A maioria das violações de dados podem ser evitadas

A esmagadora maioria das violações de dados em 2014 poderiam ter sido evitadas se as empresas afetadas tivessem aderido a uma dúzia de práticas de segurança, segundo um novo estudo do Online Trust Alliance (OTA).

Ao contrário do que se imagina, apenas cerca de 40% dos incidentes registrados no primeiro semestre do ano passado foram resultado de um elemento externo, sendo que as outras razões revelam causas ​​acidentais ou deliberadas de empregados (29%), dispositivos perdidos ou roubados (18%) e fraude de engenharia social (11%).

Embora as violações sejam vistas como quase que inevitáveis em alguns setores, o levantamento do OTA sugere tornar o gerenciamento de senhas uma prioridade na organização, sendo seguido de perto através da implementação de um projeto de rede de privilégios mínimos, garantindo a segurança em pontos vulneráveis e realizando testes de penetração regulares.

Outras recomendações incluem exigir autenticação de e-mail, tanto interno quanto externo, utilizar o gerenciamento de dispositivo móvel, monitoramento e logging centralizado, usar aplicativos de firewalls na web, bloquear a conectividade Wi-Fi, implementar Always On Secure Sockets Layer (AOSSL) e avaliar constantemente os certificados do servidor.

Esta é uma longa lista. A maioria das empresas vai empregar apenas algumas dessas medidas, mas poucos adotarão todas, especialmente o gerenciamento de senhas e controle de privilégio mínimo. Os endpoints e contas de usuários muitas vezes têm muito poder e alcance como a Sony Pictures recentemente descobriu quando uma única conta de administrador foi responsável por se infiltrar em sua rede e gerar consequências desastrosas.

As empresas estão sobrecarregadas com os crescentes riscos e ameaças, mas ainda assim, muitas não conseguem adotar conceitos básicos de segurança.

Educar empresas sobre os riscos que podem ocorrer em uma estrutura de redes vulnerável, é um trabalho contínuo, mas que ajuda a aumentar a consciência dos executivos sobre a seriedade da situação. Um sistema de gerenciamento de segurança da informação, quando combinado com outros controles, contribui para prevenir, detectar, conter e remediar violações de dados que podem custar a empresa prejuízos graves e irremediáveis.

Fonte: Crimes pela internet

Read More

Hacker rouba 100 mil dólares de usuários de um ISP da Califórnia apenas com um simples SQL Injection

Recentemente um grupo hacker chamado "TeamBerserk" declarou no Twitter que roubou cerca de $ 100.000 dólares obtido através de usuários e senhas capturadas de um ISP californiano e usando essas informações para acessar as suas contas bancárias.

Um vídeo prova foi upado, mostrando como eles usaram SQL Injection contra o ISP para acessar o banco de dados que continha email, usuários e senhas em texto plano e usaram essas informações para roubar dinheiro dos clientes.

Vamos ver o que é SQL Injection e quão sério um ataque deste tipo pode ser. SQLi é uma vulnerabilidade encontrada em aplicações web onde o atacante pode injetar códigos SQL no banco e utilizar isso para acessar recursos internos. Usando esta técnica, hackers maliciosos podem determinar a estrutura do banco e comprometer e/ou baixar todos os dados dos servidores.

Eles levaram apenas 15 minutos para hackear o site com uma ferramenta chamada sqlmap, roubaram os dados e tiveram acesso imediato a contas de email, Paypal e internet banking.

É muito difícil lembrar de diversas senhas, por isso o que a maioria faz é usar a mesma em tudo. Sua senha do Facebook é a mesma do Twitter? E a do site do seu banco?

Agora já deve estar mais do que explicado porque esse tipo de falha é extremamente perigosa. No vídeo de prova de conceito, o atacante escolhei randomicamente um usuário e sua respectiva senha e tentou logar em diversos outros sites, entre eles PayPal, Gmail e CitiBank, e o mais impressionante é que ele conseguiu.

Agora que você já está ciente que ataques podem vir de qualquer lugar, não deixe isso acontecer, se você usa internet banking, compra pela internet, ou acessa outros dados sensíveis, o melhor a se fazer, pelo menos para dificultar é usar senhas difíceis e variadas para cada serviço.

Fonte: The Hacker News

Read More

Marco Civil da Internet pode ser votado nas próximas semanas

Deputado Alessandro Molon (PT-RJ) é o relator do projeto

Foto: Divulgação

O Marco Civil da Internet, projeto de lei que estabelece direitos e deveres de usuários, governo e empresas no uso da rede e é considera uma "constituição da web", foi incluído na pauta legislativa prioritária do Congresso para ser votado nas próximas semanas, afirmou o 

Ministério da Justiça nesta sexta-feira. A lista de projetos foi estabelecida pelo presidente do Senado, Renan Calheiros, juntamente com o presidente da Câmara, Henrique Eduardo Alves, e lideranças partidárias do Senado.

O Marco Civil da Internet é um dos projetos prioritários para o Ministério da Justiça, por definir de princípios de neutralidade e função social da rede, privacidade e responsabilidade civil de usuários e provedores, garantiu a pasta em nota

Enquanto a legislação penal da internet foi para frente em 2012, a criação de um marco regulatório civil para o uso da rede - uma espécie de "Constituição" que estabelece direitos e deveres de empresas, governo e usuários na internet, empacou. O projeto original foi enviado pelo Ministério da Justiça à Câmara em 2011, mas somente em março de 2012 foi instalada uma comissão na Câmara para discutir a proposta. 

Esta comissão rodou o País em uma série de audiências públicas que discutiu o projeto com especialistas e membros sociedade da sociedade civil. O grupo viajou para ouvir propostas para o projeto. O grupo recebeu sugestões também pela internet, por meio do portal e-Democracria, além de opiniões via redes sociais. Durante o ano passado, o projeto recebeu apoios importantes, como do fundador do partido pirata sueco, que afirmou que o marco civil era único no mundo e de grandes empresas de internet, como Google e Facebook, que afirmaram, em carta aberta, o projeto é "resultado de riquíssimo debate que resultou em um projeto de lei moderno".

O relator do projeto, deputador Alessandro Molon (PT-RJ), apresentou seu parecer há um ano, mas foi obrigado a fazer alterações no texto depois de críticas do próprio governo. 

Mesmo assim, a votação do texto, que teria que ser aprovado na comissão especial da Câmara antes de ir a plenário, foi adiada inúmeras vezes por falta de quórum. Sem conseguir costurar um acordo sobre a questão da neutralidade na rede, que impede que as operadoras faça distinção na velocidade de conexão da internet para conteúdos diferentes, o próprio governo pediu que fosse votado somente depois das eleições, temendo alterações no texto.

Passadas as eleições, a polêmica continuou. No plenário da Câmara, a votação da proposta foi adiada por seis vezes, a última delas no começo de dezembro. De um lado, os deputados mostravam vontade de debater melhor a questão da neutralidade, e já apontavam a necessidade de votar a proposta somente depois das discussões em uma conferência de internet da Organização das Nações Unidas em Dubai, o que jogaria a votação do projeto para este ano, o que nunca aconteceu.

Nos bastidores, no entanto, venceu o lobby das teles, que não têm interesse na aprovação da chamada "neutralidade" da rede. Pelo dispositivo, o mais polêmico do texto, as provedoras de conexão ficam proibidas de selecionar o conteúdo ao qual os internautas terão acesso em detrimento de outros - mediante o pagamento de uma taxa pelo provedor de conteúdo, por exemplo, para manter sua página no topo dos resultados das buscas.

Fonte: TERRA

Read More