Múltiplas vulnerabilidades no sistema de controle de acesso seguro da Cisco

A Cisco solicitou aos usuários do sistema de controle de acesso seguro – ACS 5.5  ou inferior – para implementar uma correção urgente, com problemas na  implementação do RMI (Remote Method Invocation).

Foram detectados três erros independentes: uma vulnerabilidade de escalada de  privilégios (CVE-2014-0649), uma vulnerabilidade de acesso não autenticado  (CVE-2014-0648), e por último uma vulnerabildiade de injeção de comando no  sistema operacional (CVE 2014-0650). Os dois primeiros, a Cisco afirma serem  decorrentes de “autenticação insuficiente e na aplicação da autorização”, enquanto  o terceiro é causado por “validação insuficiente de entrada”.

O sistema de chamada de método remoto Java, permite a comunicação entre dispositivos ACS, usando a porta TCP 2020 e 2030. Isso permite aos usuários replicarem informações e confirmarem dados em ambientes multi-servidor. Em uma nota separada, a Cisco recomenda a restrição do acesso a essas portas, para apenas servidores de confiança, e a utilização do Transit Access Control List para ignorar pacotes tentando explorar vulnerabilidades.

A atualização está disponível no link: tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140115-csacs

Fonte: Blog SegInfo

Read More

Cisco revoluciona e lança o mais avançado processador de rede do mundo

nPower é o primeiro processador com taxa de transferência real de 400 Gigabits por segundo (Gbps) a partir de um único chip

A Cisco anunciou em 12.09.2013 o lançamento do processador de rede mais escalável e programável do mundo, projetado para suportar a Internet de Todas as Coisas (IoE - Internet of Everything ), à medida que mais pessoas, processos, dados e coisas tornam-se interconectadas. Com trilhões de "eventos em rede" avançados, previstos para entrarem on-line ao longo da próxima década, o processador de rede integrado Cisco® nPower™ oferece novos níveis de desempenho e largura de banda, bem como controle programável usando APIs abertas e recursos de computação avançados.

Com base na rica experiência da Cisco em inovação em chips de rede, o processador de rede integrado nPower X1 - a primeira geração da família de processadores nPower - torna-se o primeiro da indústria capaz de escalar para os níveis de desempenho de multi-terabits ao processar trilhões de transações. Proporcionando velocidade e inteligência de rede sem precedentes, o nPower X1 foi desenvolvido para redes definidas por software (SDN - software-defined networking), permitindo rápida reprogramação para novos níveis de agilidade de serviço e operação de rede simplificada. O nPower X1, que incorpora mais de 50 patentes, também apresenta os seguintes avanços em processamento de rede:

• Primeiro com taxa de transferência real de 400 Gigabits por segundo (Gbps) a partir de um único chip, para permitir desempenho da rede multi-terabits. Todas as funções de processamento de pacotes, gerenciamento de tráfego e de entrada/saída são integradas em um único nPower X1 e operam em alto desempenho e escala.
• Controle programável com o mais alto desempenho projetado para processar com perfeição centenas de milhões de transações por segundo. A arquitetura de processamento do nPower, líder do setor, foi desenvolvida para eventos gerados por máquina e aplicativos de vídeo em ultra HD.
• Com 4 bilhões de transistores em um único chip, a implantação do nPower X1 alcança níveis sem precedentes de desempenho, funcionalidade, capacidade de programação e escala para um processador de rede.
• Permite soluções com taxa de transferência oito vezes maior e um quarto do consumo de energia por bit em comparação com o processador de rede anterior líder do segmento, da Cisco.

Fonte: Globalnewsroom

Read More

Cisco redesenha especialização e treinamentos para alavancar negócios em PMEs

Fabricante está diminuindo o número de horas de treinamento e de especializações, para que os parceiros mirem e angariem novos clientes de pequenos e médios negócios

A Cisco redesenhou suas especializações para PMEs e cortou o número de horas de treinamento para que os canais atinjam as pequenas e médias, em esforço para integrar provedores de serviços que podem ajudar a fabricante em novas rotas neste nicho de mercado.

Segundo Steve Benvenuto, diretor sênior de desenvolvimento de negócios para o programa de parceiros, estratégia e planejamento da Cisco, a companhia uniu os dois antigos certames de especializações – Small Business e Small Business Foundation (SBF) – em um. A fabricante os consolidou para fazer com que o programa e os processos de especialização sejam mais fáceis para os parceiros.

“O ponto principal foi realmente simplificar a abordagem para nossos parceiros que estão focados neste espaço [de PMEs]”, afirma Benvenuto.

Junto ao movimento de rodar várias especializações dentro do mesmo conjunto, a Cisco está reduzindo o número de requisições que os parceiros precisam para obter uma nova especialização. Especificadamente, Benvenuto diz que a companhia está cortando o número de treinamentos que os canais precisam completar para alcançar a especialização para PMEs, de 15 para quatro horas.

“Nos últimos anos, nós estávamos adicionando treinamentos e construindo especializações em cima”, diz. “Agora estamos dizendo ‘vamos assumir uma abordagem mais clara e objetiva.’”

Os cursos, junto com os recursos de treinamento de PMEs, estão também sendo atualizados para incluir um novo material específico para a nuvem, produtos de telepresença, virtualização e switches para data center, conta o executivo. Os cursos estarão disponíveis de graça no portal Cisco Partner Education Connection, e os distribuidores da fabricante também contarão com instruções para rodar as novas linhas de processos nestes tópicos.

A Cisco, atualmente, conta com certa de 11 mil parceiros em todo o mundo com especializações para PMEs. A reconstrução das especializações e a redução das requisições para treinamentos refletem o amplo esforço da organização em mirar parceiros que olhem o mercado das pequenas e médias.

Robert Betzel, CEO da Infinity Network Solutions, acredita que as novas medidas beneficiarão especialmente os pequenos parceiros, que não necessariamente contavam com tempo ou um headcount para assumir as requisições anteriores.

“A Cisco quer fazer com que canais que queiram trabalhar com a marca, mesmo que sejam pequenos, consigam fazê-lo”, diz Betzel. “Eu teria recebido de braços abertos o que eles estão fazendo hoje, quando eu comecei, e assim poderia ter tido uma parceria com a Cisco ainda mais cedo.”

Fonte: Crn.Itweb

Read More

5 dicas de segurança da informação do CISO do FBI

Ao falar sobre as ameaças internas, Patrick Reidy passou dicas que podem facilitar o dia a dia da segurança da informação nas empresasImagine que sua empresa é daquelas que possuem controles rígidos de segurança. Atualiza softwares todos os anos, tem o melhor firewall do mercado, antivírus nas máquinas de todos os funcionários e até uma plataforma de gerenciamento de dispositivo móvel, além de todo o ferramental disponível no mercado. Teoricamente, você fez um ótimo trabalho e as informações da sua empresa estão protegidas. Mas não estão. Pelo menos é esse o alerta passado por Patrick Reidy, Chief Information Security Officer (CISO), do FBI, a agência de investigação do governo norte-americano.Para ele, embora elas sejam um número menor, você, como responsável pela segurança da informação de sua empresa, deveria se preocupar muito mais com as ameaças internas. No geral, os prejuízos causados por elas são muito maiores e podem ir de US$ 472 mil e chegar a bilhões, dependendo da gravidade do problema. E não necessariamente o funcionário responsável tinha tal intenção. Muitas vezes, ele ‘apenas’ deixou de cumprir parte da política de segurança, até por desconhecimento, como lembrou Reidy, durante apresentação realizada no Black Hat 2013, em Las Vegas, evento organizado pela UBM e que ganhará uma versão brasileira com o nome de IT Forum Expo/Black Hat, em parceria com a IT Mídia, em São Paulo.

A seguir, você confere as cinco dicas básicas do CISO do FBI:

1 – Seus colaboradores não são hackers

“A primeira lição é que sua ameaça interna não é um hacker. São pessoas que entraram na empresa sem intenções criminosas. E muitas das ferramentas e técnicas são desenvolvidas tendo em mente o hacker. Essa ameaça ainda é mal compreendida. Trata-se de uma grande dor de cabeça, representa 24% dos incidentes e 35% do nosso tempo. Os problemas associados são perda de dados, violação de políticas, perda de equipamentos, entre outros. Trabalhe com campanhas e treinamentos de usuários para amenizar essa questão.”

2 – A ameaça interna não é de ordem técnica

“Trabalhar a ameaça interna não depende apenas de uma política e de compras de ferramentas. 90% dos problemas não são técnicos. Um pessoal com dedicação exclusiva é algo essencial e ajuda muito. Você conhece seus funcionários? Você precisa de informações do RH, mapear atividades, IPs, USB usados, email, para fazer cruzamentos e entender se há violação das regras. Minha dica é: conheça bem seu inimigo. Quem focaria sua organização? Quem seria o foco dentro da organização? Quem são os usuários que representam o maior risco para sua organização? São perguntas importantes com respostas diferentes para cada tipo de negócio.”

3 – Um bom programa interno deve focar em retenção, não em detecção

“Torne o ambiente complexo para a ameaça interna, tenha uma segurança centrada em dados e não em sistemas e use uma engenharia social positiva. No caso do FBI, 13,9 mil pessoas vão armadas para o trabalho todos os dias, se é possível treiná-los para o uso adequado da arma de fogo, como não seria para o bom uso das informações? É preciso criar uma engenharia social positiva, com guias atualizados, reduzindo o risco, mas sem impacto no fluxo de trabalho.”

4 – Evite problemas com sobrecarga de informações

“Coletamos absolutamente tudo. E aí reside um grande problema: as ferramentas estão falhando em lidar com tudo isso. Há ferramentas de Big Data, mas que presumem que todo dado é importante, e não é assim. É preciso separar o que é importante. Foque em duas fontes: você não precisa de tudo, avalie os dados do RH para conhecer as pessoas e os papéis e estações de trabalho de cada um e, como complemento, olhe para os logs de sistemas para avaliar entradas e saídas.”

5 – Use análise comportamental

“Prever eventos raros pode ser praticamente impossível. Então, não gaste tempo e dinheiro com o impossível. Olhe para as bandeiras vermelhas na medida em que elas aparecerem. Muitas pessoas acabam não evoluindo para uma ameaça real. Use detecção comportamental. Pense mais como alguém de mercado e menos com um analista de IDS (sigla em inglês para sistema de detecção de intrusos). Construa uma base em volume de usuários, velocidade, frequência, trabalho por hora, semana e mensal para ter uma ideia e uma média real do que acontece no ambiente.”

Referência:

Read More

Certificação? Para quê serve isso?

Então, vamos lá, para um assunto que chama muito a atenção na nossa área, a certificação.

Mas antes de mais nada, o que é uma certificação? Perguntando para nossa amiga wikipedia conseguimos isso:

“Certificação é a declaração formal de “ser verdade”, emitida por quem tenha credibilidade e tenha autoridade legal ou moral. Ela deve ser formal, isto é, deve ser feita seguindo um ritual e ser corporificada em um documento. A certificação deve declarar ou dar a entender, explicitamente, que determinada coisa, status ou evento é verdadeiro. Deve também ser emitida por alguém, ou alguma instituição, que tenha fé pública, isto é, que tenha credibilidade perante a sociedade. Essa credibilidade pode ser instituída por lei ou decorrente de aceitação social.”

Traduzindo isso para nosso ramo, basicamente, um profissional certificado é aquele profissional que se propôs a um teste em alguma instituição de grande renome e esta instituição o declara como um profissional altamente capacitado para aquela devida função mediante aprovação do mesmo.

Hoje em dia fala-se muito em certificação. Alguns chegam ir mais além, dizendo que certificação deve substituir uma graduação normal como Ciências da Computação, Sistemas da Informação, entre outros. É usado como argumento, para reforçar esse ponto, que as certificações vão direto ao ponto, diferente das faculdades que preparam o profissional para todas as possíveis situações. Outro aspecto notável é o aumento da procura de profissionais certificados para funções específicas, como nosso caso pentest.

Não podemos deixar de lembrar também que praticamente todas as certificações tem valor global, diferente de um diploma de graduação que, não são todos reconhecidos mundialmente.

Mas esse ponto de vista vai de cada um, não vamos discutir isso hoje. Para os interessados em alguma certificação de pentest ou algo do tipo, existe uma vasta gama de instituições que podem prover o seu tão sonhado certificado, dando um belo upgrade no seu currículo. Vamos falar aqui sobre as principais e mais conhecidas de hoje em dia.

LPI – Linux Professional Institute

O Linux Professional Institute é uma organização sem fins lucrativos, sediada na California – USA e constituída em 1999 pela comunidade Linux e desenvolve de forma acessível um programa de certificação em sistemas GNU/Linux reconhecido internacionalmente por empresas, empregadores e profissionais de TI. Seu objetivo é criar um padrão global de  certificação em ambientes Linux. A LPI é dividida em níveis, atualmente contando com nível 1, 2 e 3. Cada nível representa uma certificação, sendo a nível 1 mais simples e a nível 3 a mais complexa e completa, representando assim uma sequencia lógica crescente. Muito procurada hoje em dia por profissionais de todo o mundo que querem se especializar em Linux. Empresas também estão começando a aderir, cada vez mais, a soluções se software livre, Uma LPI hoje em dia pode fazer muita diferença.

Para mais informações visite o site oficial da LPI: www.lpi.org

CISCO

Outra gigante, também com um sistema de formação em 3 níveis (CCNA, CCNP e CCIE), chama a atenção. Sem dúvida, nos dias de hoje, as certificações CISCO estão em primeiro lugar aos olhos das empresas e profissionais do ramo. Como seus produtos, as certificações cisco são um pouco mais abrangentes que as outras. Seu objetivo é formar profissionais altamente capacitados para operar sistemas de redes independente do ambiente. Por isso e outros motivos que ela é tão procurada. A CISCO tem certificações mais específicas para interessados apenas em segurança da informação, são elas CCSP e CCSE.

Para mais informações visite o site oficial da CISCO: www.cisco.com

Microsoft

A Microsoft tem um programa de certificação e treinamento super amplo, não vamos cobrir todo ele, mas resumindo, tem certificações para praticamente todos os softwares e soluções que eles prestam. Vamos falar apenas das principais, as 4 mais procuradas e conhecidas. São elas: Microsoft Certified Professional (MCP), Microsoft Certified Desktop Support Technician (MCDST), Microsoft Certified Systems Administrator (MCSA) e Microsoft Certified Systems Engineer (MCSE). Todas elas, seguindo o padrão, divididas em 3 níveis. Muito boas também e muito bem vistas pelo mercado. Uma certificação que com certeza vai dar um enorme diferencial no seu currículo.

Para mais informações visite o site oficial da Microsoft: www.microsoft.com

CEH – Certified Ethical Hacker

Agora a coisa começa a ficar boa, estamos chegando no ponto. A CEH é uma das certificações da Ec-concil, sem dúvida a mais conhecida certificação de pentest da atualidade. Sonho de muitos, inclusive desse que escreve. Conhecida pelo alto nível de profissionalismo, técnica e ética que forma seus profissionais a CEH é um divisor de águas, em muitos casos empresas temem em contratar profissionais que se dizem experts em segurança, não deve ser fácil para um administrador de empresas confiar todo o sistema e infraestrutura da empresa para alguém que tem apenas a própria palavra de competência. A CEH acaba com isso, pois o nível de conhecimento e seriedade, como já diz o nome, que essa certificação trás é imenso. Uma certificação de grande peso mas não é a unica, o instituto Ec-concil conta com outras certificações, todas de grande peso e valor e todas voltadas para o mercado de segurança pessoal e empresarial.

Para mais informações visite o site da Ec-concil: www.eccouncil.org

Offensive Security

Mais uma empresa focada apenas em certificações de segurança e em nível bem próximo da CEH. A Offensive Security conta com 5 certificações de segurança. Mesmo não tendo toda a fama das outras não deixa de ser uma certificação respeitada, muito popular pelo seus cursos preparatórios para a certificação. Marcando presença em todos os eventos de segurança ao redor do globo. Pode não ter todo o glamour de uma CEH, mas por isso não tem o valor financeiro de uma CEH, então fica a dica caso o dinheiro esteja curto por ai, não vá ficar parado.

Mais informações no site da Offensive Security: www.offensive-security.com

Mas não é só isso!

Existem muitas outras certificações por ai, como a Systems Security Certified Practitioner (SSCP), a Certified Information Systems Auditor (CISA), a Global Information Assurance Certification (GIAC), CompTIA Security+ e muitas outras.

Então a dica final para você que busca uma qualificação nessa área de atuação é pesquisar qual vai te trazer mais benefícios e sucesso em seu caminho, uma escolha certa aqui pode lhe trazer bons resultados em pouco tempo.

E para terminar com chave de ouro, minha escolha foi a LPI 1 e 2, a CEH e a ACMT (Apple) que já estou encaminhando, e tudo indica que este ano chegará por ai.

Read More