[Notícia] [Evento] A ISACA-RJ promove hoje evento sobre risco cibernético

Por Editor em 4 de março de 2015 | Enviar comentário

A Diretoria da ISACA-RJ convida para o evento “Risco Cibernético – Risco da TI ou Risco do Negócio?”, que ocorrerá hoje, dia 04 de Março de 2015 no Centro do Rio de Janeiro, das 17h45 às 22h.

O evento, que teve diversos patrocinadores, dentre eles a Clavis Segurança da Informação, tem como objetivo debater o Risco Cibernético, as tendências do mercado, quais as melhores práticas a serem implementadas e os desafios que as empresas enfrentam frente as mudanças e desafios que as inovações e competitividade apresentam.

Não perca essa oportunidade de participar de mais um evento da ISACA-RJ. As vagas são limitadas e as inscrições serão confirmadas conforme disponibilidade, exceto para associados da ISACA, que terão sua confirmação imediata.

Confirme sua presença através do e-mail isaca.rj@isaca.org.br

AddThis Social Bookmark Button

[Notícia] Pesquisa aponta importância da norma ISO 27001

Por Editor em 3 de março de 2015 | Enviar comentário

iso-iec-27001Em um recente estudo sobre a ISO 27001, norma de gestão da segurança da informação, 96% dos entrevistados alegaram que a mesma teve um papel importante na melhoria das defesas de segurança cibernética da empresa.

De acordo com a pesquisa, quase 70% dos entrevistados dizem que a melhoria da segurança da informação foi o maior fator para implementação da ISO 27001, seguido pela exigência de se alinhar com as melhores práticas em segurança da informação (62%) e ganhar uma vantagem competitiva (57%). Entre as empresas entrevistadas, dois terços (66%) foram consultadas por seus clientes, nos últimos 12 meses, sobre o seu estado com relação à norma.

Segundo Alan Calder, presidente executivo da IT Governance, atualmente a norma figura como exigência para contratos, sendo uma maneira simples e credível de demonstrar aos clientes e partes interessadas que a organização é confiável. Esse fato corrobora com a popularidade da mesma: 40% das organizações já obtiveram a certificação ISO 27001, 44% estão trabalhando para isto e apenas 16% não estão planejando se certificar. Não obstante, 68% dos entrevistados caracterizaram a certificação como “um investimento que é totalmente justificado pelos benefícios.”

Por outro lado, um fato preocupante é o de 44% dos entrevistados admitirem que não possuem pessoal com qualificação ISO 27001 para gerir seu SGSI. Apesar desta falta de formação adequada, 28% não estão planejando treinar seus gerentes SGSI, 35% não têm controle sobre essa decisão, e apenas 37% estão planejando o treinamento. Calder acrescenta: “A falta de competências relevantes pode afetar a eficácia eo desempenho do SGSI. Dada a atual escassez de competências em segurança cibernética, é essencial que as empresas apoiem suas equipes profissionais em adquirir as qualificações necessárias. “

De acordo com a pesquisa, 40% dos entrevistados usaram consultores externos para ajudá-los a se preparar para a certificação. A ausência de um gerente SGSI em tempo integral, bem como a falta de treinamento formal para aqueles encarregados desta gestão pode contribuir para esta tendência. A Clavis Segurança da Informação, parceira do SegInfo, realiza auditorias de conformidade com a norma ISO/IEC 27001:2013.

Confira maiores informações através do link.

AddThis Social Bookmark Button

[Vídeos e Dicas] Documentário DEFCON e filme The Algorithm

Por Editor em 23 de fevereiro de 2015 | Enviar comentário

Caso ainda não tenha assistido, não deixe de conferir essas duas excelentes sugestões!

O documentário intitulado DEFCON: The Documentary, foi lançado em 2013 e aborda sobre a maior conferência de hacking do mundo, que completou 20 anos de existência em 2012. O filme segue os quatro dias da vigésima edição da conferência, os eventos e as pessoas (participantes e pessoal), e abrange história e filosofia por trás do sucesso da DEFCON.

O filme ALGORITHM: The Hacker Movie, tem como protagonista um hacker de computador freelance que invade um contratante secreto do governo norte-americano e faz o download de um programa. Ele então deve escolher entre sua própria curiosidade e as vidas de seus amigos.

Essas dicas vieram do Rodrigo Sp0oKeR Montoro, confira através do link.

AddThis Social Bookmark Button

[Notícia] Treinamento de segurança de TI é uma prioridade para CIOs

Por Editor em 23 de fevereiro de 2015 | Enviar comentário

pesquisaDe acordo com a Robert Half Technology, CIOs estão adotando uma abordagem multifacetada para proteger as informações confidenciais de suas empresas, sendo que a maioria está tomando ou planejando tomar medidas nos próximos 12 meses para melhorar sua segurança de TI.

As estratégias mais comuns incluem aumento dos procedimentos de treinamento para empregados em questões de segurança (54 por cento), veto do acesso de parceiros aos dados da empresa (45 por cento) e contratação de profissionais de segurança de TI (41 por cento).

Um plano de comunicação organizacional forte e relações sólidas com fornecedores tende a ajudar na melhoria das medidas de segurança, mas tudo começa com a equipe responsável pela gestão desses esforços. Por fim, os responsáveis pela pesquisa oferecem os três principais atributos de funcionários de segurança eficazes: foco no futuro, certificações de segurança e habilidade no trabalho.

Confira a fonte neste link.

AddThis Social Bookmark Button

[Notícia] Vulnerabilidades críticas afetando Microsoft Windows e Internet Explorer

Por Editor em 16 de fevereiro de 2015 | Enviar comentário

microsoftA Microsoft lançou nove boletins de segurança para resolver um total de 56 vulnerabilidades únicas descobertas no Microsoft Windows, Microsoft Office, Internet Explorer, e Microsoft Server. Dos nove boletins de segurança, três foram classificados como críticos em termos de gravidade, permitindo escalada de privilégios e execução remota de código em caso de exploração.

Entre as três vulnerabilidades consideradas críticas, duas estão presentes no Windows, sendo uma delas referente ao projeto do sistema e existente a pelo menos 15 anos, e a terceira no Internet Explorer. A vulnerabilidade na política de grupo (CVE-2015-0008), descoberta pela empresa de consultoria JAS Global Advisors, afeta componentes centrais do sistema, podendo ser explorada remotamente e conceder privilégios de administrador ao atacante. Dada a natureza da falha, descoberta em Janeiro de 2014, a Microsoft teve um tempo maior para soluciona-la antes que a mesma viesse a público.

Além desta, diversas outras vulnerabilidades foram identificadas no driver do modo kernel do Windows, sendo que a mais grave (CVE-2015-0057) pode permitir a escalada de privilégios. A falha foi descoberta por Udi Yavo, CTO na EnSilo e afeta todas as versões do sistema operacional, incluindo o Windows 10 Technical Preview. Os pesquisadores da empresa foram capazes de criar um exploit que vence todos os mecanismos de proteção do sistema operacional. No entanto, para que o exploit possa ser implantado, o invasor tem que primeiro ter acesso a um computador com o Windows.

Por último, mas não menos importante, a vulnerabilidade no Internet Explorer pode permitir a execução remota de código se um usuário visualizar uma página da Web criada especialmente usando o navegador. Dessa forma, o invasor pode obter os mesmos direitos que o usuário ativo. A falha afeta as versões 6, 7, 8, 9, 10 e 11 do IE. Maiores informações sobre as vulnerabilidades consideradas críticas e as atualizações  podem ser encontradas através dos boletins de segurança da Microsoft. Veja:

Confira maiores informações através do link.

AddThis Social Bookmark Button

[Notícia] Adobe corrige vulnerabilidades críticas no Flash

Por Editor em 13 de fevereiro de 2015 | Enviar comentário

Adobe LogoA Adobe publicou dois boletins de segurança sobre um total de 17 vulnerabilidades 0-day que estavam sendo exploradas. A primeira delas, identificada como CVE-2015-0313, foi descoberta por pesquisadores da Microsoft e Trend Micro, sendo detalhada através de relatório divulgado pela última. As demais foram descobertas através de diversas iniciativas, a citar HP Zero DayChromium Vulnerability Rewards Program e Google Project Zero.

As vulnerabilidades, consideradas críticas, podem permitir a um atacante a obtenção do controle do sistema alvo. A nova versão do Adobe Flash Player, 16.0.0.305, corrige as falhas e pode ser baixada através da central de downloads da Adobe. Maiores informações sobre as vulnerabilidades e o pacote de atualização podem ser encontradas através dos boletins de segurança da Adobe. Veja:

Segundo relatório divulgado pela Trustwave, a CVE-2015-0313 se assemelha com a vulnerabilidade CVE-2013-0311, corrigida na versão anterior do Flash e que estava sendo servida através do Angler Exploit Kit, uma vez que utilizam a mesma técnica de heap spray para obtenção de acesso à memória. Dessa forma, a empresa acredita que o mesmo grupo criminoso pode estar por trás da descoberta inicial e exploração dessas vulnerabilidades.

Confira maiores informações neste link.

AddThis Social Bookmark Button

[Notícia] Volume de ataques DDoS aumentam em 50 vezes comparados com a década passada

Por Editor em 5 de fevereiro de 2015 | Enviar comentário

globe-cyberwarSegundo o relatório anual de segurança elaborado pela Arbor Networks, em conjunto com provedores de serviço e empresas de hospedagem, o tamanho do maior ataque DDoS do ano passado foi cinquenta vezes superior do que o de dez anos atrás. O maior ataque relatado em 2014 foi de 400 Gbps, em comparação com apenas 8 Gbps, em 2004 – e 100 Gbps em 2010.

De acordo com Gary Sockrider, Arquiteto de Soluções da Arbor Networks sediado em Burlingtom, MA e autor do relatório, o crescimento da Internet como um todo, na verdade, ajuda os atacantes uma vez que as botnets podem ficar maiores. Dados da Cisco apontam que a largura de banda total de toda a Internet cresceu 42 vezes em relação ao mesmo período, partindo de uma média de 570 Gbps em 2004 para 24.000 Gbps em 2014.

Ainda segundo o especialista, os ataques estão aumentando não só em número mas também em sofisticação. Enquanto a dez anos atrás os ataques volumétricos estavam entre os mais comuns, atualmente também existem ataques de exaustão e ataques na camada de aplicação, bem como os ataques que combinam todos os três vetores. Não obstante, as causas para os ataques tem gradualmente mudado de questões políticas, ideológicas e vandalismo, para extorsão e marketing criminoso.

Confira mais detalhes neste link.

AddThis Social Bookmark Button

[Notícia] Pesquisa revela que mais de 40% de todos os ataques DDoS são refletidos

Por Editor em 4 de fevereiro de 2015 | Enviar comentário

akamaiConforme divulgado no Q4 2014, o relatório sobre segurança cibernética da Akamai Technologies, Inc. os ataques DDoS refletidos corresponderam a 44% de todos os ataques de negação de serviço noticiados em 2014.

Segundo o relatório, a ampla disponibilidade de ferramentas para a realização dos ataques, sobretudo pagas e disponíveis sob contratação, foi um fator crucial para o aumento de 88% dos ataques refletidos em comparação ao relatado pelo Q4 2013.

Além disso, foi identificado um aumento de 52% da largura de banda média de pico de ataques DDoS em comparação com o ano passado e um total de 200% de aumento em ataques com largura de banda superior a 100 Gbps. Com relação as fontes geográficas, os Estados Unidos e a China continuam como os principais alvos, mas em vez de o Brasil, Rússia e China, bloco que dominou no Q3 2014, o tráfego dos ataques veio em grande parte dos Estados Unidos, China, Índia e Europa Ocidental.

Os resultados do estudo corrobora com o de outros, a citar o da Arbor Networks, divulgado aqui no ano passado. Não obstante, os dados preocupam, visto que essa técnica de ataque se utiliza de protocolos que respondem com mais tráfego do que recebem, eliminando a necessidade do atacante ganhar controle sobre o servidor ou dispositivo alvo.

Fonte: Net Security

AddThis Social Bookmark Button

[Notícia] Brasil volta a discutir proposta de lei sobre proteção de dados pessoais

Por Editor em 2 de fevereiro de 2015 | Enviar comentário

Brasão do BrasilO Ministério da Justiça abriu consulta pública sobre o anteprojeto da Lei de Proteção de Dados Pessoais o qual define parâmetros para resguardar as informações pessoais dos brasileiros, sobretudo as que circulam na Internet – o que inclui as credenciais de usuários, e que se encontra atrasado há pelo menos 5 anos.

As regras deverão ser respeitadas por órgãos governamentais e entidades, principalmente as que armazenam e manipulam esses dados, a citar: Google, Facebook, Twitter, Microsoft, Apple, entre outros. No entanto, ao contrário de outros países que possuem legislação sobre o tema, o projeto não propõe a criação de uma “Autoridade de Garantia” para fiscalizar as práticas de armazenamento dos dados, investigar infrações e autuar as entidades que cometerem desvios.

Segundo Gabriel Sampaio, titular da Secretaria de Assuntos Legislativos do Ministério da Justiça, o intuito é criar as bases de proteção a dados pessoais de brasileiros. Dessa forma, as pessoas deverão ser avisadas no ato da coleta de suas informações sobre como as mesmas serão processadas e se autorizam o procedimento. Além disso, os dados não poderão ser utilizados para outros fins e fica proibido a criação de bancos de dados que possam discriminar os usuários.

A proposta brasileira é inspirada no projeto europeu e prevê que as informações dos cidadãos brasileiros só poderão ser transferidas a países que tiverem leis de proteção de dados. Vale ressaltar que, quando realizou a primeira consulta pública em 2010, o Brasil já estava atrasado com relação aos vizinhos Argentina e Uruguai, que editaram legislações a respeito em 2000 e 2008, respectivamente. A União Europeia possuía lei sobre o assunto desde 1995.

Fonte: G1

AddThis Social Bookmark Button

[Notícia] Vulnerabilidade crítica afeta distribuições Linux datadas desde 2000

Por Editor em 30 de janeiro de 2015 | Enviar comentário

Linux tuxDepois do Shellshock, reportado em novembro de 2014 como sendo ainda mais grave que o Heartbleed, a nova falha crítica de segurança permite execução remota de código e afeta diversas distribuições Linux, datadas desde o ano 2000. A vulnerabilidade foi descoberta pela Qualys, tendo sido batizada de GHOST (CVE-2015-0235) devido a sua relação com a função “_gethostbyname.”

Segundo o relatório divulgado pela empresa, o problema decorre de um buffer overflow baseado em pilha, encontrado nas bibliotecas “C” do software GNU glibc e residindo na função “_nss_hostname_digits_dots()”. Essa função específica é usada pelas chamadas de função “_gethostbyname”. Através de uma chamada remota em qualquer uma destas funções, um atacante poderia executar código arbitrário, sem necessitar da permissão do usuário.

Ainda de acordo com a Qualys, a brecha existe desde a versão 2.2 do glibc, lançada em novembro de 2000. A boa notícia é que a função “_gethostbyname” raramente é utilizada por softwares mais recentes, tendo sido tornada obsoleta pelo IPv6. Além disso, a vulnerabilidade foi corrigida entre a versão 2.17 e 2.18 do glibc em 2013.

Assim sendo, distribuições mais recentes do Linux já devem estar protegidas. No entanto, vale ressaltar que os patches de correção da época não foram rotulados como ameaças de segurança. Deste modo, algumas distribuições mais antigas do Linux podem estar vulneráveis, a citar: Debian 7, Red Hat Enterprise Linux 5, 6 e 7, CentOS 6 e 7, Ubuntu 12.04, SUSE Linux Enterprise 11 e anteriores.

Mais detalhes na fonte: Theatpost

AddThis Social Bookmark Button