[Notícia] Certificação internacional CompTIA Security+ impulsiona carreira de TI

Por Editor em 18 de dezembro de 2014 | Enviar comentário

comptialogoA CompTIA escreveu um artigo sobre como a certificação internacional CompTIA Security+ está ajudando na carreia de profissionais de TI que buscam sucesso e crescimento.

Como as empresas e instituições de ensino começam a entender que a segurança é indispensável em um mundo conectado, a demanda por profissionais de segurança está subindo rapidamente. Esta necessidade de pessoal altamente competente e qualificado é uma enorme vantagem para os profissionais de TI que procuram trabalhar nesta área em rápido crescimento. Por isso há uma grande importância em certificações internacionais de qualidade como a  CompTIA Security+.

Veja mais detalhes do artigo no Blog Clavis.

AddThis Social Bookmark Button

[Notícia] Oportunidade de emprego na Clavis

Por Editor em 17 de dezembro de 2014 | Enviar comentário

logo_clavis-150pxTrata-se de uma oportunidade para Analista Pleno e Sênior de Segurança da Informação. CLT + VT + TR + Plano saúde + distribuição do lucro da empresa + 1 reembolso de certificação a cada 3 meses + participação em eventos de segurança da informação.

Local: Rio de Janeiro – RJ / Horário: Seg à sexta / 40 horas (flexíveis) por semana.

O objetivo do cargo é pesquisar, modelar e executar atividades relacionadas a Auditoria de Segurança em Aplicações Web, Auditoria Teste de Invasão e Testes de Negação de Serviço e Indisponibilidade – DDoS. Os interessados devem enviar CV para rh@clavis.com.br com a pretensão salarial. Dúvidas poderão ser esclarecidas exclusivamente através do email rh@clavis.com.br.

Para mais informações e detalhes acesse o Blog Clavis

AddThis Social Bookmark Button

[Notícia] Auditoria de Segurança em Aplicações Web e Teste de Invasão em Redes e Sistemas – veja os dois novos cursos presenciais da Academia Clavis

Por Editor em 15 de dezembro de 2014 | Enviar comentário

Academia ClavisA Academia Clavis está com dois cursos novos: Auditoria de Segurança em Aplicações WebTeste de Invasão em Redes e Sistemas . Os cursos serão realizados presencialmente em São Paulo – SP; o treinamento de Auditoria de Segurança em Aplicações Web tem aulas nos dias 08, 09 e 10 de abril de 2015; e o Teste de Invasão em Redes e Sistemas nos dias 22, 23, 24 e 25 de Setembro de 2015.

Com esses dois novos cursos, a Academia Clavis passa a ofertar para o próximo ano um total de 3 cursos presenciais em São Paulo. O calendário com todos os cursos presenciais disponíveis para o ano de 2015 pode ser acessado no site, através desse link.

Para visualizar o calendário dos cursos na modalidade EAD, acesse esse link. Lembrando que os Webinars da Academia Clavis são uma forma gratuita de poder ter a experiência do curso online completo, pois utilizam a mesma tecnologia empregada nas aulas.

Maiores informações através do link.

AddThis Social Bookmark Button

[Notícia] Firefox lança versão 34 com correções para SSLv3

Por Editor em 9 de dezembro de 2014 | Enviar comentário

A Mozilla lançou a versão 34 do seu navegador Firefox para Linux, Windows, Mac e Android com diversas novas funcionalidades.

A principal delas é o Firefox Hello, um comunicador web em tempo real (WebRTC). O Hello permitirá aos seus usuários a realização de chamadas de voz ou vídeo, com outros usuários usando o mesmo tipo de aplicação, gratuitamente e sem a necessidade de criação de contas.

O suporte ao SSLv3 foi desabilitado, medida adotada também em outros navegadores, além de outras correções de segurança e melhorias na apresentação do CSS e suas estruturas, por exemplo.

Fonte

AddThis Social Bookmark Button

[Notícia] 4º Seminário Cyber Security

Por Editor em 5 de dezembro de 2014 | Enviar comentário

Novas formas de ameaças surgiram junto com a crescente utilização da Internet. Por isso, preparar‐se para a segurança cibernética já é uma realidade mundial.

A Network Eventos, empresa especializada na produção de eventos no setor de Telecomunicações e Tecnologia da Informação, comprometida com a inovação, atualização e troca de conhecimentos, realizará no dia 09 de dezembro de 2014 em Brasília, a 4ª Edição do Cyber Security, que tem como objetivo discutir os desafios e apresentar soluções para a Segurança e Defesa Cibernética.

O fórum será um evento aberto a inscrições, voltado aos membros do Ministério da Defesa, Polícias Federais e Estaduais, Estatais de Processamento de Dados (Serpro e empresas associadas à ABEP), Instituições Financeiras Estatais (Caixa e Banco do Brasil), Petrobras, Comitê Gestor de Segurança da Informação, membros do Renasic, do Centro de Defesa Cibernética, SLTI, Comitê Gestor de Internet no Brasil (CGI), Operadoras de Telecom, membros do poder judiciário e escritórios de advocacia especializados.

Para mais informações, acesse este link.

AddThis Social Bookmark Button

[Notícia] SegInfoCast #19 – Análise Forense Computacional

Por Editor em 2 de dezembro de 2014 | Enviar comentário

SegInfocast #19: Faça o download aqui.

Nesta décima nona edição do SegInfocast o nosso apresentador, Paulo Sant’anna, recebe o profissional Davidson Boccardo e conversa sobre análise forense computacional.

O entrevistado explica as principais tarefas necessárias para exercer de forma assertiva a análise, assim como seus principais objetivos e finalidades. Foi abordado também o novo curso de Análise Forense Computacional pela academia Clavis, seus principais tópicos e ferramentas utilizadas.

Davidson Rodrigo Boccardo é Doutor em Engenharia Elétrica pela Universidade Estadual Paulista (UNESP) com período sanduíche no Center for Advanced Computer Studies da University of Louisiana at Lafayette. Atualmente é pesquisador no Instituto Nacional de Metrologia, Qualidade e Tecnologia, e tem atuado nos seguintes temas: engenharia reversa, análise de software/malware, ofuscação de software, incorruptibilidade de software e marca d’água em software. Na Academia Clavis também é instrutor do curso: Análise de Malware em Forense Computacional e apresentou o Webinar #17 Análise de Malware em Forense Computacional.

SegInfocast #19: Faça o download aqui.

Play
AddThis Social Bookmark Button

[Notícia] Lições aprendidas de vulnerabilidades de alto impacto em 2014

Por Editor em 1 de dezembro de 2014 | Enviar comentário

Parece que 2014 será lembrado no setor de TI pelas diversas vulnerabilidades graves afetando servidores. Em abril, uma vulnerabilidade grave, que ficou conhecida como Heartbleed (CVE-2014-0160), no software de criptografia OpenSSL – muito utilizado para proteger o tráfego dos sites abalou o sector, deixando centenas de milhares de sistemas abertos a ataques de cibercriminosos. Mais de seis meses depois, milhares de sites e dispositivos continuam vulneráveis.

Em setembro, várias vulnerabilidades críticas (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2.014-6.277 e 2.014-6.278 CVE) foram relatadas no GNU Bourne-Again Shell (Bash), o shell de linha de comando usado em muitos sistemas operacionais Linux/Unix e Mac OS X. As falhas nos sistemas da Apple possibilitavam a um invasor executar remotamente comandos shell, anexando o código malicioso em variáveis de ambiente utilizadas pelo sistema operacional.

Semelhante ao Heartbleed, estas falhas afetam uma ampla gama de sistemas, incluindo, mas não limitado a servidores Apache, servidores web rodando scripts CGI, e sistemas que abrangem qualquer propósito, desde sistemas de controle à dispositivos médicos. Especialistas em segurança alertaram que o impacto do bug do Bash é ainda maior do que o Heartbleed, já que a abrangência do Bourne-Again Shell GNU supera a do OpenSSL.

Então, em meados de outubro, três pesquisadores do Google descobriram uma falha (CVE-2014-3566), conhecida como POODLE, que permite que criminosos cibernéticos possam explorar o desenho do protocolo SSL 3.0 para descriptografar informações sensíveis, incluindo cookies de sessão secreta, resultando na possível aquisição de contas de usuários. O impacto do POODLE é considerado por muitos especialistas em segurança como menos grave, porque muitas organizações têm abandonado SSL 3.0, uma vez que é considerado inseguro, à favor do TLS. Embora menos impactante do que as outras vulnerabilidades de segurança, o POODLE é apenas mais um exemplo de bibliotecas de código aberto e de terceiros amplamente implantados que têm o potencial para colocar aplicativos e sistemas de software em risco.

Finalmente, no dia 11 de Novembro, a Microsoft divulgou um total de 33 vulnerabilidades no Windows, Internet Explorer e Office, sendo a MS14-066 (CVE-2014-6321) a mais crítica, possibilitando a execução remota de código através do Secure Channel (Schannel). Essa falha implica que todos os principais stacks TLS, incluindo Apple SecureTransport, GNUTLS, OpenSSL, NSS, e agora o Microsoft SChannel, tiveram uma vulnerabilidade grave este ano.
Durante anos, a comunidade de fornecedores de software e desenvolvedores de aplicativos internos têm contado com bibliotecas de código aberto e de terceiros para atingir o tempo de chegada ao mercado mais rapidamente. Muitas vezes, assumiu-se que os testes de segurança para essas bibliotecas de terceiros foram conduzidos pelos prestadores e que apenas testes aleatórios foram realizados como parte do processo de ciclo de vida do produto. Então, que lições podemos aprender com essas vulnerabilidades?

1. Aumentar a granularidade de avaliações de gestão de risco do fornecedor

Realizando um processo padronizado de gestão de risco do fornecedor como parte de operações normais de negócios é um passo importante para garantir a cadeia de fornecimento e a minimização de exposição ao risco no que diz respeito a vulnerabilidades de software introduzidas via bibliotecas de código aberto ou de terceiros. Como resultado, as organizações devem aumentar a granularidade de seus programas de avaliação de riscos.

2. Aumentar a frequência de testes de penetração e vulnerabilidades

Uma vez que a base de código de aplicações e firmware de dispositivos estão em constante mudança, as organizações têm de aumentar a frequência de suas varreduras de vulnerabilidades e testes de penetração para identificar eventuais lacunas que podem levar a uma exposição de segurança.

3. Aplicar testes de vulnerabilidade como parte do processo do fornecedor

Com base no aumento do risco colocado por vulnerabilidades em tecnologia de terceiros, as organizações também estão começando a virar a mesa sobre os seus fornecedores. Em vez de usar suas próprias equipes de operações de segurança para avaliar possíveis vulnerabilidades, algumas empresas estão exigindo que os fornecedores usem serviços de verificação independentes para testar aplicações de software mediante à aquisição e implantação.

4. Contextualizar os resultados e automatizar ações de mitigação

Considerando o fato de que as organizações, mesmo de médio porte, devem corrigir milhares de vulnerabilidades por mês, não é de se estranhar que leva tanto tempo para as equipes de segurança validem e corrijam falhas. Como resultado, muitas organizações estão contando com várias ferramentas para produzir os dados necessários de avaliação de vulnerabilidades. Isso só contribui para o volume, velocidade e complexidade dos feeds de dados que devem ser analisados, normalizados e priorizados.

Fonte.

Com essas lições aprendidas, pode-se ter uma noção melhor sobre o assunto acessando o material de artigos e webinars da Clavis. Dentre os que separamos são:

Importância das auditorias de testes de invasão

Segurança ofensiva: ponto de vista do atacante

Vulnerabilidades em aplicações web no modelo OWASP

Teste de invasão em redes sem fio

Nova Lei de Cibercrimes

Auditorias e testes de invasão para proteção de redes corporativas

AddThis Social Bookmark Button

[Notícia] Os Riscos Reais do BYOD

Por Editor em 27 de novembro de 2014 | Enviar comentário

Yuri Diogenes, um dos instrutores da academia Clavis, escreveu um artigo sobre BYOD (Bring Your Own Device) e alerta sobre seus riscos.

No artigo é feito uma análise de phishing email, onde os autores estão interessados em roubo de credenciais (páginas de bancos fake e captura de dados) e na transformação do dispositivo móvel em questão em um bot agent. O artigo aborda essas fraudes com o intuito de guiar para um cenário real, expondo a fragilidade do uso de dispositivos pessoais para negócio, caso não exista um planejamento e um conjunto de tecnologias que dê suporte ao BYOD. Yuri ainda propõe neste artigo um desenho de uma solução neutra de fabricante, onde todas considerações de segurança sejam levantadas.

Confira a fonte original com mais informações e com a análise completa neste link.

AddThis Social Bookmark Button

[Notícia] WhatsApp: mensagens criptografadas fim-a-fim

Por Editor em 26 de novembro de 2014 | Enviar comentário

WhatsApp vai integrar o software open source Textsecure, criado sem fins lucrativos e focada em privacidade pela Open Whisper Systems. O software busca embaralhar as mensagens com uma chave de criptografia que somente o usuário pode acessar e nunca é deixada no dispositivo.

Em sua fase inicial, no entanto, a criptografia de mensagens do Whatsapp é limitado ao Android e ainda não se aplica a mensagens de grupo, fotos ou mensagens de vídeo. Marlinspike diz que o WhatsApp planeja expandir esta implantação Textsecure para essas outras funções e outras plataformas, incluindo iOS, da Apple, em breve.

Confira mais detalhes neste link.

AddThis Social Bookmark Button

[Notícia] Evento vai simular ciberataque terrorista em Londres

Por Editor em 25 de novembro de 2014 | Enviar comentário

Especialistas estão sendo convidados a participar do Cyber Security Challenge 2015 Masterclass para defender Londres de um ciber ataque terrorista simulado.

Um ataque terrorista cibernético em infraestruturas críticas do Reino Unido visando principais marcos históricos de Londres será o foco principal do evento, com cerca de 42 dos mais talentosos amadores em ciber defesa do país em busca de mitigar o ataque em tempo real. Dentre as empresas que apoiam o que foi descrito como o “o maior e mais ambicioso evento de desafio” incluem BT, GCHQ, NCA, Lockheed Martin, Juniper e Airbus Group.

O objetivo do desafio é a culminação  de valores de âmbito nacional para identificar novos talentos para a profissão de segurança cibernética e enfrentar uma escassez crítica de competências que afetam órgãos do governo, empresas e cidadãos. “Estamos à financiar o Cyber Security Challenge para ajudar potenciais especialistas a aprimorarem suas habilidades através de uma série de cenários. Gostaria de incentivar todos os especialistas cibernéticos a se envolverem e testarem suas habilidades.” disse Francis Maude, Ministro do Escritório de Gabinete.

Confira mais detalhes neste link.

AddThis Social Bookmark Button