Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

Temos prazer em informar que a Daryus Strategic Risk Consulting é Patrocinadora Ouro da 7a edição do Workshop SegInfo.

Desde 2005 a DARYUS Consultoria e Treinamento atua com Planejamento Estratégico em Continuidade de Negócios, Gestão de Riscos, Governança e Segurança da Informação, sendo uma referência para empresas exigentes que procuram os melhores serviços aderentes as melhores práticas internacionais com competência, capacidade técnica e qualidade comprovada.

Através de suas duas unidades de negócios, Education Center e Consulting, a empresa alia conhecimento, experiência e capacitação contínua a uma visão analítica simples focada em soluções inteligentes através de serviços acima da expectativa dos clientes.

Conheça mais sobre a Daryus em http://www.daryus.com.br/

Estudo de segurança mostra que embora o número de vulnerabilidades tenha caído 20%, o número de ataques maliciosos aumentou 81% em 2011. A alta mais expressiva foi no segmento mobile – um aumento de 93% de janeiro a dezembro. Por outro lado, o número de emails indesejados (spams) caiu 20%. Veja mais detalhes sobre o estudo realizado pela Symantec em Mobile vulnerabilities increased by 93%.

O WordPress é o sistema de gerenciamento de conteúdo (CMS) mais utilizado no mundo; segundo dados da Alexa, roda em 22% de todos os sites do mundo. Por ser utilizado em larga escala, é um alvo de usuários maliciosos, que buscam falhas que podem afetar diversos sites que utilizam a ferramenta; no entanto, é bastante seguro desde que haja uma preocupação constante com a segurança, tanto em procedimentos pós-instalação quanto na instalação das atualizações assim que disponibilizadas e no seu gerenciamento do dia-a-dia.

Trazemos hoje a sugestão de uma série de links e vídeos para que você possa manter seguro o seu WordPress:

• Lockdown WordPress – A Security Webinar with Dre Armeda | Sucuri
• 11 Best Ways to Improve WordPress Security | Pro Blog Design
• Hardening WordPress Security: 25 Essential Plugins + Tips
• Hardening WordPress « WordPress Codex

Com a migração de serviços para a nuvem, muitas vezes há a impressão de que manter o sistema operacional e o navegador atualizados é o suficiente para manter a segurança em todos os serviços, e isto está longe de ser verdade. Como exemplo, vimos na última semana duas falhas em serviços bem populares da Microsoft: o Hotmail e o Skype.

O Hotmail apresentou uma falha no processo de recuperação de senhas que permitia “resetar” a senha de qualquer usuário, devido a um problema na validação do sistema de tokens. A falha chegou a ser explorada largamente, inclusive com videotutoriais no YouTube explicando o processo. No entanto, na última sexta-feira, a Microsoft corrigiu a falha.

Já a falha do Skype é mais sutil, mas que também pode revelar detalhes indesejados sobre o usuário – um pesquisador de segurança russo descobriu que é possível descobrir os endereços IP externos e internos de todos os dispositivos do usuário que estejam conectados no Skype. Assim, é possível descobrir a localização do usuário mesmo que ele tenha escolhido ocultá-la nas configurações do programa.

Veja mais detalhes sobre as duas falhas de seguranças em SSegurança – blog.suffert.com: Hotmail e Skype – falhas de segurança e privacidade.

O CERT lançou ontem o Linux Triage Tools 1.0, um conjunto de ferramentas para verificar se um determinado programa Linux possui alguma vulnerabilidade conhecida, classificando os bugs encontrados por severidade. O Triage Tools foi construído a partir do GNU Debugger (gdb), sendo portanto uma versão modificada ou extensão deste. A ferramenta inclui ainda um script wrapper para execução em lote (múltiplos arquivos). Veja mais detalhes sobre o lançamento da ferramenta em CERT/CC Blog: CERT Linux Triage Tools 1.0 Released.

Numa audiência pública no Congresso Nacional sobre a estrutura de segurança e defesa do Brasil para a organização dos grandes eventos internacionais que serão realizados no país nos próximos anos – Copa das Confederações e Jornada Mundial da Juventude em 2013, Copa do Mundo em 2014 e Olimpíadas em 2016 -, o diretor da Agência Brasileira de Inteligência (Abin), Luiz Alberto Sallaberry, afirmou nesta terça (24) que nunca estivemos tão próximos de um ciberataque terrorista:

“Desde o descobrimento do Brasil não tivemos atentados e nunca fomos alvo. Mas, pela primeira vez em nossa história, vamos sediar grandes eventos – o que nos coloca numa situação de exposição sem precedentes. Não estamos aqui com mensagem alarmista, mas, no contexto atual, não houve momento mais propício para atos terroristas no País”

O discurso foi complementado pelo representante do Gabinete de Segurança Institucional da Presidência da República, major-brigadeiro Gerson Nogueira Machado: “Um ataque cibernético pode paralisar a maior empresa aérea, acabar com um evento como esses”.

Especificamente no âmbito da Segurança da Informação, a Abin vem se preparando com o treinamento de seus agentes no Brasil e no exterior, para atuar já em junho, na Rio+20, e trocando informações com órgãos semelhantes de outros países, segundo o diretor do Departamento de Integração do Sistema Brasileiro de Inteligência da Agência, Carlos Alberto Ataíde Trindade.

Veja mais detalhes em Abin: Copa do Mundo deixa o Brasil vulnerável a ataques terroristas – Agência Câmara de Notícias e Audiência discute possibilidade de cibertaques em grandes eventos no País – Internet – IDG Now!.

A equipe de desenvolvedores do OpenSSH lançou a versão 6.0 da implementação livre do protocolo SSH. A versão 6.0 do OpenSSH é basicamente um release de correção de bugs: traz apenas 5 novas funcionalidades, enquanto corrige 10 correções (e mais 6 para a versão portável), nenhuma delas falha de segurança crítica. Veja mais detalhes sobre as novas funcionalidades e as correções no site do OpenSSH.

A Clavis Segurança da Informação fechou parceria com o CEFET/RJ e ministrará a palestra Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção no dia 25/04, às 20:30 no Auditório 3, localizado na Rua General Canabarro, 485 – Maracanã, Rio de Janeiro.

A palestra tem como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.

Após a palestra serão sorteados uma vaga nos cursos de Auditoria de Segurança em Aplicações Web EAD e Desenvolvimento Seguro de Aplicações Web EAD, além de outros brindes.

Veja mais detalhes e faça sua inscrição em Empresa Clavis Segurança da Informação » Blog Corporativo » Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.

Lembrando que no começo de maio teremos mais palestras de Segurança da Informação aqui no Rio, promovidas pela Daryus.

A Academia Clavis Segurança da Informação disponibilizou neste final de semana o vídeo de um novo webinar sobre Segurança da Informação. Nesta edição, o tema foi “Ataques em Aplicações Web – Edição XSS – Stored, Reflected e DOM based“.

O que é XSS?

O XSS (do inglês, Cross Site Scripting) tem se mostrado uma das principais falhas de segurança em aplicações web. Esse tipo de falha acontece quando a aplicação inclui dados fornecidos pelo usuário numa requisição sem que tais dados recebam o devido tratamento.

E como foi o Webinar sobre Ataques em aplicações web – Edição XSS – Stored, Reflected e DOM based)?

Este webinar apresentou exemplos práticos de ataques utilizando os 3 tipos conhecidos de XSS (Stored, Reflected e DOM based), além de dicas para identificar tal vulnerabilidade e maneiras de mitigá-la.

Este Webinar foi realizado com a mesma infra-estrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.Os demais vídeos dos Webinars da Clavis podem ser vistos na página de Webinars da empresa.

Aproveite a oportunidade e veja o calendários dos próximos cursos Online (EAD) e Presencial da Academia Clavis:

Até o próximo curso!

Uma pesquisa da PwC e da Infosecurity mostra que as empresas estão com uma brecha de segurança ao permitir que empregados utilizem seus próprios dispositivos pessoais para trabalho. Veja alguns dados levantados:

• 82% das empresas de grande porte reportaram brechas de segurança causados por empregados, incluindo 47% que tiveram perda ou vazamento de informações;
• apenas 39% das grandes empresas empregam criptografia nos dados transferidos para os smartphones e tablets usados pelos empregados;
• 54% das pequenas empresas e 38% das grandes não tem um programa dedicado à segurança da informação;
• enquanto 52% das empresas pequenas dizem que redes sociais são importantes para seus negócios, apenas 8% monitoram o que seus empregados postam nesses sites.

Veja mais detalhes sobre a pesquisa em Mobile phones expose businesses to massive risks.