Descobrindo os sites publicados de um domínio

Observando alguns log’s em um servidor de uma determinada empresa em um processo de auditoria interna, que tive a oportunidade de fazer, verifiquei que algumas técnicas comuns são executadas por scripts que ficam vasculhando a internet em busca de informações.

No log gerado dos acessos ao serviço de Web, nesse caso um IIS (Internet Information Service), verifiquei uma excessiva requisição “GET” no qual o final do endereço pesquisado tinha “/robots.txt”. Notei que não só essa empresa mas que diversos sites é comum ter esse arquivo publicado dentro da arquitetura do IIS, inclusive sites com alto nível de acesso, como o Terra e o Google.

Experimente digitar http://www.terra.com.br/robots.txt e http://www.google.com.br/robots.txt e verá a lista de serviços que estão ativos e publicados na internet.

Com esse resultado dessa busca, temos a informação valiosa de quais serviços ou diretórios estão publicados e em funcionamento, aumentando consideravelmente os riscos para que atacantes encontrem alguma pasta com falha nas permissões do diretório, e assim, alterar não só o site da organização mas prejudicar a imagem de uma empresa que levou tanto tempo para se firmar no mercado e demonstrar confiança nos seus negócios.

Wolframalpha: um site que se resume à números

Encontrei um site muito interessante para aqueles que gostam de números e estatísticas. No site , você pode pesquisar determinados assuntos e o resultado é uma completa estatística sobre a sua pesquisa.

Fiz um exemplo e gostaria de saber, os dados disponíveis estatisticamente sobre o Terra, grande portal na internet que está presente em vários países. Mas a pesquisa, foi excusivamente ao portal do Brasil. Entreu no site e pesquisei por www.terra.com.br e tive o seguinte resultado:

Profissão ‘Quem Indica’

Paula Rothman, de INFO Online

O Indica premia, com dinheiro, profissionais com bom networking .Uma ideia que mistura banco de currículos com headhunting

No ar desde março deste ano, o Indica funciona como um grande boca-a-boca virtual para facilitar processos de contratação. Seu conceito se baseia em uma rede colaborativa formada por profissionais já inseridos no mercado que, ao assumir o papel de Indicadores, passam a recomendar conhecidos para as vagas em aberto. Caso alguma das suas indicações seja a contratada, o site o recompensa com vales de 300 a 2,5 mil reais em compras no site Submarino, dependendo do salário do cargo preenchido.

“Estamos trabalhando nesse projeto há um ano e meio e, durante a fase de pesquisas, identificamos que faltava no mercado uma solução que pudesse trazer a velocidade da internet e a qualidade de um headhunter”, diz Dan Turkieniez, diretor do Indica. A principal diferença do projeto para os bancos de currículo já existentes é que ele atinge também os candidatos passivos, aqueles já atuantes no mercado e que não necessariamente estão à procura de um novo emprego. Além disso, não há a necessidade de atualizar os dados, pois o candidato indicado deve preencher novamente um pequeno currículo para cada novo cargo a que quiser concorrer.

Projeto de lei pode tornar e-mail documento

Felipe Zmoginski, de INFO Online Quinta-feira, 14 de maio de 2009 – 18h57

SÃO PAULO – Um projeto de lei em discussão no Congresso pode dar aos e-mails status de documento com valor legal.

O texto está sob análise da Comissão de Constituição e Justiça (CCJ) do Senado, que avalia se a medida é constitucional ou não. Se obter parecer positivo, o projeto pode seguir para votação em plenário.

A ideia é dar valor legal a e-mails trocados com certificação digital. Assim, ao invés do usuário precisar assinar um documento, reconhecer a assinatura em cartório e enviar o papel por correio ou entregá-lo pessoalmente, pode validar uma decisão apenas enviando um e-mail.

A Comissão quer certificar-se de que esse processo é seguro e que permitirá desburocratizar transações comerciais sem aumentar o risco

Fonte: http://info.abril.com.br/noticias/ti/projeto-de-lei-pode-tornar-e-mail-documento-14052009-46.shl

Roney Médice

Analista de Sistemas e bacharel em Direito

GVT investe R$ 50 milhões para lançar operações em Vitória e Vila Velha

Curitiba – Foco da operadora serão grandes empresas com atuação nas duas cidades capixabas; rede tem 450 quilômetros.

Por Fabiana Monte, editora-assistente do COMPUTERWORLD

22 de abril de 2009 – 18h15

A GVT investiu 50 milhões de reais para iniciar suas operações nas cidades de Vitória e Vila Velha (ES), segundo comunicado divulgado pela operadora nesta quarta-feira (22/04). A companhia oferecerá serviços de telefonia fixa e banda larga para empresas e consumidores finais nas duas cidades capixabas.

“Queremos ganhar mais market share no mercado corporativo, mas sem desprezar o residencial”, diz Mauro Monteiro da Fonseca, diretor regional da GVT, acrescentando que análises da operadora mostraram que existe demanda produtos de banda larga e atendimento corporativo nas duas cidades.

>> Participe das discussões sobre telecom na CW Connect

O foco principal da operadora, afirma o executivo, serão as grandes corporações, como Garoto e Vale do Rio Doce, sem, no entanto, revelar qual é a expectativa de market share da região que a companhia espera obter até o fim do ano.

Com o investimento, a GVT começa sua operação no Espírito Santo com capacidade inicial para ativar até 55 mil linhas de voz e acessos à internet banda larga (ADSL). De acordo com a GVT, nas duas cidades a rede em operação soma 450 quilômetros e cobre 70% dos estabelecimentos comerciais e 53% das residências.

No lançamento, a GVT estará presente em 37 bairros de Vitória e 14 de Vila Velha, com possibilidade de ampliação “conforme estudos de viabilidade e demanda”. Segundo a companhia, as operações nas duas cidades geraram mais de 850 empregos diretos e indiretos.

Para as empresas de pequeno e médio porte, a empresa provê soluções que abrigam na mesma conta telefônica várias linhas e permitem ligações grátis entre diferentes endereços. Para grandes corporações, as opções são serviços convergentes que reúnem facilidades da telefonia convencional.

O Espírito Santo é o segundo Estado da região Sudeste onde a GVT lança seus serviços – que chegaram a Belo Horizonte em 2007 e a Salvador em 2008. Além dessas cidades, a companhia está presente em 14 Estados, além do Distrito Federal com ofertas para todos os segmentos de mercado. No Rio de Janeiro e em São Paulo, a empresa atua exclusivamente no mercado corporativo. Ainda este ano, a operadora deve lançar suas ofertas em outra grande cidade brasileira.

Fonte: ComputerWorld (http://computerworld.uol.com.br/telecom/2009/04/22/gvt-investe-r-50-milhoes-para-lancar-operacoes-em-vitoria-e-vila-velha/)

Roney Médice

Analista de Sistemas e Bacharel em Direito

Anatel aprova fim da cobrança do ponto extra na TV paga

LORENNA RODRIGUES
da Folha Online, em Brasília

Atualizado às 19h12.

A Anatel (Agência Nacional de Telecomunicações) decidiu nesta quinta-feira proibir a cobrança pelo ponto extra da TV por assinatura. Depois de mais de 10 meses de discussão, a agência entendeu que as operadoras podem cobrar apenas pela instalação e manutenção do equipamento, mas não podem efetuar uma cobrança mensal pelo serviço.

As empresas terão que especificar na conta o que está sendo cobrado. A operadora poderá dividir, por 8 meses, por exemplo, os custos da instalação, mas não poderá cobrar mensalmente pelo ponto extra. De acordo com a Anatel, o custo das empresas com instalação do ponto extra é de cerca de R$ 400.

De acordo com o presidente da Anatel, Ronaldo Sardenberg, as empresas não poderão continuar cobrando pelo serviço a partir da publicação da decisão no “Diário Oficial” e não poderão cobrar pela instalação dos pontos extra que já estão instalados.

Reprodução

Presidente da Anatel disse ainda que agência vai controlar aumentos abusivos nos serviços de televisão por assinatura

Sardenberg disse ainda que a Anatel vai controlar aumentos abusivos nos serviços de televisão por assinatura que possam ocorrer para compensar a gratuidade do ponto extra. “É uma estrutura competitiva, o que nós queremos é aumentar a competição. Vamos acompanhar para em cada caso verificar se há abuso.”

Reclamações

As empresas do setor informaram que se manifestariam sobre o assunto por meio da ABTA (Associação Brasileira de Televisão por Assinatura). A entidade, por sua vez, afirmou que divulgará nota sobre a decisão em breve.

Em debate sobre o assunto realizado na Anatel no ano passado, o presidente da Net, José Antônio Félix, disse que as empresas de televisão por assinatura poderão perder em média 20% do faturamento com o fim da cobrança. Segundo Félix, algumas empresas chegaram a falar em uma perda de 50%.

A assessora jurídica da SKY, Roberta Westin, disse na mesma ocasião que a proibição da cobrança do ponto extra inibirá novos investimentos dessas empresas. Para o presidente da ABTA, Alexandre Annenberg, o fim da cobrança poderá encarecer o serviço para o consumidor de renda mais baixa, que tem apenas um ponto em sua casa.

Demora na decisão

Em junho do ano passado, a Anatel publicou regulamento que proibia a cobrança pelo ponto extra. O veto foi contestado na Justiça e a agência suspendeu os efeitos dos artigos que proíbem a cobrança. A suspensão foi adiada por sete vezes ao longo dos 10 meses.

O regulamento dizia que a utilização do ponto extra “sem ônus, é direito do assinante”. Ao mesmo tempo, porém, o texto permitia a cobrança pela instalação, ativação e manutenção da rede interna. Como havia uma dúvida sobre o que exatamente poderia ser cobrado, as empresas recorreram à Justiça.

No fim de julho, a Anatel apresentou nova proposta proibindo o pagamento pelo ponto extra. Na proposta, só poderia ser cobrado o valor do aparelho decodificador e o custo da instalação.

Em fevereiro, a conselheira Emília Ribeiro, que relatava o processo, apresentou voto defendendo a cobrança pelo ponto extra. “O ponto extra tem custo. Se eu disser que vai ser gratuito, alguém terá que pagar. Como vai passar a conta para quem tem só um ponto?”, questionou, na época.

A demora da Anatel em julgar o processo foi criticada principalmente por órgãos de defesa do consumidor. Em termos de comparação no que diz respeito à morosidade do processo, em prazo menor –oito meses– a Anatel mudou a legislação para permitir que uma empresa de telefonia fixa comprasse outra em área diferente.

Em outros dois meses, analisou e aprovou a compra da Brasil Telecom pela Oi, no que foi considerado prazo recorde por analistas. No início de março, o Ministério Público Federal chegou a solicitar à Justiça que estipulasse o prazo de um mês para que a Anatel decidisse a questão.

Fonte: http://www1.folha.uol.com.br/folha/dinheiro/ult91u551768.shtml

Roney Médice

Analista de Sistemas e Bacharel em Direito

Empresas temem roubo de dados por conta da crise, diz KPMG

Londres – Desempregados ou subempregados, pessoal de TI pode partir para o submundo criminoso em busca de mais dinheiro, diz consultoria.

Por IDG News Service/Reino Unido

Pesquisa feita pela KPMG aponta que as empresas estão cada vez mais preocupadas com a possibilidade de funcionários roubarem dados corporativos ou vender informações sigilosas para terceiros por conta da crise econômica mundial. A consultoria ouviu 307 organizações do mundo inteiro.

Para 66% dos entrevistados, funcionários de tecnologia desempregados sentiriam grande tentação em realizar crimes digitais, motivados pela perda do emprego, por menores bônus financeiros e participações nos lucros. A pesquisa, chamada “E-crime 2009”, foi apresentada durante congresso em Londres, Inglaterra.

A KPMG identificou que triplicaram as fraudes cometidas por gerentes, funcionários e clientes em 2008 ante 2007, o que indica que a recessão vai reforçar esta tendência.

Pouco menos da metade dos entrevistados que cuidam de infraestrutura, 45%, reportou um aumento no número de ataques contra os sistemas corporativos, enquanto 51% deles ressaltaram que a sofisticação destes crimes está cada vez maior.

Já 68% dos profissionais entrevistados aponta que os cavalos de tróia são as piores causaram os maiores danos e preocupam, seguidos pelos rootkits, spyware, worms, viruses, código malicioso para computadores móveis ou celulares e, por fim, adware.

A pesquisa alertou que os funcionários tradicionalmente têm acesso facilitado aos sistemas corporativos e conhecem as suas fraquezas. As companhias precisam criar regras rígidas para desabilitar os funcionários quando eles deixarem a organização, indica a pesquisa.

Malcolm Marshall, sócio da KPMG em governança de tecnologia, aponta que o surgimento de malware como o Conficker, que foi atualizado remotamente para driblar as ferramentas de segurança, e a queda da eficácia de antivírus apontam para uma modificação profunda na segurança das empresas.

A comunidade de segurança pode enfrentar “uma alteração radical na maneira em que fazemos e-business,” disse Marshall. Segundo ele, isto é parcialmente culpa dos profissionais de TI que não atualizam seus sistemas, a melhor habilidade dos criminosos digitais e falta de conhecimento de segurança dos consumidores.

Fonte: ComputerWord (http://computerworld.uol.com.br/seguranca/2009/03/25/empresas-temem-roubo-de-dados-por-conta-da-crise-diz-kpmg/)

Roney Médice

Analista de Sistemas e Bacharel em Direito

Capixaba poderá bloquear chamada de telemarketing

Depois dos paulistas, os capixabas podem ser os próximos a usufruir do cadastro para bloqueio de ligações feitas por empresas de telemarketing. O deputado estadual Givaldo Vieira (PT) protocolou na Assembleia Legislativa um projeto de lei semelhante ao que está em vigor em São Paulo desde 27 de março. A proposta é criar um cadastro antitelemarketing nos órgãos de proteção e de defesa do consumidor, os Procons. Os inscritos não podem receber ligações telefônicas feitas por empresas que ofereçam produtos ou serviços.

O deputado pretende ainda pedir o regime de urgência para a apreciação dessa matéria na sessão ordinária que aconteceu ontem.

“A pessoa vai preencher um cadastro, que provavelmente deve ficar disponível no site do Procon. Com esse cadastro, prevalece o direito do cliente em não ser incomodado e nem adicionado na listagem das empresas de telemarketing”, explica.

Depois de 30 dias de inclusão no cadastro, o usuário do serviço não pode mais receber ligações de empresas de telemarketing. Se isso acontecer, o estabelecimento recebe uma multa de R$ 1.000,00 por cada ligação feita.

Além do projeto de lei do deputado Givaldo Vieira, outras três propostas semelhantes tramitam no Legislativo capixaba. O deputado disse que vai aproveitar os projetos para compor emendas e formar uma proposta única para discussão na Assembléia.

Penalidade

R$ 3 milhões
É a multa máxima, em São Paulo, aplicada à empresa que descumprir a lei do cadastro de telemarketing.

Fonte: A Gazeta (http://gazetaonline.globo.com/_conteudo/2009/04/508335-capixaba+podera+bloquear+chamada+de+telemarketing+img+src+http++gazetaonline+globo+com+imagens+icon+mp3+gif+alt++hspace+3+border+0+align+absmiddle.html)

Roney Médice

Analista de Sistemas e Bacharel em Direito

Proteja sua empresa de ex-funcionário

Antenado

31/03/2009 – 00h00 (Outros – Outros)

Gilberto Sudré
antenadonatecnologia@gmail.com

Proteja sua empresa de ex-funcionários
A crise financeira se manifesta de muitas formas e as demissões são uma delas. Essa situação pode levar a posições extremas e hostis, se transformando em uma ameaça para a segurança das informações da empresa.

Como evitar que um funcionário, agora ex-funcionário, leve informações sobre contratos, fornecedores, estoques, políticas de preço, canais de distribuição, remuneração de vendedores, estratégias de novos produtos, senhas e informações de clientes?

Se você pensa que isso nunca vai acontecer na sua empresa, acho melhor repensar a situação pois casos como esses estão cada vez mais comuns. Mesmo aquele funcionário que você acredita ser extremamente confiável pode surpreender em momentos como esse.

Uma pesquisa feita pela Cyber-Ark Software aponta que mais da metade dos trabalhadores do setor financeiro em Nova York, Londres e Amsterdã disseram que já baixaram dados corporativos e que planejam utilizá-los em seus próximos trabalhos. Além disso, 71% de todos os entrevistados disseram que necessariamente levariam dados corporativos com eles se fossem confrontados com a perspectiva de demissão em futuro próximo.

Alguns cuidados e procedimentos simples podem evitar muita dor de cabeça no futuro. É o que veremos a seguir.

Por incrível que possa parecer, uma grande quantidade de ex-funcionários ainda continuam a ter acesso (com suas senhas válidas) a sistemas corporativos, mesmo depois de passados vários meses de seu desligamento da empresa. Por isso, cuide para que os acessos e senhas sejam desabilitados logo após a demissão do colaborador.

Essa situação fica ainda pior quando o colaborador é da área de TI. Administradores de sistemas e usuários que conhecem as senhas root (superusuário) podem causar um dano muito maior pois suas senhas tem acesso a praticamente qualquer parte do sistema, podendo alterar a configuração do que desejarem.

O departamento de recursos humanos é um grande aliado nesta situação, como por exemplo, analisando o perfil de cada profissional que será desligado da empresa. Junto com o RH, a área de TI deve estar a par do que será feito para que ela também possa tomar as providências na proteção dos sistemas.

O uso de ferramentas de segurança de conteúdo, backups, firewalls, filtros de conteúdo e spam, além de antivírus podem tornar o ambiente um pouco menos vulnerável. Além das ferramentas uma política de segurança com procedimentos para criação e remoção de senhas, direitos de acesso a informações e sistemas pode evitar a ocorrência de problemas mais graves.

Mesmo com todos esses cuidados não podemos afirmar que o ambiente está 100% seguro, mas já é um bom ponto de partida para a redução dos riscos envolvidos

Roney Médice

Analista de Sistemas e Bacharel em Direito

Pesquisa mostra que 59% dos ex-funcionários desviam dados corporativos

Framingham – Copiar e-mails e arquivos foram as práticas mais adotadas por ex-empregados, sendo que 50% ainda acessam redes remotamente.

O índice de roubo de informações corporativas de funcionários que foram demitidos ou deixaram seus empregos nos últimos 12 meses foi de 59%, de acordo com uma pesquisa do Ponemon Institute divulgada esta semana.

O estudo “Jobs at Risk = Data at Risk” foi realizado com 945 pessoas que foram dispensadas, demitidas ou que deixaram seus empregos em um ano, sendo que 67% disseram ter usado informações confidenciais de seus empregos anteriores para se recolocarem no mercado.

A pesquisa mostra que 61% do respondentes que tinham uma visão negativa das companhias onde trabalhavam levaram dados, enquanto o índice de desvio de informações entre ex-funcionários que viam seus ex-empregadores de forma positiva foi de 26%.

Somente 31% dos participantes da pesquisa responderam que “confiavam” em seus ex-empregadores, enquanto 25% mostraram “incerteza” e 44% disseram que não confiavam nas práticas das empresas que deixaram.

Dos 945 participantes da pesquisa encomendada pela Symantec, 37% foram demitidos, 38% mudaram de emprego e 21% deixaram as empresas antecipando cortes. O grupo entrevistado atuava em 12 setores diferentes da indústria, sendo que 20% lidavam com tecnologia, 10% com finanças e contabilidade, 24% estavam na área de vendas e 8% em marketing e comunicações.

Levar informações de e-mails e copiar arquivos foram as ações mais praticadas pelos funcionários que roubaram documentos de seus antigos empregos, de acordo com o estudo. As práticas menos adotadas foram o desvio de arquivos em PDF, o acesso a arquivos de bancos de dados e o roubo de códigos-fonte. As informações foram levadas tanto em papéis simplesmente carregados pelos ex-funcionários como transferidas para mídias e pen-drives ou como anexos via e-mail para contas pessoais.

Alguns entrevistados admitiram ser errado levar informações das empresas sem permissão, mas 79% destes citaram várias razões para suas atitudes, incluindo respostas como “todo mundo faz isso”, “a informação pode ser útil no futuro” ou “a companhia não pode rastrear a informação até mim.”

Surpreendentemente, 24% dos ex-funcionários que responderam à pesquisa disseram que ainda podiam acessar os sistemas de seus antigos empregadores, sendo que 50% tiveram acesso entre um dia e uma semana após terem deixado as empresas, e 20% acessaram suas ex-redes corporativas por mais de uma semana.

Fonte: Computerworld (http://computerworld.uol.com.br/seguranca/2009/02/26/pesquisa-mostra-que-59-dos-ex-funcionarios-desviam-dados-corporativos/)

Roney Médice

Analista de Sistemas e Bacharel em Direito