Fantástico de 7/set/03

Aquela peça, funciona como um memorie card, que guarda tudo que é digitado no teclado.

meio f*d*, tem como testar se tem uma peça desta espetada ?

a senha voce pode abrir um form com um ´teclado´ e a digitacao ser via mouse, mas e outros dados confidencias ?

verificar toda máquina todo dia ?

Galera essa discussão e muito interessante mas acho melhor tentarmos arranjar especificações técnicas daquele acessório pra testarmos . Ele deve ter algum tipo de falha perceptivel ou algum tipo de resposta para gravação concordam. vou procurar se achar algo postarei aqui

Atenciosamente
Equipe Ndjei

Não sei se vocês concordam , mas se o equipamento funciona só com hardware, ou seja sem nenhum software instalado , boa parte de nossa segurança vai pro saco, de que adianta senha de rede/sistema etc se os dados são capturados via teclado.

Na maior parte das instalações físicas, a peça sequer será percebida, gostaria de saber mais detalhes , alguém sabe de algo.

o pior e que concordo vamos tentar achar algum fornecedor que tenha as especificações da peca pra estudarmos galera


Atenciosamente
Equipe Ndjei

Ainda bem que vi alguém que se preocupa além de mim.

http://invisible-keylogger.com/keyghost-pro.htm

Pessoal, o ´charuto´ como foi chamado ontem no fantastico ja é manjado, até onde eu sei, não nescessita de programas, ele é ligado entre o teclado e a entrada na CPU. Dali ele codifica os sinais e grava no seu disquinho. Mas o pior é que existem meios mais terriveis, como o ´GURDIAO NOTURNO´, um hardware q não é de Jesus, tamanho de um clips q se conecta na saida da USB,e quase inpreceptivel, por que simula a saida. Mas o certo mesmo, é manter a CPU aos quinze cadiados e firewalls.

Confeso que nunca tinha visto, mas não tem firewall, é na máquina local !!

Não tem como verificar se tem algum hardware estranho espetado na máquina ?

Vou ler la era bom que a gente arruma-se um fornecedor por aqui , ai poderiamos comprar pra fazer testes o q acha Mota?

Vou falar com algums amigos pra ver se consigo algo

ae isso é coisa veia, na net rola uma pessa k vc mermo pode fazer em casa k no total vai sa no maximo 15 conto, e ela fica do tamanho de um anel pro dedo mindin de uma crianca de 10 anos, ele grava tudo do teclado i do mouse tb, é so vc encaixa na usb, se alguem aki é haker, deve saber dissu, fuiz.

Talvez vala mesmo a pena.

Já estou pensando em mudar o form de login, para um com teclado simulado e acesso só via mouse.

Salva ao menos a senha.

Também tem como fazer um desses na edição de julho/2003 da [url=http://www.2600.com]2600[/url]. Sai bem mais barato que encomendar um pronto.

Prezados colegas.
Infelizmente, enquanto muitos se preocupam em desenvolver sistemas que enchem os olhos de seus clientes, estão se esquecendo de um ponto muito forte que é a segurança de dados.
O questionamento a seguir serve para refletirmos um pouco nesta segurança:
1 - Quando uma alteração é realizada em algum registro, existe em seu sistema algum recurso que grave a data, hora e operador que realizou tal alteração?;
2 - Suas senhas de acesso são sempre as mesmas?;
3 - As senhas para seu sistemas são codificadas?;
4 - Seus sistemas possuem arquivos de LOG que mapeiem todas as operações realizadas?;
E assim por diante, poderíamos citar aqui diversos outros pontos que deixam os sistemas desenvolvidos vulneráveis para ações primárias na informática, como a exibida pelo fantástico.
Nós, aqui na empresa que trabalho, temos um sistema de login que ficou batizado de ´o chato´.
utilizamos a combinação entre dia, mês, ano e alfabeto. Para cada dia uma senha diferente.
É claro que o usuário é instruído quanto a forma correta de calcular a sua senha do dia, por exemplo: a senha da maria para hoje é 125366kkb e a do joão é 965541op8, no mesmo sistema.
Creio que fui claro em minha opinião.
MMTOOR2003

Vcs tem bom sistema de acesso, mas no caso citado ainda assim seria permitido o acesso (desde que no mesmo dia), pior se a regra se torna pública, um funcionário descontente vcs ficariam expostos.

Seria válido um forúm sobre segurança, não ?

Olha gente... temos que pensar não só no presente, mas também no futuro...

Acredito, que por hora, a melhor maneira de barrar o login, seja feito por teclado virtual, via MOUSE... mas...

Como hoje, existem essas peças que gravam as ações do teclado, acho que não seria difícil deselvolver uma que grave os ´passos e click´ do MOUSE, revelando assim, toda a caminhada do mouse durante a operação...


Então, pensando no futuro, a melhor forma de bloquear o login, seria fazer um form com as entradas via Teclado Virtual, e que a cada ´aparição´, ele mudasse de lugar na tela... assim, não teria como rastrear o mouse.

---
quanto aos demais dados... onde o teclado é indispensável... não tenho nenhum ´solução barata´ em mente...
---

----#----
Todo e qualquer Hardware CONECTADO na CPU, mesmo que não tenha drivers, teoricamente, é reconhecível....Talvez via IRQ, ou DMA.

Mas... como ele usa a porta do Teclado, pode ser que, estamos [b:2812b6152b]pensando errado[/b:2812b6152b]...

Os dados capturados são ´apenas´ do Teclado... isso significa que este, pode não ter comunicação com o CPU, isto poderia ser feito de, pelo menos, duas maneiras... Paralelo ou em Série
Paralelo: - Ele apenas Copia o que é transmitido pelo teclado...
Série: - Ele copia as infirmações, ´bufferiza´, e simula um teclado na saída.

Sendo assim, somente um teclado Criptografado e um Driver de Teclado ´descriptografador´, poderia ser a solução para nosso problema.
Quero dizer: Os dados, antes de sair do Teclado, seria criptografado, e, o driver do teclado, responsável por receber os dados e repassar ao Sistema Operacional, descriptografava e, somente então, enviaria para o OS...

O teclado poderia ser utilizado antes mesmo de um SO ser carregado, como por exemplo, na Bios.

Gente, estou tentando achar uma solução, mas, a engenhoca, foi muito bem manjada.... e mesmo que Fabricante de Bios, e de Teclados, arranjassem uma forma de criptografar os dados, logo, sairia um software que poderia descriptografar os dados capturados pela engenhoca.
---


Pode ser que eu tenha ´achado´ uma solução....(pelo menos provisória)...

Se os dados são gravados no ´esqueminha´, tenque haver uma maneira de fazer um download das infromações....

sendo assim, seria possível, testar esse download... e se confirmado, bloquear o sistema e informar o usuário sobre a possível ´intervenção´...

Deveríamos nos unir, e pensar mais sobre como deve ser feito estas seguranças....


Falows

Prezado colega.
Não entendeu a lógica do sistema.
1 - Funcionário, com senha intransferível acessa o sistema
1a - Arquivo de LOG grava a mensagem: Sistema acessado por maria de souza em 01/05/2003 as 13:22:01;
2 - funcionário logado abre o sistema de cadastro de processos;
2a - Arquivo de LOG grava a mensagem: Sistema de cadastro de processos acessado por maria de souza em 01/05/2003 as 13:22:01;
3 - funcionário logado insere um novo registro;
3a - Arquivo de LOG grava a mensagem: o cadastro de número ???? foi inserido pelo funcionário maria de souza em 01/05/2003 as 13:22:01;
E assim por diante.
Os usuários do sistema ora mencionado, passam por treinamento em nossa empresa e ficam cientes do sistema de segurança de dados. Com certeza, nenhum deles deixará vazar sua lógica de senha aleatória.
4 - Funcionário maria de souza realiza o logout;
4a - Seu próximo login não será o mesmo do login anterior, apesar da data atual fazer parte da lógica de senhas aleatórias.
Se eu explicar mais do que isso, só se fizer e te mandar o sistema.
MMTOOR2003

Os Bancos tem sofrido muito com este tipo de fraude e alternativa encontrada foi a adoção de teclados virtuais ou teclados codificados para informação dos dados de login.

Para evitar uma futura captura dos clicks de mouse os teclados virtuais se movimentam pela tela aleatoriamente ficando bastante dificil detectar o que esta sendo informado.

Como disse o Rabitz, acho que a solução passa por tentar localizar o equipamento.

Outra solução que me ocorreu ontem é uma feijão com arroz:

Em sistemas com sgbd, só permitir uma conecção por máquina e ter um cadastro de horário de expediente do funcionário , qq coisa fora disto o sistema bloqueia.

Vou começar a fazer um form de login com teclado virtual hoje mesmo...

Se é possível fazer um KeyLogger, porque não seria possível capturar as informações que vão para o monitor e ver as teclas pressionadas no ´teclado virtual´ independentemente de onde elas estiverem?

E se um sistema usa uma certa lógica para gerar senhas, após examinar uma grande série de senhas e os horários em que foram usadas, qq um podeira descobrir esta tal lógica...

Se vcs querem uma segurança mais séria, vcs poderiam tentar outras formas mais seguras e, infelismente, mais caras...

E sugeriram um fórum sobre segurança, eu acho que seria ótimo.

Esse é meu assunto favorito. Eu sempre viajo nas ideias de como fazer esse tipo de coisa no
Delphi. Vocês sabem que nada é 100¬ seguro em relação a transmissão de dados. Eu curto muito
mexer com o Delphi para fazer essas coisas. Só que tudo o que eu faço eu não homologo. Só
faço por livre abítrio e obter conhecimento. Porque meu sonho é realmente trabalhar com
delphi para fazer programas de monitoramento de dados e segurança contra ataques a internet,
etc.
Já fiz muitos programinhas do tipo, como por exemplo: Monitorar todo o envio e recebimento
de dados realizado por TCP/IP, etc. Numa dessas brincadeirinhas descobri a senha de email
de todos meus colegas de trabalho. Mas é claro que não fiz nada de mau. Me interesso tanto
pelo assunto, que tenho manhas de interceptar qualquer mensagem ou mesmo qualquer função
que eu saiba todos os parametros. Por exemplo: Eu posso interceptar a função FindNext do windows,
e então qualquer programa que utiliza-la, meu programa será notificado, e eu posso alterar
o valor de todos os parametros, do resultado e até mesmo trocar por outra função. Por exemplo:
Quando o parametro do FindNext for ´MeuPrograma.exe´ então eu mudo o retorno da função para ´Win.ini´.
Até o Windows se confunde com isso. Outro dia fiz um programa que me mostrasse sempre
que um programa tentar acessar o Registro do windows, então eu salvava num TXT o programa
e a chave que o acessou.
Nossa.. hehe.. jah to viajando no assunto.. Então, antes de desenvolver algum programa
´com garantia de 100¬ de segurança, lembre-se: Nada é 100¬ seguro.

t+

é só simular o Print Screen a cada click e ´enter´ salvar num bmp e mandar por email

keybd_event(vk_snapshot,1, 0, 0);


Acho importante um fórum sobre segurança

Tentei achar o esquema do tal ´charuto ´ mas ainda nao encontrei , quando achar posto aqui para que podemos estuda-lo mais a fundo

Exato, mas eu me referia a algo no Hardware...
-------------

Se tivessemos um fórum sobre segurança o nildo poderia compartilhar seus conhecimentos com o pessoal do fórum...

Detalhe: Depois que salvasse num BMP, zipasse e quando se conectar, enviar por email seria arriscado. Qualquer programa de monitoramento pode identificar pra quem seu email está indo.

Votem para por um fórum de segurança, no fórum Dúvidas Críticas e Sugestões!

Exatamente depois de tudo isso você vai até um cybercafe paga R$ 5,00
por 1 hora de internet e recebe o e-mail.

Um fórum sobre segurança seria ótimo para discutirmos isso.

Concordo com vc Rodrigo mas na minha opiniao deveriamos comecar a listar diversos problemas de seguranca como alguns ja vem fazendo e tentar soluciona-los , esse do charuto acho que é prioridade




Exatamente depois de tudo isso você vai até um cybercafe paga R$ 5,00
por 1 hora de internet e recebe o e-mail.

Um fórum sobre segurança seria ótimo para discutirmos isso.[/quote:d13a5c0ab9]

Um amigo deu uma ideia estrambolica, no logoff da aplicação simular a digitação com caracteres randimicos para sujar o buffer do cara.

A m... seria o tempo de gerar 2M de caracter randomicos

Acho que isso nao funcionaria pois ele esta entre o teclado e a CPU nao adianta ficarmos mexendo no windows

[b:bcdf6c3126]existe um meio simples de evitar este tipo de fraude....[/b:bcdf6c3126]

basta para isso criptografar sua senha...

a criptografia é feita via software certo???

O ´APARELHINHO´ captura tudo que entra pelo teclado, MAS antes do que foi digitado ser tratado via software...

Exemplo... O usuário digita no campo senha: teste o ´APARELHINHO´ captura ´teste´ OK??? Só que antes de você gravar em banco, você criptografa este teste e o transforma por exemplo em ´jiló´

PRONTO RESOLVIDO O PROBLEMA....


soda limonada
balceiro@bol.com.br

É verdade

Nao daria certo naum. Pense um pouco..

Não ...

O cara digita qwert , vc grava no banco hasheado como asdfg por exemplo.

mas a senha do usuário continua sendo qwert, e quem interceptou se loga com qwert !!

o teclado é capturado, acho que antes de passar pelo processador.

pensei em algo pode ate ser besteira mas poderia dar certo.

na tela de login gere um numero randomico e mostre para o usuario que deverá adiciona-lo a sua senha para se logar entenderam, assim a cada log voce teria uma senha diferente ex: senha: GUEST, numero randomico : 3872 entao o usuario digitaria GUEST3872 OU 3872GUEST ou G3U8E7S2T sacaram

Não, pois o invasor entra via sistema e vai digitar o número tambem.

leitura de iris ...
leitura de digital ...

morrer numa $$$$$

ai para comparar voce faria algo assim:
vamos supor que o numero randomico esteja em um label.
if query1.fieldbyname(´senha´).Asstring + labelrandomico.caption = editsenha.text then
logue...

putz foi mesmo........

acho que como falei dá certo...

já testaram????

realmente o que falei na minha resposta não tem muito fundamento, analisando melhor pude ver isso....


mas achei outra forma está muito mais confiável basta fazer o seguinte:

toda vez qa tela de login for iniciada aparece a seguinte mensagem: [color=red:e3819cd35d][b:e3819cd35d]´ATENÇÃO: olhe a trás do seu CPU e veja se não tem nenhum adaptador no teclado...´[/b:e3819cd35d][/color:e3819cd35d]

assim nunca vai acontecer isso...

é sátiro mas é verdade.... rs


soda limonada
balceiro@bol.com.br

heheheh, cada uma.
Talvez uma aplicação que lesse todos os irqs e retornasse o que está usando-os. São apenas 16 irq´s. E mesmo os usb registram aquilo que tá ´espetado´ neles

poderia na tela de logon do programa mostrar uma tabela de valores que sortearia um valor diferente para cada letra (que muda a cada novo usuario)
por exemplo
a=c
b=x

ai o bichinho la ia capiturar cx, pois ele so se conecta com o teclado, mais o programa irá converter para ab no próprio onkeypress ( isso evitará por enquanto, so que com a parada de bate foto da tela ja vai por agua abaixo )

Pelo que eu entendi desse equipamento ele funciona como uma especie de replicador de sinal com buffer.

A ideia do teclado codificado via software ´resolve´ esse problema, fora isso as ideias de criptografia ou outras ideias estranhas q apareceram por aki não funcionariam muito bem. pois eu estaria pegando a saida do teclado antes mesmo de ele receber qualquer tratamento de software.

Porem o teclado codificado tem a mesma falha do teclado virtual (mouse) pois se eu fizer uma leitura da saida de video combinado com a leitura do teclado eu conceguirei facilmente decodificar a senha que foi digitada de forma ´cryptografada´ ...

A unica resposta mais lógica mas mesmo assim não perfeita seria por exemplo a biometria.

mas mesmo essas tecnicas podem ser burladas. Ex.:
cada micro tem um scanner de digital, ai o carinha faz um aparelho para gravar os dados que o leitor de digital manda para o computador.

depois quando ele quizer logar é só um outra aparelho reproduzir akeles mesmos sinais recebidos do leitor de digital para a porta de entrada do computador.

Quando o Hacker tem acesso físico as máquina do usuário torna-se ainda mais dificil controlar a fraude.

Até mesmo uma câmera de segurança em um local errado pode se tornar uma falha de segurança, vcs já pensaram nisso?

[]´s

Existem duas maneiras de fazer um login eficiente enganando o teclado.

1) Quando os clientes do Banco Itaú acessam o site para operações recebem na tela um teclado virtual sempre em posições diferentes.

2) Para os que acessam a Receita Federal aparece uma figura aleatória com códigos e voce deve repeti-los no teclado. Então o que voce digita é conferido com o banco de dados da figura. Se não conseguir enxergar os códigos, basta solicitar outra.

A leitura do teclado não servirá para nada.

Mas existem softwares que fazem esta leitura do teclado e guardam em um arquivo ´txt´. Eu tenho um programinha destes.
Também tinha o programa ´BackHole´, que alem de ler o teclado, abria uma porta para acesso via Internet, e o Hacker conseguia até controlar o seu teclado, além de visualizar a sua tela, copiar os seus arquivos e capturar tudo o que digitasse.

Eu considero que a solução do Itaú é bem segura.

Marconi

pois bem,

Teclado virtual:

o fato de capturar a tela a cada click do mouse, mexeu comigo...
mas, mesmo assim, acredito ser uma das melhores saídas... a não ser, em locais de grande tráfego, por exemplo, um sistema de LanHouse... onde o carinha que tá atrás do cliente, poderia facilmente ver os números CLICADOS...

a idéia aqui, seria mesmo, fazer uma mistura de diversas soluções...
um pouco disto, um pouco daquilo... e, como já disseram, não tem nada 100¬, ao menos, vamos tentar dificultar ao máximo....

Bem, vamos gente... vamos pensar...

A idéia de juntar um teclado virtual + números randômicos + deslocamento do Form de Login.... já ficaria mais seguro...

Qualquer idéia, mesmo que a mais banal, ajuda... vamos....

http://fantastico.globo.com/Fantastico/0,19125,TFA0-2142-5514-80618,00.html

Para capturar senhas, a melhor maneira é o ´falso login´. Deste ninguem escapa.

Quem deseja capturar senhas faz um com a mesma cara do seu, e solicita o login igual ao seu.

Não importando o que o usuário entrar e da maneira que entrar, ele vai a mesma mensagem de erro de senha ou usuario, e solicitar de novo. Sempre registrando o que for entrado.

Na segunda vez ele registra de novo, descarrega o programa e carrega o verdadeiro. O usuario vai pensar que errou a senha e quando conseguir na segunda o terceira vez, nem lembrará do fato. Mas aí já é tarde.

Para instalar, o programa altera no nome do original e se instala com este nome. Ao sair ele se apaga e volta o nome do original.

Já ví programas destes que capturam a senha do Novell 3, e era totalmente feito em Clipper.

Marconi

O que mais me impressiona é esse “agora”.

Até agora a única solução (sem custo de hardware) seria o teclado virtual.

Ninguem vê outra ?

Uma solução viável:

A senha do cara deve ser sempre somente de números. Dae você mostra um número randômico na tela. E pede para o usuário multiplicar a senha dele por aquele número. Então toda vez será um login diferente. Nunca vai ser igual.

O que vocês acham?

Não, Bruno o invasor obtem uma senha válida, assim na sua solução ele só precisa saber multiplicar ...

Não esqueça que o problema básico é que o teclado é capturado.

Descordo.
A senha estará na memória do usuário (cerebro). Ele não a digitaria a senha dele, mas sim multiplicaria por aquele numero randomico e digitaria o resultado. Assim ele nunca vai digitar a senha verdadeira dele. Entao o invasor nunca saberá a senha dele. Pois toda hora de logar, o resultado será diferente.

Concorda agora?

Caiu a ficha !!

Sim , funciona !!

O mais difícil é ensinar o usuário a multiplicar ....

Defícil mesmo, seria convencer o usuário a carregar uma calculadora...


Mas, é isso aí nildo, já estamos esquentando...
Como eu disse antes, não seria o caso de implementar UM método de segurança, mas sim, vários, para suportar aos mais fortes ataques ´crackers´.
Gostei da idéia do nildo, mas se você pegar o número digitado pelo usuário (já multiplicado), e dividir por vários números, e, pegar apenas os resultados inteiros..., já fica bem fácil achar a senha do usuário... :oops:



Tive uma idéia, BANAL, mas até pode funcionar... :lol: :idea:

O usuário registrado do sistema, ao invés de digitar sua senha (ou clicar), faz o login via Disquete, CD, ou MemoryKey... neste, teria um arquivo criptografado (128-bit ou mais) com seus dados.

Ou então, utilizar uma destas mídias removíveis para CONFIRMAR o login, da mesma maneira que eu disse acima.

vamos pensar gente!

Porque será que eu concordo plenamente?

Rabitz:
Voce já viu aqueles virus que se auto copia prum disquete no momento que voce coloca ele no drive? Entao. O Virus poderia facilmente copialo para o HD. O Cracker pegaria o arquivo copiaria prum Disquete e pronto. Sistema crackeado. mesma coisa para CD ou outra coisa.
Acho que se explicasse como ´multiplicar´ seria facil. Uma explicacao detalhada. ´Lembre-se de não usar a calculadora do windows (jah entendeu porque neh?)´,´Tecle sua senha em uma calculadora de bolso e multiplique por XXXXXXXXX. O Resultado você digita no campo abaixo´, algo assim. entendeu?

Para escapar do charuto do teclado e do mouse coloque uma tela de login que com 10 SpeedButton 10 label(com os captions de ´0´ a ´9´), então programe para cada vez que a tela se abrir os label troquem de lugar aleatoriamente.Assim o charuto do teclado nem vai saber o que aconteceu e o do mouse vai comer poeira.


Daí depois de 3 entradas de senhas erradas você dispara o alarme interno da empresa assim os guardas pegaram o invasor em fragrante ou uma “loura” que ira alegar que toda vez que ela vai digitar a senha as letrinhas trocam de lugar só para lhe fazer de ´boba”.

Pessoal a maioria da pessoas aqui pensaram apenas no teclado!!! que tal nos pensarmos no mouse tambem??
Tipo fazer duas senhas!!! uma atravez do teclado e outra atravez do mouse!!!! Oque estou querendo dizer e fazer um programinha que mostre um teclado na tela, assim o usuario vai clicando nas letras para passar para o computador a senha!!! sera que não e uma boa ideia???? :?:

e ae galera fmz??!!

eu tava lendo todo este topico , e realmente uma frase q nao me sae da cabeca e a seguinte:

´uma pessoa inventou o cadeado, a outra inventou a chave´

entao manter um sistema seguro e dificil, por isso acredito q em um futuro proximo havera ate mesmo graduacoes em ´seguranca desoftware´...nos quebramos a cabeca pra se fazer algo complexo e seguro e 300mill pessoas no mundo quebram a cabeca pra quebrar essa seguranca...

conversando com meu irmao uma vez, nos chegamos a obvia conclusao de que medicos, advogados, arquitetor, profissionais desse tipo, ODEIAM computadores, imagina vc falar pra um cara desses q alem de ele decorar a senha dele e n so isso , vai ter q tbm ´pensar´ pra calcular a senha q ele ja reclama em decorar...acredito eu q seria um sistema eficiente para nos viciados em informatica, mas p quem odeia informatica como esses profissionais, pessoas do governo, esse sistema ssofreria um ´desgaste´ e pessoas influentes q utilizam esse sistema iriam querer o cancelamento do uso de um sistema desses, e ate alguem pensar em investigar, ja teriam algum jeito de burlar esse sistema e para dispistar qualquer investigacao eles ja pediriam o cancelamento da mesma e voltaria a usar o sistema sem ninguem desconfiar q ja foi descoberto um jeito para se burlar tudo isso!!

claro , eu posso estar completamente errado, mas foi uma opiniao q tive neste momento, apos ler tudo isso.

e quanto a um forum dedicado à seguranca, sou PLENAMENTE A FOVOR!!!

aquele abraco galera, qualquer coisa me deem um toque

viper0!!! :evil:

Descobri uma maneira.
Alguem citou mais acima de usar um disquete como se fosse uma chave de acesso. Pois é: Completando a idéia:

Quando nós fossemos instalar o sistema, levariamos um disquete, e cadastraríamos o número de série do disquete no sistema. Uma vez cadastrado, nunca mais. Dae, o único que poderia ter acesso ao sistema carrega o disquete, u guarda em algum cofre. E quando o sistema pedir pela senha, apenas insere o disquete lá e pronto. Tá liberado.

Oq vcs acham?

Ainda sobre este assunto o problema não é só a interceptação da senha, mas do TECLADO, eventuais dados confidenciais cadastrados vão pro saco, aindo insisto que a melhor forma seria identificar o tal do charuto, a senha pode ser resolvida via teclado virtual , simples e barato.

Voces tem que pensar que há sistemas que guardam informações que literalmente valem milhões o sistema no caso liberava multas fiscais em valores altos, foram pegos por auditoria , mas quantos não são ?

Pessoal, acho 2 coisinhas.

Acho q forçar o usuário a ´pensar´ na hora de digitar a senha é um pouco problemático... tenho um cliente aqui q chama o SO dele de Mickey pq tem o papel de parede dele rs...

O caixa eletrônico do ITAU tem 5 botões q aparecem na tela sempre com valores direrentes... o 1o botão tem 2 valores (ex 01) o 2o. botao tem p. ex (23) e ae vai... cada x q vc entra no sistema os botões mudam o conteúdo do lebal. Achei a idéia brilhante.

O problema é justamente quem esta ´perto de vc´ + como cada x q vc loga os botões mudam o conteúdo do label não adianta o cara ´perto de vc´ decorar a posição e teclar depois.

Bem, achei uma idéia segura. A equipe do Itau deve ter queimado os neuronios bastante.

Acho q idéia do disquete interessante. Poderia ser casada com este teclado virtual do Itau.

Devemos lembrar q

´segurança não existe completamente´ rs...

Ricardo

30/09/2003 - 13h06m
Quadrilha de funcionários da Receita acusada de rombo que pode chegar a R$ 1 bi é presa no Rio

RJ TV

RIO - Uma operação conjunta da Polícia Federal, Justiça e Receita Federal esta manhã no Rio desbaratou parte de uma quadrilha de fraudadores do INSS e da Receita Federal suspeitos de provocar um rombo que pode chegar a R$ 1 bilhão. Cinco pessoas já foram presas, entre elas o ex-presidente do Flamengo Edmundo Santos Silva, acusado de sonegação fiscal e de intermediar contatos entre auditores fiscais e empresários. Também estão presos o titular da Delegacia de Arrecadação Tributária, José Góis, um auditor da Receita Federal, o intermediário Alberto Correia Neto, apontado como o elo entre as várias partes da quadrilha, e um advogado.

O juiz da 3ª Vara Federal criminal, Lafredo Lisboa, expediu ao todo vinte mandados de prisão e apreensão a partir dos resultados de uma investigação da Polícia Federal que seguiu os passos da quadrilha através de escuta telefônica autorizada pela Justiça. Foram rastreadas 2300 ligações, nas quais a polícia comprova as relações entre advogados, empresários e auditores da Receita. Foram pedidas as prisões de 11 funcionários da Receita, três do INSS, além de advogados, empresários e despachantes.

Segundo os corregedores da Receita, a quadrilha atuava de modo organizado, pesquisando empresas com dívidas ou problemas com a fiscalização. Por um pagamento que variava de 10¬ a 20¬ da dívida a ser ´eliminada´, os fraudadores apagavam os dados do sistema da Receita. A quadrilha também negociava a suspensão de fiscalização de empresas e a baixa em processos contra devedores.

====
acho que guarda relação com a noticia original
=====

O que é segurança?

´-Segurança é um estado de espirito´.

Estranho não é? mas é exatamente isso mesmo, segurança é quando estamos preparados para todos os eventuais problemas que nos possam ocorrer.

Se existem problemas os quais não são conhecidos, com certeza também não estaremos preparados, mas mesmo assim, estaremos seguros.

Agora se existe um problema conhecido pela comunidade, mas, eu desconheço esse problema e por esse motivo não me previno contra ele, então, isso é o que chamamos de Segurança por Obscuridade, ou seja, eu me sinto segundo simplesmente pelo fato de não conhecer o problema.

Com isso percebemos o porque de ´-nada é 100¬ seguro´.

Um software pode ser seguro hoje. Mas pense no caso de amanhã quando for inventada uma ferramenta para medir o campo eletromagnetico emitido pelo monitor a uma determinada distancia, e apartir dessa informação reproduzir em tempo real sua imagem.

Esse post é só mais uma coisa para entendermos o que é segurança, e com o que realmente devemos nos preocupar.