7 de maio de 2012

Introdução à lei Sarbanes-Oxley

A Lei Sarbanes-Oxley (Sarbanes-Oxley Act, normalmente abreviada em SOx ou Sarbox) é uma lei dos Estados Unidos criada em 30 de julho de 2002 por iniciativa do senador Paul Sarbanes (Democrata) e do deputado Michael Oxley (Republicano). Segundo a maioria dos analistas esta lei representa a maior reforma do mercado de capitais americano desde a introdução de sua regulamentação, logo após a crise financeira de 1929.

A criação desta lei foi uma conseqüência das fraudes e escândalos contábeis que, na época, atingiram grandes corporações nos Estados Unidos (Enron, Arthur Andersen, WorldCom, Xerox etc…), e teve como intuito tentar evitar a fuga dos investidores causada pela insegurança e perda de confiança em relação as escriturações contábeis e aos princípios de governança nas empresas. (mais…)

5 dicas: como obter boas referências de TI

Nunca é inteiramente fácil para um profissional de TI sair de um emprego. Mesmo sob as melhores circunstâncias, os sentimentos de raiva e ressentimento podem subir para a superfície, afetando negativamente a capacidade de recrutador para depois aterrar uma referência positiva – e um futuro emprego. (mais…)

Ministro da Defesa diz que armas cibernéticas já são risco para redes

Nas últimas semanas, o ministro Celso Amorim recebeu o secretário de Defesa e o chefe do Estado-Maior dos EUA, ambos trazendo cooperação em defesa cibernética como prioridade.

Amorim relativiza o risco de “guerra cibernética” e relata os primeiros passos do Brasil na área. (NS) (mais…)

Malware sequestra o PC e pede resgate

Uma nova onda de software nocivo bloqueia um computador e exige pagamento para libertá-lo. Tentando extorquir dinheiro dos usuários, alega que estes cometeram uma violação de direitos de autor, e devem pagar ucerta quantia por isso.

A praga foi detectada por Roman Hussy, autor do blog abuse.ch. e já teria infectado máquinas no Reino Unido, Suíça, Alemanha, Áustria, França e Holanda. (mais…)

Como ser promovido sem esforço adicional?

Esse é o tipo de artigo que você começa a ler com um pé atrás. O título parece tirado de um livro de autoajuda da década de 70. A promessa não convence, pois todo mundo sabe que hoje em dia a vida profissional anda difícil mesmo com esforço. Mas, observe: não prometi que seria sem esforço. A palavra “adicional” redime o autor.

Durante um ciclo de apresentações dos objetivos estratégicos para toda a equipe, um corajoso garoto, recém contratado, perguntou-me o que deveria fazer para “chegar lá”, para ter uma carreira de sucesso como a minha. Antes de responder perguntei, por curiosidade, porque ele considerava minha carreira “um sucesso”. Ele ficou espantado com a pergunta e respondeu: “o senhor é o CEO da empresa!” (mais…)

Características da continuidade de negócios

A globalização tornou os mercados mundiais cada vez mais dinâmicos e competitivos. O risco do negócio está mais claro e evidente para uma organização, e a necessidade de cumprir prazos e entregar produtos com qualidade é uma realidade nesse novo mundo.

A antecipação à resolução de um problema ou incidente é talvez, hoje, um dos maiores diferenciais para o sucesso do negócio da organização. Ou seja, antecipar- se a uma possível falha de TI, greves, falhas humanas, desastres naturais, por exemplo, é necessário, pois nenhum cliente aceita que seu produto seja entregue fora do prazo ou sem a qualidade prevista. Desconhecer que uma interrupção poderia acontecer, ou que não havia previsto algum fato não é desculpa nesse mundo globalizado, competitivo e dinâmico. (mais…)

A aquisição e preservação dos dados na forense computacional

Embora as técnicas de investigação da Computação Forense sejam usadas em contextos relacionados às investigações criminais, os princípios e procedimentos são praticamente os mesmos quando utilizados para desvendar qualquer tipo de ataque em uma empresa (ALTHEIDE; CARVEY; DAVIDSON, 2011). Enquanto o tipo de investigação pode variar muito, as fontes dos vestígios geralmente são as mesmas: dados gerados e manipulados por computador.

Um dado no computador é, em sua base, uma sequência de 1s e 0s. Em última instância, é essa cadeia que as buscas realizam.

Por muito tempo, a investigação se concentrou em meios de armazenamento magnéticos e ópticos, o que aumenta a preocupação em coletar dumps de memória em um sistema em execução e do tráfego de dados em redes.

O objetivo da investigação forense é encontrar fatos e, por meio deles, recriar a verdade sobre o acontecimento. O examinador descobre a verdade sobre um acontecimento descobrindo e expondo os vestígios que foram deixados no sistema. Esses vestígios podem ser transformados em provas. (mais…)

Veja quatro dicas para lidar com os desafios de TI

Um grupo profissionais explica três estratégias para lidar com os desafios de ambientes de TI, cada vez mais complexos. Avaliar o software em termos de vulnerabilidades antes de o comprar, mudar de fornecedor e não de expectativas, e fazer mudanças de forma frugal são as suas recomendações. (mais…)

Subterfuge: Framework Automatizado para Ataques Man-in-the-Middle

Algumas pessoas podem associar “Subterfuge” à extensão Firesheep, pois este último permitiu que facilmente, houvesse acesso à logins do Facebook. Entretanto, “Subterfuge” é muito mais funcional e sua capacidade de colheita de credenciais é muito mais avançada. O objetivo chave dessa ferramenta é demonstrar as vulnerabilidades generalizadas, que existem no protocolo ARP. Em resumo, “Subterfuge” é um frontend ou mesmo um conglomerado de algumas das ferramentas mais famosas, que podem ser utilizadas ??para realizar ataques Man-in-the-Middle MITM. (mais…)

Melhores Práticas de Engenharia Reversa com Netzob 0.3.2

Netzob é uma ferramenta open source, que oferece suporte de qualidade ao trabalho do perito, em suas operações de engenharia reversa, em processos de avaliação e simulação de protocolos de comunicação. Os principais objetivos da ferramenta são ajudar a segurança, para que os avaliadores possam analisar a robustez de protocolos proprietários ou desconhecidos, simular comunicações realistas para testar produtos de terceiros como IDS, firewalls e outros elementos do gênero. O utilitário também possibilita a criação de uma implementação de código aberto, relacionada á um protocolo proprietário ou desconhecido. (mais…)