Como se combate o populismo? "Com eleições", responde Fukuyama

[JAS]

A temática tem relevãncia mas eu continuo a dizer que as principais e triviais fraudes na internet para o "público em geral" são feitas de um modo muito mais simples.
São compras em sites duvidosos onde forneces o número do cartão de crédito, são aqueles e-mails que recebes de pseudo bancos a pedirem-te para confirmares os teus números de conta e passwords, etc, etc.

Fraudes em contas pequeninas baseadas em métodos muito sofisticados que exigem grande compilação de dados (para conseguirem decifrar por exemblo o nº do BI sendo pedidos apenas 2 algarismos de cada vez, aleatoriamente e com movimentos de rato...) não me parece que representem grande risco...

Mas ter um antivirus e uma firewall permanentemente actualizados é aconselhavel.

JAS

P.S. - Já te respondi ao outro post.

[Recolector]

Caro JAS. Seja bem regressado das férias pascais.

Isso deve ser campanha publicitária do Panda...Sempre arranjam mais uns clientes.

Não me custa nada acreditar que tal ocorra de vez em quando. Com a Panda e restantes ... Mas apesar de não acreditar em bruxas, já estou como o outro : Lá que as há, há

No ab7 não houve ataque nenhum.

E se houvesse também não aparecia nos jornais ... No AB7 ou noutro qualquer

E voc~es acham que a vossa conta bancária é assim tão importante para ser a escolhida?
Normalmente os fulanos interessam-se por grandes companhias com contas bancárias elevadas...

Bem, aqui discordo de si. Quando participamos num fórum, não estamos a olhar para o nosso umbigo, estamos a comunicar para o exterior, para toda a comunidade e é suposto a informação não ter interesse apenas para quem a disponibiliza, temos que pensar que pode haver pessoas com muito mais a perder que nós próprios, que também frequentem o fórum e para quem esta temática tenha a maior relevância ...

P.S.
-----------
Já agora, que está por cá, não poderia partilhar um pouco da sua experiência e dar a sua opinião acerca de :
http://www.caldeiraodebolsa.com/forum/viewtopic.php?t=38993

[JAS]

Isso deve ser campanha publicitária do Panda...Sempre arranjam mais uns clientes.

No ab7 não houve ataque nenhum.

E voc~es acham que a vossa conta bancária é assim tão importante para ser a escolhida?
Normalmente os hackers interessam-se por grandes companhias com contas bancárias elevadas...

JAS

[maya]

Eu até percebo isso contudo: é feito um logoff e um login.. o que implica que há uma serie de processos que estao sempre a correr (porque tinhamos um sistema a funcionar para fazer logoff/login) se reparaste tu não deligas o pc e inicias noutro pc... tu usas o teu pc para te ligares auma rede.... essa rede define os previlégios que o teu pc vai ter (No nt isso é feito usando um perfil em modo mandatory- se bem me recordo) Contudo o sistema do teu pc pode ja antes estar comprometido! E se não estiver existem tantas formas de contornar o problema de forma a comprometê-lo...



E a encryptação continua a não ter a fidedignidade que tem a feita pelos certificados digitais...


Sistemas alternativos e estanques baseados em unix... são mais seguros... mas tem interfaces mais complicados para certas tarefas que o windows e daí que so sejam usadas especificamente em certas redes internas... Nunca sendo viáveis para o utilizador comum...


Não sei.. isto é o que eu penso.. poderei estar errado!

[Recolector]

Bem.. isso faz alguma lógica contudo parece-me que estarás sempre a duplicar os problemas de segurança.. porque por um lado tens o pc no emprego (que pode ter os keylogers.. capture screens etc capturando os códigos da mesma forma) e por outro tens o pc em casa... que tb está sujeito a estar a ser monitorizado...

A ligação via VPN é uma ligação segura (privada) que apenas utiliza a net como veículo. Geralmente é utilizada para interconectar intranets, ou permitir o acesso exterior de clientes/colaboradores. O ser segura pode aferir-se pelo fato dos outros tipos de rede privadas/semi privadas estarem a ser substituidos por VPNs nas empresas. E ainda se tem como bónus uma enorme redução de custos.
Ao estabelecer a ligação VPN, faz-se logout do user local e login na máquina remota, onde correm todos os processos utilizados, logo os serviços/programas de loging, ficam desabilitados. Inclusivé, penso que o driver de teclado utilizado é o da máquina remota ...

Para o teu caso se uitilizasses um soft de terminal virtual, para teres um ou mais PCs virtuais, também terias, para cada PC, espaços de memória estanques, mas o PC teria que ser topo de gama para não se notar perda de performance.

De qualquer modo, como disseste, os bancos tratam estes problemas de forma estatística, aprovisionando verbas para eventuais problemas, dado que não compensa financeiramente (também não seria possível) pretender ter um ambiente 100% seguro, quer do lado do cliente, quer do banco.

[maya]

Por falar nisso, tenho andado a pensar se no emprego, uma ligação via VPN ao meu PC caseiro (que tem uma ligação permanente) não me resolveria estes problemas. Teria a vantagem adicional de poder dispor do meu PC remotamente também para outros fins. Não tens feedback acerca de soluções deste tipo ?

Bem.. isso faz alguma lógica contudo parece-me que estarás sempre a duplicar os problemas de segurança.. porque por um lado tens o pc no emprego (que pode ter os keylogers.. capture screens etc capturando os códigos da mesma forma) e por outro tens o pc em casa... que tb está sujeito a estar a ser monitorizado...

E aínda tem um problema adicional que é o poder estar a ser monitorizada a ligação entre o pc do emprego e o de casa...
Uma vez que muito dificilmente o programa que usas terá a mesma encryptação e segurança que a que usam os bancos... e sendo menor ou até ausente, já será possível a terceiros descodificarem a informação entre os dois pcs...
E nesse caso estará ser muito pior a emenda ... porque as comunicaçãoes em si com o pc do banco até eram seguras (via certificados digitais etc) o problemas estava so nos terminais... mas entretanto passas a usar uma ligação intermédia cuja segurança não poderá ser a melhor!

[maya]

O verdadeiro sistema estanque seria aquele que não se ligasse a internet e sobre o qual nunca fosse possível fazer um remote wakeup por bluetoth ou Wireless...


O que eu queria dizer com sistema estanque era o seguinte:

Tenho um pc... e tenho 2 sistemas operativos... Ambos os sistemas são Xp (Num deles tenho instalado o Sp2 e no outro não... ambos tem uma firewall independente da do windows...)

Quando ligo o pc.. um programinha bootmagic pergunta com qual destes sistemas operativos quero iniciar.. escondendo a partição do outro.

O que consigo é ter um sistema (Sitema 1) para tudo.. incluindo emule, azureus, metastock, Wealt-lab... programas de astronomia... e tudo o que quero instalar...
Apesar de ter firewall arrisco muito mais a ter spýware neste... porque instalo uma serie de programas de origem duvidosa.

E depois tenho o outro sistema (sistema 2) que ao iniciar me inicia o Windows xp mas sem nenhum daqueles programas de origem duvidosa... com as firewalls em protecção máxima.. com todos os updates feitos...

As páginas a que acedo resumem-se a umas 10... incluindo já aquelas seguras para despistar...

Estes dois sistemas usam o mesmo nome... para serem reconhecidas como o mesmo sistema pelo provedor de serviços... contudo tem características totalmente difrentes a nível de segurança. Porque não executo programas dúvidosos.. nem sequer acedo a atatchments de email... nem a paginas deconhecidas que pudessem activar activeX duvidosos...

Claro que tenho a desvantagem de ter de estar a desligar o pc para entrar na plataforma que é segura...


Entretanto tenho uma partição que é partilhada pelos dois sistemas.. o que uso para guardar documentos que me podem ser uteis nos dois sistemas...

Ainda tenho mais outro truque... que é um sistema de ghost... em que a qualquer momento me permite recuperar de inicio (quando instalei o sistema guardei uma cópia da partição) qualquer um destes sistemas (em 20 min)...
A verdade é que até é muito melhor porque consigo usar uma versão do antivirus e firewall grátis que duraria apenas 2 meses... Passando estes reinstálo aquela.
Assim imasginemos que desconfio de um programa que instlei no primeiro sistema... reinstá-lo-o.. não perdendo os documentos porque estão numa terceira partição!

Poderia continuar a enumerar mais umas medidas especiais de segurança que uso.. mas estas que descrevi são as princípais...
E em cunjunto consituem aquilo que chamo o meu sistema estanque!

[Camisa Roxa]

Aconselho

1. forewall zone alarm pro
2. microsfot anti spyware

Ambos a correr permanentemente em fundo e com actualizações automáticas

[Recolector]

... nada a fazer a não ser ter sistemas estanques... (Por exemplo para aceder ao banco tenho um sistema totalmente estanque.. apesar de no mesmo pc!

Por falar nisso, tenho andado a pensar se no emprego, uma ligação via VPN ao meu PC caseiro (que tem uma ligação permanente) não me resolveria estes problemas. Teria a vantagem adicional de poder dispor do meu PC remotamente também para outros fins. Não tens feedback acerca de soluções deste tipo ? A solução a que te referes é algo local, do tipo Terminal Server do Windows, certo ?

Convém também ter uma firewall digna desse nome, porque a do Windows, ainda antes do release já tinha uma maneira de ser inutilizada.

Se não estou em erro a firewall do XP, apenas filtra o tráfego que entra no PC, não efectuando qualquer controlo do que sai, pelo que se houver algum programa/serviço com "vontade própria" já instalado no PC ...
Por 20 Cts arranja-se um router/modem com firewall de hardware que para além de isolar os portos do PC ainda dá como bónus a possibilidade de partilhar o acesso à net

[maya]

Relativamente aos Keylogers.. claro que funcionam sobre o https... porque simplesmente estão antes da página que estamos a aceder...
Mais existem Keylogers que sendo hardware (Uma ficha especial que se liga na entrada do teclado... e que grava tudo o que é digitado, são teoricamente impossiveis de detectar ou desactivar - claroq ue basta ir la e desligar a ficha!)...
Os keylogers de software existem ja há muito... e monitorizam o processo muito antes... nada a fazer a não ser ter sistemas estanques... (Por exemplo para aceder ao banco tenho um sistema totalmente estanque.. apesar de no mesmo pc! )

Fica aqui o endereço de um programinha deste tipo e que faz tudo isto..

http://www.software-keylogger.com/

(Tenho a sensação que não devia por aqui!.. mas já está)

Os teclados virtuais são algo útil... mas e como alguem insinuava algures neste tópico.. não devia dar sinal que foi clicado (o que é feito pelo carregar de um outro gif...) porque há programinhas desses que capturam o ecran continuamente, e regra geral as imagens tenham pouca qualidade permitem apanhar o clicar nos teclados...

Julgo que é possivel por a tirar 10 fotos segundo! E aí se houver uma mudanca de cor nas teclas tocadas no teclado.. será possível ver o código!j (Uma coisa que eu faço por vezes é clico uma password e paga umas letras e depois coituo a clicar... mas a eficiência disto tb pode ser contornada)

Depois outra coisa que aconselho é ... antes de entrarem no vosso site.. abram outros sites seguros... tipo https://www.verisign.com ou https://www.mbnet.pt porque apesar de a encryptação la estar... é obvio que se entrarem logo no vosso banco e puserem logo o vosso código... nos primeiros dados enviados estará logo o vosso código acesso... e quem quer que esteja à caça ja vai ter algo para "tentar" decifrar... não tou a dizer que é possível... dizem até que não haveria capacidade computacional para decifrar... Mas eu pelo menos não acresito em tudo o que ouço...

Depois... claro que os bancos não se preocupam com estes casos...

Melhor.. claro que preocupam..mas não iam dizer que se preocupam... pois isso é perder clientes.. ou pelo menos ter de por mais umas centenas de empregados para atender nas repartições...

Assim é preferível assumir a responsabilidade por algum problema que possa haver... de modo que os clientes não fiquem descontentes... Afinal de contas os lucros finais serão muito superiores a estas perdas...

[Bar]

Bom, o problema aqui é o que se insere no proprio computador, porque ter apenas um sniffer depois da informação ter saido do computador nao interessa nada (256 bits) logo o que é inserido no computador pelo teclado, clipboard (que também é logado) e screenshots pode ser "apanhado".

Um bom antivirus com realtime protection geralmente resolvem isso. Convém também ter uma firewall digna desse nome, porque a do Windows, ainda antes do release já tinha uma maneira de ser inutilizada.

[Recolector]

Bom quanto a isto, o que acho que estao a falar é de Keyloggers...

Não, não estamos apenas a falar de KeyLoggers. Estamos a falar, também, de KeyLoggers. Infelizmente, em segurança não se pode falar de aspectos isolados, tem que se integrar todas as ameaças e cruzar os cenários possíveis, o que gera inúmeras situações possíveis. Donde resulta ser muito difícil prever todas as situações, o que implica não existirem sistemas 100% seguros.
Há sempre um compromisso que depende do contexto e dos objectivos a alcançar, em que uma opção técnica é MENOS MÁ que outra(s).

[Bar]

Bom quanto a isto, o que acho que estao a falar é de Keyloggers que sao programas que depois de executados no computador host (vitima), transmitem informação para um email, e posteriormente o atacante lê a informação recebida. Os teclado Virtuais, a meu ver, são as melhores protecções para este tipo de ameaças. Que é possivel em qualquer pc. nao necessita de estar incluido no interface do banco.

resumindo, não aceitem nenhum ficheiro, principalmente *.exe que pode trazer um presente e desligar o antivirus sem voces notarem e a firewall tb

abraços

[pemides2]

Se o seu banco ou correctora online, usa um teclado virtual, NÃO aceda através de computadores públicos ou partilhados

Nem com teclado virtual, nem com teclado normal.
É estúpidamente fácil fazer um keylogger em VB por exemplo. Basta ler o livro "técnicas de programação avançada em Visual Basic" (não me lembro do autor)e ter o VB instalado. Lá tem o código de um. Basta pô-lo a correr num computador e memoriza tudo o que se escreve. Nem sequer é preciso saber programação. Basta saber copiar.

Por isso, nunca aceda a homebanking através de um computador público ou partilhado, pois nunca sabe se um programa destes está a correr!

Cumprimentos

[Recolector]

Se o seu banco ou correctora online, usa um teclado virtual, NÃO aceda através de computadores públicos ou partilhados (no emprego por exemplo), pois quase sempre será pura e simplesmente impossível você ter garantias de segurança ... a não ser que seja o administrador do seu sistema! Mas aí quem perderia segurança, seria a empresa ou local, onde você estivesse

Os sistemas que combinam, equilibradamente, o par USER/PWD, por teclado, com PWDs de 2º nível e elementos de códigos aleatórios indicados por rato, têm uma segurança mais uniforme em todos os contextos. Hoje em dia quem não usa home-banking no emprego ? A vida moderna cada vez mais o exige !

[Recolector]

Eis um texto didático, sobre segurança informática que consegue ser simultâneamente abrangente e sintético : http://www.******.com/artigo.php?id=230

P.S.
-------------
Quanto aos KeyLoggers, temos que distinguir aqueles que capturam o teclado, dos que se especializam nos elementos do interface do Windows (text boxes por ex.). Será útil ter uma utilização que combine o teclado com o rato. Exemplificando: num PC com um KeyLogger ao teclado, acedendo a um site com User/PWD, através do favoritos, utilizando o rato para escolher o site, o pirata fica com o par User/PWD, mas sem a informação do site correspondente. Isto evidentemente, se o histórico de KeyLogging não for muito longo e se o USER não for típico (associável) do site em questão.

[Hacker]

"Quanto aos teclados virtuais serem seguros, só digo uma coisa, um dos critérios que utilizo para abrir conta on-line num banco é a não existência de teclados virtuais para a password !"

Vê-se que não percebe nada disto...

[Recolector]

Mas como faço para eliminar esse malvado , caso o tenha já?
Tenho o Panda mas por vezes não actualizo. Quem tem a gentileza de indicar onde e como fazer?
Penso que é de preocupar!

Tendo o Panda, pode ir a
http://www.panda-software.com/download/updates
para actualizar o antí-virus e depois verifique todos os discos.
Não se esqueça também de manter o Windows actualizado, pois a Microsoft disponibiliza regularmente correcções a problemas de segurança.
[url]windowsupdate.microsoft.com[/url]

Caso tenha orçamento para isso, pode ter dois computadores, sendo um apenas para assuntos "sérios", como por exemplo, acesso a banca-online; bolsa; etc. Pode comprara um switch de monitor e partilhar o mesmo monitor/rato/teclado para os 2 PCs.

[tiopatinhas]

Mas como faço para eliminar esse malvado , caso o tenha já?
Tenho o Panda mas por vezes não actualizo. Quem tem a gentileza de indicar onde e como fazer?
Penso que é de preocupar!

[Recolector]

Sem querer duvidar da existência do cavalo de tróia "Tofger AT", parece-me que a divulgação desta notícia, pela Panda, se assemelha a um pseudo-hoax, que teria como resultado pôr toda a gente a comprar antí-virus, da Panda e das outras companhias
É de relembrar que todos os principais fabricantes de antí-virus já têm actualizações que resolvem este problema
Os key-loggers já existem há muito tempo e só não têm causado mais problemas, porque :
1- Não basta a info do par User/Pass, é necessário associar esta informação ao site visitado, o que não seria impossível, mas obrigaria a utilizar conjuntamente outros métodos de pirataria.
2- Geralmente os bancos pedem uma pass de 2º nível para transferências, pelo que em muitas situações, o pirata ficaria limitado a efectuar consultas ou a dar ordens de bolsa ruinosas para o titular da conta

Quanto aos teclados virtuais serem seguros, só digo uma coisa, um dos critérios que utilizo para abrir conta on-line num banco é a não existência de teclados virtuais para a password ! Só o facto de ser possível instalar, no nosso PC, software que permite ver remotamente o nosso ambiente de trabalho (e controlá-lo remotamente se pretendido) é suficiente para eu desconsiderar essa opção. Este tipo de software é muito utilizado em médias/grandes empresas para manutenção técnica e infelizmente é possível conceber programas destes que se instalam e utilizam dissimuladamente. Há casos de bancos em que as teclas do teclado virtual até se deprimem, quando se clica com o rato ... deve ser para se ver bem

Para mim o sistema do AB7 é dos melhores, pois combina, de forma correcta, ambos os métodos; o conjunto User/Pass, com maoir peso e o teclado virtual para informação semi-privada.

Quanto a mim o ideal seria um sistema de protecção do tipo do AB7, mas no qual, a parte do teclado virtual seria substituida por um par de chaves publica/privada, em que a privada seria a impressão digital. Já se fabricam leitores de impressão digital, viáveis, a +-30 contos. É uma questão de tempo, que poderia acontecer + cedo se os bancos portugueses e as empresas nacionais de TI se juntassem em torno deste projecto.
Eis uma ideia para as Novabases, Pararedes, Reditus e afins

[Vicking]

Não estou muito preocupado com esta situação...são noticias lançadas para criar alarmismo, como já foi dito não tem surgido casos.

[Rura]

Sim se puderem gravar os movimentos do rato. mas nada garante que o teclado esteja sempre no mesmo sitio... Se não fôr dessa forma não percebo como.

[ASR]

Não sei se o teclado virtual é assim tão seguro...

Se eu fizer 1 transação apenas, talvez.
Agora se eu fizer várias (100 por exemplo) e se forem todas interceptadas, poderão avaliar as 100 perguntas e as 100 respostas e com algum esforço (ok, bastante esforço) poderão eventualmente descobrir algo...

Não estou a dizer com isto, que não se devem usar estes mecanismos de teclados virtuais e afins, apenas quero lembrar que não são infalíveis...
Poderão oferecer uma grande resistência, mas não são garantia de segurança absoluta.

/ASR

[Visitante]

Esta situação não é nova e trata-se de um "cavalo de Troia" (vírus) que regista num ficheiro o que é introduzido pelo utilizador no teclado e envia para um sítio qq a informação. O Teclado Virtual resolve.

Ass.: rura

[Thomas Hobbes]

Isto é preocupante, ainda por cima as pessoas que fazem este tipo de golpes por mais que se justifiquem que é o Banco que paga não deixam de ser ladrões...

Os bancos portugueses minimizaram esta sexta-feira o alerta de um novo vírus informático que grava as palavras-passe dos utilizadores de contas online, afirmando que os seus mecanismos de segurança são eficazes e que ainda não houve queixas.



A empresa Panda Software, que desenvolve programas de segurança informática, anunciou quinta-feira ter detectado um vírus (trojan Tofger AT) que se instala nos computadores e captura o texto introduzido em ligações seguras, desenvolvido especialmente para o mercado ibérico.
«O Tofger AT mantém o registo das acções desempenhadas pelo utilizador na Internet, registando as passwords introduzidas em ligações seguras https, frequentemente utilizadas na comunicação com serviços de banca online», segundo um comunicado enviado à Agência Lusa.

A empresa nota ainda que o crescimento de infecções registado nas últimas 24 horas é bastante alto pelo que «existe o risco de causar problemas mais sérios aos utilizadores da banca online portuguesa».

Contactados pela Lusa, BPI, BES e BCP afirmaram não ter ainda qualquer registo de queixas dos clientes, reiterando que os mecanismos de segurança utilizados são eficazes.

«Para o banco esta situação não é nova, este tipo de vírus não é novo, já existe há algum tempo», disse Paulo Vila Luz, do BPI.

Além disso, o banco tem «efectiva confiança no sistema de segurança» que utiliza, disponibilizando no seu site «informação sobre este tipo de questões», acrescentou.

Também Ana Matos, do BES, lembrou que este banco foi o primeiro português a implementar o teclado virtual (que aparece no ecrã e é comandado pelo rato) para introdução de palavras-passe e códigos de confirmação de operações.

«Como tal, não está vulnerável a este tipo de vírus baseados em keyloggers», disse à Lusa.

«De resto, o BES tem um conjunto alargado de outros mecanismos de segurança e monitorização das operações bancárias efectuadas através da Internet que garantem a máxima segurança aos seus clientes.

Estes mecanismos são alvo de constante evolução no sentido de prevenir as novas ameaças que vão surgindo neste meio», referiu.

Gonçalo Moreira, do BCP, descreveu à Lusa o sistema de acesso às contas online dos clientes, onde além do nome do utilizador e palavra-passe são pedidos dois números (sempre diferentes) de um cartão de identificação pessoal, o bilhete de identidade ou passaporte.

«Existe um terceiro campo, e para se ter acesso à conta é pedido este número, que não é introduzido através do teclado», explicou.

Além disso, o banco tem «o cuidado de produzir uma newsletter (boletim com informação) de segurança, disponível no site, alertando as pessoas para os cuidados que devem ter», acrescentou.

Já a Associação Portuguesa para a Defesa dos Consumidores (DECO) afirmou que esta é uma «situação muito preocupante a ser verdade» porque os «bancos portugueses gozam de uma boa fama a nível internacional por terem sistemas muito sofisticados e impossíveis de romper».

Em diariodigital

Já agora alguem tem um update a esta noticia