Os Riscos Reais do BYOD

Os Riscos Reais do BYOD

Yuri Diogenes, um dos instrutores da academia Clavis, escreveu um artigo sobre BYOD (Bring Your Own Device) e alerta sobre seus riscos.

No artigo é feito uma análise de phishing email, onde os autores estão interessados em roubo de credenciais (páginas de bancos fake e captura de dados) e na transformação do dispositivo móvel em questão em um bot agent. O artigo aborda essas fraudes com o intuito de guiar para um cenário real, expondo a fragilidade do uso de dispositivos pessoais para negócio, caso não exista um planejamento e um conjunto de tecnologias que dê suporte ao BYOD. Yuri ainda propõe neste artigo um desenho de uma solução neutra de fabricante, onde todas considerações de segurança sejam levantadas.

Confira a fonte original com mais informações e com a análise completa neste link.

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/OGVV1OjFKC8/

CrikeyCon 2015 – Avi Lewin – Five practical things you aren’t doing to secure your information, but could be

CrikeyCon 2015 – Avi Lewin – Five practical things you aren’t doing to secure your information, but could be

Avi Lewin has been an Information Security nerd since he saw WarGames at 10 years old and didn’t understand why his Commodore VIC-20 couldn’t connect to other computers. He is one of the luckiest people in the world, because he gets paid to do a job he would otherwise do for fun (shh, don’t tell anyone!). Avi currently works as the Information Security & Risk Manager for the Public Safety Business Agency, which services a number of Queensland Government departments including the Queensland Police Service and Queensland Fire and Emergency Services. Every year it seems like the Information Security landscape goes from bad to worse. We throw all sorts of things at the problem. Money. Education. Standards. And nothing changes. As practitioners of our discipline, we do a terrible job of cutting to the core of what we are actually trying to achieve and convincing the business decision makers to follow us on that journey. We address the symptoms and not the root cause. In this talk I will present five things that each audience member could be doing, right now, to protect the information assets of the organisation they work for. Not user education. Not theoretical policies. Not magic hand waving. Five straight-up technical things that practitioners have at their disposal – some that they most likely already own or are licensed for – that they are just flat out ignoring in favour of false-sense-of-security band aids that give a warm, fuzzy compliance feeling instead of actually protecting what matters. For More Information Please Visit:- http://crikeycon.com/

securitytube

SecurityTube.Net
http://feedproxy.google.com/~r/SecurityTube/~3/61Vcqu-FzFM/13154

Avião do Google movido a energia solar sofre acidente nos EUA

Avião do Google movido a energia solar sofre acidente nos EUA

Um protótipo do gigantesco drone movido a energia solar que o Google planeja usar como plataforma para entregar internet a partir do céu foi destruído em um acidente no estado americano do Novo México.

Em 1º de maio, o Solara 50 caiu logo após a decolagem. O acidente aconteceu em um campo de voo privado na cidade de Albuquerque e ninguém se feriu, segundo Keith Holloway, da agencia americana que cuida da segurança do transporte aéreo no país.

O acidente é um golpe nos planos do Google de usar um avião de altas altitudes para levar acesso a internet em áreas do planeta sem a tecnologia mínima para se conectar à rede.

A Titan Aerospace, empresa que o Google comprou no ano passado, fabricou o drone, que possui envergadura de 50 metros. A espaçonave deve voar acima das nuvens, onde pode disparar o sinal de internet para a Terra como se fosse um satélite.

“Apesar do nosso protótipo cair durante um teste recente, nós continuamos otimistas a respeito do potencial de aviões movidos a energia solar para ajudar a fornecer conectividade”, disse Courtney Hohne, porta-voz do Google, ao site da Bloomberg. “Parte do processo de construir uma nova tecnologia é superar os obstáculos que aparecem no caminho.”

A superfície da asa do avião do Google é coberta com células solares para gerar energia. O Solara é equipado com baterias que armazenam eletricidade de forma que ele consiga continuar voando durante a noite e permanecer no ar por cinco anos.

O drone que o Google quer usar para disparar sinal de internet será ainda maior e capaz de carregar mais peso do que o modelo que caiu no começo do mês.

A empresa concorre com o Facebook, que também tentou comprar a Titan, empresa comandada por um ex-executivo da Microsoft. O Facebook comprou por 20 milhões de dólares a britânica Ascenta, que está desenvolvendo seus próprios drones de altas altitudes

Fonte: Bloomberg Business

Plantão – Segurança – INFO

Lições aprendidas de vulnerabilidades de alto impacto em 2014

Lições aprendidas de vulnerabilidades de alto impacto em 2014

Parece que 2014 será lembrado no setor de TI pelas diversas vulnerabilidades graves afetando servidores. Em abril, uma vulnerabilidade grave, que ficou conhecida como Heartbleed (CVE-2014-0160), no software de criptografia OpenSSL – muito utilizado para proteger o tráfego dos sites abalou o sector, deixando centenas de milhares de sistemas abertos a ataques de cibercriminosos. Mais de seis meses depois, milhares de sites e dispositivos continuam vulneráveis.

Em setembro, várias vulnerabilidades críticas (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2.014-6.277 e 2.014-6.278 CVE) foram relatadas no GNU Bourne-Again Shell (Bash), o shell de linha de comando usado em muitos sistemas operacionais Linux/Unix e Mac OS X. As falhas nos sistemas da Apple possibilitavam a um invasor executar remotamente comandos shell, anexando o código malicioso em variáveis de ambiente utilizadas pelo sistema operacional.

Semelhante ao Heartbleed, estas falhas afetam uma ampla gama de sistemas, incluindo, mas não limitado a servidores Apache, servidores web rodando scripts CGI, e sistemas que abrangem qualquer propósito, desde sistemas de controle à dispositivos médicos. Especialistas em segurança alertaram que o impacto do bug do Bash é ainda maior do que o Heartbleed, já que a abrangência do Bourne-Again Shell GNU supera a do OpenSSL.

Então, em meados de outubro, três pesquisadores do Google descobriram uma falha (CVE-2014-3566), conhecida como POODLE, que permite que criminosos cibernéticos possam explorar o desenho do protocolo SSL 3.0 para descriptografar informações sensíveis, incluindo cookies de sessão secreta, resultando na possível aquisição de contas de usuários. O impacto do POODLE é considerado por muitos especialistas em segurança como menos grave, porque muitas organizações têm abandonado SSL 3.0, uma vez que é considerado inseguro, à favor do TLS. Embora menos impactante do que as outras vulnerabilidades de segurança, o POODLE é apenas mais um exemplo de bibliotecas de código aberto e de terceiros amplamente implantados que têm o potencial para colocar aplicativos e sistemas de software em risco.

Finalmente, no dia 11 de Novembro, a Microsoft divulgou um total de 33 vulnerabilidades no Windows, Internet Explorer e Office, sendo a MS14-066 (CVE-2014-6321) a mais crítica, possibilitando a execução remota de código através do Secure Channel (Schannel). Essa falha implica que todos os principais stacks TLS, incluindo Apple SecureTransport, GNUTLS, OpenSSL, NSS, e agora o Microsoft SChannel, tiveram uma vulnerabilidade grave este ano.
Durante anos, a comunidade de fornecedores de software e desenvolvedores de aplicativos internos têm contado com bibliotecas de código aberto e de terceiros para atingir o tempo de chegada ao mercado mais rapidamente. Muitas vezes, assumiu-se que os testes de segurança para essas bibliotecas de terceiros foram conduzidos pelos prestadores e que apenas testes aleatórios foram realizados como parte do processo de ciclo de vida do produto. Então, que lições podemos aprender com essas vulnerabilidades?

1. Aumentar a granularidade de avaliações de gestão de risco do fornecedor

Realizando um processo padronizado de gestão de risco do fornecedor como parte de operações normais de negócios é um passo importante para garantir a cadeia de fornecimento e a minimização de exposição ao risco no que diz respeito a vulnerabilidades de software introduzidas via bibliotecas de código aberto ou de terceiros. Como resultado, as organizações devem aumentar a granularidade de seus programas de avaliação de riscos.

2. Aumentar a frequência de testes de penetração e vulnerabilidades

Uma vez que a base de código de aplicações e firmware de dispositivos estão em constante mudança, as organizações têm de aumentar a frequência de suas varreduras de vulnerabilidades e testes de penetração para identificar eventuais lacunas que podem levar a uma exposição de segurança.

3. Aplicar testes de vulnerabilidade como parte do processo do fornecedor

Com base no aumento do risco colocado por vulnerabilidades em tecnologia de terceiros, as organizações também estão começando a virar a mesa sobre os seus fornecedores. Em vez de usar suas próprias equipes de operações de segurança para avaliar possíveis vulnerabilidades, algumas empresas estão exigindo que os fornecedores usem serviços de verificação independentes para testar aplicações de software mediante à aquisição e implantação.

4. Contextualizar os resultados e automatizar ações de mitigação

Considerando o fato de que as organizações, mesmo de médio porte, devem corrigir milhares de vulnerabilidades por mês, não é de se estranhar que leva tanto tempo para as equipes de segurança validem e corrijam falhas. Como resultado, muitas organizações estão contando com várias ferramentas para produzir os dados necessários de avaliação de vulnerabilidades. Isso só contribui para o volume, velocidade e complexidade dos feeds de dados que devem ser analisados, normalizados e priorizados.

Fonte.

Com essas lições aprendidas, pode-se ter uma noção melhor sobre o assunto acessando o material de artigos e webinars da Clavis. Dentre os que separamos são:

Importância das auditorias de testes de invasão

Segurança ofensiva: ponto de vista do atacante

Vulnerabilidades em aplicações web no modelo OWASP

Teste de invasão em redes sem fio

Nova Lei de Cibercrimes

Auditorias e testes de invasão para proteção de redes corporativas

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/leAJQsw4Q-w/

CrikeyCon 2015 – Bull and Nanomebia – Inaugural Official Australian Awkward Hugs

CrikeyCon 2015 – Bull and Nanomebia – Inaugural Official Australian Awkward Hugs

Awkward hugs have been around in the hacker community for quite a while. Awkward Hugs are a great social ice-breaker, and Aussie hackers who know each other tend to be keen huggers. But what about those hackers that don’t know each other? This is where the official Awkward Hugs event comes in! Why an “awkward” hug as opposed to a normal hug? Normal hugs are great and all (and we are open to them) but, let’s face it, not everyone in our community is socially skilled, and quite a lot of us are awkward in social situations. So why not pretend that we intended to be awkward all along? Genius, right!? For More Information Please Visit:- http://crikeycon.com/

securitytube

SecurityTube.Net
http://feedproxy.google.com/~r/SecurityTube/~3/spjotOA9GCQ/13155

Google revela computador do tamanho de um micro SD especializado em criptografia

Google revela computador do tamanho de um micro SD especializado em criptografia

O Google revelou durante sua conferência para desenvolvedores um aparelho do tamanho de um cartão micro SD que funciona como um ambiente seguro de computação. Ele pode ser usado para proteger dados do usuário com um sistema nativo de criptografia. 

Chamado Vault, o sistema pode ser utilizado, por exemplo, para garantir a segurança de uma conversa por texto. Com o micro SD instalado, o app de chat abriria dentro do ambiente virtual do Vault, que se encarregaria da criptografia. O sistema operacional do smartphone recebe a mensagem, mas a parte mais sensível do processo, como a manipulação das chaves criptográficas, é toda realizada dentro do cartão. 

O aparelho roda o sistema operacional ARTOS, especializado em manter a privacidade e a segurança dos dados do usuário. Ele tem um processador ARM, 4GB de armazenamento, mais chip NFC. Em resumo, o Vault é um ambiente de computação completo.

A empresa disponibilizou ainda um kit de código aberto para que desenvolvedores possam colocar as mãos na plataforma e testar suas capacidades. 

Fonte: TechCrunch

Plantão – Segurança – INFO

SegInfoCast #19 – Análise Forense Computacional

SegInfoCast #19 – Análise Forense Computacional

SegInfocast #19: Faça o download aqui.

Nesta décima nona edição do SegInfocast o nosso apresentador, Paulo Sant’anna, recebe o profissional Davidson Boccardo e conversa sobre análise forense computacional.

O entrevistado explica as principais tarefas necessárias para exercer de forma assertiva a análise, assim como seus principais objetivos e finalidades. Foi abordado também o novo curso de Análise Forense Computacional pela academia Clavis, seus principais tópicos e ferramentas utilizadas.

Davidson Rodrigo Boccardo é Doutor em Engenharia Elétrica pela Universidade Estadual Paulista (UNESP) com período sanduíche no Center for Advanced Computer Studies da University of Louisiana at Lafayette. Atualmente é pesquisador no Instituto Nacional de Metrologia, Qualidade e Tecnologia, e tem atuado nos seguintes temas: engenharia reversa, análise de software/malware, ofuscação de software, incorruptibilidade de software e marca d’água em software. Na Academia Clavis também é instrutor do curso: Análise de Malware em Forense Computacional e apresentou o Webinar #17 Análise de Malware em Forense Computacional.

SegInfocast #19: Faça o download aqui.

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/d27c8shlRWg/