The true sign of intelligence is not knowledge but imagination. Albert Einstein

The only source of knowledge is experience. Albert Einstein

Success is not final, failure is not fatal: it is the courage to continue that counts. Winston Churchill

Slider

Quando o Congresso revogou as regras de privacidade de banda larga da FCC, os ISPs relaxaram e os defensores da privacidade choraram. O que mudou, qual o significado da mudança e o que os usuários podem fazer para se proteger

A última agitação política a abalar os EUA é muito relevante para qualquer pessoa envolvida em tecnologia. O Congresso derrubou decisões recentes da FCC que obrigavam os provedores de acesso à Internet a obterem a permissão de seus clientes para coletar e vender dados sobre seus vários hábitos online.

Agora os provedores de acesso podem vender o histórico de navegação de seus clientes para quem quiser comprá-los, sem pedir permissão para isso. O congresso disse que as regras de privacidade da FCC eram injustas ao mercado, subjugando os provedores de acesso a padrões restritos, enquanto permitia que companhias de internet, como Google e Facebook, continuassem coletando dados dos usuários sem o seu consentimento expresso.

Este é um sério golpe para defensores da privacidade. Embora as regras da FCC não fossem perfeitas, e ainda não tivessem entrado em vigor, elas seriam um primeiro passo na proteção dos dados dos consumidores.

E agora? 

Bom, para quem quiser entender a fundo a questão a Computerworld abordou vários aspectos em uma variedade de artigos informativos sobre o que aconteceu, as implicações, e o que os usuários podem fazer para se proteger. Confira nos links para o conteúdo original, em inglês.

E caso você queira conhecer algumas medidas para resguardar o que você faz na Internet, em qualquer lugar, mesmo que não seja diretamente atingido pela decisão americana, o artigo "Três modos de impedir que o provedor de acesso monitore a sua navegação" aborda algumas delas.

bandalarga

O que aconteceu
Como chegamos a onde estamos.

Senate votes to kill FCC's broadband privacy rules
The Senate action would allow broadband providers to sell customer data and browser histories without permission, critics say. 

O que significa
Quais são as implicações - para os usuários e para os provedores de banda larga - da ação do Congresso em revogar a decisão da FCC.

Internet privacy? Who needs that?
Senate Republicans think it's fine and dandy for your ISP to sell your private data.

In mining user data, ISPs have to weigh cash vs. privacy
Some experts worry that broadband providers will go too far in monetizing customers' data with the privacy rule repeal.

Congress to U.S. citizens: Want online privacy? Pay up!
Worried consumers may resort to buying VPN services and paying higher fees to ISPs to protect their privacy.

O que os usuários podem fazer para se proteger?
Sempre há maneiras de proteger sua privacidade - pelo menos, até certo ponto. Aqui estão algumas sugestões.

Top 5 VPN services for personal privacy and security
If you regularly travel or work remotely, you need to use a VPN or you're putting yourself — and your data — at risk. Here's a look at the options and price plans for some of the top VPNs.

What to look for in a VPN to protect your privacy
How much a VPN can protect your privacy or anonymity really depends upon which VPN you choose. Here are some things to look for in a VPN to best protect your privacy.

Review: Consider VPN services for hotspot protection
We review 7 low-cost VPN services for when you're out of the office or out of the country.

5 things you need to know about virtual private networks
VPNs are important for both enterprise and consumer security.

The paranoid's survival guide, part 1: How to protect your personal data
Privacy is under attack from all quarters, but even today, there are things you can do to protect your personal data. Here are some tips.

The paranoid's survival guide, part 2: Protect your privacy on social, mobile and more
Here's how to minimize your personal data footprint when messaging, on social media, and using mobile apps.

The paranoid's survival guide, part 3: Opting out, and how to protect your personal data offline
How to just say no to direct mail and other 'offers.' 

O que os defensores da privacidade estão tentando fazer

Privacy activist wants to unveil lawmakers' browser histories
GoFundMe campaign focused on fighting back at Internet privacy changes.

Privacy advocates plan to fight Congress' repeal of ISP privacy rules
New legislation to restore the FCC's regulations is on the way, but its passage seems unlikely.

Próximo alvo: Neutralidade da rede
A neutralidade é um dos princípios estabelecidos pela Open Internet Order, conjunto de regras lançado em 2010 pela FCC. As regras também incluem transparência e não bloqueio de conteúdo legal.

Um dos pontos defendidos pela FCC é o de que acordos em que empresas como a Netflix (que oferece filmes e programas de TV pela internet) pagam mais aos provedores para garantir que seu conteúdo chegue aos consumidores com maior velocidade dão vantagem desleal a companhias maiores e com mais recursos financeiros.

Agora que a decisão da FCC que protege a privacidade dos consumidores foi revogada, o próximo alvo é a neutralidade da rede. Se este problema está na sua lista de preocupações, você pode querer começar a prestar atenção.

Survey: IT workers worried about U.S. net neutrality repeal
More than eight in 10 U.S. IT workers surveyed support the net neutrality rules.

New FCC chairman: Net neutrality rules were a 'mistake'
Pai promises a return to 'light-touch' regulations for the internet.

Senators push FCC to keep its net neutrality rules
Critics tell the Republican-led agency to put 'consumers first.

Não é correto depositar toda a responsabilidade da segurança dos dados nos fornecedores de serviço em nuvem. É aconselhável ter uma camada extra de proteção, pensada para cada tipo de negócio

No fim de 2016 a Intel Security fez uma pesquisa com 100 executivos brasileiros responsáveis pela segurança corporativa em suas organizações. Um dos dados mais marcantes foi que 97% dos entrevistados disseram que a empresa onde atuam confia mais na computação em nuvem hoje do que há 12 meses. E a grande maioria (94%) deve aumentar o investimento em nuvem neste ano.

Estes números mostram que a confiança e a percepção positiva dos serviços de nuvem continuam crescendo ano após ano. Benefícios como custo atraente e a elasticidade dos serviços, que cobram apenas pelos ativos que estão em uso, estão levando cada vez mais empresas a adotarem a estratégia “Cloud First”, ou seja, considerar como primeira opção o modelo em nuvem ao comprar ou implementar aplicativos.

A pesquisa apontou que 53% das empresas mantém algum dado sensível na nuvem pública, mas apenas 38% dos entrevistados confiam plenamente neste serviço, e apenas 4% escolhem este como o único modelo para armazenar seus dados. A nuvem híbrida é a preferida pelos brasileiros. O País é o que mais usa nuvem híbrida em sua arquitetura, com 74% dos executivos optando por esse formato.  Sem dúvida, esta confiança está atrelada à percepção de que os dados corporativos estão mais seguros na nuvem privada ou híbrida do que na nuvem pública.

O aumento da confiança na nuvem é extremamente benéfico para o mercado. No entanto, a migração para a nuvem, seja ela pública ou privada, necessita ser planejada desde o início considerando uma estratégia de segurança precisa e adequada. Não é correto depositar toda a responsabilidade da segurança dos dados nos fornecedores de serviço em nuvem, é preciso uma camada extra de proteção, pensada para cada tipo de negócio.

nuvemsegurança

De acordo com a pesquisa, nas organizações brasileiras, o aumento do uso da nuvem pública se daria principalmente por três fatores: custo, garantia que os dados continuam sob controle e possibilidade de gerenciar vários serviços em nuvem. Os dois últimos podem ser alcançados com o uso de ferramentas de segurança especializadas capazes de expandir a visibilidade sobre as operações e centralizar o gerenciamento.

A transformação digital está mudando a forma como as empresas atuam e o aumento da atuação na nuvem é uma das principais marcas desta transformação. A estrutura de TI nas empresas está ficando cada vez mais complexa, além de proteger os dados, a segurança precisa oferecer suporte a novos dispositivos, aplicativos e serviços de nuvem que irão surgir num futuro próximo. A empresa que não se adaptar e não prover a segurança de seus dados e propriedade intelectual estará fadada a se perder pelo caminho.

(*) Márcio Kanamaru é diretor geral da Intel Security no Brasil

A autenticação multifatorial fora de canal e voltada para dispositivos móveis oferece um nível de segurança superior como segundo fator de autenticação em comparação com o envio de códigos OTP via SMS

Nos últimos anos, tenho observado uma crescente migração de comunicações e negociações, antes conduzidas pessoalmente ou por telefone, para os canais digitais. Os clientes de hoje querem se comunicar com empresas e instituições pelo celular ou pelo tablet, e esperam delas uma presença digital que vá além do website. Na área financeira, desde a realização de compras pelos portais eBay e Amazon e transferências por meio do PayPal a pagamentos e transações financeiras por aplicativos e sites bancários, quanto mais possibilidades online forem oferecidas para os clientes, maior a necessidade de autenticação para protegê-los contra ciberataques.

Até pouco tempo atrás, uma estratégia prudente de proteção em resposta ao crescente número de incidentes de fraudes era reforçar o uso de senhas e nomes de usuário (que são inseguros por natureza), enviando um SMS para o usuário final contendo um código de uso único para verificação das transações realizadas online. Acontece que essa tática também acabou se tornando insegura: os códigos enviados em mensagens de texto nem sempre são criptografados e podem ser interceptados. O código adicional deve ser digitado na mesma página transacional em que o usuário digitou sua senha e nome, mas se o dispositivo ou a própria página estiverem infectados ou comprometidos por malware, os fraudadores podem capturar o OTP e os dados de acesso digitados, e a conta do usuário ficará a mercê dos cibercriminosos.

No começo do ano, descobrimos que uma versão atualizada do malware ‘Android.Bankosy’ estava presente em uma grande quantidade de telefones Android na região Ásia Pacífico. Uma vez instalado no dispositivo das vítimas, o malware abria uma backdoor, coletava uma série de informações específicas do sistema do telefone e as enviava para um servidor, que coletava os dados roubados e revelava os IDs dos dispositivos infectados. Todas as mensagens SMS enviadas para o dispositivo, incluindo as mensagens contendo códigos OTPs, poderiam, então, ser capturadas, permitindo que o malware transferisse dinheiro das contas das vítimas cujos dados de acesso também foram comprometidos.

Este não é um incidente isolado: códigos OTP têm sido comprometidos por cibercriminosos por meio de diversas técnicas. Por essa razão, esse tipo de segundo fator de autenticação tem sido cada vez mais criticado. Em agosto de 2016, o NIST (Instituto Nacional de Padrões Tecnológicos dos EUA) recomendou que o SMS não fosse mais utilizado para enviar códigos OTP por apresentar uma grande desvantagem na prevenção de fraude cibernética: o fato de não ser um canal criptografado. Mas, mesmo antes disso, já havia um movimento de afastamento dos métodos de autenticação de usuários baseados em SMS e uma aproximação a outros fatores considerados mais seguros e amigáveis para os usuários.

Além do mais, na minha opinião, os fatores de autenticação avançaram muito desde o apogeu do envio via SMS de senhas geradas aleatoriamente. Celulares e tablets agora têm muito mais tecnologia incorporada que laptops ou desktops, e estes dispositivos têm sido usados em opções mais seguras de verificação de transações. Esses métodos incluem notificações push, reconhecimento biométrico de rosto, impressão digital ou voz e aplicações de segurança que podem ser integradas ao aplicativo do banco.

Então, com o desenvolvimento de mecanismos mais seguros de autenticação e seu crescimento no mercado, fica a pergunta: estamos testemunhando o fim do código OTP via SMS como segundo fator de autenticação? A resposta depende do quão seguros os novos métodos de autenticação, mais avançados e mais fortes, realmente são, e, se em comparação com estes métodos, os códigos OTPs enviados via mensagens de texto ainda têm alguma utilidade. Vejamos alguns desses métodos de autenticação de próxima geração e suas utilidades:

Autenticação Push: Permite um envio rápido, seguro e em tempo real de mensagens, que podem ser respondidas para autenticar ou cancelar uma transação instantaneamente. A mensagem é enviada fora de canal e é criptografada. Não é preciso digitar códigos ou senhas em um website, mantendo esses dados de acesso fora do alcance de cibercriminosos. Sua segurança forte também é altamente conveniente, contribuindo para uma experiência de usuário sem fricção.

auteticacaomultifator

Reconhecimento biométrico: As tecnologias biométricas têm fama de serem altamente seguras, o que é importante, uma vez que tecnologias que não são percebidas como seguras pelos clientes não serão utilizadas por eles. Os leitores de impressão digital, rosto e voz têm melhorado, acompanhando o desenvolvimento da tecnologia dos smartphones - e muitos já vêm com leitores de impressões digitais. Assim como a autenticação via push, a autenticação biométrica é feita em segundos e é mais conveniente para o usuário final do que exigir que ele digite uma senha de uso único.

Código OTP por mensagem de voz - VoiceOTP: Os VoiceOTPs enviam para os usuários finais uma senha por telefone. Quando o usuário atende a chamada, uma mensagem de áudio é reproduzida com uma breve introdução e uma senha gerada aleatoriamente, impossibilitando a interceptação do código OTP.

Tokens para celular: Ao contrário dos códigos OTPs enviados por SMS, as senhas de uso único baseadas em software para verificação de login e transações são protegidas por criptografia e outros métodos, sendo inúteis para os cibercriminosos se acabarem sendo interceptadas. O código OTP é enviado para o celular ou tablet do usuário e aparece diretamente na tela, o que significa que o usuário não tem que alternar entre diferentes aplicações para digitar o código de acesso.

Como podemos observar, a autenticação multifatorial fora de canal e voltada para dispositivos móveis oferece um nível de segurança superior como segundo fator de autenticação em comparação com o envio de códigos OTP via SMS. Esse tipo de autenticação é, também, mais conveniente, proporcionando uma experiência de usuário quase sem fricção.

Porém, no meu ponto de vista, isso não significa que a senha enviada por SMS está completamente obsoleta. A recomendação do NIST faz mais sentido para mercados digitais completamente desenvolvidos, como a América do Norte ou a Europa. Este posicionamento sobre os OTPs enviados via SMS se refere diretamente aos Estados Unidos, onde smartphones e tablets são onipresentes. Em regiões onde os smartphones têm pouca penetração e os telefones antigos ainda são maioria, o envio de códigos por mensagens de texto ainda é bastante útil, uma vez que não existem muitas alternativas para segundos fatores de autenticação à disposição dos usuários.

Então, podemos mesmo declarar a morte do envio de códigos OTP por SMS? Ainda não. Ainda pode ser cedo para um funeral, mas, com o passar dos anos, ele está se tornando obsoleto e devemos começar a pensar na sua aposentadoria.

(*) Cláudio Sadeck é gerente de Desenvolvimento de Negócios da Easy Solutions no Brasil

É preciso conscientizar toda a população dos riscos, que crescem diariamente

Ao mesmo tempo em que desejamos tornar a Internet um ambiente mais seguro, temos negligenciado vulnerabilidades e feito escolhas equivocadas para combater as ameaças digitais. O senso comum dita que o correto é combater item a item, mas infelizmente não funciona assim. Para trazer clareza a esta questão, a educação digital precisa ser colocada em primeiro plano, seja no âmbito familiar ou corporativo, de modo que os usuários possam agir de forma preventiva. O senso de desconfiança, também conhecido popularmente por “desconfiômetro”, que está sempre presente nas situações cotidianas, deve ser usado na Internet. O usuário precisa estar sempre atento às ofertas e anúncios digitais que chegam via e-mail ou WhatsApp, oferecendo facilidades incomuns, pois o meio digital é tão perigoso quanto o real.

O perigo da Internet das Coisas
O conceito de Internet das Coisas (IoT) consiste em conectar à Internet dispositivos eletrônicos utilizados no dia-a-dia, como aparelhos eletrodomésticos, câmeras de videomonitoramento IP, mobiles, máquinas industriais, meios de transporte e outros. Cada vez mais presentes no cotidiano, estes dispositivos, que antes não eram conectados à Internet e agora estão sendo cada vez mais, devem tornar os ataques mais frequentes. Quando a IoT estiver bem estabelecida, quando uma casa inteira estiver conectada, por exemplo, já imaginou o estrago que um "simples" DDoS pode fazer? Hoje, os cuidados com segurança estão limitados apenas aos dispositivos que têm interface visual integrada, como computadores e smartphones, mas isso precisa mudar. 

Além disso, a extrema vulnerabilidade dos dispositivos IoT está aumentando exponencialmente as violações. As fabricantes de câmeras, impressoras, geladeiras, relógios não são empresas de TI, são indústrias com expertise nesses produtos, por isso não têm foco em programação e segurança da informação. Assim, compramos mercadorias que contam com um número IP, software embarcado e conexão com a Internet, e por consequência, elas se tornam extremamente suscetíveis aos DDoS. A negligência com a segurança desses aparelhos é tanta que os usuários normalmente não se preocupam em usar senhas de acesso que sejam fortes, ou instalar um antivírus.

Câmeras e gravadores IP – perigo iminente
As câmeras de videomonitoramento IP e os gravadores embutidos nesses aparelhos têm sido os maiores alvos de hackers. Esses dispositivos merecem uma atenção especial, pois são cada vez mais comuns nos lares, corporações e cidades por conta da violência urbana. Eles acabam sendo ativados sem os cuidados adequados de segurança, como, por exemplo, as atualizações de softwares e a instalação de ferramentas de segurança digital. As cidades que apostam no conceito de smart cities usam esses aparelhos e que já foram vítimas de ataques DDoS, ficando completamente fora do ar, sem nenhum tipo de conexão. Por não terem uma interface visual integrada o usuário leva muito mais tempo para perceber que há algo de errado com o aparelho, tornando as câmeras e gravadores IP muito mais vulneráveis do que os smartphones.

IoTseguranca

Empresas e consumidores precisam dar mais importância à segurança da informação
Mesmo com o lançamento de novas soluções de segurança virtual a cada mês, somos bombardeados com notícias de ataques cibernéticos em grande escala. Podemos dizer que o Brasil ainda está engatinhando nessa questão. As indústrias que fornecem produtos e serviços digitais ainda não se deram conta de que a preocupação com segurança tem que ser um esforço contínuo. É um tema que desperta o interesse de cibercriminosos e de organizações políticas que praticam o terrorismo digital e utilizam brechas de segurança para lesar terceiros. É um jogo de xadrez - para cada nova solução de segurança, os criminosos criam uma contramedida. A segurança da informação merece a mesma atenção que a segurança pública. É preciso conscientizar toda a população desses riscos, pois sempre haverá novas ameaças rondando a Internet.

(*) Thiago Ayub é CTO da UPX, empresa especializada em infraestrutura e segurança de Internet

Qual é o atual dos ambientes de gerenciamento de segurança e a capacidades de detecção de ameaças?

Há alguns anos, os SOCs (Centros de Operação de Segurança) dedicados pareciam estar seguindo o caminho dos dinossauros - a era de grandes salas com grandes monitores, equipes de analistas pareciam prontas para serem substituídas por equipes distribuídas, terceirizadas ou dissolvidas inteiramente. Se não estavam no Departamento de Defesa ou em Wall Street, muitos pensaram: então você não precisava de um SOC. Em seguida, ataques direcionados e ameaças internas passaram dos filmes e planos dos governos para uma realidade cotidiana nas empresas. De acordo com uma pesquisa da Intel Security, 68% das investigações em 2015 envolveram uma entidade específica, como um ataque externo direcionado ou uma ameaça interna.

Hoje, quase todas as médias (de 1.000 a 5.000 funcionários) ou grandes empresas (mais de 5.000 funcionários) administram algum tipo de SOC, e metade delas teve um por mais de um ano, de acordo com o último estudo da Intel Security. À medida que o número de incidentes continua a aumentar, as organizações de segurança parecem estar amadurecendo e usando o que estão aprendendo para educar e melhorar a prevenção em um ciclo virtuoso. Por exemplo, os entrevistados documentaram investimentos para expansão dos SOCs e atribuíram um aumento nas investigações a uma capacidade melhorada de detectar ataques. Aqueles que relataram um declínio nas investigações de incidentes atribuíram essa vantagem à melhor proteção e processos, que organizações maduras realizam como a fase final de uma investigação de segurança.

Estas são algumas das conclusões em um estudo encomendado pela Intel Security sobre o estado atual dos ambientes de gerenciamento de segurança e a capacidades de detecção de ameaças, bem como áreas prioritárias para o crescimento futuro.

Quase nove em cada dez organizações relataram ter um SOC interno ou externo, embora as empresas médias sejam um pouco menos propensas a ter um (84%) em comparação com as grandes companhias (91%). As pequenas organizações em geral estão implementando SOCs um pouco mais tarde, já que apenas 44% tiveram um por mais de 12 meses, enquanto 56% dos SOCs das grandes empresas têm funcionado em torno de tanto tempo. A maioria dos SOCs (60%) é atualmente administrada internamente, com 23% operando em um mix de apoio interno e externo e 17% totalmente externo. Para os poucos que não estabeleceram um SOC, apenas 2% das empresas não têm planos de fazê-lo.

Dos 88% das organizações que operam um SOC, a maioria (56%) relatou usar um modelo multifuncional combinando SOC e centro de operações de rede (NOC). As organizações no Reino Unido (64%) e na Alemanha (63%) são ainda mais propensas a operar neste modelo. Os SOCs dedicados estão em uso por 15% das empresas e prevalecem nos Estados Unidos (21%). Os SOCs virtuais são o terceiro modelo, também utilizado por cerca de 15% dos respondentes, seguido por um SOC distribuído ou co-gerenciado, com 11%.

Esta distribuição de implementações tem várias implicações. A maioria opera no ponto médio da maturidade do SOC ou avança em direção ao objetivo de uma operação de segurança proativa e otimizada. No entanto, mais de um quarto (26%) ainda opera em modo reativo, com abordagens ad hoc para operações de segurança, caça de ameaças e resposta a incidentes. Isso pode ampliar significativamente os tempos de detecção e resposta, deixando o negócio em maior risco de danos significativos, bem como enfrentando um custo de limpeza mais elevado.

cibercrime

Seja pelo aumento nos ataques ou por melhores capacidades de monitoração, a maioria de companhias (67%) relatou um aumento em incidentes da segurança, com 51% que dizem que aumentaram um pouco, e 16% que aumentaram muito. Esses dados são similares ao estudo sobre prevenção de vazamento de dados, lançado em setembro de 2016 no relatório de ameaças do McAfee Labs. Esse estudo descobriu que as organizações que observavam os dados mais de perto para vazamento relataram mais incidentes de perda de dados.

Apenas 7% em geral indicam que os incidentes diminuíram e os 25% restantes afirmam que permaneceram estáveis no ano passado. Houve pouca variação reportada por país, mas os incidentes aumentaram à medida que as organizações ficaram menores, possivelmente indicando que os criminosos ampliaram suas metas de ataque. Apenas 45% das maiores organizações (mais de 20.000 funcionários) relataram um aumento, em comparação com 73% das menores (menos de 5.000 funcionários).

O pequeno grupo que relatou uma diminuição nos incidentes esmagadoramente (96%) acredita que isso se deveu a melhor prevenção e processos. Daqueles que disseram que os incidentes aumentaram, a maioria sente que foi devido a uma combinação de melhor capacidade de detecção (73%) e mais ataques (57%).

A maioria das organizações é sobrecarregada por alertas e 93% não conseguem classificar todas as ameaças relevantes. Em média, as organizações são incapazes de investigar suficientemente 25% de seus alertas, sem variação significativa por país ou tamanho da empresa. Quase um quarto (22%) sente que teve sorte de escapar sem nenhum impacto nos negócios como resultado de não investigar esses alertas. A maioria (53%) apresentou apenas um impacto menor, mas 25% afirmam ter sofrido um impacto comercial moderado ou grave como resultado de alertas não investigados. As maiores organizações, talvez por causa de suas melhores capacidades de monitoramento e níveis estáveis de incidentes, são mais propensas a não reportar impacto comercial (33%).

(*) Chris Palm é diretor de comunicação corporativa da Intel Security

Designed by THE GOAT BLOG | VIRTUS JUNXIT MORS NON SEPARABIT | 1999.