[Notícia] Vulnerabilidade crítica afeta distribuições Linux datadas desde 2000

Por Editor em 30 de janeiro de 2015 | Enviar comentário

Linux tuxDepois do Shellshock, reportado em novembro de 2014 como sendo ainda mais grave que o Heartbleed, a nova falha crítica de segurança permite execução remota de código e afeta diversas distribuições Linux, datadas desde o ano 2000. A vulnerabilidade foi descoberta pela Qualys, tendo sido batizada de GHOST (CVE-2015-0235) devido a sua relação com a função “_gethostbyname.”

Segundo o relatório divulgado pela empresa, o problema decorre de um buffer overflow baseado em pilha, encontrado nas bibliotecas “C” do software GNU glibc e residindo na função “_nss_hostname_digits_dots()”. Essa função específica é usada pelas chamadas de função “_gethostbyname”. Através de uma chamada remota em qualquer uma destas funções, um atacante poderia executar código arbitrário, sem necessitar da permissão do usuário.

Ainda de acordo com a Qualys, a brecha existe desde a versão 2.2 do glibc, lançada em novembro de 2000. A boa notícia é que a função “_gethostbyname” raramente é utilizada por softwares mais recentes, tendo sido tornada obsoleta pelo IPv6. Além disso, a vulnerabilidade foi corrigida entre a versão 2.17 e 2.18 do glibc em 2013.

Assim sendo, distribuições mais recentes do Linux já devem estar protegidas. No entanto, vale ressaltar que os patches de correção da época não foram rotulados como ameaças de segurança. Deste modo, algumas distribuições mais antigas do Linux podem estar vulneráveis, a citar: Debian 7, Red Hat Enterprise Linux 5, 6 e 7, CentOS 6 e 7, Ubuntu 12.04, SUSE Linux Enterprise 11 e anteriores.

Mais detalhes na fonte: Theatpost

AddThis Social Bookmark Button

[Notícia] [Livro] Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados (via @wcaprino)

Por Editor em 29 de janeiro de 2015 | Enviar comentário

livro-trilhas-seguranca-informacaoData de lançamento: 26 de fevereiro de 2015

Horário: 19:00 horas

Local: Livraria Cultura Market Place Shopping Center – Av. Dr. Chucri Zaidan, 902, 04583-903 – São Paulo

Falar de Segurança da Informação em um mundo em constante transformação é sempre um desafio. De um lado, temos a necessidade de manter os dados protegidos de todas as ameaças que existem e surgem a cada dia. Do outro lado, a preocupação de que essa proteção afete o mínimo possível na usabilidade, performance e experiência do usuário.

Apesar de todo o “glamour”, o profissional da área muitas vezes é persona non grata no mundo corporativo. Carrega o estigma de ser o pessimista, aquele que atrapalha o negócio, aquele que anuncia uma tragédia que nunca ocorre e que por esse motivo exige a aplicação de uma série de controles e condições para os dados e sistemas.

Esse profissional deve saber justificar suas ações através de argumentos baseados em metodologias sólidas. Deve entender e saber explicar os fundamentos técnicos falando a linguagem do negócio.

Este livro é composto de uma série de artigos inéditos escritos por profissionais de destaque na área atuando no Brasil e no exterior e que entendem que Segurança da Informação não pode ser um “trilho” de maneira que imobilize a operação das organizações, mas, sim, uma “trilha”, na medida em que a proteção é dosada por meio da análise dos riscos no percurso.

O leitor poderá usar o conteúdo desta obra de forma não linear, como apoio para decidir qual caminho seguir, aproveitando não somente o conteúdo técnico aqui contido, como também a experiência e as lições aprendidas de cada autor.

Carlos Cabral, profissional com vinte anos de experiência na área de tecnologia, sendo que os últimos onze dedicados à segurança da informação, atuando em empresas de serviços, telecomunicações e do mercado de cartões. Presta consultoria a lojistas espalhados pelo Brasil na proteção de seus ambientes interagindo com as mais variadas plataformas tecnológicas e realidades regionais. Possui formação em Computação Forense pela Universidade Presbiteriana Mackenzie e em Sociologia pela Fundação Escola de Sociologia e Política de São Paulo.

Willian Okuhara Caprino, atua como profissional de Segurança da Informação e Gestão de Riscos, certificado CISSP e Security+. Possui MBA em Gestão de Projetos pela Fundação Getúlio Vargas e pela Califórnia University Irvine, é membro do Latin American Advisory Board do (ISC)², ex-presidente do capítulo Brasil da ISSA (Information System Security Association) e cofundador da STS Produções, empresa responsável pelos eventos de Segurança da Informação: You shot the Sheriff e Silver Bullet.

Adquira já o livro na forma impressa ou digital.

AddThis Social Bookmark Button

[Notícia] ISC2 anuncia alterações no CISSP CBK

Por Editor em 28 de janeiro de 2015 | Enviar comentário

isc2-150x150A (ISC)2 lançou um novo Common Body of Knowledge (CBK) para o CISSP e exame SSCP. Este novo CBK entrará em vigor a partir do dia 15 de abril de 2015, juntamente com o novo exame.

Em seu anúncio, a (ISC)2 deixou claro que não houve remoção de conteúdo do exame e/ou do material de treinamento, mas sim atualização e reorganização dos mesmos, visando incluir as informações mais atuais e melhores práticas relevantes para a indústria global de segurança da informação. Os livros e recursos ainda não foram atualizados, mas a (ISC)2 planeja lançar uma nova atualização para o seu livro antes do final de março de 2015.

Veja mais detalhes do artigo no Blog Clavis.

AddThis Social Bookmark Button

[Notícia] Comunicado ao setor público: Atas de Registro de Preço de consultoria para adesão de organizações da Administração Pública Federal

Por Editor em 28 de janeiro de 2015 | Enviar comentário

destaque-artigo-atas (1)

A Clavis Segurança da Informação, parceira do Portal Seginfo, comunica a potenciais interessados do setor público que possui Atas de Registro de Preço homologadas na área de Segurança Ofensiva, incluindo: análise de vulnerabilidades, testes de invasão, análise de código, modelagem de ameaças, dentre outras vertentes. Nesta, também está presente a possibilidade de treinamento do seu time técnico em Desenvolvimento Seguro – SDL e Auditoria de Segurança em Aplicações Web.

Entre as consultorias contempladas, destaca-se algumas:

Todas as atividades são alinhadas de acordo com o escopo do cliente, para que as expectativas e resultados sejam sempre ajustados conforme o planejamento do projeto, além da disponibilização de nosso time técnico em regime de “sobreaviso”.

Atestados para os serviços disponíveis

Para as atividade de consultoria citadas acima, contamos com mais de 10.000 horas comprovadas em atestados técnicos de nossos clientes públicos e privados.

Esta Ata, assim como todas as outras apresentadas, tem sua vigência para 2015 e está também disponível a adesões, reduzindo assim o esforço administrativo que o órgão teria no processo de contratação.

Entre em contato conosco para mais informações, será um prazer atendê-lo.

———————————————————————————————————

Apresentamos, na sequência, informações sobre o conceito de Ata de Registro de Preço, e sua forma de adesão.

1. CONCEITO DE REGISTRO DE PREÇOS

O Registro de Preços é uma ferramenta de que dispõe a Administração Pública para contratação de bens ou serviços que, por sua natureza, podem ser adquiridos de forma continuada. Assim, o uso adequado do Sistema de Registro de Preços permite a celeridade dos processos administrativos e a eficiência nas contratações públicas.

Nas palavras do renomado jurista Marçal Justen Filho, trata-se de uma alternativa muito útil de gestão, melhor dizendo, “um contrato normativo, constituído como um cadastro de produtos e fornecedores, selecionados mediante licitação, para contratações sucessivas de bens e serviços, respeitados os lotes mínimos e outras condições previstas no edital” .

2. QUEM PODE ADERIR?

Em linhas gerais, a Ata de Registro de Preços pode ser utilizada por qualquer órgão ou entidade da Administração Pública (Federal, Estadual e Municipal) que não participou do processo licitatório, desde que haja prévia consulta ao órgão gerenciador da Ata, (artigo 8º do Decreto Federal 3.931/2001).

3. COMO ADERIR?

Para viabilizar a adesão a uma Ata de Registro de Preços, existem algumas rotinas formais que necessitam ser cumpridas, para que tanto a Administração Pública quanto a empresa contratada possa se salvaguardar de seus direitos e obrigações. Para mais informações e auxílio para adesão a esta Ata de Registro de Preços, basta entrar em contato conosco.

Caso deseje mais informações a respeito de treinamentos para o setor público, entre em contato com a Clavis. A Clavis desenvolveu um Guia de Adesão a Ata de Registro de Preços que irá orientá-lo quanto aos procedimentos para aderir às atas de registro de preço já homologadas para treinamentos em Segurança da Informação.

AddThis Social Bookmark Button

[Notícia] Próximo curso online da Academia Clavis

Por Editor em 27 de janeiro de 2015 | Enviar comentário

Academia ClavisA Academia Clavis está oferecendo as últimas vagas para a turma do curso online Análise Forense Computacional. Com início no dia 23 de Fevereiro de 2015, o treinamento a distância possui 25 horas de carga horária com enfoque prático. Ainda é possível rever as aulas anteriores e inclui 36 horas de aulas gratuitas de revisão sobre Redes de Computadores e Fundamentos de Linux!

O curso visa apresentar aos alunos os conceitos, técnicas e ferramentas relacionadas à investigação forense digital. As inscrições  estão com investimento promocional de apenas 12x sem juros de R$ 91,43 no cartão de crédito ou à  vista no boleto bancário com desconto adicional.

O treinamento faz parte da Formação Perito em Análise Forense Computacional, com 100 horas de carga horária e mais três cursos  ofertados.

Confira mais informações e detalhes sobre os cursos no Blog Clavis.

AddThis Social Bookmark Button

[Notícia] Vulnerabilidades de SQL Injection tem maiores níveis em três anos

Por Editor em 26 de janeiro de 2015 | Enviar comentário

figura-1-vulnerabilidades-por-anoDepois de anos de declínio constante, 2014 testemunhou um aumento significativo em vulnerabilidades de injeção de SQL identificadas em pacotes de software lançados publicamente. Isto é o que indica uma pesquisa feita pela DB Networks, a qual atribui este fato diretamente à metodologia de desenvolvimento de software dos dias de hoje – ênfase em prazosfinanciado d e orçamentos que não se preocupam com questões de segurança.

A empresa analisou estatísticas do National Vulnerability Database, um repositório de dados sobre vulnerabilidades cibernéticas mantidas pelo National Institute of Standards and Technology, para chegar às suas conclusões a respeito dessas tendências de segurança de software. Segundo os dados, no ano passado produziu-se o maior número de vulnerabilidades de SQL identificadas desde 2011 e 104% a mais que foram identificadas em 2013.

“Apesar dos melhores esforços de gerentes de projetos, o desenvolvimento de softwares quase sempre foca em restrições de tempo e de custo”, disse Dave Rosenberg, diretor de tecnologia da DB Networks. “Quando o relógio está correndo, parece que os testes de segurança são uma das primeiras tarefas a serem postas de lado.” Embora seja muito cedo para fazer uma previsão, os dados apontam um possível aumento de vulnerabilidades injeção de SQL para o ano de 2015.

Confira a fonte da notícia neste link.

AddThis Social Bookmark Button

[Notícia] Pesquisa indica que Segurança, Mobilidade e Cloud lideram prioridades das empresas

Por Editor em 19 de janeiro de 2015 | Enviar comentário

pesquisaUma pesquisa recente da British Computing Society (BCS) – Chartered Institute for IT – aponta que segurança e perda de dados, mobilidade e computação em nuvem são os três tópicos que figuram dentre as principais prioridades dos executivos de TI para o ano de 2015.

A pesquisa é fruto de um levantamento anual que indagou ao todo 350 profissionais. Os dados apontam que as áreas de segurança da informação (60%), cloud computing (55%) e computação móvel ‒ incluindo as políticas de BYOD (53%), estão entre as principais prioridades para muitas organizações.

De acordo com o levantamento, mais da metade dos responsáveis questionados (53%) avaliam a necessidade de melhorar competências de suas equipes. Uma porcentagem similar alegou necessitar de mais profissionais qualificados, no entanto apenas 8% considerou ter os recursos suficientes para executar as tarefas estabelecidas como prioridades.

Segundo o instituto, esses tópicos aparecem no topo da lista dos líderes de TI devido ao fato de que suas organizações já os considerarem estratégicos, visto que podem impactar significativamente seu negócio, resultando não só na garantia da continuidade das operações, mas também possibilitando aumento de desempenho e produtividade.

Confira a fonte desta notícia neste link

AddThis Social Bookmark Button

[SegInfocast] SegInfocast #20 – Certificação CISA – Certified Information Systems Auditor

Por Editor em 13 de janeiro de 2015 | Enviar comentário

seginfo castSegInfoCast #20: Faça o download aqui.

Nesta nova edição do SegInfocast, cujo tema é a Certificação CISA – Certified Information Systems Auditor, o nosso apresentador Paulo Sant’anna recebe o profissional Ricardo Giorgi e conversa sobre a certificação.

Uma das certificações mais reconhecidas e respeitadas no mundo, a CISA é destaque na área de TI em geral por sua importância. A credencial demonstra um nível reconhecido globalmente de competência fornecido pela ISACA, abrangendo experiência em auditorias, habilidades e conhecimento, e ainda a capacidade em gerir vulnerabilidades, assegurar controles de conformidade e da instituição dentro da empresa.

Ricardo Giorgi é consultor e auditor em segurança da informação com 15 anos de experiência na área. Na Academia Clavis é instrutor dos treinamentos Certificação CISSP e Certificação CISA.

SegInfoCast #20: Faça o download aqui.

AddThis Social Bookmark Button

[Notícia] Vídeo disponível do Webinar #25 da @ClavisSecurity – Certificação CompTIA Cloud Essentials

Por Editor em 12 de janeiro de 2015 | Enviar comentário

A Academia Clavis divulgou seu vigésimo quinto webinar gratuito sobre Segurança da Informação: “Certificação CompTIA Cloud Essentials”, com o instrutor Yuri Diógenes.

Durante o webinar foram apresentados assuntos da ementa do Curso Oficial CompTIA Cloud Essentials da Clavis. O curso visa preparar os alunos para a obtenção da certificação CompTIA Cloud Essentials, essencial para profissionais de qualquer área que trabalham com tecnologia da informação, seja como especialista ou usuários da tecnologia, e que precisam entender os fundamentos da computação em nuvem.

Gostou do webinar? Veja maiores informações sobre o curso através deste link.

Confira outros webinars apresentados pela Academia Clavis através do link: www.blog.clavis.com.br/webinar-video-workshop-online-seguranca-da-informacao/

AddThis Social Bookmark Button

[Notícia] Próximos cursos presenciais da Academia Clavis em SP e RJ

Por Editor em 8 de janeiro de 2015 | Enviar comentário

Academia ClavisA Academia Clavis está oferecendo os próximos cursos presencias para as cidades de São Paulo e Rio de Janeiro. Os cursos são CEH – Certified Ethical Hacker em SP e CompTIA Security+ no RJ.

O CEH é umas das principais certificações internacionais voltada para profissionais da área de segurança da informação, com ênfase em profissionais que demandem conhecimentos na área de auditorias do tipo teste de invasão.

A CompTIA Security+ é uma certificação internacional que demonstra competência em: Segurança de Redes; Conformidade e Segurança Operacional; Ameaças e Vulnerabilidades; Segurança de Aplicações, Dados e Estações; Controle de Acesso e Gerência de Identidade; e Criptografia.

Confira mais informações e detalhes sobre os cursos no Blog Clavis.

AddThis Social Bookmark Button