Combatendo vírus na nuvem
A PandaLabs anunciou esta semana, segundo nota divulgada pela PCMagazine, a disponibilização de um anti-vírus gratuito, e que consome poucos recursos.
Já que consumir poucos recursos é a promessa de 9 entre cada 10 anti-vírus disponíveis atualmente no mercado, não foi exatamente isso o que me chamou a atenção, mas sim o mecanismo que eles alegam que torna a solução leve: O Panda Cloud Antivirus, como o próprio nome delata, é uma ferramenta que emprega tecnologia de cloud computing.
Imagine ter à sua disposição uma comunidade global de mais de 10 milhões de usuários que façam por conta própria — e automaticamente — o trabalho de identificar e classificar novas ameaças, como malwares e spywares, tudo em tempo real. Assim é a cloud computing, ou computação nas nuvens, ao pé da letra. A nuvem, neste caso, é uma referência à Internet, justamente onde ficam localizados todos os recursos que trabalharão em prol de cada usuário.
Fazendo com que o processamento seja realizado na nuvem, ao invés de no computador da minha ou da sua casa, o Cloud Antivirus deixa de consumir maiores recursos. Além disso, a nova ferramenta posterga ao máximo a análise de cada item suspeito. Na prática, isso quer dizer que o item não será verificado durante a cópia ou um download, mas sim, somente a partir do momento em que tentar executar alguma coisa suspeita, quando será devidamente bloqueado.
Uma coisa é certa: Ao longo dos anos eu já perdi a conta de quantas vezes cruzei com discussões do tipo “qual é o melhor anti-vírus da paróquia“. Não foram poucas, isso é verdade, assim como também é verdade o fato de que, na grande maioria das vezes, as reclamações das pessoas fatalmente estavam em consumo de recursos e lentidão dos programas.
Como esta questão de lentidão também é uma reclamação pessoal, nada melhor do que testar a solução oferecida pela Panda, e assim comprovar por conta própria se a ferramenta é tudo isso mesmo que diz ser. Aguardem. Fui em frente, baixei o programa e o pus à prova. A seguir, conforme prometi, as minhas impressões e comentários.
Esteganografia para as massas
Lembra quando você era criança e brincava de esconder mensagens secretas em folhas de papel escritas com suco de limão e um cotonete? A diversão era, na seqüência, aproximar a folha de uma vela ou de uma lâmpada, que era pro calor revelar o que estava escrito, como num passe de mágica…
Bons tempos, não é mesmo?
Acontece que esse tipo de coisa pode muito bem acontecer nos dias de hoje, em pleno mundo digital! Isso graças a uma técnica chamada esteganografia. Essa palavra meio esquisita vem do grego, e significa “escrita escondida”.
Diferente da famosa criptografia, em que alguém mal intencionado que intercepte uma mensagem sabe bem que há algo de sigiloso escondido ali, esperando para ser descoberto após a eventual quebra de uma chave – seja ela mais forte ou mais fraca – a esteganografia é algo mais anônimo, em que praticamente não dá pra descobrir que há alguma coisa escondida no meio de uma mensagem, a menos que você seja o remetente ou o destinatário.
Justamente por causa disso, a esteganografia é causadora de boatos e lendas: Há notícias falsas e verdadeiras de seu emprego por contrabandistas, traficantes e até mesmo terroristas, que a utilizam para passar em paz – ou com um pouco mais de privacidade – suas próprias mensagens.
As mensagens, aliás, podem ser de texto puro, mas também podem ser compostas de um ou mais arquivos que se deseja manter ou transmitir em sigilo. Para transportá-las podem ser usadas fotos ou arquivos MP3. Também podem ser usadas páginas em HTML ou documentos PDF, que passam a carregar um algo a mais de maneira não declarada.
Se um bandido invade nossa casa, procura dentro de nossos guarda-roupas ou atrás de quadros, até encontrar um cofre ou algo de valor. Ele nunca pensaria, no entanto, que seu dinheiro está guardado naquela caixa de sucrilhos vazia que você deixa na última prateleira do armário da cozinha, não é? Eis aí a vantagem principal da esteganografia: Nenhum curioso, ao invadir seu computador, procuraria por suas senhas bancárias dentro daquela foto em que você e sua família estão sorrindo logo depois da ceia de Natal, percebem? Misture a foto em meio a outras centenas, e bingo: Só você — e quem mais você quiser — poderão recuperar a informação oculta.
Para fazer a mágica de embutir conteúdo em arquivos comuns existem dezenas de softwares disponíveis, sendo que muitos deles são gratuitos. Um artigo recente do site Lifehacker — que foi, aliás, o causador do meu interesse pelo tema — menciona o Hide in Picture, que, como o próprio nome diz, oculta arquivos em imagens nos formatos bitmap ou GIF.
Como exemplo, suponham que eu queira pegar um inocente arquivo com uma paisagem bem bonita e ocultar nele uma mensagem de Natal super legal para os meus amigos, embora totalmente secreta. Basta que eu acesse o Hide in Picture e selecione a opção Hide file in picture, tal como na figura abaixo.
Em seguida, só é preciso informar uma senha e, opcionalmente, o algoritmo a ser utilizado pelo programa para criptografar o arquivo que está sendo anexado à nossa imagem, e pronto: A mensagem secreta já fará parte da paisagem, e o melhor: Ninguém suspeitará disso, porquê visualmente tudo continuará como antes!
A vantagem destes programas é que na maioria das vezes eles procuram manter o tamanho original do arquivo hospedeiro, utilizando algoritmos de compressão que cumprem bem sua tarefa. É claro que fica óbvio que, nestes casos, você simplesmente não consegue esconder um arquivo maior dentro de um arquivo menor, mas essa aparente limitação não deve intimidar ninguém disposto a proteger seus dados para uma eventual transferência a partir da Internet.
Inspirado pelo princípio da esteganografia, no entanto, está um procedimento muito mais simples e direto, ideal para quem não precisa transferir conteúdos muito grandes e está interessado apenas em ocultar pequenos arquivos – talvez aqueles em que estão gravadas suas senhas de serviços da internet ou dos bancos, e até mesmo uma ou outra planilha ou foto. No pequeno screencast que acompanha este meu inspirado artigo, fiz a descrição de um método que só precisa do Windows e de um velho compactador de arquivos, sucesso e bastante conhecido entre muita gente: Trata-se do 7-Zip, que é gratuito.
O ponto positivo é que a técnica é muito simples, e pode ser usada pra esconder arquivos não apenas em fotos, mas também em documentos PDF — como no exemplo que eu dou — e músicas.
A advertência, no entanto, fica para o tamanho do arquivo a ser gerado: Ninguém acharia normal, por exemplo, uma imagem JPEG de 30 megabytes, não é mesmo? Assim, cuidado para esconder apenas pequenos arquivos, e no mais… divirta-se!
[ratings]
Diga-me como digitas e te direi quem és
Eu não sou nenhum perito em datilografia — mal uso todos os dedos para fazer minhas digitações —, mas isso não impede os amigos do trabalho de fazer brincadeiras do tipo “Calma, Daniel… desse jeito o teclado vai pegar fogo! Vá mais devagar“, ou “Ele digita rápido assim, mas provavelmente 97% do tempo fica pressionando mesmo o backspace“, quando me vêem digitar.
Nenhuma das afirmativas é verdadeira, claro: Os teclados não podem simplesmente pegar fogo graças à velocidade de digitação de alguém. Se isso fosse verdade, imaginem só o número de acidentes que teríamos, principalmente envolvendo operadores de caixas bancários e outros profissionais que precisam digitar muito mais rápido. Da mesma forma, não é em 97% do tempo que eu aperto o backspace, e sim cerca de, digamos, 15% a 20%. De qualquer forma, essas brincadeiras servem para me dizer que os amigos reconhecem, por assim dizer, o meu padrão de digitação.
A novidade é que, talvez, no futuro, não sejam apenas os meus amigos os que serão capazes de reconhecer o meu padrão: Isso graças à biometria e aos estudos, nesta área, do pesquisador cearense Leonardo Torres. Ele está desenvolvendo uma ferramenta que poderá eventualmente começar a ser aplicada para melhorar a segurança nas transações via Internet e também nos terminais de atendimento eletrônico, como os caixas rápidos, por exemplo:
“Cada um de nós tem um padrão de comportamento no ato da digitação. Temos um ritmo próprio e padrões de erros, por exemplo. O que estamos propondo é a implantação de uma ferramenta complementar de segurança capaz de identificar não apenas se uma senha digitada na web ou em um terminal eletrônico está correta, mas se foi o proprietário dela que realmente a digitou (…)
A grande finalidade da ferramenta é evitar fraudes, reforçando os sistemas de segurança”, resume.”
Na prática, para fazer uso da nova ferramenta de biometria, o usuário deve primeiro preencher um cadastro com suas informações pessoais. Posteriormente ele digita estes dados e aciona uma espécie de “inspetor de qualidade“, na verdade uma rotina que verifica a qualidade da digitação observando se há erros durante o processo.
Se tudo correr bem, um “extrator de características” captura o tempo de digitação entre uma tecla e outra e o tempo de pressionamento de cada tecla. Estas informações são então cruzadas e o usuário identificado conforme seu padrão de digitação.
Segundo o pesquisador, a novidade tende a chegar ao mercado com um custo muito mais baixo do que o normal, pois deve precisar de muito menos equipamentos e dispositivos eletrônicos do que as demais soluções de segurança que envolvem a biometria.
Mas eu tenho que dizer que a primeira coisa que me chamou a atenção nesta história foi o fato de se tratar de tecnologia 100% em desenvolvimento no Brasil. Isso porquê eu, que gosto muito do tema biometria, vejo que quando falamos disso os exemplos de aplicação vêm muito mais do exterior, e este caso, somado à provável adoção de 100% de urnas eletrônicas biométricas para nossas eleições em cerca de 10 anos, são raros e louváveis exemplos.
Information Cards: Uma revolução nas senhas?
A empresa onde eu trabalho tem implantado gradativamente, desde o começo do ano, um programa chamado single sign-on. A intenção é acabar com um problema extremamente freqüente — e extremamente perturbador, diga-se de passagem: Esquecer as senhas.
Vamos admitir: Quem nunca esqueceu uma senha na vida deve jogar as mãos para o céu e agradecer. Afinal de contas, mais do que a enorme quantidade de sistemas offline que necessitam de autenticação — e que, no caso da empresa onde estou foi o grande motivador para o single sign-on —, a Internet é um grande player nessa história: Por causa dela nós vivemos de cliques e de senhas, não é mesmo? E basta um único serviço que não usemos por algum tempo e lá vamos nós esquecer uma senha e ter transtornos.
A solução para esse tipo de problema, muitas vezes, é usar uma única senha para todos os sites. Na prática, apesar de ser mais fácil, é menos seguro, todos sabemos disso. Afinal, alguém que descubra sua senha poderá invadir todos os sites que você usa e fazer sabe-se lá o que. Na prática, conforme diz Paul Trevithick, praticar esse hábito é quase como não ter senha nenhuma.
Mas quem é Paul Trevithick, afinal? Ele é o presidente da Information Card Foundation, empresa que pretende revolucionar a forma como nos autenticamos nos diversos sites que visitamos. A chave para que isso aconteça está no uso dos chamados information cards, ou simplesmente i-cards, cartões eletrônicos que os internautas baixariam para suas máquinas locais, e usariam diretamente a partir de seus navegadores, se autenticando e verificando seus acessos através de um código PIN — personal identification number, tal como nos celulares — remotamente validado sempre que entrassem em um site compatível.
Os membros da fundação que defende o uso dos i-cards — entre os quais gigantes como Google, Microsoft, Novell e Oracle — acreditam que a prática melhoraria consideravelmente a segurança dos usuários, principalmente no que diz respeito a combater o phishing, processo pelo qual vários sites que agem de má fé tentam se passar por empresas honestas, visando obter senhas e demais informações sensíveis dos internautas menos avisados.
Para prover maior segurança na prática, o sistema de i-cards tem que sincronizar cada transação entre três participantes: Numa ponta o usuário com seu i-card, que solicita uma conexão criptografada com um fornecedor de identificação (como um banco ou empresa de cartão de crédito) e também com a parte relevante (que, neste caso seria uma faculdade, site financeiro ou de comércio eletrônico). Nada acontece enquanto estas conexões não estiverem realizadas em tempo real.
Espero que, já que essa iniciativa está sendo puxada por gente grande, ela decole. Se será uma solução final para os problemas de segurança, eu não sei, e até duvido. Mas é bom termos novidades deste porte em breve. Só não sei quanto tempo levará para um padrão desses atingir escala mundial… mas aí é outra história.
Ferramentas para proteger suas senhas
Ah, as senhas… quem de nós, eu pergunto, é capaz de viver sem elas no mundo moderno?
No mundo virtual, é preciso senha para praticamente tudo: Entrar na rede, abrir um arquivo protegido, acessar sistemas, o internet banking, o e-mail, o álbum de fotos, um fórum de discussão na web e por aí vai. No mundo real, também não há escapatória: saques e compras só são autorizados com o seu uso, e até mesmo para uma operação trivial, como ligar o celular, muitas vezes é preciso informar um código de acesso, o PIN.
Vê-se, por estes exemplos que dei acima que as senhas existem com uma finalidade básica: proteção. Seja a proteção de um usuário ou pessoa física, seja a proteção de dados e informações virtuais, sensíveis para pessoas físicas e jurídicas, o fato é que uma senha em mãos erradas pode causar danos gravíssimos e até mesmo irreversíveis.
Dessa forma, não queremos que alguém saia por aí e descubra nossa senha, o que demonstra que é preciso protegê-la com unhas e dentes. Quando penso nisso, imediatamente me vêm à cabeça dois pontos muito básicos:
- As senhas precisam ser fortes;
- As senhas precisam estar seguras.
As senhas precisam ser fortes
Uma das inspirações para este artigo surgiu nas últimas duas semanas, quando ouvi de cinco pessoas diferentes, ao me verem acessar a rede do local onde trabalho, o comentário de que minha senha era longa demais. Imediatamente, ao ouvir este argumento, disse que minha senha era assim por dois motivos: O primeiro, porquê era algo de que eu lembrava. O segundo, porquê era uma senha forte.
Vamos lá: É óbvio que você precisa pensar em uma senha da qual vá se lembrar mais adiante. Caso contrário ao partir para o final de semana numa sexta-feira atribulada, acabará esquecendo da senha na segunda-feira, ao voltar. Exageros à parte, é aí que reside um dos principais perigos das senhas: Buscando usar algo do que venham a se lembrar mais adiante, as pessoas simplesmente acabam usando nomes dos filhos, placas do carro e até mesmo do time de futebol para compor sua senha.
O problema dessa prática é que aquele amigo da onça mal intencionado, tendo se aproximado previamente de você e visando um ataque aos dados protegidos por sua senha, pode tentar invadir sua privacidade partindo destes detalhes que citei acima. E como sabemos que o seguro morreu de velho, bom mesmo é ter certeza de que estamos usando uma senha forte.
E como eu vou saber se minha senha é forte?
Bom, esta é a pergunta de um milhão de dólares. Algumas empresas possuem políticas para a formação de senhas, basicamente compostas de melhores práticas. Independente disso, podem ser usadas, por exemplo, frases a partir das quais são retiradas as iniciais. Assim, “Eu fui ao Canadá em 2006″ se tornaria algo como EfaCe2006.
Mas talvez o melhor mesmo seja colocar sua senha à prova. E a melhor maneira de fazer isso é utilizar uma ferramenta especializada e ao mesmo tempo gratuita. O The Password Meter, por exemplo, é uma dessas ferramentas, on-line. Ao entrar no site você pode escolher entre exibir ou não a senha a ser testada (caso não a exiba, será coberta por asteriscos, como uma senha comum) e, em seguida, saber, numa escala percentual, o quanto ela é segura.
Vejamos o que acontece quando se coloca a senha acima à prova:
A ferramenta, que considera pontuações para diversos aspectos da senha testada, conclui que a senha que escolhi ao acaso é 68% forte.
Segundo os critérios do site, ganhei 36 pontos de bonus por usar um número grande de caracteres e mais 14 por ter usado duas letras maiúsculas em meio à senha. Pela lógica empregada na ferramenta, os valores representados em azul são considerados excepcionais, enquanto que os verdes são suficientes.
Enquanto que o fato de ter acrescentado números à minha senha inventada me ajudou, esquecer de colocar um símbolo me reprovou, ou seja, as coisas poderiam ser melhores por aqui.
Assim, o que acontece com a avaliação desta senha se, por acaso, eu decido acrescentar um símbolo no meio da string? Bem, obviamente ela se torna uma senha mais forte. Salta dos 68% anteriores para 86%, um ganho considerável com apenas um caractere a mais, neste caso, um símbolo. Se forem dois deles, então, a pontuação é ainda maior, e a senha se torna 100% segura, ou seja, virtualmente imbatível.
Percebam que, usando ou não ferramentas para testar senhas, para montá-las e torná-las fortes o importante é ter um pouco de criatividade, pensando em algo inesquecível e que, ao mesmo tempo, seja complicado de se descobrir. De preferência, memorizável sem que se precise anotar em algum lugar.
Mas e aquelas pessoas que não conseguem memorizar suas senhas e precisam marcá-las em algum lugar? Bem, isso me lembra do meu segundo ponto.
As senhas precisam estar seguras
Eu vou logo dando a mão à palmatória, pois já tive o hábito, no passado, de anotar minhas senhas em um caderninho que eu tinha na gaveta do trabalho, apenas para que, se eu me esquecesse delas, pudesse tê-las ao alcance das mãos. O problema neste caso é que elas também estavam ao alcance de olhos alheios.
O caderninho, então, não é um bom lugar para anotar senhas. Como também não é nada recomendável que elas estejam escritas em post-its (ou “lembretes”) como o que usei para ilustar este artigo, ou em pedaços de papel debaixo do teclado, é necessário que aqueles que são mais esquecidos usem algo mais seguro.
Eis que num determinado momento em minha carreira me vi obrigado a gerenciar uma quantidade gigantesca de senhas de diversos sistemas e aplicativos. Naquela oportunidade meu caminho se cruzou, por pura necessidade, com o do KeePass, um gerenciador de senhas de fonte aberta e 100% gratuito, com versões para Windows e Ubuntu, entre outros sabores de Linux e sistemas operacionais.
Entre as vantagens de uma ferramenta como o KeePass estão seu tamanho reduzido (cerca de 1,3Mb) e sua capacidade de se estender a partir de plugins, que, entre outras coisas, permitem a integração com o seu navegador favorito. Ah, eu não mencionei, também, que existe uma versão em português para nós brasileiros.
Ao terminar a instalação e criar uma nova base de dados de senhas, o programa pede que você defina uma master password. Esta será a senha que você deverá usar para acessar o KeePass. Não a anote em lugar nenhum e não a esqueça — de qualquer forma, convenhamos: para o esquecido, será muito mais simples e fácil lembrar de uma senha do que de várias.
À partir daí, basta adicionar suas senhas. O programa as divide em categorias (que podem ser devidamente editadas) e possui, ele próprio, uma barra de testes de qualidade da senha, similar ao da ferramenta que citei anteriormente.
Para aqueles que podem estar com a pulga atrás da orelha por confiarem sua senha a um software, um aviso: A segurança do programa se baseia em duas cifras fortíssimas de criptografia, utilizadas por bancos para a proteção de seus sistemas. Convenhamos que é bem melhor do que guardar um papel na terceira gaveta atrás do livro de caixa de 2004, não é mesmo?
[ratings]
Combater fraudes biométricas custa caro
Quem precisou — como eu — renovar a carteira de motorista no último ano e meio já sabe: Um sistema de biometria realiza a identificação do candidato através de um terminal que coleta suas impressões digitais e as transmite para o Detran em tempo real. Só depois disso a pessoa é liberada para uma prova 100% filmada, tudo parte de fortes medidas de segurança para evitar fraudes no processo, na minha opinião, aliás, um dos pontos mais pertinentes para uso da biometria.
Mas por mais que eu seja fã de qualquer iniciativa biométrica, sou obrigado a admitir que mesmo seu emprego permite falhas: O Estadão noticiou ontem uma verdadeira operação de guerra montada pelo governo do estado de São Paulo, que colocou na malha fina do Detran 19 mil pessoas e 200 auto-escolas da capital, da Grande São Paulo e de Santos.
Segundo o que li, foram descobertos diversos artifícios para burlar o processo: Auto-escolas foram flagradas usando softwares que capturam as digitais de uma pessoa, transformam em código e enviam ao Detran a falsa informação, em horários diferentes, de que ela está assistindo regularmente às aulas.
Também foram identificados casos — que parecem coisa de filme — em que dedos de silicone ou gesso fraudaram o sistema, o que aliás representa um dos maiores — senão o maior — medo das pessoas com relação à biometria: “E se cortassem um dedo meu” — ou fizessem, como neste caso, um molde — “para me assaltar num caixa eletrônico biométrico?”
A implementação de mecanismos de combate a fraudes deste tipo é complicada: Neste caso, por exemplo, apenas no segundo semestre o Detran deverá além de registrar a impressão digital, fotografar as pessoas que fazem as provas práticas. O departamento também solicitou ao Prodesp (Companhia de Processamento de Dados do Estado de São Paulo) que desenvolva uma certificação digital para o processo de renovação da CNH.
Minha opinião, no entanto, é que fotos são facilmente arranjáveis, assim como softwares para driblar uma certificação digital das informações. Acho que para evitar coisas como dedos de gesso, silicone ou até mesmo de gelatina, usados experimentalmente em 2002 pelo professor Tsutomu Matsumoto, da universidade japonesa de Yokohama justamente para provar que é possível burlar a biometria, precisa-se inovar.
Sugestões dadas pelo próprio professor Matsumoto, aliás uma das maiores autoridades mundiais no assunto, envolvem o reconhecimento não apenas de impressões digitais, mas também de características únicas do corpo humano, como pequenas mudanças ou movimentos que não podem ser reproduzidos por estruturas artificiais: O reconhecimento ultrassônico de impressões digitais, por exemplo, poderia reconhecer o fluxo sangüíneo por trás dos dedos, entre outras coisas.
Outros mecanismos para reconhecimento de um indivíduo poderiam empregar a sensibilidade de temperatura do corpo, a produção de oxigênio e de sinais elétricos, e a emissão de odores próprios do corpo humano. Mas fato é que, embora representem soluções eficazes, o custo destas alternativas é muito, muito alto, e, ao menos na atual conjectura — em que estamos ainda engatinhando no campo da biometria — não as vejo como viáveis para emprego em nosso país, e isso é uma pena.
Algumas dicas sobre cavalos-de-tróia no Orkut
Navegando a toa esta semana por minha quase finada conta no Orkut, tive a chance de flagrar mais um exemplo dos já corriqueiros cavalos-de-tróia que infestam o serviço e representam perigo real para os internautas desavisados. Eis que um dos recados de minha conta dizia o seguinte:
Fizeram uma festinha na casa da Priscila, só que ela bebeu demais perdeu a vergonha e tirou a roupa, ai a galera nao dispensou tiraram muitas fotos dela e colocaram na internet. até que ela é bonita, olha ai o novo album dela rsrs.. depois me fale o que achou…
clique na imagem para ver o slide completo
A mensagem vinha acompanhada da foto de uma menina usando trajes mínimos extremamente provocativos e de um link malicioso, que supostamente apontava para um slideshow hospedado na Internet. Clicar o mouse sobre ele, no entanto, me fez salvar em meu computador o aparentemente inofensivo arquivo playvideos.exe.
Utilizando os serviços gratuitos de análise de arquivos do site Virustotal, confirmei o que eu já imaginava: Disfarçado sob diversas variações, o tal arquivo na realidade era o que genericamente os especialistas chamam de banker. Um banker nada mais é do que um cavalo-de-tróia especializado no roubo de senhas bancárias.
Com tal constatação, obviamente, meu próximo passo foi exterminar o arquivo. Mas o que teria acontecido caso eu resolvesse executar este arquivo em meu computador? Simples: teria sido contaminado pelo banker, e, neste caso, sofreria de três efeitos colaterais pra lá de indesejáveis:
- Com meu computador infectado pela execução do arquivo playvideos.exe, a execução de programas e a navegação na Internet se tornariam mais lentas, já que um processo ficaria em execução na memória do computador;
- Este processo, apesar de não alterar em nada o funcionamento do computador — exceto pela lentidão — monitoraria minhas atividades e enviaria minhas informações sigilosas — como as senhas e demais informações bancárias — direto para endereços de servidores excusos, para que hackers e outros oportunistas se aproveitassem delas;
- O mesmo processo ainda roubaria meus dados de usuário e senha do Orkut — normalmente localizados nos arquivos temporários ou cookies do computador após a navegação web — e os usuaria para mandar o mesmo link que eu recebi para os meus contatos, em meu nome. Notem que é por isso que muitas vezes uma mensagem maliciosa pode chegar a você como se tivesse vindo de um familiar, amigo ou colega que está na lista de contatos, como se fosse um link acima de qualquer suspeita.
É por isso que eu nunca acho demais lembrar as seguintes dicas para não ser pego de surpresa por um cavalo-de-tróia:
A curiosidade matou o gato!
Achou o recado que você recebeu suspeito? Não faça o download e, caso você já tenha feito, não abra o arquivo resultante em hipótese alguma. O melhor mesmo é mandá-lo direto para o céu dos arquivos para evitar contaminação.
O arquivo pode ser legítimo? Tire a prova!
Serviços como o Virustotal, que analisam arquivos individuais enviados a partir de qualquer computador, podem ser muito úteis para eliminar qualquer dúvida.
Este serviço específico, por exemplo, reúne empresas especialistas da área de segurança como a Grisoft, fabricante do gratuito AVG, a Kaspersky Labs e muitas outras para lhe fornecer toda a análise necessária antes de executar o que você baixou da Internet. Ah, e possui a interface totalmente traduzida para o português.
Lembre-se apenas que não há substituto certo para um bom anti-vírus instalado diretamente em seu computador.
Eu já cliquei no arquivo, e agora? Estou infectado?
Eu diria que a resposta é, com quase 100% de certeza, SIM. Mas não é necessário se desesperar, porquê há maneiras de combater estas pragas mesmo quando elas já estão confortavelmente instaladas nos arredores.
Primeiramente, você pode tentar o seu anti-vírus de escolha. Se for um bom produto, as chances de detectar algo errado e de eliminar o problema são muito, muito altas. Se você não consegue se decidir por um anti-vírus, talvez seja uma boa idéia analisar algumas comparações de desempenho entre os principais produtos, gratuitos ou não.
Se o anti-vírus instalado no computador não acusou nada mas você continua achando que sofreu uma infecção, pode também tentar uma análise realizada a partir de sites na Internet. Os principais fabricantes de anti-vírus disponibilizam este tipo de recurso gratuitamente. Uma boa opção é o NanoScan, da Panda, compatível com o Firefox através de um plugin, por sua rapidez.
A desvantagem de análises online, é que normalmente apenas a detecção é feita, e não a remoção. Para remover um arquivo malicioso, nestes casos, pode ser necessário desembolsar dinheiro e comprar um produto de boa qualidade se as opções gratuitas não forem capazes de combater a praga virtual que afetou seu computador.
Uma última tentativa de detecção também pode ser realizada com o uso de ferramentas específicas. Uma ferramenta desenvolvida 100% em território nacional é o BankerFix, criada pelo site Linha Defensiva, especializado em segurança.
Pessoalmente, confesso que não testei esta opção, mas ela parece ter atualização constante— quase diária — e ser capaz de remover uma grande variação de bankers. O download, para quem quiser experimentar pode ser feito por este link direto, e as instruções detalhadas de uso estão no site do programa.
Em resumo, fica a velha dica: Prudência. Ela nunca é demais quando se está navegando numa terra de ninguém como é a Internet.
Trojan põe o Adsense em risco!
O Google Adsense — sistema que permite que qualquer webmaster inclua em seu próprio site anúncios pelos quais recebe comissões se forem clicados pelos internautas — é o mais recente favorito dos golpistas virtuais, segundo informou a empresa de segurança BitDefender esta semana.
A praga Trojan.Qhost.WU, descoberta há apenas dois dias, é capaz de alterar as configurações dos anúncios exibidos nos sites, redirecionando os cliques dos desavisados visitantes de qualquer site para servidores piratas: Estes servidores, embora ainda não tenha sido comprovado, possivelmente contêm softwares maliciosos, os chamados “cavalos-de-tróia”, que podem causar desde a desconfiguração de um computador até o roubo de informações sigilosas, como senhas bancárias e de sistemas.
Embora o Google tenha divulgado comunicado afirmando já ter cancelado diversas contas de usuários que exibem anúncios mal-intencionados, este processo não seria suficiente, pelo menos de acordo com o ponto de vista de Nishad Herath, pesquisador sênior da McAfee AvertLabs, que acredita que a empresa esteja de mãos atadas para combater a praga em sites de terceiros. Seu argumento se baseia no fato de que estas pragas se instalam em cada máquina individual, e o controle nesta situação se torna praticamente inviável.
Isto deixa o combate nas mãos de pessoas como você ou eu — apesar de, neste exato momento, ao menos, eu haver desabilitado a exibição de Adsense no meu próprio site. De qualquer forma, as recomendações da própria BitDefender determinam que os arquivos infectados devem ser removidos, e que, nas máquinas dos usuários, o arquivo hosts — localizado no caminho %WINDIR%\System32\drivers\etc — seja verificado para que a linha contendo a entrada pagead2.googlesyndication.com seja removida. Por hora, é o que podemos fazer.
Pendrives super-seguros
As opções de segurança para quem carrega dados confidenciais ou particulares nos cada vez mais populares pendrives acabam de aumentar: Os novíssimos pens Irikon Flash Memory, fabricados pela Rehoboth Tech, exigem que, antes de acessar os dados, seja feito o reconhecimento da íris do usuário através de um scanner embutido no próprio dispositivo, que, aliás, permite o armazenamento de até 20 padrões diferentes delas.
A idéia — que a muitos pode parecer saída diretamente de um filme de James Bond — me parece bastante interessante, e ainda mais para as pessoas que não se sentem seguras o suficiente, mesmo com técnicas avançadas de biometria já empregadas para a proteção de dados, como o reconhecimento das impressões digitais.
A meu ver, o principal problema deste pequeno aparelho — que está disponível nas versões com capacidade de 1 a 4Gb — está na distância mínima exigida para que o sensor consiga captar um padrão de íris conhecido: Apenas seis centímetros. Ou seja, pode-se pagar por segurança a mais, mas, sem um cabo extensor, provavelmente seja necessário fazer pelo menos um pouco de ginástica antes de usar seus dados.
[Valeu, Neto!]
A biometria chega aos bancos
Se tudo correr conforme o planejado, o Bradesco deverá ser o primeiro banco nacional a utilizar um parque de equipamentos totalmente equipado com sistemas de identificação de clientes através da biometria1: Através de uma técnica para a identificação de pessoas que é pouco difundida no país — uma vez que o sistema biométrico mais conhecido por aqui é a leitura de impressões digitais —, foram introduzidos este mês alguns novos terminais de auto-atendimento que utilizam a leitura de padrões vasculares das mãos das pessoas para identificá-las.
Os equipamentos — scannners desenvolvidos pela japonesa Fujitsu e denominados PalmSecures — são o resultado de parte dos R$ 1,5 bilhão destinados à melhoria das tecnologias de segurança para os clientes no ano passado, investidos na biometria. Até o momento, existem 40 terminais equipados com a nova tecnologia, espalhados por agências localizadas nas duas maiores capitais brasileiras, São Paulo e Rio de Janeiro, em fase de testes com os clientes, o que mostra mais uma vez que há a grande possibilidade de sistemas de identificação como este saírem de vez das histórias de ficção e se somarem à segurança que hoje já é dada por senhas, chips de computador e perguntas secretas.
O que mais me impressiona no sistema da Fujitsu é que o scanner funciona sem que seja necessário contato físico com o equipamento, apenas através da aproximação da palma da mão: Num primeiro acesso, os padrões venais de qualquer pessoa — únicos até mesmo entre gêmeos idênticos — são armazenados e posteriormente usados para permitir ou negar o acesso às transações bancárias de cada conta. Estes padrões são tão únicos que, se uma pessoa usar a mão direita para se registrar e depois disso tentar se autenticar com a mão esquerda, terá seu acesso recusado, com um percentual de erro de menos de 0,00008%.
O grande receio parece residir mesmo é no hábito de se utilizar, no dia a dia, equipamentos como este: Embora tenham sido escolhidos pelo Bradesco, entre outros motivos, por propiciarem uma forma extremamente higiênica de autenticação, muita gente pode ter dúvidas dignas de grandes estórias policiais: Uma delas, por exemplo, diz respeito ao fato de que os marginais poderiam decepar a mão de alguém só para acessar grandes somas de dinheiro, o que não adiantaria nada, pois é preciso que haja sangue correndo nas veias para que a autenticação se realize.
De fato, se a aceitação for positiva, todos os 24 mil terminais do banco deverão ser trocados até 2010, a um custo por scanner que se espera chegar aos US$ 100. Além disso, outros dois grandes bancos do país, o Itaú e o Unibanco estão em fase de pesquisa de soluções similares. Ou seja, desde leitores de padrões das veias de sua mão até a possibilidade de seu reconhecimento através da retina, é bom que nos acostumemos com as autenticações biométricas que nos reservam o futuro. Por hora, eu só lamento mesmo é não poder testar um equipamento destes pessoalmente… Quem mandou não ser correntista do maior banco do país, não é mesmo?2
