Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

FLISOL DF 2013 – Um evento de colaboração e compartilhamento de conhecimento!


Faça sua inscrição. Clique Aqui 

O que é FLISoL?

O Festival Latino-americano de Instalação de Software Livre (FLISoL) é o maior evento da América-latina de digulgação de Software Livre. Ele é realizado desde o ano de 2005, e desde 2008 sua realização acontece no 4o. sábado de abril de cada ano. 

Crackers que atacam nações podem ser assassinados, dizem experts


Uso de força letal contra aqueles por trás de ciberataque contra uma nação seria legal se o golpe atendesse a critérios semelhantes aos atualmente aceitos para guerras no mundo real

O uso de força letal contra crackers organizados poderia ser justificado sob lei internacional, de acordo com um documento divulgado na quinta-feira (21/3) por um painel de especialistas em guerras legais e cibernéticas.

Botnet frauda cliques de publicidade online e rouba mais de US$ 6 milhões


A "Chameleon" infectou cerca de 120 mil computadores domésticos nos Estados Unidos e cria cliques falsos em 202 sites

Uma empresa de análise de publicidade online afirma ter descoberto uma botnet (rede de computadores zumbis) que gera mais de 6 milhões de dólares por mês com fraude de cliques em anúncios falsos de exibição.

Brasil reduz envio de spam e agora ocupa a 12ª posição mundial


Em 2009, país liderava o ranking com o registro de mais de um milhão de IPs

Balanço publicado nesta terça-feira, 19, pelo Comitê Gestor de Internet aponta que o Brasil deixou a lista dos 10 países que mais enviam spam pela primeira vez nos últimos anos. As estatísticas são aferidas pela Composite Blocking List, que investiga dados referentes a IPs. 

Em 2009, o Brasil era o primeiro colocado, com mais de um milhão de IPs, que correspondiam a 17% de todos os IPs listados. Hoje, aparece na 12ª posição, com menos de 200 mil IPs, o que representa apenas 2% dos IPs listados. A melhora da posição do País no ranking é atribuída pelo CGI à Gerência de Porta 25, campanha contra a prática de mensagens indesejadas.

Lançado pelo Comitê Gestor da Internet (CGI.br) em 2005, o programa contempla uma série de acordos que visam à redução de envio de spam por redes domésticas. A etapa final de implantação aconteceu em dezembro último, com a ação das prestadoras de telecomunicações, que por meio de gerenciamento de redes, bloquearam a principal saída de spams dos computadores.

Segundo Henrique Faulhaber, conselheiro do CGI.br, os resultados são extremamente positivos. “Estamos acompanhando os dados e nos últimos seis meses a evolução foi muito boa, claramente influenciada pela fase final da adoção da medida”, afirmou Faulhaber. “No entanto, é preciso continuar acompanhando os números, pois temos uma rede muito grande e a aplicação da medida às redes residenciais brasileiras precisa ocorrer continuamente. A expectativa é que continuaremos a cair nos rankings”, completa.

Para Eduardo Levy, conselheiro do CGI.br e diretor-executivo do SindiTelebrasil, o bloqueio da Porta 25 é um exemplo do benefício que a gestão de redes pode trazer tanto para o sistema quanto para o usuário de telecomunicações, que terá um ambiente mais seguro para usar a Internet. 

Para Levy, ações dessa natureza devem ser adotadas sempre que se mostrem indispensáveis à garantia da segurança e da estabilidade da rede. “A contribuição das prestadoras de telecomunicações foi determinante para a redução da quantidade de spams oriundos do Brasil e tais resultados só foram possíveis graças à implantação de uma regra de bloqueio para determinados pacotes de dados, a partir da gestão do tráfego Internet”, esclarece.

Renascimento do Backtrack: Kali Linux (@kalilinux)

Kali Linux – nova distribuição Linux dedicada a testes de invasão(@kalilinux)

Depois de um ano de desenvolvimento a Offensive Security lançou e disponibilizou a distribuição Kali Linux, com a proposta de ser a mais robusta, avançada e estável distribuição para testes de invasão até o momento.

Assista ao vídeo apresentação abaixo:
Com mais de 300 ferramentas para teste de invasão, a distribuição é baseada em Debian, possui seu kernel modificado para injeção e é completamente customizável.

Faça o download da distribuição pelo site: www.kali.org

Fonte: SEGINFO

Google lança site destinado a ajudar webmasters de páginas hackeadas


Novo site apresenta artigos e vídeos criados para ajudar administradores de sites a identificar e diagnosticar hacks e recuperar a página

O Google lançou um site que visa ajudar webmasters (administradores) que tiveram suas páginas online hackeadas, algo que a empresa diz acontecer milhares de vezes todos os dias.

O novo site apresenta artigos e vídeos criados para ajudar webmasters a identificar e diagnosticar hacks e recuperar a página.

O site aborda as diferentes formas com que sites podem ser comprometidos. Por exemplo, crackers podem invadir uma página e implantar um malware para infectar os visitantes, ou eles podem preenchê-la com conteúdo de spam invisível com o objetivo de aumentar seus rankings de busca.

Ao anunciar o novo recurso "Help for Hacked Sites" (Ajuda para Sites Hackeados, em tradução), o Google também lembrou webmasters de melhores práticas para a prevenção, incluindo manter todo o software do site atualizado e corrigido, e estar ciente de potenciais problemas de segurança relacionados a aplicativos de terceiros e plug-ins, antes de instalá-los.

Esta última iniciativa do Google baseia-se em seus esforços ao longo dos anos em detectar, de forma proativa, malwares em sites que a sua ferramenta de buscas indexa, e alertar ambos os usuários da página e os webmasters afetados.

Já que a gigante de Mountain View é a principal ferramenta usada por pessoas no mundo inteiro para encontrar e linkar sites, é do interesse do Google se certificar de que não está indicando aos seus usuários destinos online maliciosos ou comprometidos.

Como parte desses esforços, o Google também tem dado suporte, desde 2006, à organização sem fins lucrativos StopBadware, que conscientiza sobre sites comprometidos e fornece recursos de informação para os usuários finais, webmasters e hosts da Internet.

No entanto, o problema permanece e continua a ser complicado de resolver para muitos administradores, já que livrar um site de um malware muitas vezes exige conhecimentos avançados em IT e ajuda externa.

Uma pesquisa realizada pela StopBadware e pela Commtouch no ano passado sobre webmasters que tiveram seus sites hackeados mostrou que 26% dos administradores foram incapazes de reparar o dano, e 2% optaram por desistir e abandonar a página comprometida.

Fonte: IDGNOW

Não culpe a China por falhas de segurança, culpe a si mesmo


Foque no estado lamentável das suas defesas de segurança da informação antes de se preocupar com os Chineses, Russos, hacktivistas ou gangues de cibercriminosos

Graças às manchetes espalhadas pelos principais jornais [internacionais] nas últimas semanas, você não tem como ter perdido as notícias de que a empresa de investigação digital forense, Mandiant, culpou o People’s Liberation Army (PLA), Unit 61398, um grupo chinês de ciberoperações militares, pelo lançamento de ataques de ameaças avançadas persistentes (APT) contra 140 negócios e órgãos governamentais desde 2006.

É claro que o botão de pânico foi acionado. Mas, como geralmente acontece com surtos repentinos ou ansiedade descontrolada, o ponto se perde: não se preocupe com a China. Preocupe-se, em vez disso, com o estado lamentável de suas defesas de segurança da informação e se elas serão capazes de deter anexos maliciosos em e-mails, que roubam propriedade intelectual ou, até mesmo, segredos de estado.

“Os chineses são como as Kardashians”, disse John Pescatore, ex-analista da Gartner, que no mês passado assumiu o cargo de diretor de tendências emergentes de segurança no Instituto SANS. “São centenas de ataques e muitos são tão inteligentes quanto, usando as mesmas técnicas – antes de os vermos em ataques chineses. Mas, é só mencionar a China em um ataque, que todos os jornalistas ligam as antenas”.

O tolo jogo de culpar a China foi logo abraçado pelos especialistas em segurança da informação. “Se você sabe que o People’s Liberation Army está te espionando, você muda suas defesas? Como? Você procura ferramentas de prevenção de intrusão em linguagem chinesa?”, disse Alan Paller, diretor de pesquisas do SANS, em uma recente newsletter.

“Os contínuos ataques à China simplesmente refletem a inabilidade dos observadores de ver evidências de ataques clandestinos vindos de muitas outras nações, que podem ter uma abordagem diferente para penetrar nossos sistemas de telecomunicações, bancários e de energia para roubar nossos bens nacionais”, disse ele. “O número de bandidos, espalhado por nações, terroristas, anarquistas e criminosos é tão grande que não é tão importante quanto o que fazemos para defender nossos sistemas – porque eles geralmente exploram os mesmos pontos fracos”.

Não surpreende que muitos dos ataques à China venham da indignação sobre a percepção de que ideias de negócios são roubadas de empreendedores americanos, que investem tempo e dinheiro nessas ideias. “China, França e diversos outros países são famosos – há algumas décadas – por espionagem industrial patrocinada pelo governo”, disse Pescatore. “Os EUA tendem a não fazer isso. Fazemos coleta de inteligência como um país. Podemos ou não ter feito parte do Stuxnet, em que o cibernético foi utilizado em nome da defesa nacional. Mas, os EUA nunca declararam: ‘Vamos ajudar a indústria americana ajudando a espionar a Huaewei’”, por exemplo.

O centro da questão, no entanto, é que sem práticas robustas de segurança da informação, sua rede pode ser dominada por qualquer um, desde um grupo de hacktivistas até um ex-funcionário enfurecido ou serviços de inteligência estrangeiros. O ponto não é quem consegue te atacar, mas sim que, apesar da prevalência de defesas conhecidas – e compensadoras – contra esses tipos de ataque, você ainda falhou ao proteger seu negócio.

Vamos pensar na notícia da semana passada, quando a Apple, o Facebook, a Microsoft e o Twitter foram comprometidos por ataques que, depois de ganhar acesso a um website de desenvolvimento terceirizado para iOS, usaram esse website para infectar sistemas Mac OS X de visitantes com um malware que explorou uma vulnerabilidade Java. Os sistemas do Twitter foram comprometidos e 250.000 contas de usuário foram expostas. O Facebook, por sua vez, disse que detectou atividades suspeitas em sua rede, que foram rastreadas até os sistemas Mac OS X de desenvolvedores, o que levou a um bloqueio de segurança.

Nem a Apple e nem o Facebook divulgaram o que os meliantes conseguiram acessar, exceto que não parece ter incluído dados de usuários. Ainda assim, ponto para as defesas de segurança da informação.

Quem atacou os gigantes da tecnologia? De um ponto de vista defensivo, não importa. O que importa é que os negócios conseguiram se defender relativamente bem. Agora é a vez de outros negócios seguirem o exemplo.

Hackear é fácil demais – mais de 90% dos ataques almejados foram bem sucedidos usando apenas as explorações mais básicas. E, mais uma vez, apenas 3% das brechas teriam exigido mecanismos de defesa mais caros ou complicados. Essas estatísticas vêm de um recente relatório, “Raising the bar for cybersecurity” [Elevando o nível da cibersegurança], escrito pelo conselheiro de cibersegurança da Casa Branca, Jim Lewis, do Centro de Estudos Estratégicos e Internacionais (CSIS).

Para criar melhores defesas para segurança da informação, Lewis diz que os negócios devem estudar a Diretoria de Sinais de Defesa da Austrália (DSD), que, junto com a Agência Nacional de Segurança, compilou uma lista de 35 técnicas que bloqueiam 85% de todos os ataques conhecidos.

Não se preocupe inicialmente com as 35 medidas. Em vez disso, Lewis diz que a maioria dos ataques almejados podem ser impedidos com apenas quatro técnicas: aplicação de uma “lista branca”, para permitir que apenas aplicativos aprovados rodem em qualquer PC ou servidor, conserto rápido tanto de sistemas operacionais quanto de aplicativos e a diminuição no número de contas em nível administrador.

“Agências e empresas que implementarem essas medidas verão os riscos caírem 85% e, em alguns casos, 100%”, disse Lewis.

O SANS divulgou um esforço relacionado – protegido pelo ex-oficial do NSA, Tony Sager e Pescatore – para levar negócio a adotarem essas contramedidas. “O que devemos fazer como comunidade é identificar as barreiras que impedem a adoção abrangente dessas defesas e derrubá-las”, disse Paller, que pede que especialistas em segurança da informação enviem por e-mail para o SANS (cca@sans.org) as principais barreiras que enfrentam no momento.

Para o resto de nós, vamos julgar os esforços de segurança da informação dos negócios não com base em quem pode querer ataca-los, mas sobre como eles se defendem. “Se você fechar a vulnerabilidade, você não precisa se preocupar com ataques chineses, com o crime organizado russo, com o grupo Anonymous ou com um adolescente rebelde”, disse Pescatore. “Porque existem muitos cibercriminosos que não tem nada a ver com a China”.

Fonte: ITWEB

5 lições de segurança do programa de ameaças internas do FBI


Novas maneiras de melhorar a detecção e desencorajar ameaças corporativas internas

Ameaças internas podem não ter conseguido chamar tanto a atenção quando as APTs conseguiram na Conferência da RSA deste ano. No entanto, duas apresentações realizadas pelo FBI roubaram a cena durante uma sessão que ofereceu aos profissionais de segurança corporativa algumas lições aprendidas na agência depois de mais de uma década de esforços para identificar profissionais internos maliciosos, após o desastroso caso de espionagem de Robert Hanssen.

1. Ameaças internas não são hackers.

Geralmente, as pessoas acham que os insiders mais perigosos são hackers rodando ferramentas tecnológicas especiais em redes internas. Não é bem assim, disse Patrick Reidy, CISO para o FBI.

“Você lida com usuários autorizados fazendo coisas autorizadas com objetivos maliciosos”, disse ele. “Na verdade, analisando 20 anos de casos de espionagem, nenhum deles envolvia pessoas rodando ferramentas de hackeamento ou aumentando privilégios com propósito de espionagem”.

Reidy conta que menos de um quarto dos incidentes internos rastreados por ano acabam se comprovando acidentais, ou o que ele chama de “problemas com pessoas tolas”. No entanto, no FBI, a equipe de ameaças internas passa 35% do tempo lidando com esses problemas. Ele acredita que o FBI e outras organizações deveriam buscar maneiras de “automatizar o conjunto de problemas” focando em melhor educação para o usuário. Deixar esses incidentes simples de lado dá mais tempo à equipe de ameaças internas para concentrar em problemas mais complexos com profissionais maliciosos, disse ele.

2. Ameaças internas não são apenas questões técnicas ou de cibersegurança.

Diferente de muitas outras questões envolvendo segurança da informação, o risco de ameaças internas não é um problema técnico, mas problema centrado em pessoas, disse Kate Randal, analista de ameaças internas e pesquisadora-líder do FBI.

“Assim, você precisa buscar soluções centradas em pessoas”, disse ela. “As pessoas são multidimensionais, portanto, você precisa de uma abordagem multidisciplinar”.

Isso começa com esforços focados na identificação e na observação de seus funcionários, seus possíveis inimigos e os dados que podem estar em risco. Em especial, em entender quem seus funcionários realmente são, devendo ser examinados por três importantes ângulos informacionais: virtual, contextual e psicossocial.

“A combinação desses três fatores é a parte mais poderosa dessa metodologia”, disse Randal. “Em um mundo ideal, gostaríamos de coletar o máximo possível sobre essas áreas, mas isso nunca vai acontecer. Então, o mais importante é adotar um método trabalhando com seu departamento jurídico e de gestão para definir o que funciona melhor dentro das limitações de seu ambiente”.

3. Um bom programa de ameaças internas deve focar no desencorajamento, não na detecção.

Durante um tempo, o FBI preferiu utilizar análises preditivas para ajudar a prever comportamento interno antes de atividades maliciosas. Em vez de desenvolver uma poderosa ferramenta para parar criminosos antes do ato, o FBI acabou com um sistema que era estatisticamente pior do que desmascarar comportamento suspeito. Comparada com as habilidades preditivas do Punxsutawney Phil, a marmota do Dia da Marmota (dos EUA), o sistema foi ainda pior para prever atividades maliciosas internas, disse Reidy.

“Teríamos resultados melhores se contratássemos Punxsutawney Phil e colocássemos em frente a todos os funcionários perguntando “este tem ou não comportamento malicioso?””, disse ele.

Em vez de se prender em previsões e detecção, ele acredita que as organizações devem começar com o desencorajamento.

“Temos de criar um ambiente em que seja realmente difícil ou desconfortável ser um insider”, disse ele, explicando que o FBI faz isso de diversas formas, incluindo segurança em crowdsourcing, permitindo que cada usuário criptografe seus próprios dados, classifique como secreto e pense em novas maneiras de protegê-los. Além disso, a agência encontrou maneiras de criar “alertas” para que os usuários saibam que a agência tem essas políticas em vigor e que as interações com os dados são vigiadas.

4. A detecção de ameaças internas deve utilizar técnicas baseadas em comportamento.

Seguindo o fracasso do desenvolvimento de análises preditivas eficientes, o FBI partiu rumo a uma metodologia de detecção comportamental, que se comprovou mais eficiente, disse Reidy. A ideia é detectar comportamento malicioso interno naquele momento crucial em que um bom funcionário se rebela.

“Observamos como as pessoas operam no sistema, dentro de um contexto, e tentamos criar linhas de partida e procuramos anomalias”, disse ele.

Qualquer que seja o tipo de análise utilizada pela organização, seja um arquivo comportamental ou dados sobre interações com arquivos, Reidy recomenda um mínimo de seis meses de linhas de partida antes de sequer tentar qualquer análise de detecção.

“Mesmo que tudo que você possa medir seja telemetria para ver impressões em um servidor, você pode analisar coisas como volume, quantos arquivos e qual o tamanho dos arquivos e com que frequência eles imprimem”, disse ele.

5. A ciência do desencorajamento e da detecção de ameaças internas está no inicio.

De acordo com Randal, foi uma ciência fraca que levou o FBI ao ponto de utilizar análises preditivas piores do que aleatórias. Parte do problema é que, até agora, a ciência do desencorajamento e da detecção de ameaças internas está apenas no início. Um dos problemas com o lento crescimento é que muito da pesquisa existente foca apenas nos dados dos vilões.

“O que o FBI tem feito é tentar levar essa abordagem de diagnóstico de coleta de dados e compara-la entre grupos de vilões conhecidos e grupos de possíveis vilões e tentar aplicar a metodologia nas três áreas: virtual, contextual e psicossocial”.

Em especial, um pouco da pesquisa realizada pelo FBI, relacionada ao diagnóstico de indicadores psicossociais foram um pouco surpreendente, disse ela.

“O que aprendemos com esse estudo é que algumas coisas que pensávamos ser as mais diagnósticas em termos de insatisfação ou problemas no ambiente de trabalho, na verdade não são tanto”, conta, explicando que fatores de risco psicológicos inatos entram na questão. Por exemplo, estresse devido a um divórcio, inabilidade para trabalhar em grupo e a exibição de comportamento vingativo pontuaram alto como indicadores de risco quanto comparamos uns com os outros.

Empresas não serão capazes de fazer os mesmos testes psicológicos que o FBI realiza em seus funcionários, mas existem formas de incorporar esse conhecimento em programas de prevenção de ameaças internas.

“É possível conseguir essas informações de outras formas: manifestações comportamentais observáveis, tornando supervisores mais cientes do problema da ameaça interna, e criando um ambiente em que eles se sintam mais à vontade para relatar alguns desses comportamentos quando virem”, disse ela. “Um dos melhores recursos que seu programa de segurança pode ter é a colaboração com o departamento de RH.”

Fonte: ITWEB

Habilidades tradicionais de TI já não são suficientes para garantir segurança


Profissionais não estão preparados para a lidar com as brechas existentes na Internet das coisas, na grande diversidade e no gigantesco volume dos dados trafegados nas redes, afirma a RSA

O próximo "apagão" de mão de obra em TI - se é que já não está acontecendo - estará em segurança da informação.

"Continuamos a ver uma revolução na gestão da informação, a necessidade de segurança adicional não apenas em sistemas tradicionais de informação", disse Eddie Schwartz, diretor de segurança da RSA.

"Tradicionalmente, chefes de segurança tinham que se preocupar somente com a segurança da informação em redes clássicas - sejam elas mainframe ou documentos ou e-mail", disse Schwartz. "Mas agora, temos que pensar também em uma rede que inclui torradeiras e automóveis e dispositivos médicos e outros aparelhos inteligentes."

"Há todos os tipos de dispositivos que se conectam à Internet", disse Schwartz. "A 'Internet das coisas' abrange todos os tipos de dispositivo que não são tradicionalmente computadores, e que colaboram e se conectam à rede de maneiras que jamais imaginamos."

Analistas preveem que até 2020 estes dispositivos podem chegar a dezenas de bilhões. Talvez, até mais de 200 bilhões de objetos.

"Se você parar para pensar, dentro da sua própria casa você tem leitores de DVD e Blue Ray que se conectam à Internet. Você tem TVs em casa que são inteligentes."

Schwartz espera que essa tendência continue com a chegada do Ipv6 e a liberação de mais endereços IP. "Tudo será habilitado à Internet. Você talvez, em algum momento, possa até andar por aí com 30 endereços IP pelo seu corpo."

"No entanto, começa a ficar interessante quando há 'coisas' na Internet que podem impactar nossas vidas de forma negativa, caso adversários as explorem", disse. "Imagine se encontrássemos um mundo onde todos usam óculos habilitados para conectar à Internet. Eles estão contando com isso para receber informações críticas, e essa informação fornecida está corrompida ou incompleta."

As novas habilidades em segurança, portanto, incluem conhecimento de aplicação da lei e capacidade para analisar grandes quantidades de dados e procurar por divergências.

Três maiores problemas

O chefe do departamento de estratégia da RSA, Tom Corn, destaca as três principais tendências problemáticas que afetam as habilidades de segurança necessárias em organizações em rede.

Duas delas - mobilidade e nuvem - estão relacionadas à mudança na infraestrutura, disse Corn. "Estamos sendo confrontados, assegurando coisas que não possuímos, administramos ou controlamos."

Um representante de vendas, por exemplo, se conecta à Salesforce por meio de um dispositivo que não é gerido pela rede. "Isso está mudando o papel do TI e afetando o papel da segurança, porque você está lidando com coisas que você não conhece."

O terceiro maior problema, diz Corn, é a mudança nos modelos de ataque. Há uma diferença em parar um míssil vindo da fronteira, para espionagem. "Isso muda a natureza da investigação. Como faço para correlacionar alertas dos meus firewalls e sistemas de intrusão, que são otimizados para um míssil vindo por cima do muro?"

"O conjunto de habilidades tem menos a ver com operacionalização de firewalls ou relatórios. Você precisa ter conhecimento de investigação 'pesada', e a capacidade de fazer isso em infraestruturas."

As investigações irão se concentrar em uma série de questões que abrangem diferentes tipos de dados (não-estruturados, estruturados e histórico).

"Mostre-me o tráfego suspeito que se parece com um tráfego de comando e controle, mostre-me transações estranhas e, se você o fizer, conte-me sobre os sistemas de processamento dessas transações. Conte-me sobre o tráfego que está entrando e saindo, ele está indo para lugares que normalmente não iria? Ele está enviando padrões de tráfego estranhos?"

"Conte-me sobre as pessoas nesses servidores, sobre as configurações deles. Alguém mexeu nessas configurações recentemente? Conte-me sobre os endpoints que estão conectados a eles. Há algo suspeito nas aplicações que estão rodando fora desses endpoints? Conte-me sobre todos os outros lugares onde posso ver esse comportamento."

"O que acabo de descrever é um projeto de análise de big data", disse.

A natureza das investigações de segurança irá conduzir grandes mudanças em tecnologia e no conjunto total de habilidades, diz Corn. Algumas delas podem ser abordadas em treinamentos internos, outras em serviços de segurança, e no aumento da automatização de funções de ordem superior.

Fonte: IDGNOW

Governo vai desenvolver criptografia própria


Modelo criptográfico do governo brasileiro – Prazo até 19/02/2014 para adoção

O governo federal vai unificar os procedimentos de uso de sistemas de criptografia para garantir a segurança de suas informações. Nesse sentido, uma portaria publicada na semana passada define padrões e dá prazo para que os diferentes órgãos da administração se adequem ao uso dos recursos criptográficos como definido.

O objetivo parece claramente atacar um dilema identificado pela área de segurança institucional – o uso indiscriminado de soluções de criptografia desconhecidas pelos diferentes órgãos da administração pública. Daí o tratamento unificado.

A norma define que “toda a informação classificada, em qualquer grau de sigilo, produzida, armazenada ou transmitida, em parte ou totalmente, por qualquer meio eletrônico, deverá ser protegida com recurso criptográfico baseado em algoritmo de Estado”.

Esta é provavelmente a maior diferença de tratamento. Ou seja, “a cifração e decifração de informações classificadas, em qualquer grau de sigilo, utilizará exclusivamente recurso criptográfico baseado em algoritmo de Estado”.

“O recurso criptográfico baseado em algoritmo de Estado deverá ser de desenvolvimento próprio ou por órgãos e entidades da administração pública federal, direta ou indireta, mediante acordo ou termo de cooperação, vedada a participação e contratação de empresas e profissionais”.

Os parâmetros de segurança definidos na norma deverão ser adotados pelos diferentes órgãos e entidades no prazo de um ano, contado a partir da publicação das novas regras – no caso, em 19/2.

CSOs muito focados em conformidade podem colocar empresas em risco


Especialistas que participaram da RSA Conference 2013 alertam que o trabalho excessivo dos gerentes de segurança de TI para atendimento das diversas normas faz com que eles esqueçam dos ciberataques.

As companhias com estratégias de segurança de TI muito focadas em conformidade estão despreparadas para enfrentar as perigosas ameaças cibernéticas. O alerta é de especialistas que participaram da RSA Conference 2013, realizada na semana passada em San Francisco (EUA).

Os Chief Information Officers (CSOs) ou gestores de segurança que ficam mais concentrados nas questões de compliance não conseguem dedicar muito tempo para as prevenções contra ataques, disseram os conferencistas.   

Ao longo dos últimos anos, as estratégias de segurança de muitas empresas e agências governamentais têm se centrado mais no atendimento de requisitos das leis e normas como Sarbanes-Oxley; Information Portability and Accountability Act (HIPAA), que determina que todas as organizações da área de saúde adotem medidas para proteger informações dos pacientes; Payment Card Industry Data Security Standards (PCI DSS), estabelecido pelas administradoras de cartão de crédito para coibir fraudes nas transações com o dinheiro de plástico; Federal Information Security Management Act (FISMA), regulamentação criada pelo governo dos Estados Unidos, que exige que cada agência federal desenvolva, documente, implemente um amplo programa de segurança para as informações e sistemas que suportam suas as operações, entre outros padrões. 

Especialistas dizem que o cumprimento dessas normas é importante, mas elas devem ser atendidas baseadas em uma estratégia mais ampla de segurança da TI.

"O setor de auditoria tornou-se um monstro", avalia Anup Ghosh, fundador da empresa de segurança Invincea. "Manter esses caras na baía faz com que times de segurança em TI de muitas organizações fiquem focados em tempo integral em compliance. Eles têm que se dedicar ao cumprimento de um monte de requisitos e processos que precisam ser verificados e seguidos", analisa o executivo. 

A maioria das normas exigem que as empresas implementem um conjunto mínimo de controles de segurança, afirma Ghosh. No entanto, essa tarefa consome tempo e a maior parte dos orçamentos de segurança em muitas companhias.

"Se tudo o que você está fazendo é atender uma necessidade de auditoria, você não está se concentrando nas ameaças", chama atenção Ghosh. Ele alerta que os CSOs têm que ficar longe da conformidade de segurança orientada, que deixa as ameaças de lado.

O atendimento dos requisitos de conformidade são frequentemente estáticos e prescritivos, de acordo com executivos de segurança. O cumprimento de padrões permite que as organizações meçam o resultado dos esforços da área de segurança. Porém, essas métricas podem ser enganosas.

Os especialistas em segurança afirmam que as organizações podem estar completamente compatíveis com um padrão específico, mas ainda não têm proteção para  múltiplas ameaças.

Os especialistas mencionam os esforços das agências federais na última década para adequação do FISMA. Apesar de bem intencionado, esse padrão exigiu um intenso trabalho dos gestores de segurança nos órgãos públicos, cujo principal objetivo é o cumprimento desse requisito, afirmam eles.

Cada vez mais a segurança da informação se preocupa com problema situacional, disse Stephen Trilling, diretor de tecnologia da Symantec. Não há uma compreensão sobre todas as ameaças potenciais para que a área possa respondê-las com velocidade.

"Muitas empresas têm se preocupado com compliance sem realmente fazer o trabalho de segurança", constata Trilling. "Você sempre pode fazer o mínimo, mas isso não é o suficiente para garantir que uma companhia ou agência governamental se proteja contra os ciberataques", disse ele.

Trilling afirma que os recentes ciberataques são altamente segmentados e realizados por adversários persistentes e sofisticados.

As tradicionais ferramentas baseados em assinaturas de segurança não podem oferecer proteção contra malware gerado automaticamente, técnica que vem sendo usada amplamente pelos cibercriminosos. "Agora você tem milhões de ameaças e cada uma usa duas ou três máquinas", disse Trilling.

Com base nesse cenário, o executivo diz que o pessoal de segurança de TI precisa olhar além dos modelos de conformidade orientados para lidar com estas ameaças.

Fonte: CIO

Crackers roubam mundialmente mais de 1 terabyte em dados por dia

De acordo com estudo de empresa de segurança, governos e empresas são os principais alvos; não se sabe ainda quem são os autores

Analistas descobriram uma megaoperação hacker que rouba cerca de 1 terabyte de dados diariamente, segundo um relatório da empresa de segurança de Internet Team Cymru, divulgado na quarta-feira (27/2). As informações foram publicadas pelo The Verge.

Segundo o site, dentre as vítimas desse ciberataque estão instalações acadêmicas, militares e uma grande empresa de buscas. O relatório não identificou quem estaria por trás da megaoperação, mas, considerando a quantidade de recursos utilizados, os responsáveis seriam patrocinados pelo governo, segundo afirmou o diretor da Team Cymru, Steve Santorelli. "Esse é um ciberroubo em escala industrial", disse em entrevista ao The Verge. Santorelli também é ex-detetive da Scotland Yard.

O relatório feito pela Team Cymru segue o mesmo padrão do estudo realizado pela empresa de segurança Mandiant - que detalhou como um grupo de cibercriminosos chineses invadiram redes de computadores de diversas grandes companhias dos EUA durante anos, com o objetivo de roubar informações sigilosas.

Mesmo sendo um grande inimigo, especialistas afirmam que a China é apenas mais um peão dessa ciberguerra. Dezenas de outras ameaças recaem sobre os Estados Unidos, e tem sido assim por algum tempo, segundo o diretor-assistente do Centro de Cibersegurança de Baltimore da Universidade de Maryland, Richard Forno. "Todo mundo está culpando os chineses e essa não é uma resposta estratégica. Nós deveríamos estar questionando o porquê a China teve esse tipo de acesso por tanto tempo. O que estamos fazendo de errado? A atitude é: 'como ousa?', mas se você está preocupado com fogo, então por que construir uma casa feita de madeira?"

Segundo Sartorelli, o esquema é sem precedentes e o que preocupa mais é o quão bem-sucedido ele foi e a quantidade de dados que foram roubados.

A Team Cymru identificou que o grupo de cibercriminosos por trás do golpe usa uma rede de 500 servidores para surrupiar informações de companhias no mundo todo. De acordo com o relatório, os crackers teriam iniciado o esquema em 2010, visando interesses comerciais.

Entre as vítimas estariam uma operação de mineração de grande porte da Austrália, agências governamentais da Europa Oriental e da Ásia, além de embaixadas estrangeiras e nacionais.

De acordo com analistas e pesquisadores da área, redes de computadores são atacadas diariamente por cibercriminosos, espiões e ciber terroristas. Softwares são projetados especialmente para ajudar crackers a assumir o controle de sistemas de computadores. Qualquer um poderia ser o culpado pelas invasões - embora a China tenha ganhado as manchetes de jornais no mundo todo nos últimos dias.

Segurança falha

Segundo o fundador da empresa de segurança Crowdstrike, a estratégia das empresas é baseada em uma proteção passiva. "Imagine que construímos um castelo com paredes altas. O que está acontecendo é que nossos adversários estão construindo muros ainda maiores, com uma fração do custo. Estamos fazendo dessa forma há três décadas, mas a situação só está piorando", disse ele ao The Verge.

Os Estados Unidos têm pleno conhecimento de que como está não pode continuar. Tanto é que recentemente o presidente Barack Obama autorizou um novo projeto para proteger o governo e empresas contra ciberataques. Ainda assim, como tem mostrado a história ao longo dos anos, dificilmente haverá um lugar 100% seguro.

O buraco é mais embaixo

O problema maior, apontado pelo site, é que softwares como Java e Flash se tornaram parte vital da Internet atual, e seus desenvolvedores não estão dando tanta atenção a atacantes quanto deveriam. Está se tornando cada vez mais rotineiro invasões a grandes empresas como Facebook, Twitter, Apple e Microsoft atualmente.

Programas antivírus também possuem a sua parcela de culpa. Segundo o diretor de inteligência de segurança da Akamai, Josh Corman, os métodos menos eficazes de segurança são os que mais dão lucro. "Se tudo o que fazemos é encher os bolsos de pessoas que têm o menor impacto, então estamos perdendo recursos. Eu não estou dizendo que não há valor nisso. Só estou dizendo que devemos olhar para a eficácia desses métodos", disse em entrevista ao site.

O que fazer então para implementar uma proteção mais robusta e eficaz?

Segundo Alperovitch, da Crowdstrike, a tecnologia por si só não seria o suficiente. Ciberdefesas devem, sim, ter a intervenção do governo para que obtenham resultado significativo. Além disso, o especialista é a favor da administração de Obama atingir a China e outras ameaças com sanções comerciais, e ações civis ou processos criminais.

Na opinião de Forno, o governo deveria retirar infraestruturas vitais da Web e impor tarifas sobre produtos que são conhecidamente derivados de dados roubados. "Eu argumentei que precisamos construir uma comoção nacional para uma estratégia cibernética", disse ao The Verge. "Precisamos estabelecer um compromisso semelhante ao que o país fez com o Projeto Manhattan (esforço dos EUA para construir a bomba atômica). Nós realmente temos que fazer o que é necessário."

Fonte: IDGNOW