Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Será que você é um alvo fácil para os hackers?

Se um hacker quisesse arruinar sua vida, o quão difícil seria alcançar esse objetivo? A resposta, provavelmente, é que seria muito mais fácil do que você pensa. Veja como diminuir os riscos

Quando o repórter Mat Honan, do Wired News, teve sua vida digital invadida, em agosto , e posteriormente, praticamente eliminada, a perda significativa de dados que ele sofreu não foi a parte mais assustadora da experiência. Muito mais aterrorizante foi o método pelo qual os hackers tiveram acesso a suas contas digitais.

Usando façanhas inteligentes de engenharia social, eles se passaram por Honan e conseguiram extrair bits-chave de informações pessoais da Amazon e do suporte ao cliente da Apple. Com os dados críticos em mãos, bloquearam Honan de sua conta do Google, comandaram seu fluxo no Twitter, assumiram o controle de seu número de ID da Apple e limparam seus dispositivos pessoais.

Se um hacker quisesse arruinar sua vida, seja por roubo de identidade, ou por um simples esquema de limpeza dados como o de Honan, o quão difícil seria de conseguir alcançar esse objetivo? A resposta, provavelmente, é que seria muito mais fácil do que você pensa.

Você é um alvo fácil?

De acordo com pesquisa recente da Harris Interactiva,  encomendada pela Dashlane, empresa que gerencia senhas e dados pessoais, a maioria dos americanos com acesso à internet está preocupada que seus dados pessoais possam ser usados ​online sem o seu conhecimento. Aproximadamente 88% dos 2.208 adultos entrevistados disseram estar pelo menos "um pouco preocupado", e 29% afirmaram estar "extremamente preocupado". Além disso, três em cada cinco entrevistados estavam preocupados se eram vulneráveis ​​a serem invadidos.

John Harrison, gerente de grupo no Symantec Security and Response, diz que as pessoas devem realmente ficar preocupadas, porque estão compartilhando mais do que pensam. Como as redes sociais, registros públicos e brechas de segurança de alto perfil são tão comuns, que um monte de informações potencialmente confidenciais estão apenas flutuando ao redor da Internet.

"Cada pedaço de informação contribui para o quebra-cabeça", diz Harrison. "Nós não colocamos tudo para fora de uma vez, mas eventualmente tudo se encaixa. Por exemplo, você pode não colocar seu aniversário completo no Facebook, mas não é difícil para alguém descobrir em que ano você se formou no colegial e somar dois mais dois.”

Proteja-se da forma mais fácil

Se você usa a Internet  de maneira significativa - envio de e-mails, upload de fotos, frequenta redes sociais, compra online - seu perfil provavelmente já está flutuando no éter. E mesmo que você não tenha fique online tanto tempo assim, pedaços de seus dados pessoais podem estar disponíveis para visualização via registros públicos digitalizados. Uma pessoa interessada poderia facilmente descobrir se você tem uma hipoteca, por exemplo, ou se você recentemente se casou ou divorciou.

Você provavelmente sabe que uma senha de cinco caracteres típica, só com palavras, é fácil de quebrar, e talvez confie em algo muito menos penetrável. Mas provavelmente você não tem tempo ou memória suficiente para se lembrar sempre de uma mistura complicada de números e letras. Então, aqui estão algumas rápidas e fáceis dicas de segurança que irão reduzir drasticamente o seu nível de “hackeabilidade”.

Pesquise seu nome: Antes de começar a se preocupar, é uma boa ideia pesquisar por você mesmo para obter uma noção sobre quanta informação está disponível. Digite seu nome no Google, tanto com aspas como sem, e com palavras-chave relevantes, tais como seu endereço, número de telefone, endereços de e-mail, cargo, empresa e universidade.

Veja o que encontrar e tente olhar para a informação da maneira como um hacker o faria. Há dados suficientes lá para alguém juntar os pedaços e concluir sua vida? Se assim for, você precisa tomar medidas para melhorar sua segurança pessoal.

Use frases como senhas: Senhas são um problema de segurança complicado. As melhores, geradas por computador, são uma misturas de letras, números e caracteres especiais (tais como pontos de exclamação e pontos de interrogação). Infelizmente, as sequências de caracteres alfanuméricos resultantes são também extremamente difíceis para a maioria das pessoas se lembrar. Mas já que a maioria das senhas é hackeada por métodos de força bruta  - isto é, tendo um computador passando por todas as combinações possíveis de caracteres -, senhas mais longas são mais seguras, simplesmente porque demoram mais para serem descobertas.

Esteja atualizado: Uma das maneiras mais fáceis para impedir que intrusos comprometam seu computador é ter certeza de que você está sempre rodando a versão mais recente de todos os aplicativos, incluindo seu programa antivírus.

Priorize contas: Você pode não ser capaz de se lembrar de senhas complexas para cada conta que possui, e na há problema nisso. Segundo Doug McLean, diretor sênior de marketing de produto na McAfee's Global Threat Intelligence, a média online norte-americana tem mais de 100 contas, mas nem todas são importantes.

Em vez de criar senhas diferentes para cada conta, crie senhas únicas apenas para as contas importantes de email, transações bancárias online, redes sociais e outras que contenham informações confidenciais. Para aquelas relativamente triviais, como painéis de mensagens, não há problema em usar uma senha insegura.

Minta: Tenha cuidado com as informações que você dá para sites aleatórios. Claro, seu banco precisa saber o endereço de sua casa, mas um quadro de mensagens realmente precisa saber seu código postal ou seu aniversário? Se você não pode mudar de página porque o site quer que você dê muita informação, Harrison sugere que você tome uma atitude e faça sua escolha. Afinal, diz ele, quadros de mensagens são notoriamente “hackeáveis”, e eles realmente querem apenas  verificar se você tem mais de certa idade.

Proteja-se offline: De acordo com McLean, roubo de identidade offline é ainda muito mais comum do que o online. O motivo: endereços de e-mail têm senhas - enquanto caixas de correio, lixeiras e carteiras perdidas, não. Para proteger-se, ele sugere que você obtenha uma caixa de correio com cadeado (se você ainda não tiver uma), rasgue todas as contas e documentos importantes antes de jogá-los fora e nunca carregue seu cartão de Seguro Social com você.

Use um gerenciador de senhas: Apesar de gerenciadores requererem um pouco de configuração, eles valem a pena se você estiver preocupado com a integridade de suas senhas ou frases secretas. Gerenciadores de senha como Dashlane, 1Password e LastPass não só armazenam todas as suas senhas em um programa criptografado - que você pode desbloquear com uma senha mestre- como também criam senhas seguras que nem mesmo você conhece, geradas por computador.

Mesmo um pouco de segurança percorre um longo caminho

McLean sugere que tomar precauções mínimas de segurança é como fugir de um urso: você não tem que ser mais rápido do que o animal, apenas precisa ser mais rápido do que seu amigo que também está sendo perseguido.

Hackers são espertos, mas também um pouco preguiçosos. Então, a menos que você seja um alvo de alto perfil, um hacker provavelmente irá desistir se as defesas de seus dados provarem ser muito difíceis de serem rompidas.

Em última análise, mesmo tomar medidas de segurança de pequeno porte - como a criação de uma senha de oito caracteres em vez de uma com apenas cinco -, pode proteger suas informações pessoais bem o suficiente para convencer os hackers a mudar de alvo.

Fonte: IDGNOW

Servidor da Abin é preso por espionar a própria agência


Um servidor da Agência Brasileira de Inteligência (Abin), identificado pelas iniciais WTN, foi preso em flagrante pela Polícia Federal por espionagem no próprio órgão. O caso expôs a fragilidade na proteção a dados em áreas sensíveis do Estado e acendeu a luz amarela no Palácio do Planalto, que quer um esclarecimento rápido da extensão dos danos e dados obtidos pelo espião. Órgão de assessoramento para tomada de decisões da Presidência da Republica, a Abin é vinculada ao Gabinete da Segurança Institucional (GSI).

A prisão do araponga ocorreu na última sexta-feira a pedido da própria Abin, que havia verificado "fluxo atípico de dados em uma estação de trabalho" em sua sede, segundo nota divulgada pelo GSI. No momento da prisão, o espião preso já havia conseguido hackear 238 senhas de agentes envolvidos em investigações estratégicas, conforme notícia publicada nesta quinta no jornal Correio Braziliense. "As atividades desenvolvidas nessa estação foram acompanhadas, identificando-se diversas ações vetadas por regulamentos e normas legais", diz a nota.

Por se tratar de assunto sensível e não se conhecer a extensão dos dados violados, ou para quem estavam sendo vazados, o caso está sendo tratado sigilosamente, por ordem da 10ª Vara da Justiça Federal. Mas o segredo excessivo serviu para alimentar versões conflitantes. O ministro chefe do GSI, general José Elito Carvalho, cobrou rigor nas investigações.

WTN tem 35 anos e seria lotado na área de informática da Abin. Ele responde a inquérito criminal por violação de sigilo, cuja pena é de até dois anos de reclusão e a processo administrativo, que pode resultar em demissão do cargo. A prisão ocorreu na tarde da última sexta-feira, quando agentes da PF infiltrados na repartição deram flagrante no servidor no momento em que ele acessava dados de áreas em que não tinha permissão. O espião pagou fiança de 3,5 salários mínimos e foi libertado no sábado para responder a processo em liberdade.

A Abin tem entre suas missões promover e proteger informações consideradas estratégicas para o Brasil, por meio do Programa Nacional de Proteção do Conhecimento Sensível. Cabe ao órgão ainda investigar e prevenir, com ações de inteligência e contrainteligência, potenciais atentados contra a presidente da República e instalações sensíveis à economia e a infraestrutura do país.

O GSI assegurou que a agência realiza, sistematicamente, a monitoração de todos seus sistemas informatizados e redes institucionais. Essa rotina tem por objetivo "garantir a segurança e detectar eventuais falhas operacionais ou atividades não autorizadas", explica a nota. A PF informou que mandou uma equipe à sede da Abin, por requisição da própria agência e verificou "um flagrante de possível violação de sigilo funcional".

Fonte: A Tarde

Conferência em Brasília reune 40 especialistas em cibersegurança

A ICCYBER 2012 - IX Conferência Internacional de Perícia em Crimes Cibernéticos acontece em Brasília de 26 a 28 de setembro

A ICCYBER 2012 – IX Conferência Internacional de Perícia em Crimes Cibernéticos, que acontece em Brasília de 26 a 28 de setembro, reunirá um time de mais de 40 especialistas, nacionais e internacionais, dentre os quais o Instituto Nacional de Criminalística da Polícia Federal e do FBI norte-americano, para debater os desafios da prevenção às ameaças digitais, e casos bem sucedidos de detecção e investigação de quadrilhas cibernéticas.

Contendo atividades distribuídas entre painéis, palestras técnicas, apresentação de papers acadêmicos e sessões de treinamento, dentre os destaques da programação está a presença do Ministro Gilson Dipp, Vice-Presidente do STJ, Ministro do TSE, ex-Corregedor Nacional do CNJ,  e Presidente da Comissão responsável pela elaboração do anteprojeto de reforma do Código Penal, que participará do painel Proposições Legislativas – Reforma do Código Penal, voltado a discutir alternativas de tipificação dos delitos digitais.

Na palestra Sistema Integrado de Comando e Controle para Grandes Eventos, do Coordenador de TI da Secretaria de Segurança em Grandes Eventos do Ministério da Justiça, Daniel Russo, que trará informações sobre o planejamento das medidas de Segurança Eletrônica voltadas para a Copa do Mundo 2014 e Olimpíadas do Rio de Janeiro 2016, face às crescentes ameaças de cyberterrorismo existentes no mundo atual.

Para ilustrar as possibilidades de tais ameaças cibernéticas, e as técnicas de detecção e investigação mais sofisticadas, diversos peritos da Secretaria de Perícias em Informática do Instituto Nacional de Criminalística - INC da Polícia Federal abordarão pesquisas e estudos de caso de episódios ocorridos, como a palestra Ataque a Sites Governamentais: Estudo de Caso, a cargo do perito Ronei Maia Salvatori, do INC-PF.

Dentre os especialistas internacionais presentes, uma das mais aguardadas palestras é a Clustering and Classification for Cyber Crime, do “guru” Jesse Kornblum, formado pelo MIT - Massachusetts Institute of Technology, pesquisador da área de computação forense da Kyrus Tech e criador de uma série de ferramentas consideradas fundamentais para a prática da perícia digital forense.

A programação contempla ainda a sessão de Desafio Forense, elaborada pelos especialistas Sandro Suffert e Jacomo Piccolini, que reproduzirá, num ambiente de simulação, situações de rastreamento de invasão, exigindo a utilização de técnicas sofisticadas, debatidas durante o evento, para a detecção e identificação da origem do “ataque” simulado.

Fonte: IDGNOW

Certificação digital mira mercado da nuvem

Com a segurança sendo ainda o grande 'calcanhar de aquiles' para a adoção de serviços de cloud nas corporações, o mercado de certificação digital prevê que o uso da tecnologia pode, sim, vir a ser uma validação oficial para as aplicações. Essa foi a posição defendida pelo assessor da Presidência do Instituto Nacional de Tecnologia da Informação (ITI), Sérgio Cangiano.

“As soluções vencedoras em nuvem utilizam certificação digital para autorização de entrada na nuvem e certificação dos dispositivos que compõem a nuvem. A assinatura digital unívoca garante a identidade do cliente e a autorização do uso dos serviços contratados da nuvem", sustentou.

"Os demais certificados digitais utilizados nos dispositivos de hardware e software garantem que os serviços são prestados pela nuvem contratada e a integridade dos dados com proteção a acessos não autorizados”, acrescentou.

E para corroborar sua tese, Cangiano lembra que o Instituto Nacional de Padrões e Tecnologia [National Institute of Standards and Technology - NIST] - que faz parte do Departamento de Comércio do governo norte-americano - elaborou um conceito visto por muitos especialistas e técnicos da área como o mais apropriado para a computação em nuvem.

Segundo o NIST, há cinco características essenciais: autosserviço sob demanda, acesso a rede de banda larga, pacote de recursos, rápida elasticidade ou expansão, e serviço de mensuração. A definição também cita os modelos de serviço de software, plataforma e infraestrutura, além de quatro modelos de desenvolvimento: privado, comunitário, público e híbrido - que, juntos, categorizam modos de entrega de serviços em nuvem.

Cangiano acrescenta que, com o uso crescente da computação em nuvem, a certificação digital deve percorrer o mesmo caminho dos motores elétricos e dos computadores. “Inicialmente, eles funcionavam isolados, depois de maturação eles estão presentes em tudo que nos cerca: nos motores no vidro do carro, no teto solar, na veneziana de casa, no portão da garagem, no relógio, na bomba de água, nos brinquedos. O computador está no carro, no telefone, no avião, no metrô, no relógio, no alarme da casa”.

Com isso, na opinião do assessor, o certificado digital “estará no celular para acesso e pagamento móvel, em cada dispositivo da computação em nuvem seja de acesso ou recurso utilizado como serviço para garantia de segurança e integridade dentre outras aplicações”.

Fonte: Convergência Digital

Governo alemão aconselha internauta a não usar o Internet Explorer


Escritório Federal para Segurança de Informação do governo pediu para os usuários do browser utilizarem um navegador alternativo

O governo alemão pediu nesta terça-feira, 18, para que os internautas deixem temporariamente de usar o Internet Explorer, segundo a Reuters. A declaração aconteceu após a descoberta de um erro - ainda não consertado - no navegador que pode tornar computadores vulneráveis a ataques hackers.

O Escritório Federal para Segurança de Informação do governo alemão (BSI, na sila em alemão)  aconselhou todos os usuários browser da Microsoft a utilizar um navegador alternativo até que a desenvolvedora divulgue uma atualização de segurança.

A falha de segurança, que afetou centenas de milhões navegadores em todo o mundo, chegou ao conhecimento do público no fim de semana. A Microsoft disse na segunda-feira, 17, que invasores podem explorar a falha para infectar o computador de alguém que visita um site malicioso e, então, assumir o controle da máquina da vítima.

A empresa pediu que clientes instalassem um software de segurança como uma medida temporária, para que ela conseguisse consertar a falha e lançar uma nova versão mais segura do navegador. A companhia não informou quanto tempo vai demorar para soltar a atualização, mas diversos especialistas em segurança afirmaram que o novo IE deve sair dentro de uma semana.

Fonte: Olhar Digital

Cibercrime brasileiro agora compra kit de ataque no Leste Europeu

'Bankers' estão começando a adotar o uso de "exploit kits" - pacotes de códigos maliciosos prontos e negociados entre eles para automatizar ataques via web

Cibercriminosos brasileiros estão começando a adotar o uso de "exploit kits" - pacotes de códigos maliciosos prontos e negociados entre eles para automatizar ataques via web. De acordo com a Kaspersky, o kit mais comum é o BlackHole, criado e largamente usado no Leste europeu. 

O BlackHole explora bugs de segurança em softwares populares. De acordo com a empresa, bankers (cibercriminosos especializados em ataques contra contas bancárias) brasileiros e do Leste europeu negociam o kit. Uma cópia da versão mais recente do BlackHole custa em média 2,5 mil dólares. Os desenvolvedores também alugam ou vendem versões pré-pagas do kit – o aluguel pode sair por 50 dólares por dia de uso. "Os kits ainda fornecem estatísticas, informando quantos internautas acessaram as páginas infectadas, quantos foram infectados com sucesso e qual a falha que mais foi usada com sucesso", diz Fabio Assolini, analista de malware da Kaspersky no Brasil, no blog da empresa.

De acordo com a análise da Kaspersky, o BlackHole agora está sendo usado em ataques no País para promover a instalação de trojans bancários e, dessa forma, roubar usuários de internet banking. O método deixa os usuários expostos a mais riscos enquanto navegam, com maior possibilidade de infecção sem que percebam o ataque, geralmente bem elaborados e com baixa taxa de detecção e bloqueio pelas soluções de segurança mais usadas.

De acordo com Fabio Assolini,  “o uso de exploit kits por cibercriminosos brasileiros indica que mais usuários estarão em risco, elevando os ataques a outro patamar e potencializando a distribuição de trojans bancários”, afirma o analista.

Engenharia social

No Brasil, os ataques usando Blackhole exploram a curiosidade do internauta. Um exemplo recentemente é um e-mail oferecendo um suposto vídeo da “Juju Panicat” (imagem abaixo). Ao clicar no link, os usuários foram redirecionados para uma página maliciosa no domínio co.cc, onde os códigos do exploit kit estavam prontos para entrarem em ação, sem ser preciso qualquer outra ação da vítima.

E-mail com link que leva para página contaminada

Ao cair na página infectada, o usuário vê uma mensagem de "Loading", enquanto o malware trabalha. Nesse ponto o exploit kit já estará em ação, realizando diversos testes para verificar quais softwares desatualizados há na máquina. O vírus tenta encontrar qual versão de leitor de PDF está configurado no navegador, assim como as versões do Java, Flash Player, e até mesmo a do Windows. A partir dessa análise, o exploit kit dará o próximo passo para concluir a infecção, executando o código malicioso de acordo com o programa desatualizado encontrado.

O exploit kit baixa um trojan (Cavalo de Tróia), automaticamente executado. Este vírus configurar um proxy malicioso no navegador. Assim, da próxima que a vítima acessar seu banco, irá cair em uma página-clone, e terá seus dados roubados.

Assolini teve acesso ao painel de controle do caso. No momento da análise, 905 computadores estavam infectados, 378 destes no Brasil. Em um único dia, o banker infectou 171 pessoas.

Usuários de Internet Explorer e Windows XP (que ainda são bastante usados no Brasil) foram os maiores infectados. Percentualmente, menos de 5% dos usuários do Google Chrome que foram expostos ao golpe foram infectados, contra 23% do Internet Explorer.

Proteção

A recomendação é manter os plugins atualizados: Flash Player, Java e leitor de arquivos PDF. Devido ao grande número de ataques envolvendo o Java, especialistas sugerem que os usuários removam o plugin ou desative-o. “Basta que apenas um software esteja desatualizado em seu PC para que você seja vítima de um ataque como esse.  Um antivírus atualizado também é essencial para completar a proteção do computador”, alerta Assolini.

Fonte: IDGNOW

Gateway com criptografia virtual garante segurança de dados na web

Produto da CipherCloud permite às empresas controlar encriptação e garantir a segurança dos dados em nuvem

Quer criptografar dados sensíveis armazenados por uma de suas aplicações web? Um gateway com criptografia virtual pode desempenhar esse papel para você. Apresentado na última semana pela CipherCloud, o gateway Connect AnyApp pode ser usado para criptografar ou liberar o acesso via tokens de dados de qualquer aplicação de intranet ou de qualquer fornecedor de nuvem.

A CipherCloud está lançando o produto como forma de as companhias que usam software baseado em nuvem não precisarem se preocupar com o nível de segurança ofertado pelo provedor. Além disso, armazenar apenas dados criptografados nos sistemas de um provedor de nuvem elimina a preocupação com delatores e qualquer outra pessoa que possa acessar ou copiar dados.

“A criptografia coloca, novamente, a empresa no controle, porque se eu tenho a chave para criptografar e eu mesmo criptografo as informações, isso significa que eu controlo os dados e para onde eles vão”, afirmou Kevin Bock, vice-presidente de marketing da CipherCloud.

Diversas pesquisas de usuários de computação em nuvem apontam que eles acham que os provedores são responsáveis pela segurança dos dados armazenados. Mas um estudo recente do Ponemon Institute revelou que 72% dos usuários não sabem quais medidas de segurança os provedores tomam para proteger os dados.

Mais interessante, é que outro estudo também conduzido pelo Ponemon, no ano passado, mostrou que 69% dos provedores de cloud acreditavam que seus clientes eram responsáveis pela segurança dos seus dados.

A CipherCloud começou a comercializar os gateways com criptografia virtual em fevereiro de 2011, mas era uma venda baseada em produto, incluindo Salesforce.com e Office 365. Com o Connect AnyApp, Bock afirma que “conseguiu trabalhar a capacidade de criptografia em tempo real e permitir que as empresas configurem, por política, o que realmente precisa ser criptografado”.

Além disso, acrescenta o executivo, os dados criptografados permanecem buscáveis e ainda podem ser classificados dentro do aplicativo web. Bock afirma que isso é possível porque o software que roda em nuvem, como o da Salesforce, verá uma representação da pesquisa criptografada enviada pelo gateway.

Mas embora o uso de um gateway virtual para criptografar dados de aplicações em nuvem ofereça uma nova forma de proteger suas aplicações web, não seria melhor desenvolver um esquema de segurança adicional? “Embora eu concorde que segurança suplementar seja sempre um desafio e, com frequência, seja um guia, há muitos exemplos onde tecnologias de segurança são usadas como algo complementar para satisfazer necessidades específicas dos clientes”, afirmou Layrence Pingree, analista do Gartner. Neste caso, ele afirma que o requerimento chave é o cliente ter a possibilidade de “usar algoritmos específicos de criptografia ou manter chaves de criptografia on premise”. Novamente, o uso de um gateway com criptografia virtual coloca o cliente no comando do processo.

Fonte: ITWEB

Sete pesquisas que prometem revolucionar a TI

Eles ainda estão em fase de pesquisa e espalhados pelos mundo afora, como é o caso da bateria em spray, o serviço de resgate via Wi-Fi e um algoritmo para combate a ciberataques corporativos.

A indústria de Tecnologia da Informação e Comunicação tem a inovação em seu DNA, seja com desenvolvimento interno ou apostas disruptivas de laboratórios independentes e universidades. Como resultado disso, muitas tecnologias futuristas estão sendo criadas pelos gênios desse setor em diversos centros de pesquisas espalhados pelo mundo.

Algumas dessas tecnologias ainda estão protótipos em laboratórios e com grande chance de se tornarem produtos comerciais num futuro não muito distante.

A seguir você confere algumas.

1- Tradutor de idiomas Duolingo

Desenvolvido pelo professor Luis von Ahn, guatemalteco, e seu aluno de graduação, Severin Hacker, da universidade Carnegie Mellon, o Duolingo é um serviço online grátis que permite que as pessoas aprendam simultaneamente novos idiomas e traduzam textos de outros sites. O Duolingo é uma versão evoluída do tradicional Google Translator, mas com capacidades mais avançadas que prometem romper as barreiras idiomáticas entre os povos do planeta.

2- Resgate via Wi-Fi

Pesquisadores alemães da Universidade Técnica de Damstadt criaram uma forma de fazer com que os roteadores domésticos Wi-Fi se tornem redes de backup para serem utilizadas pela polícia, bombeiros e outros serviços de emergência quando a telefonia tradicional estiver fora do ar. Os inventores deste sistema garantem que a atual proliferação de roteadores e a densidade são suficientes para criar uma rede mesh extensa o suficiente para atender serviços de emergência. A única questão é saber se os cidadãos vão aceitar o acesso de seus roteadores particulares pelas autoridades devido aos problemas de segurança.

3-Combate ao ciberataque

Os engenheiros da Universidade de Tulsa querem diminuir a velocidade de acesso e o tráfego de entrada em um sistema específico para ajudar administradores de rede a combater ataques cibernéticos. Segundo esses pesquisadores, a redução de tráfego permite detectar malware e criar um algoritmo de defesa contra ataques às redes corporativas em alta velocidade.

4-Defesa de segurança

Especialistas da Universidade de Washington criaram um jogo de cartas chamado Control-Alt-Hack, projetado para explicar facilmente os conceitos básicos de segurança para os estudantes de Ciência da Computação. O jogo, apoiado em parte pela Intel e pela National Science Foundation dos Estados Unidos, foi lançado oficialmente na conferência de segurança Black Hat, realizada recentemente em Las Vegas.

O Control-Alt-Hack é um jogo de tabuleiro para três a seis jogadores que trabalham para uma empresa chamada Hackers Inc.  Os jogadores enfrentam diversos desafios de segurança, como hackear o sistema de pagamento de um mini-bar do hotel ou um implante médico via Wi-Fi .

O jogo é recomendado para pessoas com mais de 14 anos e não requer nenhum conhecimento prévio de computadores, mas grandes doses de humor e vontade de aprender.

5- Software com menos falha

Um grupo de pesquisadores da Universidade de San Francisco foi surpreendido com o número de vezes que cada u deles falhou no desenvolvimento de software, elevando os custos inicial de projetos. Por isso o grupo decidiu criar uma técnica para treinar engenheiros de software para que possam trabalhar juntos de uma forma mais eficiente. A pesquisa, que também envolveu pesquisadores da Universidade Florida Atlantic University e da Universidade de Fulda, na Alemanha, está realizando um experimento com alunos para criação de um modelo de software que prevê quando uma equipe está fadada ao fracasso. Eles conseguem fazer essas previsões com base nas relações e interações sociais entre os participantes da equipe de desenvolvimento.

6- 4G já é passado

A Universidade de Arkansas está envolvida em um projeto ambicioso para o desenvolvimento de sistemas de comunicação sem fio de baixíssimo consumo de energia. A nova tecnologia pode coletar e enviar dados via sensores remotos, com pouca distorção para longas distâncias. Esses sistemas tolerantes vão permitir que as baterias e outros componentes durem mais tempo e consumam menos energia em diversas aplicações. Podem ser úteis para o monitoramento de animais e para as redes de comunicação em túneis ou em ambientes fechados e difíceis de captarem sinais.

7-Baterias em spray

Hoje todos sofrem com as baterias em laptops e celulares. Mas não se preocupe: este tipo de infortúnio pode entrar para a história graças a um protótipo desenhado pela Rice University, em Houston: um spray bateria.

A bateria recarregável é similar as lítio usadas hoje na maioria dos dispositivos móveis. A diferença é que o protótipo pode ser aplicado em todas as camadas de superfície, com um spray convencional, dispensando o uso de carregadores.

Fonte: IDGNOW

Entenda os investimentos e direcionamentos do Programa TI Maior

Estruturado em cinco pilares fundamentais, iniciativa quer aumentar a força do software nacional na economia brasileira e posicionar o País como pólo de exportações de TI

O Ministério da Ciência, Tecnologia e Inovação (MCTI) anunciou oficialmente no dia (20/08), em São Paulo, o Programa Estratégico de Software e Serviços de Tecnologia da Informação ou TI Maior, que tem o objetivo de fomentar a indústria de software e serviços de TI no Brasil.

O TI Maior quer projetar um gigantesco crescimento para o mercado de tecnologia da informação no Brasil e tem algumas metas até 2020, como: subir a colocação do País no ranking mundial de TI da 7ª para a 5ª colocação; aumentar o PIB do setor de US$ 102 bi para entre US$ 150-US$ 200 bi; alavancar a exportação do setor de US$ 2,4 bi para US$ 20 bi; subir a participação de tecnologia no PIB brasileiro de 4,4% para 6%; e chegar ao número de 2,1 milhões de profissionais qualificados – valores comparados com os números de 2011.

Para o Programa, o  Governo investirá cerca de R$ 500 milhões. “Alguns poderão dizer que são recursos tímidos, frente ao tamanho do setor no Brasil. Quero observar aqui, que o TI Maior não se configura apenas como um programa de investimentos, mas sim como um conjunto de ações articuladas do Governo Federal, visando ao fortalecimento do software nacional na economia brasileira”, afirmou Marco Antonio Raupp, ministro da Ciência e Tecnologia. “O TI Maior é um programa de estratégia para que a indústria de software nacional ganhe mais força.”

A iniciativa está estruturada em cinco pilares: Desenvolvimento Econômico e Social, Posicionamento Internacional, Inovação e Empreendedorismo, Produção Científica, Tecnológica e Inovação, e Competitividade, que compreende as seguintes áreas e ações:

Ecossistema Digital: identificar setores estratégicos da economia brasileira nos quais o País tem vantagem comparativa ou possui um grande desafio socioeconômico, estimulando a formação e consolidação de ecossistemas de base tecnológica em TI relativos a esses setores, com ganhos para toda a cadeia produtiva.

Entre os setores selecionados – com seus respectivos investimentos – estão: defesa e segurança cibernética (R$ 42,5 mi), educação (R$25 mi), saúde (R$30 mi), petróleo e gás (R$39,2 mi), energia (R$21 mi), aeroespacial (R$55 mi), grandes eventos esportivos (R$12 mi), agricultura e meio ambiente (R$20 mi), finanças (R$18 mi), telecomunicações (R$ 13 mi) e mineração (R$12,6 mi). Os impactos previstos pelo MCTI são quanto ao estímulo a Pesquisa, Desenvolvimento e Inovação (PD&I) para uma indústria de base tecnologia para o Brasil.

Há também os mercados de software para tecnologias consideradas estratégicas pelo Governo, como computação em nuvem (R$ 40 mi), mobilidade, internet e jogos digitais (R$43 mi), computação avançada de alto desempenho (R$50 mi) e software livre (R$10 mi).

Start-up Brasil: A ideia é construir ambientes que acelerem o empreendedorismo em tecnologia voltado para a competitividade global, ou, em outras palavras, aproveitar o grande gancho de oportunidades que as startups podem gerar em questões de desenvolvimento tecnológico e inovação. Serão investidos cerca de R$ 40 milhões, e os impactos esperados pelo Governo tangem a criação de softwares e serviços de alto valor agregado, foco no mercado local, priorização de nicho e interação empresa-universidade.

Governo, Setor Privado, Academia, Empreendedores e Mercado de Capital são os elos do Start-up Brasil, que darão suporte legal e financeiro, gestão de modelo de negócio, além de disponibilizar investimentos, infraestrutura e outras medidas.

Brasil Mais TI: Essa é, certamente, uma das medidas mais esperadas por todo o mercado de tecnologia nacional, pois tem a meta de capacitar 50 mil jovens até 2014 para fortalecer a mão de obra em tecnologia da informação. Com a ação, o Governo espera despertar em jovens estudantes a vocação para TI.

Atração de Centros de Pesquisa e Desenvolvimento: A ideia é atrair quatro Centros Globais de P&D para o Brasil na área de software e serviços de TI, impactando, principalmente, empresas globais, o crescimento de diversas empresas (essa medida está intimamente ligada ao Start-up Brasil), abrir o mercado de software e serviços brasileiro, estimular o capital de risco e funding, entre outros.

Ainda na área de fundos de investimento, o Governo quer articular e consolidar iniciativas do gênero no setor de software e serviços de TI, atrelados aos apoios concedidos em PD&I.

“Temos que colocar inovação no centro da economia brasileira”, pontuou o ministro. “Queremos também fazer com que o desenvolvimento seja de forma sustentável”. O Governo investirá R$ 15 milhões entre 2012 e 2015 para alavancar a iniciativa.

Inteligência de Mercado: o Governo vislumbra criar um programa de Inteligência de Mercado que tenha também relação com o setor privado, de maneira a permitir a arquitetura de pesquisas e estruturação de relatórios para atender as necessidades dos diferentes públicos-alvo da iniciativa, obviamente, abraçando aos setores já identificados pelo MCTI.

CERTICs: O que é o software nacional e como desenvolvê-lo e certificá-lo da forma correta? Essa é a ideia da Certificação de Tecnologia Nacional de Software e Serviços Correlatos (CERTICs), que quer possibilitar a ampliação da base tecnológica nacional, por meio de apoio ao desenvolvimento de tecnologias tupiniquins de software e serviços.

Como informou o MCTI, o instrumento-chave do CERTICs está baseado no desenvolvimento, implantação, monitoramento e no aprimoramento de uma metodologia de avaliação de software e serviço com tecnologia nacional. Essa medida está diretamente relacionada ao Decreto nº 7.174/10 e à Lei nº 12.349/2010, que estabelecem preferência de compras para produtos e serviços resultantes de desenvolvimento e inovação tecnológica realizadas no Brasil (Poder de Compra Governamental).

“Queremos que o setor de software cresça muito no Brasil. Não importa se a empresa é nacional ou internacional, queremos incentivar a produção com recursos nacionais”, ressaltou Raupp. “Temos a expectativa que as empresas internacionais instaladas no Brasil comecem a exportar o software criado e produzido aqui.”

Panorama do setor de software e serviços em TI


Mercado interno de TI em 2011 foi de US$ 102 bilhões, de acordo com dados da Brasscom, com exportações representando 3% (US$ 2,5bi), BPO 6% (US$ 4,9bi), software 6% (US$ 5,5 bi), hardware 23% (US$ 19,5 bi), serviços 16% (12,6 bi) e TI in-house 46% (US$ 39,1 bi).

Fonte: ITWEB

10 lições sobre redes sociais que a TI deveria ensinar


Eis como a TI pode assumir a liderança e garantir que mídias sociais sejam usadas com segurança e eficiência

Os departamentos de TI podem não ter dado o pontapé inicial no uso de tecnologias de mídias sociais nas empresas – de fato, a primeira reação de muitos foi bloquear completamente o uso da tecnologia – mas a TI pode e deve desempenhar um papel importante conforme as redes sociais passam a ser um direcionador do negócio. Um dos mais importantes elementos desse papel é garantir que o usuário final se mantenha seguro – e mantenha a empresa segura – enquanto usa tecnologias sociais interna e externamente.

“A mídia social tem grande poder, mas, como qualquer fã do Homem-Aranha poderia dizer, com grande poder vem grande responsabilidade”, disse Jonathan Sander, diretor de IAM da Quest Software. “Parte dessa responsabilidade está com o pessoal de segurança de TI, e parte está com os usuários. Facebook, Twitter e outras ferramentas são como janelas para sua organização, que se abrem com cada usuário. A responsabilidade dos profissionais de TI é garantir a segurança da organização – limitando visualizações, configurando permissões e monitorando atividade”.

Eis o que a TI deve ensinar:

1. Compreenda a política da empresa

Os profissionais de TI devem não só trabalhar com os líderes do negócio para desenvolver a política de mídia social, como devem garantir que os usuários finais estejam cientes e tenham acesso à essa política. A política de mídia social diz aos usuários exatamente o que eles podem e não podem fazer, mas é eficaz somente quando eles a leem e compreendem.

2. Se não é algo que você diria a sua mãe…

É uma lição tão antiga quanto a comunicação online em si, mas é uma que exige atenção extra na era social. “Se é uma coisa que você diria apenas sussurrando, então é algo que você jamais deve postar”, disse Sander. “Parece óbvio, mas muitas pessoas se sentem mais seguras online do que em um corredor ao ar livre. É fácil imaginar que a pessoa do outro lado da parede do seu cubículo queira ouvir o que você está dizendo. É mais difícil manter em mente a ameaça abstrata de uma pessoa externa. Mas, não se engane, a ameaça é real”.

3. Cuide de sua reputação e da reputação de sua empresa

Os profissionais de TI devem trabalhar com os usuários para ajuda-los a compreender a importância de lidar com cuidado com outras pessoas em redes sociais. Eles devem enfatizar que, mesmo que eles não estejam postando em nome da empresa em um perfil pessoal, eles são representantes por associação. “Quando você se envolve com mídias sociais, você ainda representa a empresa”, disse Cesar Vallejo, VP da Strategic Alliances. “Telefones celulares e e-mail tornaram os limites entre vida pessoal e profissional um pouco confusos. As mídias sociais podem torna-los ainda mais confusos. Não pense que seu perfil público é um reflexo apenas de si mesmo – desde que você esteja conectado a uma empresa, pode ser e será usado como um reflexo da empresa onde trabalha”.

4. Cuidado com ataques de engenharia social

Ataques sociais não são exclusividade das mídias sociais, mas elas deram aos hackers muito mais munição para agir. “A engenharia social se tornou outra ameaça comum”, disse Fred Touchette, analista sênior de segurança da AppRiver. “As redes sociais estão repletas de golpes postados em massa, que podem levar a golpes em estilo de pesquisa ou ataques de phishing. Além disso, as redes sociais podem ser utilizadas para criar uma identidade que pode ser “conhecida” da vitima, que, então, passa a ser usada para conseguir informações valiosas pessoais ou profissionais, que a vitima não daria em situações diferentes”.

5. Não existe segunda chance

“Suponha que tudo o que você postar estará lá para todos verem – para sempre”, disse Vallejo. “Uma vez postada uma foto, uma informação e, em algumas plataformas, mesmo quando você curte ou não curte uma coisa, o registro foi feito e você não terá mais controle sobre aquilo e nem como mudar. O que parece bonito ou divertido em um dia, pode ser vergonhoso no dia seguinte. Pense antes de postar ou se envolver com mídias sociais”.

6. Localização, localização, localização

Existem muitos benefícios em aplicativos de redes sociais baseados em localização, mas existem, também, perigos herdados na divulgação de seu local em qualquer momento. Isso, é claro, inclui viagens de negócios. “Sua localização importa quando você está trabalhando”, disse Sander. “Se sua trilha em mídias sociais disser onde você está, poderá revelar informações úteis para um criminoso. Da mesma forma como você se preocupa em não divulgar quando não está em casa para não ter a casa invadida, se um criminoso souber que você não está no escritório, ele sabe que pode enganar um funcionário do help desk e conseguir acesso ao seu sistema, fingindo que precisa da ajuda de um funcionário “que está viajando”.

7. É verdade, qualquer informação que divulgar pode e será usada contra você

“Phishers podem buscar por qualquer tipo de detalhe para login – não apenas aqueles ligados diretamente a suas finanças, incluindo banco e compras”, disse Richard Wang, gestor da SophosLabs US. “Contas de mídias sociais, contas de e-mail e outras podem ser usadas contra você, especialmente se você usa a mesma senha em diferentes sites”.

8. Tenha senhas fortes

Especialmente porque o Facebook e o Twitter são geralmente usados como mecanismos de login por outros sites, é importante garantir que suas senhas de sites mídias sociais sejam fortes. Use, também, senhas únicas. “Utilize senhas difíceis de adivinhar e que não sejam usadas em outros lugares”, disse Wang. “Dessa forma, mesmo que você seja vítima de um golpe, os hackers não conseguirão acesso ao seu e-mail ou contas bancárias”.

9. Cuidado com encurtadores de URL

Encurtadores de URL são usados frequentemente, porém devem ser abordados com cautela. “Depois que você clica em um URL encurtado, não aceite fazer download de nada ou rodar qualquer programa carregado pela página”, disse Vallejo. “Você nunca sabe com certeza aonde vai chegar ao clicar em um link encurtado e, portanto, deve desconfiar da página mesmo que não pareça maliciosa”.

10. Não caia em sensacionalismo

Depois de hackear contas de mídias sociais, os meliantes geralmente tentam enganar os amigos e seguidores da vítima postando links maliciosos e conteúdo com vídeos ou notícias sensacionalistas. “Esses links com notícias sensacionalistas são iscas usadas pelos meliantes”, disse Wang. “Antes de clicar em “Tal e tal estão mortos – veja o vídeo” ou “Veja o que esse cara fez quando viu que ela (preencha o espaço em branco”, acesse fontes de notícias confiáveis ou verifique os fatos para validar a informação. Além disso, tome cuidados com links que enganam no destino, como quando um “YouTube” aparece como “Y0utube.com”.


Rússia projeta tablet Android à prova de hackers


Dispositivo foi criado visando segurança de dados militares e do governo, mas também poderá ser vendido para o público por cerca de 500 dólares

O Ministério de Defesa da Rússia anunciou um novo tablet baseado em Android, mas sem todo o software que eles acreditam comprometer a segurança do usuário.

Exibido na feira de tecnologia IFA 2012 durante a visita do vice-primeiro ministro Dmitry Rogozin a Berlim, o tablet teria sido projetado ao longo de vários anos como um projeto de pesquisa militar apoiado por financiamento privado.

A necessidade para ele é simples: o governo da Rússia quer um tablet que possa executar algumas aplicações principais, mas sem se expor a riscos de segurança desnecessários, ou pelo menos evitá-los ao máximo.

As especificação exatas não foram explicadas, mas aparentemente o dispositivo será baseado em chips ARM e vai empregar criptografia suficiente para uso militar e do governo. "Não há nada como esse sistema operacional no mercado. Ele é à prova de hackers. Há pessoas que estão clamando por isso", disse o líder do projeto Dmitry Mikhailov. "Eles não têm medo apenas do Google ou do governo dos EUA roubarem coisas. Eles estão com medo de vazamentos em geral."

O tablet será fabricado na Rússia e utilizado por uma gama de funcionários, incluindo os de instituições-chave do Estado, como a empresa de petróleo Gazprom. A versão para o consumidor custará, aparentemente, 15 mil rublos (ou cerca de 519 dólares) cada, enquanto que uma versão militar será projetada contra choque e à prova d'água.

Fontes russas têm dúvidas sobre as perspectivas de mercado do projeto, sem contar a venda para o governo russo. O tablet irá incluir a tecnologia de posicionamento global, mas utilizará o sistema GLONASS russo em vez do GPS mais comum.

Fonte: IDGNOW

Líderes de Segurança da Informação: Quais Motivos Tiram o Sono Desses Profissionais?


Muitos executivos enfrentam noites em claro, devido a preocupação extrema com a segurança nos ambientes corporativos

Herbert "Hugh" Thompson, Presidente do Comitê de Programa das Conferências RSA e estrategista-chefe de Segurança da People Security, concedeu uma interessante entrevista, na qual ele fala sobre os desafios enfrentados pelos líderes de segurança da informação, questões de privacidade, redes sociais e sobre a RSA Conference Europe 2012. Pelo fato do executivo levar muitas horas conversando com líderes de segurança da informação que trabalham em diferentes indústrias, foi perguntado a ele qual o motivo que mantinha esses líderes acordados à noite.

Thompson disse que no campo da segurança da informação, muitas vezes acredita-se que exista um conjunto razoável de controles para gerenciar os riscos. "A verdade é que temos pouquíssimas medidas de riscos para trabalhar. Nossa vida é um exercício de gestão de riscos conhecidos e desconhecidos, e são exatamente esses riscos desconhecidos, que deixam líderes de segurança sem dormir", acrescentou.

Em relação aos tópicos abordados, Thompson disse que ataques altamente direcionados são um problema muito sério enfrentado pelas grandes organizações. Os atacantes mudaram as suas façanhas técnicas para manipular as pessoas. O elemento humano da segurança tem sido ignorado na empresa de defesa, no entanto, muitas vezes ele é o ponto de partida para ataques direcionados. O executivo diz que todos os profissionais da área tem muito trabalho a realizar em relação a esse cenário ameaçador.


Experiência na Atuação e Desafios Enfrentados na Área de Segurança

Com referência sobre a base experimental do executivo relacionada ao papel do mesmo e seu desempenho em uma empresa de nível C, foi perguntado a ele como o fato de lidar com segurança da informação mudou ao passar do tempo? E quais os desafios um executivo, nos dias de hoje, não teve que enfrentar em sua jornada trabalhista há uma década atrás?

Thompson disse que "o executivo de sucesso que atua na área de segurança nos dias atuais, tem que ser um mestre das "soft skills". Mais do que nunca, os líderes de segurança precisam ser capazes de se comunicar efetivamente. Isso engloba todos os setores e níveis hierárquicos da empresa". Além disso, o executivo acrescentou o seguinte: "estamos em uma disciplina que não pode ser resumida, simplesmente, a métricas de desempenho em um slide do PowerPoint. Nós operamos em um cenário de nuances, de incerteza, e, como resultado, os executivos de segurança precisam ser embaixadores qualificados. Há também uma enorme necessidade de ser capaz de lidar com a ambiguidade e com essas incertezas existentes".


Questões de Privacidade e Compartilhamento de Informações

Em relação às questões de privacidade e potenciais implicações de segurança, foi perguntado ao executivo se existe um lugar para a rede social na empresa moderna e como uma empresa pode esperar um grande vazamento de dados, quando tantos funcionários são inadvertidos sobre questões de compartilhamento de informações?

Thompson disse que o compartilhamento de informações a partir de redes sociais é um grande problema da tecnologia, e também é uma questão de consciência. É um problema de tecnologia no sentido da necessidade para equipar os funcionários com ferramentas de fácil utilização e serviços que ajudarão a preservar a sua privacidade e proteger informações corporativas potencialmente sensíveis, cada vez que eles postarem algum conteúdo em sites de redes sociais. A tecnologia pode ajudar muito no que diz respeito à geolocalização, captura de imagens e informações contextuais de uma atualização importante, por exemplo.

Na sequência de respostas sobre privacidade e partilha de informações, Thompson disse que o maior desafio é o conteúdo das mensagens. A maioria dos funcionários, de maneira não intencional, posta informações corporativas sensíveis on-line, o que não é difícil os cibercriminosos encontrarem. Em muitos casos, o problema é que eles acreditam que a informação publicada será vista apenas por pessoas de confiança, como amigos e pessoas da família.

Se houvesse apenas um aviso de segurança que pudesse ser repassado e embutido na mente desses funcionários, seria para eles lembrarem, a todo o instante, que os atacantes e concorrentes podem ser a sua maior ameaça. Portanto, discrição, senso e cautela se fazem primordiais em uma situação como essa. Se os funcionários prestarem mais atenção em seus comportamentos na grande rede e tiverem dimensão do quanto um elemento ligado ao cibercrime é ardiloso, certamente eles agirão de maneira mais responsável.


Tecnologia Avançada, Pragas Cibernéticas e Mudanças para Combater as Ameaças

Apesar de uma variedade de tecnologias anti-malware, ataques de malware direcionados personalizados estão causando uma série de prejuízos financeiros em todo o mundo. Sendo assim foi perguntado a "Hugh" que tipo de mudança seria necessária para combater uma ameaça, de forma única e rápida?

O executivo disse que uma análise de malware é importante, mas nunca é o suficiente nessas situações. Há uma enorme necessidade de detectar esses malwares o quanto antes, logo no início de seu ciclo de vida, impedindo que eles possam promover a sua disseminação, pois esse está sendo um dos entraves com o qual a área de segurança tem que trabalhar. Ainda de acordo com o Thompson, é preciso estudar as redes de distribuição de malware, saber como eles são executados e antecipar que o malware pode estar a caminho de desencadear um ataque. "Nós também precisamos ser mais enérgicos em relação à nossa força de trabalho", acrescentou o executivo.

Thompson também ressalta que os ataques mais visados ​​são bem sucedidos, mas isso ocorre não por causa do brilhantismo técnico do atacante. Normalmente, os cibercriminosos obtem vantagem em suas investidas porque um funcionário fez uma má escolha ou executou uma operação nada inteligente. Talvez ele tenha instalado um executável ou plug-in, ou mesmo tenha sido enganado via e-mail e deixado escapar algumas informações sensíveis. "Dessa maneira, precisamos, fundamentalmente, repensar a nossa abordagem à segurança e focar nas vulnerabilidades criadas pelos insiders bem-intencionados, mas que infelizmente, acabam agindo de maneira errada".

Fonte: under-linux