TI um montante superior a 10% de seu patrimônio
líquido.

Entre os anos de 2000 a 2004, segundo a Febraban, a evolução dos gastos
registra um crescimento total da ordem de 186,5%. Em números absolutos, eles
subiram de R$ 6,7 bilhões em 2000 para R$9,8 bilhões em 2001, atingindo
R$10,9 bilhões no ano seguinte. Em 2003 e 2004 somaram R$11,5 bilhões e
R$12,5 bilhões, respectivamente. O setor financeiro é responsável por 23% de
todos esses investimentos.

http://www.estadao.com.br/tecnologia/informatica/2005/abr/14/54.htm
João Magalhães(Estadão.com.br)

ENC: [News] Yahoo + Google = Yagoohoogle

Tudo começou com uma pegadinha de primeiro de abril do site Slashdot, que
havia noticiado a fusão entre o Google e o Yahoo!, resultando no site
YaGoohoo!gle. A fusão não passou de uma mentira, mas um norueguês tornou o
novo site uma realidade.

O funcionamento é bem simples: preencha o texto da pesquisa, e o site põe
lado a lado os resultados obtidos no Yahoo! e no Google. Ao clicar no link
Next, no topo da página, ambos os sites vão para a próxima página de
resultados.

Clique aqui para conferir o YaGoohoo!gle .

[News] Hackers roubaram dados de ao menos 300.000 pessoas na LexisNexis

A invasão do banco de dados da empresa LexisNexis, anunciada no mês passado,
afetou mais de 300.000 pessoas, número dez vezes acima do calculado
inicialmente. Nomes, endereços, números de previdência social e de carteiras
de motoristas das cerca de 310.000 pessoas poderiam estar em posse dos
hackers, segundo a companhia.

Reed Elsevier afirmou hoje que nenhum dos afetados denunciou até o momento o
roubo de identidades e que a infra-estrutura da LexisNexis nunca foi
comprometida pela invasão, que se limitou "ao furto (...) de identidades e
contra-senhas dos clientes legítimos da Seisint".

http://ultimosegundo.ig.com.br/materias/mundovirtual/1936501-1937000/1936693
/1936693_1.xml

[Computer Forensics] Recuperação de Dados em HDs vendidos no eBay

Não faz muito tempo o mercado conheceu 'na boca miúda' a história de um
grande banco brasileiro que, sabe-se Deus por que cargas d'água, decidiu
vender um lote de HDs usados para uma loja da Santa Ifigênia (a Meca da
tecnologia aqui em São Paulo).

Duas coisas me deixaram indignados nessa história: a primeira foi a de um
banco daquele porte querer receber "dinheiro de pinga" por um lote de discos
rígidos velhos. A segunda foi a inocência de não apagar o conteúdo desses
discos antes de vendê-los...

Mas aí vêm nossos irmãos Alemães e mandam essa... Vai ver não estamos tão
fora assim do padrão internacional...

http://www.channelregister.co.uk/2005/04/07/hard_drive_with_police_info_sold
_on_ebay/

Games ganham preferência como diversão

Não faz muito tempo fizemos um trabalho no mestrado sobre o Cinema e as
Forças de Porter. Na ocasião eu levantei a bola para uma possível inversão
de preferências no entretenimento a médio prazo: a diversão passiva (cinema,
home-vídeo, tv) seriam passados pra trás pela diversão interativa
(basicamente jogos eletrônicos). Justifiquei isso, sob os olhares
desconfiados da platéia e de um professor cético e amante da grande arte,
com alguns argumentos relativamente simples:

- os videogames estão cada vez mais bem acabados;
- os jogos hoje tem roteiro cinematográfico;
- o jogador é parte da ação e decide em muitos casos qual o fim da história;
- os recursos são finitos. Com cerca de 40 dólares um norte-americano pode
optar por comprar um jogo (que garante em média 60 horas de diversão) ou 4
entradas para o cinema (ou seja, no máximo 8 horas de entretenimento -
pipocas não incluídas).

Devia mandar essa notícia para o meu professor e tentar uma revisão na nota
do trabalho... ;)

http://www.estadao.com.br/tecnologia/informatica/2005/abr/11/118.htm

[Artigo] A gangue dos Estudantes Xerocadores e os Direitos Autorais

Em sua coluna semanal para o caderno Link do Estadão, Marcelo Taz faz uma
reflexão sobre o conjunto de 100 ações aprovadas pelo Conselho de Combate à
Pirataria e Delitos contra a Propriedade Intelectual, do Ministério da
Justiça.

Se fosse autor de livros (que como qualquer ser que tem contas a pagar, visa
lucro com sua obra) talvez também estivesse militando contra as cópias não
autorizadas das minhas palavras. E pior, a prática é muitas vezes
incentivada pelos educadores deste nosso Brasilzão sem fronteiras. "Luiz
Paulo Barreto, presidente do Conselho, reconhece que xerocar livros é
prática generalizada nas universidades do Brasil. Bidú!" - qualquer um que
tenha estudado, do pré ao pós-doutorado, já praticou esse abominável ato
ilícito. Até os próprios autores dos livros de hoje me arrisco a dizer.

"Opa, mas não é justamente esta a tarefa do estudante: apropriar-se do
conhecimento alheio?" - tão simples quando difícil, não?

Agora vem a questão: daquele livro imenso de 500 páginas, ele, o estudante,
precisa apenas do que trata de criptografia. Umas 10 pagininhas... Adivinha
só o que ele vai fazer. Bidú!

http://link.estadao.com.br/index.cfm?id_conteudo=3040

Contagem Regressiva - CISA e CISM

Faltam apenas
anos,
meses, e
dias até 3/30/2005

Que monstro é você?

[News] Provedor Holandês e o reembolso pela espionagem.

Um provedor holandês de internet registrou uma queixa contra o governo do país nesta segunda-feira para a recuperação de gastos que alegou ter feito para o investimento em tecnologia de monitoramento online.

http://ultimosegundo.ig.com.br/materias/mundovirtual_especial/1903001-1903500/1903154/1903154_1.xml
O curioso não é exatamente a ação judicial contra o governo, mas sim a falta de privacidade explicita dos usuários da comunidade européia... Espero que isso não aconteça para as bandas de cá...

[News] Segurança da Microsoft causa apreensão

Códigos de correções para falhas em softwares da Microsoft, enviados
antecipadamente a órgãos governamentais dos Estados Unidos para análise,
podem ser roubados e explorados por hackers, avisam experts na matéria.

http://www.estadao.com.br/tecnologia/internet/2005/mar/12/36.htm

Hum... Isso quer dizer que dentro da Microsoft não haveria a mínima
possibilidade desses códigos vazarem? E se entendi bem a infra do governo
dos Estados Unidos é mais vulnerável a ataques / sabotagens do que a
Microsoft?

Estranho isso, não?

[News] Segurança da Microsoft causa apreensão

Códigos de correções para falhas em softwares da Microsoft, enviados
antecipadamente a órgãos governamentais dos Estados Unidos para análise,
podem ser roubados e explorados por hackers, avisam experts na matéria.

http://www.estadao.com.br/tecnologia/internet/2005/mar/12/36.htm

Hum... Isso quer dizer que dentro da Microsoft não haveria a mínima
possibilidade desses códigos vazarem? E se entendi bem a infra do governo
dos Estados Unidos é mais vulnerável a ataques / sabotagens do que a
Microsoft?

Estranho isso, não?

[News] Bank of America perde backups sigilosos

Essa entra no hall dos erros inaceitáveis: um grande número de arquivos do
Bank of America, contendo informações financeiras de funcionários públicos
norte-americanos, foi perdido (ou roubado) durante transporte para um centro
de armazenamento de dados, revelou porta-voz da instituição, na última
sexta-feira.

http://www.estadao.com.br/tecnologia/informatica/2005/fev/28/40.htm

É o que eu costumo dizer: Feio não é errar - Feio é errar no óbvio!

[News] Na internet, a fama normalmente acompanha a humilhação

Gary Brolsma filmou uma performance sua de "chair dancing" que atravessou o mundo e virou celebridade instantâne na net. E para ele parece não ter sido ruim (levou na esportiva). Diferente do outro astro da internet "Star Wars Kid" que, devido à exposição, teve que ser internado...

Como diz o protagonista dessa reportagem: “Quem sabe onde isso vai acabar?”.

http://ultimosegundo.ig.com.br/materias/nytimes/1894001-1894500/1894065/1894065_1.xml

[Artigo] O papel para a escolha ou a intencionalidade humana no ambiente corporativo

O artigo publicado hoje no jornal Valor (www.valor.com.br) intitulado "Serão os MBAs os grandes culpados?" discorre sobre o comportamento quase amoral que determinados executivos tem adotado, suas possíveis origens nas escolas de negócios e seus efeitos práticos na vida corporativa: desumanização da administração, aversão à autoridade superior e os possíveis rumos desse tipo de orientação profissional.

Para ler e refletir...

http://www.valoronline.com.br/veconomico/?show=index&mat=2874305&edicao=1043&caderno=292&news=1&cod=9eacdbac&s=1

[SOX] Tudo e mais um pouco sobre Sarbanes-Oxley

Esse foi um achado: uma imensa coleção de artigos tratando da lei Sarbanes-Oxley. Tem de tudo um pouco - vale uma visita demorada.

http://www.s-ox.com/resources/index.cfm

[Computer Forensics] Information Assurance & Digital Evidence

Pesquisa interessante publicada no site do FBI entitulada "Information Assurance Applied to Authentication of Digital Evidence" dividida em sub-tópicos que incluem:

• Authentication of Evidence
• Information Assurance Services
• Information Assurance Applied to Digital Evidence
• Digital Video Evidence System
• Generalized Information Assurance Solution
• Daubert Compliance

http://www.fbi.gov/hq/lab/fsc/backissu/oct2004/research/2004_10_research01.htm

[Joke] Acesse o celular da Paris Hilton agora!

[News] Falhar não é feio... Feio é errar no óbvio

Essa chega a ser ridícula. Uma falha nos antivírus da Trend Micro permite que o programa execute vírus ao invés de bloqueá-los. Feeeeeio.

http://info.abril.com.br/aberto/infonews/022005/25022005-3.shl

[Reflexão] A infecção pela curiosidade

Não é de hoje que os vírus de computador estão ativos. Desde que me conheço por gente-plugada (mais ou menos desde os 10 anos de idade) essas pequenas e engenhosas formas de vida são disseminadas não por mecanismos elaborados, mas em grande parte por quem se julga seu maior algoz: o próprio usuário. Mas o que promove esse auto-flagelo? Em outras palavras: em que diabos você estava pensando quando abriu aquele arquivo?

Segue algumas causa prováveis...

Ganância: O ditador da Lafônia foi deposto. Caçados pelos civis, o ditador, seus homens de confiança e suas famílias foram executados em praça pública... exceto um - o filho do contador. Sim, ele sobreviveu e se esconde em becos escuros. Ele está aflito pois, apesar de ter em mãoes todos os códigos bancários que abrigam a fortuna do finado ditador, só poderá gozar de tal benefício fora de seu país. E é aí que você entra - se você adiantar uma grana para o pobre futuro-defunto, em retribuição, ele te garante 70% da fortuna. Essa história é muito velha, já virou um mito na internet e parece ridículo para pobres mortais. Mas o mundo não é feito apenas de pobres mortais - alguém com muito dinheiro pode receber a mensagem e imaginar que essa possa ser uma "excelente" oportunidade de engordar seus dividendos... Existem casos mais adequados ao mundo dos gente-como-a-gente - um sem número de ofertas que vão de carros a viagens. Sem esforço, sem suor, sem perguntas... e lá vamos nós clicando no link...

Curiosidade: Faça o teste na sua empresa crie um link para um contador em uma página interna e envie no título da mensagem temas envolventes do tipo: Demissões 2005, Promoções, Cargos e Salários ou outros. Ah, claro. Não se esquece de especificar no rodapé que a mensagem é confidencial e que deve ser apagada em caso de ter sido enviada por engado...

Luxúria: Antigamente os homens eram taxados de tarados, amorais e outras coisas mais por receber nos escritórios uma verdadeira enxurrada de fotos de mulheres em fotos, vídeos e até animações com contextos que variavam de leve sensualidade ao bizarro. Até o dia em que as mulheres acharam as fotos "dos mano". Agora elas não podem dizer muito mais.. Estão igualmente expostas ao mal da luxúria virtual, onde todos os dias escândalos envolvendo celebridades são divulgados e oferecidos em forma de vídeo, fotos ou seja lá o que estiver contido naquele arquivo compactado...

Carência: Ah. Alguém que me ama e me mandou um cartão virtual. I LOVE YOU no título, além de bilingüe é romântico. Que guti-guti, adoro apresentação com musiquinha e fotos de bebês, animais fofos, etc. O que? Minha esposa está me traindo? E as fotos estão no arquivo anexo?

Pró-atividade: Agora vou ser apedrejado, mas em uma história recente uma secretária-executiva altamente qualificada e engajada com os objetivos da empresa havia acabado de sair de um treinamento sobre pró-atividade. Curiosamente ela recebeu um email com uma promoção de um grande Banco brasileiro - sorteio de uma viagem para o Caribe bastando apenas preencher um "formulário anexo". Imperdível não? Mas as lições aprendidas recentemente falaram mais alto: ao invés de se beneficiar da oportunidade, encaminhou a mensagem para todos os empregados da empresa. Um simples phishing havia acabado de ganhar o status de "informação da Diretoria"... E quem não abriria?

A Simple Guide to Securing USB Memory Sticks

Artigo bacana sobre segurança envolvendo os famosos USB Keys ou Memory Sticks.

http://www.net-security.org/article.php?id=764

What did I learn today?

(1) A vida não é sempre um mar de rosas, e invariavelmente nos defrontamos com grandes desafios e enigmas a serem solucionados. "Decifra-me ou devoro-te". E não me refiro apenas aos enigmas técnicos: os que mais tem tomado meu tempo e demandado atenção não são os computadores, mas sim as pessoas - o quebra-cabeça das relações inter-pessoais. Contudo <pausa dramática> existem momentos em que a bucha é tão grande, a encrenca é tão pesada que não existe outra saída: você tem que afrouxar o nó da gravata, arregaçar as mangas, estufar o peito e dizer em alto e bom som "Agora Fodeu!".

(2) Hoje fui obrigado a vasculhar, sem sucesso, documentações de trabalhos de uns 4 anos. Tudo para encontrar um único comando para auditar uma rede Netware. E depois de achar o maldito comando, aprendi uma nova lição - o tempo passa, o tempo voa, mas o NLIST continua funcionando numa boa!

[Cursos] COBiT

A ISACA SP está promovendo de 15 a 17 deste mês o curso COBiT, que apesar de básico, é um dos mais instrumentais já oferecidos pela Associação. Na verdade é um dos mais instrumentais já oferecidos por qualquer empresa / instituição que eu conheça. Serão 3 dias onde os participantes poderão entender os fundamentos do Framework e efetivamente exercitar seu entendimento do tema. Para conhecer o programa completo visite o site da ISACA SP (www.isaca.org.br) ou o site da ABBC (www.abbc.org.br). Membros da ISACA têm desconto!

[News] Blogs na internet viram "caça-jornalistas"

Falar bobagem sempre foi fácil e a mídia incentiva esse tipo de comportamento - polêmica sempre rende mais. Os poucos especialistas capazes de identificar farsas ou nunca ganharam papel de destaque nessa mídia, no máximo uma nota de rodapé que tenta rebater uma manchete de primeira página. Golias e Davi, com a vantagem de que Golias tem o apoio da maioria e Davi é ignorado... até agora.

http://ultimosegundo.ig.com.br/materias/mundovirtual/1888001-1888500/1888498/1888498_1.xml

Engenharia social: atacando o elo mais fraco

Excelente artigo de Rafael Cardoso dos Santos sobre engenharia social. Aliás, muito oportuno para a essa época do ano.

Handbook of Information Security Management

Não sei se esse documento é oficial, mas pelo que eu li não tem informações erradas. O Handbook of Information Security Management foi disponibilizado pelo ccure para quem está se preparando para o exame CISSP.

[Hacking] Derrotando a Criptografia

Não são apenas os mocinhos que usam criptografia.

Blogs cada vez mais vistos. Por advogados

Faz muito tempo que acompanho o conteúdo de determinados blogs. A maioria deles não passa de entretenimento, mas tem uma turma que força a barra. O anonimato da internet, em parte, é baseado na dificuldade das pessoas em acessar determinadas informações - procurar sem se saber o que realmente pretende achar. Assim sendo, seu chefe/colega de trabalho/desilusão amorosa, que mal sabe usar a máquina de café no final do corredor, não teria como descobrir suas "opiniões secretas" sobre eles. Essa barreira está cada vez menor e o tão sonhado anonimato cai na mesma proporção.

Portanto o blog, aquele cantinho escolhido por tantos para extravasar o estresse diário agora passa a ser olhado como um cartaz pendurado no quadro de avisos, aquele em frente à máquina do café.

[Pesquisa] Crimes Digitais na Alemanha

O blog Dislexia 3000 trouxe recentemente dados sobre os Crimes Digitais na Alemanha. Tem de tudo um pouco, desde a ação da polícia até o aumento de sabotagens e espionagem em computadores. Muito do aumento nesses dois últimos índices, imagino, não deve ser exclusividade da comunidade européia. E acredito que esse aumento deve-se principalmente à oferta aberta de ferramentas para a exploração de vulnerabilidades... Sabotagem e espionagem geralmente tem motivação clara - principalmente o ganho financeiro - mas não creio que 90% dos atacantes de hoje tenham intenção de ganhar um centavo com sua prática. A questão é que tudo ficou tão fácil, tão acessível... por que não fazê-lo.

Depois de quase 2 semanas

As últimas semanas foram complicadas, como diria o Faustão, tanto no pessoal como no profissional. Primeiro foi o novo estatuto e a eleição da diretoria 2005 da ISACA - fui reeleito, agora como Diretor de Associados. Vai ser um desafio e tanto para 2005 - imaginando que durante o mesmo ano ainda vou ter que preparar a dissertação de mestrado. Acho que agora vou começar a perder os cabelos...

País terá banco com digitais de criminosos

Putz. Estava vendo o Gil Gomes falando disso hoje na TV.

[Eventos] Sarbanes-Oxley para boa Governança Corporativa

Apesar do evento ter sido divulgado em cima da hora, esse painel patrocinado pela Microsiga foi bem interessante. Mais adiante prometo criar uma seção aqui só para eventos...

[Sarbanes-Oxley] IT Control Objectives for Sarbanes-Oxley

Muitos profissionais responsáveis pela manutenção e segurança das informações ainda não tem "no sangue" a real idéia do quão crítico os controles internos são importantes em organização. E também não tem idéia da importância de ter esses controles internos adequadamente formalizados para atender as determinações da Sarbanes-Oxley. Esse documento é destinado, não só ao público técnico, mas a todos que ainda não conseguiram enxergar a relação entre os controles de TI e os controles que vão garantir números contábeis sadios no final do dia...

[Computer Forensics] PDA Forensics Guidelines

Saiu a versão final do protocolo PDA Forensics Guidelines. Cortesia do NIST.

[Bit Brushing] Malicious Code Analysis

Procurando por drivers de rede acabei achando esses dois artigos sobre análise de códigos maliciosos.

• Reverse Engineering Hostile Code
  
• Alien Autopsy: Reverse Engineering Win32 Trojans on Linux
  

[Legislação] Orkut e uso inadequado de imagem

O grande barato do Orkut é, sem dúvidas, reencontrar antigos amigos que a muito não se sabia o paradeiro. Para que isso aconteça são criadas comunidades de afinidade comum - com temas que vão do antigo colégio até a devoção por um amigo em comum. O problema é que muitos estão usando as imagens de empresas, escolas e outras instituições para melhor identificar esse "ponto de encontro" virtual. E já existem pelo menos 2 casos reais em que a justiça exigiu que comunidades desse tipo fossem tiradas do ar.

• Justiça manda usuário tirar comunidade do Orkut
• Juiz tira do ar crítica a escola no Orkut

[PDA Utilities] RAR para Pocket PC

Talvez o melhor compactador que já usei, agora na versão para Pocket PC e freeware.

Desastres esquisitos com o computador

Recentemente saiu uma nota no Folha Online sobre os Desastres esquisitos com computadores. Tem coisas idiotas e coisas não tão idiotas assim como, por exemplo, o cara que colocou o HD no freezer para recuperar os dados. Estúpido, não? Mas funciona - o tal fulano só não teve cuidado para preparar o equipamento.

Recovering From an Attack

Esse artigo é muito legal e trata de forma muito abrangente as rotinas de recuperação em caso de ataque bem sucedido. Cortesia do Network Computing.

[Sarbanes-Oxley] Começa essa semana nos Estados Unidos

É isso aí. A partir dessa semana começa a valer a lei Sarbanes-Oxley para as empresas americanas. Não sei direito como ficou para os demais países, mas creio que até o ano que vem todas as empresas não-americanas com ações na bolsa de NY devem estar em linha com a cartilha SOX.

[Hacking] Ataque de DoS na camada de aplicação

A InfoSecWrites divulgou esse bom documento sobre os diferentes tipos de ataques de Denial of Service via camada de aplicação.

[Computer Forensics] Using Perl to Harvest Hash Sets

O uso do Perl em forense computacional não é novo. Segundo os especialistas, essa linguagem é uma excelente "cola" para os diversos tipos de testes e análises inerentes de uma perícia. Documento do NIST, portanto, procedência garantida!

[Bit Brushing] Implementando IPv6

Bom artigo sobre configuração e implementação de IPv6.

[Leitura] As leis de Murphy na computação

Parece texto de piada, mas é um artigo até bem sério. O autor, Wietse Venema, se não me falha a memória, é o criador do software de auditoria de redes SATAN.

[Hacking] Aprenda e se proteja - Buffer Overflow

A proposta desse documento é meio que ensinar como funciona, e como executar, um buffer overflow. Não sei se é atual ou não, mas vale pela curiosidade

[ISACA] ATENÇÃO - Eleição da diretoria 2005

Pois chegou a hora de você, associado da ISACA, eleger a direção da associação em 2005. Para saber mais sobre o local e hora da votação acesse o site da ISACA São Paulo. Compareça!

[Bit Brushing] Cryptovirology

Criptovirologia é o estudo das aplicações de criptografia para softwares maliciosos (leia-se worms, trojans e outras pragas). A coisa é mais ou menos assim: alguns desenvolvedores de softwares maliciosos tem usado criptografia em seus códigos para que a aplicação de engenharia reversa seja mais demorada, ou até impossível de ser praticada. Dessa forma as vacinas tendem a ser menos eficientes ou simplesmente demoram tempo valioso até que sejam liberadas.

Interessado? Consulte o site Cryptovirology (mantido por Adam Young e Moti Yung - a dupla sertaneja!).

Agora, se você adorou o tema (mas gostou muito mesmo), leia esse artigo sobre Extorção e Criptovirologia. Diversão garantida.

[Computer Forensics] Protocolos do NIJ, Pesquisa Pessoal e outros.

Electronic Crime Needs Assessment for State and Local Law Enforcement - Mais um do NIJ. A cada dia um novo volume!

Personal Digital Forensics Research - Ferramentas de investigação, documentos de pesquisa e estudos de caso. Uma das fontes mais completas sobre o assunto.

Searching and Seizing Computers and Related Electronic Evidence Issues

As piores explicações de endereço que já ouvi em toda a minha vida

1) Esta eu ouvi de uma prima, quando perguntei para ela o endereço de uma
loja: "Vai a pé, que é perto da sua casa. Você pega a rua São Paulo e vai andando, andando. Quando você cansar de andar, é porque chegou a hora de virar, aí você vira à direita."

2) Esta veio de uma amiga, há uns dois anos, na hora de ela me explicar o endereço de um prédio onde ia ter uma festa: "Sabe onde é a loja tal? Então. Esse prédio fica mais ou menos na frente dessa loja. Não tenho o número dele, mas é fácil: mais ou menos na frente dessa loja, tem uns sete prédios, e é só você entrar no mais bonito."

3) Esta veio de outra amiga, que queria me explicar o endereço de não me lembro o quê: "Pega a rua tal e abre o vidro de carro. Você vai sentir um cheiro de pão, porque lá perto tem uma padaria que a essa hora fica com o maior cheiro de pão. Vai seguindo o cheiro de pão e, quando o cheiro começar a diminuir, pode ir estacionando."

Que bom que existem os catálogos telefônicos e o Google.

Extraído de http://liliprata.blog.uol.com.br/

[Computer Forensics] Protocols 'n' Tools

Novamente o NIJ (US National Institute of Justice) disponibiliza material sobre Forense Computacional.

O primeiro é um protocolo para os times de primeira resposta (aqueles que devem chegar antes dos curiosos). Coisa básica mas que, se não estiver bem definida e treinada, pode comprometer seriamente uma investigação.

O segundo (na verdade mais de um) são testes comparativos feitos pelo NIJ em diversas ferramentas para recuperação de informações em HD.

• Partial Results from Prototype Testing Efforts for Disk Imaging Tools: SafeBack 2.0
• Test Results for Disk Imaging Tools: dd GNU fileutils 4.0.36,Provided with Red Hat Linux 7.1
• Test Results for Disk Imaging Tools: dd Provided with FreeBSD 4.4
• Test Results for Disk Imaging Tools: EnCase 3.20
• Test Results for Disk Imaging Tools: SafeBack 2.18

[Cotidiano] Um dia o telefone serviu apenas para telefonar...

... mas aí começaram a encher o pobre coitado com um monte de outras coisas e agora o ex-finado Napster vai ser o novo membro a penetrar na ainda ampla gama de serviços semi-inúteis a serem oferecidos por meio dos aparelhinhos. Claro que com o Napster e assemelhados começam a surgir as ameaças - e onde tem ameaça tem firewall, anti-vírus, etc, etc, etc...

[Objetos de Desejo] Eu quero uma camiseta dessas!

Gostei do repertório das camisetas e moletons. E agora que a Error 404 ficou famosa, parece que vai ser difícil acessar o site deles.
Resumindo: os caras fazem camisetas com mensagens divertidas com temas relacionados à paixão pela informática - acho que a mais espirituosa é uma azul calcinha (e só fica bem dessa cor) com a mensagem de Erro Fatal do Windows 98.

http://www.erro404.com.br/catalog/popup_image1.php?pID=90

As 75 melhores ferramentas para avaliação de segurança

O portal Insecure divulgou a lista das 75 melhores ferramentas de segurança. A grande maioria delas é "di grátis", em código aberto (ou seja, você pode baixa o código-fonte e adaptar a ferramenta à sua necessidade) e compatível com plataforma Windows e Linux.

Coleta de evidências digitais

Para quem se interessa por forense computacional, um bom protocolo para coleta de evidências digitais. Divulgado pelo Departamento de Justiça Norte-Americano (uia!)

Testando o mail-to-blog

teste

For Dummies: Email Spoofing

Texto muito curtinho que explica em linguagem bem acessível o que é email spoofing.

Depois do Wardriving...Bluedriving?

O wardriving nunca chegou forte por essas bandas, provavelmente porque os dispositivos móveis fossem ainda muito caros e tal.

Mas parece que estamos recuperando o tempo e, com a popularização das redes pessoais sem fio e uma infinidade de dispositivos com Bluetooth "passeando" pelos grandes centros, esse tipo de leitura começa a fazer sentido.

Material para saber como funciona e para se proteger... e para pensar: para que alguém construiria uma antena direcional para Bluetooth? Hackear agenda telefônica?

10 preocupações que deveriam ser destacadas sobre PKI

O artigo parece mais um desabafo com muita ironia (destaque para "Relying party
liability"), mas tem algumas considerações interessantes sobre o uso de PKI
dentro de uma empresa.

Top 20.... as maiores vulnerabilidades da internet

O dado não é dos mais novos mas serve como referência. São as 20 maiores vulnerabilidades crí­ticas da Internet segundo o SANS... em 2002. Dá pra ver que pouca coisa mudou de lá pra cá.

http://www.allasso.pt/base/docs/11026000919.pdf

Primeiro post via email... será que funciona?

Jornal de segurança “di grátis” e em PDF. A qualidade das matérias é discutível, mas volta e meia tem um artigo bacana. Vale a pena uma visita mensal.

Avalie seus conhecimentos em TCP-IP

Curso de TCP-IP com teste

Forgotten Passwords & Recovery Methods

Um guia não tão básico para recuperação de senhas perdidas. Bom para estudo.

Malvados até o osso.

TCP/IP for Dummies

Livro muito completo sobre TCP/IP. Muito legal e economiza uma graninha...

Internet Legal ou quase...

Artigos sobre direito digital e leis aplicáveis na internet... a maior parte dos artigos já se tornou peça de museu, mas vale uma passadolhos.

Phishing IQ Test

Esse é realmente interessante. Um bom teste que poderia ser reproduzido para nossa realidade - talvez até para promover um auto-treinamento na sua empresa...

Vamos escovar bits - LM Hash

Começando do começo: A teoria de LM Hash.

Depois vem o porque de não ser eficiente em "Quebrando o LM Hash" e uma documentação meia boca da MS em LM Hash Microsoft .

Pra fechar, um documento não tão ruim da MS sobre Como Selecionar Senhas Seguras.

Um gênio e uma frase genial

"I think," he said, "we need to get off this planet, because I'm afraid we're going to destroy it."

The Role of Computer Forensics in Stopping Executive Fraud

The Role of Computer Forensics in Stopping Executive Fraud
LURHQ Expert Testimony Leads To Preliminary Injunction In Ftc Can-Spam Case Against Phoenix-Avatar LLC

A preguiça e as férias

Agora voltei em definitivo. E se tudo der certo e a minha preguiça permitir, hoje ainda publico meu novo layout... de novo...

Senha é como chiclete...

Lição de casa: coloque um desses em cada quadro de avisos da empresa. Seu Security Officer vai agradecer.

Microsoft® Security E-Learning Clinics

A promessa do tio Gates em dar ênfase à segurança está de pé: finalmente a Microsoft fundou (e divulgou) esse Centro de Treinamento de Segurança no qual é possível fazer cursos de auto-instrução gratuitos voltados para o tema.

É fácil medir (direito) a audiência de seu site

O básico para entender como o $$$ circula na internê.

A diferença entre "História de Horror" e "Horror de História"

Leia a matéria "1 minuto na web basta para ser atacado, diz ISS" e tire suas próprias conclusões...

Ah, como era grande...

O programador Kevin Gilbertson criou uma ferramenta que converte longos endereços da Web em links bem menores. A memorização não fica lá essas coisas, mas funciona muito bem quando se trata daquele link gigante que geralmente "quebra" no e-mail.

Simplezinho: entre no TinyURL.com e digite (ou cole) o endereço gigante... ele converte em um endereço curtinho na hora.

Oh! A novidade...

Na maioria das vezes o portal da Módulo traz artigos sérios e balisados sobre o tema segurança da informação... mas de vez em quando...

Esse é um bom exemplo: saiu agora pouco e trata sobre Filmes on-line, redes P2P, os nefastos spyware e empregados sem noção.

Acho que encontraram o vilão errado...

Computer Forensics é a novidade... por aqui...

A IISFA (International Information Systems Forensics Association) é referência internacional quando o tema é Forense Computacional - a nova moda por aqui. Os newsletters são leitura obrigatória para quem ainda não entendeu direito o lugar dessa atividade no mundo da segurança da informação.

Recentemente o capítulo Brasil foi fundado com direito a divulgação no jornal oficial e tudo mais.

Mamãe! Olha! Sem os fios!

Absolutamente tudo em telecom você encontra aqui. Esse site já me salvou de umas boas saias justas no mestrado.

Ares de liberdade: saindo da rotina.

Tirando 50% do romantismo do artigo, tenho que concordar com o Allyson: Mozilla, Firefox e Thunderbird rulez.