Segurança Digital - Empresas

Algumas pessoas nomeiam a época atual em que vivemos, como a “Era da informação”, pois tivemos milhares de avanços dentro da sociedade, principalmente nas formas de comunicação entre as pessoas, melhoras na medicina, expectativa de vida das pessoas maiores, o surgimento de várias empresas e outros eventos que contribuíram para a nomenclatura desta época.

Porém, apesar dos avanços que já tivemos, ainda somos falhos quando se trata de segurança, sendo essa pública ou de informação. Em uma rápida observação em qualquer grande portal de notícia em seu histórico de notícias e também as mais atuais vocês verão um grande número de notícias falando sobre vazamento de dados, graças a invasões por parte de Crackers a Sistemas de Grandes e médias empresas, sendo elas de qualquer setor. Só esse exemplo de pesquisa, já deixa exposta a falta de segurança relacionada a dados de usuários, pois no final, são sempre eles os verdadeiros prejudicados pela imprudência destas empresas.

Graças a grande variedade de ataques existentes, a cada dia, se torna mais difícil garantir a proteção de dados de seus clientes por parte das empresas, pois estas, não se percebem a verdadeira gravidade que é exposta pela falta de investimentos nos setores de segurança da informação. E por esta razão, Cybers Criminosos se aproveitam e até mesmo se arriscam ao efetuar ataques diretamente por parte de engenharia social, expondo seus rostos para suas vitimas, mas é claro, sem que elas saibam suas verdadeiras intenções.

Mesmo sabendo que poderão um dia se tornar vitima de cybers criminosos, as empresas simplesmente ignoram o fato de não oferecem segurança aos dados de seus clientes, pela ideia vaga de que “se nunca aconteceu, não tem porque se preocupar”, e no final, quando se tornam vitimas, acabam sendo processadas pelos clientes e algumas chegando até mesmo a abrir falência, por falta de recursos, e de clientes que vieram a se afastar, por culpa da falta de segurança oferecida por estas empresas. Só percebem que os prejuízos causados por estas “invasões”, podem chegar à casa dos milhões, quando já estão sofrendo as consequências e o preço pela imprudência.

É importante ressaltar que além de sistemas inseguros, haverá também funcionários língua solta. Onde, em rápida conversa, poderão fornecer informações de produtos ou serviços que a empresa planeja oferecer para os clientes futuramente, e ao expor estas informações para desconhecidos, estará prejudicando a empresa. Pois informações como esta, poderão ser comercializadas, afinal, é apenas espionagem industrial.

Mas deixando claro que não estou generalizando, pois existem empresas que realmente se preocupam com as consequências que a imprudência poderá trazer, e investem pesado na segurança de seus sistemas e em treinamentos para seus funcionários, pois o risco não está apenas na falta de segurança dos sistemas, mas também, na falta de segurança imposta pelos funcionários, pois os engenheiros sociais poderão aproveitar-se de funcionários facilmente manipuláveis. Mas ao investir em treinamentos e mais segurança, poderá evitar que este tipo de ataque venha a ocorrer. Estes são princípios básicos de riscos que os Empresários deveriam conhecer.

Identificando Empresas inseguras

Como qualquer pessoa que valoriza cada centavo que ganha, se preocupa em como gastar seu dinheiro, e principalmente, que não seja em algo sem importância, também deveria se preocupar em onde ela coloca seu dinheiro, precisamente, na segurança que o local oferece para os dados pessoais da pessoa.

Observe bem o que direi, em minha experiência em Segurança da Informação que venho adquirindo com os anos, tenho observado cada local onde coloquei meus dados pessoais, não somente se atentando a lojas virtuais onde fiz compras, ou mesmo em sites ou serviços que assinei, mas sim, em empresas físicas no qual depositei meus dados. Também observo os locais onde foram feitos negócios entre meus familiares, a forma que eram tratados, a forma que os funcionários agiam, o comportamento do local, a organização do local, a forma que os dados eram armazenados, a segurança dos sistemas da empresa e a segurança física dos documentos, tudo foi analisado, pois sempre me coloco como observador nestas situações, pois é um hobby que tenho. Pois bem, nessa analise, conclui que cada empresa física no qual acompanhei negociações de meus familiares, são completamente inseguras, quando se tratam do tratamento de informações. 

Sendo assim, definir um padrão para cada uma:

• Sem o tratamento correto de lixo: Veja bem, parece loucura observar o lixo das pessoas, mas na verdade não é, pois o lixo da pessoa, revela muito sobre ela, imagina então o lixo de uma empresa? Por padrão, são guardadas cópias de documentos (processos, Documentos pessoais de Clientes, entre outros) impressos, e quando a cópia sai com defeito (sujo pequeno na página, por exemplo), simplesmente é amassado o papel e jogado no lixo. Sendo que informações assim são valiosas demais para empresas concorrentes e espiões industriais.
• Funcionários de hierarquia inferior tem acesso a informações que não deveriam e são Língua Soltas: Pois bem, é tão comum achar funcionários assim em qualquer empresa em que você visita que chega a ser quase obsoleto falar sobre. Mas veja bem, encontrar um funcionário língua solta pode ser comum, mas encontrar um funcionário assim, com informações sobre produtos que apenas pessoas que trabalham neles, deveriam saber isso já não é comum. Isso pode fielmente prejudicar o desenvolvimento a empresa e seu crescimento. Também pode ser classificado como vazamento de informações.
• Sistemas infectados por Malwares: Qualquer técnico em informática por ai, sempre se depara com computadores infectados de seus clientes, isso é até relevante. Mas uma empresa possuir computadores infectados, e principalmente, sem a segurança adequada para os sistemas, e ainda tratar de informações que são de seus clientes, isso, é uma grande imprudência. Pode gerar processos judiciais, se tais dados simplesmente vazarem.
• Acesso aos dados de clientes liberado para qualquer um: Algo que não deve ser feito em hipótese alguma, é permitir que qualquer pessoa tenha acesso livre aos dados de clientes. E isso ocorre com tanta frequência, que chega a assustar, pois o risco de alguém que não trabalhe na empresa ter acesso a esses dados, é muito grande, sendo que nem seria necessário enganar alguém, bastava invadir um dos computadores.
• Falta de Segurança nos Computadores: Se os computadores estão infectados por Malwares, isso já é a prova de que não existe uma politica e muito menos práticas de segurança dentro da empresa. Ou seja, está tudo exposto para quem quiser entrar, aliais, seria até simples demais.

Tudo que foi citado acima ocorreu na vida real, ou melhor, durante algumas visitas que fiz durante algumas negociações de alguns familiares meus. Certamente é algo que realmente assusta só de pensar, a falta de prudência e Respeito com seus clientes, por causa da falta de investimento no setor de segurança da informação e de treinamento para os funcionários.

Mas com certeza você deve está se perguntando, "O que isso tem haver com Segurança Digital?", certamente, tudo. Pois um cyber criminoso pode muito bem ir em busca de informações em um lixeiro de alguma empresa, e se achar, poderá compartilhar estas informações na internet, tornando-a basicamente públicas para todos. Ou poderá utilizar os dados para a prática de extorsão. Por este motivo, quando um lixo gerado a partir de cópias incompletas de documentos consideráveis sigilosos, deve-se imediatamente queimar todas as cópias incompletas, em vez de só amassar e jogar no lixo. Assim, existirá a garantia de segurança. 

Você investe, você cobra

Por direito do cidadão, você tem todo o direito de reclamar a falta de segurança que a empresa oferece para seus dados, além disso, você também deve cobrar melhorias por parte destas empresas, afinal, você está investindo dinheiro e está expondo seus dados, você e mais centenas de clientes fazem a empresa funcionar, ou seja, o poder de pedir melhorias está com você.

Inicie uma Conversa com algum funcionário, pergunte sobre coisas mais sigilosas da empresa, caso seja revelado algo, denuncie o funcionário para a diretoria, pois ele é uma garantia de que haverá vazamento de informações. Também, busque saber quais soluções de segurança são usadas pela empresa para manter seus dados seguros. Procure se informar quando foi feita a ultima auditoria de Segurança nos sistemas da empresa. Afinal, você será o maior prejudicado, caso haja alguma invasão no sistema deles.

Se você é empresário ou sócio de alguma empresa, e leu este artigo e ficou em dúvidas sobre a segurança de sua empresa? Não fique em dúvidas, busque soluções que venham a favorecer seus clientes, pois é melhor prevenir do que remediar na maioria das vezes.

Oferecemos Serviços de Teste de Invasão e Consultoria em Segurança, caso você possua uma empresa, primeiramente, veja nossa página sobre Testes de Invasão, e se sentir interesse, entre em contato conosco que poderemos esclarecer qualquer dúvida ou negociar, pois temos uma equipe muita boa a disposição.

É isso pessoal, qualquer dúvida, deixe um comentário ou entre em contato pelas redes sociais.

Até a próxima!

Read More

Solicitações de Teste de Invasão

Devido ao Grande número de pedidos que estamos recebendo, todos em relação a prática ilegal do Hacking! Decidimos reformular nossa Página sobre solicitação de Testes de Invasão. Outro motivo foi, que parece que não entendem que somos um blog de SEGURANÇA E TECNOLOGIA DA INFORMAÇÃO, e praticar tais atos ilícitos por causa de dinheiro, é totalmente contra a nossa ideologia.

PS: Se você tem problema conjugal, resolva-o de forma legal, e não piore as coisas. Além de que você poderá ser preso por solicitar tais serviços, e outro detalhe importante, poderá também se tornar vitima.

Para Consultar nossa página sobre os testes de invasão:

http://www.brutalsecurity.com.br/p/testes-de-invasao-brutal-security.html

Detalhe:

Caso você possua uma empresa, e queira solicitar um teste de invasão ou uma consultoria em segurança, entre em contato com a gente, e consulte nossos preços e proteja a privacidade de sua empresa e os dados de seus clientes. 

Nossos emails para contato: deivid@brutalsecurity.com.br e gabriel@brutalsecurity.com.br

Read More

Segurança Digital - Navegadores - Parte 2

Com muitos imprevistos entre ontem e hoje, trago a segunda parte do artigo Segurança Digital - Navegadores - Parte 1 com certo atraso.

Configurações de Privacidade e Segurança

Como qualquer outro software, navegadores também possuem politicas para melhorar sua navegação e proporcionar segurança de seus usuários. Em nosso exemplo, utilizaremos os dois navegadores mais utilizados atualmente: Mozilla Firefox e Google Chrome.

Mas antes de chegarmos à parte de configuração, é muito importante manter eles atualizados, pois caso encontrem algum bug ou vulnerabilidade grave, no momento que for achado uma solução, será liberado um patch de atualização para o navegador, por este motivo, é muito importante verificar sempre atualizações. Por questões de segurança, faça download apenas no site oficial da desenvolvedora do Navegador web.

Em cinco passos iremos configurar o nosso Navegador:

No Firefox:

Inicie o Firefox, e com o botão ALT pressionado, clique no menu Ferramentas na barra superior, e depois clique em Opções.

1 - Geral

Na aba Geral, caso o endereço de seu interesse já esteja adicionado, não faça nada! Mas caso não esteja, clique em Restaurar o padrão, logo após adicione o site que desejas como Pagina Inicial. Na parte de Downloads você pode escolher como desejar, pois, o que diferencia o Firefox dos outros navegadores, é que o Firefox sempre pergunta se você deseja mesmo fazer o download de algum arquivo.

2 – Conteúdo

Na Aba Conteúdo, tenha a certeza que o item Bloquear janelas popup esteja marcado. Isso evita que os sites abram outras janelas do seu navegador, que podem conter conteúdos indesejáveis ou até mesmo algum tipo de Malware.

3 – Privacidade

Na aba Privacidade, mais especificamente em Antirrastreamento deixe marcado o item Notificar aos sites que não desejo ser rastreado. Em Memorizar dados pessoais escolha a opção Nunca memorizar. Feito isso, o Firefox vai pedir para reiniciar, reinicie o Firefox.

Depois de reiniciar, verifique e link limpar todos os dados de navegação, essa função pode ser acessada também através do histórico do navegador. Uma caixa de dialogo será aberta, selecione Tudo em Limpar este período, depois em Detalhes marque todos os itens, e clique no botão Limpar agora que todos os seus dados de navegação serão excluídos. Na opção barra de endereços, desmarque todas as opções.

4 – Segurança

Na aba Segurança, caso o item Alertar se sites tentarem instalar extensões ou temas não esteja marcado, marque-o, juntamente com Bloquear sites avaliados como focos de ataques e Bloquear sites avaliados como falsos.

No item Senhas deixe a opção Usar uma senha mestra Desmarcada e clique no botão Senhas memorizadas e, caso haja algum registro de senhas salva apague todos.

5 – Avançado

Em avançados, na aba Escolha de dados deixe todas as opções desmarcadas. Na aba Atualizações selecione a opção Verificar, mas perguntar se desejo instalar.

No Google Chrome

No canto superior Direito, abaixo do botão de Fechar (o X), Clique em Personalizar e Controlar o Google Chrome, feito isso, clique em Configurações. Note que o design das Configurações do Chrome, é bem diferente do da forma que é o do Firefox.

1 - Inicio

Dentro da opção Inicialização, marque o item Abre uma pagina especifica ou conjunto de páginas, e logo após, clique em configurar paginas e adicione a pagina inicial ou páginas de seu interesse. Caso não seja de seu interesse adicionar uma página especifica, deixe da forma que estava.

Dentro da opção Aparência, é de sua total personalização, você pode deixa marcado ou não todos os itens.

Dentro da opção Pesquisar, caso seja o Google o mecanismo de pesquisa, deixe como está.

Dentro da Opção Pessoas, deixe marcado a Ativar a navegação como convidado, caso seu computador seja compartilhado com outros usuários de sua residência, caso não seja, apenas desmarque esse item e o item Deixar qualquer um adicionar uma pessoa ao chrome para evitar bisbilhoteiros.

2 – Privacidade e Segurança

Caso os Itens Ativar Proteção contra Phishing e Malware e Enviar uma solicitação “Não Rastrear” com seu tráfego de navegação estejam desmarcados, marque-os.

Na opção Senhas e Formulários, desmarque todos os itens.

Na opção Downloads, marque o item Perguntar onde salvar cada arquivo antes de fazer o download, o chrome começará a seguir o mesmo padrão do Firefox antes de qualquer download.

Na opção Sistema, deixe apenas marcado o item Usar aceleração de Hardware quando disponível.

São configurações iniciais, mas muito importantes para garantir uma navegação mais segura e agradável. Agora, falaremos um pouco sobre duas extensões para estes navegadores, que são companheiros inseparáveis para uma navegação segura.

Extensões

De forma resumida, falaremos sobre duas extensões, o My WOT e o Adblock Plus.

My WOT

Lembram-se da extensão que vem com a instalação do Avast? O Avast! Online Security? Pois então, o My WOT é uma extensão que tem a mesma função que a extensão de segurança do Avast!. Ele é responsável por analisar a reputação dos sites da internet, e definir um nível de maturidade, o nível do conteúdo postado no site, e para qual público ele é destinado. Caso algum site que você esteja visitando, possuir um nível de maturidade muito alta, ou o site possuir uma má reputação por causa de alguma fraude ou de semear Malwares pela internet, o WOT, exibirá uma caixa de mensagem semelhante a essa:

Enfim, vamos instalar o WOT agora:

No Firefox, procure no menu Ferramentas por Complementos, clique, e ao abrir a nova aba Complementos, digite na barra de pesquisa da pagina por WOT, feito isso, instale o complemento.

No Google Chrome, no canto superior Direito, abaixo do botão de Fechar (o X), Clique em Personalizar e Controlar o Google Chrome, feito isso, arraste o ponteiro do mouse até Mais ferramentas, e clique em Extensões, logo após irá abrir uma nova aba para as extensões no chrome, e procure na pagina por Obter mais Extensões, você será encaminhado para a Chrome Web Store, depois de abrir a pagina, pesquise na loja por WOT, instale a extensão.

Você pode também efetuar o download da ferramenta em seu site oficial:

https://www.mywot.com/en/download

As configurações padrões são as recomendadas, então não existem motivos para altera-las.

Adblock Plus.

O Adblock Plus é uma Extensão de segurança recomendada para todos os usuários, pois ela retira aquelas propagandas que aparecem na maioria dos sites que visitamos hoje em dia, além de bloquear propagandas de Popups, que em sua maioria, trazem de brinde uma pagina maliciosa ou uma pagina fraudulenta. Recomendada para evitar essas práticas. Ótima ferramenta também contra adwares. 

Para instalar o Adblock Plus, siga esses passos:

No Firefox, procure no menu Ferramentas por Complementos, clique, e ao abrir a nova aba Complementos, digite na barra de pesquisa da pagina por Adblock Plus, feito isso, instale o complemento.

No Google Chrome, no canto superior Direito, abaixo do botão de Fechar (o X), Clique em Personalizar e Controlar o Google Chrome, feito isso, arraste o ponteiro do mouse até Mais ferramentas, e clique em Extensões, logo após irá abrir uma nova aba para as extensões no chrome, e procure na pagina por Obter mais Extensões, você será encaminhado para a Chrome Web Store, depois de abrir a pagina, pesquise na loja por Adblock Plus, instale a extensão que tem referencia ao site adblockplus.org.

Você pode também efetuar o download da ferramenta, em seu site Oficial:

https://adblockplus.org/pt_BR/

Como as configurações padrões, são recomendadas, deixe como está.

Terminamos aqui mais um artigo, compartilhe com a família e amigos caso este artigo tenha sido útil. Até semana que vem pessoal! o/

Read More

Ciberataques vazaram mais de 1 bilhão de dados das empresas em 2014

Os profissionais de segurança da informação vivenciaram os piores cenários em 2014.  Pesadelos se tornaram reais e o futuro, aparentemente, guarda um cenário tão assustador quanto o já visto até então. Violações de dados que foram notícia nos últimos meses continuarão este ano. 

A natureza dos ataques de cibercriminosos está mudando, de acordo Gemalto. Cada vez, hackers buscam roubo de identidade, o que torna mais difícil ações de barrar ou travar os atacantes. Outro ponto apontado pela provedora de ferramentas de segurança aponta para um número impressionante. 

De acordo com um relatório anual, os 1,514 incidentes de violação tornados públicos em 2014 expuseram e comprometeram mais de 1 bilhão de registros. Proporcionalmente, isso representou um aumento de 78% em relação ao ano anterior.

A Gemalto coleta dados a partir de fontes públicas e, apesar de eventuais lapsos, acredita que seu relatório reflete o que, de fato, está acontecendo no mundo em termos de segurança. "As leis de notificação de violação não mudaram dramaticamente", disse Tsion Gonen, diretor de estratégia de identidade e proteção de dados da Gemalto. 

Mega violações se configuram em uma dura realidade. Ataques comprometeram dezenas de milhões de registros de grandes empresas como  Home Depot (109 milhões de registros violados), eBay (145 milhões) e JP Morgan Chase (83 milhões).

O roubo de identidade foi responsável por 54% dos ataques, superando em até 20% o volume de 2013.  Gonen observa que o aumento é reflexo do sucesso de empresas de serviços financeiros em parar rapidamente crimes de acesso financeiros, como fraude de cartão de crédito. 

Códigos maliciosos foram responsáveis por 55% dos incidentes de violação. A segunda maior fonte de brechas toca erro humano (25% dos casos), que incluem temas como perda de dispositivos e dados não criptografados. 

Gonen acredita que 2014 será lembrado como um ponto de inflexão da segurança. Na sua opinião, conscientização é mais necessária do que nunca para que o cenário não fique pior do que já está. 

Fonte: IDG NOW!

Read More

Uma introdução à modelagem de ameaças

E ai pessoal!

Fiquei sabendo recentemente de um projeto da Electronic Frontier Foundation (espero que você saiba o que é a EFF...) chamado Surveillance Self-Defense. O projeto basicamente visa ensinar e concientizar as pessoas sobre a espionagem e segurança de suas informações de uma forma geral.

Como achei muito interessante e quero colaborar passando o projeto adiante vou traduzir algumas partes que julgo interessante e postarei aqui, ja que a maioria dos leitores do blog não segue meu conselho e vão estudar inglês. :)

Se você se garante, sinta-se a vontade de ir lá e ler por conta própria. O link está ali em cima...

Pra você que optou por esperar a tradução vamos lá! Vou começar pelo primeiro assunto, a introdução a modelagem de ameaças.



Não há uma solução única para se manter seguro online. Segurança digital não é sobre quais as ferramentas que você usa; ao contrário, trata-se de compreender as ameaças que enfrentam e como você pode combater essas ameaças. Para se tornar mais seguro, você deve determinar o que você precisa proteger, e de quem você precisa protegê-lo. As ameaças podem mudar dependendo de onde você está localizado, o que você está fazendo, e com quem você está trabalhando. Portanto, a fim de determinar quais as soluções que vai ser melhor para você, você deve realizar uma avaliação das ameaças.

Ao realizar uma avaliação, existem cinco questões principais que você deve se perguntar:

1. O que você quer proteger?
2. De quem você quer proteger?
3. Qual a probabilidade de que você vai precisar para protegê-la?
4. Quão ruim são as consequências se você falhar?
5. Quanta dificuldade que você está disposto a percorrer, a fim de tentar evitar esses?

Quando falamos sobre a primeira pergunta, que muitas vezes referem-se a bens, ou as coisas que você está tentando proteger. Um recurso é algo que você valoriza e quer proteger. Quando estamos falando de segurança digital, os ativos são geralmente informações. Por exemplo, seus e-mails, listas de contatos, mensagens instantâneas, e os arquivos são todos os ativos. Os dispositivos também são ativos.

Faça uma lista dos dados que você mantém, onde ele é mantido, quem tem acesso a ele, e que impede os outros de acessá-lo.

A fim de responder à segunda questão, "De quem você quer proteger," é importante compreender quem poderia querer você ou sua informação, ou quem é o seu adversário. Um adversário é qualquer pessoa ou entidade que representa uma ameaça contra um ou vários ativos. São exemplos de potenciais adversários o seu chefe, o seu governo, ou um hacker em uma rede pública.

Faça uma lista de quem pode querer se apoderar de seus dados ou de comunicações. Ele pode ser um indivíduo, uma agência governamental, ou uma corporação.

A ameaça é algo de ruim que pode acontecer a um ativo. Há inúmeras maneiras que um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações privadas à medida que passam através da rede, ou eles podem apagar ou corromper seus dados. Um adversário também pode desativar o seu acesso aos seus próprios dados.

Os motivos dos adversários são muito diferentes, como fazem seus ataques. Um governo que tenta evitar a disseminação de um vídeo mostrando a violência policial pode se contentar em simplesmente excluir ou reduzir a disponibilidade do vídeo, enquanto um adversário político pode desejar ter acesso ao conteúdo secreto e publicá-lo sem você saber.

Anote o que o seu adversário pode querer fazer com seus dados privados.

A capacidade de o atacante também é uma coisa importante para se pensar. Por exemplo, o seu fornecedor de telefone celular tem acesso a todos os seus registros de telefone e, portanto, tem a capacidade de usar esses dados contra você. Um hacker em uma rede Wi-Fi aberta pode acessar suas comunicações não criptografadas. Seu governo pode ter capacidades mais fortes.

A última coisa a considerar é de risco. O risco é a probabilidade de que uma ameaça específica contra um determinado ativo venha a ocorrer, e caminha lado a lado com a capacidade. Enquanto o seu provedor de telefonia móvel tem capacidade para acessar todos os seus dados, o risco deles postando seus dados pessoais on-line para prejudicar a sua reputação é baixo.

É importante distinguir entre as ameaças e riscos. Enquanto a ameaça é uma coisa ruim que pode acontecer, o risco é a probabilidade de que a ameaça ocorrerá. Por exemplo, não é uma ameaça que seu prédio poderia entrar em colapso, mas o risco de isso acontecer é muito maior em San Francisco (onde terremotos são comuns) do que em Estocolmo (onde eles não são).

Uma análise de risco é tanto um processo pessoal e subjetivo; nem todos têm as mesmas prioridades ou visões ameaças da mesma forma. Muitas pessoas acham que certas ameaças inaceitáveis não importa o que o risco, porque a simples presença da ameaça a qualquer risco não vale a pena o custo. Em outros casos, as pessoas desprezam riscos elevados, porque eles não consideram a ameaça como um problema.

Em um contexto militar, por exemplo, pode ser preferível para um ativo a ser destruída do que para que ela caia em mãos inimigas. Por outro lado, em muitos contextos civis, é mais importante para um ativo, como serviço de e-mail para estar disponível de confidencial.

Agora, vamos praticar este modelo

Por exemplo, se você quer manter sua casa e seus bens seguros, aqui estão algumas questões que você deve se perguntar:

• Deveria trancar minha porta?
• Que tipo de fechadura ou fechaduras eu deveria investir?
• Precisaria de um sistema de segurança mais avançado?
• Quais são os ativos neste cenário?
• A privacidade da minha casa
• Os objetos dentro da minha casa
• Qual é a ameaça?
• Alguém poderia entrar
• Qual é o risco real de alguém quebrando em? É provável?

Depois de ter perguntado a si mesmo estas perguntas, você está em uma posição para avaliar que medidas tomar. Se as suas posses são valiosas, mas o risco de um roubo é baixo, então você provavelmente não vai querer investir muito dinheiro em uma fechadura. Por outro lado, se o risco é alto, você vai querer obter as melhores fechaduras e cadeados no mercado, e talvez até mesmo adicionar um sistema de segurança.

Read More

Questões que você deveria fazer antes de virar alvo de hackers

Falhas de segurança acontecem. Você está preparado? A prevenção continua a ser a melhor postura. Em tempos de elevação no volume de ameaças, muitas companhias percebem a importância de canalizar esforço e recursos para minimizar os impactos das ações de cibercriminosos. Eis aqui cinco questões a serem consideradas antes de colocar um novo projeto de segurança em prática.

1. Qual a abordagem adotar?
Você já compreendeu que uma violação ou ataque é algo praticamente inevitável? Durante o ano passado, muitos executivos e empresas passaram a aceitar a noção de que vazamentos e falhas de segurança são mais uma questão de “quando” do que algo que pode efetivamente ser evitado. Isso significa justamente preparar-se com as armas adequadas para sofrer o menor impacto possível caso um episódio desses ocorra. Se aceitar a mentalidade de “assumir a violação”, o que e como monitorar o ambiente? Quais as prioridades? Isso demandará eventuais mudanças de abordagens ou substituição de legados?

2. Quão confiante estou com a estrutura atual?
Qual o seu nível de confiança em relação aos colaboradores de sua empresa, processos e tecnologia?  Considere esses três temas no âmbito de prevenção, detecção e resposta. É possível confiar nos seus sistemas atuais? Caso uma falha ocorra, sua estrutura irá avisá-lo? Com quanta agilidade e precisão? Ultimamente, a abordagem de “assumir a violação” é uma oportunidade para promover melhorias, mudando modelos de treinamento e postura das pessoas, fortalecendo processos e tecnologias.

3. O que é possível automatizar?
Quando confrontado com a falta de tempo e recursos, uma saída é buscar o máximo possível de automatização. Isso significa explorar ativamente o que pode ser automatizado em termos de prevenção, detecção e resposta. A chave, contudo, é assegurar que essa postura melhore as condições da equipe para que as pessoas se concentrem onde conseguem adicionar o máximo valor possível. Lembre-se: automação que dá trabalho só cria mais problema.

4. O que os testes ensinaram?
Testes são uma oportunidade validar modelos e expor o ambiente a falhas. Mais que isso, uma ferramenta poderosa para promover melhorias. Projetar essas ações – sejam realizadas internamente ou por agentes externos contratados – para validar o que você sabe e sondar as áreas que se sente menos confortável é uma prática muito válida. Com o tempo, você deve observar melhorias, assegurando ao mesmo tempo seus focos em pontos que demandam maior proteção e valor. O que esses testes têm mostrado e como eles melhoraram sua estrutura/ambiente?

5. O que acontece quando uma violação acontece?
Mais do que as outras perguntas, esta é uma conversa inicial. Na maioria dos casos, essa questão significa um desdobramento de estratégias e ações em termos de segurança. Com a ideia de se/quando uma violação ocorre significa uma definição do rumo que será traçado.

Em um vazamento de informações, quais as prioridades de negócios precisam ser consideradas em primeiro lugar? Os colaboradores sabem como agir nesses casos? Qual o impacto à organização? Que áreas ou profissionais precisam de envolvimento maior?

Por fim, use essas questões para iniciar as discussões de segurança na sua organização e preparar uma jornada que lhe ajude a ter o menor impacto possível quando um evento de vazamento de informações ocorrer. Lembre-se, também, que a evolução precisa ser constante.

Fonte: Computer World

Read More

Segurança em Redes sem Fio: Introdução

Fala Galera! Muito tempo sem escrever um artigo para a Brutal Security(muito mesmo), porém, como agora as coisas aliviaram mais, poderei voltar a contribuir com peso para o Blog.

Hoje, iniciaremos uma série de artigos nomeadas de “Segurança em Redes sem fio:”, toda semana(se possível), irei atualizar com um assunto acerca do tema sugerido para a série de artigos que estou propondo. Servirá tanto de auxilio para quem está começando, como um reforço para estudantes de InfoSec. Mas antes de irmos ao pote de ouro, iremos a uma introdução obrigatória para este tema.

Introdução:

Redes Sem Fio(Wireless), Foram adotadas por Empresas e a maioria dos usuários pelo mundo, pois facilita a comunicação e podendo ligar vários dispositivos a um único dispositivo de equipamentos sem dificuldades, utilizando ondas de rádio criadas pelas redes wireless compatíveis gerado pelo Dispositivo(Roteador). Além da facilidade de configuração, utilizando muito das vezes um cabo de rede(cat-5e) ou fibra óptica ligando o Roteador a uma rede WAN, através de um Modem.

Entre as politicas de Segurança, Temos as criptografias WEP, WPA e WPA2 para reforçar a segurança da senha utilizada em roteadores que fazem a distribuição da rede sem fio. Não irei entrar em detalhes, pois é crucial o estudante de Infosec conhecer sobre redes.

Observem a imagem, e vejam como funciona a distribuição de uma rede Wireless.

 

Imagem por: opixpic.com

Observem a Estrutura na Imagem, faz uma breve reprodução de como um Roteador Distribui Sinal em uma rede limitada e sem fio dentro de um restaurante. Computadores podem ser ligados via cabos a switches e (ou placas wireless) a Roteadores, enquanto que Smartphones, tablets e Notebooks ligados pelo sinal à rede, assim criando uma distribuição de sinal.

Todos Deveriam saber:

Redes Wireless, são facas de dois gumes, pois da mesma forma que elas facilitam a distribuição de equipamentos e dispositivos na rede, elas podem deixar os mesmos vulneráveis a atacantes que ingressarem em uma rede Doméstica ou corporativa, como exemplo. 

É Correto afirmar que em redes públicas, você corre um grande risco de ser vitima de um ataque de phishing(Ou quem sabe, você mesmo ser o atacante.. “risos”.), pois se a rede é pública, não dá pra adivinhar quem é o tipo de pessoa que tá utilizando a rede e para que fins. Vale Ressaltar, que o mesmo se aplica se você deixar sua rede Aberta para os vizinhos, ou sair dando a senha do seu WiFi para qualquer pessoa.

Vulnerabilidades estão sempre presentes em sistemas, principalmente em sistemas compartilhados em rede, portanto, reveja suas politicas de Segurança.

Roteadores são ótimos equipamentos, se você souber configurá-los, tenha a certeza que terás uma forte barreira contra cibercriminosos.

Nossa introdução básica, termina aqui! No decorrer da Série de artigos, iremos abordar outros assuntos bem interessantes. Didáticas sobre ataques, ferramentas e vulnerabilidades que encontramos em redes sem fio.

Até a Proxima!

Read More

França quer fortalecer privacidade na rede para 'equilibrar forças'

Primeiro-ministro francês afirmou que proteção das informações dos usuários da internet deve ser uma prioridade

O primeiro-ministro da França Manuel Valls afirmou nesta segunda-feira (8) esperar que a União Europeia endureça as leis de proteção à privacidade na internet no continente.

Durante uma conferência em Paris, organizada pela agência francesa de proteção à informação, Valls afirmou que a França apoia uma regulação mais rígida que proteja a privacidade dos usuários de internet em toda a Europa.

A nova regulação, que está há alguns anos sob análise de um comitê do bloco europeu, deve ser colocada em votação no próximo ano.

"Não podemos permitir que a exploração de informações pessoais aconteça na ausência de qualquer regra", afirmou Valls. "Valores democráticos devem prevalecer no mundo digital. A lei deve ser aplicada."

Os comentários do primeiro-ministro francês seguem às recentes manifestações de autoridades europeias, que desejam diminuir a força das empresas de tecnologia americanas no continente.

Na semana passada, o governo do Reino Unido afirmou que pretende implantar uma tributação de 25% às empresas que supostamente "fogem dos impostos" ao se instalar no país. O tributo foi apelidado pela imprensa britânica de "taxa Google.”

O governo inglês também criticou as empresas de tecnologia por não fazerem o bastante para combater materiais que estimulem o terrorismo em suas plataformas.

Além disso, o Google está sendo alvo de um processo antitruste, movido pela União Europeia, em relação às atividades de seu serviço de busca no continente.

Manuel Valls afirmou que suas declarações se referem especialmente às empresas de internet que pressionaram governos nacionais a barrarem leis de proteção à informação em seus países.

"Essas empresas preocupadas com questões de privacidade — não preciso citá-las por nome, todos sabemos quais elas são — têm duas vezes mais usuários do que a Europa tem de habitantes", afirmou Valls. "Precisamos ter certeza de que temos as ferramentas para manter um equilíbrio de poder."

Fonte: INFO

Read More

Perda de dados custa às empresas brasileiras US$ 26 bilhões em 12 meses

Companhias tiveram 17 horas de tempo de inatividade inesperado no período, o que acarretou consequências perda de receita e atrasos no desenvolvimento de produtos

A perda de dados e tempo de inatividade custou aproximadamente US$ 26 bilhões às empresas brasileiras no último ano. Mundialmente, o montante foi de US$ 1,7 trilhão. É o que apontou um estudo encomendado pela EMC, que indica que 62% dos profissionais de TI do Brasil não confiam integralmente em sua capacidade de recuperar informações após um incidente. 

Além disso, 61% das organizações não têm plano de recuperação de desastres para cargas de trabalho emergentes; e apenas 4% têm planos para big data, nuvem híbrida e dispositivos móveis. De acordo com o levantamento, “nenhuma das organizações do Brasil são 'Líderes' em proteção de dados; 9% são 'Adotantes'; 91% estão desatualizadas”, informa a fabricante. 

Apesar de o número de incidentes estar em queda, o volume de dados perdidos por incidente cresce exponencialmente. De acordo com o estudo, 59% das empresas pesquisadas passaram por perda de dados ou tempo de inatividade nos últimos 12 meses. 

Na média, as empresas tiveram 17 horas (mais de dois dias de trabalho) de tempo de inatividade inesperado no período, o que acarretou consequências perda de receita e atrasos no desenvolvimento de produtos. 

Segundo a pesquisa, empresas com três ou mais fornecedores perderam quase cinco vezes mais dados em comparação com as que têm estratégia de um só fornecedor. 

"As empresas com três fornecedores também tenderam a gastar, em média, US$ 15 milhões a mais na infraestrutura de proteção de dados, em comparação com as que têm apenas um", informa o relatório.

O EMC Global Data Protection Index, realizado pela Vanson Bourne, pesquisou 3,3 mil responsáveis por decisões de TI de médias a grandes empresas em 24 países entre agosto e setembro de 2014. 

Fonte: COMPUTERWORLD

Read More

Intel reforça divisão de segurança com compra da PasswordBox

Inaugurada oficialmente no começo deste ano, com a aquisição da McAfee, a divisão de segurança da Intel ganhou um reforço nesta segunda-feira com a compra da PasswordBox. A empresa canadense é responsável por um sistema de gerenciamento de senhas e identidades baixado mais de 14 milhões de vezes, e foi comprada por um valor não revelado.

Os 48 funcionários da pequena companhia passarão a integrar o quadro da Intel, “onde trabalharão na divisão Safe Identity da marca”, segundo o TechCrunch. A aplicação – ou ao menos a tecnologia por trás dela – também será mantida, e “futuras inovações devem ser anunciadas posteriormente”, de acordo com um comunicado.

O funcionamento do PasswordBox é similar, de certa forma, ao do LastPass. Para começar, o usuário guarda logins e senhas de diferentes serviços em uma espécie de cofre virtual. Depois, um plugin oferecido pelo sistema preenche automaticamente os dois campos nos sites cadastrados, o que agiliza o processo e dispensa a memorização de senhas.

A aplicação tem versões para Windows, Mac, Android e iOS, enquanto a extensão funciona no Chrome, no Firefox, no Safari, no IE e no Opera. Os dados registrados são criptografados com padrão AES-256 e depois decifrados localmente, além de serem sincronizados nos diferentes dispositivos em que o aplicativo é instalado.

A PasswordBox foi fundada há dois anos em Montreal, no Canadá, e conseguiu investimentos que passaram dos 6 milhões de dólares. Com esse dinheiro, a startup ainda comprou uma empresa menor, a Legacy Locker – e usou a tecnologia dela para adicionar ao serviço um sistema para definir o que acontece com os dados do cliente depois que ele morre.

Fonte: INFO

Read More