Seis formas de se proteger contra a última vulnerabilidade do Java

Pesquisadores de segurança propuseram vários métodos para proteger os computadores de ataques explorando a falha

Pesquisadores de segurança propuseram vários métodos para os usuários protegerem seus computadores de ataques contínuos explorando uma nova vulnerabilidade, ainda sem previsão de correção em todas as versões do Java Runtime Environment 7.

A maior parte das soluções propostas tem inconvenientes ou é aplicável apenas para certas configurações de sistema e ambientes. Contudo, a esperança é a de que na ausência de um patch oficial da Oracle, os usuários sejam capazes de utilizar um ou outra combinação delas a fim de reduzir os riscos de terem seus sistemas comprometidos.

A nova vulnerabilidade, considerada extremamente crítica, foi descoberta por pesquisadores da empresa de segurança FireEye, que anunciaram no último domingo (26/8) que ela pode ser explorada para executar código malicioso em um sistema por meio da simples visitação a uma página de internet com o plug-in Java habilitado.

O método mais eficiente de mitigar os riscos associados com a nova vulnerabilidade do Java ou vulnerabilidades similares que possam vir a serem descobertas no futuro, segundo a maioria dos profissionais de segurança, é desinstalar o Java ou, pelo menos, desabilitar o plug-in Java Web de seus navegadores.

Contudo, ela tem a inconveniência de não ser prática em alguns ambientes, especialmente em empresas onde aplicativos web baseados em Java são necessários para a realização de operações importantes.

“A maioria dos clientes nunca precisa do Java, mas muitos usuários corporativos precisam dele para usar recursos de ferraments como o GoTo Meeting e WebEx”, disse Chester Wisniewski, conselheiro sênior de segurança da Sophos. “Em um ambiente corporativo você pode ser capaz de controlar o JavaW.exe e garantir que ele execute apenas alguns applets ou contate apenas intervalos de IP inofensivos para serviços que você utiliza e que necessitem do Java”.

Outra solução,   proposta por Wolfgang Kandek, diretor chefe de tecnologia da Qualys, é utilizar um mecanismo de segurança baseado no Internet Explorer Zone para restringir as páginas que podem carregar applets Java.

Os usuários podem impedir o uso do Java no Internet Explorer Zone ao configurar a chave de registro do Windows 1C00 para 0 emHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3, permitindo que apenas o Java e as páginas inofensivas fiquem na Zona Confiável, disse Kandek.

Enquanto isso, os usuários do Google Chrome e do Mozilla Firefox podem obter resultados similares bloqueando o carregamento de conteúdo baseado em plug-ins e pedindo a confirmação do usuário.

Outra forma de reduzir o risco de encontrar applets java maliciosos e que é dependente do usuário é utilizar um navegador internet com o Java desabilitado para navegação geral e outro com o Java habilitado apenas para  acessar aplicativos web confiáveis .Tal política pode ser difícil de aplicar em uma rede corporativa. Contudo, pode ser prático para usuários conscientes dos riscos de segurança e que precisem utilizar certos aplicativos Java baseados na web a partir de seus computadores pessoais.

Por último, existe um patch Java não oficial criado por Michael Schierl, um pesquisador de segurança que encontrou outras vulnerabilidades no Java, no passado, que está sendo distribuída pelos pesquisadores de segurança independentes Andre M. DiMino e Mila Parkour, da DeepEnd Research.

O patch aparentemente bloqueia a falha explorada nos ataques até o momento, mas seu criador não garante que ela irá bloquear todas as formas de exploração dessa vulnerabilidade, que podem ser utilizadas em futuras falhas.

O patch foi submetido a testes limitados e, como qualquer outro patch não oficial, não oferece nenhuma garantia de que evitará que programas legítimos funcionem corretamente, uma vez que ele seja utilizado. Por isso, DiMino e Parkour o estão fornecendo apenas a empresas que o solicitem por e-mail, explicando claramente as razões pelas quais precisam dele.

Se existe alguma conclusão a ser tirada desses métodos de mitigação propostos é a de que nenhuma dessas soluções será adequada para as necessidade de todos.

“A estratégia mais apropriada irá variar muito, dependendo da postura de segurança de sua organização como também a extensão de utilização do Java em aplicativos críticos de negócios”, disse Stephen Cobb, um evangelista da segurança da ESET.

Muitos especialistas em segurança, incluindo Wisniewski e Cobb, acreditam que a Oracle deveria quebrar seu ciclo regular de quatro meses para criação de patch e corrigir esta vulnerabilidade o mais cedo possível.

A próxima fornada de patches de segurança para os produtos Oracle está programada para ser lançada em outubro.

Fonte: IDGNOW

Dia Internacional de Segurança em Informática - DISI 2012

O Dia Internacional de Segurança em Informática (DISI) é realizado desde 2005 pela Rede Nacional de Ensino e Pesquisa (RNP), por meio do seu Centro Atendimento a Incidentes de Segurança (CAIS).

O evento, realizado anualmente em uma capital brasileira, reúne especialistas no assunto para compartilhar seus conhecimentos e assim educar e conscientizar usuários de internet sobre segurança em ambientes informatizados.

O DISI 2012 será realizado dia 29 de agosto no Hotel Jaraguá, na cidade de São Paulo (SP). A cada edição do evento a organização elege um tema para direcionar as atividades do DISI. Neste ano, as discussões serão conduzidas com base no tema “Privacidade de dados: o que você compartilha?”.

Dentre as atividades de conscientização especialmente preparadas para o DISI estão a realização de palestras sobre segurança, a distribuição de material de conscientização e o fomento à iniciativas que divulguem o tema segurança em informática.

As palestras são gratuitas, abertas ao público mediante inscrição e também serão transmitidas em tempo real através deste site:

http://disi.rnp.br/home

Data: 29 de agosto de 2012
Horário: das 9 às 18 horas
Local: Hotel Jaraguá - São Paulo/SP
Tema: Privacidade de dados: o que você compartilha?

Programação

09h00

Abertura

Palestrantes: Liliana Solha e Mileide Magalhaes

09h30

Panorama Latino Americano de Segurança: relatos do front de batalha

Palestrantes: Fábio Assolini

10h20

Lidando com vírus e outros códigos maliciosos

Palestrantes: Atanaí Ticianelli

11h30

Aspectos legais relacionados à privacidade na Internet

Palestrantes: Gerson Charbel

14h00

Segurança e privacidade em redes sociais

Palestrantes: Pedro Janices

14h50

Termos de uso e políticas de privacidade: estamos seguros na internet?

Palestrantes: Omar Kaminski

16h00

Segurança em dispositivos móveis

Palestrantes: Ricardo Kléber

16h50

Encerramento

Desligue o GPS de seu dispositivo móvel

Quer segurança e privacidade? Recurso pode ajudar com indicações de rotas, mas informações pessoais dele estão sendo coletados hoje de muitas maneiras inesperadas

Usuários de  smartphones e tablets costumam dar aos aplicativos que baixam da Apple e da Google Play permissão para capturar seus dados de geolocalização, que têm por objetivo informar onde essas pessoas estão. A prática é condenada por muitos especialistas de segurança, que recomendam uma atitude radical: “desligue essa função GPS, a menos que ela seja realmente necessária”.

"Talvez você não queira que milhões de pessoas saibam onde você mora", diz Alan Brill, diretor administrativo sênior da Kroll Advisory Solutions. Segundo ele, os smartphones com chips GPS de hoje em dia irão incorporar informações de geolocalização nas fotos que você publica em redes sociais como recurso padrão. Para retirar esses dados de suas fotos é necessário o uso de um software para ver o EXIF da imagem. Há muitos deles, para uso em desktop em sua maioria, disponíveis gratuitamente online.

Alan diz estar especialmente preocupado com o geotagging em fotos de crianças e adolescentes.  Mas há implicações para as empresas também, de acordo com a Kroll, que recentemente enviou um comunicado aos seus clientes sobre o tema. As agências reguladoras ao redor do mundo, especialmente na Europa, estão começando a debater se as informações de geolocalização devem ser consideradas dados sensíveis. Em caso afirmativo, empresas que coletam e armazenam esses dados como parte de campanhas de marketing terão que começar a considerá-los algo que um dia poderá carregar um fardo jurídico enorme em caso de violação.

O dispositivo de função GPS pode ser desligado, e, na maioria dos casos, provavelmente deve ser, recomenda ele. O recurso pode ajudar com indicações de rotas, mas informações pessoais dele estão sendo coletados hoje de muitas maneiras inesperadas.

Assim como Brill, Dodi Glenn, gerente de produtos da GFI para a linha VIPRE de produtos anti-malware para consumidores, incentiva os usuários a dizerem não para a busca de dados do GPS em seus aparelhos.

Glenn observa que é bastante comum que os aplicativos peçam permissão para coletá-los, e as pessoas rotineiramente digam sim sem saber o que realmente estão aceitando. Mas, não raro, essa permissão nem chega a ser pedida.

Fonte: IDGNOW

Hackitat - Documentário sobre hacking político, em todo o mundo

Este filme faz um paralelo entre aqueles que querem manter a tecnologia e a Internet livre e aqueles que querem controlá-la.

SOBRE O FILME

Qual a motivação  de algumas pessoas a gastarem muito tempo e energia na criação de servidores, na criação de programas e até mesmo cometerem crimes para ajudarem ao próximo em paises ditatoriais apenas desejando a comunicação livre sem censura?

Quem são as pessoas construindo uma nação na Internet e por que eles estão fazendo isso? Como são os hackers na Bolívia trabalhando para integrar as línguas indígenas em software de computador para que todas as pessoas possam ter acesso a esta tecnologia?

Quem são os hackers do Oriente Médio, que alguns chamam de terroristas e outros de ativistas pela liberdade? O que impulsiona esse tipo de ativismo, e o que o Anonymous Brasil tem a ver ideologicamente com o Anonymous de Bahrein?

Em todo o mundo há uma rede de hackerspaces que exploram e criam novas formas de expressar-se com a tecnologia. Hackerspaces que por alguns são vistos como uma ameaça à nossa sociedade digital.

Qual a motivação dessas pessoas? Quais são seus propósitos e as suas razões para o que fazem? Como vivem suas vidas?

Estas são algumas das perguntas que serão abordadas  neste filme . Para saber mais acesse: Hackitat

BYOD: Por onde começar?

 Definir a estratégia é o primeiro passo. mas também é preciso planejar bem o processo de implantação. Veja como.

Cezar Taurion *

A consumerização de TI é uma realidade e com este fenômeno surge o movimento chamado de BYOD - “Bring Your Own Device”. Isto significa que os funcionários estão usando tablets e smartphones no seu dia a dia e querem trazê-los para seus ambientes de trabalho.

O BYOD libera os funcionários para usar os dispositivos que mais os agradam para a realização das suas tarefas profissionais. Como os consumidores finais estão hoje à frente da vanguarda tecnológica, as empresas perceberam que é muito mais vantajoso abraçar essa ideia do que proibir. Afinal, elas não podem fechar os olhos para esta tendência que, segundo analistas de mercado, é impossível de bloquear.

Como reagir diante deste novo cenário? O setor de TI não é mais dono do ambiente tecnológico dos usuários. O tradicional paradigma da homologação e definição por TI do que pode ou não entrar na empresa já não vale mais. Como fazer frente a este tsunami?

Ultimamente, painéis têm debatido intensamente este tema. Resumi aqui alguns pontos debatidos nestas ocasiões e nas conversas de corredor, que sempre acontecem nestes eventos. Creio que será interessante compartilhar estas informações.

Fica claro para todos que a definição da estratégia é o primeiro passo. O fato de cada vez mais os usuários comprarem seus smartphones não significa que a empresa deva ficar parada, esperando que eles os tragam e conectem à rede corporativa. Na prática, podemos pensar em dois extremos. Em um, tudo é proibido, e nenhum smartphone entra na empresa. Impossivel de controlar. No outro extremo, tudo é liberado. Os riscos são imensos. O que a empresa precisa é definir em que ponto entre os extremos quer chegar, e por onde deve começar. A área de TI deve liderar o processo, mas envolvendo outros setores como gestão de riscos, RH e jurídico, uma vez que aspectos legais e trabalhistas serão envolvidos.

Política de uso

Para definir a estratégia e a política de uso, valide se existem restrições legais e implicações nos aspectos relacionados à remuneração dos funcionários, e obtenha aval da auditoria e da área de gestão de riscos. Uma empresa global tem que entender que uma politica única nem sempre poderá ser aplicada, uma vez que as legislações e as culturas são diferentes entre os países que atua. Também deve ser definido quem vai arcar com os custos das ligações e se a alternativa BYOD será obrigatória. Quanto a pagar as ligações, muitas empresas reembolsam os funcionários que usam o seu próprio dispositivo nas atividades profissionais, pagando os custos das chamadas móveis e do acesso a dados. Outras cobrem metade das despesas, mediante apresentação de relatório dos gastos.

E o que fazer no caso dos funcionários que não queiram entrar no programa? Para estes a empresa vai adquirir smartphones? E, se sim, esta aquisição poderá vista como beneficio diferenciado aos que compraram por conta própria. Um problema à vista?

A questão da propriedade é outro quesito a ser analisado. Podemos pensar em três diferentes abordagens. A primeira é estabelecer que se os recursos corporativos forem acessados por um dispositivo pessoal, a empresa tem o direito de controlar e bloquear o aparelho. Para colocar em prática essa política, é necessário criar normas por escrito e responsabilidades para ambas as partes. O funcionário tem que assinar o documento.

No segundo modelo, a empresa compra o dispositivo e permite seu uso para fins particulares, além, obviamente, das atividades profissionais. Os funcionários que não gostam da experiência obtida em tais aparelhos ficam livres para usar outro equipamento pessoal, entretanto, sem acesso corporativo. Muito comum hoje entre usuários BlackBerry, que também utilizam um iPhone ou Android.

O terceiro modelo é a transferência legal do dispositivo para o funcionário, que pode ser, em alguns casos, permanente. Mas há também a situação em que a organização compra o aparelho por um valor simbólico e dá ao profissional o direito de usá-lo para fins pessoais, comprometendo-se a vendê-lo de volta pelo mesmo preço quando o empregado deixar a empresa.

Também é importante analisar se o atual portfólio de aplicações será impactado pelos novos dispositivos que entram na empresa. Por exemplo, durante anos a empresa pode ter ajustado seus aplicativos a interfacearem com os BlackBerry, mas eles podem não estar preparados para iPhones e Androids. Quais serão o tempo e o custo desta adaptação?

Um ponto importante: educar os funcionários quanto a politica, restrições e riscos envolvidos. Também deve-se definir claramente os objetivos do programa e justificar seu business case. Quais beneficios serão obtidos? Serão intangíveis, como melhoria da imagem? Ou poderão ser mensurados, como aumento da produtividade?

Outro aspecto da estratégia é definir a amplitude do programa BYOD (todos os funcionários ou apenas uma parcela especifica), identificando quem será o seu patrocinador. A estratégia também deve definir os procedimentos do que será feito quando o funcionário deixar a empresa e quais suas responsabilidades quanto ao uso indevido dos aplicativos instalados no seu smartphone.

E quem vai pagar a conta da implementação da política de BYOD? Por exemplo, não comprar mais smartphones reduz as despesas para a empresa. Mas, por outro lado, ampliar a rede, para suportar maior tráfego de dados, e o help desk, para atender a novas demandas, aumentará os custos. Apesar de reduzir o CAPEX, as companhias estão aumentando o OPEX com dispositivos móveis, que são os custos com manutenção. Os gastos com help desk tendem a aumentar. Eles precisam oferecer suporte para diferentes sistemas operacionais. Também é necessário avaliar o custo de aquisição de novas tecnologias para gerenciar os dispositivos móveis. É essencial balancear bem os prós e contras para que o business case faça sentido.

Planejamento da implantação

A próxima etapa será agrupar os funcionários pelas suas demandas de uso para estes dispositivos. As atividades profissionais em uma empresa são bem diversas e, consequentemente, as suas demandas de uso tendem a ser bem diferentes. Uma boa ferramenta auxiliar é construir uma matriz de funções efetuadas versus demandas de aplicações e usos. Por exemplo, um sistema de CRM deverá ser acessado pelo pessoal de vendas, mas não pela equipe de engenharia. Analise também os riscos de segurança para cada tipo de acesso e identifique o gap tecnológico para cobrir estes buracos de segurança.

A terceira etapa é planejar o processo de implementação. Isto significa adquirir e colocar em operação as tecnologias necessárias, como ferramentas de gestão de dispositivos, eventual aumento na capacidade da rede e expansão do help desk. O help desk é um ponto importante. Embora de maneira geral os smartphones sejam suportados individualmente pelos próprios fabricantes (uma empresa como a Apple, por exemplo, não oferece suporte corporativo), o help desk deve suprir os funcionários em dúvidas técnicas quanto ao uso dos aparelhos e, principalmente, quanto à instalação e operação dos aplicativos instalados na loja interna da empresa. A loja de aplicativos é outra questão desafiadora. Se o ambiente tende a ser heterogêneo, provavelmente haverá uma loja para cada tipo de sistema operacional do smartphone, uma vez que eles são diferentes entre si. Isto leva a uma definição estratégica se os aplicativos corporativos serão baseados em tecnologias nativas ou em HTML5. Usando-se tecnologias nativas, cada aplicativo deverá ter uma versão (e não esqueça , gerenciada e atualizada) para cada sistema operacional, seja iOS, Android ou Windows.

Finalmente, comece a colocar em prática o projeto BYOD. Isto envolve um planejamento detalhado das etapas a serem cumpridas: o processo de educação, a criação e formalização da politica de uso, o treinamento e operação das novas atividades dos funcionarios do help desk, e a aquisição e instalação das tecnologias necessárias à gestão dos processos. Teste tudo em um projeto piloto, de prova de conceito, em um ambiente controlado e, posteriormente, ajuste e refine os procedimentos. Após isso, comece a disseminar o BYOD pela empresa. É a etapa do rollout.

E é sempre bom monitorar constantemente o processo, pois novas tecnologias surgem constantemente e, com eles, novos hábitos de uso começam a ser adquiridos. Lembre-se que estamos falando de tecnologias como smartphones e tablets, que são muito recentes. O iPhone surgiu em 2007 e o iPad em 2009. Não existem livros de referência de melhores práticas consagradas. Temos que criar estes livros. Mas este é um bom desafio.

(*) Cezar Taurion é diretor de novas tecnologias aplicadas da IBM Brasil e editor do primeiro blog da América Latina do Portal de Tecnologia IBM DeveloperWorks

Fonte: CIO

Paranoia digital na saúde: como gerir a segurança da informação

 Executivos do setor discutem como melhorar a gestão da SI diante do cenário digital considerado apreensivo por hospitais e operadoras

A confidencialidade dos dados e da informação é um tema antigo e extremamente crítico para hospitais e operadoras de saúde por uma simples questão: quanto mais digital as pessoas se tornam, mais facilmente as informações circulam. Em clima de compartilhar experiências, executivos do setor se reuniram na IT Mídia, na manhã da última quinta-feira ( 16/08), para debater a gestão eficaz da segurança da informação do paciente. Uma certeza? Que o digital é preocupante.

Mas como pode um sistema eletrônico ser mais intrigante para a TI do que os milhares de papeis físicos empilhados nos corredores dos hospitais, por exemplo? Essa “paranoia digital”, na verdade, não é reconhecida como tal pelo setor, conforme debatido. “Não acho que seja paranoia, é questão de entendimento dos riscos associados, dos deveres, do que pode ou não fazer. E essa questão de maiores riscos está internamente, é extremamente crítico”, considera Arlen Feitosa, gerente de segurança da informação e compliance do Hospital Albert Einstein.

É muito mais do que adotar novas tecnologias, envolve conscientização dos colaboradores. O digital, segundo a advogada especializada em direito digital, Patricia Peck, gera mais rastreabilidade e contribui para o crescimento da prova jurídica em determinados casos. “Tem riscos que eu não tenho como evitar que o indivíduo gere conduta, mas tenho como prova que não houve negligência nem conivência, o risco não é meu, não é do meu negocio. Por isso, tem que conscientizar e delimitar. Wi-fi é um exemplo de algo que não é do nosso negócio, é apenas para ser benefício para o cliente, então terceiriza. Não precisa estar no seu IP”, aconselha.

Digital Vs Fraude

A fraude corporativa é um câncer que existe em praticamente todas as organizações. O percentual de companhias e a maneira como cada empresa é afetada variam de pesquisa para pesquisa.  A Kroll Advisory, em recente trabalho, indica que 74% das companhias latino americanas são afetadas por fraudes corporativas.

Um estudo internacional do Reino Unido mostra que quanto maior o uso do papel e interferência humana no processo sempre mais risco de fraude. Mas Patricia destaca: “Isso não quer dizer risco de vazamento”. De acordo com a especialista, o digital, quando vaza, gera um nível de potencialização bem maior.

Para ser efetiva no combate à fraude é mandatório que a organização considere o processo de segurança da informação e que a tecnologia seja auditável.

“Precisamos que as políticas de SI sejam organismos vivos. O Metrus é um exemplo de instituição que antes de ser operadora é um fundo de pensão e por isso temos dois agentes reguladores e somos auditados, em média, sete meses ao ano”, diz Efrain Saavedra, coordenador de TI do Metrus. “A tecnologia é falível, para isso processos de auditoria e de conformidade caminham juntos e possibilitam que a segurança da informação seja das pessoas para que elas possam ser nossos auditores no dia a dia. Isso garante não muito mais que integridade.”

De fato os participantes do debate concordam de forma unânime que a paranoia digital não existe. O que está havendo é a descoberta do potencial de dano e a busca por soluções. O momento é de amadurecimento e compreensão do cenário avalia Klaiton Simão, gerente de TI do Hospital Samaritano de São Paulo. Para ele, o que deve acontecer daqui pra frente é uma adequação dos papeis em relação aos cidadãos, sociedade como um todo e ao governo, cada um entendendo melhor qual seu papel e suas responsabilidades.

“Minha percepção como cidadão é que há uma leniência por parte do judiciário em relação a crimes virtuais. Falta uma legislação firme que represente efetivamente uma preocupação por infrator. Hoje o violador esta se sentindo tranquilo e seguro para praticar seja lá o que for, porque na pior das hipóteses ele vai ter que morrer com algumas cestas básicas”, conclui.

Cenário

A verdade é que alguns anos atrás quando se falava de prontuário eletrônico havia receio se aquele dado uma vez informado podia ser alterado. Sempre havia esse temor, de acordo com Claudio Giuliano, da Sociedade Brasileira de Informática em Saúde (SBIS).

“Naquele momento, essa era uma paranoia com certo sentido, que poderia acontecer. Uma norma que o CFM criou é evitar que isso pudesse acontecer que hoje é requisito de segurança obrigatório. Por outro lado, ainda há uma grandíssima quantidade de prontuário médico em vários lugares. Em consultórios, o cenário é ainda pior. Eles não usam banco de dados ou usam um muito simples. Isso gerou certa paranoia justificada sobre esse assunto, com advento da internet e popularização da mídia social”, conta Giulliano. “A paranoia é sim um fato real. Existe o poder danoso de uma informação ser popularizada”, considera.

Milton Alves, diretor de TI e facilities do Hospital Infantil Sabará, também presente no debate, conclui: “A responsabilidade nossa é muito maior, pois estamos herdando a responsabilidade que os hospitais durante séculos deveriam ter resolvidos para não chegarmos nesse momento paranoico.”

Fonte: Information Week

Estágio - Certificação Digital no DF (Oak Soluções)

Você está procurando um estágio!

Que valorize o seu potencial?

Então venha trabalhar com a gente!

Sobre a Empresa:

A Oak atua nas áreas de certificação digital, eleições online, desenvolvimento de SDKS, Soluções de GED na nuvem, cooperação entre sistemas sob o paradigma SOA(Service-Oriented Architecture) e software embarcado.

Para participar do processo seletivo, é essencial:

- Graduação em andamento em Ciência da Computação ou curso relacionado;
- Haver cursado - ou estar cursando - alguma disciplina relacionada a Teoria da Codificação, Criptografia, Segurança de Dados ou Certificação Digital e/ou algum curso em alguma dessas áreas;
- Ser capaz de seguir normas e padrões rígidos de desenvolvimento em Certificação Digital;
-Compreender com agilidade textos técnicos em Inglês(RFCs).

Condições do Estágio:

- Desenvolvimento de aplicações que utilizam Certificação Digital e Criptografia;
- Carga horária de 20h semanais;
- Horário bastante flexível;
- Remuneração inicial no valor de R$ 1.000,00 + auxílio transporte em dinheiro;
- Ambiente de trabalho descontraído;
- Possibilidade de crescimento na empresa, conforme o desempenho;
- Local de Trabalho: Brasília-DF
- Data de início prevista: 03/09/2012

O(a)s interessado(a)s devem enviar histórico escolar + currículo para vagas@oaks.com.br, com o título "Estágio - Certificação Digital", até o dia 19/08/2012

Fonte: Oak Soluções

Codecademy - Aprenda a programar em apenas um ano

 Leia entrevista com fundador do site que promete democratizar o ensino de programação

Em qualquer lista de profissões do futuro, lá estão os cargos destinados às pessoas com conhecimento de programação de sites, softwares e aplicativos móveis. A demanda cresce cada vez mais, mas ganhar proficiência nesse tipo de linguagem exigia até hoje uma imersão grande em livros e sites pouco didáticos e difíceis para quem não tem pelo menos algumas noções básicas da arquitetura da internet e da tecnologia no geral.

É justamente isso que espera mudar a Codecademy, uma startup fundada em Nova York e que quer democratizar programação. Fundada por dois ex-colegas da universidade de Columbia, Zach Sims e Ryan Bubinski,  a empresa já angariou US$ 12,5 milhões em fundos de capital para expandir seu curso gratuito de ensino de código e traduzi-lo para outras línguas além do inglês.

A companhia promete ensinar os padrões básicos das principais linguagens – HTML, CSS e JavaScript - em um plano de um ano, o chamado Code Year. Trata-se de um método inovador, que usa conceitos extraídos dos games para manter a atenção dos alunos e que pode finalmente tirar esses conhecimentos do gueto técnico.

O método da Codecademy é mais interativo e divertido do que as opções que já existiam no mercado, adotando conceitos da chamada 'gamificação' como a distribuição de badges ao final de cada lição e outras estratégias de engajamento. Até o prefeito de Nova York, Michael Bloomberg, anunciou que se tornaria aluno.

O software desenvolvido introduz o mundo da tecnologia da informação na prática, pedindo ao aluno que realize pequenas tarefas para se familiarizar com a escrita de código e que o faça no seu próprio ritmo.

Os dois fundadores da empresa acreditam que todos, mesmo aqueles que não esperam trabalhar com internet, deveriam saber ao menos os conceitos principais da construção da web. Como a internet não parece que abrirá espaço para outra rede de comunicação tão cedo, resta-nos programá-la ou sermos programados.

Entrevista

"Escrever código é uma alfabetização para o século 21", afirma Zach Zims, co-criador do projeto, na entrevista ao Olhar Digital que você lê abaixo:

 Quando e por que vocês decidiram abrir a Codecademy? Qual a situação atual da companhia?

 A companhia foi fundada em agosto de 2011. Desde então, conseguimos levantar US$ 12,5 milhões de financiadoras como Union Square, Kleiner Perkins, Index Ventures e outras, e hoje empregamos dez pessoas full time. Milhões de pessoas já se cadastraram para participar dos nossos cursos.

 Como se deu a criação do software de ensino?

 Nós mesmos desenvolvemos o método. Queríamos criar uma experiência mais interessante e que prendesse mais as pessoas.

 Começamos a empresa para resolver os nossos próprios problemas. Eu estava aprendendo a programar e quando comecei a trabalhar em alguns projetos com o Ryan, que já havia ensinado código na época que ambos éramos estudantes de Columbia.

 Criamos a Codecademy porque eu queria construir uma melhor experiência de aprendizado para mim mesmo e uma melhor experiência de ensino para o Ryan.

 Por que vocês consideram necessário que qualquer pessoa, mesmo aquela que não é particularmente interessada em internet, deva aprender código?

 A programação faz as pessoas descobrirem o pensamento o algorítmico – e isso é bem maior do que só aprender código. Isso significa pensar na vida como um programa e nos meios de hackeá-la, torná-la mais simples e usar o raciocínio crítico.

 Além disso, saber programação permite que a pessoa se torne uma empreendedora e também a encontrar mais oportunidades de trabalho.

 O site continuará gratuito ou vocês têm planos de criar especializações pagas?

 No momento, não pensamos nisso, queremos manter o site gratuito. Estamos focados em criar um melhor processo de aprendizado para os nossos usuários e expandir nossas atividades.

 Vocês planejam traduzir mais cursos para o português?

 Temos muitos usuários brasileiros e já contamos com alguns cursos traduzidos para o português, está nos nossos planos ampliar isso. Todas as nossas traduções são feitas pelos próprios usuários, então, se você que está lendo essa entrevista quiser nos ajudar, mande-nos um e-mail ou fale conosco através do site.

Fonte: Olhar Digital e Codecademy

VirusImmune - Site analisa arquivo com base em 46 antivírus

Lançado recentemente, o site VirusImmune promete analisar gratuitamente um arquivo de qualquer tipo na web utilizando como base 46 programas de antivírus.

Entre os software utilizados para a varredura do arquivo estão programas como Norton, Trend Micro, Kaspersky, McAfee, Comodo e Sophos.

Ao enviar o arquivo para o site a análise será feita e apresentada na mesma página. Se reconhecer o arquivo como malicioso, o serviço irá exibir a origem do mesmo.

Além disso, o serviço também possui a ferramenta “Similaridade. Esta função exibe arquivos similares, caso não detecte nenhum malware no arquivo enviado.

A ferramenta irá exibir os arquivos similares presentes na base do site, mostrando o percentual de igualdade entre os arquivos. Caso exiba um percentual muito alto, o site poderá identificar malware desconhecidos.

 O Virus immune é uma ferramenta gratuita que analisa arquivos suspeitos com inúmeros antivirus em tempo real.
A tecnologia utilizada na análise dos arquivos enviados é altamente veloz e sem filas de espera e os antivirus utilizados são atualizados diariamente, proporcionando uma maior confiabilidade no resultado.

Você não precisa instalar nada em seu computador, pois todo processamento e análise dos arquivos enviados são feitos em nossos servidores espalhados na internet. Você pode analisar qualquer arquivo e em qualquer lugar que esteja, bastando apenas de uma conexão com a internet.

O Virus immune não substitui de maneira nenhuma qualquer antivirus existente em seu computador, ele analísa somente os arquivos enviados pelo usuário e o resultado positivo de um arquivo analisado não garante que o arquivo é totalmente inofensivo.

O resultado exibido ao usuário é obtido pela verificação de cada antivirus, sendo portanto o Virus Immune apenas um veículo que coleta e exibe as análises feitas pelos mesmos, não tendo assim interferências sobre os resultados gerados.

O VirusImmune não é um comparador de eficiência dos antivírus, pois cada um possui um objetivo diferente: alguns são especializados em scripts, outros em Linux, outros em MacOS e outros em Windows. Mas a união deles aumenta a eficácia na detecção geral e um complementa o outro.

Fonte: Info e VirusImmune

Dropbox é ameaça à segurança na TI corporativa

Estudo de 2012 revela o maior segredo aberto em TI: dados nas mãos dos usuários são tão bons quanto se estivessem perdidos

De acordo com um estudo realizado com 662 profissionais de TI, 31% de seus usuários utilizam frequentemente o Dropbox e 29% o utilizam com muita frequência. Cinquenta por cento dos entrevistados acreditam que o uso do serviço tem, provavelmente, resultado em uma perda ou roubo de documentos confidenciais. O estudo de 2012 revela o maior segredo aberto em TI: dados nas mãos dos usuários são tão bons quanto se estivessem perdidos.

E o departamento de TI pode estar perdido em o que fazer, porque quase metade dos entrevistados na pesquisa – 47% – disse que sua organização usa monitoramento e controle manual para reduzir o risco de ferramentas de compartilhamento de arquivos. Além de ser ineficiente, o monitoramento interno aumenta a carga de trabalho de segurança de TI com a criação de filtros de spam e as exceções de firewall, com o monitoramento de filtros web, aplicação de patches, mantendo a proteção antivírus, digitalização, reimagem e assim por diante.

Quarenta e um por cento dos entrevistados disseram usar treinamento de funcionários e conscientização para reduzir o risco de ferramentas de compartilhamento de arquivos. Mas quando 60% dos funcionários usam frequentemente o navegador baseado em compartilhamento de arquivos, educação claramente não é a resposta completa.

Segundo a pesquisa, 31% dos documentos sensíveis foram divulgados por pessoas não autorizadas CPOR causa de descuido ou questão de controle interno. Em contraste, insiders maliciosos ou criminosos – com base na média extrapolada – foram citados como responsáveis por 19% do vazamento desses documentos.

“Se o seu setor é altamente regulado, você deve estar apavorado com Dropbox, agora,” disse Ryan Kalember da WatchDox, que patrocinou a pesquisa.

Além da perda de dados por parte de funcionários descuidados ou mal-intencionados, 70% das empresas frequentemente, ou muito frequentemente, concedem à parceiros de negócios acesso a documentos sensíveis ou confidenciais. O resultado é que os documentos acabam em muitos lugares com exposição em excesso.

O problema de roubo de dados e perda tem acontecido desde a época da minha família de cassete TRS-80. A diferença é que isso nos tomou cinco minutos para salvar um programa de carrasco de 10K para uma fita cassete. Nesses mesmos cinco minutos hoje eu posso colocar na fila mais de 100GB e ir embora.

A proliferação de dados é outro problema de colaboração não gerenciado. Quando um funcionário envia uma planilha o documento é replicado em cada perna de sua jornada: Postini, servidor de correio do destinatário, uma pasta do Outlook local. E em cada um deles é feito o backup para outro servidor de redundância.

Claro, o Dropbox é apenas uma das dezenas de serviços de armazenamento em nuvem. Amazon S3 é outra. Na verdade, Dropbox está hospedado no Amazon, então você realmente não pode saber onde seus dados residem. Segundo a pesquisa, a organização usa em média 13 ferramentas de compartilhamento e faz 2GB de uploads por mês.

Bloquear o acesso de armazenamento na nuvem é impraticável, pois coloca a empresa contra o empregado e se opõe a colaboração aberta. Impedir a transferência de dados de Dropbox está provando ser impossível. Caso em questão: Ponemon recentemente aprendeu com um de seus clientes, uma empresa de serviços financeiros que mantém um bloqueio rigoroso de sua rede, a qual os funcionários estavam correndo para o Starbucks mais próximo para fazer o download de dados do Dropbox para um pen drive e enviá-lo novamente depois de fazer suas alterações. Os funcionários estão fazendo download de documentos de clientes que usam o Dropbox, então a empresa de serviços financeiros tem que olhar outra maneira de ter o negócio feito. Pensou que o sneakernet estava morto? Tenho certeza que um monte de departamentos de TI têm histórias semelhantes.

Quais dados estão mais em risco de perda? Cinquenta por cento dos entrevistados disseram que documentos de clientes podem “ser atribuídos ao volume de informações e de acesso dos funcionários “. A pesquisa também constatou que “a maioria das organizações – 67% – tem um método para classificar a confidencialidade dos documentos, como parte de seus esforços para atribuir direitos de acesso. ”

Mas grandes organizações com serviços intensivos de documentos, tais como escritórios de advocacia, agências de publicidade e do governo – cujo capital é as suas ideias – não sabem realmente onde todos os seus dados confidenciais e sensíveis estão. Alguns estão no CMS, alguns em um compartilhamento de rede e alguns estão armazenados localmente. Determinar quem deve ter direitos é impraticável.

Como colaboração e mobilidade mudaram a forma como os arquivos são compartilhados, a natureza de proteger os dados não estruturados tem que mudar com ele. Em outras palavras, a empresa tem de notar que perdeu o controle significativo sobre a maioria das camadas da pilha de modo que agora tem que se aproximar de dados como a frente principal na luta para manter as coisas seguras. Algumas organizações estão adotando um modelo de segurança centrada em dados (DCS). DCS tem dois componentes: mantém a criptografia, quando o arquivo está em movimento, em repouso, e em uso. Ele também controla o que o colega, parceiro de negócios ou o cliente pode fazer com os dados, como encaminhamento, edição e impressão.

Empresas como a WatchDox, FileTrek, Fasoo e NextLabs oferecem às empresas uma solução de segurança centrada em dados para de plataformas baseadas em Web e mobilidade para garantir direitos, mesmo retroativamente.

“Se você torná-lo tão fácil de usar como Dropbox, onde os funcionários podem acessar todos os seus dados em um só lugar a partir de qualquer dispositivo, eles não precisarão Dropbox.”

Fonte: ITWEB

Profissão: Tecnólogo em Segurança da Informação

O Tecnólogo em Segurança da Informação é o profissional que atua no desenvolvimento de soluções de segurança baseadas em Tecnologia da Informação (TI) para os processos de negócios em organizações públicas, privadas, não-governamentais ou em quaisquer outros setores que empreguem Sistemas de Informação  e necessitem de estratégias de defesa das informações em suas atividades. Seu foco é em áreas de negócio com análise de riscos de segurança da informação, envolvendo tecnologias, processos e recursos humanos, definindo e difundindo soluções adequadas às  necessidades do negócio.

O Curso

Os conhecimentos específicos desenvolvidos ao longo de um curso  de Tecnologia em Segurança da Informação estão  alinhados a três eixos fundamentais: Programação e Desenvolvimento de  Sistemas; Gestão de Redes e Projetos; e Gestão de Segurança em TI  (Políticas, Legislação, Estratégias e Projetos).

Mercado de Trabalho

Seu amplo campo de atuação envolve a prestação de serviços como:

   - Analista em Segurança de Redes de Dados

   - Analista em Segurança de Processos

   - Administrador de Redes (com perfil em segurança)

   - Consultor em Segurança da Informação

   - Consultor Estratégico de Segurança

   - Coordenador de Segurança da Informação

   - Especialista em Segurança da Informação

   - Gestor de Segurança em TI

   - Projetista de Soluções de Segurança em TI.

O cargo de Gerente de Segurança da Informação está entre os mais demandados na área de Tecnologia da Informação na atualidade, sendo que dentre as exigências para ocupar este cargo, segundo a Desix (empresa especializada em seleção e retenção de profissionais de TI), são:

- Necessário conhecimento dos Padrões e  Normativas ISO/IEC    27001, 27002, 27005;

- ISO Guide 73;

- Nist 800-30;

- Sarbanes Oxley (SOX);

- Cobit;

- ITIL.

Salário

Dicas de medidas preventivas contra técnicas avançadas de evasão

As técnicas de invasão estão evoluindo diariamente tornando-se cada vez mais sofisticadas e de difícil detecção, principalmente porque as corporações negligenciam uso de boas práticas.

As principais ferramentas do mercado, sejam elas proprietárias ou livres, dispõem de opções evasivas avançadas que dificultam a detecção de um ataque.

Algumas ações podem ser aplicadas como medida de prevenção contra técnicas avançadas de evasão (TAE):

1 - As TAEs diferem das ações evasivas tradicionais. É importante entender que elas não são ataques e sim formas de ocultar de um IPS ou firewall a exploração de uma vulnerabilidade, por isso é necessário entender seu funcionamento e as medidas de proteção.

2 - Auditar constantemente a infra-estrutura localizando vulnerabilidades e analisar e mitigar os riscos.

3 - Monitorar a atualização ( patchs ) de todos os sistemas constantemente. Os ataques só ocorrem quando existem vulnerabilidades para serem exploradas.

4 - Avaliar se as soluções de firewall e IPS estão preparadas para proteger a infra estrutura contra estas técnicas.

5 - Implantar uma gerência de segurança centralizada. A descentralização e a falta de uma gerência efetiva e pró-ativa dos dispositivos de segurança permitem que TAEs sejam aplicadas com sucesso garantido nos resultados.

6 - Simular ataques ( pen-testing ) usando estas técnicas no ambiente "real" com o objetivo de detectar o nível de proteção que os atuais dispositivos de segurança adotados na empresa podem proporcionar.

A adoção destas medidas permite ampliar o conhecimento sobre o quanto sua infra estrutura de segurança está preparada para proteger seus ativos. O bom senso, conhecimento e cultura de segurança devem ser premissas básicas no dia a dia dos profissionais que são responsáveis pela salvaguarda dos ativos de uma empresa.

Fonte: Help Net Security