segurança

Empresas brasileiras perdem média de US$1 milhão com incidentes de segurança

Diego Macêdo
24 de janeiro de 2017
Nenhum comentário

Algumas companhias chegaram a registrar período de indisponibilidade dos serviços, apps e rede de mais de cinco dias em 2016, segundo relatório da CSO-PwC

As perdas financeiras das empresas brasileiras no ano passado decorrentes de incidentes de segurança variaram de menos de US$ 10 mil a US$ 20 milhões ou mais, dependendo do porte e do ramo de atuação, de acordo estudo global realizado pelas publicação norte-americana CSO, da IDG, em parceria com PwC. Estima-se que o prejuízo total resultante de todos os incidentes foi de US$ 1 milhão, em média.

Das 486 companhias locais que responderam o questionário The Global State of Information Security Survey (GSISS) no último ano, 2,2% chegaram a registrar um período de inatividade total (indisponibilidade dos serviços, aplicativos e rede) em razão de incidentes de segurança de mais de cinco dias. A maioria delas (27,7%) ficou inoperante de três a oito horas, enquanto cerca de 20% estiveram com seus sistemas fora do ar entre uma a duas horas e 17,3%, de nove a 24 horas. (mais…)

Segurança em redes

Diego Macêdo
23 de janeiro de 2017
Nenhum comentário
Network Security

Analisando este tema com o viés de um hacker ético, iremos analisar como é a segurança em redes. Os firewalls e os dispositivos IDS/IPS fazem parte de uma rede segura, mas nesta postagem analisaremos brevemente a localização e a função de cada dispositivo na rede. À medida que você se aventura através dos detalhes, tenha em mente que a proteção de uma rede é um processo como um todo; Entrar em uma rede, por outro lado, é um processo focado e precisa ser feito passo a passo. Considere-o semelhante à construção de uma barragem. Como o engenheiro de uma barragem, você deve considerar a integridade de toda a estrutura e planejar do jeito certo. Se você está procurando um jeito para sabotar a barragem, então tudo que é preciso é apenas um pequeno puxão no lugar certo e tudo inundará. O mesmo acontece com a segurança da rede. (mais…)

Intrusion Prevention e Intrusion Detection Systems (IPS e IDS)

Diego Macêdo
21 de janeiro de 2017
2 Comments

Os sistemas de prevenção de intrusões (Intrusion Prevention Systems – IPS) e os sistemas de detecção de intrusão (Intrusion Detection Systems – IDS) são coisas importantes para qualquer hacker inteligente. É importante para você, como hacker, cobrir seus rastros e manter um comportamento discreto. Deveria ser um senso comum, mas pense nisso: Se ao invés de andar nas pontas dos pés em uma rede, você encher a rede com solicitações ARP, varreduras ping e escaneamento de portas; Qual será o resultado disto? Você não irá muito longe e logo será identificado. IPSs e IDSs são dispositivos colocados na rede para capturar as atividades de seu propósito. O ponto é andar de forma devagar, mas sempre andar. Primeiro vamos nos familiarizar com o básico do IPS e IDS. Se você sabe como algo funciona, você pode aprender como contornar sua defesa. (mais…)

Mozilla lança serviço gratuito que faz varredura de segurança em sites

Diego Macêdo
29 de agosto de 2016
Nenhum comentário
Observatory by Mozilla

Chamada de Observatory, ferramenta realiza buscas por um grande número de mecanismos de segurança.

Para ajudar os webmasters a protegerem melhor seus sites e usuários, a Mozilla criou um scanner on-line que pode verificar se os servidores web estão com as melhores configurações de segurança no local.

Chamada de Observatory, a ferramenta foi criada inicialmente para uso interno pela engenheira de segurança da Mozilla, April King, que então foi encorajada para ampliar e tornar o recurso disponível para o público geral. (mais…)

Cibersegurança em Social Data Analytics

Diego Macêdo
25 de agosto de 2014
Nenhum comentário

Pesquisas recentes referentes ao Facebook e ao OkCupid demostraram em seus dados que somos coadjuvantes de diversas plataformas e sistemas de armazenamento de dados. Em troca de benefícios, aceitamos políticas e termos de uso autorizando o uso doe nossos dados. Na pesquisa eles perceberam como os relacionamentos se transformam a partir do uso do aplicativo, considerando a relevância da foto e da descrição da personalidade até a conversão para uma conversa com maior significado.

A construção de pilares em relação à relevância dos marcos regulatórios reside no equilíbrio tênue  entre as ferramentas do anonimato e a segurança do uso dos dados dos usuários através de autorizações ou ferramentas de opt-in e opt-out. Todos temos o direito de assinar ou não, tanto para e-mail marketing quanto para outros ambientes digitais. (mais…)

O roubo de 1,2 bilhão de senhas

Diego Macêdo
25 de agosto de 2014
Nenhum comentário

É o maior roubo de senhas na Internet até o momento. Uma rede de grupos criminosos russos, dedicados ao cibercrime, conseguiu roubar mais de 1,2 bilhão de nomes de usuários com suas respectivas senhas e mais 500 milhões de endereços de e-mail. Alex Holden, fundador da Hold Security, uma empresa de segurança de tecnologia da informação com sede em Milwaukee, e que descobriu a falha de segurança, disse ao EL PAÍS que o material roubado pertence a 420.000 páginas web em todo mundo. Ele participa do encontro anual de segurança Black Hat, em Las Vegas.

A invasão afeta tanto a pequenas empresas como outras de grande porte dedicadas a oferecer serviços de internet. A pedido do The New York Times, um especialista que não trabalha para Hold Security verificou a autenticidade de todas as senhas e dados relevantes roubados. (mais…)

Modelos e mecanismos de segurança da informação

Diego Macêdo
21 de agosto de 2014
3 Comments

A segurança da informação busca proteger as informações que possui um valor, para uma pessoa ou empresa, que ela esteja gerando, manipulando, transmitindo ou eliminando (garantir a não recuperação de uma informação). A ABNT NBR ISO/IEC 27002:2005 define como “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.

Complementa dizendo que“A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”

Seus princípios abrangem, basicamente, os seguintes aspectos (tríade):

  • Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação;
  • Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações;
  • Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.

Ainda existem alguns outros conceitos que são interessantes ficar sabendo, como:

  • Identificação: deixar que uma entidade informe quem ela é;
  • Autenticação: fazer uma verificação para saber se a entidade é realmente quem ela diz ser;
  • Autorização: dar permissão para que uma entidade realize determinada ações;
  • Não repúdio: evitar que uma entidade negue ações que ela tenha realizado.

Entenda como “entidade” uma pessoa, empresa ou programa de computador. (mais…)

USB tem uma falha profunda de segurança que você não poderá detectar

Diego Macêdo
4 de agosto de 2014
Nenhum comentário

Todos nós dependemos do USB para interligar nossas vidas digitais, mas uma nova pesquisa revela que há uma falha de segurança fundamental na própria forma em que o Universal Serial Bus funciona. Isto poderia ser explorado para causar estragos em qualquer computador.

De acordo com a Wired, os pesquisadores de segurança Karsten Nohl e Jakob Lell fizeram engenharia reversa do firmware que controla as funções básicas de comunicação do USB. Eles também criaram um malware chamado BadUSB, que pode “ser instalado em um dispositivo USB para assumir um PC completamente, para alterar de forma invisível os arquivos instalados a partir do pendrive, ou até mesmo para redirecionar o tráfego de internet do usuário”. (mais…)

Erro humano é a maior causa de incidentes em serviços de TI

Diego Macêdo
4 de agosto de 2014
Nenhum comentário

O erro humano é a principal causa dos incidentes nos serviços de TI, segundo a edução 2014 do Network Barometer Report, da Dimension Data.

O relatório constatou que apenas 16% dos 91 mil incidentes em serviços de TI registados pela Dimension Data em 2013 estavam relacionadas com dispositivos, enquanto os outros 84% dos incidentes se relacionaram com questões como erro humano, falhas de comunicação ou questões ambientais.

Mas 6% de erros de configuração e 26% de erros humanos poderiam ser potencialmente evitados. (mais…)

Ativos de informação e segurança em recursos humanos

Diego Macêdo
22 de abril de 2013
Nenhum comentário

Ativos de informação e segurança em recursos humanos

Por: Lindamir do Carmo Secchi Gadler & Roseli Rocha Moterle

Muitos dos problemas de segurança enfrentados pelas organizações estão associados ao mau uso dos ativos por parte dos seus recursos humanos. Assim, a política de segurança deve prever controles de segurança antes, durante e após a contratação de funcionários, fornecedores e terceiros que usem os ativos da organização ou tenham acesso a eles.

Antes da contratação

Quando o funcionário, fornecedor ou terceiro inicia suas atividades em uma organização, é necessário, anteriormente à sua contratação, que esteja ciente das suas responsabilidades e de acordo com as suas funções em relação aos ativos de informação. O objetivo de tal procedimento é reduzir o risco de furto ou roubo, fraude ou mau uso de recursos. (mais…)

Anterior
Seguinte