domingo, 6 de fevereiro de 2022

Redes sociais: dicas para melhorar sua segurança digital

Veja algumas dicas para proteger a sua identidade contra roubo e para que sua interação nas redes sociais fique mais segura:

Dica 1: Cuidado com o excesso de informações pessoais. Cinco coisas que você nunca deve compartilhar: data de nascimento, endereço residencial, número de telefone (telefone comercial pode ser uma exceção) cidade e estado onde nasceu.

Dica 2: Personalize as opções de privacidade em cada site. Nas seções sobre privacidade, descubra as opções para limitar quem pode ver diversos aspectos de suas informações pessoais, as opções padrão geralmente não são as mais seguras.

Dica 3: Limite detalhes do seu histórico de trabalho no LinkedIn e outros sites do gênero. Ladrões de identidade podem utilizar essas informações para, por exemplo, preencher um pedido de empréstimo, adivinhar uma pergunta de segurança de senha ou tentar invadir a rede corporativa.

Dica 4: Não confie, verifique. Antes de fornecer informações ou clicar em links, você precisa confirmar se uma página que supostamente é de um amigo ou de uma empresa, pertence de fato a quem diz.

Dica 5: Se descobrir que alguém está clonando você em uma rede social, entre em contato com o administrador do site imediatamente, os sites mais respeitáveis removem o conteúdo clonado.

Dica 6: Evite compartilhar detalhes pessoais acidentalmente, os recursos do tipo "o que você está fazendo agora?" facilitam o vazamento de dados que você não forneceria normalmente e outras pessoas podem utilizá-las com propósitos nefastos.

Dica 7: Pesquise a si mesmo. É uma boa ideia pesquisar seu nome periodicamente e checar seu perfil do modo que outras pessoas o veem nas redes sociais. Depois retifique adequadamente seu perfil, suas configurações e seus hábitos.

Dica 8: Não viole as políticas de social networking da sua empresa. Para evitar incidentes de vazamento de dados (perda de informações corporativas, confidenciais ou de clientes), declarações públicas impróprias sobre ou para a empresa, utilização de recursos corporativos para fins pessoais e assédio ou comportamento inadequado por parte de um funcionário, verifique a política de uso aceitável da sua empresa.

Dica 9: Saiba como os sites podem usar sua informação: suas informações são partilhadas com outras empresas e parceiros? Quais informações do seu perfil ou do conteúdo da sua página podem ser utilizadas pelo site? Veja a política de privacidade do site, revele apenas detalhes apropriados sobre si mesmo e ative cada configuração de privacidade que você puder controlar.

Dica 10: Esqueça o concurso de popularidade, a menos, é claro, que trabalhe em algum tipo de mídia. Se você classifica como amigos somente os indivíduos que realmente se tornam seus amigos, então suas informações pessoais correm menos risco de uso inadequado.

Dica 11: Crie uma rede social menor, com frequência, comunidades formadas por conta própria se desenvolvem melhor em torno de assuntos muito específicos, não se perdendo nos sites maiores.

Dica 12: Configure uma conta OpenID, o padrão de código aberto propõe a criação de uma identidade centralizada para cada usuário da Internet, que pode ser usada para acessar vários serviços e aplicativos on-line, de modo que a autenticação de sites seja feita através da leitura de um identificador de banco de dados com todas as informações relevantes, em vez do processo padrão de inserção de login e senha. Diversos sites aceitam e fornecem OpenID’s.

terça-feira, 5 de julho de 2016

O que é COCOMO II

COCOMO (COnstructive COst MOdel) é um modelo de estimativa paramétrico que envolve o uso de equações matemáticas para fazer estimativas de esforço, prazo e tamanho da equipe em projetos de software. Suas equações são baseadas em pesquisa e dados históricos e utilizam como entrada a quantidade de linhas de código (ou pontos de função) e a avaliação de outros aspectos relevantes para a estimativa chamados de cost drivers.

A fórmula básica usada pelo modelo é: PMnominal = A x (tamanho)B

Onde PM é o esforço (Person-Month) do projeto, sendo o tamanho chamado de Fator de Custo Primário (expresso em unidades de milhares de linhas de código-KSLOC). Este número pode ser derivado de várias formas, inclusive pela quantidade de pontos de função não ajustados do projeto. A variável A é determinada por uma constante e por características (chamadas fatores multiplicadores) que são avaliadas pelo modelo. A pesquisa que embasa o modelo verificou que a relação entre a variação do tamanho e o esforço é não-linear. Por isto há a também variável B na fórmula que afeta o esforço de forma exponencial. Esta variável é composta por uma outra constante e por características (chamadas fatores de escala) que são também avaliadas pelo modelo. Para que o COCOMOII seja efetivo é necessária a definição das constantes apropriadas para o contexto onde ele será usado, este processo é chamado de calibração e é feito através da análise de dados históricos de projetos realizados pela organização.

Algumas características interessantes do COCOMO II:

  • Modelo aberto, isto permite que o estimador possa entender o porque da estimativa fornecida pelo modelo. E também por ser um modelo aberto, há diversos softwares disponíveis no mercado (vários gratuitos) que o implementam.
  • Modelo bem formal, define explicitamente quais as atividades e papéis incluídos nos produtos da estimativa assim como todas as premissas consideradas em sua definição.
  • Os fatores multiplicadores e de escala podem ser utilizados também como uma lista de verificação para outros métodos de estimativa, ajudando a melhorar as estimativas destes outros métodos. É muito comum uma estimativa falhar por esquecimento do estimador de algum fator crítico para a produtividade do projeto.
  • Os fatores do modelo podem ser usados para a definição de categorias de produtividade e critérios para enquadramento de projetos nessas categorias.
  • É aplicável tanto a projetos com ciclo de vida em cascata ou iterativo incremental.

sábado, 4 de junho de 2016

Resenha do livro: A Arte de Invadir - Kevin Mitnick

A Arte de Invadir
Autores: Simon, William L.; Mitnick, Kevin D.
Editora: Prentice Hall 
ISBN: 8576050552

Este livro foi escrito pelo ex-cracker e atual consultor de segurança Kevin Mitnick. No livro ele conta histórias que mostram que os hackers estão descobrindo novas vulnerabilidades todos os dias e procura mostrar ao leitor novas atitudes e novas posturas em relação à segurança. 

As histórias descritas no livro foram obtidas através de entrevistas dos autores com hackers que aceitaram falar em troca da preservação das suas identidades. O acesso aos hackers só foi possível graças ao prestígio que Mitnick possui no meio, que gerou confiança suficiente nos entrevistados de que não seriam expostos indevidamente.

A primeira história é sobre um grupo que comprou máquinas de vídeo pôquer usadas nos cassinos, leu o seu firmware, estudou o algoritmo de distribuição das cartas e montou um esquema para maximizar a probabilidade de ganho baseando-se nas "mãos" que já haviam saído e no tempo entre as jogadas. Depois de ganharem algumas centenas de milhares de dólares, eles acabaram sendo pegos em um cassino. A partir deste episódio, os fabricantes de máquinas de jogos eletrônicos para cassinos adotaram uma série de novos procedimentos de segurança, entre eles, vedar os chips das máquinas com um epóxi que destrói o chip se alguém tentar retirá-lo e aumentar a complexidade dos algoritmos dos jogos de forma a diminuir a possibilidade de previsão dos resultados.

A segunda história é sobre um grupo de jovens hackers americanos que acabou sendo influenciado por um suposto terrorista muçulmano a invadir os computadores dos órgãos de defesa dos Estados Unidos. Eles acabaram não obtendo informações muito relevantes, já que, a segurança das instituições que foram alvo de ataque era muito elevada, porém, para pelo menos um deles, representou um bom tempo na cadeia. Depois, alguns membros do grupo acabaram tendo uma crise do consciência ao desconfiar que parte das informações que obtiveram pode ter ajudado no planejamento do ataque às torres gêmeas em 11 de setembro. Neste capítulo o autor discute como jovens com talento tecnológico podem ser usados por pessoas mal-intencionadas em função da sua curiosidade e ingenuidade. Ele também dá algumas dicas para empresas melhorarem seu nível de segurança, tais como, sempre aplicar todos os patchs disponibilizados pelos fornecedores de software, montar uma arquitetura de rede de forma que os sistemas menos críticos fiquem em uma zona desmilitarizada (DMZ) e os mais críticos na rede interna e usar outras formas de autenticação além das senhas estáticas como certificados digitais, por exemplo.

E assim, ao longo do livro ele vai relatando outras histórias repassadas por pessoas que burlaram de alguma forma os esquemas de segurança dos sistemas de informação. Com isso, o livro permite que tomemos conhecimento das técnicas utilizadas pelos invasores e passemos a tomar mais cuidado no nosso dia a dia.

É uma leitura fácil e que prende a nossa atenção. Portanto, eu recomendo.

terça-feira, 25 de novembro de 2014

Dicas para identificar um email falso

É relativamente fácil identificar um e-mail falso, já que a maioria deles possuem características muito semelhantes. Para ajudar nesta tarefa, apresentamos abaixo algumas dicas de identificação.

Normalmente, o conteúdo tenta se passar por uma mensagem emitida por instituições conhecidas. Os responsáveis por esta prática criam mensagens falsas que incorporam cores, logotipos, slogans e outras características da identidade de alguma instituição conhecida. O objetivo é fazer com que o usuário acredite que aquela entidade está, de fato, se comunicando com ele.

Imagem 1: Exemplo de e-mail com conteúdo falso.

Os principais indícios de que se trata de uma mensagem falsa são:

Erros gramaticais e ortográficos

Instituições sérias se preocupam com a sua imagem e não emitem comunicados grosseiros. Logo, se você se deparar com uma mensagem com erros ortográficos e gramaticais em nome de uma empresa ou órgão do governo, muito provavelmente estará diante de um e-mail falso.

e-mail com conteúdo falso e erros ortográficos
Imagem 2: Exemplo de e-mail com conteúdo falso e erros ortográficos.

Links estranhos ou anexos suspeitos

É comum a utilização de links "confusos" (que você não seria capaz de guardar de cabeça) ou que, de alguma forma, se assemelham ao endereço legítimo da entidade mencionada na mensagem.

É possível também que a descrição do link exiba o endereço legítimo do site da empresa, mas, ao passar o cursor do mouse por cima deste, o navegador de internet ou cliente de e-mail mostre o link verdadeiro e, consequentemente, suspeito. Daí a importância de ficar atento a este detalhe.

e-mail com conteúdo falso e link suspeito
Imagem 3: Exemplo de e-mail com link suspeito e não condizente com o conteúdo.

Argumentos alarmantes ou que instigam a curiosidade

Para que uma fraude ou roubo de informações tenha o efeito esperado, é necessário que o usuário realize alguma ação: clicar em um link, abrir o anexo ou responder a mensagem, por exemplo. Para que isso ocorra, o responsável pela fraude costuma utilizar argumentos alarmantes, que estimulam a curiosidade, que despertam a sensação de urgência ou cause sensação de oportunidade na pessoa.

a) Envolvendo bancos:

Apresenta elementos que o usuário tem uma dívida de empréstimo bancário e que seu nome será registrado em órgãos de proteção ao crédito se o pagamento não for realizado.
Afirma que o usuário deve fazer um recadastramento para não ter o acesso à sua conta bloqueada;
Avisa do lançamento de um novo módulo de proteção que deve ser instalado no computador da pessoa;
Se passa por um comprovante de depósito supostamente feito na conta da pessoa;
Avisa que o login, chave de acesso ou token do usuário expirou, sendo necessário clicar em um link para renová-lo.

b) Envolvendo cartões de crédito:

Se passa por um lançamento no cartão do usuário, muitas vezes de valor expressivo;
Se passa por uma fatura de cartão, muitas vezes com vencimento próximo;
Argumenta que o usuário tem pontos de fidelidade prestes a expirar.

c) Envolvendo entidades do governo:

Afirma que um documento - como Título de Eleitor ou CPF - será cancelado caso o usuário não clique no link ou anexo para atualizá-lo;
Alega que o usuário tem uma pendência de grande valor na Receita Federal ou que há irregularidades em sua declaração de Imposto de Renda;
Afirma que o usuário está sendo intimado por um órgão judicial ou autoridade policial;
Alega que a pessoa tem multas de trânsito ou irregularidades nos documentos do seu carro.

d) Envolvendo notícias e acontecimentos recentes:

Promete detalhes supostamente encobertos pela imprensa ou fotos fortes de uma tragédia de grande repercussão;
Promete informações exclusivas sobre escândalos políticos, celebridades ou denúncias.

e) Promessas de revelações:

A mensagem promete revelar fotos que mostram que a pessoa está sendo traída;
A mensagem promete revelar informações exclusivas a respeito de uma celebridade;
A mensagem promete revelações conclusivas sobre teorias de conspiração.

f) Promessas de prêmios, recompensas ou heranças:

Afirma que o usuário foi sorteado e ganhará passagens aéreas, carros, bônus ou prêmios em dinheiro;
Afirma que o usuário tem um prêmio pendente na loteria e que irá perdê-lo se não resgatá-lo nas próximas horas;
Uma pessoa se passa por um herdeiro de uma grande fortuna e que necessita mudar de país por razões políticas e oferece uma compensação significativa, caso o usuário ajude-o neste processo;
Oferece o dobro de bonificação após o usuário realizar um cadastro;

g) Mensagem enviada por engano ou demonstrando interesse:

Promete fotos íntimas de alguém ou de festas, sendo escrita de forma a fazer o usuário acreditar que o e-mail chegou a ele por engano, uma tentativa de alimentar a curiosidade;
Se passa por um contato de um admirador secreto desconhecido, mas que quer se revelar à pessoa.

h) Envolvendo redes sociais:

Afirma que a conta do usuário em uma rede social será excluída ou passará a ser paga se determinada ação não for realizada;
Se passa por um recado ou convite de alguém numa rede social;
Afirma que o usuário foi marcado em fotos de uma pessoa, geralmente desconhecida, numa rede social.

É comum receber um e-mail fraudulento em nome de uma empresa da qual somos verdadeiramente clientes. Porém, em geral, o fraudador não sabe que somos clientes dessa empresa e faz apenas tentativas de acertos. Ou seja, a mensagem é disparada para milhares de e-mails de uma só vez porque o emissor sabe que uma parcela significativa destas contas provavelmente pertence a pessoas que são, de fato, clientes de determinadas empresa.

E se o e-mail contiver meu nome completo ou meu CPF? O que acontece é que, de alguma forma, o fraudador teve acesso a um banco de dados com cadastros de pessoas. Isso é possível, por exemplo, quando um site de comércio eletrônico é invadido ou quando um funcionário de uma empresa revende indevidamente estas informações. Por isso, mesmo quando a mensagem contiver dados pessoais, não desconsidere a possibilidade de haver uma tentativa de fraude ali.

E se mensagem foi enviada por uma pessoa conhecida? Mesmo que uma mensagem suspeita tenha sido enviada a você por um amigo ou conhecido, desconfie e, se possível, questione a pessoa sobre a sua emissão. Não é raro acontecer de vírus conseguirem acessar e-mail, serviços de mensagens instantâneas ou mesmo redes sociais para propagar conteúdo malicioso sem o dono da conta perceber.
O importante é estar o tempo todo atento a estes tipos de artimanhas e contar também com um bom programa anti-spam.

sexta-feira, 22 de agosto de 2014

Microcomputador TK90X

Para quem viveu o início da era dos microcomputadores no Brasil, é uma beleza ver um TK90X em perfeito estado como este que está exposto no Museu dos Brinquedos de Belo Horizonte:
Tem até o manual!

quarta-feira, 18 de setembro de 2013

Pizzaria STF

Está pronta a pizza do mensalão na pizzaria STF. Acabou de sair quentinha do forno agora...


segunda-feira, 13 de maio de 2013

Cursos gratuitos na Fundação Bradesco

A Fundação Bradesco possui uma Escola Virtual que oferece diversos cursos à distância, de vários assuntos diferentes, totalmente gratuitos e que podem ser feitos por qualquer pessoa.

É uma excelente oportunidade para quem está precisando melhorar os seus conhecimentos, mas está com o orçamento apertado.

Vejam mais detalhes no site:

sexta-feira, 19 de abril de 2013

O senhor de engenho, o capataz e o escravo

Vejam essa entrevista do Waldez Luiz Ludwig para a Leda Nagle no programa Sem Censura. Não é o retrato exato de pelo menos 90% das empresas brasileiras?

A formação da nossa sociedade tem uma raiz cultural muito forte que é difícil de romper. Continuamos até hoje no sistema de “casa grande e senzala”.

sexta-feira, 22 de março de 2013

Etiqueta virtual: Boas práticas no envio de emails

Existem algumas regras básicas ao enviar emails, que se forem seguidas por todos, farão a nossa relação com o email ser muito mais proveitosa, principalmente no mundo corporativo:
  • Antes de enviar um email, pense se o destinatário realmente precisa recebê-lo. Muitas vezes copiamos pessoas que não tem interesse no assunto.
  • Observe se o conteúdo pode ser divulgado para todos os destinatários e se não está sendo infringida a lei de direito autoral ou a política de confidencialidade da sua empresa.
  • A privacidade das pessoas deve ser preservada também no mundo virtual. Por isso evite expor ou apontar erros, principalmente se houverem mais pessoas copiadas no email.
  • Não use email particular para comunicações da empresa e nem email da empresa para comunicações particulares.
  • Preencha sempre o campo assunto. É ele que vai determinar a prioridade e o interesse do destinatário na leitura.
  • Mesmo que o objetivo seja apenas enviar algum documento anexo, redija uma pequena mensagem no corpo do email.
  • Se no corpo da mensagem estiverem reproduzidas outras respostas originárias da troca de emails, apague aquilo que não for necessário.
  • Apague do corpo da mensagem os endereços de email registrados pelas trocas anteriores de mensagens e que não são de interesse dos destinatários.
  • Não estabeleça discussões inflamadas por email. A interpretação da leitura é pessoal e o objetivo da sua mensagem pode ser distorcido. Em certos casos o melhor é conversar pessoalmente.