Guia de Segurança para Redes Sociais.

Nos últimos anos, as redes sociais têm aumentado sua popularidade e são uma das principais razões para o uso da Internet - especialmente entre os jovens. No entanto, os usuários são expostos a uma série de ameaças cibernéticas que podem prejudicar os seus dados, seu dinheiro ou até mesmo a integridade do próprio usuário. Com o objetivo de informar e conscientizar sobre como utilizar de modo seguro estas plataformas.

"Segundo o último estudo da InSite Consulting, a América Latina é a região com o maior percentual de uso de redes sociais no mundo, atingindo 95%. Com a crescente tendência dos ciber hackers de usarem as redes sociais como um meio para as suas ações maliciosas, torna-se vital para o usuário estar protegido e contar com um ambiente seguro ao utilizar as redes sociais" Entre os principais riscos aos quais os usuários estão expostos no uso de redes sociais podem ser mencionados o malware, o phishing, o roubo de informações, e o assédio de menores de idade.

Além disso, abaixo estão as 10 principais recomendações oferecidas por especialistas para evitar tornar-se uma vítima de ataques cibernéticos:

1 – Não entrar em links suspeitos: evite clicar em hiperlinks ou links a partir

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 5 de 5

5. Complacência com os fornecedores de segurança de TI

É necessário ter sólidas parcerias com os fornecedores de TI e de segurança. Mas o perigo em qualquer relação com fornecedores é esquecer como olhar para produtos e serviços com um olhar crítico, especialmente para confrontar o que eles têm em relação à concorrência ou encontrar novas abordagens para problemas básicos de autenticação e de autorização, avaliação de vulnerabilidades e proteção contra malware. Muitos fabricantes estão tentando adaptar controles de segurança tradicionais para estruturas geradas a partir da virtualização e da computação em nuvem. E isso tem se transformado em um verdadeiro caos, que demonstra claramente o quanto a área de segurança vai ter de se esforçar para conseguir o que acredita que a organização precisa agora ou no futuro.

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 4 de 5

4. Não se preparar para uma violação de dados
É o cenário de pesadelo em que dados sensíveis são roubados ou acidentalmente divulgados. Além da detecção e correção técnica, a lei precisa ser aplicada às violações de dados. Mas que leis? Quase todos os países têm agora as suas próprias legislações sobre a violação de dados e algumas regras com impacto em algumas indústrias mais que em outras, como é o caso da área de saúde. Quando isso acontece, uma violação de dados vai ser um evento – e caro – que exige uma ação coordenada pelo gestor de segurança de TI, envolvendo o departamento de TI, o departamento jurídico, os recursos humanos e o departamento de comunicação, se não mais. As organizações devem-se reunir para planejar os piores cenários, realizando internamente exercícios de violação de dados e formas de combatê-las e mitigá-las.

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 3 de 5

3. Não entender que a virtualização tem puxado o tapete do mundo da segurança

As organizações estão no caminho para alcançar 80% de virtualização da sua infraestrutura de servidores, e os projetos de virtualização de desktops estão aumentando. Mas a segurança está atrasada, com muitos profissionais assumindo erradamente que ela começa e termina com as VLANs. A realidade é que arquiteturas de virtualização mudam tudo a partir da abertura de novos caminhos que podem ser explorados. Como já aconteceu tantas vezes na indústria de TI, tecnologias revolucionárias passaram a ser usadas sem atenção adequada ao impacto da segurança.

Alguns produtos de segurança tradicionais, como software de antivírus, por exemplo, não funcionam muitas vezes bem em máquinas virtuais. Dispositivos físicos podem ter novos “pontos cegos”. Hoje, produtos de segurança especializados para ambientes virtualizados e

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 2 de 5

2. Não construir relações de trabalho entre as equipes de TI e os gestores de nível superior

Grupos de segurança de TI são geralmente pequenos em relação ao resto do departamento. Normalmente os profissionais de segurança precisam do apoio do restante do pessoal de TI para realizar funções básicas.

O profissional de segurança pode ter conhecimento especializado e um bolso cheio de certificações como CISSP, mas isso não significa que seja necessariamente admirado por causa disso – especialmente porque as pessoas da segurança são normalmente as que mais dizem “não” aos projetos de outras pessoas.

Além disso, não pense que a estrutura de poder está sempre apontando para o diretor de informática (CIO) como um decisor de nível superior. Uma mudança fundamental está ocorrendo: o papel tradicional do CIO como comandante dos projetos de TI está em

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 1 de 5

Fazer este trabalho bem feito na era da virtualização, smartphones e cloud computing é um grande desafio.

A segurança pode ser uma tarefa ingrata, porque só se percebe quando não é feita. E para fazer este trabalho bem feito na era da virtualização, smartphones e cloud computing, é preciso evitar erros técnicos e políticos. Em particular, cinco muito comuns:

1. Pensar que o seu papel na organização não mudou nos últimos cinco anos

O seu poder e influência estão sendo atacados enquanto a organização para a qual trabalha escancara as portas para permitir que os funcionários usem dispositivos móveis pessoais no trabalho, e empurra os recursos de computação tradicional e aplicações para a nuvem – às vezes sem o seu conhecimento.

Cada vez mais é preciso ser pró-ativo na introdução de práticas de segurança razoáveis para escolhas “fast-moving” de tecnologia que às vezes são feitas por quem está totalmente fora do departamento de TI. É uma “missão impossível” de atribuição, mas é a sua. Pode envolver o desenvolvimento de uma nova política de segurança para explicitar claramente os fatores de risco e para que não haja espaço para falsas premissas.

Software malicioso agora imita como usuários normais navegam em sites de instituições financeiras; método antigo era mais fácil de detectar

Os bancos estão enfrentando mais problemas com o SpyEye, um software malicioso que rouba dinheiros das contas online das pessoas, de acordo uma nova pesquisa da empresa de segurança Trusteer.

O SpyEye é um malware particularmente ruim: ele pode armazenar credenciais de contas online e também iniciar transações como se fosse uma pessoa logada em sua conta, o que literalmente torna possível ver seu saldo bancário zerar em um segundo.

Em versões mais recentes, o SpyEye foi modificado com um novo código desenvolvido para livrar-se de sistemas avançados que os bancos instalam para tentar bloquear transações fraudulentas, disse o CEO da Trusteer, Mickey Boodai.

Os bancos agora estão analisando como uma pessoa usa seu site, buscando por parâmetros como quantas páginas a pessoa olha no site, o tempo gasto na página e quanto a pessoa demora para realizar uma transação. Outros indicadores incluem endereço de IP, como no caso de uma pessoa que normalmente faz login em Miami e que, de repente, acessa o site a partir da Rússia.

Rapidez suspeita
O SpyEye trabalha rápido e pode automaticamente iniciar uma transação de modo muito mais rápido do que uma pessoa faria manualmente no site. Esse é um indicador-chave para os bancos bloquearem uma transação. Por isso, os criadores do SpyEye agora estão tentando imitar – ainda que de uma maneira automatizada – como uma pessoa real iria navegar em um site.

“Eles costumavam prestar menos atenção na maneira como executam transações no site do banco e agora eles estão realmente tentando mostrar padrões de um usuário normal”, disse Boodai.

O executivo ainda disse não saber o quão bem-sucedido é o novo código de fuga do SpyEye, apesar de a Trusteer coletar inteligência dos bancos que distribuíram sua ferramenta de segurança para browser, Rapport, para seus clientes.

A Trusteer também percebeu que, nos últimos meses, o SpyEye expandiu o número de instituições financeiras que pode mirar em um número crescente de países.

Os novos países-alvo incluem Rússia, Arábia Saudita, Venezuela, Belarus, Ucrânia, Estônia, Finlândia, Japão, Hong Kong e Peru. Isso significa que mais grupos criminosos ao redor do mundo estão comprando o toolkit do SpyEye, explica Boodai.

As instituições financeiras continuam a aumentar a segurança para proteger transações online, disse a analista da Gartner, Avivah Litan, que regularmente presta consultorias a banco sobre questões de segurança.

Até mesmo para ela, as instituições financeiras são reservadas sobre revelar a intensidades dos ataques que sofreram, mas “todos se referem ao Zeus ou ao SpyEye”, afirma Litan.

Sob fiança
A polícia alcançou sucesso limitado contra esses malwares. Em abril, um lituano de 26 anos e um letão de 45 anos foram indiciados por conspiração para causar modificações não autorizadas em computadores, conspiração para fraude e ocultas procedimentos criminosos por supostamente ter usado o SpyEye.

Um terceiro suspeito de 26 anos e cuja nacionalidade não foi revelada, foi solto sob fiança após interrogatório.

O SpyEye é na verdade uma botnet com uma rede de servidores command-and-control (C&C) hospedados ao redor do mundo. Até a terça-feira (26/7), 46 servidores desse tipo estavam online, de acordo com o SpyEye Tracker, um site dedicado a reunir estatísticas sobre o software malicioso.

É um número alto. Em maio, por exemplo, havia apenas 20

Especialistas em segurança afirmam ter desvendado protocolos de aplicativos que permitem destrancar e até ligar automóveis à distância.

Softwares que deixam os motoristas destrancar as portas de seus carros e até mesmo ligar os veículos usando um celular podem permitir que criminosos façam essas mesmas coisas, disseram especialistas na conferência iSec Partners.

Os pesquisadores Don Bailey e Mathew Solnik dizem ter desvendado os protocolos que alguns desses fabricantes de software usam para controlar remotamente os carros, e produziram um vídeo mostrando como podem destrancar e ligar um carro usando um notebook. De acordo com Bailey, eles demoraram cerca de duas horas para descobrir como interceptar mensagens wireless entre o carro e a rede e então recriá-las a partir do computador.

Bailey vai discutir sua pesquisa na próxima semana durante a conferência hacker Black Hat, em Las Vegas, mas não irá nomear os produtos que conseguiu hackear – eles analisaram dois até o momento – ou fornecer detalhes técnicos completos de seu trabalho até que os fabricantes possam solucionar os problemas.

Provavelmente o mais conhecido produto desse tipo é o app OnStar