Wednesday, 29 May 2013
Segurança empresarial: analise os riscos em um ambiente corporativo
As empresas estão entendendo as consequências da falta de proteções para as informações digitais depois de serem vítimas de diversos ataques onde informações sensíveis são roubadas e ocorre prejuízo financeiro. As frequentes notícias sobre violações de dados causadas por funcionários ou por vulnerabilidades em um aplicativo costumam comover a gerência sênior para liberar mais orçamento a fim de fortalecer a segurança.
No entanto, proteger as informações pode ser abstrato para as pessoas e, para que a mensagem seja transmitida corretamente e entendida pelos diretores da empresa, é necessário enfatizar os riscos como danos à reputação da empresa e perdas financeiras.
A análise de riscos de segurança é, primeiro e principalmente, parte do processo contínuo de proteção de dados. Isso implica em diversas medidas para avaliar o nível de proteção da infraestrutura na qual são realizadas operações que envolvem informações críticas para o negócio. Esse processo é descrito em documentos normativos e informativos. Tudo depende da esfera de atividades específica da empresa.
Por exemplo, a segurança de informações no setor financeiro tem como base a documentação do próprio segmento, que por sua vez é composta por vários padrões organizacionais e específicos para cada região. Esses documentos são baseados nos métodos de avaliação de riscos de segurança de informações, que serão diferentes para cada área de atividade, sejam elas financeira, telecomunicações ou manufatura.
Em setores que não contam com normas de segurança específicas, as empresas devem criar suas próprias políticas. Um documento que resume o procedimento de gerenciamento de riscos não é uma orientação formal de como realizar esse processo, mas sim uma política prática de segurança que pode ser alterada considerando todas as possíveis imperfeições dos aspectos técnicos e organizacionais dos processos de negócios de uma empresa. São listadas todas as ameaças possíveis – sendo que a grande maioria delas afeta a infraestrutura de TI – com base em uma análise de risco prévia.
Depois que a equipe de gerenciamento se familiarizar com o relatório, ela deverá decidir sobre o nível de investimento que será feito na criação ou modernização de um sistema automatizado de segurança de dados. Isso envolve a definição por uma equipe de especialistas de quais riscos podem ser minimizados usando dispositivos de computação.
O perigo de violação de dados confidenciais pode ocorrer em numerosas formas de ataque direcionado ao sistema de TI. Por isso, incidentes de segurança de informações podem acontecer em qualquer lugar e com qualquer um. Ameaças que exploram vulnerabilidades em aplicativos corporativos, interceptam dados confidenciais enviados por canais de comunicação inseguros e conexões de dispositivos de hardware à rede com a intenção de copiar dados para terceiros são apenas alguns dos motivos que fazem os administradores se preocuparem em implementar soluções corporativas de segurança, como criptografia, antivírus, DLP, firewalls para diferentes níveis do modelo de OSI, entre outros.
Também é necessário investir mão de obra na configuração das camadas e fazer uma auditoria do sistema resultante. Geralmente esse processo envolve grande quantidade de relatórios de segurança, e por sua complexidade, requer tempo de análise para uma correta avaliação da situação. Considerando os desafios de execução e manutenção das políticas corporativas de segurança, faz sentido unificar todos os vários componentes de proteção em um único console de gerenciamento de segurança. Isso permite ainda trocar informações entre os componentes, criando um ambiente interligado no qual cada elemento responsável por seu próprio escopo é conectado a outros elementos.
O processo de análise dos riscos de segurança, geração de relatórios, criação/modernização das políticas de segurança e implementação dos componentes necessários é uma tarefa contínua e complexa, que deve idealmente ser baseada em uma abordagem centralizada para acelerar significativamente o processo de minimização dos riscos. Com menos tempo de trabalho despendido na auditoria de segurança, o departamento de TI pode focar em processos críticos do negócio, como adaptar-se às mudanças do mercado ou no comportamento do consumidor e melhorar a eficiência das operações da empresa.
Eljo Aragão, diretor-geral da Kaspersky Lab no Brasil
Obra com mesma ideia ou tema de outra não é plágio
Para o relator do processo, ministro Luis Felipe Salomão, não é possível deter direito sobre temas: “É pacífico que o direito autoral protege apenas uma obra, caracterizada a sua exteriorização sob determinada forma, não a ideia em si nem um tema determinado. Sendo assim, é plenamente possível a coexistência, a meu juízo, sem violação de direitos autorais, de obras semelhantes.” De acordo com o ministro, obras distintas podem partir de situações idênticas e se individualizar de acordo com a ótica e estética de cada autor.
Em seu voto, o ministro citou o doutrinador Hermano Duval, para quem a ideia e a forma de expressão são coisas independentes. Se duas obras, sob formas de expressão diferentes, contêm a mesma ideia, nenhuma das duas pode ser considerada plágio. E não somente porque a forma de expressão é diversa, mas porque a ideia é comum, pertencendo a todos. “Não pertence exclusivamente aos autores das obras em conflito, pertence a um patrimônio comum da humanidade”, diz Hermano Duval.
O doutrinador Rodrigo Moraes também foi citado: “O direito autoral nasceu para estimular a criação, não para engessá-la. Obras semelhantes podem perfeitamente coexistir de forma harmônica, sem evidência de plágio. É preciso estar atento àqueles que em tudo e em todos veem a caracterização de plágio. O exagero existente na ‘plagiofobia’ merece rechaço. Trata-se de corrente que fomenta o totalitarismo cultural.”
O caso
No caso em questão, a escritora de livros infanto-juvenis Eliane Ganem alega que o roteiro da minissérie televisiva Aquarela do Brasil fora, na verdade, baseado em um argumento original escrito por ela e entregue anos antes em diversas redes de televisão brasileiras.
A minissérie foi exibida pela TV Globo em 2000 e, ambientada no Rio de Janeiro dos anos 40, contava a história de uma jovem humilde que depois de participar de um concurso virou estrela do rádio. O argumento de Ganem, também chamado de Aquarela do Brasil, por sua vez, foi registrado na Biblioteca Nacional em 1996 e contava a história de uma jovem atriz em ascensão.
Enquanto a defesa da escritora ressaltou a simetria entre personagens e situações, como os triângulos amorosos da trama, a defesa de Muniz alegou que a ideia original, de uma moça pobre que vira estrela, é na verdade banal e carece de ineditismo. Laudo pericial, por sua vez, considerou as duas histórias igualmente inéditas e não percebeu semelhanças suficientes para configurar qualquer lesão a direitos autorais. Segundo o laudo, os autores criaram obras únicas, partindo de um período comum.
O acórdão do TJ-RJ aponta que a semelhança entre as duas histórias está na temática — em ambas, uma moça humilde ganha concurso e ascende ao estrelato, se envolvendo em triângulo amoroso e tendo como pano de fundo o ambiente artístico da década de 40. “Não configura plágio, portanto, a utilização de ideias sobre determinado tema, por mais incrível que seja”, afirmou o ministro Salomão. Para ele, não há usurpação de ideia, já que ideias não são passíveis de proteção.
O fato de as duas histórias terem o mesmo nome também foi levantado, mas a possibilidade de plágio foi igualmente descartada em vista da ausência de originalidade do título, já que Aquarela do Brasil é o nome de uma das canções mais conhecidas da música popular brasileira.
Inicialmente, o ministro Salomão havia negado seguimento ao recurso de Lauro César Muniz por falta de comprovação do recolhimento das custas judiciais e do porte de remessa e retorno — decisão confirmada pela 4ª Turma. Depois, com base em precedente da Corte Especial, a Turma voltou atrás e admitiu o recurso para julgamento do mérito. Com a decisão, o STJ anulou o acórdão do TJ-RJ e restabeleceu a sentença da juíza de primeira instância, que não reconheceu o plágio e afastou a violação dos direitos autorais.
Com informações da Assessoria de Imprensa do STJ.
Wednesday, 22 May 2013
Agências bancárias sem dinheiro reduzirão a necessidade de segurança?
Este fenômeno já é realidade em alguns lugares do mundo, como na Suécia, onde três dos quatro principais bancos têm um significativo número de agências “sem dinheiro”. O sueco Nordea tem aproximadamente 50% de suas agências neste modelo, enquanto seu copatriota SEB alcança a marca de 60%.
Apesar de a Suécia estar atualmente com um cenário bastante diferente de outros mercados bancários tradicionais, há mais exemplos ao redor do mundo em que o modelo começa a ser implantado. O National Irish Bank** adotou agências sem transações em dinheiro desde novembro de 2011, e o First National Bank (FNB) abriu suas primeiras agências sem moeda em espécie em Johanesburgo em 2012.
A principal razão para adoção de bancos sem moeda em espécie é que manusear dinheiro é muito caro e há um custo bastante significativo para as agências que usam papel-moeda em comparação com as que escolhem trabalhar com transações sem dinheiro em espécie. Isso sem contar o enorme risco para segurança representado pelas notas. Assim, atrás de redução de custos e riscos, os bancos optam cada vez mais por transferir operações com moeda em espécie para máquinas de autoatendimento e caixas automáticos.
Outro exemplo é o Bank Audi, no Líbano, que começou a trocar suas agências tradicionais por unidades sem papel-moeda simplesmente por causa do melhor custo-benefício. O custo de um banco tradicional é 15 vezes maior que o custo de suas agências denominadas NOVO, que não têm dinheiro em espécie, nem operadores de caixa.
No entanto, apesar da eficiência do novo modelo, é extremamente importante ressaltar que a necessidade por segurança em agências bancárias não diminui mesmo quando se evita transacionar dinheiro em espécie nos locais. As razões são várias.
Dinheiro não se resume em cédulas e moedas. Os bancos continuam e continuarão a transacionar uma quantidade enorme de dinheiro eletrônico todos os dias e os requerimentos por segurança em torno dessas operações são bastante altos. Os bancos são obrigados a cumprir regulamentações internas e externas de recursos humanos, sindicatos, etc – e essas regras não são modificadas rápida ou facilmente.
Em segundo lugar, quem rouba bancos nem sempre é parte do crime organizado – algumas vezes são meros indivíduos agindo por desespero ou impulso. Assim, assaltos a bancos continuam a ocorrem em agências sem dinheiro em espécie já que nem sempre os ladrões sabem que aquela unidade não tem papel-moeda.
Em paralelo, há um aumento no número de ameaças contra profissionais bancários, especialmente em agências que não manuseiam papel-moeda e são principalmente focadas em consultoria. A quantia limitada de dinheiro gera frustração, sem contar as consultas que possam levar a investimentos ruins graças às oscilações normais das bolsas de valores. Há um número enorme de razões para um banco, mesmo sem papel-moeda, ser alvo de violência. Bancos necessitam monitoramento constante para inibir crimes ao mesmo tempo em que estão prontos a identificar indivíduos que ameacem seus funcionários.
Outra razão é que assaltos a bancos não se limitam a ameaças a agências bancárias. Uma fraude interna também é um risco possível e facilmente descoberto e até inibido por câmeras de monitoramento. Monitoramento ainda é necessário para refrear atos de vandalismo, outro problema que os bancos enfrentam diariamente.
Finalmente, a observância também precisa ser levada em consideração quando legislações obrigarem o uso de câmeras independentemente de a agência bancária transacionar ou não dinheiro em espécie.
Naturalmente, outro lado importante é a possibilidade que um sistema de câmeras inteligentes tem de alertar departamentos ou instituições específicas (como a polícia) quando os crimes estão em curso ou prestes a acontecer. Monitoramento bancário via vídeo permite desde produção de provas até prevenção de delitos. Graças a uma plataforma flexível, o sistema de câmeras IP é eficiente em ambientes em constante mudança como uma agência bancária, permitindo que as instituições financeiras fiquem à frente dos crimes e continuem evoluindo para um futuro totalmente seguro.
**National Irish Banks é do 2012 Danske Bank
Seis ameaças reais de segurança que os profissionais de TI podem encontrar em 2013
1. Espionagem direcionada – Embora os especialistas em segurança não cometam este erro, muitos profissionais de TI podem achar o seguinte: “Minha organização não é um alvo de alto valor. O que temos que alguém poderia querer?” Na realidade, a resposta é “Mais do que vocês poderiam imaginar”. Alguns exemplos são informações confidenciais e pessoais, como números de cartão de crédito e de identificação tributária, históricos de pacientes, apenas para citar alguns. Além disso, com acesso direto à rede aberta, o intruso pode causar danos às redes de outras organizações.
2. Perda não intencional ou acidental de dados – Além do fato de que as organizações depositam uma grande dose de confiança em seus funcionários e acreditam que suas políticas sejam adequadas, o que pode pegar os profissionais de TI de surpresa é a simples ignorância do funcionário. Devido à proliferação de dispositivos móveis pessoais, os funcionários estão levando trabalho para casa com mais frequência. Isso tornou extremamente difícil monitorar quem e o que está se conectando à rede, resultando em menos controle e maiores riscos de segurança.
3. Ataques de negação de serviço (DoS) – Os ataques de DoS e DDoS estão entre as práticas criativas que mais crescem entre os hackers e que podem derrubar serviços críticos aos negócios, afetando o acesso de usuários e a continuidade dos negócios. Os profissionais de TI podem ser pegos de surpresa por este tipo de ataque, uma vez que, em muitos casos, é o resultado de alguém com a intenção de causar caos.
4. Equipe reduzida de TI – À medida que as organizações crescem e a largura de banda e recursos se tornam sobrecarregados, é fácil para profissionais de TI atarefados ignorarem as regras existentes e inadvertidamente abrirem brechas de segurança simplesmente por ignorar o impacto de uma alteração, ou para outros profissionais menos experientes não saberem o que monitorar e quais ferramentas usar.
5. Ataques de phishing – Pessoas mal intencionadas disfarçando-se de entidades confiáveistentam obter, por e-mail ou por mensagens instantâneas, nomes de usuários, senhas, detalhes de cartão de crédito e informações de conta para ter acesso a um sistema. As organizações mais afetadas acreditam que seus controles são bons o suficiente,esperando que o sistema de lixo eletrônico funcione como um escudo infalível ou que seus usuários saibam quando abrir e quando não abrir e-mails suspeitos.
6. Malwares que exploram vulnerabilidades comuns no tempo de execução de Java e Flash – Para muitas, se não a maioria, das organizações, aplicativos de terceiros, como Java e Flash, são infraestruturas essenciais e necessárias à utilização de um grande número de aplicativos de negócios. Uma organização torna-se um alvo principal a infecções quando os profissionais de TI partem do pressuposto de que a versão mais recente do aplicativo émprovadamente segura, quando eles não implementam os patches mais atualizados ou quando não têm controle total sobre todos os aplicativos instalados pelos usuários finais.
Sanjay Castelino, vice president & market leader de Network Management Business da Solarwinds
ESET divulga as dez ameaças virtuais mais propagadas em abril
No período, as três ameaças mais detectadas foram o INF/Autorun, o HTML/ScrInject.B e o Win32/Sality.
Segundo o sistema de estatística ThreatSense.Net, as dez principais ameaças à segurança da informação detectadas durante abril de 2013 foram:
1. INF/Autorun
Porcentagem total de detecções: 2.98%
Arquivo malicioso utilizado para executar e propor ações automaticamente, quando uma mídia externa, como um CD, DVD ou dispositivo USB, é usado no computador.
2. HTML/ScrInject.B
Porcentagem total de detecções: 2.29%
Infecção de páginas HTML que contêm scripts escondidos ou tags Iframe maliciosas, que redirecionam o usuário para o download do malware.
3. Win32/Sality
Porcentagem total de detecções: 1.82%
O Sality é um vírus polimórfico. Quando executado, inicia um serviço e cria ou elimina registros relacionados com as atividades de segurança no sistema. Modifica os arquivos .exe e .scr, além de desativar os serviços e processos referentes às soluções de segurança.
4. Win32/Dorkbot
Porcentagem total de detecções: 1.62%
Worm propagado por meio de mídias removíveis e que contém um backdoor, que permite o controle remoto. Seu objetivo é obter senhas de acesso dos usuários quando utilizam determinados sites.
5. HTML/Iframe.B
Porcentagem total de detecções: 1.48%
Iframe malicioso encontrado em páginas HTML e que são redireciona o usuário para uma URL específica com conteúdo malicioso.
6. Win32/Bundpil
Porcentagem total de detecções: 1.48%
Ele é um worm que se espalha por meio de mídias removíveis.
7. Win32/Ramnit
Porcentagem total de detecções: 1.46%
Trata-se de um vírus que se executa ao iniciar o sistema. Infecta arquivos .dll e .exe. Também busca arquivos htm e html para escrever instruções maliciosas neles. Ele pode ser controlado remotamente para tirar screenshots, enviar informações de maneira disfarçada, baixar ou executar arquivos e desligar ou reiniciar o computador.
8. HTML/Phishing.LinkedIn.A
Porcentagem total de detecções: 1.34%
É um trojan que redireciona o navegador para uma URL específica com o programa malicioso.
9. Win32/Conficker
Porcentagem total de detecções: 1.25%
É um worm de rede que aproveita diferentes vulnerabilidades do sistema operacional Windows, além de outros meios, como dispositivos de armazenamento removível e recursos compartilhados de rede. Quando infecta a máquina, ele permite que o cibercriminoso controle o computador do usuário de forma remota e realize ações maliciosas, sem a necessidade do uso de senhas de acesso.
10. JS/TrojanDownloader.Iframe.NKE
Porcentagem total de detecções: 0.97%
É um trojan que redireciona o navegador para uma URL específica com código malicioso. Geralmente, é encontrado em páginas HTML
Wednesday, 8 May 2013
BYOD: A mobilidade e a insegurança de redes de mãos dadas
Quando as empresas começaram a conectar suas redes internas à internet, elas descobriram rapidamente a importância da segurança. Vírus de movimentos rápidos e worms como o “I Love you”, “Melissa” e “Code Red” poderiam facilmente passar de desktop para desktop entupindo as redes e trazendo à infraestrutura de uma empresa inteira uma completa paralisação. Para combater essas ameaças, as empresas bloquearam seus desktops e servidores, forçaram a instalação de softwares antivírus, asseguraram que todos os sistemas tinham os patches mais recentes e softwares aprovados que só poderiam ser executados em seus sistemas proprietários.
Logo depois veio a mudança de desktop para laptop. Primeiro, eram os funcionários, que queriam trazer seus próprios computadores de casa para aproveitar a conexão rápida da internet no escritório. E em seguida, eram os vendedores e parceiros, que queriam se conectar remotamente às redes do escritório, através da internet, para verificar seus e-mails, ou obter a versão mais recente de uma apresentação. Essas conexões eram vistas como um grande risco, e declaradas proibidas por algumas corporações. Dessa forma, muitas empresas criaram um segmento de rede específico, para que os sistemas externos pudessem acessá-las, via internet, mas não interagir diretamente com os sistemas corporativos.
Mas hoje temos algo bem mais radical: o Bring Your Own Device (BYOD). Não são apenas alguns dispositivos que estão fora do controle do departamento de TI das organizações, mas as infinidades de atalhos de acesso e configurações de redes que já podem, potencialmente, significar comprometimento dos níveis de segurança. Uma situação que se torna especialmente preocupante quando dispositivos móveis, de várias origens, passam a ter acesso total ao servidor interno da empresa e aos diversos recursos de rede.
Nos dias de “Melissa” e “Code Red”, contando-se com o fato de que tudo foi devidamente salvo via backup, os únicos riscos reais para as empresas eram a perda de produtividade e o tempo de recuperação. Hoje o risco é maior e potencialmente mais destrutivo, devido a ataques direcionados que procuram a propriedade intelectual de uma empresa e informações financeiras. Não basta garantir que os dados estejam copiados para assegurar uma proteção adequada contra perdas catastróficas.
Os dispositivos móveis são hardwares poderosos e têm mais opções de conexão de rede do que qualquer desktop. É quase natural que tais dispositivos disponham de kits para se conectar automaticamente a qualquer rede wi-fi visível. O telefone ou tablet no bolso de um funcionário pode ligar e desligar uma dúzia, ou mais, de redes diferentes em um espaço de tempo que você levaria para caminhar até a esquina para almoçar. Sem mencionar a ligação com dados, quase sempre fornecidos inadvertidamente pela operadora de telefonia móvel. Cada uma dessas conexões traz consigo o potencial para a instalação de um software malicioso. O funcionário, então, inconscientemente, traz esse dispositivo de volta ao escritório e se conecta automaticamente à rede corporativa.
O malware móvel é uma ameaça que vem aumentando exponencialmente. O Escritório de Contabilidade do Governo dos EUA (GAO) divulgou um relatório, em 2012, no qual aponta que o malware móvel aumentou 185% em menos de um ano, passando de 14 para 40 mil amostras. Algumas dessas amostras podem ser secretamente instaladas, sem o conhecimento do usuário, conforme eles visitam certas páginas, ou até mesmo quando eles se conectam a pontos de acesso Wi-fi gratuitos que estão comprometidos. Esses dispositivos comprometidos, então, sem saber, são trazidos para se conectar de volta à rede corporativa.
O risco é escalado quando se considera que muitos dispositivos móveis, particularmente aqueles com sistema operacional Android, não foram atualizados em meses ou até anos. Segundo o relatório de segurança “2013 Trustwave Global Security Report”, no ano passado registrou-se um aumento de 400% no número de ocorrências com malware móvel. Todos os principais fornecedores, rotineiramente, emitem atualizações do sistema operacional, mas os fabricantes dos dispositivos não enviam essas atualizações para os usuários. Isso faz com que estes fiquem vulneráveis para códigos maliciosos que podem conter patches. Além do mais, as tais atualizações só serão úteis se o sistema operacional for modificado até a data de aparecimento de um novo malware. Por exemplo, a Verizon disponibilizou o Android versão 4.1 para o Motorola Droid 4 em março deste ano – oito meses após o Google tê-lo liberado!
Embora os malwares, em algumas plataformas móveis, sejam uma grande preocupação, não são a única. Inúmeros aplicativos móveis legítimos já foram utilizados para desviar contatos e outras informações a partir de um dispositivo móvel, sem o conhecimento do usuário. Assim, se o dispositivo do funcionário tem acesso ao diretório da empresa e ao banco de dados com contatos dos clientes, pode estar aí o risco de um duro golpe para qualquer empresa.
A perda do diretório corporativo poderia deixar toda a empresa aberta a um ataque de phishing com forte poder de estrago. Já a perda de dados de contatos de clientes poderia ser o ponto de partida para os clientes serem roubados pela concorrência. Enquanto as principais lojas de aplicativos fizeram um esforço para garantir que o aplicativo peça a permissão explícita do usuário, antes que possam acessar informações confidenciais, a maioria dos usuários irá cegamente clicar em “permitir” no aplicativo e, assim, possibilitar o acesso do aplicativo às informações de contato, sem perceber as implicações.
O 2013 Trustwave Global Security Report revela que 87,5% de todos os aplicativos iOS e Android sofreram algum tipo de defeito ou problema de segurança. As questões envolvem, geralmente, o cache de dados sensíveis no dispositivo, ou a transmissão dos dados sensíveis, através das muitas conexões de rede disponíveis. Muitas vezes, os desenvolvedores simplesmente incluem uma mera biblioteca ou framework para o aplicativo, e não estão mesmo cientes das ações que o próprio aplicativo está tomando.
O Webkit é o mecanismo de layout usado pelo navegador padrão no iOS, Android, e sistemas operacionais móveis do Blackberry 10, que suportam algumas das aplicações móveis mais disseminadas. Devido a isso, 90% das vulnerabilidades mais comuns em aplicações web de desktops também estavam presentes em aplicações móveis, tanto do Android como do iOS. O controle insuficiente de caches é um dos problemas mais comuns que afetam ambas as aplicações web, de Desktop e dispositivos móveis, permitindo que um invasor com acesso ao dispositivo abra as aplicações do cache para acessar informações valiosas. Por exemplo: em um ataque de repetição, o cibercriminoso é capaz de ouvir uma transação (através de engenharia social ou criptografia web mal configurada no aplicativo) e interceptar essa transação. O invasor pode, então, repetir essa operação ou alterar a sua lógica, sem ter que passar pelas etapas iniciais de autenticação e autorização. Há também a inserção de código, na qual um invasor pode injetar o código JavaScript em uma resposta enviada a partir de um servidor web. Como o aplicativo do cliente não valida a informação que recebe do servidor, o JavaScript será executado. Isso pode ser usado para roubar sessões de navegação ou, em um extremo, instalar malware no aplicativo.
Muitas pessoas pensam, erroneamente, que o Blackberry está imune a malwares. No entanto, a Blackberry tem visto uma parte da quota de malwares escrita em sua plataforma. O 2013 Trustwave Security Global Report revelou diversas variantes do Zeus, um dos mais populares trojans bancários, encontrados em aparelhos Blackberry, principalmente, na Alemanha, Itália e Espanha. A última versão do Blackberry, o Blackberry 10, virá instalada nos tão esperados novos dispositivos e, como acontece com qualquer lançamento, a segurança da plataforma ainda tem que ser testada. Considerando a base de usuários desses dispositivos, constituídas por executivos de alto nível e funcionários do governo, os invasores provavelmente tentarão comprometer a plataforma.
Não presuma que um dispositivo móvel que não tem conexão com o sistema de uma empresa não será valioso para um cibercriminoso. Eles ainda podem conter informações confidenciais, ou dados pessoais, que podem ser atraentes para um invasor online. Tais dispositivos têm realmente pouca idade, e, do ponto de vista da segurança, ainda estão na infância. Eles estão sujeitos a uma grande variedade de ameaças na forma de malwares, aplicativos mal codificados e sistemas operacionais desatualizados. Ao permitir o acesso de dispositivos móveis em suas redes, as empresas devem levar isto em conta, e procurar a proteção adequada em práticas como a segmentação da rede, autenticação, compartilhamento de dados e outras iniciativas para garantir a segurança dos dados da empresa.
Space Rogue é gerente de Inteligência de Ameaças da Trustwave
Thursday, 2 May 2013
Lições que aprendemos com os ataques à Coreia do Sul
Os ataques realizados no dia 20 de março na Coreia do Sul podem trazer alguns aprendizados importantes sobre segurança e proteção para as empresas. Saltam aos olhos três questões que devem ser analisadas mais de perto, como:
1. Ataques Pós-PC não são apenas sobre dispositivos;
2. A atualização automática de infraestrutura é um alvo viável;
3. Produtos de segurança e infraestrutura também são alvos.
Há um tema que tange todas estas lições: quando se fala sobre ataques direcionados não significa apenas o destinatário para o qual o e-mail de spearphishing é enviado para iniciar os ataques. Ataques direcionados também o são no sentido de entender a infraestrutura de uma potencial vítima cuidadosamente selecionada, com o objetivo de analisar e comprometer aquela infraestrutura específica, o máximo possível. Mais importante ainda é que isto se aplica às proteções e controles de segurança instalados.
Ataques Pós-PC não são apenas sobre dispositivos.
Uma coisa que se destaca é a presença de um código que ataca visando sistemas operacionais Unix e Linux. Temos visto criminosos começando a voltar sua atenção para o Mac OS X no último ano, logo, os ataques de malware contra sistemas operacionais diferentes do Windows não são inerentemente novos. No entanto, o Unix e o Linux têm sido alvos, com mais frequência, de ataques de hackers ativos do que de malware, de modo que representa uma nova tendência ao trazer esses sistemas operacionais à mira dos ataques pós-PC.
A maioria das organizações tende a usar versões do Unix para sistemas de alto valor, por isso incluí-los neste código de ataque parece indicar uma segmentação ativa de que esses tipos de sistemas são alvos. O Linux tende a ser usado para infraestrutura e como uma commodity em termos de sistema operacional, então também é possível perceber que isto está sendo usado para selecionar os alvos com base em sistema operacional.
A principal lição quando se olha para ataques direcionados, é que agora é preciso ver todas as plataformas e dispositivos como alvos viáveis. Faz sentido estender as práticas de segurança de terminais para todas as plataformas e dispositivos, o máximo possível, e implementar outras camadas de proteção para resguardar plataformas e dispositivos que não podem ser protegidos por segurança de terminais (como o iOS).
A atualização automática de infraestrutura é um alvo viável. Os criminosos podem ter comprometido credenciais de gerenciamento de sistemas e patches das vítimas e usado para distribuir seu malware. Este é o segundo grande ataque alvejado que comprometeu um autoupdate ou patch de gestão de infraestrutura e o transformou em um sistema de distribuição de malware: o ataque Flame em maio passado representou uma grande escalada de metodologias de ataque por comprometer o cliente do Windows Update para fazer a entrega do malware.
Em vista do ataque Flame e agora este novo ataque, fica claro que os criminosos não só querem comprometer os mecanismos de atualização automática, mas que podem fazê-lo. Isto não significa dizer que as atualizações automáticas devem ser vistas como certamente pouco confiáveis, mas que já não podem ser vistas como à prova de falhas.
Enquanto o Flame foi o resultado de um trabalho muito sofisticado, os ataques da Coreia do Sul contaram com antiquados comprometimentos de credenciais. Enquanto há pouco que possa ser feito para se proteger contra o tipo de ataque usado no Flame, é possível tomar medidas para garantir uma melhor segurança na infraestrutura de gerenciamento e atualização de patches, sob controle. De um ponto de vista de gestão de risco, deve-se avaliar esses ativos como críticos, como alvos de alto valor e abordando os riscos de forma adequada.
Produtos de segurança e infraestrutura também são alvos.
Este ponto nasce do anterior e é uma lição mais ampla. O malware MBR wiper foi dirigido especificamente para os processos de dois ou três produtos de suítes de segurança coreanos. Alvejar produtos de segurança em si não é uma coisa nova: o Conficker/DOWNAD, entre outros, já fizeram isso no passado. Mas o que é mais interessante aqui é que as ações estão limitadas a alvejar apenas dois ou três produtos, em vez de um grande número, como fez o DOWNAD.
Isso mostra a consciência das proteções de segurança em vigor nos alvos pretendidos. Quando combinados com o fato de que o comprometimento do sistema de gerenciamento de patches também foi focado em um único fornecedor, podemos concluir que os criminosos fizeram sua lição de casa e reuniram informações sobre suas vítimas destinadas com relação à segurança e infraestrutura.
Na linha do ajuste da avaliação de risco da infraestrutura de gerenciamento de patches, a lição é que em um ataque direcionado a segurança da empresa e produtos de infraestrutura podem ser alvos viáveis. Como tal, é preciso mitigar esse risco em conformidade, com camadas adicionais de proteção, especialmente camadas que suportam capacidades de detecção heurística.
Para finalizar, duas coisas se destacaram nos ataques MBRwiper: quão destrutivos foram e como claramente focaram em alvos de alto valor. Ataques em grande escala como estes são raros: o exemplo mais recente que está próximo a isso é o WittyWorm de 2004 que alvejava sistemas que executavam o Black Ice e rendia os sistemas inoperantes.
Estes ataques definitivamente destacam algumas novas e emergentes tendências preocupantes em termos de ataques. O melhor a fazer é entender o que significam essas tendências e tomar providências agora para melhor se proteger contra eles. Se há uma coisa certa, é que as táticas de sucesso são adicionadas à gama de ferramentas coletiva dos criminosos e reutilizadas em outros ataques.
Leonardo Bonomi é diretor de Suporte e Serviços na Trend Micro
Novas leis aumentam a demanda por gestores em Sistemas de Segurança de Informação
Apesar da crescente demanda do consumidor em exigir segurança de seus dados aos lojistas e com os novos decretos instituídos pelo Governo, o nº 7.963 que institui o Plano Nacional do Consumo e Cidadania (já em vigor), e o nº 7.962 sobre a contratação no Comércio Eletrônico (em vigor a partir de 15 de maio), a maioria das empresas brasileiras ainda estão despreparadas para a gestão segura da informação.
Segundo pesquisa da Edelman Privacy Risk, somente 22% das empresas brasileiras consideram privacidade e segurança de informações pessoais como prioridade corporativa e apenas 19% afirmam ter tecnologia e conhecimento suficiente para proteger dados de clientes e funcionários. Além deste panorama, a pesquisa, que contou com 6.400 executivos responsáveis pelo gerenciamento de dados em 29 países, constatou que 81% dos respondentes brasileiros acreditam que a sua organização não tem experiência, treinamento ou tecnologia para proteger as informações pessoais.
“São dados alarmantes e revelam que as empresas não estão preparadas para atender essas novas legislações em vigor. Afinal, o tempo de processo de segurança da informação é longo e dentro dos 60 dias estipulados pelo governo para as adaptações do decreto 7.962, elas têm de estar ao menos com o plano estruturado neste sentido”, argumenta Edison Fontes, especialista no tema e professor do curso de Sistemas de Segurança da Informação da FIA -Fundação Instituto de Administração.
Outra legislação importante é a Lei 12.737/2012 que dispõe sobre a tipificação criminal de delitos informáticos que alterou o Artigo 154 do Código Penal criando o crime de invasão de dispositivo informático, porém exigindo a existência de mecanismo de segurança. “Desta maneira as organizações precisam implantar e manter controles de proteção da informação. Isto é, precisam ter um processo organizacional de segurança da informação. Sem este processo nenhuma organização pode se queixar de que foi criminalmente invadida” complementa Fontes.
Para as organizações que vão prestar o Serviço de Cadastro Positivo que estará comercialmente disponível a partir do mês de agosto próximo, o Decreto 7.829 exige que elas sigam as melhores práticas de segurança da informação, tenham políticas de segurança, planos de recuperação em caso de desastre e façam gestão de riscos.
O acadêmico informa que se engana quem acredita que segurança da informação se resume apenas à tecnologia. “A maioria das pessoas acredita que somente proteção contra vírus, firewall, por exemplo, são suficientes para garantir a segurança de informações. Claro que é um aspecto importante, mas não o único.
Baseado na Norma internacional ISO/IEC27002, consideramos 16 Dimensões para o Processo de Segurança da Informação em uma organização: políticas e normas; treinamento de pessoas; plano de continuidade de negócio; acesso à informação; desenvolvimento e aquisição de sistemas; classificação da informação, descarte de lixo são alguns deles. Por isso, a estruturação do processo de gestão da segurança da informação precisa da participação dos responsáveis pelas áreas, gestores e CEOs”, afirma Fontes.
Para atender essa necessidade do mercado, a FIA abre inscrições até 4 de junho para o curso de extensão em Sistemas de Segurança de Informação, que será realizado na unidade Butantã da instituição, em São Paulo. Com 16 horas de duração, é destinado a responsáveis pela segurança da informação na organização; auditores de sistemas; gestores de controles internos e compliance; profissionais de riscos, de continuidade de negócio e de treinamento em segurança; gestores de Tecnologia da Informação; gestores da Proteção Corporativa-Patrimonial; executivos que desejam estruturar a segurança da informação na organização e gestores de negócio com responsabilidade de Gestor da Informação.
Com coordenação do professor Nicolau Reinhard, o conteúdo do curso contempla: abordagem gerencial, com exposição das melhores práticas para a gestão da segurança da informação na organização, e apresentação de situações reais para discussão e exercícios com os participantes.