quinta-feira, 25 de outubro de 2007

Repassando: DRAFT SP 800-39, Managing Risk from Information Systems: An Organizational Perspective

DRAFT SP 800-39, Managing Risk from Information Systems: An Organizational Perspective

NIST announces the release of the initial public draft of Special Publication 800-39, Managing Risk from Information Systems: An Organizational Perspective. This publication provides guidelines for managing risk to organizational operations, organizational assets, individuals, other organizations, and the Nation resulting from the operation and use of information systems. Special Publication 800-39 is the flagship document in the series of FISMA-related publications developed by NIST and provides a disciplined, structured, flexible, extensible, and repeatable approach for managing that portion of risk resulting from the incorporation of information systems into the mission and business processes of the organization. Comments will be accepted through December 14, 2007. Email comments to: sec-cert@nist.gov

URL to DRAFTS page:
http://csrc.nist.gov/publications/PubsDrafts.html

URL to PDF file for Draft SP 8000-39:
http://csrc.nist.gov/publications/drafts/800-39/SP-800-39-ipd.pdf

quarta-feira, 24 de outubro de 2007

Disclaimer para prevenir acusação de SPAM - Qual a validade legal?

Muitas pessoas têm recebido e-mails com o seguinte disclaimer no final (inclusive eu):

"Esta mensagem é enviada com a complacência da nova legislação sobre o Correio Eletrônico, Seção 301, Parágrafo (a) (3) (c) Decreto S 1618, Título Terceiro aprovado pelo 105º Congresso Base das Normativas Internacionais sobre o SPAM. Um e-mail não poderá ser considerado SPAM quando incluir uma forma de ser removido".

Pois bem, resolvi pesquisar. E pelo que descobri, não tem validade legal, tratando-se apenas de uma série de incorreções (ou má fé?) agrupadas. Vejam a explicação completa no excelente artigo do Jus navigandi (http://jus2.uol.com.br/doutrina/texto.asp?id=2633).


BCI

Conheça o site do BCI: http://www.thebci.org  
 

FY08 NIJ Electronic Crime and Digital Evidence Recovery Soliciation

O NIJ (National Institute of Justice) dos Estados Unidos publicou recentemente uma solicitação de soluções inovadoras para a ára de forense computacional. Veja detalhes em http://www.ojp.usdoj.gov/nij/funding.htm.

 

Site sobre Computação Forense

Seguem dois sites com informações sobre computação forense:
 
 
 
 

quarta-feira, 27 de junho de 2007

The Rise of Antiforensics

Vejam este excelente artigo sobre a evolução de técnicas anti-forense http://csoonline.com/read/060107/fea_antiforensics.html?source=nlt_csoupdate
 

quinta-feira, 14 de junho de 2007

Windows Server 2008 Public Beta

A Microsoft liberou o beta do novo Windows Server 2008. Já estamos testando! Faça seu download aqui.

quarta-feira, 13 de junho de 2007

Dados pessoais de 17 mil empregados da Pfizer são expostos

 
Este é mais um caso que demonstra a necessidade de controle sobre os equipamentos disponibilizados aos funcionários, bem como a necessidade de criptografia das informações armazenadas nos mesmos.
 
Entretanto, neste caso, a criptografia não surtiria muito efeito, pois o próprio funcionário instalaou o software que permitiu a invasão, e o spyware poderia ter acesso aos dados quando o funcionário tivesse descriptografado os mesmos para trabalhar.

quarta-feira, 6 de junho de 2007

segunda-feira, 4 de junho de 2007

(ISC)2 to Intensify Requirements for CISSP

Veja os novos requisitos para a certificação CISSP aqui.

sexta-feira, 1 de junho de 2007

segunda-feira, 28 de maio de 2007

Liberada a versão 1.2 do OSSEC HIDS

OSSEC HIDS Version 1.2 is available!
 
OSSEC is an Open Source Host-based Intrusion Detection System. It performs log analysis, integrity checking, Windows registry monitoring, rootkit detection, real-time alerting and active response.
 
It runs on most operating systems, including Linux, OpenBSD, FreeBSD, MacOS, Solaris and Windows.
 
 

sábado, 26 de maio de 2007

Alemanha aprova lei que pune hackers com pena de até dez anos

Veja a reportagem em http://idgnow.uol.com.br/internet/2007/05/25/idgnoticia.2007-05-25.2406954107. Nesse momento, em que estamos analisando as propostas de regulamentação no Brasil, seria interessante conhecer o trabalho desenvolvido em outros países.

sexta-feira, 25 de maio de 2007

Measures passed by SEC to ease burden of Sarbox

Measures passed by SEC to ease burden of Sarbox

By Jeremy Grant in Washington

Published: May 24 2007 03:00 | Last updated: May 24 2007 03:00

US regulators yesterday approved measures to ease compliance with Sarbanes-Oxley five years after the law was passed in the wake of big corporate scandals.

The move is a sign a more "principles-based" approach to financial regulation is gaining ground in the US.

Critics of the way Sarbox has been implemented said reliance on rules and a "box-ticking" mentality to internal controls checks have been cumbersome and added needlessly to costs.

The Securities and Exchange Commission's five commissioners agreed unanimously to the establishment of a set of guidelines for company management on how they should carry out internal control checks mandated under Section 404 of the law.

Section 404 requires management to check controls over financial statements and have those signed off by an external auditor.

Critics of the way Sarbox was written had argued that the lack of such guidance had led to over-reliance by executives on the checks carried out by their external auditors, leading to often unnecessary audits.

Specifically, the SEC's new "interpretive guidance for management" would allow executives to "scale and tailor their procedures to fit the facts and circumstances" of a company's situation, according to SEC chairman Christopher Cox.

Michael Ryan, executive director of the Centre for Capital Markets Competitiveness at the US Chamber of Commerce, said: "This major rewrite is a clear step forward and recognises how seriously off-track Section 404 implementation has become."

The guidance is not only "scalable" according to size of company but also takes account of the complexity of a company's business.

Annette Nazareth, one of two Democrats on the commission, said: "I strongly support this principles-based interpretive guidance.

"It encourages innovation instead of a one-size-fits-all approach. I hope that it will help liberate companies by allowing them to apply the guidance to their own situations. It will provide overarching principles without forcing companies to fit into a prescribed mould."

The SEC also sharpened its definition of "material weakness" in accounts - a key uncertainty in previous audit cycles - as "a deficiency, or combination of deficiencies, in internal control over financial reporting" such that there is "a reasonable possibility that a material misstatement of the company's annual or interim financial statements will not be prevented or detected on a timely basis".

The new guidance is likely to have the biggest effect on smaller companies, which will have to comply with the SEC's management controls provisions of Section 404 by year-end.

Today the Public Company Accounting Oversight Board, the US accounting watchdog, is expected to produce new rules for auditors checking a company's internal controls.

Guia de Outsourcing

Excelente referência sobre os provedores mundiais de outsourcing: http://www.theblackbookofoutsourcing.com/

sexta-feira, 11 de maio de 2007

COBIT 4.1 - Mudanças

 
 
Na minha opinião, houve uma melhora, principalmente na reordenação e reagrupamento de alguns objetivos de controle.
 
Acho que o Executive Overview ficou muito extenso, pois existem outros documentos do próprio ISACA que já dispõem de conteúdo similar e mais detalhado.
 
As mudanças não chegam a ser "significativas", pois a melhoria ocorrida na evolução COBIT Third Edition para o COBIT 4 já haviam sido muito grandes, e muito bem feitas.

terça-feira, 24 de abril de 2007

Plug-in gratuito IE e Firefox espanta sites com arquivos maliciosos

Por Gregg Keizer, para o IDG Now!*
Publicada em 17 de abril de 2007 às 17h59
Atualizada em 17 de abril de 2007 às 18h07
 

Framingham – As páginas da web são escaneadas em tempo real. Dessa forma, os possíveis riscos podem ser identificados com eficiência.

A Finjan Software entrou nesta terça-feira (17/04) para o ranking dos fornecedores de serviços gratuitos de segurança. A empresa lançou o SecureBrowsing, um plug-in para os navegadores Internet Explorer e Firefox que alerta os usuários sobre sites de risco.

O plug-in do navegador escaneia, em tempo real, cada resultado gerado pelos mecanismos de busca do Google, Yahoo e Microsoft. Em seguida, avalia os links para que os usuários possam decidir onde clicar. Segundo a Finjan, os rastreamentos examinam todos os componentes de código dinâmico da página, além de detectar códigos potencialmente maliciosos hospedados em sites. Isso é feito com um escaner baseado em comportamentos e não em listas negras.

"O endereço que foi salvo ontem pode conter códigos maliciosos hoje", diz o CTO da Finjan, Yuval Ben-Itzhak. "Diferente de outros produtos que são baseados em dados estáticos de domínios de renome, o Finjan SecureBrowsing busca cada link de acordo com sua atualização na web, cada vez que o endereço é mostrado no navegador."

O SecureBrowsing também classifica os links que encontra no Gmail, Yahoo Mail e mensagens de e-mail do Windows Live Hotmail, assim como as entradas no MySpace, Digg, Slashdot e Blogger.

O SiteAdvisor da McAfee foi o primeiro trabalhar na avaliação diária de sites utilizando plug-ins no navegador. Mas outros programas têm seguido o mesmo caminho, incluindo o Exploit Prevention Labs, que distribui o LinkScanner Lite e vende uma edição mais avançada desse, o LinkScanner Pro, por 29,95 dólares.

Os plug-ins do SecureBrowsing da Finjan podem ser baixados pelo site da empresa.

*Gregg Keizer é editor do Computerworld, em Framingham.

Informações sigilosas são vendidas em CDs na Santa Efigênia em SP

Essa notícia foi divulgada hoje, junto com uma reportagem na televisão no horário do almoço. Mostra bem a situação atual de uso indevido de dados pessoais, obtidos de empresas de telefonia e até da receita federal.
 
 

terça-feira, 3 de abril de 2007

Melhores Práticas - Exchange 2000

Outro artigo sobre melhores práticas no Exchange 2000 (e mesmo 2003): http://www.dell.com/content/topics/global.aspx/power/en/ps1q02_veritas?c=us&cs=555&l=en&s=biz
 

Disaster Recovery - Exchange 2003

Excelente artigo sobre a utilização do comando ESEUTIL para recuperação do Exchange 2003: http://www.computerperformance.co.uk/exchange2003/exchange2003_eseutil.htm
 

sexta-feira, 23 de março de 2007

A View into Starbucks Enterprise Security

Excelente artigo sobre a apresentação da Starbucks na CSO Conference (http://blogs.csoonline.com/a_view_into_starbucks_enterprise_security?source=nlt_csocorpsec)


Mantra da Segurança

Protect people. Secure assets. Enable mission.

quarta-feira, 21 de março de 2007

Proteção contra acesso indevido - mídias removíveis

  A McAfeee possui uma solução chamada McAfee Host Intrusion Prevention para desktops e servidores .
 
Este produto reconhece quando é uma mídia removível ou simplesmente um Mouse ou Teclado - USB por exemplo, bloqueando a estação conforme a sua política.
 
Tudo isso pode ser gerenciado via Epo (Aplicação de Administração Remota da McAfee) integrado ao Antivirus.
 
Pode ser uma solução interessante, pois auxília no controle das mídias removíveis, evitando cópia indevida de informações.
 
A McAfee está também com um lançamento novo, chamado DLP (Data Loss Prevention antigo Onigma), ele bloqueia totalmente a porta, ou então apenas não permite a copia de documentos com "tags" confidenciais para o USB, também pode transformar o dispositivo de midia removivel (CD Rom, Floppy ou pen drive) em Read Only.

Bloqueia também impressão e outras formas de roubo de informação.
 

terça-feira, 20 de março de 2007

Período Mínimo da senha

Existe um parâmetro relativo a senhas, chamado Minimum Password Age (ou Idade Mínima da Senha). É o tempo mínimo que a senha deve permanecer antes de ser trocada. Por que isto? Existe um outro parâmetro chamado Enforce Password History, que serve para o sistema "lembrar" as X últimas senhas utilizadas, e não deixar repetir a mesma senha antes dela ser trocada X vezes por senhas diferentes.
 
Se esse parâmetro for por exemplo 5 (lembrar a 5 últimas senhas), e não tivermos o Minimum password Age, o usuário pode querer usar a mesma senha, que ele gosta (por exemplo, o nome do filho que acabou de nascer). O que ele faz, troca a senha quando o sistema exigir, e troca novamente 5 vezes seguidas para poder voltar à senha que ele quer.
 
Para evitarmos isso, colocamos um parâmetro de 24 ou mais no Enforce Password History e assinalamos pelo menos 1 dia como Minimum Password Age. Ele terá que ter muita persistência para ficar trocando a senha, e quando conseguir atingir 24 vezes (após 48 dias...) já teve que trocar a senha por exigência do sistema (se você assinalou para trocar a senha a cada 30 dias. Logo, inviável para o usuário burlar (ou pelo menos, muito difícil)
 
 

sexta-feira, 16 de março de 2007

Cliente leva R$ 70 mil após fraude de bancário

Vejam está notícia publicada no Terra: http://br.invertia.com/noticias/noticia.aspx?idNoticia=200703161635_INV_30494326 . Podemos ver que o juiz, pelo menos em primeira instância, considerou o banco Itaú co-responsável, apesar de este ter direito a recorrer da decisão.
 
Isto demonstra cada vez mais a necessidade de controles internos que previnam fraudes, e os consequentes danos financeiros e à imagem da instituição. Também é importante estender o conceito de resposta a incidentes em casos como este, verificando os dados cadastrais, assinaturas de documentos, etc... antes de encaminhar o cliente/usuário a, por exemplo, serviço de proteção ao crédito.

Fotocopiadoras - a nova onda de roubo de identidade

A idéia para este artigo veio de outro publicado na revista CSO Online (http://www.csoonline.com). o artigo intitulado Photocopier Risk: The Next Wave of ID Theft trata de um assunto para o qual muitas vezes deixamos de prestar atenção.
 
As novas fotocopiadoras (digo novas de 5 anos para a atualidade) possuem discos-rígidos internos para armazenamento dos dados de impressão, e esses dados são guardados sem criptografia no disco, ficando acessíveis a qualquer um comn o conhecimento técnico necessário para coletar esses dados, até que o disco atinja sua capacidade e os sobreescreva..
 
Teoricamente, somente o técnico de manutenção poderia ter esse acesso. E se esse técnico tem esse acesso e copia os dados armazenados, ou a impressora vai para manutenção ou ainda, em tempos de terceirização de impressão, a impressora pode sofrer upgrade, e a antiga é retirada com todas as informações dentro, ficando acessíveis ao mundo exterior. No caso de multifuncionais (de grande porte ou pequeno porte), temos o problema adicional de permitir o acesso remoto por meio do fax/modem.
 
Assim, devemos analisar em nosso ambiente os riscos inerentes à utilização desses equipamentos. Outro artigo muito interessante sobre o assunto é Outsourcing Printing Services , que fala sobre os custos e riscos dessa modalidade de serviços.
 
 

terça-feira, 13 de março de 2007

Entrevista com Bruce Schneier

Vejam esta excelente entrevista com Bruce Schneier, sobre a importância da psicologia da segurança.

segunda-feira, 12 de março de 2007

Saiba como reduzir os riscos do trabalho remoto

 

Trabalhando em segurança da informação

Tenho verificado muitos questionamentos de profissionais, seja em listas de discussão, perguntas de clientes e colegas de trabalho, sobre como se preparar para trabalhar em segurança da informação.
 
As perguntas e os respectivos entraves são quase sempre os mesmos:
 
. por onde começar
. o material disponível é em inglês
. onde e quanto dinheiro vale à pena investir para aprimorar a carreira
. como obter as certificações profissionais se não tenho a experiência (tempo de trabalho) exigidos
. e se não tenho experiência ou certificação, quem vai me contratar
 
O objetivo deste artigo é fornecer um guia prático, de baixo investimento financeiro, para que os profissionais que desejam ingressar no mercado de segurança possam desenvolver as habilidades e conhecimentos mínimos necessários. Longe de ser um guia definitivo, serve como referência no auxílio a quem busca se aprimorar na área, mas não tem os recursos necessários:
 
01. Cursos
 
Existem cursos excelentes, ministrados pelo SANS, ISC2, Módulo, Checkpoint e mesmo os cursos da Microsoft que preparam para as certificações fornecidas por essas mesmas instituições/empresas. O problema é sempre o mesmo: custo. Fazer um ou dois cursos é uma coisa, mas se preparar como profissional nas diversas áreas, sem subsídio da empresa, é difícil.
 
Entretanto, existem alternativas gratuitas excelentes, que podem auxiliar no aprendizado, e que estão em português. Vamos citar:
 
- Academia Latino Americana de Segurança da Informação (http://www.technetbrasil.com.br/academia ): é uma iniciativa da Microsoft em parceria com a Módulo, e você se inscreve gratuitamente e faz os cursos e as provas. Excelente trabalho dos gestores, dos quais gostaria de citar o Fernando Fonseca (não conheço todos os gestores, mas estão de parabéns).
 
- Next Generation Center da Intel (http://www.nextgenerationcenter/br): possui diversos cursos, sendo dois na área de segurança.
 
- Microsoft Learning (https://www.microsoftelearning.com/catalog/default.aspx#itprodev ): mais especificamente no site https://www.microsoftelearning.com/catalog/itpro.aspx#Security , existem diversos cursos sobre segurança da informação. Apesar de serem cursos em inglês, vale à pena conferir.
 
 
02. Livros
 
Recomendo o Desvendando Segurança em Redes, do Stephen Northcutt, muito abrangente, em português, e não é caro (R$ 70,00 a 120,00 dependendo da livraria).
 
 
03. Certificações
 
Você pode optar por certificações de produtos (Linux, Microsoft, Checkpoint) ou as chamadas vendor-neutral (que abrangem segurança independentemente do produto). Recomendo o Security+ (o material de estudo é em inglês), mas ela é abrangente, não muito cara, e irá auxiliar no seu dia-a-dia. Também não exige, apenas recomenda, 2 anos de experiência na área. Também podemos citar o MCSO (Modulo Certified Security Officer), exelente certificação, e você pode estudar por conta própria, adquirindo o livro dos cursos 1 e 2 (investimento de R$ 360,00), mas exige experiência de 2 anos ou que faça os cursos da Módulo que são preparatórios para a certificação.
 
 
04. Cobit e ITIL
 
Vale citar também a necessidade de conhecimento sobre Cobit e ITIL. O Cobit (Control Objectives for Information and Related Technologies) é voltado para o estabelecimento de controles para Tecnologia da Informação (TI), o que permite estabelecer uma linguagem como de avaliação entre as áreas de TI, de negócios e usuários, bem como definir meios de avaliar o funcionamento dentro de critéios bem definidos. O Cobit pode ser obtido gratuitamente no site do ISACA ( http://ww.isaca.org/cobit). 
 
O ITIL ( IT Infrastructure Library - http://www.itil.co.uk) é uma compilação de melhores práticas para gerenciamento e fornecimento de serviços de TI. É uma biblioteca de 8 livros, bem caros para nossa realidade (os preços são em Libras esterlinas) mas fundamental para gerenciar corretamente a entrega e suporte de serviços de TI. Na internet, existe muito material gratuito (inclusive em português) explicando o que é e como utilizar.
 
Como você pode ver, existem várias alternativas (gratuitas ou de baixo custo) para você começar a aprender sobre segurança da informação. Espero que essas dicas sejam úteis para auxiliá-lo. Boa sorte!
 
 

domingo, 11 de março de 2007

Britânicos neutralizam ataque terrorista contra a Internet

Vejam essa notícia. O problema realmente não é apenas a segurança lógica, mas cada vez mais a integração com a segurança física. Acesse em

sexta-feira, 9 de março de 2007

Conheça a BS 25999

Conheça a BS 25999-1:2006 Code of practice for business continuity management. Visite http://www.bsi-global.com/en/Standards-and-Publications/Industry-Sectors/Risk-Management/Risk-Publications/BS-25999-1/

Keystroke dynamics

Mais uma daquelas tecnologias que sabemos que existe, mas nunca tinha visto um produto. A empresa Biopassword (http://www.biopassword.com) fornece soluções de autenticação baseadas em "keystroke dynamics". O que é isso?
 
Trata-se de uma solução de biometria (isso mesmo, biometria), baseada em características de digitação, ou seja, quanto tempo você demora pressionando as teclas do seu teclado normal do computador, e o tempo entre a mudança entre as teclas, durante a digitação de seu usuário e senha.
 
Segundo a teoria, as características de digitação são inerentes a cada pessoa. Faça o teste em http://www.biopassword.com/demo1/?page=2.
 

Testes de segurança

Você acha que está seguro navegando na internet? Você acha que seu firewall e antivírus barram todas as ameaças?
 
Visite os links que apresentamos em Testes e Alertas de Vulnerabilidades, e faça diversos testes de verificação. São seguros e podem auxiliar na definição de necessidade de segurança.

quinta-feira, 8 de março de 2007

Solução de quarentena para ISA Server 2006

Como o VPN-Q 2006, a solução de quarentena para conexões de VPN ao ISA Server 2006: http://www.winfrasoft.com/vpnq.htm

How to Stay Out of the Penalty Box

Vejam este excelente artigo que trata sobre o roubo de informa´côes por executivo, e como prevenir: How to Stay Out of the Penalty Box

Livros preparatórios para exame CISA

Bom dia,

A Wiley lançou a nova versão do CISA Study Guide - Sybex, que agora está atualizado em relação aos novos objetivos do exame.

Para identificar a nova versão, basta ver os autores do novo livro, que são:

. David L. Cannon
. Timothy S. Bergmann
. Brady Pamplin.

O livro pode ser adquirido na Amazon (http://www.amazon.com/CISA-Certified-Information-Systems-Auditor/dp/0782144381/ref=pd_bbs_sr_1/102-6213789-0448162?ie=UTF8&s=books&qid=1173360278&sr=8-1 ).

Também será lançado este ano o livro CISA Certified Information Systems Auditor All-in-One Exam Guide (All-in-One) by Shon Harris (Hardcover - Aug 1, 2007). Mas somente em Agosto.

Se mantiver a qualidade do livro do CISSP, acho que valerá a compra.

Um abraço,

Aureo


terça-feira, 6 de março de 2007

Classificação de Informações

A Doc Manager é uma empresa que faz a classificação, organização, inventario, etc.. de informações. Visite em www.docmanager.com.br.

Como a classificação de informações é um ítem importante para a segurança, vale à pena conferir.

sexta-feira, 2 de março de 2007

Como deletar os logs do Exchange?

Muitas vezes, os logs do Exchange crescem muito e não são apagados. Teoricamente, ao fazer um backup full isso ocorre automaticamente. Caso não ocorra, devemos limpar os logs manualmente.
Entretanto, não basta apenas ir na pasta de logs (normalmente c:\Program Files\Exchsrvr\MDBDATA) e apagar os arquivos de log, temos que seguir um procedimento.

Métricas de Segurança

Quando precisamos avaliar a situação da segurança de TI, é necessário estabelecer métricas bem definidos e aceitas, de modo a termos uma linguagem única. Como referência, existem dois documentos, um do SANS e outro do NIST,  que podem ser muito úteis na elaboração de suas próprias métricas:

NIST - Security Metrics Guide for Information Technology Systems

SANS - A Guide to Security Metrics

Ambos são gratuitos.

Outra fonte de referência é o livro Complete Guide to Security and Privacy Metrics, de Debra S. Herrmann. O livro pode ser adquirido na Amazon ou no site da Auerbach ( www.aurebach-publications.com).

terça-feira, 13 de fevereiro de 2007

Usando Scripts de Login e Logoff com o AD

Quem já precisou configurar Login Scripts no Windows NT 4.0 sabe das dificuldades de gerenciar diversos arquivos de login para diversos usuários com necessidades distintas. Com o advento do Windows 2000 e do Active Directory, passamos a ter a possibilidade de utilizar Group Policies para configurar arquivos para grupos inteiros, ao invés de individualmente por usuário.
 

quinta-feira, 8 de fevereiro de 2007

Recomendações contra abusos de Open DNS Recursion

Segue link para as recomendações contra abusos de Open DNS Recursion,
divulgadas ontem pelo Cert.BR:
http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/.

Cortesia da lista CISSPBR

Ataque hacker poderoso deixa Internet mais lenta

Veja a notícia em
http://tecnologia.terra.com.br/interna/0,,OI1397422-EI4805,00.html

terça-feira, 6 de fevereiro de 2007

Cursos Online Microsoft

Visite o site https://www.microsoftelearning.com/catalog/itpro.aspx. Lá você irá encontrar diversos cursos, inclusive sobre segurança da informação.
 

segunda-feira, 5 de fevereiro de 2007

Comparativo entre as soluções de virtualização

Segue um comparativo entre as soluções de virtualização mais comuns:
http://searchsystemschannel.techtarget.com/tip/0,289483,sid99_gci1225860,00.html

sábado, 3 de fevereiro de 2007

Software para Monitoramento

Vale à pena conhecer o Zenoss Open Source Enterprise Monitoring.
Visite http://zenoss.com.

sexta-feira, 2 de fevereiro de 2007

Onde encontrar guias de segurança?

Você não precisa partir do zero para implementar configurações, políticas ou baselines de segurança. Diversos sites fornecem excelente material para auxiliar na implementação de segurança corporativa.
 
Seguem alguns:
 
SANS Institute
Modelos de políticas de segurança: http://www.sans.org/resources/policies/
 
NSA
Guias de configurações de segurança: http://www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1
 
NIST
 
 
E no próprio site da Microsoft, existem diversos baselines de configuração, tanto em português quanto inglês.

quinta-feira, 1 de fevereiro de 2007

Comparação de Scanners de Vulnerabilidade

No site http://infosecuritymag.techtarget.com/2003/mar/cover.shtml, temos uma excelente comparação entre os diferentes scanners de vulnerabilidades.

Apesar de um pouco antigo, é uma excelente referência.

Também podemos encontrar uma comparação no site http://www.maxpatrol.com/pd_cmp.asp.

Outro artigo excelente pode ser encontrado na Windows IT Pro: http://www.windowsitpro.com/articles/print.cfm?articleid=43888

 

quarta-feira, 31 de janeiro de 2007

Deteccção de Fraudes Online

Vale à pena conhecer o minFraud, sistema de deteccção de fraudes em
compras online: http://www.maxmind.com/app/ccv_overview

terça-feira, 30 de janeiro de 2007

Analisando o Insider Threat

Segue uma coletânea de artigos sobre as ameaças internas. Cortesia do
Anderson Ramos:

BALOYI, N. T. Misuse Intrusion Architecture: Prevent, Detect, Monitor
and Recover Employee Fraud.
In: ISSA 2005 New Knowledge Today Conference, 2005, Sandton, África do
Sul. Peer-Reviewed Proceedings, Pretoria: ISSA, 2005.
Disponível em http://icsa.cs.up.ac.za/issa/2005/Proceedings/Poster/079_Article.pdf>.

COMBS, B. K. The Pseudo-Internal Intruder: A New Access Oriented
Intruder Category. 1999. 89 f.
Dissertação (Mestrado em Ciência da Computação) - The Faculty of the
School of Engineering and Applied Science, University of Virginia,
Charlottesville, 1999.

KEENEY, M. et al. Insider Threat Study: Computer System Sabotage in
Critical Infrastructure Sectors.
Carnegie Mellon Software Engineering Institute, 2005.
Disponível em: <http://www.cert.org/archive/pdf/insidercross051105.pdf>.

LIU, A. et al. A Comparison of System Call Feature Representations for
Insider Threat Detection.
In: IEEE Systems, Man and Cybernetics (SMC) Information Assurance
Workshop, 2005. Proceedings…, West Point: IEEE, 2005. p.340-347.

MATZNER, S.; HETHERINGTON, T. Detecting Early Indications of a
Malicious Insider. IANewsletter, Falls Church, v.7, n.2, p.42-45,
set.2004.

MAYBURY, M. et al. Analysis and Detection of Malicious Insiders. In:
INTERNATIONAL CONFERENCE ON INTELLIGENCE ANALYSIS, 2005, McLean, EUA.
Disponível em http://analysis.mitre.org/proceedings/Final_Papers_Files/280_Camera_Ready_Paper.pdf

PHYO, A. H.; FURNELL, S. M. A Detection-Oriented Classification of
Insider IT Misuse. In: Proceedings of the 3rd Security Conference, Las
Vegas, EUA, p.14-15, abr. 2004.

RANDAZZO, M. et al. Insider Threat Study: Illicit Cyber Activity in
the Banking and Finance Sector.
Carnegie Mellon Software Engineering Institute, 2004. Disponível em:
<http://www.cert.org/archive/pdf/bankfin040820.pdf

SCHULTZ, E. E. A framework for understanding and predicting insider
attacks. Computers and Security, New York, v.21 n.6, p.526-531, out.
2002.

SHAW, E. D.; RUBY, K. G.; POST, J. M. The Insider Threat To
Information Systems. Security Awareness Bulletin No. 2-98.
Department of Defense Security Institute, [S.l], 1998.

segunda-feira, 29 de janeiro de 2007

Empregados fazem uso de páginas alternativas para driblar supervisão

Comentário para a notícia abaixo: na minha opinião, a melhor política
ainda é definir quais sites podem ser utilizados, e não bloquear os
indevidos. Ou seja, não ficar bloqueando depois de acessarem, mas sim
bloquera tuido, exceto os que a empresa considera adequados, e a
partir daí fazer os ajustes.


Folha de São Paulo
São Paulo, domingo, 28 de janeiro de 2007

Empregados fazem uso de páginas alternativas para driblar supervisão

DA REPORTAGEM LOCAL

Restringir o acesso a alguns sites pode ter efeito contrário para
alguns empregadores. "É como o vídeo da [apresentadora Daniella]
Cicarelli. Depois de proibido, foram feitas cópias e ele ganhou ainda
mais popularidade", compara a professora da UnB, Ana Magnolia Mendes.

Com sites de relacionamento e de comunicadores instantâneos, o
fenômeno é o mesmo. Já há dezenas de "páginas- ponte", que permitem
que o internauta converse com colegas passando incólume pelos sistemas
de segurança da empresa.

O www.meebo.com, por exemplo, reúne caminhos alternativos para
diversos comunicadores, como o Google Talk.

Driblar esses bloqueios, no entanto, pode ser um péssimo negócio para
o colaborador. Segundo o diretor da Micro Frequency (informática),
Orácio Kuradomi, é possível monitorar o que é feito no computador
-incluindo gravação de conversa por comunicadores instantâneos e até
por VoIP (tecnologia que permite ligações telefônicas via internet).

"Já demiti vendedores após ter acesso às gravações de seus
computadores", declara.

sexta-feira, 26 de janeiro de 2007

ISO17799 and ISO27001 Newsletter

Inscreva-se para receber a ISO17799 and ISO27001 Newsletter. Acesse http://www.molemag.net/

quarta-feira, 24 de janeiro de 2007

Cracker quebra proteção anticópias de disco Blu-ray

A proteção anticópias do Blu-ray foi quebrada pelo mesmo cracker que conseguiu desbloquear um filme gravado em HD DVD em dezembro passado. O cracker, conhecido pelo nome de muslix64, usou im método semelhante ao adotado na quebra da proteção do padrão liderado pela Toshiba.

O filme em Blu-ray que teve a proteção contra a pirataria violada foi uma cópia de "Senhor das Armas", estrelado por Nicholas Cage. Neste caso, ao contrário do que fez no filme gravado em HD DVD, o cracker não precisou ter acesso a um tocador de Blu-ray para decifrar a chave DRM (sigla em inglês para Administração de Direitos Digitais) do disco.

O cracker conseguiu fazer a cópia ao ler uma chave deixada na memória por um tocador de HD DVD, que permitiu a ele quebrar a encriptação do filme em Blu-ray, e gravá-lo em um arquivo MPEG 2.

 

sexta-feira, 19 de janeiro de 2007

Modelos de Políticas de Segurança

Dois sites com modelos de políticas de segurança e utilização:
 
 
 

quinta-feira, 18 de janeiro de 2007

Undercover - Não tenha seu laptop roubado.

Vejam este interessante software de proteção contra furtos de
notebooks Apple: http://orbicule.com/undercover/

segunda-feira, 15 de janeiro de 2007

Fundamental Computer Investigation Guide for Windows

A Microsoft lançou o Fundamental Computer Investigation Guide for Windows. Este guia é uma coleção de processos, ferramentas e melhores práticas, com a finalidade de fornecer um guia padronizado que necessitam conduzir investigações de computadores, baseados no Microsoft Windows, em suas empresas. Acesse

Kit de phishing do tipo "faça você mesmo" é vendido na internet

(http://idgnow.uol.com.br/seguranca/2007/01/12/idgnoticia.2007-01-12.5944222549)

Por John E. Dunn para o Computerworld*
Publicada em 12 de janeiro de 2007 às 18h03

Londres - Kit de phishing "man-in-the-middle" sendo oferecido em versão demo gratuita em um dos fóruns dedicados ao crime digital.

De acordo com a RSA, divisão de segurança da gigante de storage EMC, afirma que encontrou o kit the phishing "man-in-the-middle" sendo oferecido em versão demo gratuita em um dos fóruns dedicados ao crime digital monitorados pela companhia.

O kit estava sendo vendido com o seguinte slogan: "completamente user friendly para ajudar o criminoso sem conhecimentos técnicos". Outra vantagem do "produto" estava na capacidade dele poder atuar em qualquer portal do mundo, já que engana o usuário para que ele entregue suas informações pessoais.

Na prática, o ataque de man in the middle consiste em um criminoso virtual ficar entre a conexão do cliente e do provedor, vendo às claras as informações sendo trafegadas.

"A partir do momento em que as instituições colocaram medidas adicionais de segurança, os fraudadores passaram a procuram novas formas para enganar vítimas inocentes e roubar informações", afirma Marc Gaffan, chefe de marketing de produtos da RSA.


John E. Dunn é editor da Techworld.com, em Londres
 
 

sexta-feira, 12 de janeiro de 2007

quinta-feira, 11 de janeiro de 2007

Conheça 13 dicas para criar sua estratégia de segurança

Por Sarah D. Scalethes, para o Computerworld
Publicada em 18 de setembro de 2006 às 11h19
Atualizada em 18 de setembro de 2006 às 12h01
(http://idgnow.uol.com.br/seguranca/2006/09/18/idgnoticia.2006-09-18.8251518357)

Geórgia - Traçamos um plano com sugestões passo-a-passo para quem pretende organizar ou reorganizar com sucesso a área de segurança em TI.

O CISO (Chief Information Security Officer) da Universidade da Geórgia (EUA), Stan Gatewood, em parceria com o Computerworld, reuniu os principais passos para construir – ou mesmo reestruturar – o departamento de segurança da informação da sua empresa.

1. Identifique um executivo líder. Um executivo patrocinador precisa defender a nova estratégia do programa de segurança.

2. Selecione uma pessoa principal. O CISO ou outro líder de segurança devem gerenciar diariamente as atividades.

3. Defina ou priorize os objetivos. Tente amarrar os objetivos de negócio aos de segurança.

4. Estabeleça um mecanismo de revisão. Um processo revisto pela diretoria, por executivos de tecnologia da informação, segurança física, recursos humanos, jurídico, auditoria e pela área de segurança da informação avaliará e aprimorará as iniciativas.

5. Estime o estado corrente da segurança. Considere política, processos, sugestões, padrões, tecnologias existentes (hardware e software), treinamento e educação.

6. Estabeleça – ou restabeleça – a organização da segurança. O grupo deve ter o foco na segurança das informações, não só as limitações das tecnologias que possui.

7. Revise a posição existente e desenvolva novas de acordo com as necessidades. Isso pode incluir uma política aceitável e configuração de segurança mínima para qualquer equipamento da rede.

8. Monte times de implementação. Coloque juntos grupos com funções complementares, com funções técnicas e de negócio para orquestrar os planos as novas políticas, iniciativas, ferramentas e processos.

9. Tenha um executivo da diretoria de segurança revisando os planos. Este grupo deve considerar o orçamento, tempo de execução e prioridades.

10. Revise as possibilidades técnicas. Isto pode ser feito por um técnico de segurança que represente o escritório do CIO e do CTO, mais o pessoal de operações, serviços de produção e suporte.

11. Determine, faça a programação, execute e discute o que pode ser feito e entregue. Dê claras responsabilidades individuais e de grupo.

12. Coloque toda a equipe de trabalho no plano estratégico. Cada um do departamento de segurança deve estar apto a introduzir e explicar os objetivos do plano de segurança e detalhar como os projetos estão contribuindo para a meta da empresa.

13. Mensure resultados com métricas e estas métricas de segurança de TI devem estar baseadas em objetivos que terminem em decisões certas e melhorias de negócio.

*Sarah D. Scalethes é CISO da Universidade de Geórgia (EUA)
Copyright 2006 IDG Brasil Ltda. Todos os direitos

sexta-feira, 5 de janeiro de 2007

Google Fixes Gmail Vulnerability

Google has fixed a flaw that would have allowed websites to harvest information from Gmail contact lists, a problem that could have let spammers collect reams of new e-mail addresses.

For an attack to work, a user would have to log into a Gmail account and then visit a website that incorporates JavaScript code designed to take contact information from Gmail.

Proof-of-concept code was publicly posted. The JavaScript code used a capability that Google used to integrate addressing with other services, including its video download site and online office productivity suite.

Google appears to have fixed the problem within 30 hours of being notified, wrote Haochi Chen, a blogger who tracks the company on his blog . A Google spokeswoman in London confirmed on Tuesday morning the problem was fixed.

By Jeremy Kirk, IDG News Service (London Bureau)

Trendsecure HouseCall™ Free Scan

Não existem mais desculpas para que o usuário não verifique se o microcomputador possui vírus ou outro malware. A Trend disponibiliza a verificação online. Acesse em http://www.trendsecure.com/free_security_tools/housecall_free_scan.php

quinta-feira, 4 de janeiro de 2007

Magic Quadrant for SSL VPN, North America, 3Q06

Excelente artigo do Gartner, comparando os fornecedores de SSL VPN. Acesse em http://mediaproducts.gartner.com/reprints/microsoft/vol4/article3/article3.html

quarta-feira, 3 de janeiro de 2007

Site une oito medidores de ameaça à segurança virtual

A CERTStation lançou o Threat Level Agreggator, um agregador em temporeal dos medidores de ameaça à segurança virtual que une produtos dediferentes firmas em uma só página.

De acordo com o site The Register, são oito medidores ao todo, em um Flash atualizado a cada minuto, que inclui previsões de empresas comoSymantec, SANS, ISS, McAfee, TrendMicro, CA SECCON e F-Secure, além daprópria CERTStation, que normalmente não entram em um acordo entre si,e mostram avaliações diferenciadas da situação atual na web.

Com um clique sobre as avaliações é possível ver o endereço oficial domedidor e, assim, ter acesso às explicações de cada nível e, algumasvezes, a um sumário dos fatos que levaram a uma alta ou baixa nonível.

No site também é possível ver uma lista com vulnerabilidadesencontradas por produtos, a cada semana, além de um feed RSS com asúltimas notícias de segurança, o que o transforma em uma ferramenta muito mais interessante para aqueles que desejam estar por dentro dosúltimos assuntos de segurança.

O serviço pode ser acessado através do endereço http://www.certstation.com/

CAIS-Alerta: ORDB sai de operacao

Vejam os detalhes em http://www.rnp.br/cais/alertas/2006/cais-alr-20061219.html