Arquivo do autor Wagner Lindemberg

PorWagner Lindemberg

Minicurso Pentest no Mundo Real no Root@RSI

Minicurso Pentest no Mundo Real no Root@RSI

A WL Tech estará presente no Root@RSI, maior evento de segurança da Informação de Fortaleza. Nessa oportunidade, apresentaremos o minicurso sobre Pentest em Aplicações Web. Ministrarão o minicurso Wagner Lindemberg e Leonardo Garcia (sócios proprietários da WL Tech Serviços em Tecnologia da Informação Ltda.).

O minicurso apresentará as principais definições e detalhes sobre como funciona o processo de Pentest num cenário real. Durante o minicurso serão apresentadas as seguintes fases de um Pentest:

  • Reconhecimento;
  • Scanning;
  • Análise de Vulnerabilidades;
  • Exploração.

O cenário será a realização de um Pentest em um site real (site esse de propriedade da nossa empresa – WL Tech).

Mais informações:

Site: rsi.dc.ufc.br/root
Facebook: facebook.com/rootrsi

PorWagner Lindemberg

Senado aprova projeto que regulamenta a proteção de dados

 

O Plenário do Senado aprovou, nesta terça-feira (10/7), o Projeto de Lei da Câmara 53/2018 que define regras para proteção de dados pessoais por empresas de internet e faz com que usuários tenham instrumentos para questionar o mau uso de suas informações. Pelo projeto, as empresas só podem coletar e armazenar os dados necessários para a prestação dos serviços que ofereçam.

texto, que altera o artigo 7º, X e o artigo 16, II, da Lei 12.965/14, foi aprovado por unanimidade nos termos do conteúdo votado na Câmara dos Deputados, no fim de maio. O projeto agora vai para sanção presidencial e entrará em vigor um ano e meio depois da publicação da lei no Diário Oficial da União. O presidente Michel Temer tem 30 dias úteis para sancionar o projeto. Essas serão as primeiras alterações formais no Marco Civil da Internet.

A nova lei disciplina a forma como as informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro, número de telefone, endereço, estado civil, informações patrimoniais e até mesmo textos e fotos publicadas em redes sociais.

Com isso, dados de menores de idade não podem ser mantidos nas bases de dados das empresas sem o consentimento dos pais. A lei também protege os dados relativos à saúde das pessoas, que só poderão ser usados para pesquisas.

A lei prevê, ainda, a criação da Autoridade Nacional de Proteção de Dados, uma autarquia cuja principal função será fiscalizar o cumprimento da legislação e aplicar as sanções, e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O descumprimento de qualquer uma das regras da nova lei poderá acarretar em multa de até 2% do faturamento da empresa responsável.

Segundo o advogado Omar Kaminski, gestor do Observatório do Marco Civil da Internet, havia uma lacuna “inadmissível” na proteção de dados. Para ele, é importante atentar para vacatio legis de um ano e meio, pois “proporcionará tempo mais que suficiente para a adaptação ou compliance“.

“A nova lei de proteção de dados representa um necessário avanço e traz benefícios à sociedade e à economia do país”, afirma Leonardo Palhares, presidente da Câmara Brasileira de Comércio Eletrônico (camara-e.net) e sócio do Almeida Advogados.

O advogado Thiago Sombra, especialista em proteção de dados, elogia a aprovação da lei. Em entrevista à ConJur, ele havia criticado a disparidade do sistema legal brasileiro em relação à União Europeia, que acaba de aprovar a GDPR. Com o novo texto, diz Sombra, o Brasil se torna mais competitivo.

“A aprovação coloca o Brasil em linha com os demais países que também possuem um marco regulatório. O projeto em a virtude de conciliar fomento à inovação e proteção de direitos, numa perspectiva mais voltada à realidade brasileira”, afirma o advogado, sócio da área de proteção de dados e cibersegurança do Mattos Filho.

Mas, segundo ele, deve haver vetos por parte do governo. “O texto final tem problemas como o da inconstitucionalidade pertinente à criação da autoridade de proteção de dados e seu autofinanciamento por meio de multas aplicadas.”

 O que muda

 A advogada Patricia Peck Pinheiro, especialista em Direito Digital, em tabela, comparou o projeto com a legislação europeia e mostra seus impactos para empresas e usuários, que terão 18 meses para se adequarem.

Para ela, o projeto é benéfico pois busca o equilíbrio entre a transparência devida aos titulares dos dados e a segurança jurídica para quem os trata.

Fonte: CONJUR

PorWagner Lindemberg

Pesquisa revela que as empresas confiam mais em manter os hackers à distância do que em manter os dados seguros

Segundo a pesquisa, 94% dos profissionais de TI sentem que a segurança do perímetro é efetiva em manter usuários não autorizados fora das suas redes.

No entanto, 65% não confiam totalmente que seus dados estariam seguros se as defesas do perímetro fossem violadas, e 68% dizem que usuários não autorizados podem acessar suas redes

São Paulo, 17 de julho de 2017 – Apesar do crescente número de violações de dados e de quase 1,4 bilhão de registros de dados perdidos ou roubados em 2016 (fonte: Breach Level Index), a maioria dos profissionais de TI ainda acredita que a segurança do perímetro é efetiva em manter usuários não autorizados fora das suas redes.

No entanto, as empresas não investem o suficiente em tecnologia que proteja adequadamente seu negócio, de acordo com os resultados do quarto Data Security Confidence Index anual lançado hoje pela Gemalto (Euronext NL0000400653 GTO), líder mundial em segurança digital.

A pesquisa entrevistou 1.050 tomadores de decisão do setor de TI em todo o mundo e concluiu que as empresas sentem que a segurança do perímetro as mantém protegidas, com a maioria (94%) acreditando que é bastante eficiente em manter usuários não autorizados fora da sua rede. No entanto, 65% não confiam totalmente que seus dados estariam protegidos se o perímetro fosse violado, uma pequena diminuição em relação ao ano passado (69%). Apesar disso, quase seis em 10 (59%) organizações informaram que acreditam que todos os seus dados sensíveis estão seguros.

A segurança do perímetro é o foco, o que falta são entendimento da tecnologia e segurança dos dados

Muitas empresas continuam a priorizar a segurança do perímetro sem perceber que é muito pouco efetivo contra ciberataques sofisticados. De acordo com os resultados da pesquisa, 76% disseram que sua organização aumentou o investimento em tecnologias de segurança do perímetro, como firewalls, IDPS, antivírus, filtragem de conteúdo e detecção de anomalias para proteger contra ataques externos. Mesmo com esse investimento, dois terços (68%) acreditam que usuários não autorizados podem acessar sua rede, tornando sem efeito a segurança do seu perímetro.

Esses resultados sugerem uma falta de confiança nas soluções utilizadas, especialmente quando mais de um quarto (28%) das organizações sofreu violações de segurança do perímetro nos últimos 12 meses.
A realidade da situação piora ao considerar que, em média, somente 8% das violações de dados foi criptografada.

A confiança das empresas é comprometida ainda mais, pois mais da metade dos entrevistados (55%) não sabe onde seus dados sensíveis estão armazenados. Além disso, mais de um terço das empresas não criptografa informações valiosas como pagamento (32%) ou dados de clientes (35%). Isso significa que, se os dados forem roubados, um hacker possuirá total acesso a essas informações e poderá usá-las para cometer crimes, incluindo roubo de identidade, fraude financeira e ransomware.

“Fica claro que existe uma discrepância entre as percepções da efetividade da segurança do perímetro das organizações e a realidade“, disse Jason Hart, Vice-Presidente e Diretor-Executivo de Tecnologia para Proteção de Dados na Gemalto. “Acreditando que seus dados já estão seguros, as empresas deixam de priorizar as medidas necessárias para proteger seus dados. As empresas precisam estar cientes de que os hackers buscam os ativos mais valiosos de uma empresa: dados. É importante concentrar-se na proteção desse recurso, caso contrário a realidade não poupará os que não o fazem.”

A maioria das empresas não está preparada para a GDPR

Com a Regulamentação Geral sobre Proteção de Dados (GDPR, em inglês) entrando em vigor em maior de 2018, as empresas precisam saber como cumpri-la protegendo adequadamente dados pessoais para evitar o risco de multas administrativas e danos à reputação. Porém mais da metade dos entrevistados (53%) disseram que não acreditam que não estarão em total conformidade com a GDPR até maio do próximo ano. Faltando menos de um ano, as empresas devem começar a introduzir os protocolos de segurança corretos na sua jornada para estar em conformidade com a GDPR, incluindo criptografia, autenticação de dois fatores e estratégias chave de gerenciamento.

Hart continua: “Investir em cibersegurança tornou-se claramente mais do que um foco para as empresas nos últimos 12 meses. Porém a preocupação está no fato de que poucos estão protegendo adequadamente os dados mais vulneráveis e essenciais que possuem, ou sequer sabem onde eles estão armazenados. Isso está atrapalhando o caminho rumo à conformidade com a GDPR, e as empresas que não melhorarem sua cibersegurança o quanto antes irão enfrentar graves consequências jurídicas, financeiras e de reputação.”

Sobre a pesquisa

A Vanson Bourne, empresa independente especialista em pesquisa de mercado de tecnologia, entrevistou 1.050 tomadores de decisão no setor de TI nos EUA, no Reino Unido, na França, na Alemanha, na Índia, no Japão, na Austrália, no Brasil, no Benelux, no Oriente Médio e na África do Sul em nome da Gemalto. A amostra foi dividida entre fabricação, cuidados com a saúde, serviços financeiros, governo, empresas de telecomunicações, varejo, serviços públicos, consultoria e mercado imobiliário, empresas de seguros e advocacia, TI e outros setores de organizações com um número de funcionários entre 250 e mais de 5.000.

Visite o site com os resultados regionais

Fonte: cryptoid.com.br

glpi-telegrambot-2.0.0

PorWagner Lindemberg

CERT.br registra aumento de ataques de negação de serviço em 2016

DDoS

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br) recebeu 647.112 notificações de incidentes de segurança envolvendo redes conectadas à Internet no País em 2016, número 10% menor que o total de 2015. As notificações são informadas ao CERT.br de forma voluntária por administradores de redes e usuários de Internet.

De maneira geral, houve queda na maior parte das notificações de incidentes de segurança recebidas. As exceções ficaram por conta dos ataques de negação de serviço (DoS), cujo número foi 138% maior que no ano anterior. Já notificações de casos de páginas falsas de bancos e sítios de comércio eletrônico (phishing) aumentaram 37%. Por fim, as notificações de varreduras de SMTP (25/TCP) – serviço que, quando abusado, serve para o envio de spam, – eram menos de 7% do total em 2015, e agora correspondem a 30% de todas as varreduras.

Ataques de Negação de Serviço

O CERT.br recebeu 60.432 notificações sobre computadores que participaram de ataques de negação de serviço (DoS), número 138% maior que em 2015.

A maior parte dessas notificações correspondem a ataques originados por equipamentos de IoT (Internet das Coisas) infectados e que fazem parte de botnets. Observou-se, também, uma sensível queda no número de notificações de DoS que envolvem protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP) e SSDP (1900/UDP).

Cristine Hoepers, gerente do CERT.br, reforça que, mesmo com a queda nos ataques envolvendo amplificação ainda é preciso atenção por parte dos administradores de redes. “A queda no uso de amplificação se deve, em parte, à popularização dos ataques DDoS originados por dispositivos IoT mas, infelizmente, ainda existem muitos serviços mal configurados que permitem abuso para ataques de amplificação. Para reduzir os ataques DDoS é muito importante que todos adotem boas práticas como a configuração correta dos serviços de rede e que a instalação de dispositivos IoT leve em conta a sua proteção contra infecções por botnets.”

Tentativas de Fraude

Foram informadas 102.718 notificações de tentativas de fraude em 2016 – uma queda de 39% em relação a 2015. Também caíram 46% em relação ao ano anterior as notificações sobre Cavalos de Tróia, utilizados para furtar informações e credenciais. Já as notificações de casos de páginas falsas de bancos e sítios de comércio eletrônico (phishing clássico) aumentaram 37%.

Hoepers ressalta que, como os ataques de phishing continuam crescendo, é muito importante que os usuários de Internet continuem a seguir práticas de prevenção. “Ações simples podem minimizar os riscos e diminuir vulnerabilidades: ter um bom antivírus atualizado e instalado, manter programas e sistema operacional atualizados e instalar um firewall pessoal. Também é essencial evitar abrir sítios e links recebidos ou presentes em páginas duvidosas.”

Os casos de páginas falsas que não envolveram bancos e sítios de comércio eletrônico diminuíram 18% em relação a 2015 – incluindo os serviços de webmail e redes sociais.

Varreduras e propagação de códigos maliciosos

Varreduras somaram 383.903 notificações em 2016, mantendo-se no patamar de 2015. Foi registrado, porém, aumento nas varreduras de SMTP (25/TCP), que englobam tentativas de envio de e-mails com uso de dicionários de nomes de usuários; exploração de servidores de e-mail como open-relays, e ataques de força bruta para envio de mensagens utilizando credenciais de usuários existentes nos sistemas atacados – em 2015 eram menos de 7% do total agora correspondem a 30% de todas as varreduras.

Os serviços que podem sofrer ataques de força bruta, como TELNET (23/TCP) continuam muito visados e englobaram dispositivos IoT e equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi, etc. Esta atividade está fortemente relacionada com o aumento nos ataques DDoS a partir de dispositivos IoT, pois faz parte do processo de propagação dos códigos maliciosos que infectam IoT.

Ataques a servidores Web

O número de notificações de ataques aos servidores Web foi 16% menor em relação a 2015, totalizando 55.441 relatos. Nesse tipo de ataque, são exploradas vulnerabilidades em aplicações Web para comprometer sistemas e realizar ações como hospedar páginas falsas de instituições financeiras, armazenar ferramentas utilizadas em ataques e propagar spam e/ou scam.

Observaram-se, ainda, a ocorrência de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System – CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação de senhas das contas de administração destes sistemas.

Computadores comprometidos

Em 2016, o CERT.br recebeu 1.695 notificações de máquinas comprometidas, número 31% menor do que em 2015. A maior parte desses incidentes ocorreu nos servidores Web que tiveram suas páginas desfiguradas (defacement).

Para ter acesso aos gráficos e dados estatísticos completos das notificações de incidentes de segurança recebidas pelo CERT.br no ano de 2016 e períodos anteriores, visite: www.cert.br/stats/incidentes/. Conheça também o glossário da Cartilha de Segurança para Internet.

Sobre o CERT.br
O CERT.br é o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Desde 1997, o grupo é responsável por tratar incidentes de segurança envolvendo redes conectadas à Internet no Brasil. O Centro também desenvolve atividades de análise de tendências, treinamento e conscientização, com o objetivo de aumentar os níveis de segurança e de capacidade de tratamento de incidentes no Brasil. Mais informações em www.cert.br/.

Sobre o Núcleo de Informação e Coordenação do Ponto BR – NIC.br

O Núcleo de Informação e Coordenação do Ponto BR — NIC.br (http://www.nic.br/) é uma entidade civil, sem fins lucrativos, que implementa as decisões e projetos do Comitê Gestor da Internet no Brasil. São atividades permanentes do NIC.br coordenar o registro de nomes de domínio — Registro.br (http://www.registro.br/), estudar, responder e tratar incidentes de segurança no Brasil — CERT.br (www.cert.br/), estudar e pesquisar tecnologias de redes e operações — CEPTRO.br (http://www.ceptro.br/), produzir indicadores sobre as tecnologias da informação e da comunicação — CETIC.br (http://www.cetic.br/), fomentar e impulsionar a evolução da Web no Brasil — Ceweb.br (http://www.ceweb.br/) e abrigar o escritório do W3C no Brasil (http://www.w3c.br/).

Sobre o Comitê Gestor da Internet no Brasil – CGI.br

O Comitê Gestor da Internet no Brasil, responsável por estabelecer diretrizes estratégicas relacionadas ao uso e desenvolvimento da Internet no Brasil, coordena e integra todas as iniciativas de serviços Internet no País, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados. Com base nos princípios de multilateralidade, transparência e democracia, o CGI.br representa um modelo de governança multissetorial da Internet com efetiva participação de todos os setores da sociedade nas suas decisões. Uma de suas formulações são os 10 Princípios para a Governança e Uso da Internet (http://www.cgi.br/principios). Mais informações em http://www.cgi.br/.

 

Fonte: cryptoid.com.br

 

PorWagner Lindemberg

Fator Humano em Segurança da Informação

Fator Humano

A confidencialidade da informação é falha em muitas organizações, às vezes mais por negligência do que por má fé dos funcionários. Surge então a necessidade de investir em treinamento e conscientização à cerca de como proteger a informação. Pessoas necessitam saber o valor desta informação, e assim participar efetivamente de processos além de operar mecanismos para que ela seja protegida.
Pessoas, Processos e Tecnologias, são de vital importância para a manutenção da Segurança da Informação, e no que consiste às pessoas, algumas vulnerabilidades podem ser exploradas, como é o caso da Engenharia Social.

A Engenharia Social consiste em usar mecanismos de interação humana, tais como sociais e psicológicos para obter informações. Não é difícil conhecer alguém que já tenha recebendo uma ligação solicitando dados pessoais, muitas vezes dizendo que a pessoa ganhou algum prêmio, algum sorteio, algo do tipo.

Em casos mais articulados, ligações visando obter acesso em áreas restritas, como por exemplo, solicitando senhas de usuários em sistemas, onde a urgência pode intimidar alguém a fornecer este acesso. Exemplos básicos de como é possível obter informações de pessoas não orientadas a lidar com esse tipo de situação.

Torna-se então fundamental que todo profissional dentro da organização tenha um treinamento de conscientização sobre segurança da informação e seja alertado sobre as vulnerabilidades e ameaças.
Portanto podemos concluir que processo de manter segura a informação requer muito mais do que avanço tecnológico. É preciso trabalhar fortemente em questões humanas e culturais para que em conjunto com processos e procedimentos bem estruturados, consigamos diminuir os riscos para o negócio.

Fonte: Link.

PorWagner Lindemberg

80% dos líderes de Segurança da Informação esperam ser atacados este ano

WL Tech

Quatro em cada cinco líderes de Segurança da Informação esperam que um ataque cibernético atinja suas organizações este ano, mas muitos não estão preparados para se defender contra ameaças emergentes, indica uma pesquisa da ISACA.

Mais da metade (53%) dos entrevistados do estudo “STATE OF CYBER SECURITY 2017” informou um aumento nos ataques cibernéticos no ano passado.

Além disso, 78% dos entrevistados relataram sofrer ataques de malwares que podem prejudicar as operações da organização e os dados do usuário.

Também 62% dos entrevistados relataram problemas com Ransomware no ano passado, mas apenas 53% têm um processo formal para responder a essas ameaças.

Menos de uma em cada três organizações (31%) testam frequentemente seus controles de segurança, 13% nunca testam e 16% não possuem um Plano de Resposta a Incidentes, mostra a pesquisa.

“Há uma lacuna significativa e relevante entre as ameaças que uma organização enfrenta e sua prontidão para enfrentar essas ameaças de forma oportuna ou efetiva”, informa o presidente do conselho da ISACA, Christos Dimitriadis.

“Os profissionais de segurança cibernética enfrentam enormes demandas para proteger a infra-estrutura organizacional, e as equipes precisam ser devidamente treinadas e preparadas”.

No lado positivo, 65% das organizações pesquisadas agora têm um Gestor de Segurança da Informação (CISO), ante 50% no ano passado.

“Com o número de ataques mal-intencionados aumentando, as organizações não podem sofrer uma desaceleração nos recursos. No entanto, com tantos entrevistados que mostram uma falta de confiança na capacidade de suas equipes para abordar questões complexas, sabemos que há muito a ser feito para enfrentar os desafios urgentes de segurança cibernética enfrentados por todas as empresas”.

Link para a pesquisa completa da ISACA

Fonte: www.technologydecisions.com.au

 

PorWagner Lindemberg

Corporações que cortaram o orçamento de TI pagaram o preço do WannaCry.

WannaCry

Corporações que cortaram o orçamento de TI pagaram o preço do WannaCry

 

O ransomware WannaCry expôs a fragilidade dos orçamentos de TI nas grandes corporações no mundo. O malware, que infectou mais de 300 mil computadores no mundo desde o dia 12 de maio, usa a vulnerabilidade de sistemas operacionais Windows já descontinuados pela Microsoft. “Em grandes companhias atualizações são difíceis de executar e evitadas por causa do orçamento e escala”, revela Nikolay Grebennikov, o vice-presidente de pesquisas e desenvolvimento na Acronis.

A Rússia foi o país mais afetado pelo WannaCry – cerca de 20% dos computadores infectados estão no país. “Muitas companhias na Rússia usam sistemas desatualizados e antivírus antigos”, critica o especialista. Uma das empresas foi o serviço de correio da Rússia, que ainda sofre o impacto do ransomware, com alguns de seus computadores continuam bloqueados, disseram três funcionários em Moscou à agência Reuters.

O vírus comprometeu o sistema automatizado de gerenciamento de filas e infectou terminais que funcionavam com o antigo Windows XP, disse um dos trabalhadores. Em algumas partes da capital russa terminais ainda estavam inoperantes , mas não se sabe exatamente quantas agências foram afetadas. Um porta-voz do correio russo, disse que nenhum computador foi infectado, mas alguns terminais estão temporariamente desligados como precaução. “O ataque não afetou o correio russo, todos os sistemas estão funcionando e estão estáveis”, disse.

Outras instituições no país disseram que foram infectadas pelo vírus, ressaltando a rapidez de Moscou em mostrar que também é uma vítima frequente de crimes digitais e contrariando alegações dos Estados Unidos e da Europa sobre crackers patrocinados pela Rússia. E ainda há milhares de computadores e empresas desprotegidas. De acordo com a Avast, cerca de 15% dos mais de 400 milhões de usuários do antívirus da empresa não corrigiram a falha do Windows (MS17-010). Os 10 países mais atingidos, de acordo com a companhia são (pela ordem): Rússia, Ucrânia, Taiwan, Índia, Brasil, Tailândia, Romênia, Filipinas, Armênia e Paquistão.

Segundo ainda a Avast, remover o WannaCry de um computador não é difícil. Os antivírus devem ser capazes de remover o ransomware e enviar os arquivos maliciosos para quarentena, mas isso não resolve todo o problema: os arquivos do usuário permanecem criptografados. No momento, não existe uma ferramenta de descriptografia disponível e, com base na nossa análise, a criptografia utilizada parece muito forte (AES-128 combinada com RSA-2048). A melhor solução para um computador infectado é recuperar os arquivos de um backup, se estiver disponível.

 

Fonte: cbsi.net.br.

 

PorWagner Lindemberg

Descoberta falha em programa do Linux no estilo do WannaCry

Falha em programa do Linux no estilo do WannaCry

Falha em programa do Linux no estilo do WannaCry

 

Depois do ataque WannaCry, que terá afetado mais de 300 mil computadores em todo o mundo, investigadores de cibersegurança anunciaram na quarta-feira, 24 de Maio de 2017, a descoberta de mais uma vulnerabilidade, num software de uso gratuito, que poderá afetar mais de 100 mil aparelhos em todo o Mundo. Segundo Rebekah Brown, da empresa de cibersegurança Rapid7, ainda não há sinais de ataques com recurso à vulnerabilidade descoberta, embora seja “muito, muito fácil explorar” o “buraco” no software Samba. A responsável revelou que contabilizaram mais de 100 mil computadores com versões vulneráveis do referido software gratuito, mas que é provável que haja “muitos mais”. Alguns poderão pertencer a organizações e empresas, mas a maioria serão computadores domésticos.

“A maioria dos computadores está a correr versões antigas do software que não podem ser emendadas”, acrescentou a investigadora. A vulnerabilidade encontrada pode ser utilizada para criar um “worm” semelhante ao que permitiu que o WannaCry se espalhasse tão depressa. Os investigadores da Rapid7 demoraram apenas 15 minutos para desenvolver um programa malicioso que tira proveito da referida vulnerabilidade.

 

Fonte: cbsi.net.br

PorWagner Lindemberg

Empresas e órgãos públicos devem melhorar segurança cibernética

O ciberataque global com o vírus WannaCry, que infectou milhares de computadores em diversos países do mundo na semana passada, acendeu o alerta para a importância da segurança cibernética no mundo corporativo e em órgãos públicos.

Essa cultura de prevenção para diminuir o risco de ataques e prejuízos para as empresas ainda não está disseminada como deveria no Brasil, disse o presidente da SaferNet, Thiago Tavares Nunes de Oliveira.

O especialista lembra que, no ataque da semana passada, só foram infectadas máquinas que estavam com o sistema operacional desatualizado, e a atualização estava disponível há dois meses. “Essa é uma constatação que comprova que as boas práticas de segurança que deveriam ser seguidas por todos, tanto usuários finais e principalmente usuários corporativos, não têm sido seguidas”, diz Oliveira, que também é presidente da Câmara de Direitos e Segurança do Comitê Gestor da Internet no Brasil.

Oliveira diz que os usuários só percebem a importância de fazer um backup de seus dados quando perdem um pen drive ou quando o disco rígido do computador queima. “Isso vai desde as pequenas, médias e grandes empresas até órgãos públicos e o usuário final, que não têm grandes estruturas para dar suporte. E, junto com isso, se vão as fotos da família, os arquivos de trabalho e até informações confidenciais do usuário, que correm o risco de se tornar públicas.

 

Prevenção e treinamento de funcionários

Outros especialistas em segurança da informação também alertam para a necessidade de melhorar as práticas de prevenção nas empresas. Para a diretora da Consultoria FTI, Thais Lopes, as empresas brasileiras ainda têm um nível de maturidade menor com relação à preocupação com ataques cibernéticos. “Mas isso está mudando, estamos dando os primeiros passos com relação à segurança das comunicações das empresas, tanto públicas quanto privadas”, avalia.

Ela cita pesquisa feita com mais de 500 executivos em diversos países, que mostra grande preocupação com o risco de ataques cibernéticos, tanto para prejuízos financeiros quanto para a reputação da empresa. Segundo a especialista, as empresas devem não apenas investir na área de tecnologia da informação, mas também treinar seus funcionários para saber como reagir e conhecer os possíveis tipos de ataques.

A falta de preocupação dos brasileiros com sua segurança digital também chama a atenção do presidente da empresa Psafe, especializada no assunto, Marco DeMello. Segundo ele, em geral as empresas e os usuários brasileiros não se preocupam “nem de perto” do que deveriam com a segurança digital. “Está na hora de as pessoas acordarem e terem mais cuidados com atualizações, senhas, redes sociais, aplicativos e sites que acessam. Não adianta trancar a porta de casa todos os dias e sua senha ser 12345. Sua vida digital estará totalmente exposta”, alerta.

Um cenário ainda mais sombrio é desenhado pelo especialista Dani Dilkin, diretor de Risco Cibernético da consultoria Deloitte. Ele alerta que nas próximas semanas o mundo poderá sofrer outros ataques, que serão variações do WannaCry. As causas, segundo ele, são o aprimoramento das técnicas de desenhos de programas maliciosos e a publicação de ferramentas que podem ser usadas para explorar a vulnerabilidade de outros sistemas. “Vamos ver, a partir daqui, esse tipo de incidente que aconteceu na semana passada o tempo todo”, prevê.

 

Banco do Brasil já havia se preparado

Todos os dias, o Banco do Brasil (BB) é alvo de ataques cibernéticos de toda natureza, desde os mais clássicos, como vírus, até os mais sofisticados, como o que atingiu diversas empresas na semana passada. “São centenas de milhares de ataques que empresas como a nossa estão sujeitas a receber. Todos os dias, minutos e segundos, o banco detecta, intercepta e bloqueia esses ataques”, diz a gerente da Unidade de Arquitetura e Governança de Tecnologia da Informação do Banco, Mônica Luciana Martins.

Segundo ela, o BB já havia sido alertado para um possível ataque como esse, e se preparou com atualizações de softwares e bloqueios de vulnerabilidades. Atualmente, cerca de 120 funcionários trabalham para garantir a segurança dos dados da instituição.

O banco tem um comitê de prevenção, que se reúne a cada dois meses, para definir medidas de segurança que serão implementadas, de acordo com os objetivos de negócio da empresa. A política estratégica de segurança é revista pelo menos a cada ano.

Também são realizadas campanhas internas, cursos a distancia e presenciais e várias ações de comunicação para disseminar a cultura de segurança da informação para os funcionários. “Para disseminar a consciência de que as informações dos clientes e do banco têm extrema importância para nós, é um ativo de altíssima importância e deve ser tratada de forma correta”, diz o gerente de Segurança Institucional do BB, Adilson Augusto Lobato.

As determinações para funcionários vão desde orientações sobre abertura de e-mails, arquivos que podem ser salvos, onde devem ser armazenadas as informações corporativas, o uso do e-mail corporativo apenas para serviço e os cuidados com credenciais de acessos. Os servidores também são orientados sobre como tratar as informações corporativas, até o que pode ou não fazer em redes sociais e em aplicativos de trocas de mensagens.

 

Segurança elevada para dados do governo

O gerenciamento de sites, sistemas e e-mails do setor público federal é feito pelo Serviço Federal de Processamento de Dados (Serpro). “Trabalhamos para ter um padrão de segurança elevadíssimo”, diz a presidente do órgão, Glória Guimarães.

Além da aplicação de “vacinas”, que são antivírus para evitar que as redes e computadores sejam infectados, o Serpro atua com um Grupo de Resposta Rápida a Ataque, que bloqueia imediatamente qualquer entrada de ameaças. “Estamos sempre colocando todas as nossas posições atualizadíssimas com relação à segurança e educação”, diz a presidente do Serpro,

Segundo ela, também é feito um trabalho de educação dos servidores para evitar problemas de segurança. Entre as orientações estão a de desligar os computadores à noite, não abrir e-mails ou mensagens maliciosos e fazer backup das máquinas para salvar os arquivos. O sistema de e-mail utilizado pelo Serpro, chamado de Expresso, utiliza criptografia de ponta a ponta para garantir a segurança das informações enviadas e recebidas.

Também são de responsabilidade do Serpro os serviços da Receita Federal, como a declaração do Imposto de Renda. “A vida fiscal de todo cidadão está aqui, por isso temos que ter bastante cuidado e critério com essas informações”, diz Glória.

 

Regras de ouro

Além das empresas, os usuários comuns devem incorporar, no seu dia a dia, hábitos para garantir a segurança de dados, como o uso de antivírus e a realização periódica de backup dos dados.

“É o preço que se paga para se manter seguro online. Da mesma forma que você faz seguro de carro e plano de saúde para não usar, deve fazer o backup para não precisar usar, mas, se precisar um dia, ter aquela segurança”, diz o presidente da SaferNet, Thiago Tavares Nunes de Oliveira.

Ele dá cinco “regras de ouro” para garantir a segurança do uso da internet:

1 – Manter o sistema operacional sempre atualizado. As atualizações de segurança dos sistemas tanto de computadores quanto de celulares devem ser feitas regularmente, de preferência de forma automática.

2 – Manter um antivírus atualizado. “Não se concebe hoje usar um computador sem antivirus atualizado”, diz o especialista.

3 – Ter sistemas de antispyware e antimalware, que protegem contra códigos maliciosos que interceptam as comunicações. É similar ao antivírus, mas tem a finalidade de impedir programas espiões.

4 – Manter um backup atualizado dos dados, de preferência em um HD externo

5 – Ter muito cuidado com os links que você clica por aí. Normalmente, o vetor de propagação dos virus e códigos maliciosos se dá por e-mail e por mensagens instantâneas. Então, isso vem normalmente na forma de um link, isso pode infectar sua máquina.

 

Fonte: Crypto ID