Pesquisa de empresa de segurança alerta para combinações vulneráveis a cyberataques.

Um estudo feito por uma empresa de segurança de dados dos Estados Unidos revelou quais são as senhas mais comuns usadas pelas pessoas para acessar sites e serviços pela internet.

A empresa Imperva analisou 32 milhões de senhas recentemente reveladas após um ataque de hackers ao site RockYou.com.

Na lista, entre as dez senhas mais comuns, estão cinco versões mais longas ou mais curtas da sequência de algarismos de 1 a 9.

Em primeiro lugar está a senha “123456″, usada por cerca de 1% dos usuários do RockYou.com.

Outras senhas incluem nomes próprios, gírias, palavras conhecidas e senhas triviais, compostas por letras vizinhas no teclado, por exemplo.

O estudo também identificou que muitas das senhas são usadas também em outros sites, incluindo os de redes de relacionamento e de lojas virtuais.

20 anos

“As pessoas precisam entender o que a combinação de senhas fracas significa no mundo de hoje, em que os cyberataques são automatizados: com um mínimo esforço, um hacker pode ganhar acesso a uma nova conta a cada segundo – ou mil contas a cada 17 minutos”, explicou Amichai Shulman, um dos diretores da Imperva.

Segundo a empresa, quanto mais curta e simples a senha escolhida, mais suscetível o usuário está aos ataques.

“O problema mudou muito pouco nos últimos 20 anos”, disse Shulman, referindo-se a um estudo de 1990, realizado pela Unix e que mostrava um padrão de escolha de senhas parecido com os de hoje.

Em geral, sites recomendam que as senhas contenham algarismos e letras, além de caracteres em letras maiúsculas e minúsculas.

Agradecimentos Globo.com

A missão do novo IronKey, como o próprio nome sugere, é manter os segredos que carregam um pen drive, realmente seguros.

Os pen drives realmente são brilhantes. Mas o que parecia impossível, agora se torna realidade. O IronKey metal-clad utiliza tecnologia de classe militar, e está disponível nos modelos de 1GB, 2GB e 4GB. Uma micro-plaqueta principal permite que não se tente mais do que dez vezes senhas erradas. Após a décima tentativa, ele se auto destrói e ninguém consegue obter os dados ali armazenados.

Até este lançamento, era muito fácil o conteúdo ali armazenado se perder, ou se extraviar. O IronKey tem criptografia fora do wazoo, com senhas dobradas e armazenadas em uma área escondida. O usuário também pode armazenar seus dados on-line. Com o seviço de back-up, ele recupera seus dados caso tenha sido extraviado ou danificado o aparelho.

IronKey
Preço sugerido: U$ 149
www.ironkey.com

Um estudo feito pela Universidade do Michigan (EUA) revelou que mais de 75% dos sites de bancos não são inteiramente seguros como dizem ser.O estudo, que cobriu 214 instituições financeiras americanas, foi baseado em erros de design e práticas de segurança impróprias. Nenhuma dessas falhas representam problemas catastróficos, mas podem facilitar aos hackers terem acesso aos usuários e senhas das pessoas.

Sistemas de login inseguros

Metade dos bancos examinados tinham sistemas de login “seguros” em páginas inseguras (que não utilizavam o protocolo SSL). De acordo com alguns estudos, não utilizar um protocolo SSL nas páginas permite que ataques de intercepção sejam feitos: seus dados são interceptados na hora em que são enviados ao servidor do banco. Estudos mostraram que a maioria dos bancos utilizam segurança nas páginas internas do seu site, mas deixam a página de login sem segurança.

Colocando informações de contato em uma página insegura A maior falha detectada (reprovou 55% dos bancos): um ataque similar ao do método acima podia fazer com que o hacker alterasse as informações da página de contato, fazendo com que os usuários entrassem em contato com um call-center falso que poderia pegar seu nome de usuário e senha.

Redirecionando a páginas externas ao banco Quando usuários são redirecionados a páginas de serviços tercerizados que não pertencem ao banco, o site não avisa aos usuários que estão saíndo do domínio. Um usuário pode ficar confuso com isto, e alguns sites podem ser comprometidos por hackers.

Usando CPF ou endereços de e-mail como ID No Brasil, isso já não acontece tanto. Mas vários bancos utilizam endereços de e-mails ou números de segurança social (similar ao nosso CPF) como “nome de usuário”. Os bancos deveriam permitir aos usuários criar ID’s específicas, assim como ter uma política contra senhas simples. Porém, 28% dos bancos testados não tinham.

Enviando informações seguras de forma insegura Reset de senhas e extratos bancários devem ser enviados de forma segura: senhas, por exemplo, nunca deveriam ser enviados em forma de texto simples. No entanto, 31% dos bancos reprovaram neste teste.

Isso visa mostrar que o Brasil já tem uma preocupação maior com a segurança online, usando dados utilizados nos bancos mesmo (como número de agência e conta como ID, e uma senha específica para o acesso, diferente da senha do cartão). Engraçado como um país de primeiro mundo ainda tenha problemas tão grandes assim. Ainda mais nessa área.

Nos dias de hoje, chega até a ser assustador que falhas assim existam.

Agradecimentos ao Mundo Tecno.

Luciano Wulff já está em Pequim para ajudar a cuidar da área de segurança da informação dos jogos.Como não poderia deixar de ser, a infra-estrutura de tecnologia da informação de uma Olimpíada é enorme. Na China, país que está ansioso para provar ao mundo que as suas condições tecnológicas estão par a par com a das maiores potencias ocidentais, isso será ainda mais verdadeiro.

Os números são impressionantes. Respire fundo: mil servidores em dois data centers; mil dispositivos de segurança e rede; 10 mil computadores; 4 mil impressoras; 4,8 mil terminais dedicados ao sistema de resultados; 2,45 mil terminais CIS (Commentator Information Systems); 2,35 mil terminais de intranet. Tudo isso com mais de 200 mil horas de testes (garante a integradora oficial Atos Origin) para que os 17 dias do evento transcorram sem problemas técnicos para as mais de 200 mil pessoas envolvidas.

A vida do pessoal de TI que vai cuidar dos jogos será pesada. Um entre os quatro mil profissionais de tecnologia envolvidos com a Olimpíada será o brasileiro Luciano Wulff, especialista em segurança da informação com mais de 10 anos de experiência no tema.

A primeira experiência em “um projeto olímpico”, conta Wulff, aconteceu em 2005. “Participei de uma seleção interna na Atos Origin para participar dos Jogos de Inverno de Torino, Itália. Trabalhei na equipe de segurança responsável pela infra-estrutura de TI e aplicações customizadas para o evento”, relata. Foram três meses imersos na Itália.

Com esse histórico na bagagem não foi difícil ir aos jogos na China. Luciano está em Pequim há quatro meses, passando os seus dias a trabalhar ao lado do gerente de segurança da informação da Atos Origin. A sua função, que no início era relacionada com planejamento e arquitetura, passou a ser mais próxima dos sistemas de monitoração de segurança e resposta a incidentes.

Atenção em três momentos

O trabalho nas olimpíadas tem dois momentos críticos e todos precisam de cuidado extremo com segurança. Antes do evento, o grande desafio para a TI está no credenciamento de atletas e jornalistas – que em Pequim vai usar etiquetas RFID para aumentar a eficiência. Além disso, a logística para o transporte (que precisa cuidar dos uniformes, desde as equipes até os voluntários) é toda gerenciada via software, assim como a assistência médica.

A captação, apuração e a divulgação dos resultados é o maior desafio da TI durante os jogos. Toda a infra-estrutura de tecnologia precisa estar funcionando perfeitamente para que os árbitros tenham as informações de suas súmulas divulgadas, assim como os placares eletrônicos marquem os resultados corretos e o site do Comitê Olímpico Internacional esteja sempre atualizado (citando apenas alguns exemplos).

“Todas as áreas são críticas dependendo da fase do evento. Essa é uma das características do projeto, que é único. Tudo muda muito rápido e não pode falhar”, resume Wulff.

O especialista destaca que, ao contrário dos grandes projetos em corporações multinacionais, a Olimpíada não tem negociação. “Num mercado tradicional você ainda tem alguma margem para renegociação de prazos numa situação imprevista ou de emergência”, afirma.

Ele completa: “Todos aqui sabem que dia 8 de agosto de 2008 tudo têm que estar funcionando, com 0% falhas de integração, 100% de capacidade de monitoração, completamente testado e com todas as equipes presentes e treinadas”.