Atenção com a segurança sobre a porta USB

usbSegundo Kaspersky Lab, empresa especializada em soluções de segurança, não é apenas via internet que os vírus se infiltram em nossos computadores, considerando que em torno de 30% de infecções malwares (softwares mal intencionados, instalados sem o seu devido consentimento) podem começar através de mídias removíveis tais como pendrives, cartões SD e discos rígidos portáteis.

Estes dispositivos conectados de forma bem simples à porta USB são muito utilizados para o compartilhamento de arquivos, normalmente entre amigos, parentes e colegas de trabalho, com comportamento aparentemente de não causar danos, mas em posse de pessoas mal intencionadas seu resultado poderá ser devastador.

Citando casos que aconteceram no ano passado nos Estados Unidos, duas usinas americanas foram invadidas por hackers através de um pendrive infectado, trazido por um próprio funcionário às suas instalações. Esse tipo de situação não é muito comum, mas demonstra que pequenos dispositivos podem ser altamente perigosos.

Estes ataques gerados por malwares têm o objetivo de detectar o momento em que a porta USB de uma máquina for conectada com um dispositivo infectado e ao se comunicar com outras espalhe o vírus pela rede, além de também roubar informações diretamente dos computadores, fato extremamente prejudicial para quem possui dados confidenciais arquivados em seus sistemas e aplicativos.

Outro fator que deve ser levado em consideração é o tamanho desses dispositivos, por serem muito compactos, são facilmente perdidos ou roubados, e assim seguem algumas recomendações:

1)      Toda vez que você conectar um dispositivo numa porta USB, execute antes seu sistema de antivírus para verificação que é essencial para a segurança da sua máquina;

2)      Evite usar seu dispositivo USB em computadores públicos, como em lan house, feiras e eventos, e se acontecer, rode depois o sistema de antivírus para se certificar que não ficou infectado;

3)      Já existem soluções de antivírus voltadas para dispositivos que se conectam à porta USB para atender principalmente aqueles que frequentemente gravam dados direto da internet e depois se conectam em diversos computadores, contudo não salve direto em seu dispositivo arquivos cujo autor você desconhece e avalie se o website é confiável;

4)      Crie uma pasta na raiz de seu dispositivo USB chamada autorun.inf. Isso evitará que programas de mesmo nome sejam salvos em seu dispositivo, anulando o potencial risco de vírus do tipo auto-executáveis, contudo se por acaso a pasta autorun.inf desaparecer, verifique imediatamente a existência de vírus;

E finalmente tenha sempre um antivírus confiável instalado em seu computador, que seja funcional, mantendo-o sempre atualizado, sobretudo se o seu dispositivo USB plugado em seu computador estiver infectado o antivírus lhe protegerá de quaisquer ameaças.

 

Skype e Outlook.com passam a ser integrados

outlook-sypeAlém de países como Reino Unido, EUA e Alemanha, a Microsoft liberou a integração entre o Skype e Outlook.com (substituto do Hotmail) para usuários do Brasil, Canadá e França, onde já podem explorar funções como vídeo chamadas, mensagens e chamadas de voz bem como a lista de contatos e o serviço de e-mail disponíveis na interface do serviço webmail.

Em curto prazo, essas habilidades também serão liberadas a demais países do mundo para atender a demanda frequente de troca de e-mails e uso dos recursos de comunicação de áudio e vídeo, e assim facilitará consideravelmente a comunicação entre os usuários, apesar do Outlook.com já possuir conexões com Facebook, Google, Linkedin e Twitter.

Dawn Martynuik, gerente de produtos do Outlook.com, diz que o “E-mail é uma ferramenta pessoal e importante para a maioria das pessoas, mas há momentos em que você quer ser capaz de falar ao vivo ou conversar cara a cara”.

O Outlook.com enfrentou recentemente problemas de instabilidade e falta de desempenho para um número não revelado de usuários, onde falhas atingiram o acesso móvel à caixa de entrada e a capacidade de compartilhar arquivos do SkyDrive via e-mail.

Visando uma competição contra o Gmail e o Yahoo! Mail, a Microsoft lançou uma prévia do Outlook.com em meados de julho de 2012 como forma de recriar o serviço de e-mail através da web, e assim substituiu o Hotmail pelo Outlook.com como o serviço de webmail da própria empresa.

Mesmo que reconheça que o Outlook.com não era um serviço estável quanto esperado, onde Dick Craddock, gerente de programa de grupo para o Outlook.com, comenta em seu blog: “Tivemos alguns problemas ao longo do último ano e havia pontos onde o nosso desempenho não atingiu o alto padrão que estabelecemos para nós mesmos”, a Microsoft comemorou o primeiro ano das atividades do Outlook.com com indicadores de pontos positivos.

 

Estamos preparados para o IPv6 ?

ipv6Temos disponíveis na internet duas versões de protocolo de comunicação IP (internet protocol), que é o responsável por endereçar e encaminhar os pacotes que trafegam pela rede mundial de computadores: o IPv4, que é a versão atual utilizada na grande maioria das situações, e o IPv6, a nova versão, que prevê um número consideravelmente superior de endereços.

Não é possível saber por quanto tempo a quantidade de endereços IPv4 continuarão a estar disponíveis. Gestores de TI (Tecnologia da Informação) não entendem o motivo de se gastar tempo e dinheiro em desenvolvimento do IPv6 com grande antecedência, fato que contraria a orientação dos gestores de tabelas de endereços IPv4 no mundo para não deixar a migração para última hora, pois poderá impactar na necessidade de se fazer investimentos em caráter urgente gerando contratempos na operação dos negócios.

Será necessário que até empresas de pequeno porte estejam preparadas para o IPv6, tanto em termos de hardware como em software, para garantir que tarefas essenciais dependentes das conexões com a internet não parem e nem fiquem lentas. Será importante planejar já para não precisar comprar soluções de última hora a qualquer preço.

Para migração ao IPv6, muitos dos recursos do IPv4 ainda serão aplicados, mas alguns outros não, como por exemplo o NAT (network address translation), que faz a tradução do endereço IP e portas TCP da rede local para a internet: não será mais utilizado o que facilitará o projeto e o gerenciamento das redes permitindo suporte a novas aplicações. Sem o NAT criar programas de computadores que usam a internet para se comunicar ficará mais fácil, assim como aplicações de vídeo conferência e voz sobre IP (VOIP) além de mais simples obterão melhores funcionalidades. Talvez sejam necessárias trocas de hardwares e atualizações de softwares, fatos esses que envolvem custos, incluindo o treinamento da equipe de TI.

Operadoras de telecomunicações brasileiras já operam com IPv6, porém muitas delas ainda não oferecem o novo protocolo como item em seus portfólios de soluções, e alguns provedores de internet já estão fazendo testes de campo em algumas regiões.

Para ter a oportunidade de testar o IPv6 é possível fazê-lo através de um serviço de túneis gratuito, citando como exemplo os que são recomendados pelo NIC.br (Núcleo de Informação e Coordenação do Ponto BR): SixXS  (à partir do Brasil, é o que alcança melhor resultado), Freenet 6 (gogo6) e Tunnel Broker  (Hurricane Electric).

É possível usar túneis IPv4 para IPv6 e fornecer acesso à internet IPv6, para isso a melhor solução é ter um handoff IPv6 nativo (processo de troca de ponto de acesso conectado ao núcleo da rede), uma vez que o IPv6 foi planejado para trabalhar em paralelo com o IPv4,  e de forma separada, pode-se implementar o IPv6 provisoriamente como teste para tornar o aprendizado mais fácil.

Ainda são poucos os dispositivos de rede nas empresas que suportam o IPv6, contudo o suporte básico para o endereçamento IPv6 em hardware e sistemas operacionais de rede não são as únicas preocupações. Muitos aplicativos de empresas são escritos usando APIs (Application Programming Interface, em português Interface de Programação de Aplicativos) antigas que demonstram não conflitar com o novo IP, embora possa existir impacto relativamente pequeno, como por exemplo: para o aplicativo funcionar em apenas uma rede interna, onde a conservação do espaço de endereços IPv4 normalmente não é um problema, pode ser muito mais grave se o aplicativo precisar atender as solicitações da web ou fazer referência a esses endereços internamente.

Nos sistemas operacionais Windows, Linux e MacOs o IPv6 já vem habilitado, e caso necessite ativá-lo, você pode obter informações através dos respectivos links: Windows – http://ipv6.br/habilitando-windows, MacOS – http://ipv6.br/habilitando-mac e Linux – http://ipv6.br/habilitando-linux.

Há quem faça comparações da situação do IPv6 com a que ocorreu com o bug do milênio, próximo ao ano 2000. Para que a transição do IPv6 aconteça sem problemas serão necessários os mesmos esforços que fizeram com que o bug do milênio não ocorresse, embora o esgotamento do IPv4 não se dará de uma só vez e não existam prazos determinados para isso. De qualquer modo, há já um indicador que aponta o estoque do IPv4 como terminado na IANA (Internet Assigned Numbers Authority, em português Autoridade para Atribuição de Números da Internet), que atribuí os “números” IP na internet.

A estimativa para o esgotamento dos estoques dos endereços de internet se dará em momentos diferentes em cada região, e na nossa calcula-se que aconteça em meados de 2014. Algumas necessidades de rede poderão deixar de ser atendida mesmo que haja estoque, por exemplo, uma rede poderá demandar de um bloco de faixa de IPs e no estoque estejam disponíveis apenas blocos pequenos. Estão sendo discutidas políticas de distribuição dos endereços remanescentes IPv4 e dependendo das decisões a data do término poderá ser alterada.

Para não perder o controle e gerenciamento da rede enquanto ainda não se sabe da data definitiva, é importante já tomar algumas ações para analisar o protocolo e atender as necessidades de corporação como levar a questão ao conhecimento de todos, treinar a área técnica e incentivar experimentos com o IPv6, estabelecer normas para a aquisição de novos hardwares e softwares que deverão suportar o IPv6 e suas funcionalidades.

A adoção do IPv6 impactará diretamente na infraestrutura de TI em empresas que oferecem serviços e produtos diretamente na rede, ou as que colocam parte de suas estruturas na nuvem, ou àquelas que usam a rede apenas para fonte de informações.

Em evento realizado pelo NIC.br em 13 de agosto passado para debater como a implantação do protocolo IPv6 impactará o dia a dia da TI das empresas e trocar experiências com empresários e executivos, Antonio Moreiras, gerente do projeto IPv6.br comentou que “Uma parte dos gestores de TI tem simplesmente ignorado a questão, o que pode gerar problemas e gastos desnecessários no futuro. Este evento tem o objetivo de promover o diálogo com os gestores sobre os pontos de atenção na fase de coexistência e transição entre IPv4 e IPv6”.

Moreiras também ressaltou a importância de planejar a fase de transição: “Ao comprar novos equipamentos, softwares, ou contratar serviços, é preciso que os responsáveis pela gestão de TI de uma empresa considerem o suporte à nova versão do protocolo IP”, e concluí “Como há também implicações na área de segurança e no funcionamento dos websites e outros serviços disponíveis diretamente na Internet, em alguns casos é necessário considerar ações urgentes”.

Uso da tecnologia com a segurança da informação

segurancaEstamos vivendo cada vez mais interligados através do mundo digital, o que aumenta a necessidade das empresas em adotarem políticas de segurança da informação tanto para se proteger de ameaças externas (concorrentes, malfeitores e outros) quanto de excessos de direitos e acessos indevidos de seus próprios colaboradores.

O que se pode observar é que em recém-criadas ou pequenas empresas, a tendência é ter regras de seguranças mais brandas ou até mesmo a inexistência delas. Nota-se que normalmente há uso de recursos na empresa como dispositivos pessoais, compartilhamento das informações da nuvem de forma imprópria e administração em comum de e-mails pessoais e corporativos, que trazem riscos e implicam com ações de políticas de segurança.

Além de ser uma necessidade da tecnologia, a segurança da informação também é tratada como uma necessidade do negócio, ou seja, informações e conhecimentos corporativos são os principais ativos de qualquer empresa e exigem ter sua confidencialidade, integridade e disponibilidade asseguradas.

A segurança da informação começa a partir da definição de uma política de segurança, onde é criado um conjunto de normas e diretrizes destinadas à proteção dos ativos da empresa de forma clara e aprovada pela alta direção e com as definições de responsabilidade pela gestão da área.  Posteriormente comunica-se de forma oficial e funcional para todos os colaboradores, clientes e parceiros, com o intuito de demonstrar a devida cautela e o compromisso da empresa.

É possível tomar como base para a criação das políticas alguns modelos propostos por padrões de segurança, que disponibilizam conjuntos de melhores práticas e regulamentações do setor e remetem para os setores específicos alinhados ao contexto das empresas. É importante destacar que a política de segurança deve ser um documento dinâmico que se adeque às necessidades do negócio, permita ser revisada e alterada com frequência, e ser clara e divulgada aos responsáveis.

Para que a política de segurança cumpra o seu papel é preciso cobrar, fiscalizar e aplicar penalidades para aqueles que não a respeitarem na empresa. E portanto, tomando essas ações como base, os riscos serão minimizados e a empresa ficará menos exposta a consequências desconhecidas.

Gestores de negócios participam em decisões relativas às nuvens

qual-nuvemMesmo que a computação em nuvem (cloud computing) tem demonstrado ser eficiente e econômica para ambientes computacionais que exigem maior processamento e armazenamento de dados tanto para pequenas quanto para grandes empresas, há uma cautela entre os CEOs (Chief Executive Officer – gestores executivos de negócios) e CIOs (Chief Information Officer – gestores de tecnologia da informação-TI) a ser tomada com cuidado para se conhecer melhor realmente quais são as suas necessidades e planejar o processo de migração, quando houver, entre o ambiente de rede local e em nuvem.

Segundo Élcio Zaninelli, diretor de infraestrutura da consultoria de tecnologia CGI, é importante que o CIO seja capaz de demonstrar para a empresa quais são os benefícios trazidos pela nuvem, além de reduzir os custos com TI e quais as formas de se usar essa tecnologia para melhorar os negócios da empresa.

Zaninelli afirma que “Os CEOs não entram em detalhes técnicos, e nem querem fazer isso, mas esperam que a empresa que oferece esse tipo serviço e o CIO que está apresentando a proposta à direção da empresa sejam capazes de fazer uma conexão da TI com o negócio principal da empresa”.

No final de 2012 foi publicado um estudo da consultoria de TI Capgemini, chamado de Business Cloud: The State of Play Shifts Rapidly – Nuvem de Negócio: A Situação Modifica-se Rapidamente, onde avaliou-se que em 45% dos casos analisados as decisões para migração ao ambiente em nuvem foram tomadas por gerente de negócios aproximando-se do percentual dos executivos em TI que foi de 46%, em favor da nuvem. Com isso, acredita-se que a tendência sobre as decisões em relação à computação em nuvem aponta que estarão nas mãos dos gestores de negócios.

Apesar do envolvimento dos executivos de negócios para a definição e contratação dos serviços de computação em nuvem ser muito forte, não diminui a importância do CIO e equipe de TI na tomada de decisões.

Além de conhecer detalhadamente o projeto técnico do modelo de migração para a nuvem, a equipe de TI deve qualificar e capacitar seus colaboradores para atuar de forma eficiente nas linguagens e softwares que serão adotados, afirma o professor de engenharia e lógica da Universidade Estadual Paulista (Unesp), Marinaldo Santos. “O processo de qualificação começa pelo CIO, que deve ser capaz de estudar as alternativas oferecidas pelo mercado e, depois, transferir conhecimento e treinar toda a equipe de TI. Do contrário, é possível que a empresa desfrute apenas uma parte das possibilidades da nuvem”, diz Santos.

Para Marinaldo Santos, os gestores de TI e os de negócios devem observar quais as informações que uma migração para nuvem poderá gerar para a área de Business Intelligence (BI) e ainda destaca que “Um dos desdobramentos na nuvem é o que chamamos de big data, ou seja, o armazenamento e a análise de grandes volumes de dados. Um exemplo clássico desse recurso é o que permitiu, por exemplo, às empresas de varejo do Reino Unido descobrir que, em dias de sol, os consumidores compram mais sanduíches e refeições rápidas para viagem, enquanto, em dias de frio, consomem mais bolos e chá. Sabendo disso, as lojas passaram a mudar suas vitrines de acordo com o clima”.

Pode-se concluir que a computação em nuvem gera uma transformação na TI, onde empresas de pequeno, médio e grande porte melhoram as operações, a qualidade e a inteligência dos negócios e concomitantemente reduzem custos de forma a se destacar mediante a concorrência.

 

Os cuidados em gerenciar dispositivos pessoais dentro das empresas

dispositivos-pessoaisNa era da mobilidade é cada vez mais comum os profissionais usarem no trabalho seus próprios dispositivos eletrônicos tais como notebooks, tablets ou smartphones para realizarem as atividades, fenômeno que chamamos de BYOD – Bring Your Own Device (“traga seu próprio dispositivo”).

Segundo Elia San Miguel, analista do Gartner, no Brasil esse conceito já virou realidade e tem levantado várias questões a respeito de que forma deve-se contratar, demitir e gerenciar os colaboradores que fazem uso dos seus dispositivos como instrumento de trabalho.

Em uma entrevista à revista CIO, o instrutor de carreira, Stephen Van Vreede, sugere algumas regras de cuidados e prevenção, sendo a primeira delas de criar uma política de BYOD que inclua situações da vida real e possa ser vista por todos os colaboradores. As regras devem previamente incluir acordos de confidencialidade com o intuito de restringir o funcionário a usar a propriedade intelectual da empresa ou divulgar qualquer tipo de informação e documento.

Van Vreede comenta que é importante controlar a cópia dos dados em dispositivos locais, para isso deve-se aplicar bloqueios no acesso dos colaboradores às redes da empresa de acordo com o perfil de cada usuário, e monitorar qualquer cópia de arquivo através de registros de movimentação.

Outra orientação é criar rotinas de auditorias e rastreamento nos dispositivos de quem tem permissão para acessar a rede da empresa, mesmo porque alguns usuários não têm o hábito de atualizar antivírus ou versões dos seus aplicativos, fica então a cargo do departamento de tecnologia da informação (TI) verificar a vulnerabilidade dos aparelhos, respeitando a política de BYOD que for definida pela empresa.

Para concluir, Van Vreede ressalta que antes de qualquer política de prevenção de BYOD, o que se deve levar em consideração é a contratação de colaboradores com maior nível de confiança.

VMware como empresa líder para infraestrutura de virtualização

vmwareO Gartner. Inc., empresa de consultoria e pesquisa de tecnologia da informação (TI), classificou a VMware Inc. como líder em seu Quadrante Mágico (representação gráfica do mercado  por um determinado período com informações detalhadas sobre os pontos fortes e pontos fracos de cada fabricante na tecnologia analisada) para infraestrutura de virtualização de  servidores x86.

A Gartner afirma que “em meados de 2013, pelo menos dois terços das cargas de trabalho da arquitetura x86 foram virtualizadas em servidores”, e completa que: “A virtualização é fundamental para a viabilidade da IaaS (infraestrutura como serviço), e será usada para estabelecer serviços de nuvens privadas e públicas, assim como nuvens híbridas interoperáveis. Na realidade, todas as ofertas de IaaS dependem da tecnologia de máquinas virtuais (VM – virtual machine)”.

Para John Gilmartin, vice-presidente de produtos de infraestrutura de computação em nuvem da VMware, a VMware mantém-se por quatro anos consecutivos como líder no Quadrante Mágico do Gartner, pois seu software de virtualização atende a clientes dos mais variados portes com o intuito de simplificar a área de TI com mais eficiência através de gerenciar e proteger seus dados, tanto dentro quanto fora da empresa.

Sendo uma das plataformas de virtualização mais usadas no mundo por pequenas, médias e grandes empresas, provedores de serviços de nuvem pública e mercado de desktops virtuais (VDI – virtual desktop infrastructure), o VMware teve no ano passado um faturamento de US$ 4,61 bilhões, crescimento significativo chegando a atingir mais de 500 mil clientes, dentre eles 100% das 100 maiores empresas citadas pela Fortune, 55 mil parceiros, mais de 242 nuvens públicas VMware vCloud em 31 países e alcançando mais de 3.700 aplicativos compatíveis com VMware vSphere.

Em seus relatórios de pesquisa, o Gartner não garante nenhum fornecedor, serviço ou produto e também não aconselha o uso da tecnologia dos fabricantes com as maiores notas, ou seja, as informações não devem ser interpretadas como declarações, pois consistem em opiniões da organização de pesquisas e não garantem também a capacidade de comercialização ou adequação em propósito particular.

Como usar a internet com segurança em redes Wi-Fi públicas

rede-publicaDifícil encontrar nos dia de hoje quem não possui um smartphone, tablet ou notebook com acesso a internet via Wi-Fi e são cada vez mais comuns estabelecimentos públicos como cafeterias, hotéis, aeroportos e outros espaços que oferecem acesso às suas redes gratuitamente, mas é preciso ficar atento às dicas de segurança em redes antes de se conectar a uma pública.

 

Controle através de um firewall

O firewall trabalha controlando o tráfego de dados de internet e determina qual conteúdo pode ser aceito e qual deve ser bloqueado. Os firewalls são disponibilizados em duas formas: em softwares ou hardwares. Os softwares são os mais comuns e são instalados pelo usuário em seu próprio dispositivo, já os hardwares são indicados para empresas que possuem um volume maior de tráfego de dados, regras próprias de segurança e gerenciamento diferenciado.

Fornecimento de informações pessoais

O ideal é não utilizar redes públicas para fornecimento de informações pessoais como conta bancária, número de cartão de crédito ou senhas, por exemplo. Caso seja necessário digitar alguma informação, verifique a presença da imagem do “cadeado fechado” em seu navegador (browser) e se o endereço do site começa com ‘https’.

Configurações do dispositivo

Procure manter seu dispositivo desativado para conexões automáticas via Wi-Fi, e antes de se conectar a uma rede pública, desative os compartilhamentos de arquivos como músicas e fotos, por exemplo, isso ajuda a se manter afastado dos hackers. Toda vez que você deixar de navegar, desabilite a sua conexão.

VPN

A Rede Privada Virtual – VPN (Virtual Private Network) é uma conexão de rede construída sobre a infraestrutura da internet e incorpora um sistema de criptografia na comunicação, onde caso os dados sejam capturados durante o tráfego, eles não poderão se decifrados. Os dispositivos responsáveis pelo gerenciamento da VPN devem ser capazes de garantir a privacidade, integridade e autenticidade dos dados. Normalmente a VPN é usada por empresas que precisam trafegar dados e não têm como evitar a interligação através de uma rede pública, e desta forma garantirá a privacidade com uso da criptografia dos dados.