PMEs não estão preparadas para proteger informações sigilosas
De acordo com estudo da Universidade de Carnegie-Mellon, é possível atingir uma redução de custos de até 76% com a terceirização de segurança da informação, se comparado com a realização in house com os níveis de qualidade necessários.
“A relação custo-benefício aliada ao atendimento especializado é primordial para as empresas que não podem investir em estrutura própria”, salienta Rafael Sampaio. “Com o serviço é possível atender globalmente a empresa, incluindo a atenção às pouco lembradas aplicações web, por exemplo”, explica Rafael Sampaio, especialista em segurança da informação e CEO da Future Security, empresa brasileira de gestão de segurança da informação.
A Federação Nacional de Varejo dos EUA e a empresa de TI First Data Corp. identificaram em 2010 que 64% das PMEs americanas acreditavam não estar vulneráveis ao roubo de dados, mas apenas 49% tinham avaliado seus sistemas de segurança. Na América Latina a situação ganha um contorno ainda mais preocupante, tendo em vista que as PMEs daqui gastam apenas US$ 23,4 mil por ano em políticas de proteção, enquanto a média mundial é de US$ 51 mil, segundo estudo conduzido pela Symantec.
“É preciso mudar a cultura das empresas de pequeno e médio porte, já que não é possível crescer sem o amplo uso da tecnologia e por consequência de práticas de segurança da informação”, diz Sampaio.
Quando o assunto é segurança da informação, a preocupação das empresas de pequeno e médio porte não deve se limitar somente ao investimento em antivírus e firewall. “No Brasil ainda são gastos bilhões com essas ferramentas e poucos milhões para proteger as aplicações”, ressalta.
Com budget reduzido, profissionais pouco qualificados e deficiências tecnológicas, as PMEs têm como alternativa a parceria com fornecedores que reúnem equipe técnica atualizada, tecnologia de ponta e infraestrutura para uma atuação 24 horas, sete dias por semana.
Atualmente, o segmento de PME representa 20% do faturamento global da Future Security e o foco é ampliar essa participação para 35% ao ano oferecendo serviços de gerenciamento de segurança compatíveis com as necessidades dessas empresas.
Entre as iniciativas para atender de forma diferenciada a este perfil de cliente, está a manutenção de uma área dedicada exclusivamente às PMEs, em nível nacional e adequação de tecnologias para oferecer às PMEs alto nível em segurança da informação com excepcional relação custo-benefício.
Pensando neste contextoo a Future Security construiu acordos com os principais fabricantes mundiais de Segurança da Informação para prover o que entende como tecnologias de segurança fundamentais: firewall, sistemas de prevenção de intrusão (IPS), filtro de proteção web, sistema de proteção de e-mails e proteção dos endpoints (estações de trabalho, laptops, smartphones e tablets).
Todas essas tecnologias são implantadas na PME em regime de MSS (Serviços Gerenciados). Isso quer dizer que a Future instala, monitora e gerencia o ambiente de segurança para o cliente que não precisa ser um especialista em Segurança para ter as melhores práticas na sua empresa.
Para Sampaio esse é um segmento de mercado muito carente, que ainda não tem a segurança da informação como prioridade. “Em 15 anos de negócios, vimos empresas que eram pequenas, tornarem-se ‘número 1’ no mercado brasileiro em seus setores”, afirma ao salientar a importância desse nicho. “Por outro lado soubemos de empresas que ao enfrentar um problema de vazamento de informação tiveram prejuízos imensos e estiveram próximas de fechar”, lembra o especialista.
Fonte: TI Inside
Nova falha coloca em risco linguagens de programação da Microsoft e Google
Segundo pesquisadores alemães, bug permite que hackers equipados com “armas simples” tirem sites do ar de maneira fácil; Microsoft publicou patch.
Hackers armados com uma única máquina e uma conexão de banda larga mínima podem atacar servidores web, colocando, assim, um grande número de sites e web apps em risco por causa de ataques de negação de serviço. A descoberta foi divulgada pelos pesquisadores alemães Alexander Klink e Julian Walde.
Em um aviso de segurança publicado no mesmo dia, a Microsoft, cuja linguagem de programação ASP .Net é uma das várias afetadas pela falha, prometeu solucionar a vulnerabilidade e ofereceu aos clientes maneiras de proteger seus servidores até que uma atualização de segurança seja lançada.
Depois, em uma nova mensagem, a fabricante anunciou que estaria lançando hoje, 29, um update de emergência. Chamada de MS 11-100, a atualização conserta três bugs na ASP .Net, sendo que um deles é classificado como “crítico”. Nenhum dos três havia sido revelado publicamente até hoje.
O problema que causou um alvoroço na comunidade de segurança existe em muitos das mais populares linguagem de programação de sites e aplicativos na web, incluindo a ASP .Net, as opções de código aberto PHP e Ruby, o Java, da Oracle e o V8 JavaScript, da Google, explicam os pesquisadores citados acima Klink e Walde.
A dupla, que apresentou suas descobertas durante a conferência Chaos Communication Congress (CCC), em Berlim, nesta semana, ligou a falha ao manejo de hash tables por essas linguagens – e outras, uma estrutura de programação usada para obter e armazenar dados.
Ao menos que uma linguagem randomize funções hash ou leve em conta “colisões hash” – quando múltiplos dados geram o mesmo hash – os invasores podem calcular os dados que acionarão grandes números ou colisões, então enviar esses dados como um simples pedido HTTP. Como cada colisão “mastiga” ciclos de processamento no servidor direcionado, um hacker usando pacotes de ataque relativamente pequenos poderia consumir todo poder processamento até mesmo de servidores bem equipados, efetivamentos deixando-os offline.
A Microsoft confirmou que um único pedido HTTP de 100K especialmente criado e enviado para um servidor rodando a ASP. Net poderia consumir 100% do núcleo de uma CPU por algo entre 90 e 110 segundos.
“Um invasor poderia potencialmente enviar tais pedidos de forma repetida, fazendo com que o desempenho diminuísse significativamente o bastante para causar uma condição de negação de serviço até mesmo para servidores de vários núcleos ou clusters de servidores”, afirmaram os engenheiros da companhia, Suha Can e Jonathan Ness, em um post publicado nesta semana no blog Security Research & Defense.
Klink e Walde estimaram que os pacotes de até 6K poderiam manter um processador de um único núcleo ocupado em um servidor Java.
As implicações são significativas para web apps e sites que rodam nesses servidores.
“Um invasor com poucos recursos pode efetivamente tirar um site do ar de maneira relativamente fácil”, afirmou o diretor de operações de segurança da nCircle Security, Andrew Storms. “Não é preciso nenhuma botnet para causar uma destruição aqui.”
A pressa da Microsoft em solucionar a falha na ASP .Net deu uma dica quanto a seriedade do bug.
“A Microsoft será uma a ficar de olho e ver se eles saem da banda e se fizerem, quando acontecerá”, disse Storms nesta quarta-feira, antes de a Microsoft anunciar o pacote de soluções de hoje. “Se fizerem isso, penso que será em breve.”
Can e Ness, da Microsoft, afirmaram que a companhia “antecipou o iminente lançamento público do código de exploração”, e pediu para que os clientes da ASP .Net apliquem o patch ou as soluções descritas no aviso da companhia.
Outros desenvolvedores de linguagem, como o Ruby, já oferecem soluções para seus softwares.
A Microsoft entregou a MS11-100 por meio dos seus conhecidos canais Windows Update e Windows Server Update Service (WSUS).
Mais informações sobre a falha de colisão hash podem ser encontradas no aviso que Klink publicou no site da sua empresa, e nas anotações da sua apresentação (download de arquivo PDF) – vídeos da apresentação de Klink e Walde na CCC foram retirados do YouTube nas últimas horas.
Por IDG News Service / EUA
Certificação: versão 2 da ICP-Brasil vale a partir de janeiro
A partir de 1º de janeiro de 2012 entra em operação a versão dois do certificado da Autoridade Certificadora Raiz da ICP-Brasil, que contém novos padrões e algoritmos criptografados considerados mais robustos. Agora, o tamanho das chaves criptográficas que compõem o algoritmo de criptografia assimétrica (RSA) utilizado pelas Autoridades Certificadoras passarão a ter 4096 bits em vez dos 2048 bits atuais.
O certificado digital é o documento de identificação de uma empresa ou pessoa na web. Com ele, é possível assinar documentos eletrônicos com validade jurídica, autenticar-se em sites, realizar serviços da Receita Federal, como entrega de declarações e acesso ao Centro Virtual de Atendimento ao Contribuinte (e-CAC).
Na versão dois, para os certificados digitais de pessoas físicas e jurídicas também estão previstas mudanças e, nesse caso, serão geradas chaves de 2048 bits, em vez dos 1024 bits atuais. Haverá mudança também no algoritmo de resumo criptográfico (SHA), que passará de SHA-1 (160 bits) para no mínimo SHA-256 (256 bits).
Mas o que isso significa na prática? Mais segurança. Por esse motivo, a partir da data estabelecida, nenhuma autoridade certificadora credenciada pelo Instituto Nacional de Tecnologia da Informação (ITI) poderá emitir certificados digitais utilizando os padrões criptográficos anteriores e a cadeia de certificação antiga.
Segundo Regina Tupinambá, diretora comercial da Certisign, especializada no desenvolvimento de soluções de certificação digital, todos os certificados digitais emitidos antes de 1º de janeiro de 2012 continuarão válidos até atingirem a data de expiração e terão interoperabilidades com as aplicações disponíveis no mercado, sendo assim, não é necessária a substituição até o vencimento. “No entanto, as aplicações que utilizam certificados digitais ICP Brasil precisarão ter interoperabilidade com os novos padrões”, explica.
Ela afirma que a Certisign disponibiliza para desenvolvedores de TI certificados de produção da versão dois, que deverão ser solicitados por meio do telefone da empresa ou pelo e-mail televendas@certisign.com.br. “Recomendamos que os desenvolvedores testem suas aplicações para se certificarem que elas estarão em conformidade com os novos certificados”, aconselha Regina.
A Comprova.com, especializada em certificação Digital e Autoridade de Registro da Serasa Experian, também disponibiliza soluções para emissão de certificados digitais, e informa que está fazendo mutirões para atendimento de empresas que querem emitir a versão dois, especialmente para quem busca estar compliance com o Conectividade Social, da Caixa.
Em São Paulo, o atendimento aos empresários pode ser feito nas ruas Bandeira Paulista, Funchal, Gomes de Carvalho e na Avenida Paulista, além das cidades de Barueri e Campinas. Em Itú também haverá ação em parceria com o Sindicato do Comércio Varejista e Lojista de Itu e Região (Sincomercio), que acontece na cidade e atenderá a região, de segunda a sexta-feira, das 8h às 17h40.
“O mutirão tem como objetivo ajudar as empresas a efetuarem suas emissões de certificados antes do término do prazo legal evitando multas por atrasos e filas de atendimento”, afirma Marcos Nader, CEO da Comprova.
Fonte: ComputerWorld
Quatro dicas para reforçar a segurança da rede corporativa
Cresce o número de ataques distribuídos por negação de serviços (DDoS – Distributed Denial-of-Service) e as empresas devem ficar atentas para evitar que seus serviços fiquem fora do ar. Segundo os especialistas em segurança da informação, medidas básicas ajudam a manter a rede corporativa protegida.
A McAfee lista passos simples que auxiliam clientes corporativos a serem mais proativos na prevenção contra ataques DDoS em suas redes.
Esses ataques costumam adotar uma combinação de técnicas bem conhecidas, tais como SYN e ICMP flooding, ao uso de ferramentas como LOIC e SlowLoris e algumas variantes de ponta.
A solução adequada para agir contra esses ataques, segundo recomendação da McAfee, é o sistema de prevenção de intrusão (IPS – Intrusion Prevention Systems).
Veja a seguir quatro dicas para manter um bom ambiente de IPS:
1- Preocupar-se com o tuning (otimização para aprimorar desempenho) e a configuração. Uma solução IPS mal configurada poderá gerar a falsa sensação de segurança, que muitas vezes é pior que a ausência da solução.
2- Conhecer a rede. Criar perfis de comportamento em que será fácil identificar qualquer anomalia, assim um possível ataque será facilmente detectado.
3- Manter a solução IPS atualizada, pois o mercado de segurança está em constante evolução e perder as atualizações do fabricante de IPS pode trazer resultados catastróficos.
4- Monitorar os eventos de ameaças e ataques regularmente.
“Estas ações são importantes para impedir tais ataques, permitindo manter uma segurança excelente ao ter à disposição o processo correto, as pessoas e as tecnologias certas”, informa a empresa.
Por Redação da Computerworld
Atualização de plugins é pesadelo de segurança para as empresas
Por Techworld.com
Problema não está em falhas, mas nos frequentes updates liberados. Programa da Adobe, por exemplo, está desatualizado em 94,2% dos computadores.
Os plugins ainda causam calafrios em muitas empresas, pois, quando desatualizados, costumam ter suas falhas exploradas por cibercriminosos. Um estudo da companhia de segurança Zscaler serve como mais uma evidência de que o problema persiste, já que muitos deles, de fato, não recebem os updates devidos.
A pesquisa apontou o Adobe Shockwave como o mais ignorado: em 94,2% das máquinas em que estava instalado, o programa se encontrava desatualizado. O Java, com 70%, ficou na segunda colocação, seguido pelo Adobe Reader (65,8%) e Quicktime (42,5%).
Mesmo os browsers não recebem o devido cuidado. Um quarto das máquinas possuía o Internet Explorer nas versões 6 ou 7, e apenas 2% usa a versão mais recente, a 9.
Por falar no navegador da Microsoft, ele é disparado o mais utilizado pelas companhias, respondendo por 58% do tráfego. O Firefox ficou em segundo (11%) e o Safari, surpreendentemente, em terceiro (7%). Os plugins, por sua vez, geraram 23% dos dados, o que torna a situação ainda mais preocupante.
Dentre eles, o Flash é mais popular, sendo encontrado em 94,4% dos computadores. O Windows Media Player vem em seguida, com 87%, à frente de Adobe Reader (84,7%) e Outlook (84,2%).
Leia mais: Por que o Flash e o Java se atualizam tanto?
“Pelas estatísticas, é possível observar que a maioria das corporações tem pouco controle sobre os plugins que seus funcionários utilizam, ou mesmo a versão que executam”, diz o estudo.
Na comparação com a pesquisa anterior, realizada pela Zscaler no segundo trimestre deste ano, o Shockwave estava desatualizado em apenas um terço dos PCs, um terço em relação aos 94,2% descobertos agora. Isso sugere que os softwares que recebem updates com maior frequência passam uma falsa impressão de segurança: em geral, as companhias não conseguem acompanhar o ritmo.
Por fim, a pesquisa constatou um significativo crescimento no uso do Android no mercado corporativo. Em termos de plataformas móveis, ele ultrapassou o BlackBerry, que estacionou em 37,2%, chegando a 40,3% – o índice se refere à quantidade de dispositivos em que seu software de segurança foi instalado. O iOS, da Apple, ficou em terceiro, com 22,3%.
A aplicação 2.0 mais utilizada no período foi o Facebook, confortavelmente na liderança por ter gerado 50% do tráfego. Apesar de sua popularidade, no entanto, seu índice vem caindo nos últimos meses, o que pode significar tanto uma restrição das empresas, como perda de interesse dos usuários.
(John E. Dunn)
Facebook está perto de acordo sobre privacidade
O Facebook está negociando com a Comissão de Comércio Federal dos Estados Unidos (FTC, na sigla em inglês) um acordo sobre questões de privacidade, alvo de inúmeros processos contra a rede social. As informações são do The New York Times, que escutou um membro da FTC sob condição de anonimato.
Segundo os termos do acordo, o Facebook pode concordar em ter auditoria de privacidade pelos próximos 20 anos. Além disso, a rede social seria proibida de colocar a público as informações que originalmente foram compartilhadas com restrições no site, a não ser que haja a permissão do usuário. Analistas afirmam que um acordo deste tipo daria mais segurança à rede social para a abertura de seu capital, projetada para o ano que vem.
Além das reclamações dos usuários, em dezembro de 2009 a FTC entrou com uma queixa contra o Facebook, alegando que a mudança das configurações dos usuários expunha as pessoas publicamente, violando as regras de privacidade. A empresa foi processada também em um tribunal alemão, quando lançou seu recurso de identificação automática em fotos.
A parceria segue um modelo assinado em março entre a FTC e o Google. O gigante de buscas aceitou passar por auditorias pelos próximos 20 anos sobre seu serviço de compartilhamento social Google Buzz, que acabou sendo um completo fracasso na web. No ano passado, o órgão fechou um acordo sobre privacidade com o Twitter.
Fonte: TI Inside
Assine nosso Feed!
- Brasileiros querem medidas de segurança nas Olimpíadas e a Copa do Mundo
- Check Point Software eleva lucro trimestreal em 18%
- ‘Vírus benéficos’ são aliados da consumerização. Saiba o que são
- Nova lei de cibersegurança poderia acabar com a nuvem
- Ameaças de malwares e spams caem, mas ataques virtuais aumentam 81%, indica estudo
Redes Sociais