O mês de maio trouxe uma série de novos artigos sobre as últimas dicas de segurança e histórias super interessantes sobre os perigos do Facebook e a mais recente parceria da Kaspersky Lab. Se você perdeu algum das nossas notícias de última hora, não se preocupe! Nós resumimos neste post os princippais destaques do mês para você se manter informado sobre tudo que envolve a segurança cibernética.
Os Cinco piores erros que você pode fazer no Facebook
Embora o Facebook seja uma rede social divertida e fácil de usar, ela traz consigo uma lista de perigos. Há erros comuns que são típicos, cada um deles pode custar seu dinheiro, sua reputação ou boas relações com as pessoas que você valoriza. Então, para evitar esses perigos, nunca publique sua biografia publicamente, especialmente quando se trata de compartilhar seu aniversário. Além disso, certifique se ao postar suas atualizações de status, elas são visíveis apenas para seus amigos e não se esqueça a importância de que esses amigos sejam conexões reais. Ao compartilhar essas atualizações, também evite divulgar asua localização, pois isso pode fazer com que um cibercrimoso identifique seu paredeiro. E, finalmente, sempre certifique-se de escolher uma senha difícil para reduzir ainda mais o risco de ataque.
Estudo mostra que a maioria das casas inteligentes são vulneráveis
As casas inteligentes são exatamente o que você pensa que são. São lares cujo eletrodomésticos, sistemas de aquecimento e refrigeração, iluminação, detectores de fumaça e/ou fechaduras estão conectados a uma rede local e à internet, junto com os PCs e telefones móveis dos habitantes da casa. O sistema da “smart home” permite que os usuário manipulem e monitore à distância todos os dispositivos conectados a ele.
O problema é que pesquisadores têm encontrado falhas nos sistemas de segurança inteligentes, nas fechaduras e todos os dispositivos conectados à Internet. Recentemente, nossos amigos da AV-Teste.org descobriram que quatro de sete kits de segurança de casas inteligentes colocados à prova, foram inseguros. Obviamente, sete não é um número representativo à nível geral, é importante destacar que os dispositivos vulneráveis analisados na pesquisa poderiam ser explorados por ataques internos e, em alguns casos, ataques externos dirigidos à rede da casa ou às máquinas conectadas a ela. Os sistemas analisados pela AV-Test foram: iConnect de ESaver, tapHome de EUROiSTYLE , Gigaset’s Elements, iComfort de REV Ritter, RWE’s Smart Home, QIVICON da Deutsche Telekom e Xavax MAX de Hama. Entre estes, a AV-Test descobriu que apenas os sistemas da Gigaset’s, RWE e QIVICON estavam bem equipados para se defenderem contra tentativas de ataques e acessos não autorizados. Os kits iComfort e tapHome tinha vulnerabilidades capazes de serem exploradas localmente, ou seja, que um cibercriminoso teria que estar dentro da casa para explorar os bugs. Mais sérios são os casos dos sets da iComfort e Xavax MAX que poderiam ser explorados tanto estando no local quanto à distância. Cada produto oferece uma série de características diferentes. Em geral, estes são sistemas de controle de eletricidade, aquecimento e segurança; sistema de monitoramento para janelas e portas dos quartos. De um modo geral, um cibercriminoso pode manipular sistemas conectados a fim de causar danos a eles (apagar o aquecedor e fazer com que os tubos estourem no inverno).
Kaspersky ajuda desenvolvedores do videogame Watch_Dogs
Hoje em dia, a privacidade e vigilância generalizada são temas de conversa que chegam bem fora da comunidade da tecnologia. Os cidadãos comuns não têm muitas opções quando se trata de combater a disseminação da tecnologia de vigilância, mas o novo videogame da Ubisoft “Watch_Dog” dá aos jogadores a capacidade de dobrar uma infra-estrutura de vigilância onisciente, no papel do vigilante Aiden Pearce. O jogo foi desenvolvido com a colaboração de dos especialistas em segurança da Kaspersky Lab, depois que o script foi enviado para a Kaspersky para uma verificação da realidade. Ela acabou nas mãos de Vitaly Kamluk,o principal pesquisador de segurança da Kaspersky, que gostou do que viu. “Eu só fiz algumas pequenas sugestões”, disse Kamluk durante uma entrevista em abril, na sede da Ubisoft em San Francisco durante um evento de pré-visualização do Watch_Dogs. “Não têm situações exageradas e fantasiosas como as dos hackers dos filmes de Hollywood. É a vida real”.
Uma nova variante do ransomware direcionada aos usuários de Android poderia está associada com o abominável CryptoLocker, que é conhecido sua capacidade de criptografar arquivos importantes do computador e exigir resgate para descriptografá-los. Na realidade esta evolução não surpreende, considerando que o Android é muito amplo e a cada dia os cibercriminosos criam novas amostras de malware dirigidos aos dispositivos Android. Um conhecido pesquisador de segurança que trabalha com o paseudônimo “Kafeine”, descobriu este malware e falo dele no seu blog “Malware don’t need Coffee”. Ele descobriu que quando as vítimas dos dispositivos Android se conectamr a um domínio infectados com este tipo de malware, eles são redirecionados para um site pornográfico que implanta um pouco das técnicas de engenharia social para enganar os usuários em um arquivo de aplicativo que contém o malware. Aqui está a boa notícia: para que o sistema seja infectado você realmente tem que instalar o malware, não é algo que se faz automaticamente; por isso recomendamos apenas a instalação de aplicativos a partir da loja legítima do Google Play. ” O locker é uma espécie muito eficaz”, afirmou Kaffeine em uma explicação sobre o malware. “Você pode ir na sua tela inicial, mas nada parece funcionar. Abrir o navegador ou aplicativos ou entrar no painel de controle são atividades que sempre trará o Locker de volta”.
Keep Calma e permaneça vigilante: OpenID e OAuth são vulneráveis
Algumas semanas atrás após a descoberta perturbadora do erro Heartbleed, temos um novo problema aparentemente generalizado com o que se preocupar. As questões foram encontradas dentro de protocolos populares da Internet: OpenID e OAuth; o primeiro é utilizado quando você efetua login em sites usando o seu login existente no Google, Facebook, LinkedIn, etc; e o último entra em jogo quando você autorizar sites, aplicativos ou serviços com Facebook/G+/etc., sem realmente revelar sua senha e login para sites de terceiros. Estes dois são tipicamente usados em conjunto, e, como se vê pode colocar suas informações em mãos erradas. Você pode encontrar uma explicação mais técnica sobre isso no Threatpost, mas basicamente é assim: Primeiro, um usuário visita um site de phishing malicioso, que tem o típico botão “Login com Facebook”. Uma vez que você clique no botão, uma verdadeira pop-up Facebook/G+/LI será exibida, solicitando que você digite o login e senha de autorização para acessar seu perfil de usuário. Finalmente, a autorização para utilizar o perfil é enviada para o local errado (phishing), utilizando o redirecionamento impróprio e um cibercriminoso recebe a devida autorização (símbolo OAuth) para acessar o seu perfil com as permissões que o aplicativo original tinha. Para os mais cautelosos, a solução à prova de balas seria desistir de usar o OpenID e aqueles botões acessíveis “Login com … ” por alguns meses. Para evitar o obstáculo com dezenas de memorização ou mesmo centenas de logins diferentes para vários sites, você pode finalmente começar a usar um gerenciador de senhas eficiente. No entanto, se você pretende continuar usando a autorização OpenID, não há perigo imediato. Você apenas tem que estar muito atento e evitar golpes de phishing. Se você efetuar login em um serviço usando Facebook/Google/etc. certifique-se de que você abriu um site usando um endereço digitado manualmente ou um marcador, não um link dos seus e-mails ou mensagens. Verifique a barra de endereços para evitar visitar sites incompletos e não se inscreva para novos serviços com OpenID, a menos que você tenha 100% de certeza de que o serviço é respeitável e você está no site legítimo. Além disso, use uma solução segura de navegação como o Kaspersky Internet Security – MultiDispositivo, que impede seu navegador de visitar lugares perigosos, incluindo sites de phishing.
Tradução: Juliana Costa Santos Dias