Maior que Heartbleed, falha Shellshock afeta Mac OS X, Unix e Linux

A boa notícia é que as correções já estão a caminho. A má notícia: a vulnerabilidade, devastadora, poderá ficar ativa por um longo tempo

O pesquisador de segurança da Akamai, Stephane Chazelas, descobriu uma nova vulnerabilidade crítica que afeta sistemas baseados em diversas versões de Linux, Unix, Mac OS X (que é derivado do Unix), além de alguns roteadores e dispositivos mais antigos da Internet das Coisas. 

Conhecida como “Bash Bug” ou “Shellshock”, essa falha permite aos cibercriminosos obterem o controle sobre um computador alvo e também dar a ele acesso a outros computadores na rede afetada. A vulnerabilidade afeta o Bash, um componente comum conhecido como um "shell" que aparece em muitas versões do Linux e Unix.

O Bash atua como um interpretador de linguagem de comandos. Em outras palavras, ele permite ao usuário digitar comandos em modo texto em uma janela simples para que o sistema operacional execute. O Bash pode executar comandos passados a ele por aplicações e é por meio dessa funcionalidade que a vulnerabilidade ataca. 

Mais da metade dos dados são cópias desnecessárias

E a culpa é dos sistemas de back-up...

Mais de 60% do que é armazenado nos data centers, na verdade, são cópias desnecessárias, de acordo com a Actifio.

O presidente da empresa, Jim Sullivan, considera que isso pode estar relacionado com a popularidade dos “back-ups”. E reforçado por requisitos de continuidade do negócio, recuperação de desastres e replicação.

“Requisitos de negócios em relação à ‘compliance’, retenção e armazenamento de dados... Todas essas necessidades de manter cópias de dados criou silos de armazenamento pouco eficientes”, diz ele.

Sullivan atribui o crescimento do armazenamento ao longo das últimas décadas predominantemente às cópias dos mesmos dados, uma abordagem que "além de ineficiente, é cara e complexa”.

Gestão de pessoas é essencial para segurança da informação

Especialista recomenda cinco ações para uso correto do tripé: pessoas, processos e tecnologias.

Um dos maiores e principais desafios dos profissionais que cuidam da Segurança da Informação nas empresas é o de garantir que nenhuma ocorrência deixe de receber a devida resposta, no momento em que ela acontece.

No entanto, o monitoramento efetivo, a identificação dos incidentes e a velocidade nas respostas vêm sendo um dos maiores gaps de boa parte dos planos de respostas a incidentes colocados em prática atualmente. Um dos maiores erros é não levar em conta o tripé: pessoas, processos e tecnologias.

Esta é a avaliação do especialista em Segurança da Informação e diretor da Strong Security Brasil, Dario Caraponale, que orienta as empresas a levarem estes três aspectos em conjunto e não separadamente, como geralmente acontece. 

“Não adianta ter as melhores ferramentas e tecnologias se a gestão dos processos e pessoas não for levada em conta e colocada no topo das prioridades. As ações não devem ser baseadas em ‘apagar incêndios’, para que as equipes corram desesperadamente para corrigirem os erros”, alerta.

O especialista sugere as seguintes cinco ações para os profissionais responsáveis pela área de Segurança da Informação:

Chega ao mercado primeiro firewall da Cisco contra ameaças avançadas

Nova solução prevê defesa integrada para ajudar empresas a lidarem com seus maiores riscos de segurança.

Para ajudar as organizações se protegem contra ameaças à segurança cada vez mais sofisticadas, a Cisco lançou ontem (16/09) a solução Asa com FirePower Services. É uma oferta que vem para oferecer proteção contínua e integrada antes, durante e depois de um ataque. 

Segundo a Cisco, a nova solução oferece a identificação contextual completa e os controles dinâmicos necessários para avaliação das ameaças automaticamente, além de correlacionar a inteligência e otimizar as defesas para a segurança de todas as redes.

Este é o primeiro produto a integrar o firewall Cisco Asa 5500 Series com controle de aplicações e o mais importante da próxima geração de sistemas de prevenção de intrusão (Next-Generation Intrusion Prevention Systems, NGIPS) com a proteção avançada contra malware (Advanced Malware Protection, AMP) da Sourcefire.

De acordo com o mais recente relatório de segurança da Cisco, em quase 94% das redes observadas havia um tráfego que levava para sites que hospedam malwares. O estudo avaliou 16 multinacionais que possuem, juntas, ativos avaliados em US$ 4 trilhões e receitas acima dos US$ 300 bilhões. 

Segundo o documento, os “elos fracos” nas organizações contribuem para o crescimento de um cenário de ameaças muito frequente nos meios virtuais. Essas brechas – que podem ser um software desatualizado, código errado, endereços digitais abandonados ou erro de usuário – ajudam os hackers a explorar vulnerabilidades com métodos avançados. 

Também permitem consultas ao DNS (sistema que traduz números de endereços IP para nomes de domínios), ataques em larga escala, comprometimento do sistema, malvertising, infiltração em protocolos de criptografia e spams.   

Pessoas: o problema ou a solução para a segurança da informação?

Qualquer gestor de TI sabe que o maior problema de segurança não são os hackers, nem as falhas de segurança dos sistemas, nem as brechas: são as pessoas que trabalham em uma organização. Mas uma ressalva importante neste início: lógico que não estamos falando para você se livrar das pessoas – estamos dizendo a você que é necessário ir além do que gestores de TI fazem hoje para resolver os problemas envolvendo os usuários e a segurança.

Tradicionalmente, o gestor de TI relega seus usuários ao posto de… usuários. Pouco envolve seus colegas –funcionários da mesma empresa – nos processos necessários para a manutenção da segurança da informação. E feliz ou infelizmente, boa parte das falhas de segurança acontece pelo desconhecimento ou maus procedimentos das pessoas.

Um exemplo clássico disso é o caso da gigante americana Target – cujos funcionários terceirizados, ponto inicial da invasão- tinham acesso com privilégios superiores aos necessários. Outro exemplo clássico são os e-mails de phishing, o mau uso dos equipamentos portáteis… a lista é longa. Mas o que o gestor de TI pode efetivamente fazer para mitigar o risco do uso da engenharia social pelos cibercriminosos?

Pacote com cinco milhões de endereços e senhas de Gmail vaza na web

Os dados, aparentemente, não foram roubados da Google, mas sim de outros websites, segundo pesquisadores. Grande parte deles está válida ainda.

Um arquivo contendo praticamente 5 milhões de endereços de Gmail e senhas escritas em formato texto foi publicado nesta terça-feira em um forum online, mas os dados parecem ser velhos e possivelmente acumulados a partir de múltiplos ataques a brechas de segurança de diferentes sites.

A informação foi divulgada pela empresa dinamarquesa de segurança CSIS Security Group. Um usuário, cujo "alias" online é "tvskit",  publicou o arquivo em um forum de segurança Bitcoin chamado btcsec.com e proclamou que 60% das credenciais ainda são válidas.

"Não podemos confirmar que o percentual está correto, mas sabemos que uma grande parte dos dados vazados é legítima",diz Peter Kruse, chief technology officer da CSIS Security Group. O grupo fornece inteligência em cibercrime para instituições financeiras e autoridades legais e policiais.

Business intelligence para empresas de segurança

Material educativo ensina empresas de segurança a adotar práticas de business intelligence

Segware lança e-book gratuito sobre como agregar valor a empresas de segurança com a análise dos dados coletados diariamente.

Empresas de segurança costumam gerar diariamente um grande número de informações. São escalas de trabalho, locais visitados pelas rondas, notificações de ocorrências, entre diversos outros dados. No entanto, na maioria das vezes estas informações ficam apenas armazenadas nos servidores enquanto poderiam gerar relatos relevantes que podem ajudar na gestão da empresa - é a inteligência de negócio, ou business intelligence (BI), aplicada ao negócio.

Para auxiliar as empresas a identificarem e utilizarem estes dados, a Segware acaba de lançar um material educativo gratuito para mostrar como é possível melhorar os resultados e caçar “gargalos de recursos” com inteligência: BI para empresas de segurança. O material mostra como é possível gerar valor para organizações, com catalizadores de ideias e análises que ajudarão a economizar recursos, focar naquilo que realmente importa e gerar melhores resultados.

O Canadá quer profissionais de TI brasileiros

Engenheiros da Computação e profissionais de Tecnologia da Informação estão na lista de profissionais demandados no Québec. Interessados em imigrar podem se inscrever em palestras informativas em 6 capitais do Brasil (Clique Aqui)

Boa notícia para quem deseja morar no Canadá. Região de língua francesa, a província de Québec está de olho nos profissionais brasileiros e quer incentivá-los a seguir carreira no país.

São seis as áreas de formação com mais demanda por profissionais no Québec e, consequentemente, que oferecem as melhores oportunidades para os brasileiros: administração de empresas, contabilidade, engenharia civil, engenharia da computação, enfermagem e tecnologia da informação.

Vazamento de fotos de famosas pode ter ocorrido pelo Find My iPhone

A essa altura você provavelmente já sabe sobre o grande vazamento de fotos de celebridades de Hollywood. Ninguém sabe exatamente o método utilizado no ataque, mas um grupo de programadores parece ter encontrado uma das rotas para as contas, que teria gerado a invasão do iCloud, onde estavam armazenadas as imagens.

Um programa chamado ibrute foi publicado no Github na última segunda-feira antes dos ataques. O responsável pelo desenvolvimento do software diz que uma falha no serviço Find My iPhone, que serve para rastrear o celular quando perdido ou roubado, que não possuía proteção contra ataques de força bruta, o que daria acesso à Apple ID de vários usuários, incluindo inúmeras celebridades.

Para quem não conhece, um ataque de força bruta é quando um script malicioso é utilizado para tentar várias senhas repetidamente até descobrir a correta para fazer login em algum serviço. No caso do iCloud e do Find my iPhone, seria necessário saber o e-mail de alguma celebridade para tentar inúmeras senhas até encontrar a correta. É possível que ao vasculhar uma só caixa de entrada, o hacker pode ter encontrado vários outros endereços de e-mail, possibilitando a ampliação do ataque.