Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Entenda o Google Hacking


Google hacking é uma técnica de hacking que usa o Google Search e outras aplicações do Google para encontrar falhas de segurança na configuração e nos códigos dos sites.

O Google é um sistema de busca muito poderoso e é capaz de fornecer muitas informações que são úteis para um hacker ou cracker. Usando Google dorks , é possível realizar diversos filtros e procurar por determinados sistemas ou configurações de aplicações. Por exemplo, o atacante pode extrair diversas informações como os detalhes de configuração de banco de dados, nome de usuário, senhas, listas de diretório, mensagens de erro, lista de emails, arquivos de backup, etc.

Um dos principais motivos de ocorrer esta exposição de dados é a falta de uma política de segurança relacionada aos servidores e dados que serão expostos na internet.

Existem alguns métodos que podemos utilizar para proteger os servidores que ficarão expostos na web.
Quando disponibilizamos um servidor público, normalmente esse servidor apenas armazena dados irrelevantes, que são na sua maioria, acessados pelo público em geral, mas se você está realmente preocupado de manter o acesso de alguns dados privados, então o melhor caminho é mantê-lo com acesso restrito.

Acredito que todos saibam sobre o risco associado com listagens de diretórios, o que permite usuário mal intencionado visualizar a maioria dos arquivos armazenados dentro de um diretório, sub-diretórios, etc. Algumas vezes até mesmo o arquivo .htaccess pode ser listado, que normalmente é usado para proteger o conteúdo de um diretório de acessos não autorizados, mas um erro de configuração pode permitir que o arquivo seja listado e lido.

Quando um servidor possui dados importantes, onde existe a necessidade em permitir o acesso de qualquer lugar, esses dados podem ser indexados pelos crawlers dos buscadores. Uma das regras simples é que os administradores podem criar um arquivo chamado robots.txt, que especifica determinados locais, de modo que esses motores de busca não devem explorar e armazenar em cachê determinado site ou diretório.

Por exemplo, para proteger um determinado diretório, podemos usar a seguinte configuração no robots.txt

User-agent: *
Disallow: /documentos

Caso você deseje bloquear o acesso a páginas individuais ou se você deseja que qualquer página não seja indexada pelos mecanismos de busca, podemos utilizar os meta tags como – , que irá prevenir os robots de verificar os links de um determinado site.
Maiores informações sobre robots e meta tags podem ser obtidas no endereço http://www.robotstxt.org

Neste caso acima, citamos apenas o exemplo do uso dos robots.txt, porém, o Google hacking pode ser usado para diversos fins e ataques específicos, por exemplo, procurar sites que exijam autenticação para testar ataques de SQL Injection.

Por isso, é muito importante seguir práticas seguras no desenvolvimento de uma aplicação web, implementar revisões de códigos e realizar a aplicação de configurações seguras nos servidores. Para o desenvolvimento de aplicações web, recomendamos uma consulta no projeto OWASP (Open Source Web Application Security Project), que possuí diversas dicas e práticas seguras de desenvolvimento.

Fonte: Security

Segurança: Internautas brasileiros ganham cartilha sobre o uso seguro da web


Os internautas brasileiros ganharam nesta segunda-feira (26) uma cartilha online, a 'Cartilha de Segurança para Internet', que fornece dicas aos usuários para evitar golpes e fraudes na web. O material foi produzido e disponibilizado em PDF pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br).

Para facilitar a compreensão dos usuários, a cartilha é acompanhada por slides, licenciados sob Creative Commons, sobre segurança e práticas de cibercriminosos na internet. Entre os temas tratados pelo documento estão o uso de páginas falsas, sites de compras e leilões para a captura de informações pessoais e dados bancários do usuário - prática conhecida como phishing, sugerindo que os clientes poderão não receber os produtos comprados por essas páginas, receber equipamentos danificados e ter seus dados financeiros usados em outras transações.

A cartilha ainda orienta os internautas a sempre usar computadores seguros e ter cuidado na elaboração de senhas para o uso em sites de compras, por exemplo. O documento sugere que os consumidores busquem por sites e lojas virtuais de confiança e que é primordial desconfiar de ofertas muito atraentes.
Além disso, os slides e textos que compõem a cartilha também orientam os usuários a sempre guardar comprovantes de compra e pagamento dos produtos adquiridos online, para facilitar sua reinvindicação em caso de problemas futuros.

O texto é o terceiro volume de uma série criada pelo CERT.br sobre o universo online e seus cuidados. Os dois primeiros foram o 'Redes Sociais' e o 'Senhas'. A ideia do projeto é ajudar os brasileiros a usar a internet com mais segurança, principalmente, com o aumento de 69% da realização de compras online entre 2010 e 2011.


Fonte: Canal Tech

Black Friday: 5 maneiras de fazer suas compras online com segurança


Veja dicas de como se proteger durante a sexta-feira da Black Friday e a segunda-feira seguinte, a Cyber Monday - dois dos dias de compras mais movimentados do ano

Cada vez mais na moda inclusive aqui no Brasil, a Black Friday, nesta sexta (23) é um dos dias de compras mais movimentados do ano. E também um período de pico de golpes virtuais.

Levando em consideração que os empregados estão cada vez mais utilizando seus próprios dispositivos para acessar os recursos corporativos (ou simplesmente usando um PC de trabalho, mas dando aquela "escapadinha" para realizar uma compra), é uma boa ideia compartilhar algumas das melhores práticas com seus usuários para ajudar a protegê-los - e também proteger a sua rede - de ameaças.

"Você poderia simplesmente dizer 'não' a eles", disse o professor de cibersegurança do Departamento de Engenharia e Ciências da Informação da Universidade de DeVry, Bob Bunge. "Em algumas circunstâncias, isso é absolutamente o que você deveria dizer aos seus funcionários. Não utilize a rede corporativa para compras. Mas é uma má ideia."

Tomar algumas medidas para garantir a segurança é uma boa ideia. Afinal de contas, sites de compras estão entre as páginas mais infectadas por malwares, de acordo com a Symantec.

5 boas práticas para manter a segurança online

Quando se trata de fugir de malware e ataques de phishing, existem algumas coisas simples que você pode ficar atento em sites de compras para ajudar a mantê-lo seguro:

- Procure por um HTTPS ou pelo ícone de um cadeado na barra de endereços antes de enviar informações pessoais a um site. Este é um sinal de que ele está utilizando o protocolo SSL (Secure Socket Layer) ou TLS (Transport Layer Security) de criptografia para proteger a comunicação. Isso ajuda a barrar ataques do tipo 'man-in-the-middle', em que um atacante intercepta suas conexões com o site e injeta ou rouba dados.

- Olhe para a sua barra de endereços do navegador. Se ela aparecer verde é uma indicação de que o site que você está visitando tem sido rigorosamente certificado com uma validação estendida. Em outras palavras, você realmente está no site do comerciante, e não em um falso.

- Procure por um selo de confiança. Muitos sites de compras possuem selos de confiança, geralmente na parte inferior da página inicial ou em páginas onde  os usuários são convidados a fornecer informações pessoais. Eles podem aparecer de diversas formas, tamanhos e cores e são usados ​​para verificar uma série de reivindicações diferentes sobre um site, como o uso de criptografia de dados a o status da empresa como uma entidade legítima.

Mas fique atento, scammers podem forjar um selo legítimo, por isso você deve sempre verificar a autenticidade de um selo de confiança, clicando sobre ele e verificando a página que valida o selo.

- Se uma oferta em um anúncio online ou e-mail parecer boa demais para ser verdade, ignore. Estes são muitas vezes a arma que crackers utilizam para atrair o usuário e contaminá-lo com malwares ou coletar informações pessoais.

"Se parece suspeito, então provavelmente é", disse Bunge. "Se eu tivesse que dar um treinamento de segurança em apenas um parágrafo ou mais, a primeira coisa que eu provavelmente diria é: não clique no link! A indústria de phishing atualmente se baseia em encontrar formas cada vez mais criativas para você clicar em algum link."

- Use boas senhas. Preste atenção nas senhas para o seu e-mail, redes sociais e contas bancárias online. Não use a mesma para todos os seus cadastros. "Junte todo o valor patrimonial de tudo que você anexa a essa senha", explicou Bunge. "Todos os seus endereços de email, todos o armazenamento online, todos os seus cartões de crédito e contas em bancos. É uma quantidade enorme quantidade de dados importantes ligados a apenas uma senha."

A Symantec recomenda que você use senhas que tenham ao menos oito caracteres, uma mistura aleatória de minúsculas e maiúsculas (incluindo números, pontuação e símbolos) e palavras que não são encontradas no dicionário. Além disso, nunca use a mesma senha duas vezes e altere suas senhas a cada seis meses.

"Meu principal conselho para os consumidores é simples, rotinas de confiança", disse Bunge. "Encontre três, quatro ou cinco lojas online que você confia e fique com elas. Se você quiser sair e navegar pela Internet e tentar alguns comerciantes desconhecidos, faça antes uma pesquisa. Coloque o nome do comerciante em um motor de busca e veja quantas vezes as palavras 'fraude' ou 'trapaceiro' aparecem."

Fonte: IDGNOW

Descubra as vantagens de monitorar sua carreira em TI


Planos ajudam funcionários da área a navegar nas águas agitadas da TI e a identificar quais são os próximos passos profissionais

"Qual é o meu próximo passo?” Em algum momento da carreira, a maioria dos profissionais de TI vai fazer essa pergunta aos gestores. Infelizmente, muitos dos líderes da área não estão preparados para responder a essa pergunta com profundidade. Em geral, eles não têm uma boa compreensão dos talentos do empregado, interesses e objetivos, ou então desconhecem os planos de carreira em potencial da empresa.

Linda Tedlie é uma líder de TI que não enfrenta esse problema. Quando um funcionário a abordou e perguntou "o que vem agora?" Linda, uma gerente sênior de desenvolvimento de carreira na Kimberly-Clark, verificou um mapa de carreira para o profissional.

Ela foi capaz de discutir o papel atual do empregado, suas capacidades e identificar outras posições na fabricante de produtos de papel que combinassem com suas habilidades e aspirações. Então, ela pôde planejar de forma adequada os passos que o profissional deve seguir para chegar a posição desejada: uma função mais sênior no departamento de fusões e aquisições da Kimberly-Clark.

O mapeamento de carreira teve origem na área de recursos humanos e é particularmente útil para grandes organizações que buscam institucionalizar seus programas de gestão de carreira, promover o desenvolvimento pessoal e aplicar estratégias de sucessão. De acordo com Gina Clarke, presidente e CEO da Talent Optimization Partners, a movimentação contribui ainda para manter talentos em casa.

As empresas menores, observa Gina, são menos propensas a ter programas formais de mapeamento de carreira porque têm menos oportunidades internas para controlar. Um mapa de carreira reúne diferentes conjuntos de informações para dar aos funcionários e seus gestores uma visão de onde eles estão, para onde podem ir e como chegar aos postos de trabalho desejados.

Gina diz que as companhias geralmente listam os postos de trabalho e as competências necessárias para cada um, além de currículos para trabalhadores individuais. Mas, até agora, poucos empregadores reúnem todas essas informações para criar uma visão holística da progressão da carreira com base em capacidades, competências e metas.

Um mapa da carreira inclui elementos como histórico de trabalho e competências, lista de aspirações, análise de déficit de competências, plano para adicionar competências, posições-alvo na empresa e acompanhamento de metas.

Alinhando expectativas

Na Kimberly-Clark, que soma 56 mil empregados, cada departamento tem um processo para ajudar as pessoas a avançarem em suas carreiras, mas a TI decidiu há três anos melhorar o sistema para seus 900 empregados.

Usando uma ferramenta chamada Skills Framework for the Information Age (SFIAplus), a TI criou uma plataforma que permite que funcionários de TI construam detalhados planos de desenvolvimento, explica Gene Bernier, diretor do Program Management Office, uma equipe de 80 funcionários dentro da TI.

“A plataforma oferece aos indivíduos uma perspectiva diferente. Ela abre linhas de comunicação, e dá às pessoas mais controle sobre o desenvolvimento da carreira", explica Bernier, que liderou o mapeamento de carreira no departamento de TI.

Assim como a Kimberly-Clark, a Mueller Water Products traçou uma série de estratégias para crescimento profissional dos funcionários, mas adotou recentemente uma abordagem mais disciplinada e detalhada para o levantamento das oportunidades possíveis - e expectativas - para os funcionários, segundo o vice-presidente sênior, CTO e CIO Robert Keefe.

A empresa de infraestrutura de água com sede em Atlanta (EUA) lançou sua versão do mapeamento de carreira há vários anos por meio do UAchieve, programa apoiado pela liderança sênior e executado pelo departamento de RH. 

Como muitas organizações, diz Keefe, a Mueller Water Products separa o processo de revisão anual e aumentos salariais por mérito para ajudar a manter o foco em visões de longo prazo e não a partir de metas anuais.

O programa coleta informações sobre cada funcionário, suas posições atuais e habilidades. Como parte do processo, diz Keefe, os profissionais são convidados a considerar determinados cenários. A empresa pergunta se eles estão dispostos a mudar de cidade ou migrar para outra divisão de negócios para ganhar habilidades necessárias para futuras posições.

Com base nas informações coletadas, Keefe diz que a organização trabalha com indivíduos em todos os níveis, incluindo a gestão, para determinar quais as oportunidades estão disponíveis e quee é preciso fazer para estar pronto.

Benefícios para a empresa incluem um melhor planejamento do plano de sucessão e um ambiente de trabalho vibrante e repleto de desafios, além de funcionários engajados, lista Keefe.

Mas não pode haver desvantagens no mapeamento de carreira para os empregadores, alerta o executivo. Na Mueller Water Products, um gerente de TI concluiu no processo de mapeamento que a empresa não tinha a posição que ele aspirava. 

Assim, o veterano de dez anos, que Keefe acreditava ser um futuro líder de TI, conseguiu um emprego em outra empresa onde ele poderia ganhar as habilidades de que precisava.

Ao centralizar as informações sobre o futuro profissional de cada empregado, a organização consegue identificar melhor se há talentos dentro de casa que podem ocupar posições de destaque ou se é preciso buscar no mercado. 

Checklist

6 principais componentes para mapear adequadamente a carreira

O mapeamento de carreira contribui para a definição de metas de longo prazo e objetivos profissionais que vão além das metas estabelecidas durante as revisões anuais, diz Gina, da Talent Optimization Partners.

Embora muitos trabalhadores desenvolvam mapas de carreira em conjunto com os seus empregadores, Gina recomenda que os profissionais executem essa tarefa de forma separada. Esses mapas devem ser atualizados pelo menos uma vez por ano, acrescenta.

Veja abaixo seis componentes-chave de um mapa de carreira, de acordo com Gina:

1. Histórico profissional. Trata-se de uma lista das funções de trabalho que você realizou, com competências (e não apenas as responsabilidades) identificados para cada um.

2. Um olhar completo. "Aqui é onde você começa a incorporar o que você quer", afirma Gina. Ela aconselha que as pessoas comecem com as indústrias que estão interessadas em, em seguida, os papéis que pretendem desempenhar.

3. Análise de gaps de competências. É uma comparação das competências que você tem atualmente e aquelas que precisa adquirir para fazer o que deseja.

4. Plano para adicionar competências. Aqui, você deve identificar projetos, cursos ou experiências que podem ajudá-lo a fechar a lacuna entre as habilidades que tem hoje e as que precisa.

5. Para onde quero ir? Liste empresas que gostaria de trabalhar, ou pelo menos quer saber mais sobre. Se você pretende ficar em seu empregador atual, ainda é útil pensar sobre os concorrentes para compreender melhor o que o seu empregador terá de seus empregados.

6. Metas de networking. Identifique as pessoas que você quer conhecer ou conhecer melhor. Comprometa-se a chegar até eles a cada trimestre com um objetivo específico em mente. Você está procurando um mentor? Esperando por mais informações sobre a empresa em geral? Interessado em um trabalho específico dentro de uma divisão especial? "Considere o que você quer com essas pessoas”, finaliza Gina.

Fonte: IDGNOW

Carreira: sua empresa está preparada para receber a geração Z?


Nascidos em meados da década de 90, esses jovens talentos são conectados com o mundo digital e prometem uma nova revolução nas companhias, depois de seus colegas antecessores Y.

Depois da geração Y, as empresas precisam se preocupar com a chegada ao mercado de um novo grupo de talentos. São os da geração Z, jovens nascidos em meados da década de 90 (entre 1990 e 1995) , que carregam o título "zapear" por terem crescido com o controle remoto da TV nas mãos, mudando de canais e com acesso às mais modernas tecnologias. Por essas características, eles podem influenciar o ambiente de trabalho, segundo os especialistas. 

Os profissionais da era "zapear" têm pouco mais que 20 anos e são conectados com o mundo digital. Eles começam a ingressar no mercado de trabalho, trazendo novos desafios para as organizações que nem aprenderam a lidar ainda com a geração Y e precisam se preparar para receber esses jovens.

Caroline Calaça, especialista em coaching corporativo, explica que a geração Z é um pouco parecida com os profissionais do mundo Y, mas que possuem características diferentes. Os comportamentos comuns entre as duas gerações são ansiedade, ambição, impulsividade, ousadia  e dinamismo.  

A principal diferença entre os talentos conectados com a Y é o fato de eles terem crescido totalmente integrados com a tecnologia, o que, segundo a consultora, interfere na forma como agem, pensam e levam o seu ritmo de vida. 

Esses profissionais não tiveram que mudar hábitos, como a geração X, e nem se desenvolveram junto com as mudanças tecnológicas como os talentos do mundo Y, pois cresceram em um ambiente ágil e sem barreiras para a informação e a comunicação.

Caroline adverte que a intimidade que a geração Z tem com a internet, eletrônicos, velocidade de informação e mídias sociais causarão impacto nas empresas. Por serem totalmente  conectados ao mundo digital, os Z’s esperam encontrar um ambiente de trabalho semelhante ao seu, que é interativo, veloz, repleto de recursos, cheio de autonomia e individualidade, compartilhado e com pleno acesso aos chefes e gestores.

"O grande desafio das companhias é ter líderes preparados para moderar a geração Z e conseguir retê-la", afirma a consultora. Ela destaca que os jovens conectados vivem num mundo sem fronteiras e experimentam constantemente coisas novas. Eles trocam de celular a cada seis meses, por exemplo. São usuários intensivos das redes sociais e não entendem porque algumas companhias bloqueiam esses serviços. Para eles, navegar por esses sites faz parte do seu dia a dia. 

"A geração Z está sempre em busca de novas experiências e se for trabalhar em empresas que bloqueiam redes sociais, não vão concordar. Eles vão ficar menos tempo nas companhias". adverte Caroline. Outra característica, é que esses profissionais navegam por muitos sites e acham que conseguem acesso aos CEOs com facilidade. "Eles não sabem porque não podem falar com os presidentes das empresas", diz a consultora.    

Esses profissionais também têm pressa em serem promovidos. Fazem questionamentos constantes e acham que não têm obrigação em se manter em uma empresa caso suas expectativas não sejam alcançadas. Eles querem ser reconhecidos.

"O ritmo tende a ser acelerado. Tudo isso significa um prenuncio de que modificações na linguagem interna, desburocratização, criação de processos mais dinâmicos e a utilização do apoio da tecnologia serão passos inevitáveis para em um futuro próximo integrar estes novos trabalhadores", acredita Caroline. 


Profissionais multitarefa

Ao mesmo tempo geração Z é funcional e multitarefa. Mas essas características positivas podem se tornar negativas se não forem administradas com cuidado. Falar ao telefone, ouvir música, enviar e-mail, conversar no Skype e elaborar planilhas ao mesmo tempo são o típico comportamento desta geração. 

Como conseguem fazer muitas tarefas ao mesmo tempo, Caroline destaca a importância de as empresas construírem um ambiente de troca, valorização da diversidade e bom relacionamento entre as gerações X, Y e Z, além de alguns baby boomers, ainda no mercado de trabalho. Tal interação é fundamental para garantir foco, resultados, assertividade, flexibilidade e agilidade. "Se não é possível ter tudo isso em uma única geração, porque não integrar as quatro gerações a favor da empresa, beneficiando a todos os envolvidos?", questiona ela.

Caroline constata que algumas organizações já conhecem a importância de valorizar e motivar seus funcionários. Para se prepararem para receber a geração Z que já está prestes a iniciar a próxima onda de revolução no mercado de trabalho. Será necessário cuidar da construção de uma cultura organizacional em que a diversidade seja vista como algo positivo e não ameaçador.

Além disso, as empresas terão de capacitar suas lideranças para engajar as pessoas promovendo uma gestão participativa, criando o hábito do feedback constante, agregando valor não apenas para o cliente, mas pra toda a cadeia produtiva e promover aprimoramento pessoal e profissional personalizados. 

"São maneiras de investir e estimular os jovens e a todos os demais profissionais para que se sintam  satisfeitos e realizados. Sendo assim, utilizarão toda a energia da qual dispõem para oferecer  o melhor de si para a empresa. As empresas precisam se reinventar para reter talentos e se destacar no mercado”, finaliza Caroline.

Como proteger a presença online e apagar a pegada digital


Aprender a melhor forma de cobrir seus rastros online está rapidamente se tornando algo obrigatório no mundo corporativo

Pensar nos dados que você deixa para trás é abrir a porta para a paranoia. Seu navegador? Cheio de cookies. Seu celular? Um sinalizador transmitindo sua localização a todo o momento. Motores de busca registram todas as suas curiosidades. Serviços de e-mail arquivam conteúdo demais. E esses são apenas lugares comuns dos quais estamos cientes. Quem sabe o que acontece dentro dos roteadores?

A verdade é que, se preocupar com o trilho de pegadas digitais preenchidas com seu DNA digital não é apenas para paranoicos em delírio. Claro, algumas falhas como o vazamento das sutis variações no consumo de energia de nossos computadores são exploráveis apenas por equipes de gênios com orçamentos gigantes. Muitas das falhas mais simples já estão sendo utilizadas por ladrões de identidade, artistas da chantagem, spammers ou coisa pior.

Notícias contendo histórias tristes estão mudando a forma como trabalhamos na internet. Apenas um tolo entra no site de seu banco utilizando a rede WiFi de um café sem utilizar a melhor codificação possível. Qualquer um vendendo um computador no eBay irá limpar seu disco rígido para remover todas as informações pessoais.

Existem dúzias de práticas seguras e preventivas que estamos lentamente aprendendo, e muitas não são apenas precauções inteligentes para pessoas, mas para qualquer um esperando administrar um negócio em ordem.

Dados secretos, segredos corporativos comerciais, comunicações corporativas confidenciais – caso você não se preocupe com o vazamento desses dados, você talvez possa vir a perder seu emprego.

Aprender a melhor forma de cobrir seus rastros online está rapidamente se tornando algo obrigatório no mundo corporativo. É mais do que reconhecer que uma inteligente codificação de tráfego significa não ter de se preocupar tanto com a segurança dos roteadores, ou que significativas codificações baseadas no cliente podem construir uma base de dados translúcida que simplifica a administração e segurança da mesma.

Boas técnicas de privacidade para indivíduos criam ambientes mais seguros à medida que um único elo fraco pode ser fatal. Aprender a cobrir os rastros que deixamos online é uma ferramenta prudente para nos defendermos.

Cada uma das seguintes técnicas de proteção de informações pessoais pode auxiliar a reduzir o risco de pelo menos alguns bytes vazando para a internet. Elas não são perfeitas. Falhas imprevistas, mesmo quando todas essas técnicas são utilizadas em conjunto, sempre aparecerão.

Ainda assim, elas são como fechaduras, alarmes de carro e outras medidas de segurança: ferramentas que fornecem proteção suficiente para afastar pessoas com más intenções.

Gestão de Cookies

Os motores de busca e as empresas de publicidade que acompanham nossos movimentos online alegam que temem mente nosso melhor interesse.

Enquanto não nos chatear com a publicidade errada pode ser um objetivo nobre, isso não significa que o incansável acompanhamento de nossas atividades online não será utilizado para as razões erradas por parte dos funcionários ou páginas com ideais menos conceituados.

O mecanismo padrão para acompanhamento online é o de armazenar os cookies em seu navegador. Toda vez que você retorna para uma página, seu navegador envia silenciosamente os cookies de volta para o servidor, o que então liga você as suas visitas anteriores. Esses pequenos conjuntos de informações personalizadas permanecem por muito tempo na memória de seu computador, a menos que você programe seu navegador para apagá-los.

A maior parte dos navegadores possui ferramentas adequadas para paginação através de cookies, lendo seus valores e apagando cookies específicos. Limpar esses cookies de tempos em tempos pode ser algo útil, apesar de que as empresas de publicidade criaram boas formas de utilizar cookies novos e ligar os resultados novos com os antigos.

O Close 'n Forget, uma extensão do Firefox, apaga todos os cookies quando você fecha a aba associada com um site.

Cookies padrão são apenas o inicio. Algumas empresas de publicidade têm trabalhado incansavelmente para explorar os sistemas operacionais mais profundamente. A extensão do Firefox BetterPrivacy por exemplo, irá se apoderar dos "supercookies" armazenados pelo plug-in Flash.

A interface padrão do navegador não sabe que esse supercookies existem, e você pode apagá-los com apenas uma extensão como essa ou trabalhando diretamente com o plug-in Flash.

Ainda existem outros truques para alojar informações em um computador local. O Ghostery, outra extensão do Firefox, observa os dados vindos de uma página, sinaliza algumas das técnicas mais comuns (como a instalação de imagens de pixel único), e lhe possibilita reverter os efeitos.

Tor

Uma das formas mais simples de rastrear sua máquina é através de seu endereço de IP, o número que a internet utiliza como um número de telefone, de forma que seus pedidos de dados possam encontrar o caminho de volta para sua máquina. Endereços IP podem mudar em alguns sistemas, mas eles são, muitas vezes, bastante estáticos, permitindo que malwares rastreiem sua utilização.

Uma ferramenta bem conhecida para evitar este tipo de rastreio é chamada Tor, um acrônimo para “The Onion Router”. O projeto, desenvolvido pelo Office of Naval Research (Escritório de Pesquisa Naval), cria uma super-rede codificada que se recupera automaticamente no caso de um mau funcionamento e funciona sobre a internet.

Quando sua máquina inicia uma conexão, a rede Tor traça um caminho através de N nódulos intermediários diferentes na subrede do Tor.Seus pedidos por páginas Web seguem este caminho através de N nódulos.

Os pedidos são codificados N vezes, e cada nódulo ao longo do caminho retira uma camada de codificação, como ao descascar uma cebola, à medida que a informação passa por cada nódulo.

A última máquina no caminho então envia seu pedido como se ele fosse o dela mesmo. Quando a resposta volta, a última máquina agindo como um proxy codifica a página Web N vezes e a envia de volta através do mesmo caminho na sua direção.

Cada máquina na corrente conhece apenas o nódulo anterior a ela e o nódulo após ela. Todo o resto é um mistério codificado. Este mistério protege você e a máquina do outro lado. Você não conhece a máquina e a máquina não conhece você, mas todos ao longo da corrente impulsionam a rede Tor.Enquanto a máquina agindo como seu proxy do outro lado do caminho pode não lhe conhecer, ela ainda pode rastrear as ações do usuário. Ela pode não saber quem você é, mas ela saberá que dados você está enviando para a internet.

Seus pedidos para as páginas Web são completamente codificados no momento que chegam ao fim do caminho, pois a máquina no final da corrente deve ser capaz de agir como seu proxy. Cada uma das N camadas é removida, até que não sobre nenhuma.

Seus pedidos e as respostas que os mesmos retornam são fáceis de ler à medida que passam pela corrente. Por esta razão, você pode considerar a adição de mais codificação caso esteja utilizando o Tor para acessar informações especiais como seu e-mail.

Existem inúmeras formas de utilizar o Tor no que diz respeito à complexidade de compilar o código você mesmo e até baixar uma ferramenta.

Uma opção popular é baixar o pacote Torbutton, uma versão modificada do Firefox com um plug-in que possibilita ativar ou desativar o Tor enquanto utiliza o navegador, com ele, utilizar o Tor é tão simples quanto navegar na internet. Caso você precise acessar a internet de forma independente do Firefox, você talvez consiga fazer o proxy funcionar sozinho.

SSL

Um dos mecanismos mais simples para proteger seu conteúdo é a conexão codificada por SSL.

Caso você esteja interagindo com uma página de prefixo “https”, a informação que você está trocando está provavelmente sendo codificada utilizandoalgoritmossofisticados.

Muitos dos provedores de e-mail mais sofisticados como o Gmail, agora, encorajarão você a utilizar a conexão HTTPS para sua privacidade por meio da modificação de seu navegador para o nível de segurança mais alto possível.

Uma conexão SSL, se configurada corretamente, mistura os dados que você posta em uma página e os dados que você recebe.Caso você esteja lendo ou enviando um e-mail, a conexão SSL esconderá seus dados dos olhos curiosos de qualquer um dos computadores ou roteadores que existam entre você e o site.

Caso você esteja utilizando uma rede WiFi pública, faz sentido utilizar o SSL para impedir que o site ou qualquer um utilizando o mesmo leiam os dados que você está enviando e recebendo.

O SSL apenas protege a informação à medida que ela viaja entre seu computador e a página, mas ele não controla o que a página faz com essa informação.

Caso você esteja lendo seu e-mail com seu navegador, a codificação SSL bloqueará qualquer roteador entre seu computador e a página do e-mail, mas ele não irá impedir qualquer um com acesso ao e-mail no destino de lê-lo uma vez que ele chegue.

É assim que seu serviço de e-mail por internet pode ler seu e-mail para adequar os anúncios que você verá enquanto o protege de qualquer um. O serviço de e-mail web vê seu e-mail claramente.

Existem inúmeras técnicas complicadas para subverter conexões SSL, tais como o envenenamento do certificado do processo de autenticação, mas a maior parte delas está acima da habilidade dos ouvintes secretos.

Caso você esteja utilizando a WiFi de um café, o SSL provavelmente irá interromper o cara na sala dos fundos de ler o que você está fazendo, mas ele talvez não bloqueie um atacante mais determinado.

Mensagens codificadas (criptografia) 

Enquanto o Tor esconderá seu endereço IP e o SSL protegerá seus dados dos olhos curiosos dos bots de rede, apenas e-mails codificados podem proteger sua mensagem até que ela chegue.

O algoritmo de codificação embaralha a mensagem, e é empacotado como uma sequência do que parecem ser caracteres aleatórios.Este pacote viaja diretamente para o destinatário, que deve ser o único em posse da senha para decodificá-lo.

O software de codificação é mais complicado de utilizar e muito menos simples do que o SSL.Ambos os lados devem estar executando softwares compatíveis, e ambos devem estar prontos para criar as chaves corretas e compartilhá-las.

A tecnologia não é tão complicada, mas ela exige um trabalho muito mais ativo.Também existe uma vasta gama de qualidade de pacotes de codificação.Alguns são mais simples de utilizar, o que, muitas vezes, cria mais falhas, e apenas os melhores podem resistir a um adversário mais determinado.

Infelizmente a codificação é uma disciplina que evolui rapidamente e que exige um profundo conhecimento de matemática. Compreender o domínio e tomar uma decisão relacionada à segurança pode exigir um doutorado e anos de experiência.Apesar dos problemas e limitações, até mesmo os piores programas são, muitas vezes, fortes o suficiente para resistir aos usuários na espreita – como alguém abusando dos poderes de administração do sistema para ler um e-mail.

 Bases de dados translúcidas

A típica página ou base de dados é um alvo de parada única para ladrões de informações, pois todas as informações são armazenadas de forma clara.

A solução tradicional é utilizar senhas fortes para criar uma barreira ou fortaleza ao redor dos dados, mas uma vez que alguém passa por tal barreira, é fácil acessar os dados.

Outra técnica é a de armazenar apenas dados codificados e garantir que toda a codificação seja feita do lado do cliente antes de os dados serem enviados pela internet.

Páginas como estas podem, muitas vezes, fornecer a maioria dos mesmos serviços que páginas ou bases de dados tradicionais, enquanto oferecem garantias melhores contra o vazamento de informações.

Várias técnicas para aplicar esta solução são descritas em meu livro "Translucent Databases".

Muitas bases de dados oferecem outras ferramentas de codificação que podem fornecer alguns ou todos os benefícios, e é fácil adicionar outra codificação aos clientes Web.

Nos melhores exemplos, a codificação é utilizada para obscurecer apenas os dados confidenciais, deixando o resto exposto. Isto possibilita a utilização de informações não pessoais para análise estatística e algoritmos de obtenção de dados.

Esteganografia 

 Esteganografia deriva do grego, onde estegano significa esconder, mascarar e grafia significa escrita. Logo, esteganografia é a arte da escrita encoberta. É uma das técnicas mais elusivas e sedutoras é a esteganografia, um termo geralmente aplicado ao processo de esconder uma mensagem de forma que ela não possa ser encontrada. É possível esconder um arquivo dentro de outro, de forma criptografada. Colocar um texto criptografado dentro de um arquivo de imagem qualquer, por exemplo.

A codificação tradicional bloqueia os dados em um cofre, a esteganografia faz o cofre sumir. Para ser mais preciso, ela disfarça o cofre para que ele tenha a aparência de algo inócuo, tal como uma planta ou gato.

As soluções mais comuns envolvem a modificação de uma pequena parte do arquivo de forma que essa modificação não seja notada. Um pequeno pedaço de uma mensagem, por exemplo, pode ser escondido em um único pixel por meio da organização da paridade dos componentes de cor verde e vermelho. Caso ambos sejam pares ou ímpares, então o pixel carrega a mensagem de um 0. Caso um deles seja par e um ímpar, então a mensagem é 1.

Para ser mais concreto, imagine um pixel de valores de cor verde, vermelho e azul de respectivamente 128, 129 e 255. O valor em vermelho é par, mas o valor em verde é ímpar, significando que o pixel está carregando a mensagem 1.

Uma mensagem curta e de um único bit pode ser escondida por meio da obtenção de um arquivo, reconhecimento de um pixel e uma pequena modificação no valor verde ou vermelho para que o pixel carregue a mensagem correta.

Uma mudança de um bit será pequena e quase que certamente invisível aos humanos, mas um algoritmo de computador buscando no local correto será capaz de encontrá-la.

Paul Revere precisava enviar apenas um bit, mas você talvez precise enviar mais. Caso esta técnica seja repetida por tempo suficiente, qualquer montante de dados pode ser escondido.

Uma imagem com 12 megapixels pode armazenar uma mensagem com 12 MB, ou 1,5 MB, sem modificar nenhum pixel por mais de uma unidade de vermelho ou verde.

O uso sagaz da compressão pode melhorar isto de forma dramática. Uma mensagem grande como este artigo pode ser inserida nos cantos de uma foto normal na internet.

Arrumar pixels é apenas um dos meios pelos quais mensagens podem ser inseridas em diferentes localizações.

Existem dúzias de meios para aplicar esta abordagem – por exemplo, substituir palavras com sinônimos ou inserir erros ortográficos de forma artística em um artigo.

Isto é um erro ortográfico ou uma mensagem secreta? Tudo depende da inserção de mudanças pequenas, impossíveis de serem notadas.

A esteganografia não é uma forma perfeita ou garantida de evitar a detecção. Enquanto as sutis mudanças aos valores como os componentes verde e vermelho podem não ser visíveis a olho nu, algoritmos mais inteligentes podem, às vezes, localizar a mensagem.

Inúmeras abordagens estatísticas podem destacar arquivos com mensagens escondidas ao buscarem por padrões deixados para trás por modificações desleixadas.

O brilho que um vidro produz em uma imagem é, normalmente, preenchido com pixels que estão preenchidos com uma quantia máxima de pixels vermelhos, verdes e azuis.

Se um número significante desses pixels é apenas uma unidade menor que o máximo, existe uma boa chance de que o algoritmo estenográfico fez modificações.

Esses algoritmos de detecção também possuem limites, e existem inúmeras abordagens sofisticadas para tornar mais difícil a detecção de mensagens escondidas.

Os cientistas trabalhando na detecção estão jogando um jogo de gato e rato com os cientistas que buscam melhores de esconder os dados.

Fonte: CIO

Quatro invasões persistentes que abalaram em 2012


Foram muitas as notícias de incursões em bases de dados corporativas e redes no ano passado, que ditam a transformação da indústria da segurança

Até o momento, 2012 foi o ano dos esqueletos saindo de dentro do armário de segurança de TI. As manchetes ficaram cheias de histórias de empresas cujas redes e bases de dados foram tomadas completamente por invasores por meses e, às vezes, anos.

Muitas companhias se esforçam para manter tais violações em segredo se não há PII (Personally Identifiable Information – Informação que pode comprometer dados pessoais; N. da T.) roubada, mas nest ano, muitas delas viram suas entranhas obscuras de segurança serem iluminadas pela luz do dia. A Dark Reading analisou alguns dos comprometimentos de longo termo de maior impacto que forma revelados durante esse ano e o que esses eventos significaram para os profissionais de TI.

1. Câmara do Comércio dos Estados Unidos

Nos últimos dias de 2011, explodiu a notícia de que a Câmara do Comércio dos Estados Unidos havia sido vítima de uma invasão de um ano por hackers chineses – uma origem comum de muitos ataques de longo termo descritos aqui. Nesse caso, o FBI alertou à câmara que os invasores estavam usando servidores na China para roubar informações de sua rede. A organização nunca conseguiu apontar o ponto inicial de entrada, mas conforme investigava, descobriu que os invasores tinham armado sua rede toda com backdoors para roubar com mais eficiência seus dados armazenados.

A publicidade desse ataque deu às manchetes assunto por todo o Ano Novo sobre a maneira que os invasores haviam subido de nível em estratégia, tendo como alvo organizações de todos os tipos. Mostrou um “novo nível de sofisticação”, afirmou Joe Gottlieb, presidente e CEO da Sensage, para a Dark Reading.

“Os invasores conseguiram escolher sua organização alvo: a Câmara do Comércio dos Estados Unidos. Conseguiram escolher as pessoas dentro da organização que importavam a eles: as pessoas que trabalhavam com política na Ásia. Conseguiram obter todo o conteúdo de e-mail, incluindo anexos, trocados entre essas pessoas e outras empresas, vários dos quais devem ter sido de grande relevância”.

2. Nortel

Se um ano de comprometimento de rede e database parece ruim, o que pensar de dez vezes isso? A indústria de segurança teve suas piores suspeitas confirmadas sobre o tempo de invasão sustentada dentro de uma infraestrutura corporativa, quando o The Wall Street Journal publicou informações que revelavam a década que a Nortel passou sob o dedo de invasores chineses antes da empresa ser dividida pela Avaya e várias outras empresas de tecnologia em vendas ao longo de 2009 e 2010. Curiosamente, a Nortel sabia da invasão de sua rede, mas nunca deixou que seus compradores soubessem da má notícia.

Especialistas em segurança dizem que a Nortel não é uma exceção nas empresas americanas.

“A triste realidade é que isso mostra que é bem provável que a Nortel não seja a única empresa que foi violada por um longo tempo e só agora decidiu revelar, disse Marcus Carey, perquisador em segurança para a Rapid7, à Dark Reading.

A história do WSJ foi apoiada por um ex-funcionário da empresa que liderou investigações internas sobre os ataques e que foi continuamente ignorado por executivos que diziam que ele era alarmista. Esse cenário de fato destaca a necessidade de construção de um consenso e comunicação qualificada provenientes do departamento de segurança para filtrar as mudanças necessárias para detectar e parar as invasões.

3. Ministérios de Finanças japonês

Em julho, o Ministério de Finanças do Japão deixou escapar que havia sido alvo de uma incursão de longo termo que durou dois anos em sua rede, em 2010 e 2011, por invasores usando um acesso remoto Troia. O malware não foi descoberto até que estivesse ativo, mas funcionários japoneses disseram que sua investigação inicial descobriu 123 dos dois mil computadores verificados estavam infectados.

A viabilidade de longo termo de um Troia em PCs do governo japonês oferece um bom exemplo de como os invasores de hoje estão acostumados a se camuflar para conduzirem ataques de roubo.

“Para chegar à raiz do problema, os profissionais de segurança devem usar várias ferramentas e empregar análises profundas (e muitas vezes manuais) de logs de arquivos, tráfegos de rede e código de programa” escreveu Stephen Cobb, autor do relatório da Information Weed, “How Did They Get In? A Guide to Tracking Down the Source of APTs” em PDF (Como eles entraram? Um guia para rastrear as fontes de APTs).

4. Coca-Cola

Qualquer analista da indústria diria que a maioria dos cenários de exemplos favoritos em conferências de segurança sobre roubo de IP cai inevitavelmente em analogias que envolvem a Coca-Cola: “Se você fosse a Coca e sua propriedade intelectual (PI) fosse roubado, o que isso significaria para seu negócio?” é o tipo hipotético que muitos conferencistas usaram. Mas neste ano, o que era hipotético mostrou uma base de fato quando um relatório da BloombergBusinessWeek revelou um ataque à Coca-Cola em 2009 que ia tão fundo na propriedade intelectual e os dados secretos da empresa, que segundo fontes internas, evitou que a companhia comprasse um conglomerado de bebidas chinês.

Especialistas em segurança disseram que esse ataque mostra mais uma vez a necessidade de travar os privilégios de conta, já que o relatório mostrou que o comprometimento da Coca-Cola  veio primeiro de um spearphishing (fraude realizada por meio de e-mail, e que tem como alvo uma empresa específica) e depois piorou por meio de uso de ataques usando como alvo credenciais legítimas da rede.

“Assim que coletaram senhas hard-coded, senhas de administradores ou contas com privilégio, conseguiram pontos de acesso que proporcionam uma rota direta – e muitas vezes anônima – para os dados sensíveis e à infraestrutura da organização”, disse Adam Bosnian, vice-presidente executivo da Americas e desenvolvedor corporativo da Cyber-Ark, à Dark Reading.

Fonte: ITWEB

Cibergolpe acusa vítima de ver pornô 'ilegal', trava o micro e pede resgate


Gangues estão aperfeiçoando esquema; máquina da vítima fica bloqueada e exibe imagem pornográfica, o que faz ela evitar buscar ajuda

O ransomware é uma indústria em crescimento, que coloca pelo menos US$ 5 milhões por ano nos cofres dos criminosos, diz pesquisa da Symantec (PDF).

"É assustador", disse Kevin Haley, diretor de segurança da Symantec, em entrevista ontem. "Vemos tantas gangues adotando essa tática, procurando novos ângulos, novas versões [do malware], que isso parece ser o futuro do cibercrime."

"Ransomware" é um tipo de malware que, após contaminar a máquina, a bloqueia ou criptografa seus arquivos. Em seguida, exibe uma mensagem - um pedido de resgate - que exige um pagamento para restaurar o controle para o proprietário.

"É um esquema de extorsão", diz a Symantec.

A estratégia criminosa tem funcionado há pelos menos seis anos, mas até pouco tempo atrás era rara, ineficaz e focada em vítimas do Leste Europeu.

Isso mudou, disse Haley. Ele enumerou uma série de melhorias para o golpe, variando de mecanismos de pagamento mais confiáveis e criptografia mais forte até bloquear completamente o PC e evitar que a vítima procure ajude externa, exibindo pornografia na tela.

As gangues também expandiram seu território "Tudo começou em 2011, para fora da Europa Oriental, rumo à Alemanha e o Reino Unido. Em seguida, para os EUA", disse Haley. 

O ransomware mais comum hoje exibe uma mensagem dizendo que o usuário navegou em sites pornográficos ilegais, e por isso o computador foi bloqueado e uma multa deve ser paga. Essa "multa" varia entre 50 e 100 euros na Europa, e geralmente é de 200 dólares nos EUA.

Pornografia
O ângulo da pornografia é engenhoso, disse Haley.

"A tela e o teclado ficam travados", disse Haley. "Tudo o que você pode usar é o teclado numérico para digitar um PIN [para pagar os criminosos]. E poucas pessoas vão querer levar o computador para alguém consertar, porque a tela diz que você violou a lei e está vendo pornografia. Sem falar na imagem pornô na tela. "

A Symantec foi capaz de estimar o quanto os criminosos faturaram com o ransomware após a descoberta de um servidor de comando-e-controle (C&C) usado por uma família do malware.

Em um mês, o servidor registrou cerca de 68 mil endereços de IP únicos - o número de PCs infectados. Durante um período de 24 horas, recebeu dados de 5,7 mil máquinas infectadas, 168 das quais mostravam sinais de terem pago o resgate - taxa de cerca de 3%.

A mensagem de resgate exigia 200 dólares de cada vítima – ou seja, os criminosos embolsaram 33,6 mil dólares com os ataques. Extrapolando a média de 68 mil infecções ao longo de um mês, podemos calcular o total de cerca de 400 mil dólares. Esse é o montante máximo, segundo a Symantec, já que os criminosos vão perder um pouco do valor, ao lavar o dinheiro dos cartões pré-pagos que utilizam para que as vítimas possam efetuar os pagamentos do resgate.

"Dado o número de diferentes gangues que utilizam o ransomware, uma estimativa conservadora é de que mais de 5 milhões de dólares por ano estão sendo extorquidos das vítimas", disse o relatório publicado pela empresa de antivírus. "O número real é provavelmente muito maior que isso."

Os grupos criminosos ativos que utilizam o ransomware já atuavam com outros tipos de ataques, disse Haley. Alguns lidavam com golpes que dependiam de falsos softwares antivírus - muitas vezes chamados de "scareware". Outros disseminavam Cavalos de Troia que sequestravam credenciais de contas bancárias. E alguns eram simplesmente oportunistas. "É uma evolução, assim como em qualquer negócio", disse Haley. "Alguém tenta algo novo, então os outros desenvolvem a ideia. Outros encontram algo inovador e o restante simplesmente vai atrás disso."

Fonte: IDGNOW

Quase 25% dos internautas usam browsers desatualizados e correm riscos


Pesquisa da Kaspersky mostra que 8,5% dos usuários rodam versões completamente obsoletas, ficando ainda mais vulneráveis

Uma pesquisa realizada pela Kaspersky com sua base de usuários no mundo todo revela que, quando uma nova versão de um navegador é lançado, leva mais de um mês para a maioria dos usuários fazer o upgrade.

Atualmente, a maioria dos ciberataques vêm da web, utilizando vulnerabilidades em aplicações do browser em si, ou em plug-ins desatualizados. 

Eis as principais conclusões do estudo:

- 23% dos usuários estão executando navegadores antigos ou desatualizados, criando enormes lacunas na segurança online: 14,5% têm a versão anterior, mas 8,5% ainda usam versões obsoletas.

- Quando uma nova versão de um navegador é lançada, leva-se mais de um mês para a maioria dos usuários fazer o upgrade. Os cibercriminosos são capazes de explorar falhas em questão de horas.

- O Internet Explorer é o navegador mais popular (37,8% dos usuários), seguido de perto pelo Google Chrome (36,5%). O Firefox está em terceiro com 19,5%.

- A proporção de usuários com a versão mais recente instalada (agosto de 2012): Internet Explorer - 80,2%; Chrome - 79,2%; Opera - 78,1%; Firefox - 66,1%.

- Períodos de transição (tempo necessário para a maioria dos usuários mudar para a versão mais recente): Chrome - 32 dias; Opera - 30 dias; Firefox - 27 dias.

Outra descoberta importante da pesquisa é que determinadas versões de navegadores são mais utilizadas pelos usuários da Kaspersky. Entre os 23% dos usuários que não usam a versão mais recente, quase dois terços (14,5%) tem a anterior de um navegador, e os 8,5% restantes usam versões obsoletas. Isso significa que quase 1 em cada 10 internautas usa um navegador completamente desatualizado para verificar contas bancárias e outras informações pessoais.

Os exemplos mais terríveis ​​de navegadores obsoletos são o Internet Explorer 6 e 7, com uma participação combinada de 3,9%. Isso representa centenas de milhares de usuários em todo o mundo. 

Perigo para as empresas

De acordo com a empresa, a pesquisa mostra claramente que, embora a maioria dos usuários da Internet atualize seus navegadores em tempo hábil, ainda há dezenas de milhões de usuários que se expõem por não fazer isso.

Embora este relatório seja basicamente composto por dados de usuários finais, as empresas devem prestar especial atenção aos resultados desta pesquisa, diz a Kaspersky. Como as permissões dos funcionários para instalar atualizações geralmente são limitadas, usar software obsoleto é uma prática comum, e potencialmente perigoso, em ambientes corporativos. 

Andrey Efremov, Diretor de Pesquisa e Infraestrutura de Cloud da Kaspersky, diz que a pesquisa "pinta um quadro alarmante. Enquanto a maioria dos usuários faz o update do navegador no prazo de um mês, ainda haverá cerca de um quarto dos usuários que não fizeram essa transição. Isso significa milhões de máquinas potencialmente vulneráveis, sendo atacadas constantemente por ameaças novas e já conhecidas"

Fonte: IDGNOW

Fóruns hackers tornaram-se verdadeiras escolas de cibercrime, diz estudo

Segundo Impeva, sites de discussão se tornaram canal onde criminosos se encontram para trocar experiências, conseguir ferramentas e dicas e realizarem crimes

Segundo estudo realizado pela empresa de segurança Impeva, fóruns hackers se tornaram canais globais por meio dos quais cibercriminosos aspirantes conseguem as ferramentas necessárias para tornarem-se profissionais. Para realizar a pesquisa, a empresa analisou alguns dos sites de discussão mais populares.

Os fóruns hackers são muitas vezes vistos como um pouco mais do que lugares onde os cibercriminosos vão para conversar, fazer contatos e negócios.

O relatório Monitoring Hackers Forum da Impeva, que mostra conteúdos analisados de 18 dos mais populares fóruns frequentados por mais de 250 mil criminosos do mundo todo, sugere que esse pode ser apenas uma parte de um cenário bem mais complexo.

O palpite inicial da empresa era de que pesquisadores em segurança talvez aprendessem algo prestando atenção no que os hackers, de fato, falavam em fóruns - em contraste com os resultados finais da análise.

Com isso em mente, o estudo reservava algumas surpresas. Os dois assuntos que mais interessavam nos fóruns analisados eram injeção SQL e ataques de negação de serviço (DDoS), cada um representando 19% do volume total de discussões.

O Facebook e o Twitter também eram as plataformas sociais que tinham destaque nos conteúdos dos fóruns - e a maioria das mensagens relacionadas a compra e venda de material arbitrário.

Estes são exatamente o tipo de coisas que se pode esperar de fóruns hackers. Seria mais surpreendente se estes não fossem os tópicos mais importantes.

Em uma análise mais profunda, no entanto, um número considerável de atividades dentro do fóruns era sobre "begginer cracking", ou seja, crackers iniciantes representavam 28% dos tópicos. Outros 5% eram sobre tutoriais hackers.

"Publicar um bom tutorial pode trazer ganhos à reputação do autor dentro da comunidade e pode levá-lo a ofertas de emprego, colaborações, e convites a tópicos restritos a apenas convidados do fórum. Juntas, cerca de um terço das conversas são dedicadas à formação e educação de um cracker, o que torna ambos os principais temas abordados no fórum", observaram os autores do relatório.

Adicione a isso o fato de que fóruns hackers agora são um fenômeno global, abrangendo todas as línguas e interesse que se possa imaginar, e sua importância para os pesquisadores poderia simplesmente ser o que isso implica na natureza de cracking profissional como uma indústria.

Os fóruns agora são claramente pontos críticos, meios utilizados para encontros dessa indústria, treinamentos e equipar novos talentos para assumir papeis de cibercriminosos. Na verdade, muitos começam com os degraus mais básicos da profissão - como engenharia social "e-whores", vendendo pornografia onde personificam mulheres para que apostadores desavisados façam contato digital com estranhos.

"Ao examinar quais informações que crackers procuram ou compartilham nestes fóruns, podemos entender melhor onde eles concentram seus esforços", disse o CTO da Imperva, Amichai Shulman. "Se as organizações pecarem na segurança de injeção SQL, acreditamos que os crackers vão colocar mais foco sobre esses ataques."

Uma interpretação alternativa é que os fóruns fragmentam e diluem sua importância, diminuindo o fluxo de novos crackers em uma indústria sobre a qual as autoridades parecem ter perdido todo o controle.

Fonte: IDGNOW

2013: Segurança da Informação deve ser ofensiva

Empresas não podem mais contar com estratégias de segurança defensiva, dizem os executivos da Gartner aos líderes de TI

As ameaças aos dados corporativos evoluem com mais rapidez do que os mecanismos de defesa, de acordo com três analistas da Gartner. Os resultados, disseram, é que os negócios devem se adaptar ao deixar de lado medidas reativas, e adotarem métodos proativos, com mentalidade ofensiva.

O vice-presidente de pesquisas, Greg Young, começou sua apresentação dizendo que as empresas podem proteger conteúdo sigiloso focando em três áreas principais: proteção de infraestrutura ou “afastando os vilões”; gerenciamento de identidade e acesso ou “mantendo os mocinhos”; e continuidade de negócio, compliance e gerenciamento de risco, que ele caracteriza como as políticas que “mantêm os motores ligados”.

A palestra de Young foi focada na primeira área, infraestrutura, e também ofereceu contexto para os segmentos seguintes. Mudanças na tecnologia, afirmou, demandam mudanças na segurança – e não só porque os avanços significam que os meliantes ganharam acesso a métodos mais sofisticados. Tendências emergentes em SDN (software-defined networking), virtualização e computação em nuvem, por exemplo, mudaram, rapidamente, infraestrutura, de forma que as ameaças podem se esconder “onde não as procuramos”.

A dificuldade, segundo Young, vem do monitoramento e inteligência de segurança – isto é, encontrar não só elementos que já constam em listas negras e de exceções, mas também nas “graylists”. Esses pontos nebulosos podem ser pistas de ataques significativos, mas também podem ser – como no caso de um usuário não autorizado tentado acessar a rede – alarme falso. Ele mencionou as limitações das assinaturas e outras abordagens tradicionais de detecção de novas ameaças, argumentando que dados de segurança devem ser coletados fora “de um único ponto de inspeção”. Young disse, também, que ferramentas com base em reputação e identidade de usuário podem “ajudar a entender” o que se passa na rede.

Mobilidade complica ainda mais a equação, observou Young, alegando que nos próximos anos, 70% dos profissionais móveis devem conduzir seu trabalho em dispositivos móveis inteligentes. “É inevitável”, afirmou, acrescentando que BYOD se manterá um fato corporativo, “gostem ou não”. Grande parte dos riscos, porém, envolvem dispositivos perdidos, não ataques direcionados. Ferramentas de gerenciamento de dispositivos móveis, ou MDM, e controles similares, segundo Young, consequentemente, são de máxima importância.

Planejamento estratégico de infraestrutura, concluiu, não envolve segurança que tenta oferecer proteção contra todas as ameaças. Em vez disso, demanda uma política de acesso de usuário cuidadosamente elaborada e alinhada aos mecanismos de segurança.

O vice-presidente da Gartner, Earl Perkins, focou no gerenciamento de acesso e identidade. Ele começou citando o “Nexus of Forces”, tema introduzido em um keynote do mesmo dia, que explicou quatro agentes – redes sociais, computação em nuvem, mobilidade e big data – que estão moldando o futuro da TI.

Sobre as redes sociais, ele observou que identidades de usuários estão desempenhando um papel cada vez mais importante no espaço do varejo, e sugeriu que as empresas também poderiam aproveitar essa tendência para melhorar o gerenciamento de acesso de usuário. Chamando esse processo de “socialização da identidade”, ele disse que muitas empresas já criam programas de gerenciamento de identidade para definir direitos e permissões. Perkins disse que “talvez as identidades possam vir de outro lugar”, elaborando que, se esses perfis de mídias sociais podem ser encaixados em “uma embalagem corporativa”, eles podem se tornar um passo nos mecanismos de segurança corporativa.

Perkins especulou sobre o tópico, se referindo a resultados que podem vir daqui a uma década e estipulando que eles “dependem de ambientes, construção e infraestrutura de mídias sociais”. Mesmo assim, a área de gerenciamento de capital humano já começou a integrar mídias sociais para gerenciamento de usuário mais eficiente.

O tópico mais controverso, o acesso corporativo ao conteúdo de mídias sociais, não foi mencionado, mas possíveis vantagens ficaram mais claras quando Perkins argumentou sobre outra força, os dados. Ele mencionou os poderes de varejo que o Google ganhou ao explorar identidades de usuários ligadas às buscas, e previu que, até 2015, 80% das implementações bem sucedidas de identidade e acesso não só irão direcionar processos, como irão entregar inteligência. Ele chama tal tendência de “indexação de identidade” e declarou que, em termos de segurança, “você só tem controle porque tem inteligência para saber o que controlar”.

Quanto à nuvem, Perkins afirmou que ela simplesmente envolve “um ponto final consumindo algum serviço, em algum lugar… por meio de uma identidade”. Isso resulta em múltiplos pontos de acesso, o que ele associou à força da mobilidade, e exige que a autenticação de usuário mantenha o ritmo. Ele disse que gerenciamento de identidade e acesso com serviço (IDAAS) pode contar como 40% das vendas de serviços de nuvem, devido ao alto volume de pequenas e médias empresas compradoras, e não 40% de renda, até 2015.

Terminando com uma análise direta sobre mobilidade, Perkins disse que verificação de usuário cresceu para incluir não apenas senhas e cartões de acesso, mas também biometria, e que autenticação baseada em telefone permite que os negócios considerem o uso de um dispositivo para os três métodos.

O VP da Gartner, Paul Proctor, assumiu o último segmento, que abordou não só gerenciamento de risco, mas também voltou a falar sobre algumas das decisões de políticas que Young já havia destacado.

Ele argumentou que o gerenciamento de risco deve ser direcionado por processos e não por uma equipe de “heróis da segurança”. “Processos são interessantes porque são mensuráveis, podem ser repetidos e podemos sobreviver a eles”, disse ele.

Proctor explicou que esses processos não devem ter a pretensão de proteger contra tudo. Tal controle é impossível, afirmou, e indicou que o foco no treinamento de funcionários pode mitigar grande parte dos problemas. Ele repetiu a declaração de Young sobre BYOD ter chegado para ficar e completou dizendo que mudanças de comportamento são parte da solução. “A tendência está se tornando segurança como ciência social”, afirmou.

Chamando a atenção para outra mudança de comportamento, ele argumentou que os negócios devem parar de simplesmente calcular incidentes de segurança, já que as métricas não possuem valor contextual, e devem, em vez disso, focar na identificação de níveis de proteção mais apropriados às necessidades de cada um. Em parte, isso é baseado na indústria do negócio. Empresas de manufatura possuem propriedade intelectual, mas poucos dados pessoais, disse ele, então elas acreditam que podem “se virar com um pouco menos de proteção”. Um banco, porém, exige mais proteção porque tem mais chances de ser alvo de ataques.

De qualquer modo, os tomadores de decisões devem levar em consideração a complexidade das atividades da organização. Proctor exemplificou dizendo que o consultório de um médico precisa de segurança por questões regulatórias, mas que não pode ser posto na mesma categoria de um grande hospital. “O ponto é que quanto mais complicado for o negócio, quanto mais clientes ou tipos de atividade tiver, mais detalhes regulatórios terá e mais riscos – o que exige gastar mais dinheiro”.

Ele reconhece que os profissionais de segurança muitas vezes sofrem para explicar a necessidade de tantos gastos para os líderes corporativos. O segredo, segundo ele, é evitar abordagem tecnológica abstrata e associar as necessidades às preocupações com gastos de forma que os tomadores de decisão fora da área de TI compreendam com mais facilidade.

Proctor sabe que essa tarefa é mais fácil na teoria, e declarou que os relatórios convincentes devem destacar as ligações casuais entre problemas de segurança e resultados de negócio. Ele sugeriu que os riscos de aplicativos desatualizados podem ser evidentes para os profissionais de TI, mas os líderes de fora do departamento geralmente não compreendem por que essa questão exige ação e gastos.

A melhor abordagem pode ser conectar os problemas com esses aplicativos com falhas em sistemas críticos, como atrasos na cadeia de suplemento. “É um indicador importante que os executivos compreendem”, disse Proctor.

Fonte: ITWEB

A importância de se conhecer o processo de Boot


Na evolução tecnológica, percebemos que muitos equipamentos modernos estão tomando conta do mercado e passaram a incorporar as nossas atividades diárias. 


Sempre estamos fascinados em comprar o melhor modelo, possuir o melhor recurso,  um designer despojado e que fará sucesso entre os amantes da tecnologia.

Entretanto, a atividade simples como o ato de ligar e desligar os equipamentos eletrônicos como um notebook, celular, smartphone, etc, a primeira vista pode ser um processo tão “comum” que as pessoas não pararam para analisar as consequências que podem surgir de uma ação tão simples de ligar um notebook quando se propõe a investigar um suspeito de um crime virtual em busca de evidências.

Analisar o processo de inicialização de um notebook é acompanhar as etapas de boot do equipamento (que é a forma do computador de executar determinadas tarefas antes de disponibilizar ao usuário o uso do Sistema Operacional instalado no notebook) até o momento de passar o “comando” do computador para as vontades de quem vai manuseá-lo.

Nos computadores modernos, ao ligar o equipamento, as primeiras instruções a serem executadas são as que estão armazenadas na BIOS (Basic Input/Output System) que é uma memória somente leitura e já vem pré-programada de fábrica, que ao ligar o computador, será executado o processo POST (Power On Self Test), ou seja, uma sequência de testes ao hardware responsável por verificar e identificar os componentes físicos instalados.

Após essa primeira etapa, em seguida, é executada a instrução 19 (INT 19) que tem por objetivo fazer com que o processador tente inicializar um Sistema Operacional lendo o setor de boot de um disquete. Caso não consiga, ele precisa carregar um programa que fica na MBR (Master Boot Record) para encontrar na partição ativa, a porção do “loader” que carregará o kernel do Sistema Operacional para a memória e assim, carregar os módulos correspondentes ao SO e por final, o notebook estará pronto para uso.

Após essa pequena análise do que acontece ao ligar um computador/notebook, podemos perceber os riscos existentes ao investigador forense com um equipamento eletrônico, alvo de uma investigação, com o simples ato de ligá-lo. Para muitos, esse procedimento continuará a ser um ato normal, mas é melhor imaginar quais são os possíveis problemas no boot de um notebook.

Imagine um criminoso que passa o dia inteiro na internet em busca de fotos de crianças nuas, para que possam ser armazenadas em seu computador com o objetivo de mais tarde, divulgar na grande rede de computadores. Já está aqui caracterizado o crime de Pedofilia. Sabendo disso, ele possui um sistema bem eficaz para evitar ser pego e responder pelo crime que comete, o de Pedofilia (na verdade, o autor será enquadrado nos artigos dos delitos sexuais).

Desse modo, ele “prepara” o processo de boot de sua máquina de tal forma que se durante o carregamento do Sistema Operacional não for  pressionada uma determinada tecla, o sistema executará uma função pré-determinada pelo criminoso, que pode ser uma “esterilização” do disco rígido, conhecida como Wipe, que é o ato de apagar os dados da mídia de forma eficaz e irrecuperável (dependendo da forma utilizada) evitando que vestígios de suas ações sejam descobertas.

Portando, um Perito Digital tem que possuir técnicas de investigação, seguir procedimentos de busca à evidências de modo que um simples ato de ligar o equipamento eletrônico não jogue fora tudo aqui que ele esperava encontrar. Nesse meio, não existe pressa, tem que planejar os atos, pensar em suas consequências, e acima de tudo, exercer o ato contínuo da busca pelo conhecimento.

Fonte: TIEspecialistas por Roney Médice