Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Brasileiros reagem à espionagem e rejeitam repasse de dados por empresas de tecnologia

Apenas um em cada quatro brasileiros concorda que o governo deve monitorar e vigiar os dados de Internet e de telefonia da população. 

É o que revela pesquisa feita pela YouGov, a pedido da organização Anistia Internacional, que entrevistou 15.000 pessoas em 13 países do mundo. No Brasil foram 1.006 pessoas entre os dias 4 e 11 de fevereiro. Os dados foram divulgados no dia 17/03/2015.

Segundo o levantamento, 65% dos brasileiros ouvidos reprovam que autoridades interceptem, armazenem ou analisem dados da rede mundial de computadores ou da telefonia móvel; 25% são a favor e outros 10% não souberam responder. A reprovação nacional é seis pontos percentuais maior que a média dos demais países, que ficou em 59%. A necessidade de monitoramento dividiu entrevistados em alguns países, a exemplo de Grã Bretanha, Canadá, Holanda, Nova Zelândia, África do Sul e EUA --que tiveram menos de 10 pontos percentuais de diferença entre aqueles que são a favor e contra.

A pesquisa mostrou também que o Brasil foi o país com maior índice de rejeição à ideia de que as empresas de tecnologia devem repassar dados aos governos como forma de segurança, com 78% de reprovação. Ao todo, 55% acreditam que os dados devem ser repassados apenas com ordem judicial, com uso de critérios transparentes.

Também ficamos no topo como população mais propensa a reclamar do governo na Internet, caso tenha ciência de que seus dados estão sendo vigiados – 29% do total disseram que essa seria a atitude mais provável em caso de espionagem.

Os Astrólogos de Segurança da Informação

O sistema de crenças que mais fragiliza do que protege as organizações

Durante a era Reagan, muitas das decisões tomadas na Casa Branca tinham a influência de uma especialista não muito comum em assuntos políticos. Os rumos do governo americano passavam pelo crivo da astróloga Joan Quigley, falecida no ano passado com 87 anos. A senhora Quigley era constantemente requisitada pela primeira dama Nancy Reagan (quem realmente mandava naquela casa) para consultar aos astros e orientar o presidente sobre quais riscos evitar. A atividade da astróloga foi um dos segredos mais bem guardados durante quase toda administração Reagan e a história somente se tornou pública em 1988 por meio de um ex-funcionário do governo que achava aquilo tudo um absurdo. Lógico que a astróloga faturou muito com o vazamento da história.

O mais interessante é que o mundo vivia um dos momentos mais bizarros da guerra fria. O próprio governo Reagan tinha o objetivo de implementar uma base de misseis nucleares no espaço. A “Strategic Defense Initiative (SDI)” que tinha o apelido de “Guerra nas Estrelas” se baseava no princípio teórico chamado de “Mutual Assured Destruction – MAD” o que de modo bem simples quer dizer: se o seu adversário possui um determinado poder de fogo, incremente o seu poder de modo que tanto ele quanto você sejam destruídos no caso de um ataque e se mostre disposto a usar tudo. Assim você desestimula o seu inimigo a atacá-lo.

Os acadêmicos do MAD conseguem provar isso com equações complicadas e realmente houve uma ocasião, poucos anos depois da crise dos mísseis em Cuba em que a MAD foi usada, o mundo quase acabou e quase ninguém ficou sabendo.

A astrologia já guiou vários líderes na história. Mas embora muita gente acredite nisso eu não consigo considerar plausível que a posição dos planetas no firmamento quando eu nasci possa guiar as minhas características pessoais. O universo é muito grande e se isso fosse mesmo verdade teríamos que considerar muitos outros astros nessa dança gravitacional. Prefiro ficar com a definição de Carl Sagan de que a astrologia “desenvolveu-se para uma disciplina estranha: uma mistura de observações cuidadosas, matemática e manutenção de registros com um pensamento indistinto e uma fraude devotada”.

Penso que a astrologia, assim como outras pseudociências ou terapias holísticas, oferece um tipo de conforto para a escolha de um caminho dentre diversos outros. Algo que conecta o nosso poder de decisão ao universo, de maneira que caso o caminho dê errado, é mais fácil transferir a responsabilidade para esse ente maior que coordena o fluxo da existência.

O astrólogo acaba sendo uma pessoa que possui um discurso generalizante, de modo a abarcar os mais variados tipos de pessoas e ao mesmo tempo se utiliza de técnicas com o objetivo de dar um ar personalizado a essas mensagens, para aqueles que o pagam.

Usando esse raciocínio como uma analogia, considero que muitas das decisões tomadas no dia a dia daqueles que atuam em segurança da informação seguem esse fluxo astrológico. Ou seja, muitos dos que lidam com essa disciplina dedicam tempo, esforço e muito dinheiro seguindo astrólogos que lançam modismos sem cessar, sendo que a maioria não resulta na proteção das informações.

Sem refletir, esses profissionais acabam mergulhando em um sistema de crenças e caso algo dê errado a salvação está em alegar que se seguiu as “melhores práticas do mercado”. Tenho muitas reservas a essas crenças e pretendo apontar abaixo algumas das suas contradições.

É possível obter Segurança da Informação?

Francisco Ramírez
Diretor de Segurança da Cisco para América Latina

Como representante de uma das empresas de Tecnologia  que mais trabalha a questão da Segurança da Informação e conhecedor de muitos detalhes que implicam nesse tema, frequentemente me perguntam: “por que os invasores continuam tendo sucesso em um mundo no qual, aparentemente, são adotadas cada vez mais medidas de segurança?”.

A palavra "aparência" acaba por ser o cerne da questão. Basta verificar o Relatório Anual de Segurança da Cisco de 2015, cuja conclusão é que há uma diferença significativa entre a percepção e a realidade em relação à Segurança da Informação nas empresas. E o que é ainda mais revelador: é uma brecha que está crescendo expressivamente.

Novas versões do OpenSSL devem ser lançadas nesta quinta-feira, 19/03

A equipe gestora da tecnologia não forneceu detalhes, mas uma das falhas corrigidas na atualização é classificada como muito grave

Novas versões do OpenSSL devem ser lançadas amanhã, dia 19 de março, para corrigir várias vulnerabilidades de segurança, uma das quais considerada bastante grave, de acordo com a equipe do Projeto OpenSSL. Um aviso publicado na última segunda-feira não dá mais detalhes sobre as vulnerabilidades, presumivelmente para não ajudar potenciais hackers.

As atualizações serão incluídas nas versões 1.0.2a, 1.0.1m, 1.0.0r e 0.9.8zf do OpenSSL. No último ano foram descobertos problemas graves no OpenSSL, software de código aberto bastante utilizado para criptografar comunicações usando o protocolo SSL/TLS (Secure Sockets Layer/Transport Layer Security), pedra angular da segurança na Internet.

O OpenSSL tem passados por auditorias de segurança, depois da descoberta da vulnerabilidade Heartbleed, em abril de 2014. A falha grave permitiu a fuga de conteúdos de memórias de servidores, elementos de autenticação, chaves de criptografia e outros dados privados.

Cinco princípios da virtualização

A empresa que não souber identificar eventuais fraquezas vai perder a capacidade de colher benefícios da infraestrutura virtual, limitando o sucesso das migrações

Os conceitos tecnológicos da virtualização e da computação em nuvem fizeram com que as questões de gerenciamento de serviços se tornassem tão importantes para os departamentos de TI quanto a própria tecnologia. No pacote, vem o envolvimento mais estreito com as aplicações e as unidades de negócios que trabalham com a infraestrutura.

Segundo o analista da Forrester James Staten, se a virtualização tivesse parado em alguns servidores, a pressão para reorganizar a empresa teria acabado assim que alguns poucos administradores de sistemas tivessem aprendido a trabalhar com mais de um departamento ao mesmo tempo, além de gerenciar servidores virtuais.

Mas não parou. O mundo virtual é muito mais dinâmico que o físico e cruza várias fronteiras organizacionais tradicionais. “Sem repensar a estrutura organizacional e alinhá-la a uma infraestrutura virtual, a empresa não consegue se manter no compasso da tecnologia”, avalia o vice-presidente de pesquisa do Gartner Chris Wolf.

As lacunas podem passar despercebidas em um primeiro momento, acobertadas pelo aumento da eficiência técnica e do retorno sobre o investimento (ROI) que as empresas adquirem logo no começo. Mas à medida que mais servidores são virtualizados, a empresa que não souber identificar eventuais fraquezas vai perder a capacidade de colher benefícios da infraestrutura virtual, limitando o sucesso das migrações.

Para evitar esse quadro, alguns princípios consistentes da gerência de infraestrutura virtual podem ser implementados para evitar problemas.

Brecha no Dropbox para Android pode permitir roubo de dados

Problema está no Dropbox SDK, usado por outros apps.
Ataque não funciona se Dropbox estiver instalado.

Pesquisadores da equipe de segurança X-Force, da IBM, divulgaram detalhes de uma brecha no Dropbox SDK para Android que, em alguns apps, pode resultar no roubo de informações. A vulnerabilidade faz com que um hacker possa convencer um app a cadastrar uma conta do Dropbox controlada por ele para realizar a sincronização das informações.

A pesquisa foi realizada por dois especialistas em segurança da IBM, Roee Hay e Or Peles. Os detalhes foram publicados nesta quarta-feira (11) no blog da companhia.

A falha não está no aplicativo do Dropbox em si, mas sim no Dropbox SDK. Esse SDK é um pacote integrado por outros aplicativos para que eles possam ter a opção de sincronizar seus dados com o Dropbox. Quem tem o aplicativo do Dropbox instalado não está vulnerável, porque, nesses casos, é o próprio aplicativo que gerencia a concessão de autorizações para realizar o envio de dados.

A brecha é útil para roubar informações armazenadas no telefone. A conta do Dropbox não fica comprometida.

Conheça 20 comportamentos de risco na web

Saiba quais são e como prevenir você e sua empresa de ameaças virtuais

Usuários da internet ainda desconhecem os riscos da web. A constatação é da empresa Scunna Network Technologies, especializada em segurança cibernética e performance de TI.

De acordo com o gerente da Scunna Network Technologies, Gustavo Pauletti Gonçalves, os principais riscos que o usuário pouco cuidadoso corre na internet são furto de identidade, vazamento de informações, invasão de privacidade, sequestro de informações, fraudes bancárias e fraudes no comércio eletrônico. Veja abaixo uma lista de 20 comportamentos de riscos na web, apontados pela fabricante.

Tecnologia brasileira entra na briga do mercado global de comunicação segura

Uma empresa brasileira está buscando um lugar de destaque no mercado global de comunicação móvel criptografada. 

Trata-se da Sikur, que no Mobile World Congress 2015 está lançando o Granitphone, um celular com tecnologia 100% nacional de segurança, e que tem como concorrentes três empresas no mundo: Suécia, EUA e Rússia. A Defesa brasileira já está atenta ao produto, que será fabricado na Ásia. Versão mais flexível - sem restrição aos OTTs, por exemplo - será lançada no final deste ano. Ideia é vender 80 mil terminais até dezembro.

"Temos duas operadoras brasileiras bem interessadas em ter o Granitephone no portfólio de soluções corporativas. E aqui em Barcelona, teles de outros países nos procuraram. O engraçado é que em segurança, ser do Brasil, hoje, é 'cool'. Muitos vêem aqui por conta de sermos brasileiros", diz Leandro Coletti, diretor da Sikur.

A ideia para o desenvolvimento do Granitephone surgiu antes do episódio Snowden, mas ganhou ainda mais fôlego após a divulgação da espionagem dos telefonemas da presidenta Dilma Rousseff. "Não criamos o Granitephone por conta da espionagem, mas ela nos ajudou muito. A Defesa teve que dar um valor maior à criptografia, à privacidade da informação", diz Coletti.

ISO 27001 é a mais eficaz em segurança da informação

Considerada pelas corporações em todo o mundo como a melhor prática internacional em termos de gestão de segurança da informação, a certificação ISO 27001 consagrou-se como uma das mais poderosas armas na luta diária contra o crime cibernético. 

Dados publicados no final de fevereiro deste ano apontam que a ISO 27001 é classificada por 96% dos gestores como um agente fundamental no aumento da qualidade dos sistemas de defesa contra ataques virtuais.

De acordo com o novo levantamento, cerca de 70% dos entrevistados dizem que a melhoria da segurança da informação foi o  fator mais importante para implementação da ISO 27001. Em segundo lugar, vem a exigência de estar alinhado com as melhores práticas em segurança da informação (62%), seguido da busca por uma maior vantagem competitiva (57%).