[Notícia] TSE cria grupo de trabalho para tratar da segurança da urna eletrônica

Por Editor em 22 de abril de 2014 | Enviar comentário

Urna eletrônicaO Tribunal Superior Eleitoral (TSE) anunciou a criação de um grupo de trabalho para  tratar da segurança da urna eletrônica. Criado pela Portaria Nº 215 publicada no dia  11/04, no diário da Justiça Eletrônico do TSE, o grupo deverá estudar e propor  soluções às questões inerentes à segurança do sistema automatizado de votação  brasileira.

Para tanto, de acordo com a referida Portaria, tal grupo multidisciplinar terá como  objetivos: I – mapear os requisitos de segurança das diversas fases do processo  eleitoral; II – atuar como interlocutor nos tribunais regionais nas demandas  decorrentes de denúncias de fraudes no sistema eletrônico de votação; III – elaborar  um plano nacional de segurança do voto informatizado, para ser amplamente  divulgado junto nas Secretarias de Tecnologia da Informação (STIs) dos tribunais regionais (TREs); IV – propor um modelo ágil de auditoria da votação e totalização dos votos, tal como auditoria interna, que possa ser aplicada pelos tribunais regionais durante e após as eleições; V – elaborar material institucional que divulgue a sociedade os mecanismos de segurança do processo eleitoral; VI – estudar, propor e validar modelos de execução de testes de segurança.

Contudo, o TSE informou que não irá realizar novos testes públicos na urna eletrônica nesta véspera de eleições, como vinha sendo uma tradição desde o pleito de 2010. Por coincidência, a decisão vem após a quebra de sigilo da urna por uma equipe da Universidade de Brasília (UnB) nos últimos testes, há dois anos. Segundo o tribunal, “o objetivo do TSE é a realização periódica destes testes, porém não há um calendário fixado para tanto”, tendo assim optado pela criação do grupo de trabalho, o qual é constituído essencialmente por integrantes da Justiça Eleitoral, além do professor Mamede Lima Marques, da UnB – embora o mesmo não tenha participado dos grupo que obteve sucesso em violar o sigilo dos votos nos últimos testes.

Professor da Unicamp, Diego Aranha, líder da equipe que quebrou o sigilo da urna, se surpreendeu com a decisão. “Pedi esclarecimentos ao TSE. Não teremos testes e o TSE criou um grupo de segurança. Mapear requisitos e elaborar um plano não deveria ter sido feito há muito tempo?”, questiona ele. Embora o professor tenha conseguido identificar a lista de quem votou em quem no teste de 2012, o TSE jamais reconheceu que houve quebra de sigilo, tendo contudo, anunciado na época uma “melhoria do sistema” com a “correção do algoritmo”.

Veja mais detalhes através do link: Convergência Digital

AddThis Social Bookmark Button

[Notícia] ISACA estende o prazo de registro para os exames CISA ou CISM

Por Editor em 17 de abril de 2014 | Enviar comentário

carreiraA ISACA estendeu o prazo limite de inscrição para os exames de certificação até o dia  22 de abril. Significa uma coisa: é hora de começar a se preparar! \o/

A Clavis oferece os cursos oficiais para as certificações CISA e CISM – no modelo EAD  -  que são uma  ótima maneira para se preparar para os exames. Estas são as  principais  certificações para os profissionais de segurança de TI especializadas em  gestão,  auditoria, desenvolvimento e revisão dos sistemas de segurança da  informação e  para o desenvolvimento de melhores práticas de segurança da  organização.

A Academia Clavis publicou diversas dicas para a realização dos exames que podem  ser acessadas no Blog Clavis.

AddThis Social Bookmark Button

[Notícia] Nenhuma evidência de backdoor ou código malicioso foi encontrada no TrueCrypt

Por Editor em 15 de abril de 2014 | Enviar comentário

The Key of my mind...A primeira fase da auditoria do TrueCrypt foi divulgada ontem, depois de sete meses  de discussão e planejamento. Confira o relatório completo através do link. O  TrueCrypt é um utilitário popular para encriptação de discos, partições ou arquivos. É  utilizado inclusive para esconder volumes de dados dentro de discos.

A análise feita pela iSEC constatou que: “não há evidência de backdoor ou algum  outro código malicioso intencional nas áreas avaliadas”. Enquanto a equipe encontrou  algumas pequenas vulnerabilidades no próprio código, a iSEC as rotulou como  parecendo não intencionais, apresentando resultados de erros e não sendo  maliciosas, sem nenhuma vulnerabilidade de nível alto.

A próxima fase da auditoria irá envolver uma análise profunda da tecnologia criptográfica utilizada pela aplicação.

Desde setembro de 2013 profissionais da área de criptografia vêm discutindo sobre novos problemas e alternativas para a aplicação. Em fevereiro deste ano o projeto  Open Crypto Audit Project havia levantado em torno de US$80.000 para realizar este objetivo, de auditar a aplicação.

Veja as novidades através da página do projeto: istruecryptauditedyet.com

Mais informações através do link.

AddThis Social Bookmark Button

[Notícia] Confira as fotos da edição 9.1 do Workshop SegInfo!

Por Editor em 15 de abril de 2014 | Enviar comentário

Veja abaixo algumas fotos da IX edição do Workshop de Segurança da Informação – SegInfo, realizado sexta e sábado (11 e 12 de abril) na cidade do Rio de Janeiro.

Já estão chamando esta edição do evento de SegInfo-v9.1, visto que este ano ainda teremos mais duas edições, uma em Brasília e outra em São Paulo. (=

SegInfo_9.1_RJ

Veja todos as fotos no Facebook do SegInfo: www.facebook.com/seginfo

AddThis Social Bookmark Button

[Notícia] CPI da Espionagem conclui seus trabalhos e apresenta projeto de lei

Por Editor em 14 de abril de 2014 | Enviar comentário

Brasão do BrasilA CPI da Espionagem teve seus trabalhos concluídos na última quarta-feira (09/04)  com a apresentação e aprovação do relatório final do senador, e relator, Ricardo  Ferraço (PMDB-ES). No texto, que será encaminhado para a Mesa do Senado, o  parlamentar aponta “vulnerabilidades” do Brasil em segurança de suas comunicações,  sobretudo as cibernéticas, e considera que é necessário o desenvolvimento de  mecanismos visando a proteção das mesmas, além do investimento em inteligência e  contra inteligência.

“A fragilidade do sistema de telecomunicações brasileiro e de nosso sistema de  inteligência e defesa cibernética ficou evidente. Estamos muito expostos à  espionagem eletrônica.” — disse Ferraço durante a leitura de seu relatório.

A CPI foi instaurada em 03/09/2013, logo após o escândalo de espionagem dos Estados Unidos, realizado pela Agência de Segurança Nacional dos Estados Unidos (NSA) contra diversos países, sendo um dos alvos principais o Brasil e que só foi tornado público pelo ex-funcionário da agência, Edward Snowden, por intermédio do advogado e jornalista, Glenn Greenwald. Como medidas paliativas, antes mesmo da notícia se tornar pública, a criptografia para e-mails e telefones foi adotada, por meio de tecnologias desenvolvidas pela Agência Brasileira de Inteligência (Abin): o Criptogov e o cGov – os quais já existiam e não haviam sido postos em aplicação por descuido.

Com a finalização dos trabalhos, várias recomendações foram feitas ao Governo Federal. Dentre elas, disponibilizar mais dinheiro para os serviços secretos, a compra e o desenvolvimento de equipamentos e a capacitação de profissionais. Segundo Ferraço, os investimentos públicos nos campos de inteligência de sinais e de segurança cibernética são ínfimos: o orçamento da Abin em 2012 foi de R$527,7 milhões, dos quais apenas R$4,86 milhões para investimentos efetivos, ao passo que, apenas a NSA tem orçamento superior a US$10 bilhões, sem contar demais órgãos de inteligência norte-americanos.

O relatório concluiu com a apresentação de um projeto de lei que dispõe sobre fornecimento de dados de empresas ou cidadãos brasileiros a organismos estrangeiros. Outra recomendação é a criação da Agência Brasileira de Sinais, com a função de “operar na ambiente virtual tanto na busca de dados de interesse do Brasil, quanto na proteção de ativos nacionais nessa área”. Além disso, o relatório defende a aprovação de proposta de emenda à Constituição que dá status constitucional à atividade de inteligência, a PEC 67/2012. Como a presidente da CPI, Vanessa Grazziotin (PCdoB-AM), constatou: “estamos diante de uma nova ordem mundial, na qual a defesa do sistema de comunicação é fundamental.”

Mais informações em:
www.defesanet.com.br/cyberwar/noticia/14936/CPI-Espionagem-apresenta-Relatorio/

g1.globo.com/politica/noticia/2014/04/relatorio-da-cpi-da-espionagem-aponta-vulnerabilidade-do-brasil.html

AddThis Social Bookmark Button

[Notícia] Vulnerabilidade do OpenSSL permite decodificar tráfego criptografado (CVE-2014-0160)

Por Editor em 10 de abril de 2014 | Enviar comentário

heartbleedFoi descoberta uma vulnerabilidade em algumas versões do OpenSSL (1.0.1 até a  1.0.1f) que possibilita a obtenção das chaves criptográficas. Com estas chaves é  possível decodificar todo o tráfego criptografado, fazendo com que usuários,  senhas, informações enviadas em VPN, dentre outras informações sensíveis,  sejam transmitidas em texto puro.

A falha, batizada como Heartbleed e identificada pelo CVE-2014-0160, afeta a  extensão “Heartbeat” (RFC6520) adicionada à biblioteca do OpenSSL.

Segundo estimativa da Lastpass, o OpenSSL é utilizado aproximadamente por 2/3  de servidores de empresas. Sites como Yahoo!, Flickr, StackOverflow,  XDA-Developers, Imgur, WeTransfer e Steam Community, inclusive a Lastpass, dentre diversos outros foram afetados pela vulnerabilidade.

Foi lançada a versão 1.0.1g no dia 07 de abril de 2014, corrigindo a falha. Caso não seja possível efetuar a atualização para esta versão, é necessário recompilar o OpenSSL utilizando a opção -DOPENSSL_NO_HEARTBEATS.

Com a descoberta desta vulnerabilidade veio a preocupação em como as empresas afetadas lidarão com o caso. Afinal, mesmo após corrigida a falha existe a possibilidade de algumas chaves terem sido capturadas.

Mais informações em: heartbleed.com

Fonte: info.abril.com.br

AddThis Social Bookmark Button

[Notícia] Google terá que cumprir legislação brasileira, fornecendo acesso a mensagens envolvidas em investigações

Por Editor em 9 de abril de 2014 | Enviar comentário

Direito-eletronico-direito-internet-walter-capanemaA Google está sendo obrigada a fornecer à Justiça Federal acesso a mensagens  enviadas e recebidas por uma conta de e-mail investigada em inquérito policial  que  apura a atuação de um grupo em fraudes. A decisão é da 1ª Turma  Especializada do  Tribunal Regional Federal da 2ª Região que recusou pedido da  Google para não abrir  os dados. “Trata-se de uma empresa constituída conforme  as leis brasileiras,  portanto, precisa se submeter às leis brasileiras e não às leis  estadunidenses que  vedam o acesso de autoridades judiciais”.

A empresa havia declarado no processo que não teria como cumprir a medida judicial  porque, embora a conta de correio eletrônico tenha sido registrada no Brasil, os  dados ficariam armazenados nos servidores da empresa nos Estados  Unidos. O  provedor sustentou que a quebra do sigilo só poderia ocorrer por meio de acordo de cooperação internacional entre tribunais — não por determinação unilateral da Justiça brasileira. Mas o relator no TRF-2, desembargador federal Abel Gomes, rebateu o argumento, entendendo que a Google Brasil foi constituída de acordo com a legislação brasileira.

O Marco Civil da Internet reforça a jurisdição brasileira sobre privacidade, dados pessoais e sigilo das comunicações. Nele, o Google – mesmo com a decisão de tirar a obrigatoriedade dos datacenters no país – teria, sim, que cumprir a legislação brasileira, uma vez que os dados dos brasileiros têm de seguir as diretrizes da Lei nacional. A empresa tem 20 dias para fornecer os dados da conta investigada em inquérito sobre saques fraudulentos na Caixa Econômica Federal, sob pena de multa de R$ 50 mil por dia.

Confira aqui a notícia completa.

AddThis Social Bookmark Button

[Notícia] CISSP é reconhecida pela SC Magazine como “Melhor Certificação Profissional”

Por Editor em 9 de abril de 2014 | Enviar comentário

isc2-150x150A certificação CISSP continua a ser reconhecida como Padrão de Excelência para a  indústria de Segurança da Informação.

O (ISC)², a maior entidade sem fins lucrativos de profissionais certificados em  Segurança da Informação e Software do mundo, com quase 100 mil membros,  anuncia que a sua certificação CISSP foi reconhecida como “Melhor Certificação  Profissional” pelo SC Magazine Awards de 2014. É a quinta vez que a premiação  reconhece o CISSP como melhor certificação.

“Estamos honrados por sermos reconhecidos pela SC Magazine por nossos esforços  para construir uma força de trabalho mais forte em Segurança, por meio de nossas  certificações”, disse Hord Tipton, Diretor Executivo do (ISC)². “Queremos agradecer a SC Magazine pelo reconhecimento e esperamos continuar fornecendo aos profissionais e à indústria ferramentas e recursos para inspirar um mundo cibernético mais seguro.”

As indicações foram revisadas por um painel de jurados especialistas, que selecionaram os ganhadores de um grupo de renomadas organizações de Segurança da Informação.

O SC Magazine Awards, agora em seu 17º ano, é parte dos principais programas de premiação de Segurança. Com mais de 650 nominações no ano passado e 31 categorias neste ano, a premiação anual continua a ganhar impulso para destacar as melhores soluções, serviços e profissionais, reconhecendo ao mesmo tempo a realização e excelência técnica. A SC Magazine distingue as conquistas dos profissionais de segurança na área, as inovações que acontecem nas comunidades de fornecedores e provedores de serviços, e o fervoroso trabalho do governo, comercial e sem fins lucrativos.

Para mais informações e a lista das categorias e ganhadores, visite: http://awards.scmagazine.com/.

AddThis Social Bookmark Button

[Notícia] A lista de discussão Full Disclosure está de volta! =)

Por Editor em 8 de abril de 2014 | Enviar comentário

mailing_listImportante veículo na divulgação de vulnerabilidades e discussão sobre segurança da  informação, a lista Full Disclosure teve seu fechamento anunciado no dia 19/03 pelo  administrador John Cartwright. A lista de discussão, criada em 9 de Julho de 2002  por Len Rose e mantida desde então por John, publicou mais de 91.500 posts  durante os 12 anos em que esteve em funcionamento, alguns dos quais já foram  tratados aqui no SegInfo.

Em seu comunicado, John citou diversos fatores para o fechamento repentino da  lista.  O repórter e editor Bill Brenner cita dentre as principais causas, a existência de  demais blogs, Twitter e outras fontes online, as quais possibilitam aos pesquisadores  da área, terem diversas maneiras de passar a palavra quando encontram algo. Dessa  forma, segundo ele, o canal tornou-se menos importante ao longo do tempo.

Contudo, a lista de discussão está de volta graças a Gordon Lyon (criador do Nmap Network Scanner), tendo sido reiniciada no último dia 25. Após conversa com John, Gordon decidiu por assumir a administração, uma vez que já possui experiência devido ao seclist.org – da qual a Full Disclosure faz parte agora.

Portanto, apesar de toda a polêmica envolvida, fica a promessa de continuidade da lista, cujo objetivo segundo Gordon seria: “forçar os fornecedores a proteger melhor seus produtos e a reconhecer e corrigir falhas publicamente, em vez de tentar escondê-los”.

Fonte: insecure.org/news/fulldisclosure/

AddThis Social Bookmark Button

[Notícia] Fórum Nacional Segurança da Informação – 8 e 9 de maio em Brasília

Por Editor em 7 de abril de 2014 | Enviar comentário

forum-seguranca-informacao-brasilia

A 1ª edição do Fórum Nacional Segurança da Informação será realizado em Brasília nos dias 8 e 9 de maio de 2014. Uma iniciativa inovadora, o Fórum tem por objetivo discutir os principais desafios e apresentar soluções para Segurança e Defesa Cibernética a partir de um monitoramento contínuo de processos, métodos e ações dentro das organizações.

O Fórum terá 3 eixos temáticos: Gestão , Técnica e Educação. A programação foi cuidadosamente pensada e será composta por palestras e exposição de casos práticos. Dentre os palestrantes, o evento conta com a presença de: Walter Capanema – advogado, colunista do Blog SegInfo e  instrutor do curso a distância Direito para Peritos Forense, Pentesters e Administradores de Redes da Academia Clavis; Ricardo Giorgi – Diretor de Segurança da Informação em uma empresa de consultoria, sendo responsável também por toda a área de Governança Corporativa alinhada a TI, com 15 anos de experiência na área de Segurança da Informação. É instrutor do treinamento preparatório para certificação CISSP – Certified Information Systems Security Professional, ministrado pela Academia Clavis; Fernando Fonseca, único brasileiro a receber o título de Senior Member pela ISSA International, e instutor do treinamento online CISM – Certified Information Security Manager da Academia Clavis.

Confira a listagem completa de palestrantes e a programação do evento através do site: conexxoes.com.br/seguranca-informacao/programacao.php

Maiores informações sobre o evento podem ser vistas através do site: conexxoes.com.br/seguranca-informacao/

AddThis Social Bookmark Button