Podcast Kaspersky

Você sabia que o blog da Kaspersky tem um podcast?

E nesta edição estão falando de online banking e suas ameaças. Se você entende bem de inglês recomendo que ouça todos os podcasts deles, é uma boa fonte de conteúdo para todos que estudam e/ou trabalham com segurança da informação.

Para mais informações acesse o Blog da Kaspersky

Read More

Ferramenta da NSA vê “quase tudo” que você faz na internet

Dois meses depois de começar a divulgar segredos dos espiões da NSA americana, Edward Snowden ainda tem o que contar. O delator passou ao jornal britânico Guardian detalhes sobre o que seria uma das mais poderosas ferramentas de espionagem da NSA, o X-Keyscore, que estaria sendo usada inclusive no Brasil.

Uma apresentação de 32 páginas, datada de fevereiro de 2008, explica o que é o X-Keyscore, ferramenta que, aliás, é mencionada em outros documentos da NSA vazados por Snowden. Algumas das páginas foram ocultadas, supostamente por descrever detalhes das operações da NSA que Snowden preferiu não revelar.

As páginas restantes dão uma ideia de como trabalha o X-Keyscore. Trata-se de um sistema de análise de big data que coleta informações da internet. Ele captura todo o conteúdo que trafega na conexão interceptada para, depois, analisá-lo e extrair os dados desejados.

Como o volume de dados é muito grande, eles só são mantidos nos servidores por cerca de três dias. Já as informações extraídas são guardadas de forma mais permanente em outro banco de dados.

Segundo a descrição, o X-Keyscore pode bisbilhotar os e-mails que as pessoas enviam e recebem, suas atividades em redes sociais e seus históricos de navegação na web.

Também pode obter dados técnicos, como o endereço IP do computador ou dispositivo móvel usado pela pessoa. Além disso, a apresentação da NSA menciona filtros que detectam eventos considerados anômalos pelos arapongas americanos.

Segundo o documento, se uma pessoa emprega linguagem diferente da habitual na região onde está, faz buscas na web sobre determinados assuntos ou usa criptografia em suas comunicações pessoais, por exemplo, ela pode ser marcada como suspeita.

O sistema teria 500 ou 700 servidores (os dois números aparecem na apresentação) em 150 locais ao redor do mundo, rodando o sistema operacional Linux. Um mapa traz esses lugares assinalados. Um deles aparece na localização aproximada de Brasília, indicando que o X-Keyscore também coleta informações no Brasil.

A apresentação da NSA diz que mais de 300 terroristas haviam sido capturados até aquele momento com base em informações obtidas pelo X-Keyscore. Segundo o Guardian, funcionários da agência americana não precisam de nenhuma permissão especial para usar a ferramenta.

Esse novo vazamento explica uma declaração de Snowden que causou polêmica em junho. Durante uma entrevista, ele disse que, quando prestava serviços à NSA, sentado em sua mesa, ele podia grampear qualquer um, até o presidente da república, se tivesse algum e-mail da pessoa.

O governo americano negou que isso fosse possível. Mas a apresentação sobre o X-Keyscore sugere que ele dizia a verdade. Snowden, pelo que se sabe, continua confinado num aeroporto em Moscou enquanto espera que a Russia atenda a seu pedido de asilo temporário.

Se o asilo for concedido, o delator terá tempo para organizar sua fuga para um dos países latino-americanos que ofereceram refúgio permanente a ele.

Fonte: Revista Info

Read More

Brasil viaja aos EUA para apurar espionagem em 10 dias

O porta-voz do Ministério das Relações Exteriores, embaixador Tovar Nunes, disse hoje (31) que o governo brasileiro deve enviar em até dez dias a Washington a missão interministerial que trata das recentes denúncias de espionagem de informações telefônicas e de internet de cidadãos e instituições brasileiras para pedir esclarecimentos ao governo norte-americano.

A comitiva, que inclui representantes dos ministérios das Relações Exteriores, da Defesa, da Justiça e das Comunicações, quer, em uma primeira etapa, conseguir informações de caráter técnico. “O assunto foi considerado grave, sério. O serviço de inteligência não é ilegal. O que não é legal é a espionagem, quando se faz sem a permissão, invade a soberania, a privacidade, atenta contra o direito dos cidadãos e dos Estados. Isso, sim, é inaceitável”, disse o porta-voz do Itamaraty.

As denúncias de espionagem começaram a ser investigadas depois que uma reportagem publicada pelo jornal O Globo revelou que as comunicações do Brasil estavam entre os focos prioritários de monitoramento pela Agência Nacional de Segurança dos Estados Unidos.

Fonte: Revista Info

Read More

Pesquisadores turcos reivindicam responsabilidade pela descoberta da falha do Dev Center da Apple

Quando o portal de desenvolvedores da Apple saiu do ar semana passada, gerou várias questões não respondidas. Uma das principais foi, quem foi responsável pelo ataque? O pesquisador de segurança turco Ibrahim Balic está reinvidicando que estava por trás do ataque, mas não teve intenção de causar dano. Balic falou que reportou apropriadamente a Apple, mas parece que seus esforços não pararam por ai. Ele também explorou a falha que ele mesmo descobriu, o que deu acesso aos nomes, emails e endereços de desenvolvedores da Apple. No total ele descobriu 13 bugs, pelo menos 1 foi demonstrado num vídeo no Youtube, que parece mostrar a ele os nomes e ID's de todos os desenvolvedores. Segundo ele em um tweet, expor a falha publicamente é absolutamente necessário para que a Apple veja a severidade da falha.

O pesquisador insiste que suas ações foram éticas e legais. Ele disse ao The Guardian que ele apenas acessou as contas de desenvolvedores para descobrir quão fundo ele conseguia ir e o que conseguiria de informações. Ele também afirma que o dev center saiu do ar logo após ele entrar em contato avisando das falhas, mas ele nunca recebeu uma resposta da empresa.

Fonte: engadget

Read More

Diretor da NSA defende programas de vigilância na Black Hat

O diretor da Agência Nacional de Segurança dos EUA, Gen. Keith Alexander, no seu painel numa das maiores conferência de segurança do mundo, defendeu fortemente os programas de vigilância da NSA revelados pelo Edward Snowden, argumentando que ajudou a impedir 54 ataques terroristas que não poderiam ser parados de outro modo.

Alexander disse na Conferência Black Hat de 2013, na manhã de quarta feira, onde ele iniciou dizendo,  "começar essa discussão em defesa da nossa nação, e protegendo nossas liberdades civis e privacidade."

"Eu vou responder todas as perguntas na medida do possível, e prometo a vocês a verdade" , disse ele, embora não era autorizado questões do público. "O que sabemos, o que estamos fazendo não posso falar para vocês porque não queremos por em perigo nossas defesas futuras."

Alexander descreveu as funcionalidades de dois programas principais revelados nos documentos vazados por Snowden. Primeiro mostrando o programa coletor de metadata das chamadas telefônicas, com base legal na sessão 215 do Patriot Act, onde "nos ajuda a ligar os pontos, com o mínimo de intrusão necessária."

Então ele falou do programa de vigilância da internet, apelidado de PRISM, baseado na sessão 702 do Foreign Intelligence Surveillance Act que "permite que vamos atrás de conteúdo", disse ele. E acrescentou que esses programas servem um papel crucial.

Referindo-se as reportagens das mídias, Alexander defende os programas, negando que foram muito além. "o que sai é o que estamos recolhendo", ele disse. "Isso não é verdade".

Nos slides acompanhando a palestra, Alexander não acrescentou nada que já não tivesse sido vazado sobre os programas. Mas ele mostrou uma screenshot (imagem abaixo) sobre as informações que o sistema de análise da NSA pode ver - incluindo o número do telefone, data e duração da chamada - como o resultado do programa.

A palestra recebeu reações bem variadas na conferência no Hotel Caesars Palace em Las Vegas.

"Bobagem!" gritou alguém na multidão após Alexander dizer que a NSA "preza pela liberdade".

"Bullshit!" one heckler shouted after Alexander said the NSA "stands for Freedom."

Apesar de toda a polêmica Alexander permaneceu de bom humor, brincando e fazendo piadas durante a palestra e interrompendo sua apresentação para dizer "saúde" quando o reporter Andy Greenberg espirrou na primeira fila, bem em sua frente.

Fonte: Mashable

Read More

Ciber Ataques ao Governo Brasileiro

O pessoal do IG publicou recentemente dois artigos com alguns dados sobre ciber ataques sofridos pelos sites do governo Brasileiro em 2013. 

O IG usou dados de ataques aos sites do governo a partir de relatórios do Centro de Tratamento de Incidentes de Segurança de Redes de Computadores (CTIR-Gov), o centro de resposta a incidentes do governo federal. O próprio CTIR-Gov disponibiliza estas estatísticas em seu site, e as reportagens do IG foram baseadar principalmente nos relatórios sobre incidentes detectados no primeiro e no segundo trimestres deste ano. 

Veja algumas das estatísticas relacionadas ao primeiro semestre de 2013, segundo dados do IG e do CTIR-Gov: 

• Total 4228 incidentes: 2027 incidentes no primeiro trimestre e 2201 incidentres no segundo trimestre
• Segundo o IG, as páginas do governo federal ficaram fora do ar 672 vezes
• Em média, as páginas do governo ficaram inacessíveis uma vez a cada oito horas
• A reclamação de incidentes mais recorrente (25% das notificações) é o chamado “abuso de sítio” (que inclui defacement, exposição de código fonte ou descobertas de vulnerabilidades)
• Cerca de 20% das reclamações de incidentes passadas ao CTIR-Gov foram relacionadas à “indisponibilidade de sítio”
• Cada incidente leva em média cinco dias e 13 horas para ser solucionado
• Em 22% dos casos, os problemas demoram mais de dez dias para terem uma solução
• Os Estados Unidos e o Brasil são os países destinatários do maior número de notificações de incidentes (isto é, de onde partiram os ataques e incidentes detectados e notificados), com grande diferença para os outros países apresentados
• Ocorreram 67 casos de vazamento de informações de órgãos federais entre janeiro e junho de 2013
  • Segundo fontes do IG na Abin, em pelo menos cinco casos houve vazamento de informações confidenciais
• No dia 22 de junho, durante os protestos em todo o Brasil, vários sites sofreram ataques e ficaram indisponíveis em alguns momentos, incluindo o portal do governo federal, a Receita Federal, a Presidência da República e o site da Petrobrás.

O interessante é que estes dados incluem a atuação do CTIR-Gov no tratamento dos incidentes de segurança durante a Copa das Confederações, de 15 a 30 de junho de 2013, quando eles atuaram sob a coordenação do Centro de Defesa Cibernética (CDCiber), do Ministério da Defesa.

O CTIR-Gov é o Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal (APF), e está subordinado ao Departamento de Segurança de Informação e Comunicações (DSIC), que faz parte do Gabinete de Segurança Institucional da Presidência da República (GSIPR). Sua finalidade é atender aos incidentes de segurança nas redes da APF.

A reportagem do IG também destacou que o CDCiber sofre com constantes problemas de falta de investimentos federais, e divulgou alguns números para exemplificar esta falta de investimentos: Em 2012, de R$ 90 milhões liberados para o programa, R$ 61 milhões foram empenhados (reservado para gastos). Já em 2013, dos R$ 90 milhões destinados, apenas R$ 7,9 milhões foram empenhados mas, até o final do primeiro semestre, foram gastos menos de R$ 917 mil, ou apenas 1% do total previsto para este ano. 

Vale lembrar que hoje também foram anunciados cortes no orçamento do Ministério da Defesa na ordem de R$ 919 milhões, representando um corte este ano na casa dos 4,1 bilhões de reais. Não tenho nada contra o governo cortar despesas, mas me preocupa ele fazer estes cortes no ministério da defesa nas vésperas da Copa do Mundo e das Olimpíadas de 2016. Afinal, vimos muitas atrapalhadas e muitos sites governamentais pichados ou fora do ar durante a Copa das Confederações e durante a Jornada Mundial da Juventude.

Fonte: anchisesbr

Read More

Crackers usam bebê real para propagar spam

O nascimento do bebê real na última terça-feira (23) foi notícia em todo o mundo e chamou atenção de crackers que criaram páginas falsas e mensagens spam utilizando o tema como isca. 

Um dos golpes, identificado pela empresa de segurança Kaspersky, enviava um e-mail convidando o usuário a clicar em um link que oferecia transmissão em tempo real e conexão às câmeras internas do hospital.

A mensagem de e-mail trazia três links que ao serem acessados direcionam a vítima para um site malicioso onde está hospedado um malware conhecido como “BlackHole”. 

Usuários que estiverem sem programas de segurança ou com plugin Java desatualizado podem ser infectados automaticamente ao acessar qualquer um dos links. 

Este site já saiu do ar, mas conseguiu infectar a máquinas de milhares de vítimas com software malicioso.  No entanto, ao realizar uma busca no Google ainda é possível encontrar páginas falsas com este tipo de conteúdo.

A Kaspersky reforça que golpes que utilizam informações de destaque no momento são comuns e pede para que os usuários evitem clicar em páginas a partir de sites de buscas e procurem informações diretamente em páginas oficiais ou já conhecidas.

Fonte: Revista Info

Read More

EUA desmontam rede cracker de crimes financeiros

Cinco "crackers" russos e um ucraniano foram acusados nesta quinta-feira de piratear informações de grandes corporações americanas, como a Bolsa de Valores Nasdaq e o banco Citibank, e roubar centenas de milhões de dólares, no maior crime cibernético dos Estados Unidos da história.

Segundo informaram as procuradorias de Nova Jersey e Nova York, que dividem a acusação contra a rede, os acusados atuaram em corporações dedicadas às transações financeiras, no varejo que recebem e transmitem dados financeiros e outras instituições de informação.

As corporações afetadas pelo plano de pirataria foram a Bolsa de Valores Nasdaq, o índice Dow Jones e as empresas 7 Eleven, Carrefour, JCP, Hannaford, Heartland, Wet Seal, Commidea, Dexia, JetBlue, Euronet, Visa Jordan, Global Payment, Diners Club Singapore e Ingenicard, nas acusações de Nova Jersey, assim como os bancos Citibank e PNC, em Nova York.

"Os acusados são supostamente responsáveis de liderar uma conspiração mundial de 'crackers' que atacou uma grande variedade de consumidores e entidades, causando centenas de milhões de dólares em perdas", explicou em comunicado o fiscal federal de Nova Jersey, Paul Fishman.

"Os criminosos cibernéticos põem todo seu empenho em atacar não apenas as contas de banco privadas, mas ao sistema financeiro em si mesmo", assegurou, por sua vez, o fiscal federal do distrito sul de Nova York, Preet Bahrara.

Os acusados, que têm entre 26 e 32 anos, são o ucraniano Mikhail Rytikov e os russos Vladimir Drinkman, Roman Kotov, Dimitriy Smilianets (acusados em Nova Jersey), Nicolay Nasenkov (para quem foram apresentadas acusações em Nova York) e Aleksandr Kalinin, que tem causas abertas em ambas as procuradorias.

Deles, dois foram detidos, um extraditado e outros três continuam em paradeiro desconhecido. Também foi relacionado como conspirador Albert González, que atualmente cumpre pena de 20 anos de prisão por ter participado de outra trama de roubo virtual.

A complexa trama de fraude bancária, roubo de identidade e invasão cibernética, entre outros crimes, registrou US$ 160 milhões a seus executores por roubo de dados de cartão de crédito e US$ 300 milhões em perdas registradas por apenas três das empresas afetadas, segundo a procuradoria de Nova Jersey.

Em sua atuação conjunta, Naskov e Kalinin obtiveram, de dezembro de 2005 a novembro de 2008, dados das contas e PINs de cartões dos clientes do Citibank e do PNC, que se traduziram em um prejuízo de US$ 7,8 milhões, além de acessar os computadores de Nasdaq, roubar e manipular seus dados, apesar de não acessarem os dados de compra e venda de valores.

As penas máximas que os acusados receberam são de entre 35 e 70 anos de prisão, com exceção de Kalinin e Nasenkov, que receberam penas superiores a 100 anos de prisão.

Fonte: Revista Info

Read More

Pena de Manning é um radicalismo "perigoso", diz WikiLeaks

O portal Wikileaks, que revelou milhares de dados confidenciais dos EUA, qualificou nesta terça-feira a sentença contra o soldado Bradley Manning de radicalismo "perigoso" em matéria de segurança nacional por parte da Administração de Barack Obama.

Em sua conta no Twitter, o portal diz que a declaração de culpabilidade de Manning por violar a lei de espionagem americana constitui um "novo precedente muito sério" para a provisão de informação à imprensa.

O soldado foi declarado culpado por violar a Lei de Espionagem por filtrar documentos classificados para o Wikileaks, mas absolvido da acusação de "ajuda ao inimigo", pela qual o Governo dos EUA tinham pedido prisão perpétua sem possibilidade de redução de pena.

O Wikileaks, cujo fundador, Julian Assange, está refugiado na embaixada do Equador em Londres, afirma que o militar enfrenta 136 anos de prisão pelas acusações sobre as quais foi declarado culpado, o que representa um "radicalismo perigoso da segurança nacional por parte da Administração Obama".

Manning, que enfrentava 22 acusações, foi considerado culpado por violar a Lei de Espionagem por filtrar dados das guerras do Iraque e Afeganistão e telegramas diplomáticos publicados por Wikileaks.

Assange buscou refúgio na embaixada equatoriana em junho de 2012 para impedir sua entrega à Suécia, onde as autoridades pediram sua extradição por supostos delitos de agressão sexual.

O jornalista temia que se fosse extraditado para Suécia, poderia ser entregue depois aos EUA por ter publicado milhares de dados confidenciais desse país.

O Governo do Equador já concedeu asilo político a Assange, mas este não pode abandonar a embaixada do Equador porque seria imediatamente detido pela Polícia britânica. Assange pediu, sem sucesso, que Londres conceda um salvo-conduto para poder viajar para Quito.

Fonte: Revista Info

Read More

Hackers usam controle do Nintendinho para dirigir carro

O joystick foi ligado ao sistema de computação do automóvel para responder a comandos do controle.

Sorte do dia: você vai dirigir um carro usando o controle do NES. Já pensou? Pois pensaram: os experts em segurança Charlie Miller e Chris Valasek conseguiram hackear o sistema computadorizado de um carro de modo que a direção do automóvel respondesse a comandos de um controle do Nintendinho. É o que podemos conferir no vídeo acima.

Claro que o experimento é um protótipo de protótipo – de brincadeira – e não permite que o motorista cante pneu ou seja muito ousado. Os hackers aparentemente utilizaram cabos para conectar o joystick às unidades de controle eletrônicas de um Ford Escape 2010 e um Toyota Prius. Esses dois automóveis foram as “cobaias” do experimento.

Mas parece que a brincadeira teve algum tom de seriedade: o teste foi bancado pela Darpa, instalação de pesquisas do Pentágono, na tentativa de aumentar a percepção sobre a importância de sistemas computadorizados modernos e inteligentes em automóveis. “Adoraríamos que todos começassem a ter uma discussão sobre isso e que as montadoras ouvissem e melhorassem a segurança de carros”, disse Miller, um dos hackers.

Tomara que não se empolguem tanto com a pistola Zapper Light Gun, também do NES. Que a paz de Duck Hunt seja eterna.

Referências: Tecmundo

Read More

Hackers demonstram como hackear um carro com um notebook

Muitos geeks já sabiam que era possível invadir os sistemas dos carros atuais, e finalmente, dois hackers, Charlie Miller e Chris Valasek, patrocinados pelo centro de pesquisa DARPA do pentágono, demonstraram como é fácil para hackers mal intencionados sequestar fisicamente um carro moderno apenas com um computador.

Preocupado em comprar um carro novo agora? Você até está certo em se preocupar, é muito preocupante ver a facilidade que dois caras, inicialmente financiados pelo governo, conseguiram tomar o controle de um carro, tanto suas funções internas como até mesmo computador de bordo e sistema de freios.

Esqueça agora hackear contas, computadores e dispositivos móveis, agora que essas falhas foram descobertas, por um tempo o foco será os sistemas internos dos carros.

Os hackers que descobriram essas vulnerabilidades ganharam do governo americano 80 mil dólares pela descoberta.

Conectando um MacBook da Apple no OBD-II (On-Board Diagnostic System) do painel do carro, eles dispararam uma série de eventos que poderia tanto incomodar o motorista como causar um sério acidente. Alguns hacks podem manipular os medidores de gasolina e velocidade, apertar ou soltar os sintos e soar a buzina.

O vídeo a seguir mostra como eles podem esculhambar com algumas funções dos carros, para os testes foram usados um Ford Escapade e um Toyota Prius, ambos modelo 2010.

Mas as descobertas estão apenas começando e de fato é uma tarefa difícil, mas não impossível. Os engenheiros da Toyota não encontraram nenhuma vulnerabilidade, mas isso não quer dizer que não existam.

Fonte: The Hacker News

Read More

Escassez de habilidades em Segurança da Informação gera impacto de 32% em grandes empresas

De acordo com pesquisa feita pela CompTIA, oito em cada dez líderes de TI relatam que em pelo menos uma área de negócio há falta de competências. O estudo foi feito com 502 gerentes de TI e de negócios nos EUA, para avaliar a escassez de competências em seus departamentos, o impacto de tais deficiências, e como esses líderes tentam administrar a situação.

A grande maioria (93%) relataram uma diferença entre as habilidades que as equipes possuem em comparação com as que as empresas necessitam. Desses, 83% afirmaram que tal diferença varia de pequena a moderada, mas 9% afirmam que as habilidades das equipes não chegam nem perto do esperado. Apenas 7% disseram que suas equipes possuem as habilidades necessárias.

Dentre as habilidades em que os entrevistados classificaram como mais importantes, estão: rede/infraestrutura, servidores/gestão de data center, armazenamento/back-up, cibersegurança, banco de dados/gestão de informação, help desk/suporte de TI, telecomunicações/comunicações unificadas, impressoras/copiadoras/fax, analytics/negócios, web design e desenvolvimento.

O impacto da escassez de habilidades na área de Segurança da Informação é de 32% nas grandes empresas, 39% nas de médio porte e 29% nas pequenas empresas. Para enfrentar o déficit de competências as empresas precisam investir mais em treinamentos para seus colaboradores. O método mais popular adotado é o online, empregado por 50% dos entrevistados.

Fonte: Blog SegInfo

Read More

68% das empresas latinas são vulneráveis, diz Kaspersky

As empresas da América Latina são bastante vulneráveis na parte de segurança digital. É o que constata um estudo feito pela empresa de antivírus Kaspersk, com cerca de três mil profissionais de TI de 22 países.

Segundo o estudo, 68% das empresas da América latina – incluem-se nesta lista as brasileiras – já tiveram a infraestrutura de TI infectada por malware, como vírus e spyware, e ataques sofisticados, que visam o roubo de dados.

O problema, diz o estudo, atinge empresas de todos os tamanhos, incluindo os grandes conglomerados que investem milhões em tecnologia para proteger dados estratégicos e de clientes. “E acontece porque a cultura de segurança da informação no Brasil e nos países latinos é tratada como assunto não importante por empresários e grandes executivos”, afirma Fabio Assolini, analista sênior de malware da Kaspersky,

De acordo com a Kaspersky, 63% das pequenas empresas analisadas no estudo enfrentaram problemas de TI causados por malware nos últimos 12 meses. O problema se repetiu em 60% das médias empresas.

Nos dois nichos, os problemas de segurança são causados por conta de brechas em programas desatualizados, sistemas de proteção piratas ou configurações fracas no ambiente de rede.

Segundo o estudo da Kaspersky, as empresas de menor porte não se preparam para evitar problemas de segurança na infraestrutura tecnológica. E costumam reagir aos ataques somente depois que eles acontecem.

As grandes empresas, geralmente, conseguem barrar o ataque de malware mais simples, como vírus de computador. Contudo, explica a Kaspersky, não ficam livres de ataques sofisticados. Os hackers e crackers usam avançadas técnicas para invadir as redes dessas empresas e causar danos sérios, como o roubo de dados – que são vendidos no mercado negro ou repassados aos concorrentes.

Segundo Assolini, há uma razão para tanto despreparo. E ela está na legislação da maioria desses países: “As leis brasileiras, por exemplo, não punem as empresas que são invadidas e perdem dados de seus clientes”, diz. “Nos países europeus e nos Estados Unidos, uma empresa que perde dados, por exemplo, deve ir ao mercado anunciar o que aconteceu para evitar uma penalidade alta”.

Nessas empresas, os ataques geralmente são do tipo DDoS, phishing e por códigos maliciosos avançados que permitem o acesso remoto de servidores e desktops. Para evitá-los, as corporações não precisam apenas de sistemas avançados, mas também de conscientização dos funcionários.

Fonte: Revista Info

Read More

Chamada para o Fórum TcheLinux edição Vale dos Sinos 2013

“Estão abertas as inscrições para quem deseja participar do Fórum TcheLinux edição Vale dos Sinos 2013. O evento será realizado na FTEC unidade Novo Hamburgo / RS, no dia 10 de agosto, das 13:00h às 18:00h. Entre as atividades programadas estão palestras em quatro salas, coffee break, sorteio de brindes além de networking e troca de experiências. O formulário para inscrição está disponível no endereço http://bit.ly/1bIEHZw e a programação completa pode ser conferida em http://bit.ly/12smUzL. Contamos com a sua presença!

Vamos Deivid,

Read More

Grupo hacker é acusado de cometer maior roubo de dados da história

(Foto: Reprodução)

Um grupo de cinco hackers foi indiciado pela justiça dos Estados Unidos por atacar e roubar informações de 160 milhões de cartões de débito e crédito. A operação durou sete anos e está sendo considerada nos EUA como o maior caso de invasão e roubo de dados da história, segundo o Mashable.

Segundo os promotores, o grupo, formado por quatro russos e um ucraniano, invadiu grandes empresas do país como a NASDAQ, Dow Jones, Visa, Carrefour entre várias outras.

Vladimir Drinkman, de 32 anos, Aleksandr Kalinin, 26 anos, Roman Kotov, 32 anos, e Dmitriy Smilianets, 29 anos, são os nomes dos hackers russos responsáveis pelo ataque. Mikhail Ryitikov, de 26 anos, é a parte ucraniana da equipe.

Todos eles estão sendo indiciados por acesso não autorizado a computadores e fraude eletrônica. A primeira acusação pode gerar pena de cinco anos de prisão e multa de US$ 250 mil; a segunda, pode causar 30 anos na cadeia, somados a US$ 1 milhão de multa.

Após conseguir as informações dos clientes das empresas e seus respectivos cartões, os acusados os repassavam para revendedores ao redor do mundo, que distribuíam os dados em fóruns online ou para indivíduos e organizações. Os promotores apontam que um cartão americano valia US$ 10, um europeu custava US$ 50 e um canadense valia US$ 15. Compras em "atacado" poderiam ter descontos, assim como clientes recorrentes.

Os promotores acreditam que os ataques causaram centenas de milhões de dólares em perdas para as empresas. Em um dos casos, na Heartland Payment Systems, os prejuízos ficaram em US$ 200 milhões.

Read More

[Segurança] Ciber Terrorismo?

A mídia, e até mesmo Hollywood têm uma certa atração especial para o tema do ciber terrorismo e, normalmente, confunde ciber ativismo, hacktivismo e o ciber terrorismo. Até que é fácil encontrar notícias classificando ataques cibernéticos regulares como "terrorismo cibernético", da mesma forma que é fácil achar a mídia relatando casos de espionagem cibernética como se fossem guerra cibernética.

Entretanto, uma análise mais cética dos casos reais de grupos que empregam ataques cibernéticos sob uma motivação política ou ideológica, resulta na conclusão de que praticamente nenhum caso é universalmente reconhecido como um ato de ciber terrorismo. Até hoje, apenas a operação OpAbabil (que está prestes a começar suaquarta onda de ataques a bancos americanos) representa um caso de ciber ataque que poderia ser considerado, por alguns, como um ato de terrorismo cibernético.

O maior problema, na verdade, é a falta de uma definição universalmente aceita de terrorismo, e consequentemente, do que poderia ser enquadrado como terrorismo cibernético (ciber terrorismo). Isso acaba por causar confusão quando alguém tenta categorizar um ataque cibernético como sendo um ato de hacktivismo, um simples conflito cibernético entre duas partes ou ciber terrorismo.

A classificação de uma ação ou de um determinado grupo como algo associado ao terrorismo carrega um grande grau de polêmica principalmente porque atos de terrorismo normalmente envolvem dois grupos com posições políticas, ideológicas ou religiosas radicalmente distintas. Logo, envolve um alto grau de emoção e conflito. Por isso, sempre haverá um grupo favorável (que apóia a causa, e portanto, os atos que este grupo realiza), e haverá, naturalmente, um grupo contrário aos atos que o outro grupo pode considerar como terrorismo ou uma forma muito radical de protesto.

Em alguns casos a classificação como um ato de terrorismo pode parecer óbvia para nós, como nos ataques aos EUA em 11 de setembro de 2001, os ataques em Mumbai em 2008, há casos mais polêmicos, ou os ataques do IRA na Inglaterra. Mas, por exemplo, há quem evite considerar as FARC como sendo um grupo terrorista. Ou podemos achar populações islâmicas que consideram os ataques de 11 de setembro como sendo justificáveis. Sempre haverá alguém a favor!

Outro exemplo interessante foi o que aconteceu no recente ataque na maratona de Boston em Abril deste ano: Embora os dois irmãos responsáveis pelo ataque (Tamerlan e Dzhokhar Tsarnaev) fossem conhecidos das autoridades russas e considerados radicais e potenciais terroristas, eles moravam nos EUA livremente, apesar do serviço secreto russo ter notificado as autoridades americanas. Em minha humilde opinião, provavelmente as autoridades americanas não deram tanta atenção aos irmãos pois eles eram da região próxima a Chechenia, e possivelmente os americanos acharam que o alerta das autoridades russas deveu-se simplesmente ao potencial envolvimento deles nos conflitos nesta região, que nada tem a ver com os EUA.

Desta forma, a classificação do que é terrorismo, e até a penalização de algum ato terrorista, é algo intrinsicamente polêmico. Por isso, vários países tem leis e posicionamentos diferentes sobre o assunto.

Entretanto, a maioria das definições de terrorismo considera alguns fatores:

• tem uma forte motivação ideológica, política ou religiosa
• são direcionados a população em geral
• resultam em atos violentos ou potencialmente violentos
• visam, porincipalmente, causar o medo, o pânico e a desestabilização de suas vítimas

Pelo exposto acima, temos que considerar o terrorismo cibernético como ciber ataques que resultem, de alguma forma, em ameaça de violência ou provoquem medo entre as potenciais vítimas, além uma forte agenda ideológica.

Sob esta ótica, a OpAbabil certamente representa o caso mais indiscutível de terrorismo cibernético que enfrentamos até agora. Desde 18 de setembro de 2012, quando o ​​grupo al-Qassam Cyber Fighters lançou a OpAbabil exigindo a retirada do polêmico vídeo "A Inocência dos Muçulmanos" do YouTube, seus ataques de negação de serviço (DDoS) foram direcionados a dezenas de bancos norte-americanos, que sofreram repetidas interrupções e lentidão em seus sites.

No entanto, em 5 de abril de 2013 o usuário identificado como XtnRevolt, membro do Tunisian Cyber Army (TCA) publicou um post no Facebook anunciando uma operação hacktivista que muito se assemelhou com o que poderíamos considerar como um caso de terrorismo cibernético. Em seu post, XtnRevolt advertiu sobre possíveis ataques cibernéticos como parte de OpBlackSummer que seriam direcionados contra empresas americanas de infra-estrutura e de energia, previstos para o chamado "FridayofHorror" (Sexta-feira de Horror), que seria em 12 de abril de 2013. Em sua mensagem no Facebook, o XtnRevolt ameaçou autoridades norte-americanas de que o grupo iria continuar atacando o sector financeiro e iria atacar companhias aéreas e do setor elétrico dos EUA se as autoridades americanas "não declarassem que vão retirar o exército de nossas amadas terras de Maomé".

O post do TCA no Facebook (vide imagem acima, pois o post já foi removido) é muito parecido com qualquer declaração pública feita por organizações terroristas, em termos de palavreado e demandas. Além disso, o TCA anunciou uma parceria com um grupo hacker chamado "al-Qaeda Electronic Army", uma clara referência a uma organização terrorista conhecida de todos nós. O tom da mensagem, suas ameaças e o potencial de causarem grave impacto em empresas americanas, poderiam fazer com que o "FridayofHorror" fosse o primeiro grande ato de ciber terrorismo da história. Motivação e tecnologia para tal, certamente não faltam.

Mas, felizmente, o grupo não cumpriu suas promessas e os ataques na "FridayofHorror" não aconteceram. Além do mais, poucos ataques significativos marcaram a operação OpBlackSummer.

Só nos resta, portanto, continuar considerando o ciber terrorismo como uma buzzword, pelo menos por enquanto.

Fonte: anchisesbr

Read More

Veja como escolher uma senha quase indecifrável

Há anos eu aviso familiares sobre suas práticas com relação à escolha de senhas de má qualidade. Ou eles usam senhas facilmente hackeáveis, ou esquecer as senhas que criaram - às vezes ambos.

Se você não acredita em mim, amada família, considere as declarações sobre o Dia da Senha (sim, aparentemente é algo) de Robert Siciliano, da McAfee: "74% dos internautas usam a mesma senha em vários sites, por isso, se um hacker obtém sua senha, ele terá, por tabela, acesso a todas as suas contas.

Reutilizar senhas de e-mail, contas bancárias e de mídias sociais, pode levar ao roubo de identidade e perda financeira".

Qual é a solução? É mais fácil do que você imagina. Para começar, vá até a página da Intel (essa daqui do Password Grader) para testar o quão facilmente pode ser quebrada a sua senha atual. (O site promete não reter qualquer informação, embora ainda recomenda-se que você não use a senha real - então use algumas combinações semelhantes.)

De lá você pode rolar a tela para baixo para ver um simples processo passo a passo para transformar a sua senha de "hackeável" para "indecifrável". (Há uma versão mais longa e mais informativa deste infográfico no blog do Siciliano - e ele não exige que você use o Password Grader, se você preferir não fazer isso.)

O principal argumento aqui é evitar a habitual mistura de letras, números e sinais de pontuação (que você foi aconselhado a fazer muitas vezes) e, em vez disso, optar por uma combinação mais fácil de ser lembrada.
Então, por exemplo, se sua senha é algo como "PCW0rldD4ve", você pode se dar melhor se mudá-la para "Eu amo ler PC World!". Parece loucura, mas como McAfee e  a Intel mostram, não se trata de complexidade, mas sim comprimento.

E você poderia adaptar uma frase semelhante a todos os outros sites que você visita: "Eu amo ler Facebook!", por exemplo, e assim por diante. Agora você tem a diversidade e a simplicidade na palma da mão. A única pegadinha é que alguns sites não permitem que você use espaços, e outros podem limitar o comprimento da senha.

Vi lá no PC WORLD

Read More

5 dicas para navegar com mais segurança usando o Google Chrome

O Google Chrome tem vários recursos de segurança integrados, entre eles um sistema chamado “sandboxing” (caixa de areia) que isola cada aba do restante do sistema operacional, restrição de privilégios e até um mecanismo de atualização automática para melhor proteção contra hackers e malware.
Mas como todos os navegadores, o Chrome não é perfeito, e há algumas medidas extras que você pode tomar para se proteger de um eventual ataque. Veja a seguir como aproveitar ao máximo os recursos de segurança do navegador, além de como corrigir eventuais falhas, e navegue tranquilo.
Leia também
Dá pra confiar suas senhas ao seu navegador?
Privacidade
O Chrome tem vários recursos que ajudam a proteger sua privacidade enquanto você navega. Os mais notáveis são os sistemas de proteção contra Phishing e Malware, e uma ferramenta que pode corrigir automaticamente erros de digitação em endereços da web.
Os sistemas contra Phishing e Malware exibem avisos sempre você tenta visitar um site que tenha sido identificado pela Google como potencialmente malicioso, seja por hospedar malware ou por tentar roubar informações pessoais do internauta. E a autocorreção de URLs foi criada para impedir que você visite um site errado por acidente caso esqueça ou troque uma letra no endereço. Além de conveniente, ela é uma medida de segurança: criminosos frequentemente tentam registrar domínios em endereços similares aos de sites famosos (como “gogle” ou “cocaclola”) na tentativa de fisgar internautas desatentos.

^{Configurações de privacidade no Chrome}

Para usar estes recursos abra a tela de configuração do navegador (clique no ícone das três linhas horizontais no canto superior direito da janela, e selecione Configurações no menu), clique em Mostrar configurações avançadas no rodapé da página e localize o item Privacidade. Marque as opções Utilizar um serviço da web para ajudar a solucionar erros de navegação e Utilizar um serviço da web para ajudar a solucionar erros de ortografia, além de Ativar proteção contra phishing e malware.
Proteja senhas e dados de cartões de crédito
Se você deixa o Chrome armazenar as senhas dos sites que visita, saiba que qualquer pessoa que tenha acesso ao computador poderá descobrí-las se mexer um pouquinho na tela de configuração. E ao contrário do Firefox e seu recurso de senha mestre o Chrome, e também suas extensões, não permite criptografar suas senhas ou informações de cartão de crédito armazenadas.
Por sorte há algumas coisas que você pode fazer para proteger suas informações. Em primeiro lugar, não permita que pessoas nas quais não confia usem sua conta do Windows. Em vez disso crie uma conta secundária, sem permissões de administrador, ou ative a conta para convidados (Guest) no Painel de Controle, em Contas Usuário e Proteção p/ Família / Contas de Usuário / Gerenciar Contas.

^{É muito fácil acessar nomes de usuário e senhas nas preferências do Chrome}

Se criar uma outra conta do Windows for um inconveniente, experimente uma extensão do Chrome como a ChromePW, Browser Lock ou Secure Profile para proteger o navegador com uma senha. Com isso outros usuários serão forçados a usar um outro navegador no sistema como o Internet Explorer (que não permite que outros vejam facilmente suas senhas) ou o Firefox (que permite critpografá-las).
Outra opção é armazenar estas informações sensíveis usando um gerenciador de senhas de terceiros. Alguns deles permite até mesmo a sincronia das senhas entre vários navegadores e computadores, o que pode ser útil para quem lida com vários computadores no dia-a-dia. O KeePass e o Lastpass são dois gerenciadores de senha que você deve experimentar.
Proteja as informações sincronizadas
O Chrome pode sincronizar a maioria de suas configurações e dados salvos (incluindo senhas, mas não os detalhes de cartões de crédito) entre múltiplos computadores e aparelhos (como smartphones e tablets) que tenham o Chrome instalado, mas isto cria uma vulnerabilidade de segurança. Por padrão, você precisa informar apenas a senha de sua conta na Google para habilitar a sincronização de dados em um novo computador ou aparelho. Se a sua conta na Google for invadida, um malfeitor pode habilitar a sincronização em um outro computador e facilmente acessar uma lista com todas as suas senhas.

^{Ajuste as configurações de sincronização para proteger suas informações}

A não ser que você configure uma senha personalizada para criptografar as informações sincronizadas. Assim, primeiro você terá de fazer login com sua conta na Google, e depois informar a senha de sincronização, para que ela aconteça, o que adiciona uma importante camada extra de segurança. Para isto abra a tela de configurações, clique no botão Configurações de sincronização avançadas... e sob o item Senha de criptografia marque a opção Escolher minha própria senha. Aproveite e marque também a opção Criptografar dados sincronizados, para proteger todas as informações armazenadas, e não só as senhas.
Reforce a segurança de sua conta Google
A Google oferece várias medidas de segurança para ajudá-lo a proteger e controlar melhor o acesso à sua conta, e você definitivamente deve considerar usá-los se ativar o recurso de sincronia de informaçõe no Chrome. Elas ajudam a proteger toda a sua conta, e são especialmente recomendadas se você usa múltiplos serviços da Google.
O principal recurso é a “autenticação em duas etapas”, sobre a qual já falamos anteriormente. Basicamente, com ela ativada você vai precisar de seu nome de usuário, sua senha e um código, enviado via SMS para um número de telefone escolhido por você, para fazer login em sua conta. Mesmo que um malfeitor consiga seu nome de usuário e sua senha, sem o código ele não poderá acessar a conta. Se você usa algum aplicativo que se integra aos serviços da Google e não tem suporte à autenticação em dois passos, terá de criar um senha específica para este aplicativo.

^{A autenticação em dois passos é uma proteção extra contra invasão de sua conta}

Na página de configurações de segurança de sua conta no Google você também deve ativar a opção de notificação por e-mail/telefone de mudanças de senha e tentativas de login suspeitas. Com isso, você ficará imediatamente sabendo se alguém tentar mudar sua senha ou invadir sua conta.
Aproveite também para rever suas opções de recuperação caso esqueça a senha (tenha sempre um endereço de e-mail de backup e um número de telefone atualizado) e reveja a lista de apps e serviços que tem acesso à sua conta e revogue a permissão daqueles que não usa mais.
Instale extensões para proteção extra
Há várias extensões que você pode usar para adicionar recursos de segurança extras ao Chrome. Por exemplo a Web of Trust (WoT) avisa sobre sites perigosos, e a AdBlock remove anúncios que, além de incômodos, podem ser perigosos e levar a sites de malware ou phishing. A View Thru permite que você veja o endereço completo de URLs encurtadas, e o KB SSL Enforcer força o navegador a usar conexões seguras (HTTPS) e criptografia SSL em sites que suportem estas tecnologias, evitando que malfeitores interceptem sua conexão.

Créditos: PC WORLD

Read More

Hacker lendário, Barnaby Jack morre às vésperas da Black Hat

O famoso hacker Barnaby Jack morreu, esta semana, em sua casa em São Francisco, na Califórnia, de causas desconhecidas. A morte aconteceu dias antes de Jack realizar uma apresentação na conferência de segurança Black Hat sobre como é possível invadir dispositivos médicos a atacar pessoas que usam próteses eletrônicas em seus corpos mesmo à distância. 

De acordo com o jornal San Francisco Chronical, um representante da polícia de São Francisco afirmou que Jack foi encontrado morto em seu apartamento por familiares. A hipótese de crime foi descartada pela polícia, diz o jornal. Uma das possibilidades é que o hacker tenha sofrido um ataque cardíaco.

Em nota,  os organizadores da Black Hat afirmam que a “vida e o trabalho de Barnaby Jack são lendários e insubstituíveis”. “Barnaby sabia explicar de forma simples temas complexos e intrincados da tecnologia”, diz o comunicado.

Ex-pesquisador das empresas McAfee e Juniper, Jack ganhou grande fama em 2010, quando demonstrou, ao vivo, num evento em São Francisco, como seria possível hackear caixas eletrônicos de bancos e fazê-los liberar dinheiro.  A apresentação foi feita após Jack dar tempo aos bancos para que corrigissem a falha. 

Entre as descobertas de segurança na área médica, Jack demonstrou que dispositivos remotos poderiam explorar falhas de bombas de insulina implantadas em pacientes com diabetes e fazê-las serem descarregadas em conjunto, levando o paciente ao óbito.

Read More

Active Directory – Como renomear um domínio

Renomear um domínio não é uma atividade comum de ocorrer, mas caso você necessite fazer isso abaixo seguem todos os passos. É indispensável que você realize um levantamento completo de seus servidores/aplicações a fim de minimizar qualquer impacto que possa ser gerado com esta mudança.
Domínio Atual: 100SECURITY

Active Directory Users and Computers

01. Passo
Start > Programs > Accessories > Command Prompt
Execute o comando: C:\>rendom /list

02. Passo
Edite o arquivo DomainList.xml no Notepad



03. Passo
Substitua o domínio atual 100security pelo nome domínio marcoshenrique

04. Passo
Execute o comando: C:\>rendom /upload

05. Passo
Execute o comando: C:\>rendom /prepare

06. Passo
Execute o comando: C:\>rendom /execute

07. Passo
O sistema será reiniciado automaticamente

08. Passo
Observe que o nome do domínio já foi alterado para MARCOSHENRIQUE

09. Passo
Ao abrir o Active Directory Users and Computers observe que o sufixo ainda é do domínio antigo.

10. Passo
Start > Settings > Control Panel > System
Clique em Change settings

Clique no botão Change…

Clique em OK

Substitua do Primary DNS sufix 100security por marcoshenrique

Clique no botão OK

Clique no botão OK

Clique no botão OK

Clique no botão Close

Clique no botão Restart Now

11. Passo
Após reiniciar o sistema acesse o Active Directory Users and Computers e observe que o sufixo já esta alterado

Veja vídeo com as instruções:

Créditos: Marcos Henrique é Pós-Graduado em Segurança da Informação com vasta experiência, é o desenvolvedor do site MarcosHenrique.com, ClicandoFacil.com.br e 100security.com.br.

Referência: Profissionais TI

Read More

Microsoft monta PC que roda jogos a 12K de resolução

A equipe do blog Extreme Windows, da Microsoft, montou um PC potente o suficiente para rodar jogos com resolução de 12K. Para isso, eles usaram três monitores de 4K e um total de três processadores para atingir a taxa de 60 frames por segundo.

Experimentando jogos a 12k com três processadores gráficos (foto: Divulgação)

O programador Gavin Gear, autor da façanha, explica que jogos no PC devem ser jogados com performance extrema. “Jogos em DirectX no Windows sempre estão no limite da tecnologia de hardware e software gráficos”, afirmou.

Para montar o equipamento, ele usou três monitores Sharp PN-K321 4K Ultra HD, que custam juntos cerca de US$ 15 mil (aproximadamente R$ 33 mil). O primeiro desafio encontrado foi a forma de conectar os monitores no mesmo computador e, para isso, teve que descobrir quão poderoso deveria ser seu processador gráfico para aguentar jogar um jogo de DirectX 11 em 30 Hz – a maior taxa possível. A solução encontrada foi usar uma placa ASUS HD 7970 DirectCU II, que possui suporte para até quatro saídas de vídeo.

Uma vez que este problema foi resolvido, ele conseguiu uma tela com resolução de 11.520 x 2.160 pixels, o equivalente a 12 monitores com resolução de 1.920 x 1080, somando cerca de 24.883.200 pixels.

O jogo escolhido para o teste foi Dirt 3, já que o efeito panorâmico dos monitores funcionaria bem com o game de corrida. O primeiro teste resultou em uma taxa de frames um pouco inferior à marca de 30 Hz, o que fez com que fosse necessário desativar alguns recursos para melhorar a jogabilidade. Um deles foi desligar o multisampling, o que permitiu uma taxa média de 35 frames por segundo.

O próximo desafio foi usar o recurso MST (Multi-Stream Transport) dos monitores para aumentar a taxa de atualização para 60 Hz, o que criou novos problemas. Por padrão, monitores conectados por DisplayPort ou HDMI possuem atualização máxima de 30 Hz devido às limitações de banda inerentes que existem nas especificações. Isto significa que é necessário mais de uma saída, o que era possível com as configurações do Sharp PN-K321 e adicionando uma segunda placa ASUS HD 7970 em modo Crossfire . Desta forma, ele foi capaz de atingir cerca de 150 frames por segundo com um monitor.

O último teste seria usar os três monitores na potência máxima. O problema é que as placas ASUS não suportavam esta configuração, o que fez com que Gear e seu amigo Jeff, que trabalha na AMD, precisassem encomendar um driver customizado para a façanha. Desta forma, eles conseguiram unir seis displays, mas o jogo só funcionou a 8 fps.

AMD 7970 Crossfire realizando o seu trabalho no máximo (Divulgação)

Após mexer nas configurações novamente, eles adicionaram uma terceira placa 7970 para aumentar a potência, arriscando sobrecarregar a placa mãe. Eles acreditam que conseguiram cerca de 750 watts de potência. Desta forma, o jogo foi rodado com entre 62 e 67 frames por segundo.

Estas configurações foram o suficiente para jogar o Dirt3 por poucos minutos antes que o computador reiniciasse devido ao uso excessivo de energia. Eles calculam que usaram um total de 6.144 núcleos com os três processadores gráficos, resultando em 1.492.992.000 pixels renderizados por segundo.

Referências: TechTudo

Read More

Microsoft entrega IE11 para desenvolvedores e apost em web apps

A Microsoft lançou na quinta-feira a versão para desenvolvedores do Internet Explorer 11 para Windows 7, com novas ferramentas para que os programadores monitorem a performance e o uso de memória. Segundo o Venture Beat, Redmond destaca que o IE11 é 4% mais rápido do que o IE10, e 30% mais rápido do que o navegador rival principal - que seria o Google Chrome. ​O diretor de marketing do IE, Roger Capriotti, afirmou ao site americano que o novo browser tem capacidade nativa de decodificar JPEGs no cartão gráfico - o que significa mais desempenho para sites com muitas imagens - e seria o primeiro a usar o ovo padrão da W3C para permitir que o desenvolvedor escolha quais imagens vão ser carregadas primeiro na hora de abrir o site.

O IE11 também teria adotado os novos padrões quanto ao WebGL, Flexbox, suporte a borda de imagem em CSS, e clique-e-arraste de HTML5.

Mas o grande destaque para os desenvolvedores são as ferramentas F12, que permitem acompanhar variação e uso de memória em tempo real. Isso seria uma grande ajuda para os programadores que desejam explorar o campo dos web apps, em vez de ficarem restritos aos aplicativos para cada sistema operacional.

O F12 também estreia funções de simulador para sites mobile, exibindo como a interface de usuário aparece em diferentes tamanhos de tela e resoluções.

Read More