[Notícia] ISACA estende o prazo de registro para os exames CISA ou CISM

Por Editor em 17 de abril de 2014 | Enviar comentário

carreiraA ISACA estendeu o prazo limite de inscrição para os exames de certificação até o dia  22 de abril. Significa uma coisa: é hora de começar a se preparar! \o/

A Clavis oferece os cursos oficiais para as certificações CISA e CISM – no modelo EAD  -  que são uma  ótima maneira para se preparar para os exames. Estas são as  principais  certificações para os profissionais de segurança de TI especializadas em  gestão,  auditoria, desenvolvimento e revisão dos sistemas de segurança da  informação e  para o desenvolvimento de melhores práticas de segurança da  organização.

A Academia Clavis publicou diversas dicas para a realização dos exames que podem  ser acessadas no Blog Clavis.

AddThis Social Bookmark Button

[Notícia] Nenhuma evidência de backdoor ou código malicioso foi encontrada no TrueCrypt

Por Editor em 15 de abril de 2014 | Enviar comentário

The Key of my mind...A primeira fase da auditoria do TrueCrypt foi divulgada ontem, depois de sete meses  de discussão e planejamento. Confira o relatório completo através do link. O  TrueCrypt é um utilitário popular para encriptação de discos, partições ou arquivos. É  utilizado inclusive para esconder volumes de dados dentro de discos.

A análise feita pela iSEC constatou que: “não há evidência de backdoor ou algum  outro código malicioso intencional nas áreas avaliadas”. Enquanto a equipe encontrou  algumas pequenas vulnerabilidades no próprio código, a iSEC as rotulou como  parecendo não intencionais, apresentando resultados de erros e não sendo  maliciosas, sem nenhuma vulnerabilidade de nível alto.

A próxima fase da auditoria irá envolver uma análise profunda da tecnologia criptográfica utilizada pela aplicação.

Desde setembro de 2013 profissionais da área de criptografia vêm discutindo sobre novos problemas e alternativas para a aplicação. Em fevereiro deste ano o projeto  Open Crypto Audit Project havia levantado em torno de US$80.000 para realizar este objetivo, de auditar a aplicação.

Veja as novidades através da página do projeto: istruecryptauditedyet.com

Mais informações através do link.

AddThis Social Bookmark Button

[Notícia] Confira as fotos da edição 9.1 do Workshop SegInfo!

Por Editor em 15 de abril de 2014 | Enviar comentário

Veja abaixo algumas fotos da IX edição do Workshop de Segurança da Informação – SegInfo, realizado sexta e sábado (11 e 12 de abril) na cidade do Rio de Janeiro.

Já estão chamando esta edição do evento de SegInfo-v9.1, visto que este ano ainda teremos mais duas edições, uma em Brasília e outra em São Paulo. (=

SegInfo_9.1_RJ

Veja todos as fotos no Facebook do SegInfo: www.facebook.com/seginfo

AddThis Social Bookmark Button

[Notícia] CPI da Espionagem conclui seus trabalhos e apresenta projeto de lei

Por Editor em 14 de abril de 2014 | Enviar comentário

Brasão do BrasilA CPI da Espionagem teve seus trabalhos concluídos na última quarta-feira (09/04)  com a apresentação e aprovação do relatório final do senador, e relator, Ricardo  Ferraço (PMDB-ES). No texto, que será encaminhado para a Mesa do Senado, o  parlamentar aponta “vulnerabilidades” do Brasil em segurança de suas comunicações,  sobretudo as cibernéticas, e considera que é necessário o desenvolvimento de  mecanismos visando a proteção das mesmas, além do investimento em inteligência e  contra inteligência.

“A fragilidade do sistema de telecomunicações brasileiro e de nosso sistema de  inteligência e defesa cibernética ficou evidente. Estamos muito expostos à  espionagem eletrônica.” — disse Ferraço durante a leitura de seu relatório.

A CPI foi instaurada em 03/09/2013, logo após o escândalo de espionagem dos Estados Unidos, realizado pela Agência de Segurança Nacional dos Estados Unidos (NSA) contra diversos países, sendo um dos alvos principais o Brasil e que só foi tornado público pelo ex-funcionário da agência, Edward Snowden, por intermédio do advogado e jornalista, Glenn Greenwald. Como medidas paliativas, antes mesmo da notícia se tornar pública, a criptografia para e-mails e telefones foi adotada, por meio de tecnologias desenvolvidas pela Agência Brasileira de Inteligência (Abin): o Criptogov e o cGov – os quais já existiam e não haviam sido postos em aplicação por descuido.

Com a finalização dos trabalhos, várias recomendações foram feitas ao Governo Federal. Dentre elas, disponibilizar mais dinheiro para os serviços secretos, a compra e o desenvolvimento de equipamentos e a capacitação de profissionais. Segundo Ferraço, os investimentos públicos nos campos de inteligência de sinais e de segurança cibernética são ínfimos: o orçamento da Abin em 2012 foi de R$527,7 milhões, dos quais apenas R$4,86 milhões para investimentos efetivos, ao passo que, apenas a NSA tem orçamento superior a US$10 bilhões, sem contar demais órgãos de inteligência norte-americanos.

O relatório concluiu com a apresentação de um projeto de lei que dispõe sobre fornecimento de dados de empresas ou cidadãos brasileiros a organismos estrangeiros. Outra recomendação é a criação da Agência Brasileira de Sinais, com a função de “operar na ambiente virtual tanto na busca de dados de interesse do Brasil, quanto na proteção de ativos nacionais nessa área”. Além disso, o relatório defende a aprovação de proposta de emenda à Constituição que dá status constitucional à atividade de inteligência, a PEC 67/2012. Como a presidente da CPI, Vanessa Grazziotin (PCdoB-AM), constatou: “estamos diante de uma nova ordem mundial, na qual a defesa do sistema de comunicação é fundamental.”

Mais informações em:
www.defesanet.com.br/cyberwar/noticia/14936/CPI-Espionagem-apresenta-Relatorio/

g1.globo.com/politica/noticia/2014/04/relatorio-da-cpi-da-espionagem-aponta-vulnerabilidade-do-brasil.html

AddThis Social Bookmark Button

[Notícia] Vulnerabilidade do OpenSSL permite decodificar tráfego criptografado (CVE-2014-0160)

Por Editor em 10 de abril de 2014 | Enviar comentário

heartbleedFoi descoberta uma vulnerabilidade em algumas versões do OpenSSL (1.0.1 até a  1.0.1f) que possibilita a obtenção das chaves criptográficas. Com estas chaves é  possível decodificar todo o tráfego criptografado, fazendo com que usuários,  senhas, informações enviadas em VPN, dentre outras informações sensíveis,  sejam transmitidas em texto puro.

A falha, batizada como Heartbleed e identificada pelo CVE-2014-0160, afeta a  extensão “Heartbeat” (RFC6520) adicionada à biblioteca do OpenSSL.

Segundo estimativa da Lastpass, o OpenSSL é utilizado aproximadamente por 2/3  de servidores de empresas. Sites como Yahoo!, Flickr, StackOverflow,  XDA-Developers, Imgur, WeTransfer e Steam Community, inclusive a Lastpass, dentre diversos outros foram afetados pela vulnerabilidade.

Foi lançada a versão 1.0.1g no dia 07 de abril de 2014, corrigindo a falha. Caso não seja possível efetuar a atualização para esta versão, é necessário recompilar o OpenSSL utilizando a opção -DOPENSSL_NO_HEARTBEATS.

Com a descoberta desta vulnerabilidade veio a preocupação em como as empresas afetadas lidarão com o caso. Afinal, mesmo após corrigida a falha existe a possibilidade de algumas chaves terem sido capturadas.

Mais informações em: heartbleed.com

Fonte: info.abril.com.br

AddThis Social Bookmark Button

[Notícia] Google terá que cumprir legislação brasileira, fornecendo acesso a mensagens envolvidas em investigações

Por Editor em 9 de abril de 2014 | Enviar comentário

Direito-eletronico-direito-internet-walter-capanemaA Google está sendo obrigada a fornecer à Justiça Federal acesso a mensagens  enviadas e recebidas por uma conta de e-mail investigada em inquérito policial  que  apura a atuação de um grupo em fraudes. A decisão é da 1ª Turma  Especializada do  Tribunal Regional Federal da 2ª Região que recusou pedido da  Google para não abrir  os dados. “Trata-se de uma empresa constituída conforme  as leis brasileiras,  portanto, precisa se submeter às leis brasileiras e não às leis  estadunidenses que  vedam o acesso de autoridades judiciais”.

A empresa havia declarado no processo que não teria como cumprir a medida judicial  porque, embora a conta de correio eletrônico tenha sido registrada no Brasil, os  dados ficariam armazenados nos servidores da empresa nos Estados  Unidos. O  provedor sustentou que a quebra do sigilo só poderia ocorrer por meio de acordo de cooperação internacional entre tribunais — não por determinação unilateral da Justiça brasileira. Mas o relator no TRF-2, desembargador federal Abel Gomes, rebateu o argumento, entendendo que a Google Brasil foi constituída de acordo com a legislação brasileira.

O Marco Civil da Internet reforça a jurisdição brasileira sobre privacidade, dados pessoais e sigilo das comunicações. Nele, o Google – mesmo com a decisão de tirar a obrigatoriedade dos datacenters no país – teria, sim, que cumprir a legislação brasileira, uma vez que os dados dos brasileiros têm de seguir as diretrizes da Lei nacional. A empresa tem 20 dias para fornecer os dados da conta investigada em inquérito sobre saques fraudulentos na Caixa Econômica Federal, sob pena de multa de R$ 50 mil por dia.

Confira aqui a notícia completa.

AddThis Social Bookmark Button

[Notícia] CISSP é reconhecida pela SC Magazine como “Melhor Certificação Profissional”

Por Editor em 9 de abril de 2014 | Enviar comentário

isc2-150x150A certificação CISSP continua a ser reconhecida como Padrão de Excelência para a  indústria de Segurança da Informação.

O (ISC)², a maior entidade sem fins lucrativos de profissionais certificados em  Segurança da Informação e Software do mundo, com quase 100 mil membros,  anuncia que a sua certificação CISSP foi reconhecida como “Melhor Certificação  Profissional” pelo SC Magazine Awards de 2014. É a quinta vez que a premiação  reconhece o CISSP como melhor certificação.

“Estamos honrados por sermos reconhecidos pela SC Magazine por nossos esforços  para construir uma força de trabalho mais forte em Segurança, por meio de nossas  certificações”, disse Hord Tipton, Diretor Executivo do (ISC)². “Queremos agradecer a SC Magazine pelo reconhecimento e esperamos continuar fornecendo aos profissionais e à indústria ferramentas e recursos para inspirar um mundo cibernético mais seguro.”

As indicações foram revisadas por um painel de jurados especialistas, que selecionaram os ganhadores de um grupo de renomadas organizações de Segurança da Informação.

O SC Magazine Awards, agora em seu 17º ano, é parte dos principais programas de premiação de Segurança. Com mais de 650 nominações no ano passado e 31 categorias neste ano, a premiação anual continua a ganhar impulso para destacar as melhores soluções, serviços e profissionais, reconhecendo ao mesmo tempo a realização e excelência técnica. A SC Magazine distingue as conquistas dos profissionais de segurança na área, as inovações que acontecem nas comunidades de fornecedores e provedores de serviços, e o fervoroso trabalho do governo, comercial e sem fins lucrativos.

Para mais informações e a lista das categorias e ganhadores, visite: http://awards.scmagazine.com/.

AddThis Social Bookmark Button

[Notícia] A lista de discussão Full Disclosure está de volta! =)

Por Editor em 8 de abril de 2014 | Enviar comentário

mailing_listImportante veículo na divulgação de vulnerabilidades e discussão sobre segurança da  informação, a lista Full Disclosure teve seu fechamento anunciado no dia 19/03 pelo  administrador John Cartwright. A lista de discussão, criada em 9 de Julho de 2002  por Len Rose e mantida desde então por John, publicou mais de 91.500 posts  durante os 12 anos em que esteve em funcionamento, alguns dos quais já foram  tratados aqui no SegInfo.

Em seu comunicado, John citou diversos fatores para o fechamento repentino da  lista.  O repórter e editor Bill Brenner cita dentre as principais causas, a existência de  demais blogs, Twitter e outras fontes online, as quais possibilitam aos pesquisadores  da área, terem diversas maneiras de passar a palavra quando encontram algo. Dessa  forma, segundo ele, o canal tornou-se menos importante ao longo do tempo.

Contudo, a lista de discussão está de volta graças a Gordon Lyon (criador do Nmap Network Scanner), tendo sido reiniciada no último dia 25. Após conversa com John, Gordon decidiu por assumir a administração, uma vez que já possui experiência devido ao seclist.org – da qual a Full Disclosure faz parte agora.

Portanto, apesar de toda a polêmica envolvida, fica a promessa de continuidade da lista, cujo objetivo segundo Gordon seria: “forçar os fornecedores a proteger melhor seus produtos e a reconhecer e corrigir falhas publicamente, em vez de tentar escondê-los”.

Fonte: insecure.org/news/fulldisclosure/

AddThis Social Bookmark Button

[Notícia] Fórum Nacional Segurança da Informação – 8 e 9 de maio em Brasília

Por Editor em 7 de abril de 2014 | Enviar comentário

forum-seguranca-informacao-brasilia

A 1ª edição do Fórum Nacional Segurança da Informação será realizado em Brasília nos dias 8 e 9 de maio de 2014. Uma iniciativa inovadora, o Fórum tem por objetivo discutir os principais desafios e apresentar soluções para Segurança e Defesa Cibernética a partir de um monitoramento contínuo de processos, métodos e ações dentro das organizações.

O Fórum terá 3 eixos temáticos: Gestão , Técnica e Educação. A programação foi cuidadosamente pensada e será composta por palestras e exposição de casos práticos. Dentre os palestrantes, o evento conta com a presença de: Walter Capanema – advogado, colunista do Blog SegInfo e  instrutor do curso a distância Direito para Peritos Forense, Pentesters e Administradores de Redes da Academia Clavis; Ricardo Giorgi – Diretor de Segurança da Informação em uma empresa de consultoria, sendo responsável também por toda a área de Governança Corporativa alinhada a TI, com 15 anos de experiência na área de Segurança da Informação. É instrutor do treinamento preparatório para certificação CISSP – Certified Information Systems Security Professional, ministrado pela Academia Clavis; Fernando Fonseca, único brasileiro a receber o título de Senior Member pela ISSA International, e instutor do treinamento online CISM – Certified Information Security Manager da Academia Clavis.

Confira a listagem completa de palestrantes e a programação do evento através do site: conexxoes.com.br/seguranca-informacao/programacao.php

Maiores informações sobre o evento podem ser vistas através do site: conexxoes.com.br/seguranca-informacao/

AddThis Social Bookmark Button

[Notícia] Divulgada a agenda completa da oitava edição da You Sh0t the Sheriff (via @ystscon)

Por Editor em 7 de abril de 2014 | Enviar comentário

2014-03-27 07.34.09A oitava edição da conferência de segurança da informação You Sh0t The sheriff  ocorrerá no dia 14 de abril em São Paulo, em local divulgado somente aos  participantes convidados.

Veja as palestras já confirmadas para o YSTS 8!

Pentesting Against Secure Desktop Applications

O Secure Desktop é um recurso do Windows API que cria uma área de trabalho  separada para executar programas / processos e desta forma não permitindo que  os  processos e programas rodando em outras áreas de trabalho capturarem tanto as teclas digitadas como telas nesta área de trabalho. O principal objetivo desta palestra é apresentar alguns exemplos do mundo real  que usam o desktop seguro e mostrar sua falsa sensação de segurança.

Do You Hear What I Hear: Audio Frequencies as a Covert Communication Vector

Histórias de BadBIOS falam sobre a transmissão de dados sobre o hardware de som de computadores comuns. Esta palestra irá analisar em pormenor a forma como a comunicação disso funciona, algumas das armadilhas , o que é necessário para dispositivos infectados para comunicar desta forma, e como ela pode ser detectada no campo. Também será incluída uma demonstração do sistema em ação e um teste de audição tragicamente não-científica.

My Apps are Dying: Application-Layer DDoS and You

Enquanto a maioria do mundo da mitigação DDoS tem se concentrado em proteger contra ataques DDoS de “flood” na infraestrutura de rede, ataques DDoS de camada de aplicação tem vindo a aumentar a sua utilização por atacantes . Nesta palestra , vamos cobrir os tipos básicos de DDoS de aplicativos, como identificar e explorar as vulnerabilidades , e como se defender contra DDoS da camada de aplicação .

Como um item do Painel de Controle pode roubar seu dinheiro

Há uma série de arquivos “executáveis”, capazes de gerar ações maliciosas no sistema. Nesta palestra será visto que com algum conhecimento em programação e criatividade, criadores de malwares bancários passaram a distribuir suas criações em arquivos .cpl, extensão dos items do Painel de Controle.

Chalk & Cheese: Staffing Your CSIRT

Na última década, o tamanho, gravidade e frequência das violações de dados continua a crescer. Em muitos casos, esses ataques foram bem sucedidos. As Computer Security Incident Response Teams (CSIRT) dedicam-se a impedir tais ataques. Nesta palestra busca-se analisar a fundo esta pergunta: Por que muitos CSIRT’s parecem estar falhando em sua tarefa primária?

The Droid Pwnage Saga

Esta apresentação terá uma abordagem totalmente nova e mostrar os avanços nas técnicas de exploração no Android. Também será visto como se pode criar e infectar aplicativos do Android legítimos, e roubar dados confidenciais de usuários (local e remoto).

Drone Hacking

Com o foco de apresentar esta tecnologia, essa palestra mostra como funciona a comunicação de uma estação de controle no solo com um drone, algumas vulnerabilidades encontradas nesse processo e quais os riscos quando uma aeronave não tripulada é tomada por um hacker.

Cibercrime Made in Brazil – Um breve panorama sobre o crime cibernético no Brasil

Nesta palestra, além de apresentar alguns dados e métricas sobre Cibercrime no Brasil, será demonstrado a partir alguns interessantes casos/exemplos reais, o quão avançadas estão as técnicas utilizadas atualmente pelos criminosos brasileiros.

Em Busca da Teoria de Segurança da Computação

Esta palestra busca contudo, verificar que, com exceção da Criptografia, a Segurança da Informação praticamente não faz uso dos fundamentos teóricos da Teoria da Computação. Também tenta mostrar como pesquisas recentes buscam fechar essa lacuna teórica da Segurança da Informação.

Confira mais informações sobre as palestras aqui :D

AddThis Social Bookmark Button