ASPECTO.Net - Notícias

Folha de S. Paulo - Informática - 02/07/2008 - [ gif ]

Assunto: Segurança Online

Metade dos internautas que possuem uma conta de e-mail no Brasil diz ter recebido spams, no ano passado. Dessas pessoas, 48% afirmam receber tais mensagens todos os dias. O principal problema relatado por quem recebe essas mensagens é o gasto desnecessário de tempo (69%). A pergunta aceitava resposta múltipla. A pesquisa, do Comitê Gestor da Internet no Brasil (CGI.br), traz ainda um dado surpreendente: uma em cada cinco pessoas que recebem spam não se incomoda, porque gosta de receber as mensagens. De acordo com o Cert.br, centro de segurança ligado ao CGI, o serviço internacional SpamCop relatou 44.404 reclamações de spams enviados do Brasil.

Centro de distribuição
“O país é um dos que mais recebem esse tipo de notificação”, diz Henrique Faulhaber, conselheiro do CGI e líder do grupo de trabalho anti-spam. “Mas ele funciona como um “hub” [centro de distribuição], a origem não é aqui.” Faulhaber explica que os usuários brasileiros são contaminados principalmente por mensagens oriundas da Ásia. Os spammers, então, tomam o controle dos PCs, que começam a reenviar as mensagens.

Código
De acordo com ele, é preciso que as empresas que utilizam mensagens comerciais por e-mail adotem um código de conduta, “para que não sejam confundidas” com spammers. Para Faulhaber, como os e-mails podem ter origem em qualquer país, “a questão não passa só pela legislação”, mas também por atenção dos usuários, dos serviços de telecomunicações e dos negócios que utilizam o e-mail. (GVB)

33%
de quem recebe spam aponta como um problema o conteúdo impróprio das mensagens

É interessante a tolerância analisda pela pesquisa. Acredito que ela exista sobretudo pela falta de informação do perigo que spams podem trazer pela não autenticidade dos remetentes. É como abrir a porta da sua casa e servir um cafezinho para qualquer pessoa que toque a campainha.

http://www.nic.br/imprensa/clipping/2008/midia305.htm

O envio de e-mails de newsletter é algo sensível para os servidores de hospedagem. Ainda que já tenhamos esse tipo de propaganda, ainda é grande o desconhecimento de como realizar o envio de maneira que não sejam identificados como fonte de spam.

O que é spam?

Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem é chamada de UCE (do inglês Unsolicited Commercial E-mail).

O conceito é simple mesmo. Ainda que seja uma só mensagem, caso ela seja indesejada do destinatário já a caracteriza como spam e quem a recebeu pode reclamar aos órgão de controle de abuso da internet.

Diante da reclamação, o IP do remetente vai para análise e inicia-se uma busca por novas reclamações provenientes de envio de mensagens por aquele IP ou de mensagens iguais enviadas por aquele IP (nesse caso, a caracterização de de spam para envio em massa - bulk mail). Após a caracterização o IP entra no banco de dados desses órgão, que propagam a informação para os servidores de e-mail espalhados na internet, que começam a recusar e-mails que vierem daquele IP, ou seja, qualquer domínio que utilize aquele IP para o envio de mensagens é recusado, ainda que não tenha sido o domínio responsável pelo spam.

Nós, da ASPECTO.Net, queremos prevenir nossos clientes destes problemas. Vamos utilizar este espaço, que será sempre atualizado, para divulgar a política de utilização e as práticas corretas do envio de listas de e-mail (as newsletters).

1. O envio deve ser para um destinatário por vez e não para mais de um endereço ao mesmo tempo;
2. O envio precisa ser feito com um período entre uma mensagem e outra (de 5 a 10 minutos, por exemplo);
3. É imprescindível monitorar o retorno dos e-mails inexistentes (ou outros erros) e removê-los da lista de envio;
4. Dar a opção em todas as mensagens enviadas para que o destinatário possa se descadastrar da lista.
5. Não iniciar o primeiro contato com o cliente por e-mail, ou seja, o envio do primeiro e-mail, sem prévia autorização do cliente, caracteriza a prática de spam.

Leia também:

• Boas práticas - antispam.br
• Spam e a defesa - vídeos
• Vídeos da campanha antispam.br
• A diferença entre o e-mail marketing e o spam

Há dois novos vídeos lançados pelo antispam.br. Vale a pena conhecer mais sobre o Spam e o que podemos fazer para combatê-lo (ou pelo menos ajudar). Spam e A Defesa. Assista e divulgue.

CGI.br lança dois novos vídeos da campanha Antispam.br São Paulo, 30 de novembro de 2007

Spam e proteção do usuário na Web são os temas abordados pelos episódios

O Comitê Gestor da Internet no Brasil (CGI.br — www.cgi.br), através de sua Comissão de Trabalho Anti-spam, apresenta dois novos vídeos educativos da campanha Antispam.br: “Spam” e “A Defesa”. Os vídeos possuem recomendações e dicas sobre como o internauta deve se comportar para aumentar a sua segurança e se proteger de possíveis ameaças. “Os usuários têm procurado cada vez mais informações para se proteger dos ataques e incidentes da rede, por isso a importância de criar este material interativo com uma linguagem acessível”, explica Marcelo Fernandes, conselheiro do CGI.br.

O vídeo “Spam” demonstra aos usuários os diversos problemas que podem ser causados pelas mensagens não-solicitadas. Propagação de vírus e de produtos supostamente milagrosos, assim como aspectos relacionados à segurança da rede e do usuário, são alguns dos tópicos abordados pela animação. O objetivo do episódio “A Defesa” é apresentar ao usuário maneiras e dicas de como se proteger de ameaças na Internet para navegar com mais segurança na rede.

A iniciativa amplia ainda mais o acesso às informações sobre proteção na Web, transmite conceitos importantes de forma lúdica, leve e interativa, e atinge o público potencial, ou seja, os usuários de Internet em geral. A campanha tem o apoio do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br).

A campanha

No total, quatro animações compõem o material da ação. “Navegar é preciso” e “Os Invasores” foram os dois primeiros vídeos da série educativa. O primeiro apresenta o funcionamento da Internet, suas vantagens, riscos e a necessidade de proteção, principalmente de mecanismos como o firewall. O segundo trata dos tipos de códigos maliciosos e como eles podem entrar no computador do usuário, reforçando que a maioria dos códigos tem mais de um vetor de entrada e por isso mais de uma proteção é necessária.

Todos os episódios estão disponíveis para download no site Antispam.br (http://www.antispam.br/videos). Com distribuição livre, podem ser baixados em diferentes formatos, tamanhos e resoluções, assim podem ser visualizados em diversos sistemas operacionais e conexões, discada ou banda larga.

Sobre o Comitê Gestor da Internet no Brasil - CGI.br

O Comitê Gestor da Internet no Brasil coordena e integra todas as iniciativas de serviços Internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados. Mais informações em http://www.cgi.br/

Sobre o CERT.br

O CERT.br é o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Mantido pelo Comitê Gestor da Internet no Brasil, o grupo é responsável por receber, analisar e responder incidentes de segurança em computadores envolvendo redes conectadas à Internet no Brasil.

A Juliana Barreto, da Info, divulgou que o Google ajuda a descobrir senhas de blogs, especificamente o Wordpress. Outros meios de comunicação também divulgaram, mas mencionei a Info por ser um canal de renome quanto as informações de tecnologia (embora o MeioBit já se tornou o canal mais poderoso e correto em minha opinião).

Tudo não passou de uma notícia divulgada apressadamente, sem uma apuração cuidadosa do fato. Levo em conta que uma jornalista que esteja trabalhando na Info conheça algo de tecnologia, ou pelo menos sabe onde procurar informações que dêem embasamento às suas informações e notícias. Tivemos, infelizmente, uma disseminação da insegurança àqueles que utilizam o wordpress.

O Élcio, preocupado com a falta de segurança noticiada, resolveu apurar e o resultado é muito diferente do divulgado. Convido-os a visitar o Blog Fecha Tag para ver o que ele escreveu (e também convido-os a acompanhar, pois há conteúdo de primeira qualidade). De qualquer forma, peço licença a ele para copiar aqui:

Para começar, leia o trecho a seguir desta notícia na INFO Online:

Mas, quando tentou o Google, o especialista descobriu que serviço de publicação de blogs Wordpress é vulnerável a pesquisas específicas. O site armazena dados como hashes MD5, que podem conter senhas, de uma maneira visível ao buscador. Bastaria informar um trecho do algoritmo para encontrar dados relacionados ao usuário e suas senhas.

Uau, belo trabalho jornalístico esse hein? Espalhando o medo. Imagine a reação de um leigo, que tenha um um blog Wordpress, ao ler essa pérola da desinformação. Não parece, lendo esse texto, que o Wordpress tem uma seríssima falha de segurança que pode ser explorada usando o Google? Que se alguém “informa um trecho do algoritmo” vai descobrir uma porção de dados seus? Bom, fui ao site do sujeito e li o artigo em que ele explica como quebrou a senha.

O que aconteceu é que o Wordpress do tal Murdoch foi invadido por um cracker, que criou uma conta de usuário. O Wordpress guarda suas senhas em um formato chamado MD5, um formato de criptografia que transforma qualquer senha num hexadecimal de 32 caracteres, assim:

• “Sylar” = 7bef5e9683a92c37a266283bf229c2e8
• “Cap. Nascimento” = 40a4b69d3132bd562dc03e2de30fda3e
• “Pat Morita” = 261f3880c4eab23075356dbc6b5befc3

O Wordpress faz isso para proteger você. Se alguém invadir seu blog, mesmo assim não vai descobrir sua senha. Então o Murdoch não tinha a senha do sujeito que invadiu o blog dele, tinha apenas o texto “20f1aeb7819d7858684c898d1e98c1bb”. O jeito comum de se descobrir essa senha é o chamado ataque de dicionário. Você consegue um enorme dicionário de palavras e nomes comuns, e faz um programa que converte cada um deles para MD5. Se, ao converter algum, você encontrar o tal texto “20f1…”, pronto, você descobriu qual é a senha.

O problema é que esses ataques levam tempo, pois o computador tem que processar milhões de palavras. E se a senha não for uma palavra comum do dicionário, ela não vai ser encontrada. Assim, “banana” vai ser encontrada, mas “Xbanana43″ não. Acontece que palavras muito, muito comuns, como “banana”, ou nomes de pessoas, provavelmente já tem seu hash MD5 publicados em alguma página na web. E, se está publicado, o Google encontra. Por exemplo, procure pelo MD5 de banana.

Então, ao procurar o MD5 da senha do invasor, o Murdoch achou páginas como essa aqui, uma lista de pessoas chamadas “Anthony”. Ele resolveu tentar então “Anthony” como senha, e funcionou.

Perceba que isso não torna o Wordpress mais vulnerável, porque a senha ia ser descoberta de qualquer maneira, só ia levar um pouco mais de tempo. E para fazer isso, o sujeito tem que ter acesso ao banco de dados com as senhas. Ou seja, já tem que ter invadido o sistema.

Foi só isso. Não há nenhuma vulnerabilidade no Wordpress que, se alguém vai ao Google e “informa um trecho do algoritmo”, vai descobrir seu CPF e número de cartão de crédito. Aliás, será que esse repórter sabe o que significa “algoritmo”? Aprendi quando era criança, quando minha mãe ouviu meu primeiro palavrão, que gente não devia usar palavras que a gente não sabe o que significa.

Você que usa Wordpress, não precisa se desesperar. Só não use senhas óbvias, não acredite em tudo o que você lê por aí e não entre em pânico.

Só lembrando: em Janeiro tem Oficina de Wordpress na Visie

(Publicado no meu Blog)

Leia no artigo Protector - Segurança no seu XOOPS dicas de como aplicar medidas de segurança para o uso do XOOPS.