Category Archives: Seguranca

Processo Sf.bin sobrecarregando a CPU

Olá amigos, para quem está com problemas com o desempenho do computador e tem um processo chamado Sf.bin que aparece e desaparece a cada segundo, a solução é bem simples.

Esse processo é do Avast, ele está escaneando algum arquivo, no meu caso ele estava sempre escaneando um plug-in do Banco do Brasil, pelo gráfico do Avast ele estava escaneando toda hora uma DLL desse plug-in.

Para resolver esse problema você precisa colocar a pasta na lista de exclusões do Avast:

1. Abra o Avast e clique em “Módulos Residentes” e em “Módulo Arquivos” Observe o ultimo arquivo escaneado, se esse arquivo ficar aparecendo constantemente significa que é ele o problema.

2. Clique em “Configurações avançadas” e clique em “Exclusões”.

3. Adicione o caminho do arquivo que está sendo escaneado na lista de exclusões.
OBS: Adicione o caminho do mesmo jeito que é exibido, por exemplo: “C:\arqui~\programa”.

Vi esta dica no Blog do Douglas Dionisio.

Também, é bem útil desativar a UTILIZAR EMULAÇÃO DE CÓDIGO no seguinte caminho:

MÓDULOS RESIDENTES > MÓDULO ARQUIVOS > CONFIGURAÇÕES AVANÇADAS > SENSIBILIDADE

ShodanHQ– Insegurança da informação na internet

Muita gente usa o Google para encontrar brechas de segurança na web, mas poucos conhecem oShodanHQ. Este site é um buscador de vulnerabilidades que facilita a vida de quem procura por brechas para explorar. Nele você pode encontrar roteadores, firewalls e sistemas de câmeras com senhas padrão e serviços como HTTP, FTP, e Telnet com as versões dos servidores que possuem brechas conhecidas de segurança.

Abaixo segue a página principal do site:

new_shodan

Quem tem acesso ao seu Gmail, Facebook, Twitter e Dropbox?

Atualmente a sociedade está fortemente influenciada pelos serviços web. A Internet tomou conta de uma boa parte da nossa atenção e “ofereceu” ferramentas para a utilizar nas nossas actividades. Um caso de sucesso são as redes sociais, fazemos amigos sem sair do sofá. O webmail terá sido o primeiro grande trunfo para nos agarrarmos à web e atrás destes muitos outros. Alguns são importantes ao ponto de termos dados pessoais lá contidos e esses dados são valiosos!

Apareceram então aplicações que se ligam aos serviços web importantes para a nossa vida e as pessoas dão acesso ao seu perfil com toda a facilidade.

Será isso uma ameaça?

Hoje em dia a maior ameaça não são os vírus… até arrisco dizer que já ninguém “apanha vírus”… o problema, a tal grande ameaça, é o ” tipo C da engenharia social”. O malware hoje criado tem como MO capturar a confiança do utilizador, passar por fidedigna a mensagem que chega a cada um de nós e acreditar na nossa benevolência e distracção. Acontece mais do que aquilo que julgamos… e todos estamos no alvo desse malware!

Nós somos “escravos” de ferramentas que têm um habitat próprio! São Ferramentas que nos convidam a participar nalguma coisa, que nos oferecem espaço para armazenarmos alguma coisa online sem pagarmos nada e parece que há vida autónoma entre estes serviços.

O Facebook convida o Twitter a cruzar informação, é o TwitPic que oferece ao Twitter espaço de armazenamento de fotos, é o Farmville que oferece ao Facebook área de cultivo, é o DropTunes que dá música ao Dropbox e tudo isto com o nosso benévolo consentimento. Somos como um maestro distraído nesta sinfonia “promiscua” entre serviços que contêm informação privada a nosso respeito.

Gmail

Programa permite que pais vigiem filhos no Facebook sem serem vistos

Software rastreia atividades suspeitas para enviar alertas aos pais. 38% dos jovens ignoram os pedidos de amizade dos pais no Facebook.

Programa permite que pais vigiem filhos no Facebook sem serem vistos

A empresa de segurança on-line “Check Point” lançou na terça-feira (26) um programa que permite aos pais observarem seus filhos no Facebook sem estar conectados a eles na rede social.

O aplicativo “SocialGuard” examina o perfil do usuário no Facebook, como mensagens e pedidos de amizades, e usa um algoritmo para identificar potencial bullying, insinuações sexuais, conversas sobre drogas, violência ou suicídio. O programa é executado de forma invisível e rastreia atividades suspeitas para enviar alertas aos pais. De acordo com os criadores, os pais não precisam ter uma conta na rede social.

02zprograma

Programa monitora as atividades dos filhos no Facebook e envia alertas aos pais (Foto: Reprodução)

“O objetivo do software é proteger os adolescentes das ameaças sociais, ao mesmo tempo em que protege a privacidade e promove uma comunicação aberta”, explicou Bari Abdul, vice-presidente da “Check Point”.

O software também verifica se os contatos dos adolescentes na internet estão mentindo sobre a idade ou se são estranhos tentando ser amigos deles no Facebook. A empresa citou uma pesquisa que indica que 38% dos adolescentes ignoram os pedidos de amizade dos pais no Facebook. O programa está disponível no site da empresa por US$ 2 mensais ou por US$ 20 por ano.

Fonte: Desmonta&CIA com informações da AFP

Backup e Disaster Recovery para a virtualização de servidores

À medida que a tecnologia de virtualização de servidores evolui e sua adopção no sector aumenta, as organizações percebem benefícios que vão muito além da justificativa mais popular para a virtualização: reduzir os custos de infra-estrutura e aumentar a agilidade de TI. O próximo passo é usar a plataforma de virtualização como uma forma de habilitar ou aprimorar as estratégias de DR (Disaster Recovery – recuperação de desastre).

Por que a prontidão da DR é, de forma generalizada, um dos assuntos mais efervescentes no sector de TI? Estudos sugerem que as empresas perdem, em média, de US$ 80.000 a 90.000 por hora de inactividade, e que poucas empresas a sofrer uma perda de dados catastrófica alcançam uma sobrevida de longo prazo. Este post apresenta uma introdução à DR usando a plataforma de virtualização da Microsoft, uma análise detalhada das opções de backup e restauração existentes e algumas considerações sobre o Windows Server 2008 Hyper-V.

Noções básicas de planeamento da recuperação de desastre
A DR é o processo de restaurar serviços essenciais no caso de uma interrupção, e deve fazer parte do plano de continuidade de todas as empresas. Esse plano define como a empresa continuará a funcionar durante ou após um desastre, e constitui o fundamento de qualquer iniciativa de DR.

Alguns fornecedores afirmam que suas tecnologias de automatização de DR minimizam ou eliminam a necessidade de um plano detalhado e bem testado. Embora seja válido afirmar que a automatização pode reduzir o tempo de recuperação e diminuir a dependência da intervenção humana, vamos fazer uma pausa para um anúncio de utilidade pública: é impossível ter êxito na tentativa de atenuar um desastre contando somente com a tecnologia. As pessoas e os processos são sempre tão importantes quanto as tecnologias.

Na verdade, descobrirá que é praticamente impossível seleccionar as tecnologias certas, sem primeiro conhecer todas as restrições e os objectivos gerados pelo processo de planeamento de DR. Não vamos definir um plano completo de DR. Vamos, sim, enfatizar os elementos necessários para a escolha das tecnologias e implementações certas. Sendo assim, vamos descrever rapidamente alguns factores tecnológicos essenciais em um plano de DR.

Definições e priorização de serviços O que exatamente define todo o serviço que está tentando proteger e qual a sua importância para a organização? A Figura 1 mostra alguns exemplos de serviços de empresas que provavelmente seriam incluídos em qualquer plano de DR.


Figura 1 Exemplo de definições e priorização de serviços

Depois de definir os serviços, podemos começar a identificar os sistemas e as dependências a serem vinculados a que tipos de estratégias de DR. Talvez, depois de observar o conjunto completo de serviços e dependências, descubra que precisa adoptar alguns níveis diferentes de capacidade de DR, pois uma única solução de DR para todos os serviços essenciais seria muito cara e complexa.

Importância do Backup de dados para sua Empresa



Importância do Backup de dados para sua empresa

As operações bem estruturadas de Backup e Restauração  de dados são de vital importância para continuidade do seu negócio! Em  uma realidade onde a informação digital como contratos, registros financeiros e contábeis, contatos de negócios, material de marketing e e-mails representam o ativo mais importante em sua organização, o armazenamento seguro e eficiente de tais informações é mais que imprescindível. É vital!

Entre as possíveis causas para perda de dados estão: falhas no equipamento, roubo, incêndio e desastres naturais.

O pequeno investimento na proteção continuada é justificado pelos altos custos despendidos na tentativa da recuperação  de tais dados.

Ai  vai uma imagem um tanto engraçada :

Esta é uma situação um tanto estranha de se ver, mais nada neste mundo de hoje, não esta longe de acontecer.

Muitas  empresas de grande porte hoje em dia esta meio atrasada em questão de informática.

Muitas delas pagam fortunas quando um servidor para de funcionar e não tem backup de seus dados, alem deste dinheiro que ela esta gastando desnecessariamente a empresa deixa de faturar mais ainda com o servidor parado esperando uma solução viável, isso pode demorar de 4 a 5 dias para que possa se resolver.

Com o backup de seus dados e arquivos fica muito mais simples rápido e barato.

Digamos que você tenha backup Diário de sua Empresa, e o servidor de sistema deu problema, se a solução for formatação dele, isso poderá demorar de 1 a 2 dias para ficar pronto.

E com certeza com pelo menos 95% de satisfação do usuário, muitas vezes nem sente que o servidor não estava Lá.

Hoje existem muitas opções disponíveis para as empresas de armazenamento e backup de seus dados. Algumas das opções disponíveis são as unidades de fita e bibliotecas de fitas, CD-Rs e CD-RWs às tecnologias DVD. Há também a opção de usar o NAS (Network Area Storage) e SAN (Storage Area Networks).

Eles precisam ser usados corretamente e de forma contínua, para ser eficaz.

Cedo ou tarde, todos os sistemas terão de enfrentar algum tipo de falha ou mudança que vai exigir uma restauração do backup. O objetivo é executar os backups que eles estão lá quando você precisar deles.

Você também vai querer considerar se devem ou não manter alguns de seus backups fora do local em caso de sua empresa é afetada por algum tipo de catástrofe natural ou uma catástrofe. Além disso, você também pode querer software para monitorar o processo de backup para garantir que os backups não estão corrompidos também. Esta é uma experiência comum a alguns tipos de mídia de backup também.

Após estas etapas podem ser essenciais para a continuidade do seu negócio deve o seu sistema falhar e você sofre uma perda ou corrupção de dados. Criação de um plano de backup, bem como um plano de recuperação também irá percorrer um longo caminho no sentido de garantir as operações de seu negócio se você topar com uma falha do sistema. Isso ajudaria a estabelecer uma, que é fazer o que lista se seus sistemas falham.

Na falta de backup de dados a sua empresa, especialmente os dados de missão crítica não é nada brevemente de uma receita para o desastre. Nada é tão importante para o seu negócio como os dados que se senta sobre os discos rígidos de seus sistemas.

Fonte: compute-rs

Microsoft fecha 49 brechas em pacote de segurança recorde

No total, são 16 atualizações para Windows, Office e MS Server.
Entre as falhas corrigidas estão as que permitiram a disseminação do Stuxnet.

O Windows 7 possui recusro de gravação de CD/DVD nativo.

A Microsoft liberou nesta terça-feira (12) o maior pacote de atualizações de segurança já produzido pela empresa. Com 16 atualizações, a companhia corrige 49 problemas identificados em softwares como o sistema operacional Windows. Entre as falhas corrigidas estão as que permitiram a disseminação do vírus Stuxnet, que infectou instalações nucleares no Irã e na Índia.

Quatro dos 16 "patches" são considerados de alta prioridade, e devem ser instalados imediatamente por usuários de computadores com sistema operacional Windows. As atualizações de segurança corrigem falhas que permitiam que criminosos assumissem o controle da máquina pela internet.

A Microsoft também corrigiu problemas de menor gravidade no Windows, além de falhas de segurança no pacote Office para PCs e no software para servidores Microsoft Server.

Até esta terça-feira, o recorde de vulnerabilidades corrigidas em um mesmo pacote era de 34, em outubro de 2009. A marca havia sido repetida em outras duas ocasiões, em junho e agosto de 2010.

Cobian Backup – Uma alternativa viável

Cobian Backup é um programa “multitarefas” que pode ser usado para agendar cópias de segurança dos seus ficheiros e directorias. A tarefa cópias transfere os dados do local original para um outro local/drive dentro do mesmo computador ou um computador ligado à rede local.


Pode também agendar o envio de dados via FTP de forma “bidireccional” (download and upload). Cobian Backup apresenta-se em duas versões: a aplicação e o serviço. Neste formato de serviço o programa usa pouquíssimos recursos e corre de forma silenciosa nos serviços do Windows, actuando conforme a agenda de backups.

Download: Cobian Backup 10.0.2.695 [14.52MB]

Empresa pode vigiar tudo que funcionário faz no computador do trabalho

Monitoramento é possível desde que esteja no contrato.
Confira formas que as empresas têm de fazer a vigilância.

Gabriela GasparinDo G1, em São Paulo

As empresas têm o direito de monitorar tudo o que os funcionários fazem no computador do trabalho, desde que a vigilância seja previamente informada e esteja prevista em contrato. Segundo advogados consultados pelo G1, caso o profissional seja pego pelo monitoramento fazendo algo proibido pelo empregador, ele pode ser demitido por justa causa.

Para quem fica o dia inteiro na frente do computador, o rastreamento pode soar invasivo, mas o argumento das empresas é que, se o instrumento é para o trabalho, ele não pode ser usado da forma que os empregados bem entendem.

Empresa paga o pato

De acordo com o advogado Renato Opice Blum, especialista em direito eletrônico, o que legitima o poder das empresas de vigiar os empregados é a própria legislação. O Código Civil prevê que o empregador é responsável por tudo o que os trabalhadores fazem usando as conexões e os equipamentos da empresa.
Isso significa que, se um funcionário cometer um crime por meio do computador do trabalho, a empresa responde judicialmente pelo caso. O funcionário também poderá responder pelo crime, mas os prejudicados costumam processar as empresas por conta de elas terem mais poder e dinheiro em caso de indenizações. “Quem paga o pato é a empresa”, afirma Blum.

E-mail pessoal

O monitoramento do e-mail pessoal é a questão mais polêmica, explica o advogado trabalhista Alan Balaban Sasson, uma vez que muitos profissionais alegam ser invasão de privacidade.

De acordo com o advogado, o monitoramento único e exclusivo do e-mail pessoal do trabalhador não é permitido, mas os programas de vigilância acabam monitorando o e-mail particular quando ele é acessado no computador da empresa.

No entanto, se está previsto em contrato que o computador é monitorado e que, caso o funcionário entrar no e-mail pessoal a página também poderá ser monitorada, e mesmo assim o profissional opta por acessar o e-mail, fica difícil querer questionar a empresa pelo ocorrido.

“O contrato é a palavra-chave. O que o chefe não pode é simplesmente chegar a falar ‘deixa eu olhar seu e-mail pessoal’. Nesse caso, seria uma coação”, afirma. Coação é uma ação injusta feita a uma pessoa, impedindo a livre manifestação da vontade do coagido.

O advogado Blum aconselha que as empresas proíbam ou bloquêem o acesso ao e-mail pessoal para evitar dores de cabeça com a questão.

Bloqueios

Desde que registrado no contrato, as empresas têm o direito de permitir ou bloquear qualquer tipo de ferramenta no computador, além de poder usar de diversos meios para vigiar o funcionário. “Do mesmo jeito que é permitido colocar um supervisor para monitorar o trabalho, é possível fazer a vigilância eletrônica”, explica Sasson.

É permitido, inclusive, gravar conversas do MSN, rastrear arquivos deixados na máquina e monitorar as palavras escritas pelo funcionário.

Justa causa

Além da questão jurídica, as justificativas das empresas para fazer o monitoramento são muitas, explicam os advogados, e vão desde proteger informações confidenciais da companhia a até mesmo acompanhar a produtividade do trabalhador.

“Objetivos vão desde proteger informações confidenciais da companhia a até mesmo acompanhar a produtividade do trabalhador”

Caso um funcionário seja pego pelo monitoramento fazendo algo proibido em contrato pela empresa, ele pode ser mandado embora por justa causa, dizem os advogados.

Em casos de flagrantes de descumprimentos não tão graves, como o acesso a uma rede social quando isso for proibido, o funcionário recebe uma advertência. Em caso de reincidência, ele recebe suspensão e, se repetir pela terceira vez, pode ser mandado embora por justa causa.

Já se ele for pego fazendo algo mais grave, como acessando sites de pornografia infantil, por exemplo, a demissão por justa causa pode ser imediata.
Mercado
De olho nesse grande mercado, uma vez que o computador é cada vez mais a principal ferramenta de trabalho nas empresas, desenvolvedoras de softwares usam a criatividade para oferecer programas que atendam às demandas dos empregadores (veja no quadro acima).

O diretor da NGR Network (Distribuidora do ÚnicoNet), Gustavo Domingos Cardoso, afirma que tanto empresas pequenas como grandes o procuram em busca de soluções.

MSN

Entre os programas desenvolvidos pela empresa está um software que controla o uso do MSN. Com a ferramenta, é possível definir com quais pessoas o funcionário pode interagir e gravar as conversas realizadas. Neto explica que o programa notifica os participantes sobre a gravação.

O programa também rastreia as palavras usadas pelo funcionário na conversa e, se necessário, impede que alguns termos sejam enviados.

Cuidado com senha

A Guidance Software, outra empresa que desenvolve softwares de monitoramento, oferece um produto que monitora tudo o que o funcionário faz no computador, desde arquivos utilizados, a e-mails escritos e sites visitados.

Fabrício Simão, gerente técnico para a América Latina da empresa, diz que, com determinados produtos, é possível capturar senhas não criptografadas de alguns sites, o que demanda cuidado.

Informações que auxiliam usuários também colaboram com criminosos

Criminosos usam informações divulgadas para proteção dos cidadãos. Pesquisador revelou brecha que permitiu criação de código malicioso.

Informar ou não informar, eis a questão que muitos pesquisadores de segurança precisam responder sempre que alguma nova ameaça aparece – seja digital ou não. Criminosos podem usar as informações veiculadas para que cidadãos possam se proteger para aplicar novos golpes, obter mais informações sobre uma fraude e, no caso de segurança da informação, desenvolver novos códigos maliciosos.

Na semana passada, por exemplo, um pesquisador de segurança da McAfee divulgou dados técnicos sobre um vírus que usava uma nova brecha no Internet Explorer 7. Administradores de sistema puderam usar esses dados para proteger suas redes. Mas, também, outro especialista foi capaz de obter e dissecar o código, permitindo que a vulnerabilidade no navegador – antes restrita ao grupo criminoso que a estava utilizando – se transformasse numa falha que qualquer pessoa pode usar, mesmo que não tenha conhecimento técnico. E isso tudo com uma brecha que ainda não tem correção.

É esse “uso duplo” da informação que a coluna Segurança para o PC de hoje discute, mostrando os pontos de vista e as diferentes maneiras que a informação é trazida nos sites de internet.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>>O caso McAfee-Metasploit-Microsoft

Ampliar FotoFoto: Reprodução

Especialistas divergem quanto à liberdade de informar. Metasploit divulga códigos de falhas. (Foto: Reprodução)

Na semana passada, a Microsoft confirmou a existência de um ataque na web que usava uma brecha ainda sem correção capaz de infectar usuários das versões 6 e 7 do Internet Explorer. Em seguida, a fabricante de antivírus McAfee publicou o que ela sabia sobre o assunto, o que incluía alguns dados técnicos do vírus – bem mais do que a Microsoft revelou. O intuito da McAfee era dar mais informações a interessados e permitir que administradores pudessem bloquear o site malicioso e proteger suas redes.

Mas, em posse da mesma informação, um programador israelita foi capaz de obter cópias do vírus. Para a indústria de antivírus, a distribuição direta de códigos maliciosos é considerada antiética. A McAfee não fez isso diretamente, mas deu informações suficientes para que o especialista pudesse deduzir a localização da praga. Ao analisar o vírus, o programador conseguiu desenvolver o código para explorar a brecha.

O código logo foi adicionado ao Metasploit, um kit destinado a especialistas em segurança que realizam os chamados “testes de penetração” – um ataque feito com autorização para verificar a segurança de um sistema. A partir do código no Metasploit, que é aberto, criminosos com um mínimo de sofisticação já conseguem lançar ataques via web, como o original.

Quem trabalha em ferramentas como o Metasploit e desenvolve esse tipo de código, que pode ser usado tanto por criminosos como profissionais, adota uma postura distinta daquela encontrada na maioria dos pesquisadores antivírus.

A indústria antivírus é uma das mais secretas no ramo de segurança. Muita informação não sai do círculo de pesquisadores “credenciados” e, como é um campo onde operam apenas empresas privadas, muita coisa nem sequer é compartilhada entre elas mesmas. A revista “oficial” da indústria, a Virus Bulletin, localiza-se no mesmo prédio da fabricante britânica de antivírus Sophos, o que demonstra a ligação dessas empresas com a circulação da informação relevante para elas mesmas.

Muitas soluções, ferramentas, descrições técnicas e cópias de pragas digitais encontram-se restritas em portais acessíveis apenas a pesquisadores e técnicos credenciados – essencialmente um “clube”. Os motivos para esse fechamento são os mais diversos: medo de que a informação seja má utilizada ou que usuários acabem se infectando sem querer.

Especialistas que lidam com brechas de segurança, por sua vez, costumam divulgar detalhes em locais como a Full-Disclosure, a Bugtraq e revistas eletrônicas (e-zines) – boa parte delas abertas ao público geral.

É por isso que o caso da McAfee é interessante – foi “informação demais” até para um segmento da indústria que costuma revelar tão pouco. No site Viruslist, mantido pela fabricante de antivírus russa Kaspersky Lab, um especialista da empresa pediu mais cuidado cominformações sobre ameaças ainda em curso. Para a o especialista, as informações como as reveladas pela McAfee não devem ser divulgadas em público, mas apenas entre outros especialistas.

Esse pensamento, de limitar ao máximo qual informação está disponível, é chamado de “segurança por obscuridade” (security by obscurity). Com isso, o público geral fica às escuras a respeito do que acontece – e à mercê de empresas privadas, o que faz com que alguns discordem deste ponto de vista. A ideologia oposta é conhecida como “full disclosure”, ou “revelação completa”.

>>>Informação livre: Offensive Computing e VX Heavens

Ampliar FotoFoto: Reprodução

Site foi criado por descontentamento em relação a segredos da pesquisa antivírus. (Foto: Reprodução)

“Ao remover barreiras para a informação, nós acreditamos que a internet será um lugar mais seguro”. Assim é descrita a ideia por trás do siteOffensive Computing, criado pelo especialista em segurança Danny Quist.

O site segue sua ideologia à risca. Além de publicar análise técnicas detalhadas de diversos códigos maliciosos, ele também hospeda a maior coleção pública de pragas digitais. São mais de 1,1 milhão de pragas digitais armazenadas e livremente disponíveis para download, permitindo que qualquer um analise – seja para defender sua rede ou para desenvolver um novo código malicioso.

Tudo isso é muito diferente do que a indústria antivírus está acostumada – e o site tem “cara” de legítimo – diferente do “submundo” dos códigos maliciosos, onde se localizavam os únicos locais onde se podia obter informações desse tipo.
A percepção dos especialistas envolvidos nesse tipo de projeto é a de que, se a informação está acessível para todos, os bons usos irão, mais cedo ou mais tarde, superar os maus.

Ampliar FotoFoto: Reprodução

‘Céu dos Vírus: Os vírus não causam danos, a ignorância sim’ (Foto: Reprodução)

Esse submundo era antes representado por site como o VX Heavens, um ponto de encontro de pessoas interessadas em vírus. Além de disponibilizar uma coleção de pragas digitais, o site também possui artigos e informação sobre análise de vírus, além de colecionar trabalhos científicos sobre o tema.

Proteção de informação levada ao extremo: o caso de Robert Maley
Às vezes, a falta de transparência chega a tal ponto que uma brecha sequer pode ser mencionada. Com o que aconteceu com Robert Maley, que era chefe de segurança da informação do estado da Pensilvânia, nos Estados Unidos. Em uma palestra na conferência de segurança RSA, há duas semanas, Maley mencionou um problema no departamento de trânsito, que permitiu que uma escola de motoristas conseguisse adiantar as provas de seus alunos, favorecendo-os.

Simplesmente por mencionar um problema, já resolvido, e sem dar maiores detalhes, Maley foi demitido. O caso demonstra como alguns gestores – que no caso são do governo, mas poderiam ser também empresas privadas – ainda não lidam bem com qualquer informação que seja revelada. Embora seja um caso diferente, a situação não era muito diferente na década de 90, quando várias falhas de segurança não eram corrigidas para que as empresas não precisassem admitir sua existência.

Ainda hoje, a Microsoft elimina brechas “não reveladas” em suas atualizações, embora isso seja mais raro. São falhas, descobertas por pesquisadores da própria Microsoft, cuja existência a empresa prefere não divulgar. Especialistas argumentam que, por não saberem dessas vulnerabilidades, administradores e usuários podem não perceber a real importância de se instalar uma atualização, apesar de ela corrigir outros problemas.

Segurança da informação é, como o nome sugere, sobre informação. Não por menos, é o campo no qual a questão de publicar ou não uma determinada informação é mais complexa. É claro que na segurança física isso também é um problema; criminosos podem “copiar” crimes, se souberem de sua existência. Por outro lado, é necessário informar o público.

Quanto o assunto fica mais técnico, como no caso da informática, é mais difícil para o público geral (e leigo) analisar se uma determinada informação precisava mesmo ter sido publicada, porque é difícil perceber a utilidade de dados técnicos que não se compreende. Isso complica o debate e torna quase impossível sugerir qualquer tipo de regulamentação. Por enquanto, cada um faz o que acha certo, e, assim, fica difícil encontrar fontes seguras para se informar, enquanto criminosos encontram facilmente o que precisam.

Fonte: G1