Já fez o backup?

Já fez o backup?

Se ocorresse um incêndio no escritório de sua empresa, algum dado digital seria perdido? E se seu notebook ou celular fosse furtado hoje?

Pare e pense: quando foi feito o último backup dos dados de seu notebook? E do servidor da empresa? E de seu smartphone? Garanto que grande parte irá responder que fazem alguns dias, semanas ou até mesmo meses.

Em tempos de estrutura Cloud (Nuvem), novos questionamentos surgem: e se seu fornecedor falhar, algum dado será perdido? Se sim, qual o volume de dados envolvidos neste risco?

Semana passada uma notícia me fez lembrar de postar sobre este tópico. Na quarta, dia 18 de Maio de 2016, um cientista teve seu notebook furtado na saída do aeroporto Santos Dumont (SDU) no Rio de Janeiro (http://oglobo.globo.com/rio/computador-de-cientista-furtado-com-pesquisa-inedita-contra-zika-19359907). No equipamento estavam dados de uma pesquisa inédita sobre o uso de uma droga chamada clorofina para inibir o vírus Zika. Por negligência do cientista, não existiam cópias de segurança dos arquivos.

Backup não é só ter uma cópia de segurança no HD externo por exemplo. Dependendo da importância dos dados, local físico de armazenamento e criptografia também devem ser considerados.

Além do processo de backup é extremamente importante validar a qualidade e eficácia deste. Uma técnica que também é bastante negligenciada é a de simular situações de ocorrências (Disaster – Recovery) para validar o processo de backup e a integridade dos dados que são gerados. De nada adianta ter um rotinas de backup se os dados não estão sendo armazenados de forma correta.

Não conte com a sorte. Backup é algo extremamente importante.

Alerta Heartbleed: sua senha e seus dados podem ter sido hackeados

heartbleed

A notícia de tecnologia bombástica da semana foi a descoberta de um bug nominado Heartbleed na amplamente usada biblioteca de criptografia OpenSSL. A descoberta da vulnerabilidade foi feita por pesquisadores do Google e da Codenomicon, uma pequena empresa de segurança. Através do erro é possível copiar dados dos dispositivos vulneráveis, possibilitando descoberta de senhas, invasão, entre outros.

O problema afeta usuários de vários sites do mundo, inclusive grandes portais e serviços, já que a OpenSSL é usada em cerca de dois terços de todos os servidores de Internet. O bug permanece até que sites vulneráveis tomem medidas para garantir a segurança de suas comunicações. Ele pode levar ao roubo de senhas, comunicações confidenciais, número de cartão de crédito e outros dados privados.

Representantes do Google, Yahoo e Facebook disseram à Reuters que usam OpenSSL e que já tomaram medidas para mitigar quaisquer impactos para os usuários. Porém o alerta é válido para todo e qualquer site, seja ele informativo, de comércio eletrônico, bancos, entre outros.

Não há nada que os usuários possam fazer para “consertar seus computadores”. O problema está nos servidores e até que estes sites vulneráveis tomem medidas para garantir a segurança de suas comunicações, o usuário só pode contar com a sorte. Sites e empresas de que tenham certificados digitais, após a atualização/correção do problema, devem emitir novos certificados e chaves usados para a criptografia de tráfego de Internet com navegadores de Web (Firefox, Internet Explorer, Google Chrome, etc).

Além de servidores, a biblioteca também é utilizada por sistemas operacionais de SmartPhones, como o Android. Porém, a probabilidade de problemas neste caso é bem menor.

Procure trocar todas as suas senhas, mas evite mudá-las até que você tenha como ter certeza que os serviços protegidos por essas senhas não têm a vulnerabilidade Heartbleed. Uma dica é conferir no site http://filippo.io/Heartbleed/. Além disso, considere a adoção de autenticação de dois fatores (2FA) sempre que puder. Google e outros já utilizam este método.

Mais informações sobre o problema:
http://heartbleed.com/

Para verificar se o site usa a versão problemática do OpenSSL:
http://filippo.io/Heartbleed/

Para verificar se seu aparelho Android usa a versão problemática do OpenSSL:
Heartbleed Detector
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

Se você utiliza o browser Google Chrome, pode instalar o seguinte plugin:
ChromeBleed

E se você quiser a explicação técnica em detalhes do problema, recomendo este link:
http://nakedsecurity.sophos.com/2014/04/08/anatomy-of-a-data-leak-bug-openssl-heartbleed/