[Notícia] Ataque POODLE expõe dados criptografados por SSL 3.0

Por Editor em 30 de outubro de 2014 | Enviar comentário

Três engenheiros de segurança do Google, Bodo Möller, Krzysztof Kotowicz e Thai Duong, descobriram uma vulnerabilidade no Secure Sockets Layer (SSL) 3.0 que faz com que o protocolo, que já possui 15 anos de existência, se torne praticamente impossível de ser utilizado com segurança, além de ser dificilmente corrigida.

A vulnerabilidade permite que informações criptografadas sejam expostas por um invasor com acesso à rede. Nomeada Poodle, a sigla para Padding Oracle On Downgraded Legacy Encryption, a vulnerabilidade é descrita tecnicamente no relatório elaborado pelos especialistas, apresentando um sério problema, uma vez que o protocolo é utilizado por sites e navegadores web, e permanecerá como um problema enquanto o mesmo for suportado.

A Apple anunciou em seu site de desenvolvedores que vai mudar em 29 de outubro do SSL 3.0 para o Transport Layer Security (TLS), protocolo mais moderno e menos vulnerável que o SSL. O Twitter já notificou os seus usuários que desabilitou o suporte ao SSL 3.0, enquanto o Mozilla aconselhou os usuários do Firefox instalarem o add-on de segurança que desativa o SSL 3.0, tendo afirmado que planeja desativar de vez o suporte ao protocolo na próxima versão do navegador, o Firefox 34.

A boa notícia é que poucos sites utilizam o SSL 3.0. Um estudo realizado pela Universidade de Michigan mostra que menos de 0,3 por cento da comunicação entre o site e o servidor depende de SSL 3.0, enquanto que 0,42 por cento dos top 1.000.000 domínios listados pela Alexa usavam o protocolo.

Maiores informações através do link.

AddThis Social Bookmark Button

[Notícia] Segurança de chave quântica independente de dispositivos

Por Editor em 29 de outubro de 2014 | Enviar comentário

logo_criptografia_direitaW150Pesquisadores norte-americanos chegaram a um passo de transformar a distribuição de chave quântica (QKD) em uma “caixa preta” que pode ser comprovadamente segura, independentemente dos dispositivos utilizados. Ao criar uma implementação de criptografia quântica, os pesquisadores contam com modelos de sistemas que criaram como provas da sua segurança. Isso significa que qualquer prova de um esquema de distribuição quântica de chaves só é tão completo quanto o modelo.

Um bom exemplo de como uma modelagem incompleta da física de um sistema pode ser vista é o argumento de 2010 sobre se os sistemas de distribuição de chaves quânticas Magiq, ID Quantique e outros, poderiam ou não serem forçados a um estado inseguro. Tais ataques podem ser contrariados, no entanto, se a prova de segurança (e o protocolo que implementá-la) pode ser feita independente do dispositivo.

Daí a importância do trabalho elaborado por Umesh Vazirani (UC Berkeley) e Thomas Vidick (California Institute of Technology). Em Fully Device-Independent Quantum Key Distribution, um paper pré-publicado em Arxiv em 2012, antes de ser revisto e submetido à Physical Review Letters, e publicado no final de setembro, eles expõem a base para confirmar a segurança de um sistema, independentemente dos dispositivos usados​​. No mundo da criptografia quântica isso representa um grande avanço: significa que, como na criptografia clássica, máquinas Bob e Alice poderiam ser tratados como “caixas pretas” e só seus comportamentos de entrada-saída precisariam ser considerados para decidir se eles são vulnerável a um ataque de Eva.

Roger Colbeck, autor da American Physical Society (APS), explica: “Nada sobre como os dispositivos geram suas saídas precisa ser conhecido, exceto que eles obedecem as leis da física”. Chamando o seu trabalho de “a primeira prova independente de dispositivo completo de segurança de distribuição quântica de chaves que tolera uma taxa de ruído constante e garante a geração de uma quantidade linear de chaves”, os autores dizem que, enquanto a sua prova é “não trivial”, pode ser implementada em um protocolo relativamente simples.

O pressuposto básico é que a Alice e Bob devem gerar um certo grau de aleatoriedade, e que esta aleatoriedade não pode ser prevista por qualquer intruso, mesmo que o intruso seja o fabricante do dispositivo. No mundo clássico, é como ter confiança de que a aleatoriedade de um gerador de números pseudo-aleatório é suficiente para proteger a comunicação até mesmo da pessoa que escreveu o software. Para transformar proposta em produto, no entanto, Vazirani e Vidick precisam de melhorias nos sistemas de encriptação quântica, porque no momento são forçados a assumir uma taxa de ruído de 2 por cento para atingir uma taxa de troca de chaves decente – e isso está além do alcance dos sistemas QKD atuais.

Confira a fonte da notícia neste link.

AddThis Social Bookmark Button

[Notícia] Próximos cursos presenciais e EAD pela Academia Clavis

Por Editor em 28 de outubro de 2014 | Enviar comentário

Academia ClavisVejam os próximos treinamentos da Academia Clavis, no método a distância e presencial a seguir.

Os 3 próximos treinamentos presenciais da Academia Clavis, ainda em 2014, serão os cursos de CEH – Certified Ethical Hacker, Desenvolvimento Seguro – SDL e Teste de Invasão em Redes e Sistemas.

Já para os cursos no modelo a distância, as próximas turmas serão sobre Análise Forense ComputacionalTeste de Invasão em Redes e Sistemas e Metasploit Framework.

Para mais informações sobre os cursos, entre no Blog Clavis.

AddThis Social Bookmark Button

[Notícia] Cibercrime custa $12,7 milhões por ano a grandes empresas nos EUA

Por Editor em 21 de outubro de 2014 | Enviar comentário

Ataques cibernéticos a grandes companhias resultam em média em um prejuízo de $12,7 milhões anuais, um crescimento de 9,7% em relação ao ano passado, de acordo com o quinto relatório “Cost of Cybercrime” publicado pelo instituto Ponemon.

De acordo com  levantamento, interrupções em negócios e perda de informação correspondem  a aproximadamente 3/4 do custo total, e que empresas priorizando a segurança tem os gastos de incidentes reduzidos, no ano.

Os maiores gastos registrados foram em empresas de energia, empresas públicas e da indústria financeira.

Fonte

 

AddThis Social Bookmark Button

[Notícia] SegInfocast #18 – Análise de Malware – Botnets

Por Editor em 20 de outubro de 2014 | Enviar comentário

seginfo castSegInfocast #18: Faça o download aqui.

Nesta nova edição do SegInfocast, apresentamos o aúdio do Webinar #24 da Clavis Segurança da Informação cujo tema foi Análise de Malware – Botnets.

O webinar apresentou o conceito de botnets e um estudo de caso envolvendo comando e controle via IRC. O objetivo deste webinar é passar o conhecimento ao espectador a preparar e adequar seu ambiente de análise a fim de descobrir especificidades de um malware utilizando de ferramentas de análise de código e comportamental.

SegInfocast #18: Faça o download aqui.

Play
AddThis Social Bookmark Button

[Notícia] IT Forum Expo/ Black Hat terá 2 conferências simultâneas e conteúdo diversificado

Por Editor em 16 de outubro de 2014 | Enviar comentário

it_forum_bh_2014

Diversidade e conteúdo exclusivo. Pensando nesses dois pilares, IT Forum Expo / Black Hat, principal feira de Tecnologia da Informação da América Latina discute, nos dias 25 e 26 de novembro, diversos temas e desafios sobre o setor de TI em relação ao Cloud Computing, Big Data, Mobilidade, Social Business e Segurança em TI. Serão duas grades simultâneas de conferências: o IT Forum Expo Conference e o Black Hat Regional Summit que acontecerão dentro de uma única feira. O destaque fica para a abertura dos dois dias de palestras com os keynotes speakers Ethan Zucherman, diretor do Center for Civic Media do MIT, professor do Media Lab e  co-fundador da comunidade Global Voices e Derrick de Kerckhove, professor da Universidade de Toronto.

No IT Forum Expo Conference, o participante encontrará conteúdo completo em debates que apresentarão casos práticos, novas soluções e tendências sobre o mercado de TI em carreiras, marketing digital e tecnologia. Palestras como: “A migração do marketing tradicional para o digital”, “Arquitetura empresarial em nuvem”, “IoT – O que temos e quais os desafios”; “Interação Human to Human”, “Map Reduce e Hadoop em detalhes”, Modelos de Negócios Digitais para Startups” e “Design Thinking na Liderança: criatividade e geração de ideias” são algumas das opções da programaçãoEstão confirmados para o evento renomados profissionais da área.

Já o Black Hat Regional Summit, maior referência em segurança da informação do mundo e em sua 2º edição aqui no Brasil, apresentará palestras e treinamentos com alto nível ministrados pelos mais respeitados especialistas do mundo abordando temas como proteção para espionagem virtual e atividades inapropriadas, novas criptografias, perdas de segurança por falta de tradução, senhas craqueadas e novas funções de segurança para smartphones, no caso do sistema Android.

Rafael Schaefer, da Universidade de Bonn-Rhein-Sieg de Ciências Aplicadas e Christopher Werny, analista e chefe da equipe de segurança da rede ERNW (serviços de segurança em TI da Alemanha) ministrarão o Workshop Prático sobre “IPV6 Ataques e Defesas”, que promete ser uma troca de experiências por meio de aplicações e testes instantâneos.

Organizado pela UBM Brazil em parceira com a IT Midia, a feira espera um público de mais de 5 mil visitantes altamente qualificados – executivos que fazem parte do processo de decisão dentro das empresas, gerentes de TI e projetos em um espaço que une as soluções de TI e segurança da informação e apresenta inovações em produtos e serviços de empresas como Sa, Samsung, Cisco, Qualys, Locaweb, Blackberry, entre outras. O credenciamento online para visitar a área de exposição já está no ar, é gratuito e outras informações – como a grade completa e valores dos programas de conferências – podem ser obtidas em www.itforumexpo.com.br.

IT Forum Expo/Black Hat conta com o apoio de mídia do Blog Seginfo.

 

AddThis Social Bookmark Button

[Notícia] No próximo domingo (19) começa o horário de verão – Entenda a relação com a Segurança da Informação

Por Editor em 15 de outubro de 2014 | Enviar comentário

logo-ntpO horário de verão terá início no próximo domingo (19 de outubro) à zero hora e término à zero hora de 22 de fevereiro de 2015. Moradores da região Sul, Sudeste e Centro-Oeste terão que adiantar seus relógios em 1 hora.

Segundo o Centro de Atendimento a Incidentes de Segurança (CAIS), da Rede Nacional de Ensino e Pesquisa (RNP), “tratando-se de incidentes de segurança, a precisão dos relógios dos sistemas é fundamental para manter a consistência dos logs, além de ser imprescindível nas investigações e identificação de responsáveis”.

Os servidores NTP, citados acima, são máquinas dedicadas a servir o horário correto utilizando o protocolo NTP (Network Time Protocol), que é o mais recomendado por ter implementação para os mais variados sistemas. Esses servidores podem ser implementados localmente (uma máquina dedicada em sua rede interna) ou serem utilizados pela internet. No Brasil, temos o NTP.br, serviço oficial oferecido pela RNP (Rede Nacional de Pesquisa, órgão responsável por gerir a Internet no país), que distribui a “Hora Legal Brasileira“, definida pelo Observatório Nacional.

Segue lista de Estados que terão que adiantar seus relógios: Rio Grande do Sul, Santa Catarina, Paraná, São Paulo, Rio de Janeiro, Espírito Santo, Minas Gerais, Goiás, Mato Grosso, Mato Grosso do Sul e  Distrito Federal.

Para mais informações sobre o serviço nacional, visite o domínio NTP.br. O portal fornece todas as informações necessárias para implementação, ajustes e utilização do NTP no Brasil.

AddThis Social Bookmark Button

[Notícia] Estudo aponta aumento de ataques DDoS refletidos

Por Editor em 14 de outubro de 2014 | Enviar comentário

investimento_crescimentoA Arbor Networks divulgou novo relatório contendo dados sobre ataques DDoS, os quais foram coletados a partir de sua infraestrutura ATLAS de monitoramento de ameaçasO relatório conclui que os ataques DDoS em larga escala estão aumentando em frequência, corroborando com a pesquisa publicada pela empresa NSFOCUS e discorre sobre os dados revelados no relatório anterior da Arbor Networks, divulgado recentemente aqui no blog.  

Os dados apontam um aumento notável em ataques DDoS utilizando o protocolo Simple Service Discovery Protocol (SSDP) como mecanismo para reflexão. Estes ataques foram responsáveis por 9% de todos os ataques DDoS no mês de setembro de 2014, sendo que 42% dos ataques maiores de 10Gbps aparentavam utilizar reflexão por SSDP.

Não obstante, apesar de terem diminuído em frequência, ataques explorando servidores ​​Network Time Protocol (NTP) vulneráveis continuam a ser relevantes, correspondendo por mais de 50% dos maiores ataques, os quais registram mais de 100Gbps. Os ataques também vem apresentando diminuição na duração, tendo o número de eventos com duração inferior a uma hora aumentado para 91,2%. Entre os ataques maiores de 10Gbps, os EUA (7.6%), China (5.9%) e Brasil (1.1%) são as principais fontes dos ataques. Em contrapartida, os EUA (17.6%), França (10.8%) e Dinamarca (8.4%) figuram entre os principais alvos.

Considerando a relevância continuada dos ataques NTP e o surgimento repentino de ataques SSDP, os quais devem cada vez se tornarem mais frequentes, não é surpresa que os ataques DDoS de grande volume são mais comuns do que nunca. Apenas no ano de 2014, foram registrados 133 ataques DDoS superiores a 100Gbps. Segundo alerta de Darren Anstee, Diretor de Soluções da Arbor Networks, as organizações devem se certificar que suas defesas são capazes de lidar com ataques originários de ambas as fontes.

Maiores informações através do link.

AddThis Social Bookmark Button

[Notícia] 133 ataques DDoS acima de 100Gbps até o 3º trimestre de 2014

Por Editor em 13 de outubro de 2014 | Enviar comentário

globe-cyberwarA Arbor Networks divulgou dados de ataques DDoS globais para o terceiro trimestre de 2014, mostrando um aumento notável no Simple Service Discovery Protocol (SSDP) em ataques de reflexão. Arbor monitorou poucos ataques usando SSDP como um mecanismo de reflexão no segundo trimestre, mas cerca de 30.000 ataques com este protocolo foram explorados no terceiro trimestre, entre um deles atingindo 124Gbps.

Alguns achados importantes:

- Crescimento significativo no uso de SSDP para ataques de reflexão, 4% de todos os ataques e 42% de todos os ataques superiores a 10 Gbps usaram SSDP, no terceiro trimestre;
– Ataques de reflexão NTP ainda significativos, mais de 50% de todos os ataques superiores a 100 Gbps, porém, tendendo a cair;
– Ataques volumétricos muito mais frequentes. 133 ataques com mais de 100Gbps neste ano;
– Fontes para eventos maiores do que 10 Gbps: Estados Unidos ( 7,6% ), China ( 5,9%), Brasil (1,1%).

“Todo mundo está ciente da enorme tempestade de ataques de reflexão NTP no primeiro trimestre e no segundo, embora ataques de reflexão NTP  ainda sejam significantes, não há muito acontecendo como já houve – infelizmente, parece que o SSDP vai ser o próximo protocolo a ser explorado. As organizações devem tomar cuidado e garantir que a sua defesa DDoS é multi-camadas e projetada para lidar com ambos os ataques que podem saturar a sua conectividade, e os sofisticados ataques na camada de aplicação”, disse o Diretor de Arquiteturas e Soluções Darren Anstee da Arbor Networks .

Fonte neste link.

AddThis Social Bookmark Button

[Notícia] Pesquisa aponta o crescimento no interesse em carreiras de segurança em TI

Por Editor em 8 de outubro de 2014 | Enviar comentário

carreiraA demanda por profissionais de segurança cibernética está crescendo 3,5 vezes mais rápido do que o mercado global de trabalho de TI e 12 vezes mais rápido do que todo o mercado de trabalho, de acordo com a Raytheon e a NCSA.

A pesquisa aponta que um em cada quatro adultos jovens estão interessados ​​em uma carreira em segurança cibernética, mas 64 por cento disseram que sua escola não ofereceu uma base ou classes necessárias para prosseguir uma carreira em segurança cibernética ou ciência da computação. Fazendo uma comparação, a pesquisa do ano passado afirmava que cerca de 40 por cento dos entrevistados disseram que estão mais interessados ​​hoje em carreiras que envolvem a tornar a Internet mais segura do que eram há um ano.

“Altas violações de segurança cibernética no ano passado ajudaram a aumentar a consciência e trouxeram questões de segurança on-line para as discussões em sala de aula. Um buraco na educação tecnológica está se fechando”, disse Michael Kaiser, diretor-executivo da National Cyber ​​Security Alliance. “Entretanto, nossos achados, mais uma vez ilustram que ainda há uma grande oportunidade para coincidir o crescente interesse em cibersegurança com mais informações enquanto alunos começam a explorar carreiras e estabelecer sua presença on-line.”

Conheça os próximos cursos da Academia Clavis que preparam para a carreira de Segurança da Informação.

Mais informações neste link.

AddThis Social Bookmark Button