quarta-feira, 7 de janeiro de 2015
Crianças, Escolas e Segurança da Informação
Comecem vendo este link: https://criancasatortoeadireitos.wordpress.com/2014/06/03/11-fotos-que-os-pais-nao-devem-publicar-nas-redes-sociais/ .
No entanto, a coisa é mais séria. Além dos pais, as escolas e outras organizações como lojas, bancos, consultórios, concessionárias de veículos e quaisquer outras que guardem nossos dados e dados de nossos filhos precisam começar a ser responsabilizadas.
Vou contar UM CASO REAL: Há alguns meses durante uma ventania em São Paulo algumas folhas voaram de uma lixeira e se espalharam pelo chão. Como eu estava caminhando sem pressa, recolhi algumas das folhas, as que não estavam muito longe, e fui jogá-las na próxima lixeira. No caminho, dei uma olhada e reparei que eram folhas com notas de alunos de sexto ano de um renomado colégio de primeiro e segundo graus da cidade de São Paulo, Lá estavam o nome da escola, a disciplina, nome da professora, número de matrícula, nome de cada um dos alunos. Guardei uma das folhas para fazer um pequeno experimento. Quando tive tempo, fui ao Facebook e utilizando o nome - ou partes dos nomes - dos alunos comecei a procurar os perfis. Encontrei quase todos. Fotos, links para os perfis dos pais, fotos de amigos, vínculos de amizade, fotos na frente da casa, no carro do pai, números de telefone (divulgando whatsapp para os colegas) e 3 deles estavam em um evento público em um shopping. Na data do evento, um pouco atrasado, fui verificar o Facebook de um deles e havia o check-in no dito shopping. Bem, para quem tem habilidade de exercitar o "modus cogitatum"de quem está do "lado negro da força", não é difícil imaginar o tipo de maldade que pode se fazer.
É fundamental que os pais monitorem a exposição dos filhos nas redes sociais, monitorem os círculos de amizades e controlem os recursos de "marcação de fotos", especialmente no Brasil. Ainda, além de um maior cuidado familiar, é importante que no Brasil comecemos a pensar seriamente nas responsabilidades das organizações com os nossos dados. Em outros países existem normas rigorosas sobre a privacidade, tais como a FERPA, e a denúncia destas folhas perdidas certamente determinaria uma multa àquele colégio.
quinta-feira, 21 de março de 2013
Truecrypt - protect your flashdisks
One interesting solution to keep your data securely stored in flashdisks is to use Truecrypt (http://www.truecrypt.org/) as encryption solution.
Truecrypt is relatively easy to install and use. One difficulty I faced was to copy files and directories named with special characters between Windows and Linux. Symbols like á, à, ç, â are indeed very common in the Brazilian Portuguese.
To cope with some incompatibility, go to "preferences" and add the parameter iocharset=utf8 to the filesystem's mount options.
This must guarantee adequate file transfers between Windows and Linux.
segunda-feira, 20 de agosto de 2012
Social networks security - part 1
More one article published in Malta... thanks to my friends from Synapctic Labs.
http://www.independent.com.mt/
http://www.independent.com.mt/
segunda-feira, 25 de junho de 2012
Temporarily out...
Thanks to Math's classes of my doctorate at ITA I am temporarily out... getting back after 2012 July... if I'm still alive...
quinta-feira, 12 de abril de 2012
About collaborative services
To those that does not believe in the collaborative movements and in social networks as business drivers and supporters, see that are rising money exchange companies based on peer-to-peer models. Take a look at: http://weswap.com/.
I saw collaborative wifi at MWC 2012 - a great idea! - and there is much more about that (see e.g. http://lifestylesdefined.com/turning-homeless-people-into-wi-fi-hotspots/).
Soon we will get collaborative credit, collaborative charity, collaborative banks... and some day, who knows, collaborative government. I strongly believe in that.
All of these should be based on cloud computing, mashups and trustworthy computing models.
I saw collaborative wifi at MWC 2012 - a great idea! - and there is much more about that (see e.g. http://lifestylesdefined.com/turning-homeless-people-into-wi-fi-hotspots/).
Soon we will get collaborative credit, collaborative charity, collaborative banks... and some day, who knows, collaborative government. I strongly believe in that.
All of these should be based on cloud computing, mashups and trustworthy computing models.
sábado, 4 de fevereiro de 2012
Reinicializando o touchpad - Da série: Por que Linux ainda não vai bater o Windows
De vez em quando meu touchpad dá uma doida e para de funcionar. Do nada... nenhum registro interessante no log... simplesmente para. Talvez por que não havia uma distro preparada com os drivers específicos do meu LG A510.
Bem, para resolver isso é preciso reinicializar o serviço do touchpad. Para isto, basta abrir um terminal e executar os seguintes comandos:
sudo modprobe -r psmouse
sudo modprobe psmouse proto=imps
Mais um dos motivos por que o Linux vai demorar para bater o Windows... imagina isso acontecendo com o um usuário tradicional?
Referência: http://wiki.debian.org/SynapticsTouchpad
Bem, para resolver isso é preciso reinicializar o serviço do touchpad. Para isto, basta abrir um terminal e executar os seguintes comandos:
sudo modprobe -r psmouse
sudo modprobe psmouse proto=imps
Mais um dos motivos por que o Linux vai demorar para bater o Windows... imagina isso acontecendo com o um usuário tradicional?
Referência: http://wiki.debian.org/SynapticsTouchpad
quarta-feira, 1 de fevereiro de 2012
Ataques aos bancos.. há risco em realizar transações pela internet?
Os recentes ataques do Anonymous, já avisados semanas antes, demonstraram que alguns de nossos ativos de tecnologia estão expostos de forma irremediável a ciber-ataques.
Dentro do escopo da operação OpWeeksPayment planejada pelo Anonymous, nos últimos dias os bancos Itaú e Bradesco sofreram ataques que tiraram do ar por algumas horas, e de forma intermitente, os portais de acesso ao serviços bancários pela Internet.
O ataque realizado teve características de DoS (Denial of service, negação de serviço) e não implicaram em acesso a informações críticas, invasão a servidores internos ou acesso a dados de contas. Para quem não entende muito bem o conceito de DoS, imagine você chegando à porta da sua casa para entrar e existem centenas de pessoas à frente da porta... você se afasta, aguarda um pouco e quando tenta novamente estas pessoas estão lá novamente... o que acontece é que você não vai conseguir entrar na sua casa, o que não significa que as outras centenas de pessoas conseguiram. Eles apenas estão lá, bloqueando, impedindo a sua entrada. Um ataque de DoS tem mais ou menos esta dinâmica.
Apesar de alguns poucos artigos na internet recomendarem aos usuários evitar o uso de serviços bancários pela internet, é importante lembrar que os sites bancários brasileiros são provavelmente os mais seguros do mundo. Chegar aos dados de contas e movimentações financeiras é algo muito, muito difícil. Não vou dizer que é impossível por que não existe 100% de segurança em nada, mas é altamente improvável. Seria necessário o acesso a várias informações privilegiadas e muito provavelmente uma ação coordenada envolvendo usuários internos.
Atualmente os acessos aos bancos utilizam múltiplos fatores de autenticação (tais como os tokens) e vários mecanismos técnicos para garantir que o acesso é legítimo. Sem "puxação de saco", o Bradesco, particularmente, é um dos bancos que possui mais experiência e ferramental para garantir um acesso seguro aos serviços financeiros.
Apenas lembre-se que quanto mais segurança um ambiente oferece, menos usabilidade você terá. Por isso em vários bancos você tem que entrar com usuário, senha, CPF, token, senha de acesso, senha de aprovação e por aí vai. Para conseguir entregar um ambiente seguro, em função da criticidade dos serviços e informações oferecidos, as instituições precisam usar uma composição de técnicas por que não existe solução que forneça 100% de segurança. Particularmente contra DoS.
É necessário muito estudo, trabalho e monitoramento.
Veja mais sobre o tema:
http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?from%5Finfo%5Findex=21&infoid=10264&query=simple&search%5Fby%5Fauthorname=all&search%5Fby%5Ffield=tax&search%5Fby%5Fkeywords=any&search%5Fby%5Fpriority=all&search%5Fby%5Fsection=all&search%5Fby%5Fstate=all&search%5Ftext%5Foptions=all&sid=60&text=acesso+leg%EDtimo
http://videos.tvdecision.com.br/security_leaders2011/23/8_Segundo_Painel%20_Security_Leaders_acesso_legitimo.wmv
http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=10256&sid=60
Dentro do escopo da operação OpWeeksPayment planejada pelo Anonymous, nos últimos dias os bancos Itaú e Bradesco sofreram ataques que tiraram do ar por algumas horas, e de forma intermitente, os portais de acesso ao serviços bancários pela Internet.
O ataque realizado teve características de DoS (Denial of service, negação de serviço) e não implicaram em acesso a informações críticas, invasão a servidores internos ou acesso a dados de contas. Para quem não entende muito bem o conceito de DoS, imagine você chegando à porta da sua casa para entrar e existem centenas de pessoas à frente da porta... você se afasta, aguarda um pouco e quando tenta novamente estas pessoas estão lá novamente... o que acontece é que você não vai conseguir entrar na sua casa, o que não significa que as outras centenas de pessoas conseguiram. Eles apenas estão lá, bloqueando, impedindo a sua entrada. Um ataque de DoS tem mais ou menos esta dinâmica.
Apesar de alguns poucos artigos na internet recomendarem aos usuários evitar o uso de serviços bancários pela internet, é importante lembrar que os sites bancários brasileiros são provavelmente os mais seguros do mundo. Chegar aos dados de contas e movimentações financeiras é algo muito, muito difícil. Não vou dizer que é impossível por que não existe 100% de segurança em nada, mas é altamente improvável. Seria necessário o acesso a várias informações privilegiadas e muito provavelmente uma ação coordenada envolvendo usuários internos.
Atualmente os acessos aos bancos utilizam múltiplos fatores de autenticação (tais como os tokens) e vários mecanismos técnicos para garantir que o acesso é legítimo. Sem "puxação de saco", o Bradesco, particularmente, é um dos bancos que possui mais experiência e ferramental para garantir um acesso seguro aos serviços financeiros.
Apenas lembre-se que quanto mais segurança um ambiente oferece, menos usabilidade você terá. Por isso em vários bancos você tem que entrar com usuário, senha, CPF, token, senha de acesso, senha de aprovação e por aí vai. Para conseguir entregar um ambiente seguro, em função da criticidade dos serviços e informações oferecidos, as instituições precisam usar uma composição de técnicas por que não existe solução que forneça 100% de segurança. Particularmente contra DoS.
É necessário muito estudo, trabalho e monitoramento.
Veja mais sobre o tema:
http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?from%5Finfo%5Findex=21&infoid=10264&query=simple&search%5Fby%5Fauthorname=all&search%5Fby%5Ffield=tax&search%5Fby%5Fkeywords=any&search%5Fby%5Fpriority=all&search%5Fby%5Fsection=all&search%5Fby%5Fstate=all&search%5Ftext%5Foptions=all&sid=60&text=acesso+leg%EDtimo
http://videos.tvdecision.com.br/security_leaders2011/23/8_Segundo_Painel%20_Security_Leaders_acesso_legitimo.wmv
http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=10256&sid=60
Assinar:
Postagens (Atom)