Blog Amorim Networks

A crise financeira espalha o pânico mundialmente. Os cibercriminosos não perdem a oportunidade. Segundo dados de empresas especializadas em Segurança da Informação, divulgados nos Estados Unidos, o número de ações danosas ao consumidor via Web, principalmente, praticamente dobrou nos últimos dias.

O alvo principal são as instituições bancárias. Os cibercriminosos aproveitam o temor dos clientes e enviam e-mails, capazes de roubar informações bancárias e dados sigilosos. No Brasil, os internautas devem ficar atentos: As ações começam a aparecer na Web.

“Os cibercriminosos cresceram bastante suas atividades diante da crise econômica. Eles sabem que há um pânico generalizado e aproveitam a situação. Eles ganham dinheiro neste tempo de instabilidade econômica”, afirma Ryan Sherstobitoff, executivo chefe da Panda Security, em comunicado enviado à imprensa norte-americana.

As ações criminosas se baseiam no envio de e-mails que tentam atrair a atenção de internautas desavisados. O prejuízo causado pelos criminosos da Web é estimado em US$ 14 milhões/mês, mas neste período de crise, esse montante deve crescer, avaliam os especialistas da área.

Certo é que todas as empresas que lidam com segurança da informação registraram incremento de ações danosas aos usuários desde que a crise financeira explodiu nos Estados Unidos, no início de setembro.

O MessageLabs, por exemplo, reportou que houve um significativo incremento dos phisings bancários (e-mails voltados para roubar dados dos internautas) no período.

*Com tradução do Cnet.news(www.cnetnews.com)

Fonte:

Convergência Digital

A F-Secure, fabricante de soluções de segurança para usuários domésticos e corporativos, detectou um novo cavalo-de-tróia que atua na internet brasileira, região que já possui a maior quantidade desse tipo de ameaça no mundo (30,7%).

Identificada como Trojan-Downloader:W32/Banload.FUA, o trojan chega por meio de e-mail contendo uma mensagem carinhosa parecendo ser de um amigo que pede à vítima que veja uma foto.

“Após clicar no link da suposta imagem, o usuário faz download de um cavalo-de-tróia que executa dois programas maliciosos, o Trojan-Spy:W32/Agent.BSV e o Trojan-Spy:W32/Banker.ITH, que espionam e coletam os dados da vítima para futuros golpes bancários”, explica Gabriel Menegatti, diretor técnico da fabricante.

De acordo com o executivo, o grande perigo é que a vítima, muitas vezes, nem sabe que foi contaminada, e ao digitar informações confidenciais na internet, como senhas bancárias e nome de usuário, não percebe que esses dados estão sendo coletados.

“Em alguns casos, o trojan também pode agir de outra forma como, por exemplo, acrescentar pagamentos que não são do correntista em algumas transações bancárias”, completa.

Para o especialista, esses ataques que são espalhados como spam tem aumentado devido à crescente utilização da internet pelas pessoas, principalmente em transações bancárias.

“O criminoso vai onde o dinheiro está e esse tipo de crime online acaba sendo mais lucrativo e menos arriscado. Com apenas algumas técnicas é possível saber quando o usuário está online e descobrir todas as informações confidenciais para roubar dinheiro”, finaliza Menegatti.

Em uma pesquisa realizada pela fabricante no ano passado concluiu-se que 30.7% dos bancos atingidos por trojans em todo o mundo são brasileiros, ficando atrás de países como Estados Unidos, com 16,9% e Reino Unido, com 13.8%.

Para se proteger desse tipo de ataque, o profissional aconselha o usuário de internet a ter sempre um antivírus atualizado e não abrir links de e-mails enviados por desconhecidos.

Fonte:

Convergência Digital

Mais uma nova profissão da área de TI.

A atuação do crime organizado, seqüestros de empresários e executivos, invasões à mão armada, uso de explosivos, arrombamentos, fraudes e furtos praticados por funcionários, além dos riscos do próprio negócio, fizeram muitas empresas a se preocupar em proteger também seu patrimônio, pois sofreram ou poderiam vir a sofrer algum prejuízo por qualquer ocorrência dessas ameaças.

Para se prevenirem, perceberam que necessitavam das recomendações de um especialista em segurança empresarial ou até da contratação de um gestor de segurança, seja ele funcionário ou um consultor externo. Quando tem autonomia e apoio, esse gestor pode reduzir drasticamente os riscos, prejuízos e perdas existentes. Há casos em que o sucesso da gestão de segurança chega em até 90% de redução de riscos e prejuízos. Sendo assim, alguns empresários descobriram que essa eficácia garante seus lucros, evitando perdas, surgindo aí a demanda por esse tipo de profissional.

As principais atribuições de um gestor de segurança são: análise de riscos visando apresentar as principais ameaças à organização, seus impactos no negócio, a probabilidade de ocorrência, os possíveis valores de perda máxima se o evento ocorrer, medidas preventivas e os valores de investimento.

O gestor precisa deixar bem claro quanto será o prejuízo x o valor do investimento para demonstrar à diretoria que vale à pena investir em segurança. Além disso, elaborar a política e os planos de segurança (estratégico, tático e operacional) visando proteger à vida, o patrimônio e restaurar as atividades normais da empresa.

Também faz parte de suas responsabilidades elaborar orçamentos de segurança, visando apresentar as melhores soluções (custos x benefícios) do mercado. O gestor é quem deve analisar os fornecedores, seus produtos e serviços e passar para o setor de compras somente fechar a negociação com o fornecedor selecionado.

Dependendo do porte e da cultura da empresa, a função do gestor de segurança é, em alguns casos, atribuída a um gerente de TI, RH ou Financeiro. Dessa forma, pelo acúmulo de atividades e falta de conhecimentos especializados, torna-se limitada, ou seja, está simplesmente mais voltada para compra de equipamentos e administrar serviços de segurança.

O ideal é que o gestor de segurança atue, de forma estratégica e com visão holística, em todas as áreas e operações da empresa como apoio (staff) e deve reportar-se direto ao Vice-Presidente ou assessorar o Presidente. Alguns exemplos: junto com o RH, estabelecendo critérios de contratação e seleção de novos candidatos, análise e verificação do histórico escolar e dos últimos empregos, participar de determinada entrevista para análise do perfil e comportamento e na conscientização da política de segurança para novos funcionários; na Logística, gerenciamento de riscos no recebimento de mercadorias e no transporte para determinada região; com TI, englobando processos e pessoas, proteção de segredo comercial, classificação das informações e quem deve ter acesso a elas; com Jurídico, visando contratos específicos para redução de riscos internos e externos; com o Presidente e alta direção da empresa, analisando os riscos do caminho de ida e volta da residência para o trabalho e das vulnerabilidades da residência e dos familiares para elaborar um plano de segurança pessoal; com Engenharia, na construção de uma nova sede, realizando o diagnóstico de segurança da região, vizinhança, localização, lay-out, acessos, materiais de construção e planejar os recursos humanos, tecnológicos e procedimentos necessários para uma segurança adequada.

Além de trabalhar no ramo empresarial, o gestor de segurança pode atuar de forma mais específica em segurança pessoal, segurança em logística, prevenção de perdas no varejo, sendo um funcionário de uma organização ou até um consultor externo.

O mercado dessa área de atuação tem dado preferência para pessoas pró-ativas e dinâmica, pois essa função trabalha-se com a prevenção e não se esperar acontecer. Quem trabalha com segurança tem que estar preparado para diversas situações que podem ocorrer no dia-a-dia, tais como um assalto ou uma emergência.

É importante conquistar alguma certificação em segurança para comprovar seus conhecimentos. Hoje há duas certificações nacionais: CES – Certificado de Especialista em Segurança pela ABSO (Associação Brasileira de Segurança Orgânica), que exige três anos de experiência em segurança empresarial e 2º grau completo, e a ASE – Analista de Segurança Empresarial pela ABSEG (Associação Brasileira dos Profissionais de Segurança). Nesta última há exigência da formação em curso superior. Se for em qualquer área, exige mais 6 anos de experiência no ramo de segurança ou 4 anos se tiver exercido cargos de chefia ou gerência de segurança; o profissional, que trabalha como gestor de segurança, precisará de apenas 2 anos na função, se possuir um curso de pós-graduação/MBA em segurança para prestar o exame.

Entretanto, há outra certificação que agrega muito conhecimento e que é considerada um dos maiores títulos almejados pelos profissionais de segurança é o CPP – Certified Protection Professional, ou seja, Profissional de Proteção Certificado pela ASIS (American Society For Industry Security). Trata-se de uma certificação internacional existente há 25 anos, com apenas 12.000 no mundo, espalhados em 40 países. Além das certificações acima, é bom fazer cursos específicos na área de segurança, tais como: investigações, fraudes, inteligência competitiva, segurança pessoal, sistemas de segurança eletrônica, técnicas de contra-espionagem, prevenção de incêndios, etc. Também deve-se agregar cursos de: inglês (muito exigido hoje), liderança, gestão de projetos, pessoas entre outros.

Porém, a profissão ainda não está regulamentada, mas já está em andamento na Comissão de Constitucionalidade dois Projetos de Lei: nº 749/2007 (pela ABGS) e 2496/97 (pela ABSEG), ambos objetivam a regulamentação da função do Gestor de Segurança, tornando-a obrigatória e inclusa na CBO – Classificação Brasileira das Ocupações.

Fonte:

Convergência Digital

Os vários patches lançados recentemente pela VMware para corrigir vulnerabilidades em seus sistemas de virtualização devem ser os primeiros de muitos. À medida que os crackers aumentam os ataques a ambientes virtualizados, os problemas vão começar a aparecer, afirma a empresa de segurança Fortify Software.

Na semana passada, a líder do mercado de virtualização soltou alertas a seus usuários a respeito de, pelo menos, 16 vulnerabilidades que afetavam os produtos VMware ACE, VMware Server, VMware ESX, VMware Workstation e VMware Player. Os alertas incluíam links para alguns patches.

Enquanto isso, o US_CERT, órgão ligado ao Departamento de Segurança Doméstica dos Estados Unidos responsável por manter a segurança na internet, afirmava que as brechas poderiam permitir aos crackers executar códigos arbitrários, forçar a negação de serviço, acessar sistemas com privilégios elevados ou obter informações críticas.

Segundo Rob Rachwald, diretor de marketing da Fortify, muitos sistemas convencionais de segurança da informação não protegem completamente os usuários de servidores virtuais. O executivo afirma que as empresas que estão pensando em adotar um ambiente virtualizado devem considerar, também, a revisão de suas infra-estruturas de segurança.

Para outro fornecedor de sistemas de segurança, a Kaspersky, apesar de nenhum grande ataque contra ambientes virtuais ter sido identificado até o momento, a situação indesejada está mais próxima de acontecer do que as pessoas imaginam.

De acordo com David Emm, consultor sênior de tecnologia da empresa, qualquer sistema comumente utilizado se torna um prato cheio para os criminosos. “É como no caso dos navegadores. Sempre se disse que o Internet Explorer era menos seguro, mas, à medida que mais pessoas foram utilizando o Firefox, suas vulnerabilidades começaram a aparecer”, afirmou o executivo.

Fonte:

- IDG Now.

A verdade está aí - e seus dados também. Mesmo sem helicópteros virtuais te seguindo, não significa que as pessoas não sabem quem você é ou o que você está fazendo.

De chefes-espiões a corporações assustadoras, há tantas razões para ser paranóico sobre a vulnerabilidade de seus dados e a potencial perda de privacidade.

Para te ajudar a medir o nível apropriado de histeria, classificamos cada ameaça em nosso Medidor de Paranóia, utilizando uma escala de um a cinco. No caso de uma pontuação mais baixa, o significado é “Não se preocupe, seja feliz”. Já se o medidor atingir o número máximo, a mensagem é “Fique com medo. Muito medo”.

Embora a iniciativa seja bem-humorada, as situações relacionadas à privacidade nem sempre são divertidas.

“Você pode enxergar uma paranóia como apenas uma boa forma de ter um amplo horizonte”, declarou o diretor de estudos de políticas da informação do Cato Institute, Jim Harper. “Há incentivos para que as práticas relacionadas a dados sejam excessivas no futuro. Ser paranóico hoje é ser racional em se proteger amanhã.”

Confira a seguir dez formas de treinar a sua paranóia.

Paranóia nº 1: Seu chefe está te vigiando

Razão nº 1: Privacidade e trabalho não combinam

Você já teve a sensação de que seu chefe está te espiando? Seu instinto está certo. E quanto maior for a empresa, mais provável que ela monitore os e-mails, comunicadores instantâneos e sites que os empregados acessam.

De acordo com uma pesquisa de 2005 da American Management Association e do The ePolicy Institute, a cada quatro empresas, três monitoram a navegação de seus funcionários na web - e mais da metade rastreia seus e-mails.

Além disso, a cada quatro empresas, uma declara ter demitido empregados por abuso de e-mails, e outros 25% dispensaram seus funcionários por navegação inapropriada.

Você pensa que um blog é seguro para divulgar sua opinião? Pense mais uma vez, pois 2% das empresas demitiram empregados devido a posts ofensivos em blogs, de acordo com a edição de 2006 da pesquisa.

Há ainda a checagem das áreas “secundárias” do computador (80% das empresas o fazem, de acordo com o Spherion), câmeras de vigilância e dispositivo GPS no carro da empresa.

Isto não significa que os empregados são ruins, mas que eles têm muito com o que se preocupar: troca de segredos por e-mail e apresentação inapropriada de empregados podem resultar em um processo por mensagens ou navegação imprópria.

Há uma pressão enorme para companhias expandirem a vigilância no local de trabalho, segundo o autor do livro “The Naked Employee: How Technology Is Compromising Workplace Privacy”, Frederick Lane.

“O maior problema é que aumentar a vigilância inevitavelmente coleta informações que não se relacionam ao trabalho dos funcionários, e dá aos administradores a oportunidade de tomar decisões sobre eles - contratar, demitir, promover, etc. - baseadas em critérios além da qualificação e do desempenho profissional”, diz Lane.

Nível de paranóia: 4

Paranóia nº 2: O Google sabe o que você pesquisou no verão passado

Razão nº 2: Cobiçar seus dados pessoais é a ocupação desta empresa

Há pouco tempo, o Google era apenas um querido mecanismo de busca. Agora, ele é um monstro de dados - e suas informações pessoais são sua carne.

A aquisição pendente do DoubleClick deu nova luz à quantidade de dados que a empresa controla - do histórico de buscas a e-mails, calendários, blogs, vídeos e muito mais.

A questão é: o que o Google irá fazer com esta vasta quantidade de informações? O advogado de privacidade global da empresa, Peter Fleischer, aponta que o Google desafiou, sozinho, o Departamento de Justiça em janeiro de 2006, quando este pediu milhões de termos de busca dos quatro principais buscadores do mercado. E o Google concordou, voluntariamente, a tornar anônimos os dados de busca que retém após 18 meses.

Mas os defensores da privacidade estão longe de ser convencidos. A próxima vez que alguém pedir que o Google mostre seus bens, a empresa pode não prevalecer. E se o Google não foi adquirido ou dividido em bits, os dados podem ser sua mercadoria mais valiosa.

Há algo ainda pior: o Google Desktop pode representar um risco de segurança aos dados de seu disco rígido. Uma pesquisa de junho deste ano, do Ponemon Institute, mostra que mais de 70% acreditam que o Google Desktop ainda é vulnerável a ataques que usam scripts maliciosos em múltiplos sites.

A solução? Tome cuidado sobre como você usa os produtos do Google. Se duvidar, desconecte.

Nível de paranóia: 4

Paranóia nº 3: Há um fantasma em sua caixa de entrada

Razão nº 3: Cada chamada pode ser uma conferência com o Tio Sam

Você se lembra quando a CIA era uma força escura, malevolente, que se escondia nas sombras, grampeando os telefones e lendo as cartas pessoais de norte-americanos? Bem, estes “fantasmas” estão de volta.

De acordo com uma conta feita pelo jornal The New York Times, os chamados fantasmas estão combinando bilhões de gravações eletrônicas em busca de padrões que possam identificar o comportamento de terroristas.

A Electronic Frontier Foundation, por exemplo, está processando a AT&T por permitir que estes fantasmas acessem seus centros de dados, e o governo está tentando cancelar o processo sob a afirmação de que estas informações são segredo de Estado.

”Até recentemente, não tínhamos que nos preocupar com o governo nos espiando”, declarou o diretor da consultoria de privacidade Ponemon Institute, Larry Ponemon. “Mas hoje em dia, se alguém decide que você é uma ameaça ou se não gostam de você por alguma razão, você não pode viajar de avião”, explica.

Nível de paranóia: 3

Paranóia nº 4: Ladrões de informação estão estragando seus dados

Razão n º 4: Vendedores de informações falsas colocam o “crédito” ao tirar o crédito de sua reputação.

Qualquer um que te peça dados para checagem de crédito - ou os forneça a outros - possui uma tonelada de informações sensitivas sobre você, que podem não ser precisas e são altamente vulneráveis a quedas. Isto inclui corretores de dados, agências de crédito, bancos e, entre outros, seu chefe.

Um estudo feito em 2004 pelo Public Interest Research Group, dos Estados Unidos, mostrou que 80% dos relatórios continham erros e que um em cada quatro era sério o suficiente para impedir alguém de conseguir crédito ou até um emprego.

De acordo com o Privacy Rights Clearinghouse, em torno de 160 milhões de norte-americanos já tiveram informações pessoais sensíveis expostas por ruptura de dados desde janeiro de 2005.

Mas o que fazer? Descubra que informações sobre você estão circulando. Se conseguir uma cópia de seu relatório de crédito, corrija os erros e opte por abandonar listas sempre que possível - a maioria dos corretores permite que nomes sejam removidos de suas listas de marketing. Em setembro, o ReputationDefender está lançando o serviço MyPrivacy, que tira as pessoas das listas de corretores mediante pagamento de uma pequena taxa.

Moral da história: mantenha os amigos perto e os corretores de dados mais perto ainda.

Nível de paranóia: 3

Paranóia nº 5: A evidência está em você mesmo

Razão nº 5: Aquela carta nas mãos do seu médico pode ser prejudicial à saúde

Se uma agência de segurança está te espiando, provavelmente você está conectado, de alguma forma, a uma investigação terrorista - mesmo que seja apenas porque você convidou seu vizinho nos Estados Unidos, Ahmed, para um churrasco.

Mas a polícia pode te investigar por todos os motivos. Desde o 11 de setembro, muitos grupos dos EUA passaram a ser investigados por “terrorismo doméstico”.

Os agentes do FBI podem, nos EUA, enviar cartas de segurança nacional a funcionários, bancos, provedores de internet ou qualquer outra entidade, sem justificativa prévia. Quem recebe a correspondência deve colaborar com o FBI e não notificar à pessoa em questão que ela está sendo investigada. Entre 2003 e 2005, foram enviadas mais de 140 mil cartas deste tipo, de acordo com um relatório do Departamento de Justiça.

Você pode ser absolutamente correto no país e ainda receber uma carta. Ainda se sente paranóico?

Nível de paranóia: 4

Paranóia nº 6: Grande quantidade de zumbis

Razão nº 6: Hackers, crackers e phishers - precisa dizer mais?

Estamos em meio a uma epidemia de zumbis que não parece diminuir o ritmo. Durante a segunda metade de julho, o volume de spams com variações de um worm chamado Storm cresceu dez vezes.

O resultado é uma rede de zumbis estimada em 1,7 milhões de PCs, segundo a SecureWorks. Este número é grande o suficiente para causar sérios danos à internet.

O grau de seu risco pessoal depende quase totalmente do que você faz ou não online, de acordo com o diretor de produtos da Symantec, Bill Rosenkrantz.

“Por um lado, os crackers estão aí e são criativos para lucrar com o que há disponível financeiramente para eles”, diz Rosenkrantz. “Por outro lado, você tem controle suficiente sobre isto. Se você não faz download de arquivos em seu sistema aleatoriamente, possui uma solução de segurança completa em seu desktop e mantém seu browser e sistema operacional atualizados, o risco é provavelmente três em uma escala de cinco - mas se você não faz isso, seu risco vai para 5”, afirma.

Nível de paranóia: 3

Paranóia nº 7: Hollywood quer te exterminar

Razão nº 7: Aprisionar o último single do 50 Cent pode se traduzir em tempo

Embora indústrias de música não estejam te espionando, no caso da Recording Industry Association of America e a Motion Picture Association of America, eles têm gente pra isso.

Especificamente empresas como a BayTSP e a SafeMedia, estas se infiltram em redes P2P para gravar os IPs dos “trocadores” de músicas, junto aos tipos e números de arquivos que estão compartilhando. Um endereço IP não é uma prova positiva de sua identidade, mas é o suficiente para a maioria dos processos civis.

Se você não usa redes P2P, provavelmente está a salvo. Caso contrário, utilizar redes anônimas de IP, serviços de web proxy ou conexões Wi-Fi abertas pode tornar sua identidade muito mais difícil de traçar, segundo o tecnólogo da Electronic Frontier Foundation, Peter Eckersley.

Em todo o caso, tendo em vista diversos processos, é sempre bom ter o telefone de seu advogado em mãos.

Nível de paranóia: 2

Paranóia nº 8: Seu provedor de internet sabe demais

Razão nº 8: Logs detalhados de tudo que você já fez online

Sendo a porta de entrada para a comunicação pessoal na internet, as empresas provedoras de internet poderiam criar logs detalhados de tudo que você já fez online: e-mails, navegação, comunicadores instantâneos e outros.

O potencial para utilizar estas gravações em investigações criminais (ou algo pior) é grande, o que justifica alguns advogados pedirem uma lei que exija que os provedores retenham os dados do usuário por um ano ou mais.

“Nós confiamos mais nos provedores do que deveríamos”, diz o diretor de estudos de políticas da informação do Cato Institute, Jim Harper. “Você pode não ver, mas existe uma grande correnteza de dados saindo de sua casa para os provedores. É bobagem confiar que eles irão nos proteger de seus próprios interesses ou do interesse do governo.”

E são os interesses de terceiros que causam arrepios nos usuários. “Já ouvi que alguns provedores estão revendendo dados anônimos de seu tráfego”, acrescenta Harper.

Nível de paranóia: 3,5

Paranóia nº 9: Sua conexão Wi-Fi está completamente aberta

Razão nº 9: Você tem uma conexão Wi-Fi segura? Bom para você. Mas seus vizinhos podem não ter tanta sorte.

De dez redes de comunicação pessoais, três são inseguras, de acordo com uma pesquisa de 2006 da Wi-Fi Alliance. A maior surpresa é que a cada quatro redes Wi-Fi corporativas, uma está totalmente aberta, revelou uma pesquisa de maio de 2006 da RSA.

A RSA descobriu ainda que de 20% a 30% dos pontos de acesso na maioria das cidades pelo mundo utilizam o nome de usuário e a senha fornecida por seu fabricante, permitindo aos que entendem do assunto fazer o login no dispositivo e alterar sua configuração de segurança.

Além de diminuir a velocidade de transferência de dados, as pessoas que exploram conexões wireless enquanto transitam pela cidade podem explorar a sua para enviar spams, fazer downloads e acessar suas pastas compartilhadas.

Utilizar uma rede Wi-Fi aberta não é seguro também. Você poderia se conectar à rede de um espaço público, conectando-se a algo configurado para se passar por uma rede legítima - mas operada por alguém com um laptop e um ponto de acesso móvel, nota o vice-presidente da Secure Computing, Paul Henry.

Seus dados, senhas e outras informações sensíveis poderiam ser roubados - o cracker ainda poderia ter acesso à sua rede corporativa ou até mesmo roubar sua identidade.

Se a internet em sua casa ainda não está fechada, é hora de fazê-lo. E caso você precise acessar redes Wi-Fi abertas, utilize criptografia do início ao fim para os dados mais sensíveis.

Nível de paranóia: 2,5

Paranóia nº 10: Você é seu pior inimigo

Razão nº 10: Ter 185 milhões de amigos pessoais também tem seu lado ruim

Quando a questão é compartilhamento de informações pessoais (às vezes pessoais demais), muitas pessoas são seus próprios piores inimigos.

Tudo bem publicar todos os seus dados online. O problema surge quando, em uma grande entrevista de emprego, te pedem para explicar como você foi parar em um vídeo constrangedor.

Aproximadamente um a cada cinco contratantes olham uma rede social ao tomar decisões em uma seleção, segundo uma pesquisa da rede social européia Viadeo. E com a proliferação destes sites, o número tende a crescer.

“Em geral, as pessoas deveriam se preocupar mais com a imagem que divulgam em sites como MySpace ou Facebook”, diz o diretor da Privacy Rights Clearinghouse, Beth Givens. “Cada vez mais empresas buscam estes perfis, e você não vai querer parecer um bêbado na praia.”

Ok, você é maravilhoso - mas é preciso detalhar isto ao mundo? Talvez seja a hora de considerar ser um pouco mais anti-social.

Nível de paranóia: 2

Fonte:

- IDG Now

Há muito tempo se fala dos três pilares fundamentais da segurança: confidencialidade, integridade e disponibilidade. Mas esse assunto nunca se fez tão presente e visível quanto nos dias de hoje. O popular pen drive, também chamado de USB flash memory ou ainda memory stick, por exemplo, é uma ótima expressão do que se pode ter no bolso na forma de um chaveiro. Entretanto, mesmo com seu diminuto tamanho, ele reúne todos os aspectos da segurança da informação com os quais todos nós devemos nos preocupar.

Para começar, à medida que seu preço baixa, seu espaço de armazenamento aumenta e seu uso diário se torna mais popular, potenciais problemas de segurança se tornam mais evidentes, e por isso mesmo, é importante repensar sua conduta de uso, adotar algumas medidas relativamente simples e assim garantir que seus dados estejam protegidos.

Proteção, neste caso, transcende o acesso indevido em caso de perda do dispositivo. Você não só precisa pensar em como evitar que seu conteúdo caia em mãos indesejadas, como evitar que seus dados se percam definitivamente ou ainda que estejam acessíveis que você mais precisar deles.

É com este pensamento prático que recomendo algumas medidas como o resultado de experiências pessoais e lendas urbanas para manter seu pen drive a salvo:

• Pode parecer óbvio, mas como qualquer dispositivo físico que contém componentes eletrônicos, evite expor a temperaturas extremas, água e ainda evite quedas que possam comprometer sua integridade. Apesar de muitos o utilizarem como chaveiro, ele requer mais cuidados que um chaveiro tradicional e claro, não o esqueça no bolso da calça ao colocá-la para lavar na máquina.

• Ao utilizá-lo em seu computador, lembre-se que ele receberá energia elétrica por conta da conexão. Este é sem dúvida seu momento mais crítico. Apesar de não existirem partes móveis, é preciso ter cuidado ao desconectá-lo, pois se ele não for ejetado (o que corta a alimentação elétrica) e ainda for retirado sem cuidado fazendo movimentos laterais, pode haver o contato indevido da fonte de energia com o canal de dados, podendo queimá-lo definitivamente.

• Quando o assunto for confidencialidade, é claro que mantê-lo fisicamente em local seguro ajuda, contudo, proteções adicionais por software podem definitivamente garantir o seu sono. Muitas marcas já trazem embutido algum software de criptografia, mas não confie cegamente neles se o valor dos dados que transporta for muito alto. Prefira soluções profissionais que você já conheça e confia como, por exemplo, o PGP. Mas cuidado com as soluções profissionais demais que dependem de software instalado no computador para lhe permitir o acesso, pois assim você vai perder toda a portabilidade que a tecnologia do pendrive oferece.

• Sim, tamanho é documento, mas desta vez, inversamente proporcional. Quero dizer, sob a ótica da segurança é melhor possuir dois dispositivos de 4GB do que apenas um de 8GB, pois em teoria é mais difícil perder ou ter problemas físicos com os dois ao mesmo tempo, como a velha história dos ovos na mesma cesta. Além disso, não é por que se tem agora muito espaço, que você vai precisar carregar sua casa nas costas, quero dizer, levar todo o seu banco de dados no bolso. Seja seletivo! Você vai se lembrar disso se tiver a má sorte de um dia perder seu dispositivo desprotegido.

• Quando o assunto é integridade dos dados, é importante evitar qualquer desconexão durante o processo de gravação. Não é certo que terá problemas, mas as chances aumentam consideravelmente. Da mesma forma é importante respeitar o formato adotado pelo dispositivo ou ainda o formado definido pelo dispositivo principal que o utiliza. Significa dizer, por exemplo, que se ele tiver sido formatado e vem sendo usado em uma câmera fotográfica - o que não é muito comum, pois nelas os cartões de memória são mais utilizados - que se evite alterar dados nele a partir de outras fontes de armazenamento ou mesmo através do computador. É possível que isso corrompa os dados originais impedindo que eles sejam lidos novamente por ambas as fontes.

• Se o problema estiver relacionado à disponibilidade, muito cuidado. É natural que se apague acidentalmente uma informação e imediatamente se comece um misto de reza e aplicação de diversas ferramentas de recuperação. Cuidado! Antes de qualquer coisa é importante interromper qualquer nova gravação para evitar que haja uma sobreposição de dados, reduzindo em muito suas chances de recuperação. O próximo passo é descobrir mais detalhes sobre o dispositivo através do site do fabricante onde, muitas vezes, já é possível encontrar disponíveis algumas ferramentas para este propósito. Se este procedimento não for efetivo, procure adotar uma única ferramenta séria de recuperação de dados. Nessas horas a Internet funciona bem e é possível ter uma dica pelas experiências de outros usuários. Lembre-se que a calma jogará a seu favor. Se não for possível recuperar os dados hoje, tente outro dia de maneira mais apropriada. Não há sensação mais quente do que ver seus valiosos dados perdidos, a não ser a de vê-los recuperados no final.

O assunto pareceu breve, mas acabou se estendendo e poderia ir até mais longe. De qualquer forma, ficam aqui essas dicas na esperança de ajudá-los. E lembre-se: mesmo com todos os cuidados esses dispositivos não foram feitos para armazenar informação por mais de dez anos.

Fonte:

- IDG Now.