Nova Oportunidade na Clavis – Analista de Segurança da Informação
A Clavis Segurança da Informação está com uma nova oportunidade aos interessados em participar do seu time. Estamos com uma vaga para Analista de Segurança da Informação, com atuação presencial na cidade do Rio de Janeiro, em horário comercial.
Benefícios
CLT + VT + TR + Plano saúde com abrangência nacional TOP + distribuição do lucro da empresa + até 1 reembolso de certificação a cada 6 meses + participação em eventos de segurança da informação.
Conhecimentos gerais recomendados:
Resposta a incidentes
Ferramentas de segurança (firewall, IDS, IPS, WAF)
Análise de logs
Linguagens (Bash/PERL/Python)
Machine Learning
Ferramentas de análise de vulnerabilidades
Conhecimento específico:
OSSEC
Snort
ModSecurity
BRO IDS
Arcsight
Sourcefire
Antivirus
ELK stack
Cisco
Checkpoint
Linux/Windows
Diferenciais:
Certificações na área
Palestras ministradas, eventos de segurança e open source
Colaborações em projetos/ferramentas
Auto didata
Trabalho em equipe
Pro atividade
Pesquisas
Os interessados nessa oportunidade devem enviar CV para rh at clavis.com.br com a pretensão salarial.
Nova vulnerabilidade de SQL Injection no Joomla! possibilita a invasores o controle total do site
Uma vulnerabilidade de SQL Injection classificada como de alta gravidade foi identificada nas versões 3.2 até 3.4.4 do Joomla!. O sistema popular de Gerenciamento de Conteúdo, perdendo apenas para WordPress, é executado em um número estimado de 2,8 milhões de sites.
Ao explorar a vulnerabilidade, um invasor pode obter o controle administrativo de qualquer Joomla! vulnerável. A vulnerabilidade reside no núcleo Joomla! e não necessita de quaisquer extensões para ser instalada no local. Para piorar a situação, a vulnerabilidade retorna a versão existente para a 3.2 (lançada em novembro de 2013) o que deixa a grande maioria dos sites que executam Joomla! expostos.
Nova Oportunidade na Clavis – Analista de Segurança da Informação
A Clavis Segurança da Informação está com uma nova oportunidade aos interessados em participar do seu time. Estamos com uma vaga para Analista de Segurança da Informação, com atuação presencial na cidade do Rio de Janeiro, em horário comercial.
Benefícios
CLT + VT + TR + Plano saúde com abrangência nacional TOP + distribuição do lucro da empresa + até 1 reembolso de certificação a cada 6 meses + participação em eventos de segurança da informação.
Conhecimentos gerais recomendados:
Resposta a incidentes
Ferramentas de segurança (firewall, IDS, IPS, WAF)
Análise de logs
Linguagens (Bash/PERL/Python)
Machine Learning
Ferramentas de análise de vulnerabilidades
Conhecimento específico:
OSSEC
Snort
ModSecurity
BRO IDS
Arcsight
Sourcefire
Antivirus
ELK stack
Cisco
Checkpoint
Linux/Windows
Diferenciais:
Certificações na área
Palestras ministradas, eventos de segurança e open source
Colaborações em projetos/ferramentas
Auto didata
Trabalho em equipe
Pro atividade
Pesquisas
Os interessados nessa oportunidade devem enviar CV para rh at clavis.com.br com a pretensão salarial.
Nova falha no sistema Android permite app gravar vídeos e tirar fotos
Mais uma falha foi descoberta no sistema Android. O erro agora permite que um aplicativo malicioso não autorizado execute ações sensíveis de privacidade, como gravar vídeos, tirar fotos e ler arquivos MP4.
O novo problema ocorre no AudioEffect, um componente do mediacenter que não consegue processar com precisão o tamanho do buffer enviado por outros aplicativos. Como o valor do buffer é definido pelo cliente, isto permite que um programa que não requer autorização explore a falha, comprometendo o dispositivo. Desta forma, o aplicativo malicioso ganharia acesso às mesmas ações permitidas ao mediacenter, como tirar fotos, ver e gravar vídeos. O programa também pode ser escrito de forma a explorar a falha apenas depois de certo tempo, “dormindo” após ser baixado para aparentar ser inofensivo.
O problema afeta as versões 2.3 até 5.1.1 do Android. Ele foi descoberto em junho, mas a Trend Micro esperou até que o Google divulgasse uma correção para anunciá-lo. Embora a solução já tenha sido encontrada, ela ainda não está disponível para os usuários finais, que devem esperar atualizações das fabricantes.
Nova falha no Android pode deixar aparelhos em estado vegetativo
Especialistas da empresa de segurança Trend Micro divulgaram nesta quarta-feira (29) informações sobre uma nova vulnerabilidade encontrada em versões recentes do Android. O bug atinge o serviço mediaserver, e não chega a comprometer informações do usuário. Ainda assim, ela é capaz de deixar em uma espécie de estado vegetativo persistente aparelhos com versões da 4.3 à 5.1.1 do sistema operacional do Google.
O problema está no serviço utilizado pelo SO para indexar arquivos de mídia. Segundo o especialista Wish Wu, da Trend, o sistema não consegue processar corretamente um vídeo malformado usando o contêiner Matroska, de vídeos em MKV. Assim, caso um arquivo corrompido do tipo seja aberto, o serviço travará, levando com ele todo o Android.
Quase 57% dos dispositivos móveis com o sistema operacional são afetados pela falha, que pode ser espalhada por aí em apps maliciosos ou sites. A empresa de segurança criou inclusive uma prova de conceito para mostrar como a vulnerabilidade no código trava o Android e dá para vê-la funcionando no vídeo abaixo.
No exemplo, a aplicação tenta executar um vídeo problemático em MKV quando o usuário clica no comando Crash, o que faz com que a interface do aparelho fique lenta ao ponto não responder muito bem a outros toques na tela. Sons e notificações também são desativados e, caso a tela seja bloqueada, não é mais possível desbloqueá-la.
Já no caso de um site, bastaria que um usuário acessasse um link com um arquivo malformado embedado ao HTML para que seu aparelho parasse. E ainda que o Chrome mobile desative o pré-carregamento e o autoplay dos vídeos, o arquivo MKV faz com que o navegador leia mais de 16 MB antes do mediaserver travar, diz Wu, no relato publicado no blog da Trend Micro.
O risco maior que os usuários correm é ter que dar um hard reset no aparelho, o que faria com que perdessem todos os arquivos salvos no smartphone. Ou seja, a vulnerabilidade pode ser uma arma a mais nas mãos de hackers que espalham ransomware pela web, como ressalta o especialista. Além de criptografarem tudo no PC de uma vítima, os cibercriminosos podem ameaçar travar o dispositivo móvel, a menos que um resgate seja pago.
A Trend Micro encaminhou detalhes sobre a falha ao Google ainda em maio deste ano, e a brecha foi classificada como uma vulnerabilidade de prioridade baixa. O texto, porém, não diz se uma correção foi disponibilizada. De qualquer forma, mesmo que tenha, sua distribuição dependeria mais das fabricantes de smartphones e das operadoras do que do próprio Google o que significa que é bom ficar atento com o que você baixa ou acessa.
A Defesa Cibernética do Brasil entra em uma nova fase
No dia 21 de julho, o Exército Brasileiro ativou dois núcleos de Defesa Cibernética no Comando Militar do Planalto (CMP). As instalações são provisórias, mas representam um passo importante para o Setor. Agora, o Núcleo do Comando de Defesa Cibernética (NuComDCiber) e o Núcleo da Escola Nacional de Defesa Cibernética (NuENaDCiber) passam a contar com militares das três Forças Armadas trabalhando no mesmo ambiente físico.
As estruturas integram o Sistema Militar de Defesa Cibernética do País, que atua em cinco áreas de competência: Doutrina, Operações, Inteligência, Ciência e Tecnologia e Capacitação de Recursos Humanos. Sua finalidade é proteger e explorar o Setor Cibernético.
O Chefe do Centro de Defesa Cibernética do Exército (CDCiber), General de Divisão Paulo Sérgio Melo de Carvalho, considera as inaugurações um avanço. “A experiência acumulada pela Defesa Cibernética nos grandes eventos realizados no País nos últimos anos continuará a ser desenvolvida. Essa nova estrutura vem para incentivá-la,” comemora. Segundo o Gen Carvalho, a Defesa Cibernética integra e coordena. “Um campo em constante transformação não pode abrir mão do conhecimento e da prática. Logo, continuaremos a integrar os esforços das universidades, das empresas e das Forças Armadas promovendo a Defesa para o Brasil”, explicou.
Segundo o Chefe do Departamento de Ciência e Tecnologia do Exército (DCT), General de Exército Juarez Aparecido de Paula Cunha, “Estamos vivendo a ‘Era Digital’ cuja integração é uma constante, uma vez que até um indivíduo nos confins da Amazônia está informado sobre o que ocorre no país”. Esse nível de informação reflete em mudanças, sejam elas nas relações interpessoais, sejam na relação entre o cidadão e o Governo ou nas instituições. Dessa maneira, o trabalho conjunto passa a ser a tônica para o avanço em muitos setores.