Tuesday, 16 December 2014

Symantec revela 5 tendências de ataques para 2015

Os especialistas de segurança da Symantec identificaram que, em 2015, o cenário de Segurança da Informação será de grande luta entre cibercriminosos e profissionais que buscam proteger os dados de ataques, o que intensificará as tendências observadas em 2013 (ano das megaviolações) e 2014 (com a descoberta de grandes vulnerabilidades como o Heartbleed e Shellshock).

Por isso, a empresa lista cinco previsões para a segurança na América Latina, que debatem desde o aumento do uso de Internet das Coisas (IoT) e o papel da Big Data até a necessidade de defesas móveis e atenção à privacidade. Elas abrangem desde o consumidor final até empresas e governos.

1. O aprendizado de máquinas mudará o combate contra o cibercrime. Uma nova geração de plataformas de negócios está surgindo com a convergência entre o aprendizado de máquinas e big data. Isso trará ainda mais proatividade contra ameaças e aumentará as taxas de detecção, reduzindo o número de ataques bem-sucedidos de criminosos virtuais.

2. A privacidade continuará sacrificada em nome de aplicativos móveis. Alguns usuários de dispositivos móveis continuarão a trocar privacidade por aplicações móveis. Ou seja, apesar das pessoas relutarem a compartilhar dados bancários e pessoais, muitos ainda disponibilizarão informações sobre sua localização, fotos e contatos em troca de novos aplicativos.

3. A negação de serviço distribuído (DDoS) continuará uma ameaça crescente. Uma das tendências de 2014 foi o aumento de servidores Unix comprometidos e uso de sua banda para ofensivas DDoS, com as mais diversas motivações, como hackativismo, lucro e disputas. A Symantec antecipa a continuação e o aumento dessa tendência, com cada vez mais intensos ataques.

4. O comportamento do usuário será o centro das atenções conforme surjam novas soluções além das senhas. Com o sistema de senhas sob ataque constante de cibercriminosos, os fornecedores de segurança buscaram novas técnicas de autenticação, como verificação de íris e de impressão digital. Entretanto, a verdadeira solução para proteger informações está no comportamento dos usuários, que devem adotar medidas para evitar o comprometimento de dados.

5. A cibersegurança será fortalecida por parcerias e colaborações na indústria. A indústria de segurança está unindo forças com provedores de telecomunicações e governos do mundo todo para combater crimes virtuais. Em 2015, enquanto os atacantes continuarem buscando alternativas, as plataformas de código aberto continuarão a abordar vulnerabilidades com ainda maior coordenação, colaboração e resposta da indústria.

SaaS na nuvem – A conectividade na era dos aplicativos

A nuvem já não é mais novidade. O Software as a Service (SaaS) também não. Mas, o que você sabe sobre a combinação entre eles? Ambos são ótimas oportunidades para as empresas, principalmente em função do baixo custo de investimento inicial. No entanto, vale lembrar que estes modelos alteram toda a dinâmica das áreas de TI até aqui. A partir de agora, mais do que nunca, as aplicações e serviços dependem da conectividade para manter o bom desempenho e o setor de TI não consegue garantir o padrão de qualidade das operadoras de Telecom. Com o acesso simples que o SaaS oferece, os executivos não precisam mais, necessariamente, do aval da equipe de TI ou do CIO da empresa para utilizar um determinado aplicativo, o que também dificulta a manutenção da performance.

Cada vez mais, os "apps" são utilizados para fins corporativos. Não precisamos ir longe, imagine um executivo que precisa compartilhar uma apresentação pesada com sua equipe. Alguns servidores de email não suportam alto volume de troca de dados e os documentos nem sempre são enviados. O Dropbox já é utilizado por mais de 25 milhões de pessoas e é uma ótima solução por ser um serviço baseado na nuvem. Além de permitir acesso aos documentos a partir de qualquer dispositivo com acesso à internet, ele mantém, ainda, os arquivos sincronizados – característica que facilita toda a troca de materiais, fotos e outras informações. O mesmo ocorre, por exemplo, com o Office 365: um pacote com softwares baseados na plataforma Microsoft Office, totalmente online. O SaaS já é uma realidade dentro das organizações e a tendência é de que apareçam mais e mais aplicativos e serviços como estes.

Mas, então, até que ponto as redes corporativas estão prontas para adotar de vez este modelo de "Software as a Service"? Como garantir a conectividade necessária para assegurar o alto desempenho? O principal ponto é: a nova era em que tudo é aplicativo muda a expectativa dos usuários corporativos com relação ao desempenho da WAN (Wide Area Network). A conectividade passa a ser ponto crítico e merece toda atenção. Além da expectativa de que os serviços estejam disponíveis a qualquer hora e em qualquer local, existe ainda a necessidade de que as informações estejam sempre sincronizadas. Para isso, a equipe de TI precisa, primeiro, identificar quais os aplicativos considerados, de fato, corporativos. O segundo passo é construir, então, uma malha de redes preparada para fornecer todos os requisitos para garantir conectividade em todas localidades, qualidade, controle, segurança e, também, flexibilidade (um mix de MPLS, IP-VPN, LAN-to-LAN, etc).

Os CIOs devem pensar em formas de unir as vantagens do SaaS aos valores centrais de Tecnologia da Informação de suas companhias. Este é um verdadeiro desafio, já que, com as facilidades deste modelo, é difícil definir qual o alcance dos apps dentro das empresas. Vale ressaltar que garantir a performance do SaaS com a Internet é mais complicado do que com aplicativos convencionais, que rodam em redes privadas ou MPLS (Multiprotocol Label Switching – protocolo de roteamento baseado em pacotes rotulados). Se um aplicativo tradicional apresenta algum problema, o time de TI é capaz de acessar os níveis de visibilidade e controle para solucionar o entrave. No caso da nuvem, alguns provedores de "cloud" já possuem determinadas soluções de gerenciamento da infraestrutura. A escolha de um fornecedor de armazenamento externo, inclusive, é fundamental para garantir conectividade e desempenho. Devem ser levados em consideração pontos como o tipo de aplicativo – se é público, customizado ou híbrido, se já estão hospedados na nuvem e todas as questões de segurança – criptografia, monitoramento de uso e malware.

Por fim, os argumentos para migrar a infraestrutura de TI para a nuvem são inúmeros. Os principais relacionam-se, geralmente, às questões de redução de escala e/ou de custos. Mas é preciso ter cuidado para não prezar pela acessibilidade oferecida pelos recursos SaaS na nuvem em detrimento do desempenho da área de tecnologia da empresa. Com tantas tendências e novidades no setor, a gestão da TI acaba por ficar por último na lista de prioridades. No entanto, o CIO e sua equipe devem ficar atentos ao SaaS, cada vez mais presente, e, claro, ter postura sempre pró ativa com relação à gestão da nuvem.

Francisco Pinto, vice-presidente da Silver Peak para América Latina

Wednesday, 10 December 2014

Pesquisa relaciona aumento de fraudes nas empresas com o baixo crescimento econômico do Brasil

"O crescimento do PIB do país apresentou queda de cerca de 7,5 vezes entre 2010 e 2012. Em contrapartida, o número de casos de fraudes identificadas cresceu cerca de 12 vezes entre 2010 e 2013", explica Renato Anaia, gerente executivo de Investigação e Inteligência Empresarial da ICTS Protiviti.
O impacto financeiro dos casos de fraude identificados também se relaciona inversamente com o crescimento econômico do Brasil. A partir de 2010, quando o crescimento do PIB caiu de 7,5% para 2,7% em 2011 e para 1% em 2012, o valor médio das fraudes teve aumento de cerca de 450%, de R$ 50.000,00 para R$ 225.000,00.  O levantamento foi consolidado a partir das informações de 92 fraudes confessas investigadas pela empresa no período entre 2009 e 2014.

Ao comentar os resultados da pesquisa, Anaia acredita que a percepção das pessoas é de que elas não devem, em princípio, cometer "atos de fraudes quando as coisas vão bem, mas ficam mais vulneráveis para adotar este tipo de conduta em momentos de maior pressão econômica ou quando se sentem desmotivadas na empresa". Soma-se a isso o fato de que em momentos de maior pressão por resultados, as empresas reforçam seus processos de detecção de fraudes.

A pesquisa revela que em relação ao tipo de fraude, a maioria está ligada a atos de corrupção, em que a pessoa aceita ou faz pagamento de suborno (60%), seguida de apropriação indébita, na qual o indivíduo furta ou pratica desvio de ativos (32%) e demonstrações fraudulentas, em que os fraudadores manipulam resultados (8%).

Impacto financeiro

O impacto financeiro das fraudes também foi medido na pesquisa, segundo a qual 33% das fraudes estão relacionadas a valores acima de R$ 100 mil; 29% entre R$ 10 e R$ 100 mil; 17% até R$ 10 mil. O valor médio do impacto da fraude é de R$ 295 mil, acima da média registrada nos Estados Unidos, que em 2013 foi de cerca de US$ 100 mil (R$ 220 mil).

A maior parcela de fraudadores, de acordo com a pesquisa, é formada por homens (85%) e 15% por mulheres; sendo que 58% estão na empresa há mais de cinco anos e 40% têm entre 1 e 5 anos. Renato Anaia considera que os fraudadores com maior tempo de casa têm uma sensação de conforto para esta prática.

O nível de formação do fraudador também influencia, sendo que 76% são graduados e 24% não graduados. Na análise do nível de decisão dos fraudadores, 39% atuam em nível estratégico, 37% tático e 24% operacional. Anaia explica que o impacto financeiro causado pelos graduados é 3 vezes maior do que dos não graduados e o fato da maioria ocupar funções estratégicas indica que eles se utilizam do elevado grau de confiança que possuem dentro das organizações.

Em termos de distribuição geográfica, 53% dos fraudadores confessos estão na região Sudeste, 26% no Norte e Nordeste, 11% na região Sul e 10% no Centro-Oeste. Em termos de segmentos mais expostos, os maiores índices apresentados foram na construção civil (32% dos casos); logística e transporte (19%) e indústria (17%).

Proteção às empresas

A ICTS, por meio de sua área de Investigação e Inteligência Empresarial, tem como objetivo principal dar suporte completo aos clientes na identificação e tratamento de situações de risco ao negócio.

"As empresas precisam se proteger através da adoção de políticas internas e mecanismos para identificação e controle das fraudes", alerta Anaia. Recomendam-se ações antes e depois da ocorrência de fraudes. Numa atitude preventiva, as empresas devem adotar programas de conscientização e capacitação para o reforço dos preceitos éticos; ferramentas de Due Diligence de Terceiros para detecção e mitigação dos riscos advindos de prestadores de serviços; aderência à ética para identificação do nível de compliance ético individual; e blindagem de processos e controles efetivos.

Para a detecção de fraudes, o Canal de Denúncias e Ouvidoria, a gestão de incidentes e crises e o monitoramento da comunicação corporativa estão entre as condutas aconselháveis.

ICTS

A ICTS é uma empresa de consultoria, auditoria e serviços em gestão de riscos. Possui atuação do mercado de gestão de riscos, auditoria interna, compliance, gestão da ética, prevenção à fraude e gestão da segurança. Também oferece uma plataforma de serviços recorrentes de gestão de riscos, como o Canal de Denúncias, para a proteção contínua dos negócios. Atende 40% dos 200 maiores grupos empresariais do Brasil.

No Brasil, a ICTS representa a Protiviti, empresa global que auxilia empresas a resolver problemas em finanças, tecnologia, operações, governança corporativa, riscos e auditoria interna. Através de sua rede com mais de 70 escritórios em mais de 25 países, a Protiviti atende a mais de 35% da Fortune 1000 e Global 500. A ICTS é liderada pelos sócios Fernando Fleider, Marcelo Forma, Mauricio Fiss, Mauricio Reggio, Raul Silva, Shimon Guigui, Heloisa Macari e Cassiano Machado.

Friday, 5 December 2014

NSA coleta informações de cerca de 70% das redes de telefonia móvel no mundo, revela site

Em março de 2011, duas semanas antes da intervenção ocidental na Líbia, uma mensagem secreta foi entregue à Agência de Segurança Nacional norte-americana (NSA, na sigla em inglês). Uma unidade de inteligência dentro do Africa Command obeteve ajuda de militares dos EUA para invadir redes de telefonia móvel da Líbia e monitorar mensagens de texto.

Para a NSA, a tarefa foi fácil. A agência já havia obtido informações técnicas sobre os sistemas internos das operadoras de celular 'espionando documentos enviados entre os funcionários da empresa, e esses detalhes forneceriam o modelo perfeito para ajudar a quebra militar das redes.

A assistência da NSA na operação na Líbia, no entanto, não foi um caso isolado. Era parte de um programa global muito maior de espionagem realizada pelo governo dos EUA e com ramificações não apenas em países hostis, conforme comprovaram documentos vazados pelo ex-prestador de serviços da NSA, Edward Snowden.

De acordo com documentos obtidos por Snowden, aos quais o site The Intercept teve acesso, a NSA tem espionado centenas de empresas e organizações em nível internacional, nomeadamente países aliados, próximos aos EUA, em um esforço para encontrar falhas de segurança na tecnologia móvel que possam ser exploradas pela agência.

Os documentos também revelam como a NSA planeja introduzir secretamente novas falhas em sistemas de comunicações, para que possam ser aproveitadas, numa tática controversa que especialistas em segurança dizem que pode expor a população em geral a hackers e cibercriminosos.

Operação secreta

Tratada internamente na agência pelo codinome AuroraGold, a operação secreta tem monitorado o conteúdo das mensagens enviadas e recebidas por mais de 1,2 mil contas de e-mails associados às principais operadoras de telefonia móvel, interceptando documentos confidenciais sobre planejamento da empresa e que ajudam a NSA invadir as suas redes.

Um dos alvos da espionagem de alto nível é a GSM Association, associação internacional de operadoras e fabricantes de telefonia celular, com sede no Reino Unido, que trabalha em estreita colaboração com as empresas de grande porte sediadas nos Estados Unidos, incluindo Microsoft, Facebook, AT&T e Cisco Systems.

Karsten Nohl, especialista em segurança de dispositivos móveis e criptógrafo, foi consultado pelo The Intercept para que analisasse as informações contidas nos documentos da AuroraGold, disse que a ampla gama de dados rastreados na operação parece destinada a garantir virtualmente que cada rede de telefonia móvel no mundo seja acessível à NSA.

"Coletar um inventário [assim] nas redes do mundo todo tem grandes ramificações", disse Nohl, explicando que isso permite que a NSA possa monitorar e quebrar a segurança de tecnologias de criptografia usadas por operadoras de celular para proteger as ligações e as mensagens de texto da espionagem. "A prova de que a agência tem deliberadamente conspirado para enfraquecer a segurança da infraestrutura de comunicações foi particularmente alarmante", acrescentou.

Procurada pelo site, a porta-voz da NSA, Vanee Vines, disse por meio de um comunicado que a interceptação que a agência faz visa "identificar e informar sobre as comunicações de alvos estrangeiros válidos", para que os EUA possam se antecipar às ameaças. Segundo ela, a NSA recolhe apenas as comunicações que está autorizada por lei a recolher, independentemente dos meios técnicos utilizados pelos alvos ou outros meios pelos quais "tentam esconder suas comunicações".

Unidades de vigilância

A operação AuroraGold é realizada por especialistas de duas unidades de vigilância da NSA, cuja existência nunca foi divulgada: o Escritório de Gerenciamento de Portfólio Sem Fio (WPMO, na sigla em inglês), que define e executa a estratégia da NSA para a exploração de comunicações sem fio, e o Target Technology Trends Center, que monitora o desenvolvimento de novas tecnologias de comunicações para garantir que a NSA não seja pega de surpresa pelas inovações que poderiam restringir o alcance de sua vigilância. O logotipo do centro é uma imagem da Terra ofuscada por um grande telescópio. Seu lema: "Predict – Plan – Prevent" (prever, planejar, prevenir).

Os documentos da NSA revelam que, a partir de maio de 2012, a agência havia coletado informações técnicas de cerca de 70% das redes de telefonia celular em todo o mundo — 701 redes de um total estimado de 985 redes — e a manutenção de 1.201 e-mails "selectors" (selecionados) utilizados para interceptar dados internos de funcionários de empresas públicas e privadas. Selector é um termo usado pela agência para um identificador exclusivo, como um endereço de e-mail ou número de telefone. De novembro de 2011 a abril de 2012, entre 363 e 1.354 seletores foram "encarregados" pela NSA para a vigilância a cada mês, como parte da AuroraGold, de acordo com os documentos. A operação secreta parece estar ativa desde pelo menos 2010.

As informações coletadas a partir das empresas são passadas para as equipes da NSA, que se concentram em se infiltrar nas redes de comunicações. Elas também são compartilhadas com outras agências de inteligência dos EUA e com os homólogos da NSA nos países que fazem parte da aliança chamada "Cinco Olhos", que inclui o Reino Unido, Canadá, Austrália e Nova Zelândia.

Além de menções de várias operadoras na Líbia, China e Irã, há também inúmeras empresas visadas, cujos nomes não constam nos documentos da NSA. No entanto, o "mapa mundi" da vigilância ilegal aparece em uma apresentação de junho 2012 sobre a AuroraGold, o que sugere que a NSA dispõe de uma "cobertura de rede" em quase todos os países, em todos os continentes, incluindo os EUA e em países estreitamente aliados, como Austrália, Nova Zelândia, Alemanha e França.

Thursday, 4 December 2014

Prejuízo de empresas brasileiras com perda de dados e inatividade supera US$ 26 bilhões

A perda de dados e o tempo de inatividade não planejado dos sistemas custaram US$ 26,9 bilhões às empresas brasileiras nos últimos 12 meses, de acordo com o estudo Global Data Protection Index, encomendado à Vanson Bourne pela EMC, fornecedora de soluções de armazenamento e gerenciamento da informação. Deste total, US$ 2,8 bilhões foram com perda de dados e US$ 24,1 bilhões por interrupções dos sistemas.

O levantamento revela que, das 125 empresas brasileiras com mais de 250 empregados consultadas para a pesquisa — mundialmente foram ouvidas 3,3 mil companhias de 24 países —, 62% não confiam integralmente em sua capacidade de recuperar informações após um incidente. Além disso, embora 82% considerem a proteção de dados essencial para o sucesso da organização, 59% disseram ter sofrido perda de dados ou interrupções nos últimos 12 meses.

PowerPoint Presentation

A pesquisa constatou também que 91% das empresas brasileiras estão desatualizadas quanto à maturidade da proteção de dados. Uma prova disso é que nenhuma das organizações do Brasil aparece na análise de maturidade como "líder" em proteção de dados — 9% são "adotantes" e 91% estão desatualizadas. Apesar disso, o país aparece em quarto lugar na análise da pontuação média da maturidade, atrás apenas do Canadá, México e EUA.

Globalmente, o estudo mostra que as empresas perderam, em média, 400% mais dados do que nos dois últimos anos — o equivalente a 24 milhões de e-mails cada uma. O prejuízo em termos mundiais atingiu US$ 1,7 trilhão. Embora, de um lado, o número de incidentes de perda de dados, no geral, esteja caindo, por outro lado, o volume de dados perdidos em um incidente está crescendo exponencialmente.

O EMC Global Data Protection Index mostra que 59% das empresas pesquisadas passaram por perda de dados ou tempo de inatividade nos últimos 12 meses. Na média, as empresas tiveram 17 horas — mais de dois dias de trabalho — de tempo de inatividade inesperado nos últimos 12 meses. Outras consequências comerciais das interrupções foram perda de receita (28%) e atrasos no desenvolvimento de produtos (42%).

PowerPoint Presentation

A pesquisa aponta ainda que tendências tecnológicas como big data, dispositivos móveis e nuvem híbrida criam novos desafios à proteção de dados. O dado preocupante é que 61% das empresas não têm planos de recuperação de desastres para nenhum desses ambientes e somente 4% têm algum plano. Na prática, 55% classificaram big data, dispositivos móveis e a nuvem híbrida como "difíceis" de proteger. Com 34% de todos os dados principais localizados em alguma forma de armazenamento na nuvem, isso pode resultar em uma perda substancial.

Wednesday, 3 December 2014

Radware lança serviço de mitigação de ataques cibernéticos

A Radware anuncia a introdução de um novo serviço para a proteção contra ataques DDoS (Distributed Denial of Service) em ambientes corporativos que ajuda a enfrentar esses desafios de segurança ao integrar detecção e mitigação no local com limpeza (ou scrubbing) de ataques volumétricos baseada em nuvem.

A solução Serviço de Mitigação de Ataques gerenciada com mitigação híbrida (local e na nuvem) ajuda a proteger tanto as empresas de médio porte, que não possuem equipes de segurança internas, quanto as empresas de grande porte, que desejam terceirizar sua solução de mitigação de DDoS. Ao integrar um componente de defesa local com um centro de limpeza (scrubbing) baseado na nuvem, esse novo serviço garante que o data center esteja constantemente protegido fornecendo a precisão de mitigação e detecção em tempo real de ataques de DDoS de múltiplos vetores (ataques que visam diversos componentes da rede).

"Com o uso de uma solução de DDoS baseada em nuvem ou um dispositivo no local, essas ferramentas não são tão eficazes individualmente como quando integradas", disse Carl Herberger, vice-presidente de soluções de segurança da Radware. "A maior parte dos fornecedores oferece apenas uma solução em uma área muito específica como ataques (floods) HTTP, Cloud ou DNS, e o uso de vários fornecedores acrescenta uma complexidade desnecessária e demora na proteção e mitigação de ataques. O novo serviço de mitigação de ataque híbrido que fornecemos aos clientes corporativos é uma solução verdadeiramente completa que protegerá de forma eficaz contra todos os tipos de ataques DDoS/DoS."

Além do monitoramento 24 horas por dia, 7 dias na semana, o Serviço de Mitigação de Ataques da Radware inclui:

• Notificações de ataques que exijam a participação da Equipe de Resposta às Emergências da Radware (Emergency Response Team – ERT)

• Suporte da ERT em uma situação que exija respostas à emergência

• Serviço de Mitigação de Ataques baseado em OPEX

• Proteção e serviço de ponta a ponta tornando as questões de monitoramento e mitigação a cargo da Radware

• Portal de web online que fornece informações sobre situações de ataque e estatísticas da rede

Todas as empresas são alvos em potencial e a alta gerência está começando a entender o quê e quanto está em jogo", disse Christian Christiansen, vice-presidente de programas, serviços e produtos de segurança da IDC. "Desde 2012, a IDC vem observando um grande aumento na frequência, volume de largura de banda, e orientação para aplicações dos ataques. Com o aumento desses tipos de ataques, as organizações precisam estar conscientes das ameaças e tomar medidas para proteger sua infraestrutura dos métodos avançados usados atualmente pelos hackers."

"O Serviço de Mitigação de Ataques da Radware aproveita os recursos de uma solução híbrida para detectar na fonte e mitigar ataques que saturam o fluxo da Internet, que visam aplicações, ou ambos, sem bloquear o tráfego legítimo", acrescentou.

Wednesday, 26 November 2014

Relatório mostra aumento de ataques nas indústrias Química, Manufatura e Mineração na América Latina

Como comparação, enquanto o número de alertas de APT mundial para Química/Manufatura/Mineração não chegou a dez mil, na América Latina atingiu quase 35 mil. O comportamento desproporcional pode ser explicado pela grande importância dos setores na região. Em 2012, as minas da América Latina foram responsáveis por 22%, 20% e 46% das saídas totais de minério de ferro, ouro e cobre do mundo, respectivamente.

"A América Latina é um alvo importante para hackers que tentam obter informações sobre tecnologias proprietárias, processos e valores que possam oferecer vantagens em transações comerciais", diz Robert Freeman, diretor sênior da América Latina para a FireEye. "O interesse em alvos do setor de indústrias Químicas, Manufatura e Mineração é único na América Latina, comparando com o setor de alta tecnologia que é o mais atacado entre nossos clientes do mundo todo."

O relatório foi baseado em dados reunidos em todo mundo a partir de mais de 2,7 milhões de sessões únicas de Comando e Controle (CnC). O Relatório de Ameaças Avançadas fornece informações sobre os países da América Latina monitorados pela FireEye, incluindo Argentina, Brasil, Chile, Colômbia, Equador, Guatemala, México, Peru e Porto Rico. Os números mostram detalhes profundos sobre os ataques cibernéticos que passaram por métodos de defesa tradicionais.

Os principais dados recolhidos pela FireEye foram:

9 famílias únicas de malware de APT

32.339 sessões de Comando e Controle (CnC) únicas

11 países hospedando infraestrutura de CnC

16 verticais industriais afetados

Os verticais mais atacados na América Latina foram (porcentagem dos ataques totais na região):

34% Produtos Químicos/Manufatura/Mineração

14% Serviços/Consultoria/Revenda de Valor Agregado

12% Governo: Estadual e Local

12% Serviços Financeiros

Cibercriminosos com motivação financeira também se aproveitaram de grandes eventos esportivos, como a Copa do Mundo, para realizar fraudes visando informações pessoais ou financeiras das pessoas. O cenário esperado para as Olimpíadas de 2016 não é diferente.

Wednesday, 19 November 2014

As fraudes com cartões de crédito mudaram, mas ainda prejudicam milhares de consumidores brasileiros

Foi-se o tempo em que os consumidores morriam de medo de ter seu cartão clonado. Pelo menos no Brasil essa sensação deixou de acompanhar a população, graças principalmente a implantação dos chips nos cartões de crédito e de débito. Mas em outros países, como os Estados Unidos, isso ainda é uma realidade muito presente.

Recentemente, foi divulgado que 51 agências da UPS em 24 estados americanos tiveram seus leitores de cartões infectados por malware que roubavam dados dos cartões dos clientes. Por lá, isso não é novidade. Sem precisar recuar muito no tempo, gigantes como Target, Neiman Marcus e Michael's tiveram problemas similares.

A adoção dos chips nos cartões por parte dos consumidores e lojistas é lenta e ainda vai levar tempo. Matéria publicada na revista Forbes estima que até o final de 2015, 70% dos cartões de crédito e 41% dos cartões de débito americanos possuirão chips, o que segundo a Abecs (Associação Brasileira de Empresas de Cartões de Créditos) evitaria muito desses problemas.

Apesar da maioria dos cartões brasileiros já contar com o chip, a cada 17 segundos uma pessoa é vítima de fraude no Brasil, segundo o Indicador Serasa Experian de Tentativas de Fraude. Mas o golpe por aqui é outro. Os golpes mais comuns atualmente englobam a utilização de dados pessoais roubados para a emissão de cartões de crédito, realização de compra de eletrônicos e celulares, abertura de contas bancárias, compra de carros ou até mesmo abertura de empresas.

Para evitar esses e muitos outros golpes comuns hoje em dia, algumas precauções simples devem ser adotadas pelos usuários de cartões:

– Evite informar seus dados pessoais em sites desconhecidos ou por telefonemas recebidos sem prévia solicitação;

– Nunca escreva sua senha em papéis ou atrás do cartão. O ressarcimento é extremamente difícil, senão impossível, caso uma transação indevida seja feita utilizando sua senha. A senha é sua responsabilidade, portanto, fique atento;

– Desconfie de lojas online que oferecem condições espetaculares ou ofertas com preços imperdíveis, principalmente se essas aparecerem em um e-mail. Na dúvida, apague o e-mail e vá até diretamente ao site para confirmar os valores e condições apresentadas no e-mail;

– Tome muito cuidado em onde usa o número do seu cartão. Se sentir que o site não é seguro, não compre. Erros ortográficos, solicitação de muitas informações pessoais, logotipos e fotos com baixa resolução podem indicar um site fraudulento.

– Tenha sempre uma proteção contra ameaças digitais, que o mantenha protegido não só no seu computador, mas também no seu smartphone e tablet. De preferência, invista em soluções que oferecem verificação de identidade em duas etapas, e que utilizem reconhecimento de voz e face.

Thiago Hyppolito, engenheiro de produtos da McAfee no Brasil.

Monday, 17 November 2014

Criminosos estão usando Wi-Fi de hotéis para atacar altos executivos

Muito se fala sobre a falta de segurança de redes Wi-Fi públicas, como as encontradas em estabelecimentos comerciais ou de grande circulação de pessoas. E, agora, a Kaspersky Labs descobriu a existência de uma arrojada operação de espionagem que ataca diretamente CEOs, vice-presidentes e outros executivos de alto escalão de empresas dos EUA, da Ásia e da região do Pacífico. É a Darkhotel, uma rede que já está em atuação há pelo menos quatro anos.


Como o nome já indica, o grande vetor dos golpes é a rede hoteleira e suas conexões de internet disponíveis para os hóspedes. Os ataques são arrojados e praticamente irrastreáveis, já que todos os traços da invasão são removidos uma vez que os criminosos obtêm as informações desejadas. Dá para falar até mesmo em ajuda interna, pois os hackers também pareciam ser capazes de saber exatamente quais executivos estavam em viagem e onde eles se hospedariam.



O ataque começa assim que a vítima loga na rede Wi-Fi do hotel, normalmente inserindo seu nome e o número do quarto em que está instalado. Com acesso à rede garantido previamente, os criminosos observam as conexões e são capazes de identificar o alvo rapidamente. Então, enviam para o notebook um backdoor que se passa como uma atualização de sistema. São diversas as variações, desde updates para navegadores ou o Flash Player até novas versões de aplicativos como mensageiros instantâneos, bem como páginas de “boas vindas” do próprio hotel, todos escondendo aplicativos maliciosos.


Uma vez instalada, a praga é capaz de realizar o download de outros malwares automaticamente e sem que o usuário saiba o que está acontecendo. A Kaspersky, por exemplo, conseguiu detectar intrusões feitas por trojans para roubar informações, keyloggers que registram tudo o que é digitado no teclado ou até mesmo sistemas de acesso remoto. A finalidade, porém, é sempre a mesma: roubar credenciais, informações confidenciais ou dados de acesso.


A empresa de segurança digital não fala no número de vítimas, mas diz que logins e senhas de redes sociais como o Twitter e o Facebook teriam sido roubadas, além de informações sobre e-mails do Yahoo! e Google. Uma vez que conseguem o acesso e as informações que desejam, os cibercriminosos apagam todos os traços de sua presença na rede e no computador da vítima e simplesmente deixam de existir.


Os ataques são bastante planejados e cuidadosamente executados. As vítimas não se repetem e a coleta de dados é feita com precisão cirúrgica, de forma bem rápida e logo no primeiro contato. Todos os afetados, porém, têm algo em comum: são de empresas asiáticas ou americanas que realizam negócios e investimentos na região do Pacífico. Todos os hotéis comprometidos estavam nestas localidades.


De acordo com Kurt Baumgartner, pesquisador de segurança da Kaspersky que fez parte da equipe que descobriu o Darkhotel, ataques como esse estão cada vez mais comuns. Segundo ele, esse tipo de ataque seletivo tenta acessar as informações de vítimas de alto valor e tem funcionamento semelhante aos de esquemas de espionagem utilizados por autoridades e agências governamentais.

Como evitar


A firma de segurança também indica algumas maneiras de evitar o acesso indiscriminado às próprias informações. Uma das recomendações é desconfiar de atualizações de software que surjam durante o acesso a redes públicas ou com baixa segurança. Evite realizar downloads e rodar arquivos executáveis durante o uso de tais conexões, deixando para fazê-lo no celular, tablet ou computador quando estiver em casa ou em um Wi-Fi conhecido.


Além disso, é importante ter sempre antivírus e firewalls instalados e atualizados, já que eles são a primeira barreira de defesa contra ataques do tipo. Para quem lida com informações confidenciais, é sempre bom configurar uma Rede Virtual Privada (VPN) para garantir a criptografia das informações e a segurança dos dados que trafegam pelas redes públicas.



Matéria completa: http://canaltech.com.br/noticia/seguranca/Criminosos-estao-usando-Wi-Fi-de-hoteis-para-atacar-executivos-de-alto-escalao/#ixzz3JM4o3Qht 
O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção. 

Friday, 7 November 2014

Pesquisa global revela dificuldades de líderes de TI na proteção das corporações

Noventa por cento dos CIOS e CTOS acreditam que o trabalho de manter suas empresas seguras está se tornando cada vez mais difícil de acordo com a nova pesquisa da Fortinet.O estudo contou com respostas de profissionais de TI do Brasil, Colômbia e México e os resultados mostraram certas semelhanças com descobertas globais.

A forte pressão das diretorias para deixar as empresas mais seguras, cresceu mais de um terço nos últimos 12 meses, tornando a segurança um fator primordial e uma das principais considerações em relação a outras iniciativas de negócios. Este e outros resultados vêm de uma pesquisa independente encomendada pela Fortinet de mais de 1.600 tomadores de decisões de TI (ITDMs), em grande parte, a partir de mais de 500 organizações em todo o mundo. Todos os entrevistados foram adquiridos a partir do painel on-line da Lightspeed GMI, uma empresa de pesquisa de mercado independente.

Os destaques da pesquisa no Brasil foram:

– Dentre os tomadores de decisão de TI que registraram sofrer maior pressão, 63% admitem abandonar ou adiar pelo menos uma nova iniciativa de negócios por causa de preocupações de segurança de TI. As novas demandas de tecnologia emergente, como a internet das coisas (IOT) e biometrias (97%), assim como a mobilidade dos empregados /BYOD e a crescente complexidade de ameaças (ambos 95%) representam o maior desafio para os ITDMs com o objetivo de suas organizações seguras. As respostas brasileiras são mais altas do que as médias percentuais globais, que são de 88% para ambas variáveis.

– A maioria dos tomadores de decisão já sofreu algum tipo de ataque, aumentando a preocupação com a privacidade dos dados e com iniciativas de proteção de Big Data em 94% para ambos; em grande parte dos casos, isso significou novos investimentos em segurança de TI. Respostas brasileiras acerca das iniciativas de proteção de Big Data foram maiores do que a média global de 84%.

Privacidade de dados e segurança de Big Data aumentam gastos As questões de alto perfil que cercam a privacidade de dados estão gerando atitudes, 94% dos ITDMs brasileiros pretendem mudar sua visão sobre estratégia de segurança de TI em resposta a isso. Destes, 59% estão dispostos a investir mais dinheiro em recursos para enfrentar o desafio, com 41% preferindo repensar a estratégia existente.

Enquanto isso, Big Data e análise de dados foram citados por 89% dos entrevistados como condutores de mudanças para a estratégia de segurança de TI, com 50% deles planejando investimentos.

Os setores da indústria com maior predisposição para investir em segurança de TI no Brasil foram o setor público (70%), serviços financeiros (67%) e o de telecomunicações / tecnologia (63%). A pesquisa também apontou que grandes organizações possuem maior tendência a investir.

Quando perguntados se eles tinham recebido recursos humanos e financeiros suficientes para a segurança de TI nos últimos 12 meses, 89% dos ITDMs brasileiros disseram que sim, mesmo percentual que responder ser muito provável ter recursos suficientes para os próximos 12 meses.

Resultados mostram necessidade de elasticidade cibernética

"Com a segurança de TI na pauta das empresas, este e outros desafios estão claramente adicionando peso sobre os ombros de profissionais de TI e questionando a capacidade de algumas organizações em "explorar inovações mantendo a segurança", disse John Maddison, vice-presidente de produtos de marketing da Fortinet. "Estas organizações devem agir agora para resolver questões como o impacto do crescente ambiente de ameaças e o maior controle sobre a segurança de TI, reavaliando seus objetivos para garantir o equilíbrio certo e alcançar a resistência em face de ameaças cibernéticas".

"As boas notícias são que muitas empresas estão se sentindo bem equipadas com recursos financeiros e humanos para os desafios de segurança de TI que surgirem pela frente, mas para isso apontam para novas estratégias inteligentes e mais investimento em tecnologias de segurança".

Pesquisa

O censo de 2014 da Fortinet foi um exercício de pesquisa conduzida em nome da Fortinet, pela empresa de pesquisa de mercado independente Lightspeed GMI. A pesquisa envolveu 1.610 administradores de TI qualificados – predominantemente CIOs, CTOs, diretores de TI e chefes de TI – em grande parte de organizações com mais de 500 funcionários. 8% dos participantes vieram de organizações de 100 a 500 funcionários. 15 países participaram da pesquisa: Austrália, Brasil, Canadá, China, Colômbia, França, Alemanha, Índia, Itália, Japão, Coreia, México, Espanha, Reino Unido e Estados Unidos.

Monday, 3 November 2014

Empresas continuam despreparadas para enfrentar ataques cibernéticos

Apesar de a maioria das empresas no mundo estarem enfrentando crescentes ameaças em seus ambientes de TI, mais de um terço delas (37%) não dispõe de informações em tempo real sobre esses riscos e as ferramentas necessárias para combater os crimes cibernéticos. Esta é uma das conclusões da pesquisa anual "Global Information Security", da Ernst & Young, para a qual foram entrevistadas 1.825 companhias em 60 países.

Entre as deficiências apontadas pela consultoria para o combate ao crime cibernético estão a falta de agilidade das empresas, o baixo orçamento e a carência de habilidades técnicas necessárias para mitigar as vulnerabilidades. Quarenta e três por cento dos entrevistados disseram que o orçamento total de segurança da informação de sua empresa vai permanecer praticamente inalterado nos próximos 12 meses, apesar das ameaças crescentes.

Mais da metade das companhias (53%) declararam que a falta de recursos humanos qualificados é um dos principais obstáculos para o seu programa de segurança da informação, contra apenas 5% das que responderam possuir uma equipe de "inteligência" de combate a ameaças, com analistas dedicados. Os números revelam a existência de uma diferença significativa em relação a 2013, quando 50% das empresas destacaram a falta de pessoas qualificadas e 4% disseram dispor de uma equipe de inteligência contra ameaças.

O item considerado o número 1 em vulnerabilidade que as empresas enfrentam, citado por 38% dos entrevistados, é "funcionários descuidados ou sem consciência sobre os riscos", seguido por "arquitetura ou controles de segurança da informação desatualizados" e "o uso de computação em nuvem", apontados por 35% e 17% dos consultados, respectivamente. O "roubo de informações financeiras", "perturbação ou desfiguração da organização" e o "roubo de propriedade intelectual ou de dados" são as três principais ameaças, indicados por 28%, 25% e 20% das empresas, respectivamente.

"As organizações só vão desenvolver uma estratégia de risco se conseguirem se antecipar aos ciberataques e entenderem que eles têm o potencial de causar um grande prejuízo, não só financeiramente, mas também em termos de marca e dano à reputação, perda de vantagem competitiva e descumprimento às regulamentações", observa Paul van Kessel, líder global da área de riscos da Ernst & Young.

"Muitas empresas ainda estão aquém de dominar os componentes fundamentais da segurança cibernética. Além da falta de foco da alta direção, bem como de procedimentos e práticas bem definidos, muitas das que entrevistamos revelaram que não possuem um centro de operações de segurança. Isso é um grande motivo de preocupação", diz Kessel, ressaltando que o relatório incentiva as organizações a abraçarem a segurança cibernética como um fator de competitividade.

Medida que taxa aluguel de data center no exterior elevará custos em mais de 50%

A entrada em vigor do Ato Declaratório nº 7 da Receita Federal, publicado no Diário Oficial, no dia 18 deste mês, que estabelece a cobrança de impostos e contribuições nas operações de aluguel de data center no exterior, vai elevar o custo da locação para as empresas em mais de 50%.

O cálculo é do diretor financeiro da empresa gaúcha de data center Under, Diego Grazziotin, ao explicar que a norma baixada pela Receita estabelece o recolhimento de pelo menos cinco impostos — Imposto de Renda Retido na Fonte (IRRF), Cide-Royalties, PIS/Pasep-Importação e Cofins-Importação. Isso sem contar a incidência de IOF (imposto sobre operações financeiras) para operações de crédito, e a cobrança municipal do ISS. "Há uma conta simples que demonstra isso. Hoje, uma companhia que paga R$ 1 mil por mês para usar um data center no exterior vai passar a desembolsar pelo menos, R$ 1,5 mil."

Embora a Normativa 1.277 de 2012 já imponha essas tributações a algumas empresas, o que significa que, para elas, pouca coisa mude, Grazziotin observa que a cobrança retroativa desses tributos ainda é uma questão incerta e "vai gerar muita discussão para aquelas companhias que enxergavam esse processo como um aluguel de bens móveis".

O executivo diz que ainda não está claro, num primeiro momento, como essa tributação vai refletir no consumidor final. "Porém, se pensarmos que muitas empresas utilizam data centers no exterior e terão que pagar mais caro por isso, é fácil concluir em que parte elas terão que compensar essa perda." Segundo Grazziotin, a medida, obviamente, protege o mercado nacional, "forçando" as empresas que dependam de data centers no exterior a repensar as suas estratégias.

Proteção às empresas brasileiras

As empresas brasileiras serão beneficiadas, pois enfrentam uma concorrência forte das companhias estrangeiras. Devido ao aumento de preço com a nova tarifação, a procura por data centers no exterior deve diminuir, na avaliação de Daniel Freire, diretor da TIER4 Intelligent Solutions, que fabrica contêineres de sistemas de distribuição de energia para data centers.

Por outro lado, ele avalia que uma tarifação desse gênero demonstra que o governo está pensando no curto prazo. "No lugar de trazer empresas para o Brasil, com incentivos, simplesmente se coloca uma barreira financeira que protege a indústria nacional agora, mas que no longo prazo deve se tornar ineficaz, visto que o mercado tende a não aceitar bem sanções ou imposições sem as devidas adequações", diz Freire.

Outro problema apontado por ele é que, embora a demanda dos data centers brasileiros deva aumentar com a entrada em vigor da medida, há o risco de não conseguirem atender a procura. "Ainda não temos mão de obra qualificada o suficiente para ambientes de missão critica, por exemplo, pois esse mercado no Brasil tem como base pessoal de TI e engenharia elétrica, para lidar com estas questões", finaliza Freire.

Saturday, 1 November 2014

Relatório da McAfee revela que empresas desativam firewall para priorizar desempenho de rede

A McAfee publicou um novo relatório intitulado Desempenho e segurança de rede, que aborda os desafios que as organizações enfrentam ao implantar segurança e, ao mesmo tempo, manter uma infraestrutura de rede com o máximo desempenho. Lançado durante a conferência FOCUS 14 da McAfee, que acontece nesta semana em Las Vegas, o relatório revelou que um número alarmante de organizações está desativando recursos avançados de firewall a fim de evitar quedas significativas no desempenho de rede.

Para a elaboração do relatório foram entrevistados 504 profissionais de TI e 60% afirmou que o design da rede de sua empresa tinha como foco a segurança. No entanto, mais de um terço dos entrevistados admitiu desativar recursos de firewall ou não ativar determinadas funções na tentativa de aumentar a velocidade da rede. "É uma pena que a desativação de recursos importantes de firewall tenha começado a se tornar uma prática comum devido a preocupações com o desempenho da rede", comenta Pat Calhoun, gerente geral de segurança de rede da McAfee.

De acordo com o relatório, os recursos mais comuns desativados pelos administradores de rede são DPI (Deep Packet Inspection, ou inspeção profunda de pacotes), antispam, antivírus e acesso por VPN. O DPI, recurso desativado com mais frequência, detecta atividade maliciosa no tráfego de rede normal e evita intrusões bloqueando automaticamente o tráfego nocivo antes que danos ocorram. Este recurso é essencial para uma proteção sólida contra ameaças e é um componente básico dos firewalls de próxima geração, que atualmente representam 70% de todas as novas aquisições de firewall. 

Muitas organizações optam por desativar a DPI devido à alta demanda que essa inspeção coloca nos recursos de rede, gerando uma queda superior a 40% nas taxas de transferência, de acordo com pesquisa realizada pela Miercom. No entanto, o Next Generation Firewall da McAfee com a DPI ativada manteve uma das taxas de transferência de firewall mais altas nos testes da Miercom.

De maneira geral, a solução da McAfee manteve um desempenho de taxa de transferência muito mais consistente com os recursos de segurança ativados quando comparado a outros produtos da categoria. Os concorrentes testados apresentaram queda de 75% ou mais no desempenho com a DPI, o antivírus e o controle de aplicativos ativados.

"Com o aumento de mais de 200% no número de violações de dados confirmadas no último ano, nunca foi tão importante que as organizações adotassem as proteções avançadas disponíveis nos firewalls de próxima geração", acrescenta Calhoun. "Na McAfee, possibilitamos a implantação da tecnologia de segurança em todo o seu potencial, sem sacrificar a usabilidade ou a produtividade."

Instituições financeiras devem gastar mais de US$ 6 bi em sistemas de gestão de risco

As instituições financeiras globais vão gastar US$ 6,57 bilhões em software e serviços de TI voltados para a gestão de risco de crédito neste ano, o que, se confirmado, representará 17,9% dos investimentos totais em software e serviços, de acordo com estudo da da IDC Financial Insights.

Embora nos últimos anos a de crise financeira na Europa e EUA e as turbulências em vários mercados tenham reduzido os orçamentos de TI, risco e compliance (conformidade) continuam na lista de prioridades de bancos, companhias seguradoras e financeiras para evitar perdas com empréstimos ruins ou para se adequarem às exigências regulatórias em alguns mercados.

Isso, segundo a consultoria, tem feito com que os gastos com sistemas de análise de risco de crédito e em infraestrutura venham crescendo a taxas acima da média do setor. Tanto que o relatório da IDC, intitulado "IDC MarketScape: Worldwide Credit Risk Analytics Solution Vendor Assessment 2014", projeta uma taxa de crescimento composto anual (CAGR, na sigla em inglês) de 9% até 2018.

O estudo aponta que os investimentos de risco de crédito estão sendo direcionados a análise de produtos de crédito, carteiras e para adequação a exigências regulatórias de capital; desenvolver metodologias de operações de crédito mais eficazes; melhorar as capacidades de créditos e de cobrança de dívidas; elaboração de relatórios de capital; avaliação mais granular de rentabilidade de clientes ; e melhorar a tomada de decisão em áreas como a fixação de preços e alocação de capital, entre outros processos.

O relatório alerta que as instituições financeiras têm de olhar, hoje e no futuro, para as soluções analísticas de infratestrutura de front end e back office, como apoio às necessidades de desempenho financeiro das instituições.

De acordo com Li-May Chew e Michael Versace, da equipe de Estratégias de Gestão de Risco da IDC Financial Insights, o "risco de crédito é hoje o maior e mais elementar perigo enfrentado pela indústria financeira internacional". Segundo eles, as principais instituições fizeram progressos mensuráveis ao implantarem as bases para um sistema de gestão de risco de crédito robusto, lição aprendida com a crise financeira global. "Mas, agora, precisam avançar", alertam.

Thursday, 30 October 2014

Serasa Experian lança certificados SSL para transações de e-commerce

A Serasa Experian lançou nesta sexta-feira, 24, os Certificados de Servidor SSL Protectweb, voltados para a segurança e autenticidade de transações feitas na internet. A solução é voltada para lojas virtuais ou sites que queiram garantir que seus clientes naveguem seguros no ambiente virtual.

Os certificados estão disponíveis em três versões: Protectweb, Protectweb Pro e Protectweb Pro EV, voltados para sites de pequeno, médio e grande porte. A solução faz com que as informações recebidas e enviadas sejam protegidas por meio de um protocolo de segurança, o SSL (Secure Sockets Layer), que fornece uma conexão criptografada na transmissão dos dados.

Com isso, internautas poderão navegar e fazer transações sem se preocupar com fraudes. "Um dos principais receios dos consumidores na internet continua sendo a segurança na troca de suas informações no e-commerce. Soluções como essa ajudam a aumentar a confiança dos internautas e promover o crescimento do comércio eletrônico no país", afirma Mariana Pinheiro, presidente da unidade de negócio de Certificação Digital da Serasa Experian.

Os certificados são oferecidos em parceria com a GlobalSign, multinacional que atua neste segmento desde 1996. Com a solução, as empresas e profissionais liberais garantem uma vantagem competitiva a seus sites, mostrando um ambiente confiável e legítimo com o Selo de Site Seguro da Serasa Experian. Na versão mais avançada da solução (Protectweb Pro EV), o internauta já verifica a segurança ao digitar a URL

Wednesday, 29 October 2014

ESET divulga relatório com problemas de segurança no terceiro trimestre

A ESET publicou um relatório com as principais vulnerabilidades à segurança identificadas no último trimestre (julho a setembro). O documento foi gerado a partir da análise de problemas enfrentados por usuários e empresas e que, na maior parte das vezes, foram gerados por falhas e bugs em sistemas, assim como pela conduta inadequada dos internautas.

Os especialistas da ESET dividiram as vulnerabilidades em dois grandes pilares:

Vulnerabilidades em sistemas e protocolos de comunicação: Esta é uma fraqueza que está em um computador e que pode ser explorada por uma ou mais ameaças, resultando em um risco à segurança da informação. No trimestre, as três ameaças que mais chamaram atenção foram: o Shellshock, o BadUSB e a falha no WordPress.

O Shellshock é uma vulnerabilidade grave no Bash, interpretador de comandos mais utilizados no GNU / Linux e em muitos outros sistemas baseados em Unix, como Android e Mac OS X. Ela permitiu a execução de código remoto para obter o controle de servidores web, roteadores, smartphones e computadores.

Já o BadUSB permite, de forma imperceptível pelo usuário, ignorar as proteções instaladas para prevenir infecções em dispositivos USB, como pen drives, teclados, mouses, câmeras web ou discos rígidos externos e, assim, permitir que o atacante infecte o equipamento.
Por fim, a falha do WordPress permitiu que o atacante fizesse o download de todos os arquivos maliciosos em servidores vulneráveis, porém confiáveis para os usuários, para realizar injeções de malware, invasões e spams localizados.

Vulnerabilidades Humanas: Os especialistas incluíram nesse quesito todos os problemas de segurança gerados pelo comportamento inadequado do usuário. O caso mais conhecido no período foi o vazamento de fotos íntimas de atriz Jennifer Lawrence e muitas outras celebridades. Tudo começou com um suposto "hacker" que dizia ter em suas mãos centenas de fotos de personalidades famosas, e que iria publicar no decorrer dos dias, e assim o fez.

Nesse caso, o problema poderia ter sido evitado se as vítimas, além de cuidados com sistemas, aplicações e navegadores, garantissem a segurança das comunicações, para evitar a exploração de possíveis vulnerabilidades.

"Por esse motivo, reforçamos a necessidade de os usuários terem a consciência da importância de uma conduta adequada na internet. Configurar senhas fortes e robustas, utilizar criptografia de informações pessoais, implementar a dupla autenticação e, claro, usar o máximo do bom senso, são recomendáveis. Além disso, deve-se investir em uma solução de segurança proativa sempre atualizada", avalia Ilya Lopes, especialista de segurança da ESET América Latina.

Monday, 20 October 2014

FBI diz que uso de criptografia sofisticada é obstáculo para combate ao crime e terrorismo

O diretor do FBI, James B. Comey, disse que as leis federais devem ser alteradas para exigir que as empresas de telecomunicações e internet permitam que o órgão tenha acesso às comunicações criptografadas de indivíduos suspeitos de crimes.

Em um discurso na Brookings Institution, em Washington, nesta quinta-feira, 16, Comey advertiu que crimes poderão ficar sem solução, se os agentes policiais não puderem ter acesso às informações que empresas de tecnologia como Apple e Google armazenam por utilizarem tecnologia de criptografia sofisticada.

O Google, Microsoft e o Facebook estão tomando medidas para criptografar o tráfego interno de seus sites, sendo que a Microsoft, que oferece o e-mail Outlook.com como serviço gratuito, já havia dito que está trabalhando para incorporar tecnologias de criptografia para o serviço. A Apple e o Google também ampliaram os recursos de criptografia em seus sistemas operacionais para dispositivos móveis, que possibilitam que os dados e mensagens dos usuários do iOS e Android fiquem fora do alcance das agências de inteligência dos EUA. Em junho, o Google já havia anunciado planos para desenvolver um e-mail à prova de espionagem.

"Infelizmente, a lei não manteve o ritmo de aperfeiçoamento da tecnologia, e essa desconexão criou um problema de segurança pública significativo", disse Comey. Ele disse que espera que o Congresso americano atualize a legislação denominada Communications Assistance for Law Enforcement Act (CALEA), lei de 1994 que obriga as empresas de telecomunicações disponibilizarem em seus sistemas dispositivos que permitam as autoridades iniciar imediatamente escutas telefônicas com a apresentação de uma ordem judicial.

Serviços como Gmail ou Facebook não são cobertos por essa lei. Como as pessoas se comunicaram cada vez mais através da internet, em vez de por telefone, o FBI tem pressionado desde pelo menos 2010 para que os parlamentares ampliem a lei para que essas empresas sejam cobertas e ofereçam o mesmo recurso para o cumprimento de ordens de escuta.

Uma preocupação do FBI tem sido startups, muitas dos quais não têm desenvolvido capacidades de intercepção em seus produtos. Isso pode causar atrasos quando recebem uma ordem. Por sua vez, as starups dizem que o desenvolvimento de tais capacidades é caro e poderia atrair hackers malintencionados.

Uma questão levantada pelo diretor do FBI é se as empresas devem ter permissão para construir sistemas de comunicações criptografados de ponta a ponta, de modo que as agências de inteligência não sejam capazes de decifrar-los, mesmo com a apresentação de uma ordem de escuta telefônica. "Os agentes encarregados de proteger o nosso povo nem sempre são capazes de acessar as provas que precisam para reprimir a criminalidade e prevenir o terrorismo, mesmo com autorização legal", disse ele. "Nós temos a autoridade legal para interceptar comunicações e acessar informações nos termos do mandado judicial, mas muitas vezes não temos capacidade técnica para fazê-lo."

Quebrar a criptografia no novo sistema operacional da Apple, por exemplo, pode levar mais de cinco anos de tentativas, de acordo com um guia técnico da Apple, embora essa estimativa não seja consenso entre os criptógrafos.

Esta foi a primeira declaração de Comey sobre a CALEA desde que assumiu o comando do FBI, em setembro do ano passado. Em seu primeiro ano, ele passou um tempo significativo cruzando o país para visitar mais de 56 escritórios do FBI.

Ao que tudo indica, a batalha entre as empresas do Vale do Silício e da comunidade de inteligência sobre a coleta de informações está apenas começando. Com informações de agências de notícias internacionais.

Wednesday, 15 October 2014

Baixa adoção de padrões de autenticação de email afeta bancos na AL

Nenhum dos 38 principais grandes bancos da América Latina possui proteção completa contra ataques de emails fraudulentos. A conclusão faz parte do estudo da Return Path, que avaliou o domínio de email de instituições financeiras da Argentina, Brasil, Chile, Colômbia, México, Panamá, Peru, Costa Rica, Equador e Uruguai. "A análise revela o quanto os bancos estão vulneráveis com relação às fraudes por email, além do trabalho que há de ser realizado com foco preventivo", explica Louis Bucciarelli, diretor regional LATAM da Return Path.

Entre as instituições avaliadas pelo estudo da Return Path, 27 implementaram a solução SPF (do inglês, Sender Policy Framework), que permite ao dono do domínio especificar os servidores de emails usados para enviar mensagens, e seis bancos "apenas" iniciaram a adesão ao protocolo de segurança DMARC (do inglês, Domain – based Message Authentication, Reporting and Conformance)

"O resultado aponta um sinal de alerta a essas instituições, pois além do crescimento das ações fraudulentas, há uma sofisticação nos ataques via email, com a capacidade de forjar endereços de email iguais ao do verdadeiro remetente", aponta Bucciarelli. De acordo com estimativas da Return Path, os maiores bancos da América do Norte e Europa, por exemplo, recebem aproximadamente seis milhões de tentativas de fraude por mês a clientes no canal email.

A importância da adoção das autenticações e protocolos de segurança está em abordar o problema dos ataques de phishing e spoofing de forma proativa. Há maneiras de detectar mais ataques com mais rapidez, desativar sites fraudulentos com mais agilidade, como também bloquear ataques de emails falsificados antes mesmo de chegarem à caixa de entrada. "Esta abordagem reduz a vulnerabilidade social do email: se as pessoas não tiverem a chance de ver os emails maliciosos, o fato de estarem ou não sujeitos ao erro ou se são descuidados torna-se irrelevante", diz o executivo da Return Path. "Este cuidado reduz os prejuízos financeiros aos clientes e às instituições bem como danos de imagem e credibilidade", completa.

Certisign e AC Sincor lançam portal de assinaturas para o mercado de seguros

A Certisign, empresa de certificação digital, e a AC Sincor, autoridade certificadora do Sincor-SP (Sindicato da categoria no Estado), anunciaram um novo produto para o setor: o Portal de Assinaturas do Mercado de Seguros AssinaSeg.

Trata-se de uma solução para assinatura de qualquer tipo de documento com validade jurídica por meio do Certificado Digital ICP-Brasil. Nesta plataforma, o usuário, além de assinar, pode transmitir e armazenar o documento no sistema. Com apenas alguns cliques e total segurança nos processos.

Qualquer tipo de documento pode ser assinado no AssinaSeg. "Os corretores de seguros, por exemplo, podem assinar o perfil de condutor, documento de alteração ou confirmação de perfil, contratos de representação, comunicados e qualquer outro tipo de documento que seja necessário", explica Maria Teresa Aarão, gerente de Desenvolvimento de Novos Produtos da Certisign.

Alexandre Camillo, presidente do Sincor-SP, destaca a economia e agilidade nos processos que esta solução trará não só aos corretores, mas a todo o setor de seguros. "Por ano, são emitidas mais de 40 milhões de apólices de seguros, e como cada uma tem mais de seis páginas, totaliza-se 240 milhões de impressões. O gasto apenas com a compra de papel representa no setor, em média, R$ 7 milhões. Imagina se acrescentarmos o custo com impressão, motoboy, postagem, armazenamento etc? Vale ressaltar que há também o impacto no meio ambiente que é imensurável. Desta forma, fica clara a importância de migrar os processos físicos do setor para o eletrônico. O AssinaSeg é uma solução benéfica para as contas do mercado e para o planeta. Com o uso do Portal, os processos de assinatura começam e terminam no meio eletrônico com muito mais agilidade. É uma inovação."

Gestão de Risco

Com a validade jurídica assegurada pelo uso do Certificado Digital ICP-Brasil, o Portal AssinaSeg também é uma solução destinada à gestão de risco, justamente por utilizar a assinatura digital e permitir o armazenamento dos documentos de forma eletrônica.

"No Portal AssinaSeg você cria uma pasta eletrônica para cada cliente. Ou seja: não é necessário arquivar e-mails ou documentos impressos assinados à mão para ter a comprovação das informações enviadas pelos segurados. Você pode concentrar todos os contratos e apólices em uma única plataforma", explica Maria Teresa.

Wednesday, 1 October 2014

STJ decide que Sisbacen está sujeito ao Código de Defesa do Consumidor

A Quarta Turma do Superior Tribunal de Justiça (STJ) decidiu que o Sistema de Informações do Banco Central (Sisbacen) tem natureza de cadastro restritivo de crédito, assim como o SPC, a Serasa e demais cadastros do gênero, pois suas informações objetivam diminuir o risco assumido pelas instituições financeiras na hora de conceder crédito.

O entendimento foi adotado por maioria. Prevaleceu no julgamento o voto do ministro Luis Felipe Salomão, que considerou que o Sisbacen é cadastro público que constitui um "sistema múltiplo" com finalidade de proteger tanto o interesse público quanto interesses privados. Com a decisão, a Quarta e a Terceira Turma — colegiados que formam a Segunda Seção do STJ, especializada em direito privado — passam a ter precedentes no mesmo sentido.

A decisão foi resultante de uma ação de indenização por danos morais ajuizada por uma clínica contra a Cooperativa de Economia e Crédito dos Médicos de Tubarão (Unicred) por causa da inclusão do seu nome no registro de inadimplência do Sisbacen. A inscrição ocorreu quando estava em vigor uma liminar judicial que determinava a não inclusão da clínica em órgãos de proteção ao crédito.

A sentença julgou a ação improcedente, pois faltariam provas da inscrição indevida e, além disso, não teria havido dano à imagem da clínica nem prejuízo aos seus negócios.

No Tribunal de Justiça de Santa Catarina (TJSC), a sentença foi reformada. O tribunal considerou que o Sisbacen atua como um banco de dados restritivo, pois informa a todas as instituições quem está apto ou não a receber financiamentos. Para a corte estadual, como houve descumprimento de determinação judicial, isso fez surgir o dever de indenizar os danos morais, que foram fixados em R$ 20 mil.

Em recurso ao STJ, a cooperativa alegou que a indenização é indevida, pois o envio de informações sobre a situação creditícia dos clientes ao Banco Central é obrigatório, sob pena de multa. Também sustentou que o Sisbacen não funciona como órgão de consulta como os demais cadastros de proteção ao crédito, pois exige da instituição financeira a autorização expressa do cliente para busca de informações.

Qualquer cadastro

A Quarta Turma levou em conta que a liminar proibiu a cooperativa de fazer inscrição negativa do nome da clínica e ainda determinou que providenciasse sua exclusão de "qualquer" cadastro de inadimplentes onde figurasse.

Segundo o ministro Salomão, se não há reconhecimento de dívida, não se pode falar em inadimplência e, consequentemente, não se pode colocar o nome do suposto devedor em nenhum órgão de proteção ao crédito, incluindo-se aí os bancos de dados de natureza pública, como o Sisbacen.

De acordo com o ministro, ao cadastrar a clínica no Sisbacen, a cooperativa violou o padrão de veracidade da informação exigido pelo Código de Defesa do Consumidor. "Por inobservância do requisito de veracidade, o registro no banco de dados acabou se tornando uma conduta ilícita que, ao contrário do informado, não reflete uma situação real de inadimplemento, sendo que o caráter induvidoso do dado é da essência dos arquivos de consumo", afirmou.

Filtro

Salomão explicou que o Banco Central mantém informações positivas e negativas, sendo que "em seu viés negativo atua de forma similar a qualquer órgão restritivo, visando à proteção do crédito, além de permitir que a instituição financeira avalie, por meio da consulta aos diversos bancos de dados, inclusive o Sisbacen, os riscos do negócio jurídico a ser celebrado".

O ministro afirmou que o Sistema de Informações de Crédito do Banco Central do Brasil (SCR), que faz parte do Sisbacen, é largamente utilizado pelas instituições financeiras como espécie de filtro para a concessão de empréstimos ao consumidor.

Segundo ele, além de a doutrina especializada reconhecer no Sisbacen a natureza de banco de dados para proteção ao crédito, a jurisprudência do STJ também tem precedentes no mesmo sentido, como os Recursos Especiais 1.099.527, de relatoria da ministra Nancy Andrighi, e 1.183.247, do ministro Paulo de Tarso Sanseverino, ambos da Terceira Turma.

Lei 12.414

Salomão ressaltou que essa foi a intenção do legislador na Lei 12.414/11 — que trata dos cadastros sobre histórico de crédito — ao estabelecer que os bancos de dados de natureza pública teriam regramento próprio, "o que, a contrario sensu, significa dizer que estes também são considerados bancos de dados de proteção ao crédito, os quais futuramente serão objeto de regulamentação própria".

O ministro considerou que as informações do Sisbacen podem ter restringido a obtenção de crédito pela clínica, "haja vista que as instituições financeiras, para a concessão de qualquer empréstimo, exigem a autorização do cliente para acessar o seu histórico junto aos arquivos do Banco Central".

A Turma entendeu que não houve nenhuma justificativa aceitável para o descumprimento da liminar e por isso manteve a indenização de danos