Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Cibercriminosos exploram tragédia de Santa Maria


Usuários estão recebendo e-mails com supostas imagens do incêndio, mas na verdade se tratam de malwares

Como se não bastasse a tragédia que matou mais de 230 pessoas em Santa Maria-RS, o incêndio está sendo explorado por hackers. Algumas pessoas já estão recebendo e-mails que prometem vídeos e imagens do acidente, mas que na verdade são trojans que tentam roubar dados bancários do usuário.

O alerta foi dado nesta terça-feira pela Kaspersky Lab. Segundo eles, a mensagem conta com um arquivo chamado "video.zip" anexo, que na verdade é um malware que redireciona os usuários para sites falsos de bancos. A empresa afirma que a primeira mensagem foi registrada na manhã de segunda-feira, com o título "Vídeo mostra momento exato da tragédia em Santa Maria no Rio Grande do Sul".

"Os cibercriminosos exploram a curiosidade dos usuários para disseminar trojans bancários e, assim, infectar e roubar o maior número possível de pessoas. Este tipo de ataque é muito comum em casos de grande repercussão e comoção social", explica Fábio Assolini, analista de malware da Kaspersky.

Além disso, a empresa alerta os usuários de redes sociais, prevendo que deverá haver potenciais ataques no Facebook em breve, também relacionados à tragédia de Santa Maria. Estes sites são conhecidos pela rápida disseminação de conteúdo e são ideiais para disseminação de links maliciosos. Assolini pede cautela ao usuário, que deve evitar clicar em links que prometem fotos ou vídeos da tragédia, mesmo que tenham sido enviados pelos seus contatos.

Pesquisa Global de Segurança da Informação 2013


A segurança da informação sempre foi um jogo de alto risco. Atualmente, para muitas empresas, ela se apresenta como um desafio quase impossível de ser superado. As regras mudaram, os adversários detêm habilidades tecnológicas especializadas e os riscos são maiores do que nunca. Para ganhar esse jogo, as empresas precisam adotar novas estratégias e pôr em campo conhecimentos tecnológicos ainda mais avançados.

É isso que mostra a 15ª edição da Pesquisa Global de Segurança da Informação - Global State of Information Security Survey 2013, um estudo realizado em 128 países, e que contou com a participação de 9.300 executivos, entre CEOs, CFOs, CIOs, CSOs, vice-presidentes e diretores de TI de empresas médias, grandes e gigantes de todos os setores da economia. O Brasil obteve a segunda maior participação relativa este ano, sendo superado apenas pelos Estados Unidos.

O relatório mostra como as empresas líderes vêm se posicionando para vencer a batalha da segurança da informação e de que forma as práticas adotadas por elas podem contribuir para que as demais empresas se fortaleçam nesse campo.

Leia na integra:
Fonte: PWC

Exército apresenta simulador para proteger ambiente virtual do Brasil


O simulador é uma solução pioneira na América Latina de uso dual e que integra componentes reais e ativos de rede virtuais, utilizando prioritariamente software livre


O Centro de Comunicações e Guerra Eletrônica do Exército (Ccomgex) apresentou nesta terça-feira (22/01) o primeiro simulador brasileiro de operações cibernéticas (Simoc). O software será utilizado para treinamento dos militares responsáveis pela proteção do ambiente virtual do Brasil. O país tem sido cada vez mais alvo de ataques virtuais. De acordo com estatística do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br), o total de ocorrências aumentou 16,5%, para 466 mil, em 2012.


Entre essas ocorrências estão invasões de sites e fraudes. Em 2011 vários sites do Executivo e do Legislativo federal foram retirados do ar por hackers.

Entre as ameaças digitais que o país sofre também estão as de ativistas virtuais e a guerra cibernética. Como exemplo, o diretor de negócios da Decatron, Bruno Melo, citou o ataque às centrífugas de urânio no Irã, ocorrido em 2010, que danificou o equipamento sem que os técnicos que controlavam os reatores percebessem o que acontecia.

O software apresentado nesta terça-feira pelo Exército foi desenvolvido pela Decatron, empresa brasileira de tecnologia da informação, ao custo de R$ 5 milhões, e terá uso tanto militar quanto civil, segundo a empresa. "Atualmente os crimes cibernéticos movimentam mais dinheiro do que o tráfico internacional de drogas", disse o diretor de negócios da Decatron, Bruno Melo.

A Decatron levou um ano para a produção do programa e contratou 30 especialistas em Tecnologias da Informação (TI), de várias universidades e institutos de pesquisa. Mesmo assim, o Exército já deverá definir até março nova licitação para modernizar o software.

Segundo o general Santos Guerra, comandante do Ccomgex, foram analisados produtos semelhantes da França, Itália e Israel para desenvolver o similar nacional.

O software será utilizado na capacitação de servidores militares e civis no Exército e no Ccomgex. Além disso, estará "disponível para uso de outros órgãos, como universidades, mas com certas exigências, porque é necessário analisar o perfil do servidor que será treinado", explicou o general.

Santos Guerra acredita que o simulador dará mais qualidade aos cursos de capacitação, que já acontecem no local desde 2010, por onde passaram cerca de 300 militares das Forças Armadas, além de funcionários públicos civis.

Entre as ameaças digitais que o país sofre estão a invasão de hackers, ativistas virtuais e a guerra cibernética. Como exemplo, o diretor de negócios da Decatron, Bruno Melo, citou o ataque a centrífugas de urânio no Irã, ocorrido em 2010, que danificou o equipamento sem que os técnicos no controle dos reatores percebessem o que acontecia.

Fonte: PB Acontece

Mega promete anonimato, mas realidade não é bem assim


Empresa mantém registros bastante detalhados de seus usuários - e pode usá-los para colaborar com autoridades, se achar necessário

À primeira vista, Kim Dotcom e a sua equipe estão se empenhando para garantir a proteção de seus usuários e dos arquivos por eles enviados. Segundo uma análise feita pelo fundador e editor-chefe do site Torrent Freak, Ernesto Van Der Sar, a forma como o Mega criptografa seus dados funciona "de forma brilhante". Mas quem prefere manter-se no anonimato pode ficar um pouco decepcionado com o serviço.

Em sua política de privacidade, a empresa deixa bem claro que mantém registros bastante detalhados de seus usuários. Logs de comunicação, dados de tráfego, uso do site e outras informações relacionadas à prestação dos serviços são apenas alguns dos dados coletados e armazenados por Dotcom e sua equipe. Além disso, a companhia mantém registros de endereços IP usados para acessar o serviço e exige que os dados dos cadastros estejam sempre atualizados.

Segundo Van Der Sar, nas regras atuais do novo serviço de Dotcom, dissidentes e denunciantes não estão protegidos, caso autoridades queiram algumas informações específicas.

"Se nós pensamos que é necessário ou temos que por lei em qualquer jurisdição, então temos o direito de entregar suas informações às autoridades. Reservamo-nos o direito de ajudar com as investigações de qualquer agência de aplicação da lei, incluindo mas não limitado a divulgação de informações a eles ou a seus agentes. Também nos reservamos o direito de cumprir com todos os processos legais, incluindo mas não limitado a intimações, mandado de busca e ordens judiciais", diz a política de privacidade.

Outro ponto que chamou atenção é que o Mega afirma que "podemos usar qualquer informação que temos sobre você como cliente, relativa a sua credibilidade e dar essa informação para qualquer outra pessoa para fins de avaliação de crédito e cobrança de dívida."

Mas tudo isso não parece ser um grande problema para a maioria dos usuários, afinal o serviço bateu a marca de 250 mil cadastrados poucas horas depois de ser lançado, segundo o seu fundador.

Cuidado com o que compartilha

Por mais que o Mega se autointitule "A Empresa da Privacidade" (The Privacy Company") e garanta que todos os dados são criptografados de forma eficaz, especialistas em segurança aconselham a não confiar muito no serviço. Que a criptografia será feita, isso não há dúvidas, mas o sistema utilizado para a sua implementação é duvidoso.

O Mega utiliza o SSL (Secure Sockets Layer), um protocolo amplamente utilizado para criptografia em toda a rede - e também altamente vulnerável. O SSL há tempos é conhecido por ser um ponto fraco na web.

Em 2009, o pesquisador de segurança Moxie Marlinspike criou uma ferramenta chamada sslstrip, e a apresentou durante a conferência hacker Black Hat daquele ano. A ferramenta permite a um invasor interceptar e interromper uma conexão SSL para, então, espionar todos os dados que o usuário envia para o site falso.

Levando em conta que o Mega se baseia fundamentalmente em SSL, "não há realmente nenhuma razão para fazer a criptografia do cliente", disse Marlinspike em uma entrevista na segunda-feira (21/1). "Esse tipo de processo é vulnerável ​​a todos os problemas com SSL."

Considerando que o Mega verá apenas dados criptografados em seus servidores, o procedimento seria uma maneira de "absolver" os fundadores do site de questões relacionadas à violação de direitos autorais do Megaupload. "Tudo o que importa é que os operadores do Mega possam alegar que eles não têm a capacidade técnica para inspecionar o conteúdo no servidor a procura de violação de direitos autorais", disse Marlinspike.

Fonte: IDGNOW

Google quer criar anel para substituir o uso de senhas na web


Dispositivo criptografado daria acesso seguro às paginas ao tocar o computador

O Google se uniu ao grupo de críticos das senhas tradicionais na internet. De acordo com o The Verge, especialistas de segurança da companhia estão trabalhando em novas tecnologias para manter os usuários mais seguros. 

A ideia da empresa é fazer com que internautas acessem sites com "aneis criptografados" ou até smartphones que funcionem como cartões ou mini USB de segurança. Os dispositivos dariam acesso seguro às páginas ao tocar o computador.

O Google afirma, no entanto, que o uso de dispositivos para autenticação funcionaria de forma independente à empresa, evitando que suspeitas sejam levantadas quanto ao armazenamento de dados pessoais pela companhia.

A gigante da web ainda informou que com pequenas modificações no Chrome, eles poderiam aplicar a nova tecnologia ao navegador.

Nova Busca Social do FB é ferramenta incrível para ataques maliciosos


Ferramenta recém-lançada torna mais fácil para cibercriminosos coletarem dados relevantes que podem ser usados em golpes de forma mais eficaz

O Facebook chamou atenção na última terça-feira (15/1), quando anunciou a sua nova ferramenta de pesquisa Graph Search (Busca Social). Os usuários estão ansiosos por uma chance de testar o novo recurso, e os crackers estão ansiosos para esta nova arma, quer dizer, ferramenta.

Em poucas palavras, a nova pesquisa social do Facebook é uma ferramenta de busca que permite encontrar informações com base em relacionamentos e contexto - basicamente a infinidade de dados de Likes, tags, e check-ins postados por um bilhão de membros do Facebook.

Do ponto de vista de pesquisa, o Graph Search parece uma ferramenta muito poderosa - algo que faz a pesquisa mais relevante, do ponto de vista pessoal - e um conceito que deve ter preocupado um pouco o Google. Você pode pesquisar com base em pessoas, lugares, amigos e interesses. Por exemplo, você pode fazer uma busca por "amigos que gostam dos Beatles e vivem em Chicago", ou "restaurantes italianos próximos que meus amigos visitaram".

No entanto, ela é um pouco uma faca de dois gumes. O diretor de operações de segurança da nCircle, Andrew Storms, disse que "a nova busca do Facebook é o sonho de phishers. Ela leva as capacidades de microssegmentação que já estão disponíveis para os anunciantes online há anos e as coloca nas mãos de criminosos virtuais."

Pense nisso como o universo do Google hackeado. Golpistas aprenderam há muito tempo que o Google é um tesouro praticamente infinito de informações valiosas - alguns dados confidenciais e outros aparentemente inofensivos que podem ser usados ​​para invadir uma rede ou conta. O Graph Search eleva o nível de exigência - e não no bom sentido, entregando essa mesma capacidade em um contexto mais pessoal.

Conflitos de privacidade

O estrategista de segurança da CORE Security aponta o conflito inerente de interesses de uma ferramenta como esta, afinal o Graph Search só é útil se fornecer resultados relevantes e interessantes. "Isso significa que o Facebook quer que ele tenha tanta informação disponível quanto possível para responder a cada consulta, garantindo que as pessoas tenham uma experiência positiva. Ou seja, a ferramenta vai diretamente contra o desejo expresso de pessoas para manter suas informações privadas."

Usando a pesquisa social da rede, um cracker pode restingir alvos específicos e personalizar e-mails ou mensagens falsas de Facebook, usando detalhes sobre as vidas das vítimas, seus amigos, as coisas que lhes interessam e os lugares que já visitou. Esse tipo de golpe também é conhecido como phishing: e-mails falsos, que muitas vezes parecem mensagens legítimas, e que redirecionam usuários a sites comprometidos.

O gerente da Sophos Labs, Richard Wang, disse que o Graph Search pode ser uma revelação surpreendente para muitos. Ela provavelmente levará mais usuários a descobrir que eles têm compartilhado mais do que queriam e dará a scammers a oportunidade de atingir grupos específicos de pessoas."

Em um post no Facebook sobre o lançamento do Graph Search, o blogger e especialista em tecnologia Robert Scoble elogiou o modelo de privacidade por trás da ferramenta. E explicou: "você só pode ver os itens compartilhados com o público ou que foram compartilhados com você, em especifico, devido às configurações de privacidade dos seus amigos."

Isso é verdade, e a rede social de Mark Zuckerberg merece os crédito pela construção da ferramenta levando em conta os controles de privacidade. Mas infelizmente, muitos dos bilhões de usuários do Facebook não estão cientes ou não usar corretamente os controles de segurança e privacidade do site - então tudo que publicam na rede social será facilmente detectável por cibercriminosos.

Horan esclareceu: "do ponto de vista de um cracker, os dados já estavam lá e sujeitos a se tornarem alvo de um ataque, mas este novo recurso torna mais fácil para eles coletarem alvos semelhantes para um ataque mais personalizado."

"Se você pensou que o nível de spam e tentativas de phishing no Facebook não poderia ficar pior, eu tenho más notícias para você. Nós ainda não vimos nada", alertou Storms.

Fonte: IDGNOW

Operação de ciberspionagem atinge quase 40 países, inclusive Brasil


De acordo com pesquisadores, a Outubro Vermelho atua há pelo menos 5 anos, coletando dados secretos; não se sabe ainda quem está por trás

Pesquisadores de segurança anunciaram nesta segunda (14) a descoberta uma rede global de ciberespionagem atuando contra centenas de organizações diplomáticas, governamentais e científicas em quase 40 países, incluindo o Brasil - onde pelos menos quatro sistemas foram infectados.

A megaoperação foi chamada de Operação Outubro Vermelho (em homenagem ao filme "Caçada ao Outubro Vermelho") pelos experts da Kaspersky Lab, responsáveis pela descoberta. Segundo a empresa, ela está em ação desde 2007. O esquema utiliza mais de 1 000 módulos distintos, customizados para alvos específicos. Esses componentes são direcionados para alvos como PCs individuais, equipamentos de rede da Cisco, smartphones e até pendrives.

De acordo com os experts, a operação também utiliza um complexo sistema de servidores de comando e controle (C&C), semelhante ao utilizado pelo malware Flame, que espionou o Irã. Os atacantes criaram mais de 60 domínios e usaram vários hosts em diferentes países, principalmente Rússia e Alemanha. 

"É um exemplo incrível de uma campanha de espionagem no ar há anos", escreveu o pesquisador Kurt Baumgartner, da Kaspersky. "Nunca vimos esse nível de individualização dos ataques".

A empresa diz que o principal objetivo da Outubro Vermelho é coletar informações secretas e geopolíticas - de empresas e governos. 

Ainda não se sabe quem está por trás da operação. Embora os autores do malware sejam russos (o principal idioma nos códigos principais), muitos dos exploits foram desenvolvidos na China.

O esquema utiliza códigos que atacam falhas no Word e Excel. Os atacantes enviavam e-mails individualizados, que contaminavam o sistema silenciosamente.

Na lista dos países atingidos, a Federação Russa aparece em primeiro, seguida pelo Cazaquistão, Azerbaijão, Bélgica, Índia, Afeganistão, Armênia e Irã. Ao todo, máquinas de 39 países, Brasil incluído, foram contaminadas.

A infraestrutura de espionagem é complexa. Os servidores C&C primários enviam os dados roubados para uma segunda camada de servidores, que os mandam para uma máquina central - sobre a qual ainda não se sabe nada. Segundo a Kaspersky, a habilidade dos controladores em esconder a identidade é parecida com a dos criadores do Flame - vírus que teria sido desenvolvido nos EUA e Israel para espionar o Irã.

"A operação Outubro Vermelha está em operação há pelo menos 5 anos, sem ser detectada", escreveu Baumgartner.

Fonte: IDGNOW

Espionagem no Brasil


Recentemente a revista Veja publicou uma reportagem sobre "O mercado bilionário da espionagem no Brasil" aonde ela descreve algumas características e estatísticas do mercado de espionagem pessoal e empresarial.

A Veja cita uma pesquisa da consultoria RCI - First Security and Intelligence Advising, que estima que o mercado de espionagem no Brasil tenha movimentado cerca de 1,7 bilhão de reais em 2011, incluindo serviços de empresas e de profissionais autônomos (os detetives particulares), formais ou não, e investimentos em equipamentos de espionagem e de contraespionagem. A pesquisa também estima que as empresas perdem com espionagem no Brasil entre 1 bilhão e 1,5 bilhão de reais 

As principais estatísticas estão sumarizadas no infográfico abaixo, criado pela revista Veja

A reportagem termina com um parágrafo interessante:

"Os números da espionagem no Brasil mostram o valor da informação, seja ela pessoal ou empresarial. No mundo dos negócios, a relevância dos dados é refletida nos ganhos e perdas econômicos de uma corporação. Na vida pessoal, o uso de dados fruto de espionagem podem causar desde um divórcio milionário até um crime passional."

Fonte: ANCHISESBR

Adote políticas para destruição de dados e lucre com isso


Para melhorar a gestão das informações, o melhor que se pode a fazer é livrar-se dos excessos. Veja como

À medida em que os custos para armazenamento caem, as empresas guardam um volume maior de informações. Apesar disso, em tempos de Big Data vale a pena criar políticas para destruição de dados.

Muitos dados estão desatualizados e nunca serão acessados. Eles acabam acumulando e dificilmente podem ser acessados de forma sistêmica. Para melhorar a gestão das informações, o melhor que se pode a fazer é livrar-se dos excessos, criando políticas efetivas.

Conheça três pontos importantes na hora de criá-las.

1 - Consistência é ponto-chave

Possuir uma política consistente de destruição de dados pode ser vital quando a empresa está diante de um processo legal. Destruir dados legalmente é uma forma de se prevenir dos mecanismos legais que advogados utilizam para atrasar processos, com a análise de cada dado armazenado por uma organização.

A política de destruição de dados é a segunda parte da política de retenção de dados. Com a implementação completa dessa política, a empresa consegue determinar onde estão os dados armazenados, o que torna muito mais fácil a tarefa de deletar dados antigos e desnecessários. Uma vez que a empresa tem mapeado onde tudo se localiza, o processo de destruição já pode ser formalizado.

Naturalmente, é necessário pensar a respeito de como a mídia utilizada para guardar os dados serão tratadas. Normalmente, não basta deletar ou sobrescrever dados, é importante ter a certeza de que eles não serão mais acessíveis. Para tanto, é necessário criar métricas que validem o desaparecimento de dados e quando as mídias poderão ser reutilizadas.

Depois, documentar a conclusão do processo. Somente após concluir esses passos, o equipamento de storage pode ser liberado para reuso. Se o espaço de armazenamento não for mais utilizado, a questão fica mais complexa. Há chances de que ela saia da organização? Em um momento como esses, é bom considerar a destruição física do equipamento. Ao desenvolver a política, a empresa se vê diante de desafio de chegar a um nível de destruição apropriado para cada situação.

2 -Consultas legais

Um consultor é muito importante na hora de desenvolver as políticas. Algumas regras de conformidade  determinam quanto tempo a companhia deve manter os dados.

Se a empresa é de um setor que não tem regulamentação forte, há padrões bastante sólidos que podem ser seguidos pela companhia. Departamentos de defesa governamentais podem ter padrões e métodos publicados, dando uma idéia de como iniciar essa política.

Após rever as leis aplicáveis e as regulamentações às quais a empresa está sujeita, a companhia deve se preocupar em definir como classificar e como lidar com cada tipo de dado que reside na estrutura de armazenamento. Dependendo de quão crítica é a informação, a empresa pode adotar métodos diferentes, levando em conta tempo e custo. A metodologia passa também por uma política cuidadosa de gerenciamento de risco.

3 - Educação e acompanhamento

Estabelecer políticas e não acompanhar o trabalho que está sendo realizado não é suficiente. A cada contrato com consumidores e parceiros é necessário verificar como deve ser definida a política de tratamento de dados.

Com isso, é importante educar as equipes para verificar se estão todos em conformidade com essa política. Isso é particularmente importante para mídias que não estão sendo destruídas, mas sim revendidas ou recicladas.

Se a destruição é feita dentro da empresa, é importante também acompanhar o dia-a-dia para verificar se as ferramentas de destruição estão sempre funcionando em ordem, com manutenção adequada, além de verificar regras ambientais. Cada acompanhamento deve ter a devida documentação.

E, por fim, a empresa deve realizar testes regulares para checar se as políticas de destruição e os processos estão cumprindo sua real missão, que é dar o tratamento ideal para cada tipo de dado.

Fonte: CIO

Hacker - Um dos 10 mais procurados pelo FBI, ri ao ser preso na Ásia


O hacker argelino riu durante a prisão

Uma das 10 pessoas mais procuradas pelo FBI, o hacker argelino Hamza Bendelladj, de 24 anos, foi preso nesta segunda-feira ao fazer uma escala no aeroporto de Bangcoc, na Tailândia. De acordo com o jornal The Nation, os passos do suspeito foram seguidos desde uma viagem à Malásia e a polícia tailandesa realizou a prisão com auxílio de homens do próprio FBI.

Bendelladj é procurado pelo serviço de investigação americano há três anos, por invadir sites de ao menos 217 bancos e companhias de finanças. Segundo o general tailandês Phanu Kerdlabpol, que participou da operação, com apenas uma invasão o argelino lucrava "até US$ 20 milhões". Ainda de acordo com as investigações, o hacker vivia uma rotina "de luxo e extravagâncias viajando pelo mundo".

Graduado em Ciências da Computação, na Argélia, em 2008, Bendelladj deve ser extraditado para o Estado americano da Geórgia, onde tem um mandado de prisão.

Mesmo detido, o hacker demonstrou tranquilidade e riu em depoimento aos policiais: "não sou um dos 10 mais procurados, talvez seja um dos 20 ou 50. Não sou um terrorista", declarou.

De acordo com o site "ABC", o FBI estava seguindo o suspeito já havia três anos. A polícia afirma ter confiscado dois notebooks, um tablet, um telefone via satélite e diversos HDs externos.

O hacker agora será extraditado para os Estados Unidos, onde há um pedido de prisão decretado pela justiça do Estado da Geórgia.


Fonte: Terra

Seminários Tecnológicos - Segurança da Informação (CISL)


Seminário Tecnológico de Segurança da Informação do CISL e SERPRO via streaming

Data: 08 de janeiro de 2013
Horário: 9h 40min às 17h
Local: o evento será transmitido por videoconferência e pela internet pelo serviço assiste.serpro.gov.br/cisl . As palestras serão realizadas a partir de várias localidades

O Comitê Técnico de Implementação de Software Livre do Governo Federal e o Serpro convidam você a participar do Seminários Tecnológicos - Edição Segurança da Informação.

O Objetivo do evento é realizar um conjunto de palestras tendo como tema principal a segurança da informação, este tema trata não só dos aspectos ligados a sistemas computacionais, serão abordados formas de proteção de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.

Dentre os tópicos a serem apresentados existem palestras descrevendo ameaças no mundo digital, ferramentas de teste de intrusão, proteção para mobiles, entre outras


9h 40min - Abertura
10h - Guerra Cibernetica e Ameaças - Oscar Marques (Rio de Janeiro-RJ)
11h - Automação para web hacking - Antonio Costa (São Paulo-SP)
12h - Pentest com dispositivos móveis - Rêner Alberto Farias Silva (Belo Horizonte-MG)
13h - VANTs e Hackings - Oscar Marques (Rio de Janeiro-RJ)
14h - Android Malware: possibilidades de infecção de ambientes mobile - Alex Ribeiro Nunes (São Paulo-SP)
15h - Ameaças de mapeamento, mitigação de riscos e implementação de atividades corretivas em aplicações web - Rodolfo Avelino e Fabio Pires (São Paulo-SP)
16h - Agregação, correlação e processamento inteligente e detecção em tempo real e prevenção de ataques no ciber espaço - Francisco Fonseca (Brasília - DF)


Descrição das Palestras:

Palestra: Guerra Cibernética e Ameaças

Descrição: Ciberguerra, também conhecida por guerra cibernética, é uma modalidade de guerra onde a conflitualidade não ocorre com armas físicas, mas através da confrontação com meios eletrônicos e informáticos no chamado ciberespaço.
No seu uso mais comum e livre, o termo é usado para designar ataques, represálias ou intrusão ilícita num computador ou numa rede.
Veremos como ela começou, a situação atual e o que nos aguarda para o futuro.

Palestra: Automação para web hacking

Descrição: Como desenvolver ferramentas para automatizar tarefas na web, fazer testes em autenticação, entendendo captcha, mineirar dados, scanners de vulnerabilidades web.

Palestra: Pentest com dispositivos móveis.

Descrição: Com a facilidade de aquisição e elevado poder de processamento de informações por parte dos dispositivos móveis, temos atualmente verdadeiras armas de ataque em nossos bolsos. Essa palestra aborda o pentest utilizando dispositivos móveis e a maneira e facilidade que esses ataques podem ser realizados e utilizados no cenário atual.

Palestra: Android Malware: possibilidades de infecção de ambientes mobile

Descrição: Durante a palestra serão discutidos e demonstrados mecanismos de infecção,
possibilidades de exploração, desafios e soluções em aparelhos móveis Android.
Serão discutidas também as características da troca de mensagens em GSM e como podem ser utilizados para troca de informação em convert channels.

Palestra:VANTs e Hackings

Descrição: Idealizados para fins militares e inspiradas nas bombas voadoras alemães da Segunda Guerra Mundial, V-1, os VANTs ou UAV (Unmanned Aerial Vehicle) são aeronoves que não necessitam de pilotos embarcados para guiá-las.
O uso civil desses aviões tem se mostrado cada vez mais interessante e invadiram os projetos DIY (faça você mesmo).
Os VANTs estão em alta e vários países estão com diversos projetos para desenvolvimento de soluções robóticas móveis para os mais diversos fins e também no uso militar.
Veremos o básico para montar um robô controlado por RF e outros protocolos de comunicação, aplicações, monitoramento e como podemos agregar maior valor ao projeto com Robótica Livre e acessível para todos.


Mini-Currículos:

Palestrante: Antonio Costa

Antonio Costa "Cooler_" é desenvolvedor em C,Common Lisp,Perl e outras linguagens de programação,
foi um dos escritores da e-zine underground cogumelo binário,é um dos fundadores do grupo
de estudo e pesquisa BugSec, já palestrou em alguns eventos como OWASP,YSTS e Bsides,
atualmente trabalha na CONVISO ,  nas suas horas livres gosta de estudar microcontroladores
e eletrônica em geral.

Palestrante: Rêner Alberto Farias Silva

Pentester e analista de segurança da informação em uma grande instituição financeira do país. Pesquisador e integrante do grupo de pesquisadores e pentesters DcLabs Security Team.
Atua a 11 anos com Tecnologia da Informação sendo esses 3 anos focados especificamente em pentester e análise de vulnerabilidades.


Palestrante: Oscar Marques

Atua no SERPRO e é organizador de uma Conferência de Segurança e editor de uma famosa Zine Underground focada na (In)Segurança da Informação.
Estuda Sistemas Embarcados, Robôs, Mobiles e outras tecnologias. Desenvolve pesquisas na área de Segurança da Informação. Desenvolve Anti Virus, Sistemas e Aplicativos de Acessiblidade para Mobiles. Veículo Aéreo Não Tripulado e outros robôs para uso Civil e Militar.
Instrutor de Guerra Cibernética no Centro de Instrução de Guerra Eletrônica do Centro de Comunicações e Guerra Eletrônica do Exército (CCOMGEX/CIGE) e presta outras consultorias ao Ministério da Defesa.

Fonte: Software Livre

Dez mitos sobre segurança de redes WiFi nas corporações


As redes de comunicações sem fios baseadas em protocolos 802.11 são susceptíveis a ataques. Mas também podem ser seguras. Veja como

Existem muitos mitos sobre a segurança das redes WiFi e as boas práticas que devem ser adotadas para reduzir a propensão a cederem a ataques. Há, contudo, medidas e recomendações comprovadas e capazes de esclarecer alguns desses enganos:

1 – Não usar o protocolo WEP

O protocolo WEP (Wired Equivalent Privacy) está “morto” há muito tempo. A sua técnica de cifragem pode ser quebrada facilmente, mesmo pelos mais inexperientes hackers. Portanto, ele não deve ser usado.

Se a organização já o estiver usando, a recomendação é para a troca imediata para o protocolo WPA2 (Wi-Fi Protected Access) com autenticação 802.1X - 802.11i. Se houver dispositivos clientes ou pontos de acesso incapazes de suportar o WPA2, procure fazer atualizações de firmware ou substitua esses equipamentos.

2 – Não usar o modo WPA/WPA2-PSK

O modo de chave pré-partilhada (PSK ou Pre- Shared Key) do WPA ou do WPA2 não é seguro para ambientes empresariais. Quando se usa este modo, a mesma chave tem de ser inserida em cada dispositivo cliente. Assim, este modelo obriga à mudança de chave de cada vez que um funcionário sai ou quando um dispositivo é roubado ou perdido – situação impraticável na maioria dos ambientes.

3 – Implantar a norma 802.11i

O modo EAP (Extensible Authentication Protocol) do WPA e do WPA2 utiliza autenticação 802.1X em vez de chaves PSK, oferecendo a possibilidade de dar a cada usuário ou cliente as suas próprias credenciais de login: nome de usuário e senha e/ou um certificado digital.

As atuais chaves criptográficas são alteradas, apresentadas e verificadas discretamente em segundo plano. Assim, para alterar ou revogar o acesso do usuário, tudo o que é preciso fazer é modificar as credenciais de autenticação em um servidor central – em vez de mudar a PSK em cada dispositivo cliente.

As chaves únicas de pré-sessão também impedem os usuários de espiarem o tráfego uns dos outros – operação fácil com ferramentas como a extensão Firesheep, do Firefox ou a aplicação DroidSheep, para Android.

Conseguir a melhor segurança possível rquer o uso do protolocolo WPA2 com a norma 802.1x, também conhecida como 802.11i. Para ativar e utilizar a autenticação 802.1x, é preciso ter um servidor RADIUS/AAA.

No caso de uso do Windows Server 2008 ou mais recente, deve-se considerar a utilização do Network Policy Server (NPS), ou do Internet Autenticar Service (IAS) de versões anteriores do servidor. Quando não se usa um servidor Windows, pode-se considerar o servidor open source FreeRADIUS.

As configurações 802.1X podem ser implantadas remotamente para dispositivos clientes com o mesmo domínio através da Group Policy caso a empresa use o Windows Server 2008 R2 ou a versão mais recente. De outra forma é possível optar por uma solução de terceiras partes para ajudar a configurar os dispositivos clientes.

4 – Proteger as configurações dos clientes 802.1x

Ainda assim, o modo EAP do protocolo WPA/WPA2 é vulnerável a intrusões nas sessões de comunicação. No entanto, há uma forma de evitar esses ataques, colocando em segurança as configurações EAP do dispositivo cliente. Por exemplo, nas definições de EAP do Windows é possível ativar a validação do certificado do servidor: basta selecionar o certificado de uma autoridade de certificação, especificando o endereço do servidor, desacivando-o de modo a evitar que os usuários sejam levados a confiar em novos servidores ou certificados de autoridades.

Também é possível enviar essas configurações 802.1x para clientes reunidos no mesmo domínio através da implantação de políticas de grupo.

5 – Utilizar um sistema de prevenção de intrusões

Na segurança de redes sem fios não há nada mais importante do que combater diretamente quem pretende tentar ganhar acesso a ela, sem autorização. Por exemplo, muitos hackers podem configurar pontos de acesso não autorizados ou executar ataques de negação de serviço (DDoS).

Para ajudar a detectá-los e combatê-los, é possível implantar um sistema de prevenção de intrusão para redes sem fios (WIPS ou Wireless Intrusion Prevention System). O desenho e as abordagens para sistemas WIPS variam entre os vários fornecedores.

Mas geralmente todos fazem a monitorização das ondas rádio, procurando e alertando para pontos de acesso não autorizados ou atividades nocivas. Há muitos fornecedores com soluções comerciais de WIPS, como a AirMagnet e a Air- Tight Neworks. E existem também opções de open source, como o Snort.

6 – Implantar sistemas de NAP ou NAC

Além da norma 802.11 e do WIPS, deve-se considerar a implantação de um sistema de Network Access Protection (NAP) ou Network Acess Control (NAC). Estes sistemas podem oferecer maior controlo sobre o acesso à rede, com base na identidade do cliente e o cumprimento das políticas definidas.

Podem também incluir-se funcionalidades para isolar os dispositivos cliente problemáticos ou para corrigi-los. Algumas soluções de NAC podem englobar a prevenção de intrusão de rede e funcionalidades de detecção, mas é importante ter a certeza de que também fornecem, especificamente, proteção para redes sem fios.

No caso de se usar o Windows Server 2008 ou uma versão posterior do sistema operativo, o Windows Vista ou posterior nos dispositivos cliente, então é possível usar a funcionalidade NAP, da Microsoft. Em outras situações, é preciso considerar também soluções de terceiros, como o PacketFence, em open source.

7 – Não confiar em SSID escondidos

Um mito da segurança para redes sem fios é o que desabilitando a disseminação dos SSID (Service Set Identifier, elemento que identifica uma rede ) dos pontos de acesso é possível esconder a próprias rede – ou pelo menos os SSID –, tornando mais difícil a vida para os hackers.

No entanto, essa medida só remove o SSID do sinal de presença dos pontos de acessos. Ele ainda está presente no pedido de associação 802.11, na solicitação de sondagem e nos pacotes de resposta também. Assim, um intruso pode descobrir um SSID "escondido" com bastante rapidez - especialmente numa rede muito ocupada – com equipamento de análise de redes sem fios legítimo.

Alguns ainda poderão sugerir a desativação da transmissão dos SSID como camada de segurança suplementar. Mas é importante considerar que essa medida vai ter um impacto negativo sobre as configurações de rede e desempenho. Além disso, é necessário inserir manualmente o SSID nos dispositivos clientes, complicando ainda mais a gestão dos mesmos. A medida também iria provocar o aumento do tráfego de sondagem e aquele inerente aos pacotes de resposta, diminuindo a largura de banda disponível.

Ah! Ainda sobre SSID, muitos administradores de rede ignoram um risco de segurança simples, mas potencialmente perigoso: os usuários, consciente ou inconscientemente, ligam-se a uma rede sem fios vizinha ou não autorizada, abrindo o seu computador a uma possível intrusão. No entanto, filtrar os SSID é uma forma de ajudar a evitar isso.

No Windows Vista e 7, por exemplo, é possível usar os comandos “netsh wlan” para adicionar filtros aos SSID a que os usuário podem ligar- se e até detectar. Para os desktops, pode-se negar o acesso a todos os SSID, exceto os da rede sem fios da organização. Para laptops, é viável negar apenas os SSID das redes vizinhas, permitindo a ligação a outros hotspots.

8 – Não confiar na filtragem de endereços MAC

Outro mito da segurança de redes sem fios é que a filtragem de endereços de controlo de acesso de medias (MAC, de "media access control") acrescenta outra camada de segurança, controlando que dispositivos cliente que poderão ligar- se à rede.

Isto tem alguma verdade, mas é importante não esquecer que é muito fácil a quem pretende espiar a rede, fazer a monitorização dos endereços MAC autorizados – e depois mudar o endereço MAC do seu computador.

Assim, não se deve implantar a filtragem de endereços MAC pensando que ela vai fazer muito pela segurança. Ela faz sentido como uma forma de controlar, sem grandes burocracias, os computadores e dispositivos com acesso à rede.

Também convém levar em conta o pesadelo que é a gestão de dispositivos envolvida na atualização constante da lista de endereços MAC.

9 – Manter os componentes da rede em segurança física

A segurança dos computadores não tem a ver só com instalação da tecnologia associada a técnicas de criptografia. Proteger fisicamente os componentes da rede é muito importante.

Convém manter os pontos de acesso fora do alcance de intrusos. Uma hipótese é dentro de um teto falso.

Mas há quem opte por montar o ponto de acesso em um local seguro e depois coloque uma antena para cobrir o local pretendido.

Se a segurança fisica não ficar garantida, alguém pode facilmente passar pela infra-estrutura e redefinir um ponto de acesso, para configurações de fábrica nas quais o acesso é totalmente aberto.

10– Não esqueça de proteger os dispositivos móveis

As preocupações com a segurança das comunicações Wi-Fi não podem ser limitadas à rede em si. Os usuários com smartphones, laptops e tablets podem ser protegidos no local da rede. Mas o que acontece quando eles se conectam à Internet através de WiFi ou a um router de comunicações sem fios em casa? É preciso garantir que as suas ligações WiFi são seguras.

Assim como evitar invasões e ações de espionagem. Infelizmente, não é fácil garantir a segurança das ligações por WiFi fora do ambiente empresarial.

É preciso disponibilizar e recomendar soluções. E além disso, formar os utilizadores sobre os riscos das comunicações por WiFi e as medidas de prevenção.

Em primeiro lugar, os portáteis e os netbooks devem ter um firewall pessoal ativa (como o Windows Firewall) para prevenir intrusões. É possível implantar isto através das funcionlidades de Group Policy em ambientes de Windows Server. Ou usar soluções como o Windows Intune para gerir computadores fora do domínio. Depois, é preciso confirmar que o tráfego de Internet do usuário está a salvo de espionagem – através da cifragem.

Nos ambientes com outras redes, é necessário disponibilizar acesso, através de VPN, para a rede empresarial. Se não se quiser usar uma VPN interna, é possível recorrer a serviços de autsourcing, tais como o Hotspot Shield ou o Witopia.

Para os dispositivos iOS (iPhone, iPad e iPod Touch) e os dispositivos Android, é possível usar uma VPN cliente nativa. No entanto, para os BlackBerry e Windows Phone 7, é recomendado que se tenha uma configuração de servidor de mensagens e em conjugação com o dispositivo, para se usar a VPN cliente. É importante confirmar também que qualquer um dos serviços de Internet expostos tenham segurança garantida, só para o usuário não usar a VPN em redes públicas ou pouco fiáveis. Por exemplo, no caso de se oferecer acesso a contas de email (em modo de cliente ou baseado na Internet) fora da rede LAN, WAN ou VPN, é importante utilizar cifragem SSL, para evitar que através de espionagens locais, nas redes pouco fiáveis, se captem dados de autenticação ou mensagens.

Fonte: IDGNOW

Empregos em TI: as áreas que vão bombar em 2013


Sejam posições consolidadas ou novas áreas, cloud computing, mobilidade, explosão de dados e redes sociais vão afetar comportamento do profissional de tecnologia

As perspectivas do Gartner indicam que o movimento chamado de Nexus of Forces – que englobam Cloud Computing, Social, Mobilidade e Explosão de Dados – vai ditar o futuro do departamento de TI nos próximos anos. E são pessoas que foram as áreas da empresa (pelo menos por enquanto), o que faz com que as tendências tenham efeito direto nas oportunidades de carreiras dos profissionais.

O IT Web entrevistou especialistas de duas instituições de ensino – Faculdade de Tecnologia Fiap e BandTec – e da empresa de recursos humanos especializada em TI Desix e chegou às áreas que vão bombar de oportunidades profissionais a partir de 2013.

“O grande movimento que começou de alguns anos para cá teve muita origem nas mídias sociais e na mobilidade. Esses dois foram os grandes polos de geração de novas necessidades, que acabaram transformando algumas funções e derivando outras”, explicou André Assef, sócio fundador da Desix, RH para tecnologia.

Para o porta-voz da BandTec, Mauricio Pimentel, este novo cenário dentro da profissão traz um problema diferente do enfrentado alguns anos atrás. “Capacidade técnica não tem sido um grande problema, o que tem sido grande problema é a capacidade de gestão”, ponderou.

E isso é verificado por um movimento de descentralização do departamento e sua extrapolação para demais áreas da empresa. “O papel que a tecnologia deveria estar desempenhando há muito tempo passou a ser uma realidade agora: a TI é meio, e não mais fim. O problema de antes é que a área de negócios não conversava com a área de tecnologia. Hoje, há facilidade de se contratar uma solução que nem de infraestrutura precisa. Você praticamente tirou a necessidade de um poliglota dentro da empresa”, comparou Assef.

“Há áreas que são impactadas pelas novas tecnologias e outras que sempre demandarão profissionais”, ponderou Leandro Rubim Freitas, coordenador dos cursos tecnológicos da Fiap.

Por esse motivo, as profissões que devem bombar em 2013 estão divididas em duas partes: áreas consolidadas, que terão novas atribuições, e áreas que começam a dar seus primeiros passos.

Consolidadas:

- Arquiteto de soluções: o arquiteto de soluções sempre será necessário, em especial com o alto número de novos programas e aplicações que chegam às companhias todos os dias e que precisam ser integradas ao bolo todo. Não é uma nova profissão, mas com certeza é uma atividade que ainda será demandada por muito tempo

- Analistas de infraestrutura: principalmente por causa da virtualização e de cloud computing, mudança nos conceitos estão obrigando esses profissionais a se atualizar, o que gera uma ótima oportunidade para quem já empregou as novas filosofias a seu currículo

- Designers: este profissional tem que se adaptar aos diferentes tamanhos de telas nas quais as aplicações irão rodar – e tudo tem que funcionar perfeitamente, seja em um computador, um smartphone e um tablet. O foco agora é experiência do usuário, sem espaço para aplicações corporativas feias, como no passado

- Programadores: sempre existiram, sempre existirão. O necessário, neste momento, é dominar ambientes de missão critica para autenticação de transação financeira, já que comércios online estão crescendo

- Segurança: com a diferença entre vidas online e offline cada vez mais sutis, a segurança da informação ganha força

- Banco de dados: os bancos de dados estão mais complexos por conta da explosão de informação,  que estimula a necessidade de mais profissionais que compreendam essa área
Telecomunicações e 4G: por conta dos investimentos em infraestrutura, especialmente para atender à Copa do Mundo de 2014 e à Olimpíada de 2016, profissionais com especialização em infraestruturas parrudas de telecomunicações serão alvos de contratações já a partir deste ano

- Qualidade de software: com a dependência cada vez maior de sistemas, o profissional de qualidade de software ganhará importância dentro da corporação com o foco em garantir o melhor funcionamento das aplicações, já que cada falha impacta diretamente o usuário, seu desempenho e, por consequência, o resultado da empresa.

Novas áreas:

- Cientista de Dados: segundo Freitas, da Fiap, só no Brasil serão necessários 500 mil profissionais nos próximos anos com especialização em Big Data. “Esta seria uma nova formação, um estilo de armazenamento de dados diferente do tradicional, por conta do alto volume”, explicou, detalhando a necessidade de especialização em cloud computing.  “O antigo analista de dados e o novo cientista de dados são parecidos. Mas a nova nomenclatura faz a diferença, porque o novo profissional é responsável por fazer a mineração em uma quantidade muito maior de dados, sendo que a maior parte é desestruturada”, explicou Pimentel.

- Business Intelligence: ainda considerada nova, esta área apresenta forte crescimento por conta da alta demanda de dados. É cada vez mais necessário ter profissionais que consigam fazer uma leitura do amontoado de dados em bases de dados relacionais

- Desenvolvedor móvel: este já despontou e continuará crescendo, principalmente para as plataformas iOS (Apple), Android (Google) e Windows Phone (Microsoft).

Fonte: ITWEB