Lições de 2021 – WhatsAPP – Segurança e Confiança
05 out

Lições de 2021 – WhatsAPP – Segurança e Confiança

Lições de 2021 - Segurança e Confiança;

Ontem observamos, estarrecidos, uma longa interrupção no fornecimento dos serviços das redes sociais Facebook, Instagram e WhatsApp. Muita gente foi pega de surpresa, como sendo algo que rapidamente seria resolvido pelos 45.000 colaboradores da empresa. ERRADO! Eles também ficaram atônitos quando seus crachás não funcionaram, ficando bloqueados do lado de fora da empresa. Foram mais de 7 horas de interrupção TOTAL e GLOBAL, um apagão digital que afetou milhões, senão bilhões de pessoas. Gerando igualmente perdas econômicas bilionárias.

Muitos pequenos e grandes negócios se apoiam nos serviços do Facebook, como o check-in da internet em estabelecimentos comerciais ou no contato "corpo a corpo" com seus clientes, seja em vendas, relacionamento ou mesmo serviços internacionais. Relatos de empresários tendo prejuízos foram muitos e dos mais diversos. Além disso, muitos outros serviços da web que estão interligados com a rede do Facebook também experimentaram dificuldades, pelo menos até seus administradores de rede isolarem a dependência na rede da empresa.

Algo que realmente pegou muita gente de surpresa, mas nem todo mundo. De acordo com o site Down Detector, o WhatsApp, Facebook e Instagram tiveram mais de 20 interrupções no fornecimento do serviço nos últimos 12 meses. Mas a lista não para aí, a rede CDN Cloudflare, que vende serviços de alta disponibilidade para que seus serviços nunca caiam, sofreu em 2021 ficando completamente fora do ar, a mesma coisa com os serviços da Amazon AWS, que nos últimos 12 meses reportou 4 falhas que afetaram a disponibilidade global da empresa, entre outras menores que atingiram diversos clientes alocados em regiões específicas da sua rede.

O WhatsAPP e a Segurança da Informação

A disponibilidade é um dos pilares fundamentais da Segurança da Informação, ao lado de Integridade, Confidencialidade e Autenticidade. Em síntese, se o seu negócio se apoia em serviços de terceiros que tenham uma disponibilidade volátil, seu negócio não está seguro. Sem entrar na seara da confidencialidade, que aparentemente não é o foco de Mr. Zuckerberg e companhia, devido todo o histórico da empresa, especialmente no episódio da Cambridge Analítica, que foi a ponta do iceberg.

Em alguns momentos entre 2010 e 2013, quando nós propúnhamos investimentos em proteção de dados e privacidade, nós ouvíamos alguns CEOs parafraseando Mark Zuckerberg, informando que:

"-- A privacidade acabou !

Algo que sempre nos causou certa comoção aliado a um sorriso amarelo, à data vênia para discordar. Apostando desde nossa fundação que a segurança e privacidade são fundamentais para saúde pessoal e corporativa. Sendo assim, o desafio de terceirizar a guarda de informações estratégicas, sigilosas ou mesmo protegidas por lei (GDPR/LGPD) precisa ser encarado com seriedade. Agora no Brasil, com a força da lei, as empresas começam a entender que a privacidade não acabou, e que se proteger é realmente importante, mais que isso, as empresas precisam proteger os seus clientes.

100% de disponibilidade ??

Na GF7 Brasil sempre vimos esse cenário de modo cético, assim como a glamourização da "nuvem"

(como disse um desconhecido mestre:  "a nuvem é apenas o computador de outra pessoa.")

Temos nossos produtos e serviços com um nível de disponibilidade acima de 99,9999% com poucos minutos de downtime (indisponibilidade) em 2021, e com impacto em apenas 3% de nossos clientes. Nossa rede é sólida, o que não significa que estamos imunes a problemas como esses. Estamos sempre vigilantes e nossa estrutura descentralizada e especialmente projetada para redundância proporciona uma boa margem de segurança. Nossos clientes nos ajudam a propagar esse conceito, compartilhando suas experiências com pessoas em dificuldade, nosso maior marketing, o boca a boca.

Lembro de um caso específico onde uma Faculdade com atuação nacional estava se preparando para virar uma Universidade, nessa fase eles sofriam muito com instabilidades nos serviços de sites e emails. Após uma análise fundamentada nas melhores práticas, foi realizada a migração para os nossos serviços, desde 2016 eles operam sem nenhuma interrupção não programada de serviços. Isso são 6 anos!!! De lá para cá a Amazon AWS já experimentou mais de 30 downtimes globais (ver site Down Detector). Como fica o cliente que está pagando caro por um serviço de alta disponibilidade, que cai?

Quanto custam seus dados?

Empresas como Facebook, Instagram e WhatsAPP se apoiam em serviços gratuitos, apesar de terem monetização através de anúncios. E são usadas massivamente pelas empresas, em geral, deixando-as mais vulneráveis. Desconheço qualquer pessoa que tenha lido os termos de uso do WhatsAPP, (se você leu, parabéns, sou seu fã). Pouca gente se importa que o WhatsAPP pode ler todas as suas mensagens (não somente do WhatsAPP), ver todas as fotos no seu celular e coletar toda a sua lista de contatos.

É lógico que existem benefícios em se usar o software, é rápido, instantâneo e é massivamente utilizado. A grande questão está em balancear, entender e se proteger. Em um tempo remoto da internet, eram o MSN, o Orkut, o mIRC, ICQ, Netscape que reinavam. Serviços que são somente pó em suas tumbas nos dias de hoje. O MSN foi um gigante da Microsoft, outro gigante, e hoje está extinto. Até mesmo o magnífico Império Romano está extinto. Sem processos e sem as ferramentas certas, isso pode acontecer com qualquer empresa.

Confie no seu processo.

Lentamente, com muita solidez, dedicação e paciência, o desdobramento das coisas vai nos fortalecendo como empresa e como indivíduos. É dura a vida de quem ousar contradizer Mark Zuckerberg, Jeff Bezos e turma. Mas se focarmos no nosso cliente, podemos afirmar que nossos interesses são diferentes dos interesses dos CEOs mainstream e suas empresas, que, por diversas vezes, já deram exemplos de indisponibilidade, falta de privacidade, vazamento de informações, manipulação eleitoral, manipulação seletiva de postagens de interesse, contenção de conteúdo, etc.

Algo que nenhum cliente da GF7 Brasil experimentou.
Desde 2008 nós temos um processo claro e definido, confiamos nele e somos recompensados com o passar destes 13 anos.
Que venham as próximas décadas, continuamos nos preparando.

Share this
Browsers reforçam navegação segura com SSL
11 out

Browsers reforçam navegação segura com SSL

O Google Chrome e o Mozilla Firefox estão atualizando como os sites SSL / HTTPS são exibidos aos usuários, continuando sua iniciativa de mover todo o tráfego da Internet para HTTPS O Google e a Mozilla anunciaram recentemente várias alterações na forma como exibirão sites HTTPS no Chrome e Firefox, respectivamente.

A maioria dessas mudanças faz parte do esforço sobre o qual os navegadores estão falando há alguns anos – incentivando todos os sites a mudarem de HTTP para HTTPS. Aqui está uma rápida visão geral de seis mudanças dignas de nota que os navegadores estão fazendo e o que os webmasters e usuários de Internet precisam saber.

1) Chrome para forçar HTTPS ou bloquear “conteúdo misto” Durante anos, o “conteúdo misto” tem sido a desgraça dos desenvolvedores da Web em todo o mundo – depois de mudar seu site para usar HTTPS, muitas vezes havia imagens, scripts ou outros arquivos ainda carregados via HTTP que acionavam erros de segurança do “conteúdo misto” no navegador do usuário assim: Como o Google explica : “As páginas HTTPS geralmente sofrem de um problema chamado conteúdo misto, em que os sub-recursos da página são carregados de maneira insegura por http: //. Os navegadores bloqueiam muitos tipos de conteúdo misto por padrão, como scripts e iframes, mas ainda é permitido carregar imagens, áudio e vídeo, o que ameaça a privacidade e a segurança dos usuários. Por exemplo, um invasor pode adulterar uma imagem mista de um gráfico de ações para enganar os investidores ou injetar um cookie de rastreamento em uma carga mista de recursos. O carregamento de conteúdo misto também gera um UX confuso para a segurança do navegador, onde a página é apresentada como nem segura nem insegura, mas em algum lugar no meio. ” A partir da versão 79 do Chrome (prevista para lançamento em dezembro de 2019), o Google implementará gradualmente um plano para alterar a forma como o conteúdo misto é tratado: Versão 79: os usuários poderão bloquear ou desbloquear manualmente o conteúdo misto. Versão 80: o áudio e o vídeo mistos serão atualizados automaticamente para HTTPS – se forem inacessíveis via HTTPS, serão bloqueados. As imagens mistas serão carregadas, mas mostrarão um aviso “Não seguro” na barra de endereço. Versão 81: as imagens mistas serão atualizadas automaticamente para HTTPS – ou bloqueadas se não puderem ser carregadas via HTTPS. Por fim, isso não muda o que os webmasters precisam fazer – verifique se todos os recursos (incluindo imagens, vídeo e áudio) são carregados em HTTPS 100% do tempo.

2) O Firefox marca todas as URLs HTTP como não seguros Seguindo os passos do Chrome, o Firefox agora está marcando todas as páginas HTTP como “Não Seguro”. Nos últimos anos, o Firefox começou a avisar os usuários se uma página HTTP continha um login ou outro formulário , mas agora o Firefox mostrará o aviso em todas as páginas HTTP. A partir da versão 70 do Firefox (prevista para lançamento em outubro), os usuários verão um aviso como este em todas as páginas HTTP: Se você clicar no cadeado, verá uma mensagem como esta: A partir daí, você pode clicar para obter mais detalhes para ver isso:

3) Firefox inicia a transição para DNS sobre HTTPS A partir de setembro, o Firefox iniciou uma implementação gradual, alternando os usuários para usar o DNS sobre HTTPS (DoH) por padrão. Se o plano for conforme o esperado, todos os usuários dos EUA serão trocados até 2020. No ano passado, o Firefox explicou por que estavam começando os esforços para mudar para o DoH: “Como não há criptografia, outros dispositivos ao longo do caminho também podem coletar (ou até bloquear ou alterar) dados [DNS]. As pesquisas de DNS são enviadas para servidores que podem espionar o histórico de navegação do site sem informar ou publicar uma política sobre o que eles fazem com essas informações … Nosso primeiro esforço para atualizar a privacidade do DNS é implementar o protocolo DNS sobre HTTPS (DoH) , que criptografa solicitações e respostas de DNS “. Essa decisão não ficou isenta de controvérsias, pois alguns especialistas em segurança cibernética acreditam que o DoH causará mais problemas do que resolve . O DoH do Firefox usa o serviço DNS do CloudFlare por padrão, mas os usuários podem mudar para um serviço alternativo, se preferirem.

4) O Google testa DNS sobre HTTPS A partir da versão 78 do Chrome (prevista para lançamento em outubro), o Google começará a testar o DoH para determinados servidores DNS: “Esse experimento será realizado em colaboração com os provedores de DNS que já suportam o DoH, com o objetivo de melhorar a segurança e a privacidade de nossos usuários em comum, atualizando-os para a versão do DoH de seu serviço DNS atual. Com nossa abordagem, o serviço DNS usado não será alterado, apenas o protocolo… Os objetivos deste experimento são validar nossa implementação e avaliar o impacto no desempenho. ” Embora o Google esteja um pouco atrás do Firefox na implementação do DoH, parece provável que o Chrome a implemente para a maioria / todos os usuários em 2020.

5) Chrome Hides Protocol (http: // ou https: //) do URL O Google fez recentemente uma alteração na forma como os URLs são exibidos na barra de endereços – ocultando o http: // ou https: // desde o início do URL. À primeira vista, essa alteração pode parecer que o Chrome está reduzindo a importância do HTTPS, mas na verdade é o contrário. Essa alteração faz parte do esforço do Google para tornar o HTTPS o protocolo padrão para toda a web. Pesquisas mostram que, quando se trata de segurança na Internet, indicadores positivos são valiosos, mas os usuários prestam mais atenção a indicadores negativos. É por isso que o Google implementou um plano para tornar o HTTPS o padrão e mostrar avisos para URLs HTTP. Essa alteração é simplesmente a próxima etapa desse plano: o HTTPS é normal (o que normalmente não é mostrado), mas o HTTP dispara um erro. As páginas HTTPS agora são exibidas assim: Enquanto as páginas HTTP são assim:

6) Alterações de exibição do Chrome e Firefox EV Diferentemente das cinco primeiras alterações, esta não se trata de fazer com que mais sites mudem para HTTPS – é uma alteração na maneira como os sites com certificados EV SSL são exibidos. Chrome e Firefox estão movendo a exibição do EV (nome da empresa verificado) da barra de endereço para a exibição dos detalhes do certificado. Os usuários agora poderão visualizar os detalhes da empresa EV clicando no cadeado para obter uma exibição como esta: Eles também podem clicar para visualizar detalhes adicionais do certificado como este: Você pode pensar nessa exibição de EV um pouco como um passaporte: você não a usa na manga, mas existe sempre que a verificação de identidade é necessária. Se um usuário não tiver certeza sobre um site, ele pode verificar rapidamente os detalhes do EV para ver qual entidade legal possui e opera o site. Além de estarem disponíveis para os clientes verificarem a qualquer momento em que não tiverem certeza de um site, os detalhes do certificado EV são usados ​​por outras entidades para verificação de identidade: O software antivírus usa detalhes do certificado EV para distinguir sites respeitáveis ​​de sites de phishing.

Os governos (especialmente na Europa) estão cada vez mais exigindo que as empresas que fazem transações on-line forneçam informações de identidade verificadas por meio de um certificado EV EV e / ou um LEI. Para o registro, acreditamos que os navegadores devem tornar as informações de identidade verificadas, como os detalhes do VE, mais proeminentes, e não menos. A menos que / até que uma solução melhor seja implementada, o EV SSL ainda é a melhor solução disponível para os usuários verificarem a entidade legal que opera um site. Dito isso, essas alterações não alteram o objetivo fundamental que um certificado EV SSL cumpre: uma maneira de usuários da Internet, software de segurança e governos verificarem a entidade legal que opera um site. Com a explosão do crime on-line, os reguladores esperam cada vez mais que as empresas apresentem identidades verificadas on-line – acreditamos que o EV SSL (e ferramentas similares) será uma parte importante da internet nos próximos anos. A linha inferior Nenhuma dessas alterações na interface do SSL muda os jogos para usuários ou proprietários de sites. A maioria dessas mudanças são incrementais, movendo gradualmente mais usuários e sites para HTTPS – no geral, isso é bom para os usuários, para os proprietários de sites e para a Internet.

Share this
O que é Phishing e como se proteger na internet?
04 out

O que é Phishing e como se proteger na internet?

Os conteúdos que circulam na internet por meio de sites, e-mails, mensagens instantâneas, redes sociais e SMS podem ocultar intenções criminosas de realização de fraudes online. Geralmente, os criminosos cibernéticos se passam por empresas respeitáveis e sites confiáveis para atrair pessoas, utilizando uma técnica denominada “phishing”, que consiste em jogar iscas para pescar informações, aludindo à palavra inglesa “fishing” que quer dizer pescaria. Essas fraudes têm taxa média de sucesso de 5%, de acordo com o Anti-Phishing Working Group, e podem resultar em inúmeros transtornos e prejuízos financeiros para as vítimas do golpe.

Neste post, vamos informar como funciona o phishing, para facilitar o seu reconhecimento, e os cuidados a serem tomados para evitá-lo. Leia com atenção e tome uma postura preventiva!

As múltiplas faces dos fraudadores

Geralmente, os phishers (fraudadores) assumem a identidade de instituições como: bancos; operadoras de cartão de crédito, telefonia e televisão a cabo; provedores de e-mail; órgãos do governo (especialmente a Receita Federal); delegacias; companhias aéreas; lojas virtuais; grandes redes varejistas e outras entidades respeitáveis. Algumas vezes, podem se passar até mesmo por pessoas conhecidas do internauta.

Os indícios do phishing

Os assuntos do phishing são seu principal indício. Eles são criados de forma a despertar interesse, curiosidade, sensação de urgência ou oportunidade para induzir a pessoa alvo do golpe a agir por impulso, no calor da emoção, sem raciocinar muito. A seguir, citaremos alguns exemplos de assuntos abordados:

  • Bancos: atualização de cadastro para evitar bloqueio de conta; expiração de senha, chave de acesso ou token; confirmações de depósitos.
  • Cartão de crédito: expiração de pontuação em programa de fidelidade; confirmações de compras, geralmente, de alto valor; envio de fatura.
  • Contas de correio eletrônico: cancelamento de e-mail; expiração de senha; bloqueio por falta de pagamento ou falta de recadastramento.
  • Generalidades: inscrição em cadastros de restrição de crédito; notificação de herança; envio de fotos comprometedoras, íntimas ou reveladoras; envio de cartões de mensagens virtuais; declarações de amor de um admirador secreto; premiação em sorteio; ofertas de softwares gratuitos de antivírus ou melhoria de performance do computador; mensagens com dados pessoais do destinatário.
  • Jornalismo: temas noticiados no momento (acidentes, atentados, catástrofes e escândalos políticos); informações exclusivas sobre celebridades ou denúncias.
  • Lojas virtuais e grandes redes de varejo: ofertas de promoções e recompensas; envio de nota fiscal eletrônica.
  • Órgãos públicos: notificações da Receita Federal; atualização do cadastro de CPF e Título de Eleitor; intimações de órgãos judiciais ou autoridades policiais; notificações de multa de trânsito ou irregularidades com o veículo.
  • Redes sociais: notificações, marcações em fotos e convites para jogos e eventos.

Além dos assuntos citados acima, que dão indícios de que o conteúdo é um phishing, existem outros aspectos que podem demonstrar esta prática: erros gramaticais e/ou ortográficos na mensagem ou site; imagens de má qualidade; elementos visuais faltantes no site; mensagens estranhas de amigos.

Os mecanismos de ação

Quando o internauta interage com o e-mail, SMS, mensagem instantânea ou site fraudulento, é induzido a clicar em um link para visualizar algum conteúdo ou baixar algum anexo – geralmente arquivo com extensão .exe ou .zip – que promove a instalação de malware (software malicioso) ou vírus no computador ou dispositivo móvel.

O malware pode: disparar mensagens de phishing para todos os contatos do correio eletrônico ou das redes sociais da vítima; registrar dados digitados; capturar arquivos ou monitorar as atividades do usuário na Web. O link também pode conduzir a uma página falsa (idêntica à página original) na qual devem ser digitados dados e informações pessoais e sigilosas.

Outros mecanismos são: sites de e-commerce falsos, para capturar dados dos compradores, que não receberão os produtos adquiridos; e a compra de informações cadastrais de forma ilícita ou invasão de bancos de dados corporativos para roubá-las e utilizar nas ações de phishing.

Consequências do phishing

As principais consequências desta fraude são: roubo de informações pessoais — com estes dados, os fraudadores emitem documentos falsos e realizam transações comerciais diversas, especialmente, atos de estelionato; roubo de senhas bancárias e de cartões de crédito — com estes dados os phishers realizam saques e transferências de valores e efetuam compras em nome do titular da conta ou cartão.

Como se proteger

Existem no mercado softwares anti-phishing, com filtros anti-spam eficazes, que notificam sobre indícios de irregularidades em e-mails. Já quanto aos sites, existem antivírus e firewalls que fazem a varredura e notificam irregularidades ou bloqueiam o acesso, quando detectam qualquer possibilidade de fraude.

Outra forma de se proteger, é passando o ponteiro do mouse sobre o nome do remetente da mensagem, aparecerá o e-mail real utilizado e você verá que tem outra origem. Passe o ponteiro do mouse sobre o link da mensagem e você verá que o endereço (URL) não tem nada a ver com o do suposto remetente original. Mas, fique atento, por que às vezes a URL é bastante semelhante à original, mas sempre terá alguma diferença.

Como solucionar problemas

Se for vítima de phishing em sua conta bancária ou cartão de crédito, registre um boletim de ocorrência e notifique imediatamente o banco e a operadora de cartão de crédito, para cancelamento dos cartões e troca de senhas, assim como para rastrear as operações fraudulentas que foram efetuadas e tomar as providências cabíveis administrativas e judiciais, se necessário.

Se o phishing contaminar seu computador ou dispositivo móvel com vírus ou malware, faça a descontaminação com antivírus e instale um firewall ou recorra à assistência técnica para recompor o funcionamento do seu equipamento.

O phishing é uma prática criminosa muito danosa do mundo virtual, que provoca prejuízos financeiros, danos em equipamentos e danos morais. Os fraudadores estão continuamente em busca de novos temas e sistemáticas de captura de novas vítimas. Manter-se bem informado quanto às técnicas, manhas e artimanhas dos cibercriminosos e utilizar softwares anti-phishing, antivírus e firewall são os melhores meios de fugir dessa terrível ameaça.

Share this
Solicitar Orçamento
+55 11 4063 7533
Consultores Online

Since 2008 - GF7 Brasil Sistemas -  © All rights reserved.