Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

A CompTIA, que fornece certificações para os profissionais de tecnologia da informação (TI) em todo o mundo, passa a oferecer uma versão em português do exame CompTIA Security+.

Segundo a entidade, a certificação CompTIA Security+ credencia profissionais experientes na área da cyber segurança, um dos campos de crescimento mais rápido da TI. Mais de 230 mil especialistas no mundo todo já receberam esse título.

“O setor de TI no Brasil está crescendo em ritmo acelerado e o número de pessoas com acesso à internet também está aumentando”, afirmou Terry Erdle, vice-presidente executivo de certificação de habilidades da CompTIA. Ele argumenta que a versão em português da CompTIA Security+ se justifica pelo avanço do mercado brasileiro de TI. O execuivo observa que o setor está em ritmo acelerado de expansão, aumentando também o acesso à internet . Esses fatores, segundo ele, intensificam a necessidade de uma forte vigilância de cyber segurança.

O executivo ressalta que os profissionais que já receberam essa certificação aprenderam a aplicar seu conhecimento de conceitos de segurança, ferramentas e procedimentos para reagir a incidentes. Eles também têm conhecimentos para prever riscos de segurança e de se proteger contra eles.

O exame

O teste contém 100 questões, que devem ser respondidas em 90 minutos. Para ser aprovado, o candidato precisa atingir uma pontuação de, no mínimo, 750 em uma escala de 100-900.

Acompanhando o avanço e demanda a Academia Clavis Segurança da Informação terá sua primeira turma preparatória para o exame da certificação CompTIA Security+ em abril. Veja alguns de seus benefícios:

Certificações da ISACA – CISM, CISA, e CRISC – ganharam o prêmio de “Best Professional Certification Program” pelo SC Magazine’s 2013 Awards. Verifique todos os finalistas pelo link.

Em um estudo recente da Foote Partners demonstrou que profissionais que possuem essas certificações recebem aumentos salariais 7 por cento superiores comparado com as outras 268 certificações da indústria de TI.

Com mais de 100.000 associados em 180 países, a ISACA® (www.isaca.org) é um provedor global líder em conhecimento, certificações, associação de profissionais, defesa e educação sobre qualidade e segurança dos sistemas de informação (SI), governança corporativa e gerenciamento em TI, riscos e conformidade relacionados à área de TI. Fundada em 1969, a ISACA, instituição independente e sem fins lucrativos, promove conferências internacionais, publica o ISACA® Journal, e desenvolve padrões internacionais de auditoria e controle de SI, que ajudam seus associados a garantir a confiança e o valor dos Sistemas de Informação.

No último mês a Clavis Segurança da Informação anunciou a parceira com a ISACA-RJ e irá disponibilizar os treinamentos preparatórios oficiais para as certificações CISA® (Certified Information Systems Auditor) e CISM® (Certified Information Security Manager).

A Clavis já está com o cadastro aberto para que os interessados possam se inscrever e receber mais informações sobre as datas e valores de ambas as turmas oficiais para as Certificações CISM e CISA. Para receber informações atualizadas sobre tais turmas, por favor cadastre-se aqui.

Na era digital a ciber-segurança se torna uma preocupação geral, afetando as organizações em níveis  mais elevados. Quatro das cinco empresas, que responderam ao CompTIA’s 10th Annual Information  Security Trends study, esperam se concentrar na área de segurança a partir de agora. Desde 2006 tem  tido aumento nas ofertas de trabalho para a área de segurança da informação, de acordo com o serviço  Indeed.com. O estudo feito pela CompTIA constata que 49% das empresas pretendem contratar  especialistas em segurança da informação. Apesar do aumento na demanda existe a falta de pessoal  qualificado e com experiência.

A pesquisa mostra que 89% das organizações reportam como ROI(Return On Investment) positivo o retorno oriundo do investimento das certificações de segurança.

Pegando gancho neste estudo da CompTIA, aproveitamos a oportunidade para apresentar mais informações sobre o Curso Oficial CompTIA Security+.

A Academia Clavis oferece o Curso Oficial CompTIA Security+, com diversas tais vantagens como:

A Academia Clavis, em parceria com a ISACA-RJ, irá ministrar o treinamento preparatório oficial para as certificações CISA® (Certified Information Systems Auditor) e CISM® (Certified Information Security Manager).

Foi disponibilizado um cadastro de interessados para aqueles que queiram receber informações sobre datas e valores de ambos os cursos.

Mais informações através do site da Academia Clavis. Até a próxima certificação internacional!

A fim de se proteger das últimas vulnerabilidades do Java, vamos explicar neste post como desabilitar o plugin nos navegadores: Chrome, Firefox, Safari e Internet Explorer.

Chrome

1. Clique no ícone da chave inglesa e, em seguida, selecione Definições.
2. Na parte inferior da janela Definições, clique em Mostrar definições avançadas
3. Role para baixo até a seção Privacidade e clique em Definições de Conteúdo.
4. No painel Definições de Conteúdo, role para baixo até a seção Plug-ins.
5. Na seção Plug-ins, clique em Desativar plug-ins individuais.
6. No painel Plug-ins, role até a seção do Java. Clique em Desativar para desativar o Java Plug-in.
7. Feche e reinicie o browser para ativar as alterações.

Ou ainda acesse acesse diretamente o painel de Plug-ins digitando about:plugins na barra de endereços e execute as etapas 6 e 7, descritas anteriormente.

Firefox

1. Clique na guia Firefox e, em seguida, selecione Add-ons
2. Na guia Gerenciador de Add-ons, selecione Plug-ins
3. Clique no plug-in Plataforma Java (TM) para selecioná-lo
4. Clique em Desativar (se o botão exibir Ativar, isso indica que o Java já está desativado)

Safari

1. Escolha Preferências do Safari.
2. Escolha a opção Segurança
3. Desmarque Ativar Java
4. Feche a janela Preferências do Safari

Internet Explorer

Para desabilitar o Java no IE é necessário desativar através do painel de controle do Java. Vá ao Painel de Controle e abra o Java através do ícone.

1. No Painel de Controle Java, clique na guia Segurança.
2. Desmarque a caixa de seleção Ativar o conteúdo Java no browser. Isso desativará o Java Plug-in no browser.
3. Clique em Aplicar. Quando a caixa de diálogo UAC do Windows for exibida, conceda permissões para fazer as alterações.
4. Clique em OK na janela de confirmação do Java Plug-in.
5. Reinicie o browser para que as alterações entrem em vigor.

Fonte: java.com

O consórcio Webappsec possui um novo projeto chamado: Static Analysis Tool Evaluation Criteria (SATEC).

O projeto possui como objetivo criar um documento guia para avaliar soluções de análise estática para revisão de código fonte de uma aplicação. O documento apresenta uma série de recursos que devem ser considerados na aquisição de uma solução.

Como um dos desenvolvedores do projeto está o Wagner Elias, CTO da Conviso. Recentemente a Academia Clavis disponibilizou dois webinars (palestras online gratuitas) ministrados pelo Wagner Elias, são eles: Webinar # 12 – Papel da Auditoria de Código Fonte no Processo de Segurança em Desenvolvimento – Programação Segura e Webinar #7 – Segurança em Desenvolvimento de Software – Secure Development Lifecycle (SDL). Ele também participou da última edição do Evento SegInfo com a palestra “Implementando Segurança em Desenvolvimento com a verdadeira ISO“.

Mais detalhes sobre o projeto através do link.

Já que o mundo não acabou que tal colocarmos em prática nossas habilidades de análise forense computacional? =)

O Projeto Honeynet publicou em seu blog o desafio #13: “A Message in a Picture” de nível intermediário.

Os participantes deverão responder 3 questões principais e 2 bônus e enviar as respostas até o dia 15/02/2013.

Veja também o desafio #3 de Esteganografia do Blog SegInfo. Foi disponibilizada uma imagem com uma mensagem secreta que precisa ser desvendada.

Acesse outros desafios do Blog SegInfo através do link: www.seginfo.com.br/category/desafios/
E outros desafios do Projeto Honeynet através do link: www.honeynet.org/challenges/

Boa diversão a todos! \o/

A Academia Clavis divulgou no último dia 26 de dezembro de 2012 seu décimo sexto webinar gratuito sobre segurança da informação – “Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow Tables”. Confira:

Durante o webinar foram apresentadas técnicas de recuperação de credenciais e ataques do tipo “tentativa e erro” com alvos locais e remotos abrangendo os seguintes tipo de ataques: Força bruta, Dicionário, Híbridos e Rainbow Tables. Os alunos aprendem a utilizar ferramentas para avaliação da força das senhas utilizadas por usuários de um dado sistema e conformidade com políticas de senha. Foram analisados também os riscos associados a utilização de senhas fracas e que impacto que a descoberta de uma senha fraca pode causar a sistemas, infraestrutura e organização como um todo.

Gostou do webinar? Este é mais um dos inúmeros assuntos abordados na Formação Auditor em Teste de Invasão de 100 horas da Academia Clavis Segurança da Informação.

A Formação de 100 horas – Auditor em Teste de Invasão (Pentest)  da Academia Clavis tem em sua carga horária total os seguintes treinamentos: Teste de Invasão em Redes e Sistemas EAD – 25 horas, Metasploit Framework EAD – 18 horas , Teste de Invasão em Redes sem Fio EAD – 18 horas. Auditoria de Segurança em Aplicações Web EAD – 20 horas e Direito para Peritos Forense, Pentesters e Administradores de Redes EAD - 21 horas.

E quem se inscrever na Formação de 100 horas – Auditor em Teste de Invasão (Pentest) -  da Academia Clavis, ainda tem direito ao acesso gratuito aos vídeos da última turma do curso Linux Essentials EAD, pré-requisito desta Formação da Academia Clavis EAD.

Veja mais informações em: http://www.blog.clavis.com.br/formacao-de-100-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/

Com o fim do ano chegando resolvemos separar os posts mais visitados de 2012 do Blog SegInfo para que vocês, leitores do blog, possam matar a saudade e revê-los!

Divirtam-se e bons estudos!!!

	1. [Artigo] Sistemas de Detecção de Intrusões (IDS – Intrusion Detection Systems) usando unicamente softwares Open Source Este artigo tem como objetivo apresentar aos iniciantes um estudo introdutório realizado sobre Sistemas de Detecção de Intrusões (IDS – Intrusion Detection Systems) usando unicamente softwares Open Source. São abordadas as formas de detecção, tipos de IDS, classificação e no final são apresentadas as ferramentas Snort e Ossec.    Leia aqui.
	2. [Artigo] Auditoria Teste de Invasão(Pentest) – Planejamento, Preparação e Execução O objetivo deste artigo é descrever as etapas de um teste de invasão, mostrando que a estrutura dos testes segue modelos cuidadosamente estruturados em passos bem definidos. Afinal, apesar das óbvias semelhanças, há uma série de diferenças entre um ataque simulado contratado e um ataque malicioso real. Aproveite e leia também o artigo complementar com o título: Auditoria Teste de Invasão para Proteção de Redes Corporativas – Vantagens, Importância Estratégica, Motivações e Conceitos    Leia aqui e aqui.
	3. Challenge #3 Blog SegInfo – Desafio Esteganografia – Segurança da Informação O Blog SegInfo publica desafios práticos de Segurança da Informação. O terceiro desafio está em terceiro lugar em nosso Top 10! Veja mais desafios no link: www.seginfo.com.br/category/desafios Para o Challenge #3 são necessárias habilidades de esteganografia,  criptoanálise e raciocínio lógico. Veja detalhes no post.    Leia aqui.
	4. [Dicas] Gerando certificados digitais auto-assinados com OpenSSL O OpenSSL permite requisitar, assinar, gerar, exportar e converter certificados digitais. Ele está disponível como pacote ou pode ser compilado em todos os sabores de UNIX. Este guia irá explicar como gerar um repositório de chaves para certificados digitais, gerar certificados SSL privados e auto-assinados para servidores web, e exportar/converter o repositórios de chaves para um arquivo PFX (para importá-los em plataformas Windows). Leia aqui.
	5. [Dicas] Cartilha de Segurança da Informação para usuários não técnicos   O Blog SegInfo disponibiliza uma cartilha simplificada voltada especialmente para usuários não-técnicos. Nela, são apresentados breves lembretes com sugestões de softwares, dicas e boas práticas recomendadas para garantir a segurança de seus sistemas.    Leia aqui.
	6. Veja os vídeos das palestras da última edição do Workshop @SegInfo  Se você não teve a oportunidade de comparecer no Evento SegInfo – Workshop de Segurança da Informação, terá agora a oportunidade de assistir às palestras da penúltima edição, o VI Evento SegInfo, realizada nos dias 12 a 19 de novembro de 2011. Algumas das palestras do VII Evento SegInfo também já estão disponíveis! Acesse o nosso canal do Youtube: www.youtube.com/user/workshopseginfo
	7. [Artigo] Proteção de software em ambientes hostis: além da criptografia e da esteganografia   Desde os tempos antigos, o homem percebeu a conveniência de se possuir técnicas para proteção à informação. Entre os egípcios, a codificação de mensagens de modo a torná-las incompreensíveis a cidadãos comuns conferia a estas mensagens um ar “sagrado”. Tal característica tornava técnicas de codificação ideais para serem aplicadas a hieróglifos presentes em tumbas de faraós e outros egípcios elevadas castas. De fato, as inscrições na tumba de Khnumhotep II são consideradas por muitos o primeiro exemplo de criptografia, pelo fato de apresentarem substituições de símbolos que, ao mesmo tempo, dificultam a leitura e tornam a escrita (supostamente) mais estética. Já o grego Heródoto relata o episódio em que Histieus raspa a cabeça de seu mais confiável escravo e tatua uma mensagem destinada a Aristágoras convocando um levante contra os persas. Uma vez crescido o cabelo do escravo, este pôde ser enviado ao seu destino e a mensagem, transmitida despercebidamente.    Leia aqui.
	8. Pesquisa sobre o perfil do profissional de segurança da informação – via @filipevillar  Essa pesquisa coletou 112 respostas de profissionais distintos no período de 01/06/2011 a 20/06/2011. Dentre outras, foram coletadas de forma anônimas informações sobre o nível acadêmico, faixa salarial, perfil de atuação, tempo de profissão, certificações conquistadas, dentre outros dados. Esse documento presta-se a publicar os resultados do cruzamento de alguns dos dados obtidos. Caso ache que essas informações não são suficientes, entre em contato com o autor da pesquisa solicitando outros resultados.    Leia aqui.
	9. [Artigo] Mapeamento de Redes com nmap – ferramenta de código aberto com diversas funcionalidades Confira o artigo dos colunistas do SegInfo Rafael Ferreira (@rafaelsferreira), Bruno Salgado (@salgado_bruno) e dos analistas da Clavis Henrique Soares (@hrssoares) e Jarcy Azevedo (@jarcyjr) que saiu na sexta edição, disponibilizada em maio, o artigo Mapeamento de Redes com nmap – ferramenta de código aberto com diversas funcionalidades Leia aqui.
	10. [Artigo] Correio Eletrônico na Nuvem – Migração, Riscos e Recomendações de Proteção via @ppagliusi  Você conhece as vantagens de se migrar o e-mail corporativo para a nuvem? E os cuidados necessários à estratégia de migração? Antes de se adotar o correio eletrônico na nuvem, é preciso levar em conta os custos ocultos, as questões legais, as contratuais e seguir diversas recomendações, inclusive as de segurança. Os principais riscos relativos à adoção do correio eletrônico na nuvem devem ser atentamente analisados.    Leia aqui.

A Academia Clavis Segurança da Informação já disponibilizou sua grade de treinamentos para o primeiro semestre de 2013! Veja o calendário completo dos cursos presenciais e EAD no link.

Como novidades temos o treinamento preparatório para a Certificação CompTIA Security+ e a Formação Perito em Análise Forense Computacional de 120 horas!

No Curso Oficial CompTIA Security+, preparatório para a certificação, são abordados assuntos como identificação e mitigação de riscos, fornecimento de infraestrutura operacional e segurança da informação, aplicação de controle de segurança para manter integridade, confidencialidade e disponibilidade, identificação tecnologias adequadas e produtos e conscientização de políticas, leis e regulamentos. A Academia Clavis disponibiliza ainda 6 horas de revisão, focadas exclusivamente em dicas e tira dúvidas para a prova da certificação internacional. O curso terá início em 09 de fevereiro e está em promoção! Veja mais informações sobre o curso no link.

Já a Formação Perito em Análise Forense Computacional é um pacote de até  6 cursos, são eles:  Análise Forense Computacional EAD, Direito para Peritos Forense, Pentesters e Administradores de Redes EAD, Análise Forense de Redes EAD, Analise de Malware EAD, Analise Forense Computacional em ambientes Windows EAD e Anti-Análise Forense Computacional EAD. Inscrevendo-se nos 6 cursos o aluno ainda tem direito ao acesso gratuito aos vídeos da última turma do curso Linux Essentials EAD, pré-requisito desta Formação da Academia Clavis EAD. Veja mais informações no link.

Além dessa Formação Perito em Análise Forense Computacional a Academia Clavis possui a Formação Auditor em Teste de Invasão – Pentest, com carga horária de até 100 horas, composta de até  5 cursos, são eles: Teste de Invasão em Redes e Sistemas EAD – 25 horas, Metasploit Framework EAD – 18 horas , Teste de Invasão em Redes sem Fio EAD – 18 horas. Auditoria de Segurança em Aplicações Web EAD – 20 horas e Direito para Peritos Forense, Pentesters e Administradores de Redes EAD - 21 horas. Quem se inscrever na formação completa, 5 cursos, tem direito ao acesso gratuito aos vídeos da última turma do curso Linux Essentials EAD, pré-requisito desta Formação da Academia Clavis EAD.

Mais informações em: www.clavis.com.br