Keep IT Safe!

Faça agora o download do CobiT 4.1 em Português

2010-01-28T22:19:00.001-02:00

Nova Tradução do COBIT 4.1 em Português torna mais acessível o modelo de melhores práticas de Governança em TI

Rolling Meadows, IL, USA (28 January 2010)— A nova edição em Português do framework COBIT 4.1 torna mais acessível mundialmente o conjunto de melhores práticas em governança em TI internacionalmente reconhecido. O COBIT 4.1 ajuda os profissionais de negócios e de TI a aumentar o valor de TI e reduzir os riscos relacionados.

Utilizado amplamente como uma ferramenta para atendimento à Sarbanes-Oxley e muitos outros padrões globais, o CobiT é anterior a essas regulamentações de controle que vêm sendo aplicadas em todo o mundo. O CobiT é produto de mais de 15 anos de pesquisa e cooperação entre profissionais experientes de TI e negócios. A versão do framework em Português está disponível para download gratuito através do site da associação internacional sem fins lucrativos, ISACA, no endereço:www.isaca.org/obtain_cobit.

O COBIT 4.1 é o mais atualizado modelo globalmente aceito que garante que TI esteja alinhada com os objetivos de negócios, seus recursos sejam usados de forma responsável, e os riscos gerenciados adequadamente. Representa um refinamento do CobiT 4.0 e pode ser usado para aperfeiçoar o trabalho já realizado com versões anteriores.

As atualizações do CobiT 4.1 incluem um aperfeiçoamento na mensuração de desempenho, melhorias nos objetivos de controle e melhor alinhamento dos objetivos de IT e negócios.

O CobiT ajuda as organizações a reduzir os riscos de TI, aumentar o valor obtido da TI e atender às regulamentações de controle. Por exemplo, o Banco Central do Brasil utiliza o CobiT como um guia para avaliação de bancos e instituições financeiras, o TCU(Tribunal de Contas da União) também tem como base o CobiT para seus programas de auditoria para avaliação de diversas entidades nacionais. Esses e outros exemplos de utilização por órgãos de controle e supervisão fazem desta nova versão do CobiT uma ferramenta útil a todas as organizações que necessitam manter um nível adequado de governança em TI.

"O CobiT é o único framework gerencial que trata todo o ciclo de vida de TI. O modelo apoia a TI em atingir os objetivos de negócio, garante que esteja alinhada ao negócio, e melhora a eficiência e eficácia de TI", afirma Carmen Ozores, vice-presidente do ISACA Capítulo São Paulo. "O COBIT 4.1 é baseado em um guia prático e comprovado mundialmente por profissionais que utilizam o framework para aperfeiçoar a governança em TI em suas organizações, portanto é um modelo amplamente testado e validado."

Esta tradução para o Português é resultado de uma força tarefa formada por profissionais de diversos segmentos e regiões do Brasil. Toda a comunidade de língua portuguesa está convidada a enviar seus comentários para info@isaca.org.br e contribuir para melhorias em futuras versões do COBIT em Português.

Sobre a ISACA
Com mais de 86.000 associados em mais de 160 países, a ISACA^® (www.isaca.org) é líder global no fornecimento de conhecimento, certificações, network profissional, e educação em segurança e controle de sistemas de informação (SI), governança corporativa de TI, e riscos e conformidade relacionados a TI. Fundada em 1969, a ISACA promove conferências internacionais, publica o ISACA^®Journal, e desenvolve padrões para auditoria e controle em SI. Também administra as certificações globalmente respeitadas: Certified Information Systems Auditor™ (CISA^®), Certified Information Security Manager^®(CISM^®), Certified in the Governance of Enterprise IT^® (CGEIT^®) e Certified in Risk and Information Systems Control™ (CRISC™).

A ISACA oferece o Modelo de Negócios para Segurança da Informação (BMIS, Business Model for Information Security) e o framework IT Assurance (ITAF). Também desenvolve e atualiza de forma continua os frameworks COBIT^®, Val IT™ e Risk IT, os quais auxiliam os profissionais de TI e lideranças empresariais a cumprir suas responsabilidades em governança em TI e gerar valor ao negócio.

Contatos:

ISACA Sao Paulo Chapter:
Carmen Ozores, +55.11.5087.8822, info@isaca.org.br

ISACA International Headquarters:
Kristen Kessinger, +1.847.660.5512, news@isaca.org

IT Web - Os 25 executivos de TI mais influentes de 2009

2009-12-18T13:37:00.001-02:00

PARA IMPRESSÃO

Tamanho
Da Fonte

Os 25 executivos de TI mais influentes de 2009

por [Channelweb]

Conheça os profissionais que mudaram o cenário de tecnologia e entenda por quê

A lista da CRN "25 executivos mais influentes de 2009" lista profissionais que mudaram o cenário de TI com expansão agressiva das parcerias com canais, aquisições gigantescas, iniciativas inovadoras de cloud computing e vendas fortes mesmo em período econômico ruim. Descubra quem conseguiu entra na lista por seus próprios méritos em 2009.

1. Mark Hurd, presidente, CEO e Presidente da Hewlett-Packard

Você não precisa trabalhar no setor de tecnologia para gostar do CEO da HP, Mark Hurd. Ele é o que a TI tem de mais próximo a um Warren Buffet. Com ele, tudo se resume a vendas, vendas, vendas. Nenhum CEO desta área tem um entendimento melhor sobre a arte de vender.

O que ele fez na HP? Apenas tirou a IBM do topo da pirâmide de empresas de tecnologia e serviços. E agora ele está mirando diretamente na área da Cisco com a linha ProCurve e planeja a aquisição da 3Com por 2,7 bilhões de dólares. Claro que ajuda Hurd o fato dele poder contar com o maior portfólio de produtos e serviços no mundo.

Enquanto outros fornecedores puxaram o tapete dos seus parceiros neste ano, a HP investiu mais para aumentar as vendas, incluindo um esforço focado no SMB. "[O co-fundador da companhia David] Packard costumava dizer: "Se construirmos bons produtos, os clientes irão encontrá-los"", disse Hurd em um evento. "Nós realmente queremos vendê-los também". Vender mais produtos com os parceiros de canal: soa como uma grande estratégia.

2. John Chambers, Chairman e CEO da Cisco Systems

Ninguém tem mais visão com "V" maiúsculo do que John Chambers da Cisco. Ele viu e navegou com a gigante das redes em cada onda desse setor louco por quase duas décadas. Agora ele está buscando atacar a HP com o que ele chama de Unified Computing System (um dispositivo de rede com um servidor blade integrado). Isso não é tudo. Ele pretende fazer da Cisco um dos maiores fornecedores na nuvem, com um conjunto amplo de software agregado pelas várias aquisições. E ele é um grande crente no canal. Como você apostar contra um cara que tem um histórico destes?

3. Larry Ellison, CEO da Oracle

Há uma razão para Larry Ellison ser apaixonado pela cultura japonesa. Ele é o samurai máximo. Ele sobreviveu como fundador e CEO da Oracle por 32 anos e venceu inúmeros concorrentes. Ele gosta de pagar seus vendedores bem e dar-lhes o espaço que precisam para ter sucesso. Ele não pode não ser tão querido pelos canais como são Hurd ou Chambers, mas ele entende de vendas e dos canais. A aquisição da Sun, seu último grande movimento, é vencedor. Brigue com Larry e você vai perder a cabeça.

4. Ben Bernanke, presidente do Federal Reserve

Tudo bem, sabemos que há mais do que alguns críticos agressivos contra Ben Bernanke. Mas vamos pensar com calma. A crise econômica no mundo inteiro poderia ter sido muito pior sem a mão firme de Bernanke na chefia do Banco Central dos Estados Unidos (Federal Reserve) para tirar a economia da recessão. E, sim, estamos fora da recessão. Quando as empresas começarem a encarar riscos calculados e começarem a contratar novamente, será possível ver um sólido crescimento econômico.

5. Enrique Salem, presidente e CEO da Symantec

Nenhuma outra empresa pode igualar os ganhos feitos pela Symantec neste ano em vendas e operações. Isso se deve em grande parte ao seu presidente e CEO Enrique Salem. Se o chairman da empresa John W. Thompson teve a ousadia de construir uma Symantec maior, então Salem teve a capacidade de fazer tudo crescer. Ele é o executivo certo para o momento certo. Com apenas oito meses como CEO, Salem é capaz de levar a Symantec para voos ainda maiores em 2010.

6. Steve Ballmer, CEO da Microsoft

Steve Ballmer, da Microsoft, teve um desempenho admirável naquele que é, na nossa opinião, o trabalho mais difícil em tecnologia. Ballmer andou no fio da navalha para manter saudáveis as receitas do Microsoft Windows e Office, ao mesmo tempo em que empurra a Microsoft para a nuvem com produtos como o Windows Azure e Microsoft Office Web Apps. Enquanto isso, ele manteve o forte ritmo no crescente negócio de virtualização da empresa com o Hyper-V e aumentou o conflito com o Google com Bing. Enfim, o que nós amamos sobre Ballmer é que ele ainda é um maluco após todos estes anos. O que esperando mesmo da Microsoft: a energia de Steve Ballmer.

7. Rob McKernan, Senior Vice President e Presidente América do Norte, APC Schneider Electric

Quando se trata de energia e refrigeração, não há ninguém que tenha mais energia e seja mais frio do que o presidente da APC América do Norte Rob McKernan. Ele está na vanguarda ao oferecer aos canais todas as ferramentas que precisam para ter os custos de energia e refrigeração do datacenter sob controle, o que não é pouca coisa numa época em que os clientes estão fazendo a reestruturação dos seus datacenters em tempo recorde. Experiência conta nesse setor e ao ver os 16 anos de McKernan na APC chega-se a conclusão de que ele gerou mais dinheiro para os canais em energia e resfriamento do que qualquer outro executivo no setor.

8. Sam Palmisano, presidente e CEO da IBM

Você não pode discutir com o sucesso. É difícil encontrar um executivo que conseguiu um retorno maior sobre o investimento para os seus acionistas neste ano difícil. As ações da IBM começaram o ano em 86,04 dólares e chegaram a 120 dólares em novembro. Ele é o cérebro que fez da IBM uma potência serviços. E a sua aposta SmarterPlanet está gerando grandes frutos. E mais do que isso, ele tem grande aprovação dos canais por ter atualizado a política de canais da IBM. Ele tem uma das melhores mentes do negócio. Nós só queríamos que ele tivesse mais contato com os canais.

9. Paul Maritz, Presidente e CEO da VMware

Em apenas 16 meses no cargo, ele colocou VMware literalmente nas nuvens. A VMware é uma empresa mais forte graças a sua visão para fazer da empresa uma potência de computação em nuvem. Além disso, ele conseguiu reunir a gigante de storage EMC (controladora da VMWare) e a gigante de rede Cisco na parceria com a VMware que pode mudar o cenário da tecnologia. Ele entende de TI e de negócios. Isso significa grandes problemas para seu ex-empregador, a Microsoft.

10. Eugene Kaspersky, CEO da Kaspersky Lab

Há um motivo para chamá-lo de "Kasperskonality". Este génio russo de antivírus reescreveu as regras do jogo da segurança de computadores e criou uma superpotência no setor com a abordagem agressiva no mercado. A estratégia de mãos á obra de Kaspersky se traduziu em inúmeros prêmios para os produtos da empresa. A paixão e motivação de Kaspersky fizeram a empresa manter a sua vantagem técnica mesmo após ter se tornado uma das maiores companhias privadas de segurança no mundo.

11. Kevin Murai, Presidente e CEO da Synnex

Murai usou os seus quase 20 anos de experiência na Ingram Micro para colocar a Synnex em destaque. Isso significa boas notícias para a Synnex e más para a Ingram Micro. Murai alavancou o modelo de baixo custo e a força de vendas da Synnex em busca de mais espaço em um mercado traiçoeiro. Ele também está empurrando a Synnex para áreas que possuem margem mais elevada como serviços gerenciados de impressão e de saúde.

12. Paul Otellini, CEO da Intel

Você tem que tirar o chapéu para o CEO da Intel, Paul Otellini. Ele conseguiu controlar a maior fabricante mundial de chips na maior desaceleração do mercado de PC e servidores. Como ele fez isso? Buscando setores que tem recursos como o de netbooks, com fantástico processador Intel Atom, e também ao permitir uma revolução nas aplicações com a criação do novo programa Atom Developer. Não há nenhum outro CEO que tem tanto o conhecimento de tecnologia como a visão de negócios de Otellini. E ele entende o canal.

13. Greg Spierkel, CEO da Ingram Micro

Muitos distribuidores têm falado sobre os serviços, mas nenhum distribuidor tem ajudado mais os seus parceiros nessa trajetória do que a Ingram Micro. Isto é, em grande parte, devido à visão século 21 de distribuição do CEO Greg Spierkel. Além da visão de futuro, a Ingram também está ajudando seus clientes a entrar na nuvem.

14. Michael e Dan Schwab, co-CEOs da D&H Distributing

Nós gostamos de pensar nestes dois como a dupla Bebeto e Romário do setor de distribuição. Tanto Dan (esquerda) quanto Michael merecem ser elogiados como se tivessem vencido a Copa do Mundo após melhorar o desempenho em campo da D&H, investindo mais nos seus funcionários e parceiros. Os dois irmãos aumentaram em 401 mil dólares os investimentos para os empregados, deram descontos para os parceiros atuarem no setor SMB, prorrogaram o crédito para VARs e até lançaram um programa para ajudar os VARs aproveitarem a oportunidade de estímulo federal nos EUA. A D&H é líder indiscutível nos pequenos e médios provedores de serviços. Aguarde mais gols dessa dupla de ataque da distribuição em 2010.

15. Tally Liu, presidente e CEO da Newegg

Tally Liu é o tipo de executivo que torna esta indústria tão interessante. Poucos fizeram mais para os provedores de soluções e seus clientes. A Newegg está pronta para a nova era de distribuição em que serviços são tudo. Liu, que era contador antes de entrar na Newegg há três anos, tem sido a mão firme que a empresa precisou para ter os documentos necessários para a sua oferta pública de ações ser aceita pela Securities and Exchange Commission (Órgão dos EUA equivalente à Comissão de Valores Mobiliários no Brasil). Ao mesmo tempo, ele manteve o motor da Newegg a mil. Nos primeiros seis meses deste ano, o lucro Newegg subiu 25% para 11,9 milhões de dólares, resultado de um aumento de 7% nas vendas que totalizaram 1,1 bilhão de dólares.

16. Rory Read, presidente e COO da Lenovo

Há uma razão que explica o motivo da Lenovo ter promovido Rory Read para o posto de COO em fevereiro passado, depois de um quarto trimestre terrível. Read é, claramente, um dos melhores gestores de operações disponíveis no mercado. Após assumir controle sobre as operações da Lenovo em fevereiro, ele conseguiu colaborar para que o prejuízo de 97 milhões de dólares no quarto trimestre se tornasse um lucro operacional de 43 milhões de dólares no segundo trimestre fiscal. Ele é o Sr. Conserta tudo. Antes de vir para a Lenovo, ele teve uma bem sucedida carreira de 23 anos na IBM, na qual era pressionado para entregar resultados em situações difíceis. E para isso acontecer, ele sabe que precisa dar aos parceiros o que eles precisam para fazer a venda.

17. Ursula Burns, CEO da Xerox

Não demorou para que a nova CEO da Xerox, Ursula Burns, deixasse a sua marca na empresa. Burns assumiu o comando da empresa famosa pela sua máquina de copiar e impressoras em julho para se tornar a primeira mulher afro-americana a dirigir uma empresa listada na Fortune 500. E, apenas dois meses depois de ter assumido a empresa, ela fechou uma aquisição gigantesca de 6,4 bilhões de dólares pela empresa de BPO Affiliated Computer Services. O negócio mudou o perfil da Xerox; de uma empresa de produtos para um gigante dos serviços. Burns vê o futuro em serviços e quer a Xerox como uma líder do mercado, não seguidor. Como resultado do acordo, a receita de serviços da Xerox vai quase triplicar de 3,5 bilhões de dólares em 2008 para 10 bilhões de dólares em 2010. O grande desafio: garantir que os parceiros da empresa continuem a prosperar. E isso vai demandar muita atenção para evitar conflito de interesses entre os canais e também um discurso afinado nas vendas.

18. Rance Poehler, Presidente da Panasonic Computer Solutions

Conflito com os canais não é um problema para os parceiros Toughbook da Panasonic. Isso porque Rance Poehler, presidente da Panasonic Computer Solutions, defende apaixonadamente o modelo de atuação 100% indireto. As empresas que atuam nesse modelo são poucas, mas Poehler nunca desistiu da estratégia e conseguiu lucros robustos e boas vendas para seus parceiros. Além do mais, Panasonic aumentou a aposta com o H1 Toughbook, produto inovador para o mercado de saúde. Como o próprio Toughbook, a Panasonic está provando que é confiável quando se trata de apoiar os parceiros.

19. Eva Chen, co-fundadora e CEO da Trend Micro

Por 21 anos, a fundadora e CEO da Trend Micro Eva Chen tem mantido a companhia no topo em segurança com um portfólio que vai de consumidores para SMB até as maiores organizações do mundo. A genialidade de Chen está na sua capacidade de levar a tecnologia ao limite para conseguir estar um passo à frente das ameaças. O mais recente foco de Chen: um avanço sem controles para garantir que a Trend Micro seja a líder na proteção da nuvem. Além do aspecto tecnológico, nós mencionamos que ela fez todos os movimentos certos para os canais?

20. Michael Dell, fundador, presidente e CEO da Dell

As coisas mudam. Michael Dell costumava ser considerado alguém contra os canais, mas hoje é fã do modelo. E veja só: Em uma tentativa de compensar a queda que a empresa sofreu no mercado de hardware, a Dell comprou um provedor de soluções. Em um dos maiores negócios do ano, a Dell está pagando 3,9 bilhões de dólares pela Perot Systems, que vai se tornar parte da unidade de serviços da Dell. Mesmo conhecido como o pioneiro do modelo de vendas diretas, o executivo está fazendo o seu melhor para garantir que sua empresa seja conhecida como uma potência do canal.

21. Joe Tucci, CEO da EMC

Joe Tucci é o rei da aquisição. Ninguém em TI tem feito um trabalho melhor na hora de escolher os melhores e mais promissores produtos de tecnologia para combiná-los em uma solução que combine armazenamento, virtualização e computação de nuvem. As últimas peças que Tucci adicionou ao seu quebra-cabeças foram a Data Domain, uma fabricante de softwares de deduplicação que a EMC enfrentou um leilão com a NetApp para comprar, e a FastScale Technology, um fornecedor de software com produtos para aumentar o desempenho e a escalabilidade da infraestruturas de cloud computing.

22. William McCracken, presidente executivo provisório da CA

William McCracken, um veterano de 36 anos da IBM com uma impressionante relação com os canais, tem trabalhado nos bastidores desde que entrou no conselho da empresa para colocar a CA de volta como uma das principais empresas de software. Agora, ele assumiu um papel de mãos na massa depois da aposentadoria do CEO John Swainson neste ano. Não se surpreenda se McCracken ficar no posto por mais tempo, tendo em vista que o board disse que ele vai manter o posto de interino até que um sucessor seja nomeado "a critério do conselho." Parece que o conselho de diretores está aproveitando as habilidades gerenciais McCracken para levar a CA à frente. Isso significa boas notícias para os parceiros da empresa que estejam procurando na CA uma coerência na política para os canais que McCracken estabeleceu na IBM.

23. Steve Jobs, CEO da Apple

A palavra "gênio" é usada sem critério nesses tempos. Em nossa opinião, só há um gênio no ramo da tecnologia e ele é Steve Jobs, da Apple. Ele sabe o que os usuários querem e cria produtos que atendem as necessidades deles - e fez isso mais de uma vez. O que você pode reclamar da força motriz que gerou o Macintosh, o iPod e o iPhone? Mesmo as lojas da Apple tem o seu toque inimitável. Nós apenas gostaríamos que ele tratasse o canal com a mesma paixão que ele tem por todo e qualquer produto Apple.

24. Dave DeWalt, presidente e CEO da McAfee

Nenhum outro CEO acrescentou mais talento oriundo dos canais para a sua equipe do que Dave DeWalt. O veterano da indústria, que construiu um grande negócio em software quando estava na EMC, está determinado a consertar os problemas de canal da McAfee. Para a alegria dos parceiros, DeWalt nomeou o veterano com 10 anos de Cisco Alex Thurber como o novo responsável por canais no mundo da McAfee. Antes disso, DeWalt promoveu Fernando Quintero da América Latina para cuidar dos canais na região das Américas. DeWalt está gerando um renascimento dos canais na McAfee. Isso vai proporcionar aos parceiros da McAfee grandes vendas e lucros.

25. Steve Luczo, Chairman, Presidente e CEO da Seagate

Assumir a maior fabricante de unidade de disco do mundo no meio da maior crise desde a Grande Depressão não é o que podemos chamar de diversão. Mas Luczo, que assumiu como CEO e presidente em janeiro de 2009, parece que está gostando. Ele conseguiu trazer a Seagate de volta para a liderança em discos. Em um ano, Luczo conseguiu 179 milhões de dólares de margem de lucro em vendas de 2,66 bilhões de dólares no primeiro trimestre fiscal da companhia, com impressionante 25% de margem bruta. Pode esperar que Luczo vai modificar a estratégia da Seagate nos canais em 2010 ao mesmo tempo em que testa os limites da tecnologia ao investir em um disco híbrido que combina o modelo tradicional e estado-sólido com a funcionalidade "Instant On".

Imprimir

http://www.linkedin.com/in/aureomonteiro
------------------------------------------------------------------------------------------------------------------------
The information in the email is confidential, and intended solely for the addressee. Access to this email by anyone else is unauthorized. Any copying or further distribution beyond the original recipient is not intended, and may be unlawful. The opinions enclosed are those of the sender, and do not necessarily reflect those of any employer and/or partner.

COMPUTERWORLD - Cobit 4.1 ganha versão em português

2009-12-18T11:45:00.000-02:00

http://www.computerworld.com.br

Carreira > Formação

Cobit 4.1 ganha versão em português

(http://computerworld.uol.com.br/carreira/2009/12/11/cobit-4-01-ganha-versao-em-portugues-1)

Por Edileuza Soares, da Computerworld

Publicada em 11 de dezembro de 2009 - 16h00

Atualizada em 14 de dezembro de 2009 - 11h25

Guia de boas práticas para alinhamento da TI aos negócios foi traduzido pela Isaca e será apresentado ao mercado na próxima semana

Os profissionais de tecnologia da informação e gestores em geral envolvidos com projetos de segurança e governança em TI passam a contar com uma versão em português dos princípios de Control Objectives for Information and related Technology (Cobit) 4.1. O modelo de boas práticas para alinhamento da TI aos negócios foi traduzido pela Information Systems Audit and Control Association (Isaca) e será apresentado ao mercado no próximo dia 15/12.

O Cobit é um guia de princípios para orientar gestores de tecnologia da informação e que foi criado pela Isaca, associação internacional que reúne profissionais que atuam nas áreas de auditoria de sistemas, segurança da informação e, principalmente, de governança de TI. O objetivo do Cobit é auxiliar na adoção das boas práticas de mercado como ITIL e normas ISO para que a TI possa responder às necessidades dos negócios com transparência.

O framework, como é chamado, traz uma série de recursos que podem ser adotados como modelo de referência, como sistema de controles, mapas de auditorias, ferramentas para a implementação e um passo-a-passo de técnicas de gerenciamento.

A versão em inglês 4.1 do Cobit foi lançada no mercado internacional há pouco mais de dois anos, mas segundo o vice-presidente do capítulo de São Paulo da Isaca, Ricardo Castro, faltava uma documentação localizada no Brasil para para facilitar a vida dos que têm dificuldade com o idioma inglês. Para fazer essa tropicalização, a entidade reuniu um grupo de profissionais experientes em governança de TI.

Carmem Ozores, diretora de educação da Isaca, conta que a tradução foi realizada não apenas por membros da entidade, mas também por profissionais de consultorias de mercado e que usam intensamente o Cobit no atendimento de seus clientes.

A executiva observa que muitas organizações brasileiras públicas e privadas estão sendo pressionadas a usar Cobit para prática da governança em TI e atendimento das exigências de mercado. Ela cita o exemplo o Banco Central e o Tribunal de Contas da União (TCU) que adotaram esse modelo em seus programas de auditoria. "Elas precisam de uma grande base de conhecimento e agora podem utilizar a versão em português", afirma.

A Isaca fará o pré-lançamento do Cobit 4.1 em português no próximo dia 15/12, quando o material ficará disponível gratuitamente para download pelo site da entidade. A associação pretende também liberar uma versão da tradução impressa, mas ainda não definiu data de entrega. Há planos ainda de liberação da versão para profissionais que estão em outros países de língua portuguesa, como é o caso de Portugal.

Material para nova certificação
Além de ajudar os profissionais no dia-a-dia, a tradução de Cobit 4.1 pode ser usada como material de consulta pelos pretendem se candidatar à nova certificação da Isaca, criada atestar o conhecimento em governança de TI, que é o Certification in the Governance of Enterprise IT (CGEIT).

O selo CGEIT foi lançado no mercado global no começo do ano passado e, segundo a Isaca, já credenciou cerca de 200 profissionais ao redor do mundo. Entre estes 40 são brasileiros. No Brasil, a maior procura pelo selo é de talentos dos segmentos financeiros e de governo.

Segundo Castro, podem concorrer ao título de CGEIT somente os profissionais que têm bagagem em governança de TI. É preciso ter no mínimo cinco anos de experiência comprovada na área. Entre os requisitos, estão também a exigência de domínio em Cobit, além de conhecimento em outros padrões do mercado.

Como ainda não há curso preparatório para obter a nova certificação, a Isaca recomenda que os candidatos usem sua literatura. Uma delas é a consulta à tradução do Cobit 4.1 pelos que vão fazer o exame que avalia o conhecimento em governança em TI, estratégias de negócios para sistemas informatizados, domínio dos padrões para monitoramento de riscos e capacidade para fazer investimentos certos em sistemas de informação, entre outras áreas.

Além do credencial CGEIT, a Isaca emite outras certificações internacionais conhecidas do mercado, como é o caso dos selos Certified Information Systems Auditor (CISA) para auditores e Certified Information Security Manager (CISM) para gestores de segurança da informação.

HSBC confirms data theft by former employee - Digital Lifestyle - Macworld UK

2009-12-11T10:24:00.001-02:00

Fri, 11 Dec 2009 HSBC confirms data theft by former employee

Employee gave the data to French authorities who are investigating tax evasion

Jeremy Kirk

HSBC confirmed on Friday that a former employee stole client data but said the number of records taken was less than 10.

The theft highlights ongoing problems that companies often have with their own employees, who may steal sensitive data for later profit or revenge before their employment is terminated.

The data has ended up in the hands of French authorities, which have been investigating up to 3,000 people thought to be avoiding taxes, according to French media reports.

The records were stolen around the end of 2006 or in early 2007 by an employee who worked in the IT department, according to an HSBC spokesman.

HSBC filed a criminal complaint in 2008, and the person was questioned by Swiss prosecutors and has since been charged in the theft, the spokesman said.

The data came from HSBC Private Bank, which offers consulting and banking services to wealthy clients. All of the affected customers have been notified, the spokesman said. Their collective undeclared wealth was estimated at €3 billion ($4.4 billion), according to a report in The Connexion, an English-language newspaper in France.

French Budget Minister Eric Woerth said earlier this week the employee gave the information to the French government, where it was verified to see if it was reliable, according to The Connexion. Woerth said the government did not pay for the data.

http://www.macworld.co.uk/digitallifestyle/news/index.cfm?RSS&NewsID=28021

IDG Now! - 'Web Escura': 80% dos endereços escapam dos filtros de URL

2009-12-10T20:12:00.001-02:00

http://www.idgnow.com.br

Segurança > Ataques e Ameaças

'Web Escura': 80% dos endereços escapam dos filtros de URL

(http://idgnow.uol.com.br/seguranca/2009/12/09/web-escura-80-dos-enderecos-escapam-dos-filtros-de-url)

Por Daniela Braun, para o IDG Now!

Publicada em 09 de dezembro de 2009 às 17h26

Atualizada em 10 de dezembro de 2009 às 08h51

Novos domínios internacionais em árabe e mandarim elevarão ameaças nas páginas da "Dark Web", não categorizadas por filtros, alerta Cisco.

A popularidade das redes sociais tem seu lado negro, ou melhor, a "Dark Web", nome dado a uma área dinâmica da web que contém bilhões de páginas, muito usadas por blogs e redes sociais, que não são categorizadas por filtros de bancos de dados tradicionais de URLs (endereços web).

De acordo com o relatório anual de segurança da Cisco, divulgado esta semana, mais de 80% da web pode ser considerada "misteriosa" e a maioria das ameaças de softwares maliciosos trafegam do lado negro da rede.

Leia também:
> Brasil torna-se líder no envio de spam
> Os domínios mais perigosos da web
> Evite golpes online no Natal

A aprovação de novos domínios web internacionais, que usam a escrita de idiomas locais como o mandarim e árabe, em 2010, pode elevar ameaças que exploram endereços online (URLs) na "Dark Web" ("Web Escura"), alerta a norte-americana Cisco em seu relatório anual de segurança.

"Funcionários que acessam sites escondidos na Dark Web (intencionalmente ou não) podem levantar problemas jurídicos, de conformidade e ainda queda de produtividade nas empresas", alerta a empresa.

A "Web Escura" acompanha o ritmo de crescimento da web, que ganha 32 milhões de novos domínios por ano. "Novas tecnologias de identificação de ameaças e conteúdos censuráveis na "Dark Web" estão ajudando as empresas a bloquearem web sites que antes não seriam identificados", afirma Ambika Gadre, diretor de marketing de segurança da Cisco, no relatório da empresa.

O caminho para desvendar as URLs escuras, segundo o especialista, é combinar tecnologias heurísticas capazes de prever o risco de qualquer software malicioso hospedado em um servidor, a softwares antivírus e anti-malware. Outra dica importante é atualizar bancos de dados de URLs com análises de conteúdos em tempo real para identificar sites que não são categorizados.

Conferência em Copenhague conta com ajuda de Macs para segurança local

2009-12-08T09:36:00.001-02:00

Conferência em Copenhague conta com ajuda de Macs para segurança local
escrito por Hagge em 8 de dezembro de 2009
Enquanto os líderes mundiaisdiscutem em Copenhage os rumos a serem tomados para evitar um desastre climático no planeta, a central de comando do departamento de polícia dinamarquês é toda controlada por Macs Pro e Macs mini, que garantem a segurança da cidade e ajudam a controlar e organizar todo o ônus que acompanha um evento deste tamanho, como protestos e manifestações.
O Departamento de Polícia da Dinamarca já usava Macs com presteza desde 1996 rodando o NeXTStep, sistema criado pela empresa de Steve Jobs que veio a evoluir para tornar-se o atual Mac OS X, mas viu-se obrigado a fazer o upgrade porque algumas peças essenciais começaram a ficar escassas no mercado, segundo reporta o site IT Pro.
Após uma extensa pesquisa de quase três anos nas principais capitais européias, o inspetor e líder do projeto Karsten Højgaard acabou voltando de mãos vazias. Sem uma boa alternativa ao sistema atual, a resposta foi procurar o desenvolvedor da solução anterior, que sugeriu a criação de um sistema personalizado usando Macs atuais.
O resultado foi um sucesso: 73 Macs mini e 24 Macs Pro gerenciam de 800 a 1.200 chamadas de emergência de todo a cidade de 1,2 milhões de habitantes, operada por seis a oito funcionários em 14 estações de trabalho equipadas com enormes monitores. "As soluções das outras cidades, inclusive no Reino Unido, eram muito parecidas e tinham problemas com a velocidade e o modo de operação, que necessitava de 30 a 50 pessoas para operar o mesmo número de chamadas", comenta Højgaard.
Segundo o inspetor, os sistemas baseados em Windows não permitiam abrir múltiplas chamadas ao mesmo tempo e eram lerdos para processamento de dados, obrigando os policiais a usar lápis e papel, ao contrário dos Macs, que conseguem lidar com mais de 40 chamadas sem nem sequer engasgar, e completa: "Não encontramos nada parecido no mercado."
Além da sala de operações principal o departamento conta ainda com mais três andares repletos de Macs, um para o CPD (Centro de Processamento de Dados), outro para operações grandes como o evento dessa semana e um terceiro para operaçoes militárias, ambulâncias e emergências.
Ao perguntar se o custo total foi muito grande por usar Macs ao inv;es de PCs, Højgaard diz que "o engraçado é que no final acabou saindo pelo mesmo valor". O próximo passo do departamento é equipar o policiamento com tablets e equipamentos móveis conectados ao servidor central.

Fonte: Mac+ (www.macmais.com.br)

Evento sobre segurança na internet - FIESP

2009-11-26T19:19:00.002-02:00

Evento: A Internet e os paradoxos do controle da segurança

Até que ponto podemos controlar o acesso ao conteúdo da rede? O que o governo e as empresas estão fazendo para torná-la mais segura e fomentar o crescimento do comércio eletrônico e a segurança do usuário?
Área: Eventos
Local de realização:
FIESP - Auditório do 4° andar

Data do evento:
30/11/2009

Horário do evento:
14:00 às 18:00

Programa: 14:00 - Abertura Institucional
Cassio Vecchiatti
Diretor do DESEG

14:10 - Apresentação dos painéis
João Rufino
Chefe da Assessoria de TI do Departamento de Engenharia e Construção do Exercito Brasileiro

Painel 1: Os aspectos legais e as perspectivas de melhora na legislação em prol do combate à criminalidade na internet

14:30 - Os aspectos positivos e negativos da legislação atual no controle da criminalidade na internet
Renato Opice Blum
Especialista em Direito Eletrônico e Diretor da Opice Blum Advogados e Associados

15:00 - O papel da Polícia Civil e os entraves da legislação no combate aos crimes eletrônicos cometidos contra os usuários e às empresas
Dr. José Mariano de Araújo Filho
Delegado da Delegacia de Crimes Eletrônicos da 4ª Delegacia de Investigações Gerais / Diretoria Estadual de Investigações Criminais (DIG/DEIC)

2. Os sistemas computacionais e as responsabilidades das empresas de software na segurança do usuário final

15:30 - Os Avanços dos sistemas operacionais e as medidas de contenção de riscos aos usuários
Andrew Cushman
Diretor de resposta a incidentes em segurança de Computadores da Microsoft

16:00 - O futuro dos antivírus. Avanços no combate aos ataques maliciosos
Otto Stoeterau
Gerente de vendas da Symantec para mercado de OEM/xSP na América Latina - Unidade de Varejo

16:15 - COFFEE BREAK

3. O Varejo migrou para a internet - Como está a confiança da população em informar os seus dados pessoais ao fazer as compras pela internet.

16:45 - O comércio eletrônico no Brasil e os cuidados com a segurança
Manuel Matos
Presidente Camara-E-Net

4. Os usuários finais - Principais reféns da internet, ainda carente de segurança.

17:15 - A informação e o discernimento do internauta na hora de navegar na internet fazem a diferença
Djalma Andrade
Gerente de estratégia de Plataformas da Microsoft e Coordenador do programa Navegue Protegido.

Para cadastrar-se acesse - http://tinyurl.com/y8e8fdy

Privacy Rights Clearinghouse

2009-11-26T18:51:00.001-02:00

Recommended site: http://www.privacyrights.org/.

And what about privacy?

2009-11-26T18:47:00.001-02:00

Big Brother is watching

Companies compile tons of personal information on you. Here's what they have, how they use it, and why you should know.

See http://tinyurl.com/yaxtm3r

Renew your 2010 ISACA Membership online – easily & securely

2009-11-26T14:40:00.001-02:00

ISACA is pleased to announce that online renewals are now available for the upcoming year – 2010!

Members requested that renewals open earlier than normal to take advantage of available existing corporate funds.

2010 promises to be a very exciting year with the debut of a completely updated and dynamic ISACA.org web site where you can strengthen your professional knowledge and connections.

Get a jump on 2010 and ensure your member benefits continue uninterrupted through 31 December 2010 – Renew today! (Payment may be submitted now while any CPE reporting requirements can be met over the coming months. Please note, your certification is not renewed until payment is received and the required number of CPE hours is reported, if any.)

CGEIT maintenance fees will not be payable online until 19 October 2009, however you can remit all other fees now and return later to process your CGEIT renewal.

To renew online – simply and securely, please login to www.isaca.org with your personalized login credentials. This will place you within "My ISACA" where a link to "My Renewals" is provided in the left-hand navigation menu. You will also have the opportunity to renew your certification during this process. For login assistance, please visit www.isaca.org/login.

Thank you.

CSI 2009

2009-11-25T13:47:00.000-02:00

CSI's (Computer Security Institute) 14th annual security survey will be published next week.

2009-11-20T13:54:00.001-02:00

Slashdot - http://tinyurl.com/yzg6mcy

ENISA Risk Assessment For Cloud Services

2009-11-20T13:30:00.000-02:00

ENISA (European Network and Information Security Agency) published a report with guidance about risk assessment to Cloud Computing - http://tinyurl.com/yzbvvzu

Cloud Computing

2009-11-18T13:48:00.001-02:00

Recomendo a leitura do White Paper "Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives" do ISACA (http://tinyurl.com/ykdwmjp).

Commentary: Experts in denial about Mac security? Endpoint Security Vulnerabilities & Exploits News SC Magazine Australia/NZ

2009-11-13T17:21:00.000-02:00

Commentary: Experts in denial about Mac security? Endpoint Security Vulnerabilities & Exploits News SC Magazine Australia/NZ

Securing data in motion vs. data at rest? It’s the wrong question! Corporate Data Breaches & Exposures Features SC Magazine Australia/NZ

2009-11-13T17:20:00.000-02:00

Securing data in motion vs. data at rest? It’s the wrong question! Corporate Data Breaches & Exposures Features SC Magazine Australia/NZ

Denúncia de pedofilia agora pode ser feita pela internet

2009-11-13T00:22:00.001-02:00

Saiba os detalhes em http://nightangel.dpf.gov.br/.

Nova versão do TrueCrypt disponível

2009-10-21T16:13:00.001-02:00

Foi lançada a versão 6.3 do TrueCrypt, o software de critptografia gratuito e multi-plataforma (Windows, Linux e Mac OS X).

Agora, ele está totalmente compatível com o Snow Leopard.

Para quem não conhece, falamos dele no artigo de segurança na Mac+ 37 (www.macmais.com.br).

O download pode ser feito em: http://www.truecrypt.org/downloads

Oportunidade - SAP FI-Ativo Fixo - Curitiba, PR

2009-10-21T12:11:00.001-02:00

-----------------------------

SAP FI-Ativo Fixo - Curitiba, PR
Empresa multinacional de grande porte
Sólidos conhecimentos em SAP FI-Ativo Fixo, com experiência mínima de dois anos no submódulo FI-AA e preferencialmente com Academia SAP. Nível intermediário em depuração ABAP. Inglês fluente.

-----------------------------

Os interessados deverão cadastrar o currículo no site http://www.murayamamaciel.com/.

Análise da falha no servidor da Vivo

2009-10-07T11:28:00.000-03:00

Um pouco atrasado, mas segue uma excelente análise da falha no
servidor da Vivo, ocorrida em 08/09/2009:

http://www.linuxnewmedia.com.br/blogs/seguranca/analise_vivo/

COMPUTERWORLD: Senhas de contas do Hotmail vazam na web

2009-10-05T17:42:00.001-03:00

COMPUTERWORLD
http://www.computerworld.com.br

Senhas de contas do Hotmail vazam na web
Mais de 10 mil contas do serviço de e-mail da Microsoft foram publicados no site pastebin.com.
Por Computerworld/EUA

Leia a matéria completa em: http://computerworld.uol.com.br/seguranca/2009/10/05/senhas-de-contas-do-hotmail-vazam-na-web

Veja esta e outras notícias relevantes no COMPUTERWORLD:
http://www.computerworld.com.br

---------------------------------
Copyright 2009 Now!Digital Business Ltda. Todos os direitos reservados.
A reprodução total ou parcial de qualquer meio ou forma sem expressa autorização por escrito do Now!Digital Business Ltda. é proibida.
COMPUTERWORLD é uma propriedade do International Data Group, Inc., licenciado pelo Now!Digital Business Ltda.

COMPUTERWORLD: VMware publica guia de segurança para virtualização

2009-10-05T17:40:00.005-03:00

COMPUTERWORLD
http://www.computerworld.com.br

VMware publica guia de segurança para virtualização
Documento procura mostrar caminhos para as empresas manterem a segurança e conformidade com os padrões da indústria.
Por Rodrigo Afonso, da COMPUTERWORLD

Leia a matéria completa em: http://computerworld.uol.com.br/seguranca/2009/09/02/vmware-publica-guia-de-seguranca-para-virtualizacao

Veja esta e outras notícias relevantes no COMPUTERWORLD:
http://www.computerworld.com.br

---------------------------------
Copyright 2009 Now!Digital Business Ltda. Todos os direitos reservados.
A reprodução total ou parcial de qualquer meio ou forma sem expressa autorização por escrito do Now!Digital Business Ltda. é proibida.
COMPUTERWORLD é uma propriedade do International Data Group, Inc., licenciado pelo Now!Digital Business Ltda.

COMPUTERWORLD: 77% dos sites com código malicioso são legítimos

2009-10-05T17:40:00.004-03:00

COMPUTERWORLD
http://www.computerworld.com.br

77% dos sites com código malicioso são legítimos
Em 2008, número de páginas com links questionáveis teve crescimento de 671%. Sites com conteúdo de usuários estão entre os mais arriscados.
Por Rodrigo Afonso, da COMPUTERWORLD

Leia a matéria completa em: http://computerworld.uol.com.br/seguranca/2009/09/25/77-dos-sites-com-codigo-malicioso-sao-legitimos

Veja esta e outras notícias relevantes no COMPUTERWORLD:
http://www.computerworld.com.br

---------------------------------
Copyright 2009 Now!Digital Business Ltda. Todos os direitos reservados.
A reprodução total ou parcial de qualquer meio ou forma sem expressa autorização por escrito do Now!Digital Business Ltda. é proibida.
COMPUTERWORLD é uma propriedade do International Data Group, Inc., licenciado pelo Now!Digital Business Ltda.

Macworld: Criminosos vendem falso antivírus para iPhone

2009-10-05T17:38:00.002-03:00

Macworld
http://www.macworldbrasil.com.br

Criminosos vendem falso antivírus para iPhone
Sites tentam assustar os usuários do aparelho com falsos alertas e verificações de contaminação
Por Daniel dos Santos, Macworld Brasil

Leia a matéria completa em: http://macworldbrasil.uol.com.br/noticias/2009/10/05/criminosos-vendem-falso-antivirus-para-iphone

Veja esta e outras notícias relevantes no Macworld:
http://www.macworldbrasil.com.br

---------------------------------
Copyright 2009 Now!Digital Business. Todos os direitos reservados.
A reprodução total ou parcial de qualquer meio ou forma sem expressa autorização por escrito do Now!Digital Business. é proibida.
Macworld é uma propriedade é uma propriedade do International Data Group, Inc., licenciado pelo Now!Digital Business Ltda.

Indústria fonográfica obtém decisão inédita contra troca de arquivos no Brasil

2009-09-17T20:35:00.001-03:00

17/09/2009 - 20h00

Indústria fonográfica obtém decisão inédita contra troca de arquivos no Brasil

MAURÍCIO KANNO
colaboração para a Folha Online

A indústria fonográfica brasileira obteve, no Tribunal de Justiça do Estado do Paraná, a primeira condenação contra uma empresa no país por disponibilizar software P2P --sistema descentralizado de compartilhamento de arquivos na internet.

A empresa Cadari Tecnologia da Informação, responsável pelo software P2P K-Lite Nitro, foi obrigada a não mais disponibilizar o software "enquanto nele não forem instalados filtros que evitem que as gravações protegidas por direito autoral" das empresas que a extinta Apdif (Associação Protetora dos Direitos Intelectuais Fonográficos) representava "sigam sendo violadas de forma maciça e constante". As gigantes em questão são EMI, Som Livre, Sony Music, Universal Music e Warner Music.

Hoje, os maiores estúdios e gravadoras do país são representados pela APCM (Associação Antipirataria de Cinema e Música), que incorporou a antiga Apdif.

Murro

O presidente da empresa afetada, Luciano Cadari, diz que é a liberdade na internet que está sendo prejudicada, e que a entidade está "dando murro em ponta de faca". Para ele, o programa K-Lite Nitro é similar a qualquer comunicador digital, como e-mail, MSN, Skype e até mesmo um buscador como o Google, que permitem que as pessoas compartilhem informações e arquivos.

Segundo Cadari, o mais importante é a conscientização das pessoas sobre a legislação. "Desde o início do lançamento do software, em 2006, já deixávamos a mensagem 'não use pirataria', fizemos nossa parte", conta ele. "Carro é o que mais mata no mundo e não é proibido", compara. "É uma questão de educação sobre uso de ferramentas."

O presidente da empresa paranaense, de quatro funcionários --tinha nove há dois anos, quando começou a tramitar o processo e parou de fazer atualizações do software-- diz que vai recorrer da decisão. Ele informa ainda ter obtido decisão favorável no início do ano e que há impossibilidade técnica de filtros.

Segundo a APCM (Associação Antipirataria de Cinema e Música), a decisão judicial é "importantíssima para o futuro do mercado de música digital no Brasil".

De acordo com Paulo Rosa, presidente da ABPD (Associação Brasileira dos Produtores de Discos), "não se trata de uma decisão contra uma determinada tecnologia, mas sim contra um modelo de negócio criado e explorado economicamente, cujo principal atrativo é a violação contínua e em larga escala de direitos autorais consagrados em nossa Constituição Federal e em legislação específica".

Saiu o primeiro pacote de correções do Snow Leopard

2009-09-10T17:50:00.001-03:00

De: Apple Product Security <product-security-noreply@lists.apple.com>
Data: 10 de setembro de 2009 17h46min30s GMT-03:00
Para: security-announce@lists.apple.com
Assunto: APPLE-SA-2009-09-10-1 Mac OS X v10.6.1

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

APPLE-SA-2009-09-10-1 Mac OS X v10.6.1

Mac OS X v10.6.1 is now available and addresses the following:

Flash Player plug-in
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865,
CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869,
CVE-2009-1870
Available for: Mac OS X v10.6, Mac OS X Server v10.6
Impact: Multiple vulnerabilities in Adobe Flash Player plug-in
Description: Multiple issues exist in the Adobe Flash Player plug-
in, the most serious of which may lead to arbitrary code execution
when viewing a maliciously crafted web site. The issues are addressed
by updating the Flash Player plug-in to version 10.0.32.18. Further
information is available via the Adobe web site at
http://www.adobe.com/support/security/bulletins/apsb09-10.html

Mac OS X v10.6.1 may be obtained from the Software Update
pane in System Preferences, or Apple's Software Downloads web site:
http://www.apple.com/support/downloads/

For Mac OS X v10.6
The download file is named: MacOSXUpd10.6.1.dmg
Its SHA-1 digest is: 2e0c303e0078a488702172d782cb1b882eef543

For Mac OS X Server v10.6
The download file is named: MacOSXServerUpd10.6.1.dmg
Its SHA-1 digest is: 736474bbfc70244c1ff951621fa484ccdfcaf3c7

Information will also be posted to the Apple Security Updates
web site: http://support.apple.com/kb/HT1222

This message is signed with Apple's Product Security PGP key,
and details are available at:
https://www.apple.com/support/security/pgp/

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (Darwin)

iQEcBAEBAgAGBQJKqV+gAAoJEHkodeiKZIkBux8H/3wrRgCPvoFJrSMN4u8SqzPd
jN4HyUwhPFuU/ueL3ZngtVmNjEgkw/+mlP4ARwAcogA2f6F+U4Rx0mEXE07fd/5Z
1Ghw+3P/mf0NNEFuFGBjoLNrUIcTORT0tWIZjo/OFZK07C8YtSfmZDcnXAXSskKh
uuxGZhoXFNA29K65KoPQw7O2Pbdj7s2WSos92tWof4j+NNIq9XsryTzLi/attiwz
R9m5WJ0mUf2Bc7u4o+Ka5FEK7Hp1GtypEoi/fa46iwArAvUKJwe8bWwO9c/Kr2Po
0zJmZ+fwHYq5dtIKbNBD586U44sP7DLal9O6Big0np2CCWcOTjR6cczdYes4UhU=
=su8u
-----END PGP SIGNATURE-----
_______________________________________________

TSE oferece urnas a hackers para testar segurança

2009-09-10T17:38:00.001-03:00

16h33 - 10/09/2009

TSE oferece urnas a hackers para testar segurança

O Tribunal Superior Eleitoral fará amanhã (11.set.2009) uma audiência pública para testar a segurança das urnas eletrônicas usadas em eleições no Brasil. Segundo informação divulgada hoje, a ideia é fazer um teste de stress nos equipamentos e nos softwares usados, permitindo aos participantes atuarem como verdadeiros hackers –demonstrando se há ou não segurança no modelo brasileiro.

Só poderá participar quem se inscrever antecipadamente. Quem tiver interesse, precisa enviar um e-mail para testeseguranca@tse.gov.br e aguardar instruções. Mas, atenção: O prazo para inscrições se encerrahoje, às 18h.

Aqui, a íntegra do edital convocando para a audiência de amanhã. No post abaixo, o comunicado do TSE.

Trata-se de uma iniciativa positiva do TSE. Há sempre muitas dúvidas sobre a segurança completa das urnas brasileiras. Volta e meia alguém no Congresso reclama que falta transparência e propõe a volta de algum tipo de voto impresso.

O problema da recontagem, por exemplo, é algo aparentemente insolúvel. Como se trata de um arquivo digital, não há propriamente recontagem dos votos digitados em uma urna. Quando há um erro de programa, a possibilidade de recontagem inexiste. Essa é uma das razões pelas quais países como os Estados Unidos relutam em adotar urnas eletrônicas de maneira generalizada.

E que tal seguir o blog no Twitter? Aqui, depois clique em "follow"

Por Fernando Rodrigues

Novo roubo de segredos na DuPont?

2009-09-10T11:30:00.000-03:00

DuPont Alleges Second Insider Breach In Two Years
Chemical giant claims former employee was headed to China with company secrets
Set 09, 2009 | 05:47 PM
By Tim Wilson
DarkReading

Just two years after discovering an insider breach that might have cost it $400 million, DuPont is alleging theft of trade secrets by another one of its employees
According to an article in DuPont's home state of Delaware, DuPont has filed a lawsuit against -- and fired -- a Chinese-born employee who was allegedly about to leave Delaware and return to China with company trade secrets.
The suit, filed in late August in the Delaware Court of Chancery, accuses Hong Meng of breach of contract and misappropriation of trade secrets -- specifically, research into a paper-thin computer display technology called an "organic light-emitting diode," or OLED.
The suit alleges Meng was planning to take the proprietary information to his alma mater, Peking University in Beijing, which is involved in research on OLED technology, the report says.
DuPont issued a brief statement Friday, indicating Meng, a Chinese national with permanent residency status in the United States, was fired after an internal investigation, and the lawsuit was filed "to ensure that he not use or disclose DuPont trade secrets," according to the report.
"As a science company, DuPont acts to protect our unique and confidential technologies," the statement said. "These events underscore our unwavering commitment to protect the integrity of our proprietary science and technology for the benefit of DuPont shareholders, employees and customers."
DuPont says it spotted Meng's actions when it reviewed his hard drive prior to transferring him to China. Meng had downloaded a number of proprietary files about the OLED, the company alleges.
The chemical giant faced a similar problem two years ago, when former employee Gary Min was found to be in possession of thousands of files relating to the company's trade secrets. The estimated value of the information was assessed at around $400 million.
In that case, Min -- who also has ties to China -- downloaded thousands of documents without authorization from company systems. He also made paper copies of thousands more documents and stored them in an apartment he had rented for that purpose.
Min received a sentence of 18 months in jail and a $30,000 fine.
Have a comment on this story? Please click "Discuss" below. If you'd like to contact Dark Reading's editors directly, send us a message.

GFI fornece scanner free!

2009-05-16T12:50:00.000-03:00

A GFI (www.gfi.com), empresa de soluções de segurança, dentro da iniciativa "We Care" (http://www.gfi.com/wecare/), disponibilizou dois de seus produtos em versões gratuitas.

O primeiro é o aclamado GFI Languard (www.gfi.com/lannetscan), para verificação de vulnerabilidades em servidores. A versão gratuita é para 5 IPs.

O outro é o GFI Backup Home Edition (www.gfi.com/backup-hm/), para backup e recuperação.

Vale à pena conferir, e usar!

CISA - Best Certification Program - SC Magazine Awards 2009

2009-04-25T18:58:00.001-03:00

A certificação CISA (Certified Information Systems Auditor) foi a vencedora do prêmio Best Professional Certification Program da SC Magazine Awards 2009.

Saiba mais detalhes aqui e aqui.

NIST Released Draft SP 800-118

2009-04-21T15:50:00.001-03:00

DRAFT SP 800-118 Guide to Enterprise Password Management

NIST announces that Draft Special Publication (SP) 800-118, Guide to Enterprise Password Management, has been released for public comment. SP 800-118 is intended to help organizations understand and mitigate common threats against their character-based passwords. The guide focuses on topics such as defining password policy requirements and selecting centralized and local password management solutions.

NIST requests comments on draft SP 800-118 by May 29, 2009. Please submit comments to 800-118comments@nist.gov with "Comments SP 800-118" in the subject line.

Drafts page URL for 800-118:

http://csrc.nist.gov/publications/PubsDrafts.html#800-118

O helicóptero de Obama tinha um cliente P2P com ligação direta com o Irã

2009-04-16T07:39:00.001-03:00

Uma empresa norte-americana, de nome Tiversa, especializada em segurança de informática, encontrou os detalhes dos sistemas de comunicação e de engenharia do "Marine One", ou seja, o helicóptero presidencial usado por Barack Obama, num computador em Teerã ligado a uma rede P2P.
A informação que estaria replicada para este cliente P2P iraniano continha, além dos já citados, detalhes dos sistemas de engenharia e de comunicações do helicóptero, informações sobre as atualizações de engenharia programadas, dados sobre a rede do helicóptero e vários planos do aparelho.

Ora se toda esta informação estava numa rede P2P, então é porque um cliente P2P estaria também instalado no helicóptero, parece que instalado por um outsourcing trabalhando para o Departamento de Defesa e que teria usado ou o LimeShare ou o BearShare num portátil que ligou na rede local do helicóptero.

Segundo a Tiversa, ainda que a instalação do cliente P2P no helicóptero possa ter sido não intencional, o fato destes dados terem aparecido em Teerã pode não o ser, já que se sabe que os iranianos estão particularmente atentos a informação que apareça nestas redes e que lhe possa ser útil.

O incidente, além de aumentar o risco de segurança para o Presidente dos EUA, expõe também o erro que é o de entregar a manutenção de meios tão sensíveis como este a empresas de outsourcing, que não têm regulamentos e implementações de segurança tão exigentes como os dos meios militares ou das forças de segurança. Isto não quer dizer que este tipo de programas não apareça instalado em computadores militares, já que a própria Tiversa admite que isso aconteceu diversas vezes na última guerra do Iraque e que o que existe, além de outsourcings relaxados, inconscientes e com uso exagerado, é também uma fraca cultura de segurança, ausente no sempre mais inseguro e exposto (porque mais usado) sistema Windows e utilizando (ou não) Group Policies relaxadas ou incorretamente implementadas.

FONTE: http://topnews.us / COLABOROU: Edilson Moura

Microsoft Security Intelligence Report v6

2009-04-09T07:08:00.001-03:00

A Microsft liberou a última versão de seu Security Intelligence Report (SIRv6), com análises de vulnerabilidades em softwares próprios e de terceiros.

O documento pode ser baixado em www.microsoft.com/sir.

New CS Anti-Virus based on ClamAV/ClamWin engine

2009-03-21T13:00:00.001-03:00

Interessante, novo projeto baseado no ClamAV, agora para Windows.

Aguns detalhes (em inglês):

Include a Window service (CSAntivirus.exe) that perform all scans through the libclamav.dll, the control executable for
desktop interaction (CSAVTray.exe) and a small tool for generate new virus signatures (CSigTool.exe).

The project is developed in Visual Basic 6.0 and Visual C++ 6.0 (The C++ ATL CSAVCoreEngine.dll is a proxy for libclamav.dll). The project is "not yet stable".

This build is only 0.1.2 and is Beta. Anyhow the system is already usable on all NT based Windows Server and Client O.S. (from Windows 2000 to Windows 7) Tested on 2000/XP/Vista.

Follow a list of features:

Freeware, usable on server and client O.S., desktop interaction on system login (application on try bar), use of ClamAV engine and ClamAV virus database (main.cvd and daily.cvd), resident shield (File Guard) at the moment only for one HD (or one root path), memory/process scan (on idle), File/Path scan, daily and weekly schedule scans, daily update, manual update, events log, event notify, virus log, quarantine (not yet complete), user-define signature creation tool, GUI for engine control, service control, program settings, notify, etc...

There are still many bugs (obviously), but the entire system is already usable.

On the follow link there are others information and the setup file:

http://www.creasoftware.net/prodotto.asp?id=16

NIST Announces the Release of Draft Special Publication 800-16 Revision 1

2009-03-20T23:03:00.001-03:00

> NIST announces the release of the Initial Public Draft (IPD) of
> Special Publication 800-16, Revision 1, Information Security
> Training Requirements: A Role- and Performance-Based Model. This
> publication is now available for public comment.
>
> The comprehensive training methodology provided in this publication
> is intended to be used by federal information security professionals
> and instructional design specialists to design (1) role-based
> training courses or modules for personnel who have been identified
> as having significant responsibilities for information security, and
> (2) a basics and literacy course for all users of information systems.
>
> We encourage readers to pay special attention to the Notes to
> Reviewers section, as we are looking for feedback on the many
> changes we have made to this document.
>
> Comments will be accepted until June 26, 2009. Comments should be
> forwarded via email to 800-16comments@nist.gov.
>
> URL to Draft SP 800-16 Rev. 1:
> http://csrc.nist.gov/publications/PubsDrafts.html#800-16-rev1
>
>
> Quick update - in the email sent to list on March 3, the NIST IR
> 7536 2008 Computer Security Division Annual Report was released. We
> have updated the PDF file for this document. We now have a final
> layout version available which includes charts, graphics, etc. The
> text inside this report did not change. For those interested in
> viewing the final printed version can find the updated PDF file here:
>
> It is a PDF file and depending on your Internet speed, it may take a
> couple extra seconds to load - PDF file is about 3.9 MB.
> http://csrc.nist.gov/publications/nistir/ir7536/NISTIR-7536_2008-CSD-Annual-Report.pdf
>

Researcher cracks Mac in 10 seconds at PWN2OWN, wins $5K

2009-03-18T23:02:00.001-03:00

Researcher cracks Mac in 10 seconds at PWN2OWN, wins $5K

Charlie Miller defends his title; IE8 also falls on Day 1 of hacking contest

Gregg Keizer

March 18, 2009 (Computerworld) Charlie Miller, the security researcher who hacked a Mac in two minutes last year at CanSecWest's PWN2OWN contest, improved his time today by breaking into another Mac in under 10 seconds.

Miller, a principal analyst at Independent Security Evaluators LLC, walked off with a $5,000 cash prize and the MacBook he hacked.

"I can't talk about the details of the vulnerability, but it was a Mac, fully patched, with Safari, fully patched," said Miller Wednesday not long after he had won the prize. "It probably took 5 or 10 seconds." He confirmed that he had researched and written the exploit before he arrived at the challenge.

The PWN2OWN rules stated that the researcher could provide a URL that hosted his or her exploit, replicating the common hacker tactic of enticing users to malicious sites where they are infected with malware. "I gave them the link, they clicked on it, and that was it," said Miller. "I did a few things to show that I had full control of the Mac."

Two weeks ago, Miller predicted that Safari running on the Mac would be the first to fall.

PWN2OWN's sponsor, 3Com Inc.'s TippingPoint unit, paid Miller the $5,000 for the rights to the vulnerability he exploited and the exploit code he used. As it has at past challenges, it reported the vulnerability to on-site Apple representatives. "Apple has it, and they're working on it," added Miller.

According to Terri Forslof, the manager of security response at TippingPoint, another researcher later broke into a Sony laptop that was running Windows 7 by exploiting a vulnerability in Internet Explorer 8. "Safari and IE both went down," she said in an e-mail.

TippingPoint's Twitter feed added a bit more detail to Forslof's quick message: "nils just won the sony viao with a brilliant IE8 bug!"

Forslof was not immediately available to answer questions about the IE8 exploit.

TippingPoint will continue the PWN2OWN contest through Friday, and will pay $5,000 for each additional bug successfully exploited in Apple Inc.'s Safari, Microsoft Corp.'s Internet Explorer 8, Mozilla Corp.'s Firefox or Google Inc.'s Chrome. During the contest, IE8, Firefox and Chrome will be available on the Sony, while Safari and Firefox will be running on the MacBook. The researcher who exploited IE8 will, like Miller, be awarded not only the cash, but also the laptop.

"It was great," said Miller when asked how it felt to successfully defend his title. "But I was really nervous for some reason this time. Maybe it was because there were more people around. Lucky [the exploit] was idiot-proof, because if I had had to think about it, I don't know if I'd had anything."

This year's PWN2OWN also features a mobile operating system contest that will award a $10,000 cash prize for every vulnerability successfully exploited in five smartphone operating systems: Windows Mobile, Google's Android, Symbian, and the operating systems used by the iPhone and BlackBerry.

Miller said he won't enter the mobile contest. "I can't break them," said Miller, who was one of the first researchers to demonstrate an attack on the iPhone in 2007, and last year was the first to reveal a flaw in Android. "I don't have anything for the iPhone, and I don't know enough about Google."

CanSecWest, which opened Monday, runs through Friday in Vancouver, British Columbia.

Para configurar o Safari 4

2009-02-27T23:22:00.001-03:00

Segue o link com os comandos para reconfigurar o Safari 4: http://swedishcampground.com/safari-4-hidden-preferences

Apple libera atualização de segurança

2009-02-13T06:47:00.000-02:00

A Apple liberou uma atualização de segurança que corrige mais de 55 falhas. Faça a atualização de software ou leia mais aqui.

INTEGO SECURITY ALERT - January 26, 2009

2009-01-26T21:50:00.000-02:00

INTEGO SECURITY ALERT - January 26, 2009

New Variant of Mac Trojan Horse iServices
Found in Pirated Adobe Photoshop CS4

Exploit: OSX.Trojan.iServices.B Trojan Horse

Discovered: January 25, 2009

Risk: Serious

Description: Intego has discovered a new variant of the iServices Trojan horse that the company discovered on January 22, 2009. This new Trojan horse, OSX.Trojan.iServices.B, like the previous version, is found in pirated software distributed via BitTorrent trackers and other sites containing links to pirated software. OSX.Trojan.iServices.B Trojan horse is found bundled with copies of Adobe Photoshop CS4 for Mac. The actual Photoshop installer is clean, but the Trojan horse is found in a crack application that serializes the program.

After downloading this version of Photoshop, users will run the crack application to be able to use it. The crack application extracts an executable from its data, than installs a backdoor in /var/tmp/, a directory which is not deleted when the computer is restarted. (If the user runs the crack application again, the Trojan horse creates a new executable with a different name; these random names make it harder to ensure safe removal of the malware.)

The crack application then requests an administrator password, launching the backdoor with root privileges. This copies the executable to /usr/bin/DivX, then creates a startup item in /System/Library/StartupItems/DivX. The program checks to see if it has been launched with root privileges, then saves the root hash password in the file /var/root/.DivX. It listens on a random TCP port, and answers requests such as GET / HTTP/1.0 by sending a 209-byte packet, and makes repeated connections to two IP addresses.

Next, the crack application opens a disk image which is hidden in its resource folder, in a folder named .data, and proceeds to crack the Photoshop program, allowing it to be used.

Since the malicious software connects to a remote server over the Internet, the creator of this malware will be alerted that this Trojan horse is installed on different Macs, and will have the ability to connect to them and perform various actions remotely. The Trojan horse may also download additional components to an infected Mac.

Intego is issuing this alert to warn Mac users not to download Photoshop CS4 installers from sites offering pirated software. (As of 6 am EST, nearly 5,000 people have downloaded this installer, according to a major BitTorrent tracker site.) Since the Trojan horse, in this case, is found merely in the crack application that is bundled with Photoshop CS4, users should avoid downloading any cracking software from sites that distribute pirated software. The risk of infection is serious, due to the number of infected users, and these users may face extremely serious consequences if their Macs are accessible to malicious users. The first version of this Trojan horse was seen downloading new code to infected computers, which were then used in a DDoS (distributed denial of service) attack on certain web sites. Since this new variant uses the same technology, and contacts the same remote servers, it is likely that it will attempt to download new code and perform such actions.

Intego VirusBarrier X4 and X5 with virus definitions dated January 25, 2009 or later protect against this Trojan horse. Intego recommends that users never download and install software from untrusted sources or questionable web sites. In spite of Intego’s security alert regarding the first version of this Trojan horse, and in spite of comments on torrent trackers, people continue to download these infected torrents. The iWork 09 torrent that we warned about on January 22 has been downloaded by at least 1,000 more people since our warning. This is why we consider this Trojan horse to be a serious risk.

About Intego
Intego develops and sells desktop Internet security and privacy software for Macintosh.

Intego provides the widest range of software to protect users and their Macs from the dangers of the Internet. Intego's multilingual software and support repeatedly receives awards from Mac magazines, and protects more than one million users in over 60 countries. Intego has headquarters in the USA, France and Japan.

We protect your world.

Fwd: Troyano se apodera de 5 mil Mac vía Photoshop CS4 pirata

2009-01-26T21:47:00.001-02:00

Excelentes noticias para los desarrolladores de programas de Antivirus para OS X: Ha re-nacido un nuevo mercado. Malas noticias para los que pensaban que el ambiente de OS X estaba a salvo de infecciones.
Los virus en el mundo Apple han dejado de ser una broma. La semana pasada, ya te informamos que más de 20 mil computadoras Macintosh estaban contagiadas con el troyano OSX.Trojan.iServices.A.
Hoy, más de 5 mil computadoras ya están infectadas con una variación de este mismo troyano, gracias a la pereza de algunos usuarios de pagar USD$700 por una copia legal del Photoshop CS4.
Todas las versiones pirata de la aplicación de fotografía de Adobe, están infectadas con este virus.
Si por esas cosas raras de la vida estás infectado, la única manera por el momento de eliminarlo de tu sistema es mediante el software VirusBarrier X5. Te aconsejamos comprarlo (pagar dinero para adquirirlo legalmente) … porsiacaso.
Link: New Variant of Mac Trojan Horse iServices Found in Pirated Adobe Photoshop CS4 (Intego) (vía)

O que os funcionários adoram fazer que prejudica a segurança?

2009-01-24T23:26:00.001-02:00

http://www.computerworld.com.br

Segurança > Mercado

O que os funcionários adoram fazer que prejudica a segurança?

(http://computerworld.uol.com.br/seguranca/2009/01/19/o-que-os-funcionarios-adoram-fazer-que-prejudica-a-seguranca)

Por Vinicius Cherobino, do COMPUTERWORLD

Publicada em 19 de janeiro de 2009 - 07h00

Atualizada em 20 de janeiro de 2009 - 16h08

Conheça histórias de gestores de segurança e educadores sobre as atitudes preferidas dos funcionários e saiba o que eles fizeram para controlá-las ou minimizar as suas consequências.

Insatisfeito com as restrições de segurança da faculdade, um aluno desenvolveu um software. Chamado U2, o programa permitia o acesso a qualquer porta do computador ao simular a passagem do tráfego pela port 80, de tráfego HTTP.

Em outras palavras, este aluno fazia tudo o que queria – navegava sem restrições, instalava programas e, até, chegou a criar uma rede P2P que funcionava 24 horas por dia.

A história é contada por Nilson Ramalho, instrutor do curso de redes na Impacta e também gerente de suporte técnico da faculdade. Segundo ele, o caso – acontecido 5 meses atrás – foi descoberto por conta do consumo na banda e gerou mudanças na estratégia de defesa. "Depois disso, adotamos gestão de identidade e acesso (IAM) para evitar problemas", conta.

Vários outros incidentes deste tipo acontecem a todo o momento em universidades e empresas. Acostumados a navegar e usar o computador livremente em suas casas, os funcionários muitas vezes colocam as informações da empresa e a própria corporação em risco por conta dos seus hábitos.

Confiram, em reportagem do IDG Now!, quais são os 8 erros mais comuns de segurança.

Sites maliciosos, pornografia, programas desconhecidos, correntes de e-mail com ppts, pastas no servidor com mp3 e vídeos, portas abertas no computador, etc, etc... A lista de comportamento hostil para segurança poderia seguir indefinidamente.

Estratégia de defesa
O que o gestor de segurança ou o profissional de TI responsável pela proteção pode fazer para contornar esses comportamentos?

Álvaro Teófilo, superintendente do Centro de Operações de Segurança da Produban, empresa de Tecnologia do Grupo Santander Brasil, conta a iniciativa do grupo para o controle do vazamento de informações. A estratégia do banco pode ser encarada como uma maneira de estabelecer toda a política de segurança da informação.

"Minimizar o risco de vazamento de informação tem três dimensões: a definição das regras de manipulação de informações (por meio de políticas organizacionais), a divulgação destas regras (que chamamos de 'planos de conscientização') e a implantação de controles que permitam minimizar incidentes e orientar as pessoas", conta Teófilo, em entrevista por e-mail.

Ramalho compartilha a idéia. Para ele, o maior desafio está em deixar claro para os funcionários quais são as regras e que tipo de comportamento é exigido. Depois, aconselha, é preciso apresentar as regras de maneira clara e criar maneiras de garantir que ela está sendo cumprida. "Se a regra de segurança não for auditada, ela cai em descrédito e não funciona. Só ter a ferramenta não resolve", defende.

Para Sergio Alexandre, coordenador do MBA de segurança da informação na FIAP, a educação é o ponto principal para garantir a eficiência da política de defesa. "Só assim os usuários não vão tomar decisões que podem conflitar com a política de segurança. O papel do CSO é de facilitador, para garantir que tudo aconteça da maneira correta, mas também opressor", afirma.

Eterno conflito
Mesmo com a educação e as normas claras, o que nenhum profissional de segurança pode esperar é plena aceitação.

Curiosidade é o motor do usuário, afirma Ramalho, ele quer descobrir o porquê ele não pode acessar ou ter determinados comportamentos. "O papel da pessoa de segurança é orientar o indivíduo e explicar as escolhas", acredita.

Outro problema comum é a vontade dos usuários de querer ajudar os colegas de trabalho – driblando as políticas de segurança para isso. Conta Teófilo: "O compartilhamento de logins, por exemplo, é um velho problema. Ao tentar agilizar um processo, um funcionário cede o seu login para um colega. Se este colega realizar um mau uso do sistema, o funcionário que cedeu o login será responsabilizado".

No final, a relação entre funcionários ou alunos e profissionais de segurança será sempre tensa. "O funcionário ou aluno passa por várias fases para aceitar as restrições, de negação a fúria. O desafio do profissional de segurança é ter o apoio dos funcionários", completa Ramalho.

Visões de Projeto!

2009-01-24T21:03:00.001-02:00

New Mac OS X Security Guide

2009-01-24T21:02:00.000-02:00

Apple has released a new version of its Leopard Security Configuration Guide, one for Leopard client, and another for Leopard Server.

Take it here: http://www.apple.com/support/security/guides/

QuickTime 7.6

2009-01-22T00:19:00.001-02:00

Apple has released an update for QuickTime, amongst the changes are security fixes.

Please run Apple Software Update to get it!

This update addresses heap overflows, buffer overflows, memory corruption issues and others - all of which may lead to arbitrary code execution.

Official information: http://support.apple.com/kb/HT3403

NIST Released 2 Draft Publications

2009-01-13T20:51:00.001-02:00

NIST Announces the release of 2 Draft documents: (1) DRAFT Special Publication 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) and (2) DRAFT NIST IR 7497 Draft Security Architecture Design Process for Health Information Exchanges (HIEs)

(1) NIST announces that draft Special Publication (SP) 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), is now available for public comment. SP 800-122 is intended to assist Federal organizations in identifying PII and determining what level of protection each instance of PII requires, based on the potential impact of a breach of the PII's confidentiality. The publication also suggests safeguards that may offer appropriate protection for PII and makes recommendations regarding PII data breach handling.

NIST requests comments on draft SP 800-122 by March 13, 2009. Please submit comments to 800-122comments@nist.gov with "Comments SP 800-122" in the subject line.

URL to Draft SP 800-122 on Drafts page:
http://csrc.nist.gov/publications/PubsDrafts.html#800-122

(2) NIST Interagency Report (IR) 7497, Draft Security Architecture Design Process for Health Information Exchanges (HIEs), is intended to provide a systematic approach to designing a technical security architecture for the exchange of health information that leverages common government and commercial practices and that applies them specifically to the HIE domain. This publication assists organizations in ensuring that data protection is adequately addressed throughout the system development life cycle, and that these data protection mechanisms are applied when the organization develops technologies that enable the exchange of health information.

Please submit your comments to draft-nistir7497-comments@nist.gov. The comment period for draft NIST IR 7497 closes on Friday March 13, 2009.

URL to Draft NIST IR 7497:
http://csrc.nist.gov/publications/PubsDrafts.html#nistir-7497

Pat O'Reilly
List Administrator
Computer Security Division
NIST

Agora também CGEIT!

2009-01-13T17:39:00.001-02:00

Recebi hoje a confirmação de ter sido aprovado na certificação CGEIT (Certified in the Governance of Enterprise IT).

Gostaria de agradecer a todos os que me auxiliaram, desde que comecei a trabalhar em TI, nesse longo caminho.

Agora, vamos às próximas!

Fake Fingerprints in Japan

2009-01-11T16:35:00.000-02:00

This is an interesting article, that I recomend reading:

http://news.yahoo.com/s/afp/20090101/wl_asia_afp/japantechnologyimmigrationcrimesecurity

Segurança no Mac em 2008

2009-01-05T20:50:00.003-02:00

Segue artigo publicado no blog da Intego (www.intego.com) sobre as ameaças para o Mac OS X.

Como sempre, podem ser tendenciosas, mas vale à pena dar uma olhada: http://blog.intego.com/2009/01/05/the-year-in-mac-security-2008/

Feliz 2009!

Licença Gratuita do Parallels

2009-01-02T21:11:00.001-02:00

O Parallels para Windows e Linux de graça!

Basta se registrar em: http://www.parallels.com/getkey/lunarp/

Sem burocracia nem pegadinhas. Pena que ainda não estão liberando para Mac!

Como gerar muita documentação com pouco (ou nenhum) conteúdo!

2008-12-30T06:31:00.001-02:00

Quantos projetos você já viu, com uma extensa documentação de fazer inveja, mas conteúdo zero?

Agora você também pode! Veja o site http://www.suicidiovirtual.net/dados/lerolero.html, escolha um título e gere seu trabalho!

Dica de leitura

2008-12-27T16:27:00.001-02:00

Meus amigos Manuel Funes e Daniel Alcanja me indicaram o livro "Getting Real" (algo como "Caindo na Real").

É uma abordagem muito interessante sobre como simplificar a vida em projetos de software, mas que serve para qualquer projeto de vida.

O livro pode ser acessado (e lido gratuitamente online) no endereço: http://gettingreal.37signals.com/.

Symantec unveils Norton Internet Security for Mac 4.0

2008-12-24T22:12:00.000-02:00

by Jim Dalrymple, Macworld.com

Symantec on Thursday unveiled a significant upgrade for its Norton line of security software. Norton Internet Security for Mac features a variety of security tools in one application.

Norton Internet Security for Mac includes traditional virus protection, a Firewall, and tools to help protect against spyware and identity theft.

Many Mac users don't see many of these issues as problems for them because of the Mac's reputation as being one of the most secure platforms. However, with the Mac becoming more popular among new users, it's a good idea to be aware and ready for any potential threats.

"You read so much about Windows threats and not so much about the Mac," Mike Romo, Symantec's Mac product manager, told Macworld. "Our goal is to provide a tool to cover all the bases without scaring people."

In fact, Macs are becoming more popular in businesses these days, and many companies require security software on all of their computers, according to Romo.

Norton Internet Security for Mac is also linked to Symantec's DeepSight Threat Management System, updating the firewall rules at least once a day to protect against the latest attacking IP addresses. This ensures that Mac users are protected on an ongoing basis without having to really think about many of the threats out there.

The new application combines the protection found in Norton AntiVirus 11 for Mac, Norton Confidential, and two-way firewall functionality.

Symantec says the application also protects against phishing Web sites, protecting your identity and protecting files against keyloggers and other types of eavesdropping applications.

Symantec also announced Norton Internet Security for Mac Dual Protection. This protects users running Boot Camp or other virtualization software.

Norton Internet Security for Mac and Norton Internet Security for Mac Dual Protection are

available immediately for $79.99 and $89.99, respectively.

NIST Draft Special Publication 800-120 has been Released

2008-12-24T13:57:00.001-02:00

DRAFT NIST Special Publication 800-120, Recommendation for EAP Methods Used in Wireless Network Access Authentication

NIST announces the release of draft Special Publication 800-120, Recommendation for EAP Methods Used in Wireless Network Access Authentication. This Recommendation specifies security requirements for authentication methods with key establishment supported by the Extensible Authentication Protocol (EAP) defined in IETF RFC 3748 for wireless access authentications to federal networks. Please submit comments to 800-120comments@nist.gov with "Comments on SP 800-120" in the subject line. The comment period closes on January 30, 2009.

URL to Drafts page:
http://csrc.nist.gov/publications/PubsDrafts.html#800-120

Pat O'Reilly
List Administrator
Computer Security Division
NIST

Sun libera versão 2.1 do VirtualBox

2008-12-21T20:57:00.001-02:00

http://www.theinquirer.net/inquirer/news/103/1050103/sun-releases-virtualbox-2-1

Mac OS X Update - 10.5.6

2008-12-15T23:14:00.000-02:00

Iniciar mensagem reenviada:

Data: 15 de dezembro de 2008 22h1min0s GMT-02:00
Assunto: Mac OS X Update - 10.5.6
Responder A: NSArchitect <noreply@blogger.com>
Fonte: iAntiVirus Blog
Autor: NSArchitect <noreply@blogger.com>

Apple has released an update for OS X which addresses some performance and severe security issues. Please run a Software Update and grab it today!

Security Issues addressed
Apple Type Services (ATS) server PDF embedded font handling issue (CVE-ID: CVE-2008-4236)
Arbitrary code execution in BOM (CVE-ID: CVE-2008-4217)
Heap buffer overflow in CoreGraphics' handling of color spaces (CVE-ID: CVE-2008-3623)
Possible user credential disclosure in Safari (CVE-ID: CVE-2008-3170)
Enhanced download validation capability, previously warnings were not displayed for all unsafe download content types, this allowed for arbitrary code/command execution (CVE-ID: CVE-2008-4234)
Multiple vulnerabilities in the Adobe Flash player plugin (CVE-IDs: CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824)
Local privilege escalation issue due to integer overflows in the kernel's i386_get_ldt and i386_get_ldt system calls (affects Intel based machines only) (CVE-ID: CVE-2008-4218)
Infinite loop when an exception occurs in a program (or dylib) which resides on an NFS share (CVE-ID: CVE-2008-4219)
Integer overflow in the LibSystem inet_net_pton function -> this could affect any program which uses that function (CVE-ID: CVE-2008-4220)
Memory corruption issue in the strptime function of LibSystem (CVE-ID: CVE-2008-4221)
Multiple integer overflows in the strfmon function of LibSystem (CVE-ID: CVE-2008-1391)
Per host configuration in managed client system installs sometimes incorrectly identifies the system (CVE-ID: CVE-2008-4237)
natd infinite loop due to a maliciously crafted TCP packet -> only affects systems with the Internet Sharing service enabled (CVE-ID: CVE-2008-4222)
Authentication bypass in Podcast Producer (OS X server only) (CVE-ID: CVE-2008-4223)
Input validation issue when handling malformed UDF volumes, ISO files. Opening a malformed volume may cause an unexpected syustem shutdown. (CVE-ID: CVE-2008-4224)

Information from Apple here .

Note: All CVE IDs will be linked to their respective pages once they become available.
Ler mais…

Trend Micro Common Client (TMCC) for Macintosh 1.0 Beta program

2008-12-15T02:26:00.001-02:00

A Trend Micro liberou o Trend Micro Common Client (TMCC) for Macintosh 1.0 Beta program.

O produto é excelente, muito melhor que as versões para Windows.

Quem quiser participar pode se inscrever em: http://www.trendbeta.com

CIBERGUERRA

2008-12-08T21:33:00.001-02:00

Justiça usa Código Penal para combater crime virtualLevantamento realizado por especialistas em Direito da internet mostra que atualmente existem mais de 17 mil decisões judiciais envolvendo problemas virtuais; em 2002 eram apenas 400.

Crimes contra a honra (injúria, calúnia e difamação), furtos, extorsão, ameaças, violação de direitos autorais, pedofilia, estelionato, fraudes com cartão de crédito, desvio de dinheiro de contas bancárias. A lista de crimes cometidos por meio eletrônico é extensa e sua prática tem aumentado geometricamente com a universalização da internet. Levantamento realizado por especialistas em Direito da internet mostra que atualmente existem mais de 17 mil decisões judiciais envolvendo problemas virtuais; em 2002 eram apenas 400.

A internet ainda é tida por muitos como um território livre, sem lei e sem punição. Mas a realidade não é bem assim: diariamente, o Judiciário vem coibindo a sensação de impunidade que reina no ambiente virtual e combatendo a criminalidade cibernética com a aplicação do Código Penal, do Código Civil e de legislações específicas como a Lei n. 9.296 – que trata das interceptações de comunicação em sistemas de telefonia, informática e telemática – e a Lei n. 9.609 – que dispõe sobre a proteção da propriedade intelectual de programas de computador.

Na ausência de uma legislação específica para crimes eletrônicos, os tribunais brasileiros estão enfrentando e punindo internautas, crakers e hackers que utilizam a rede mundial de computadores como instrumento para a prática de crimes. Grande parte dos magistrados, advogados e consultores jurídicos considera que cerca de 95% dos delitos cometidos eletronicamente já estão tipificados no Código Penal brasileiro por caracterizar crimes comuns praticados por meio da internet. Os outros 5% para os quais faltaria enquadramento jurídico abrangem transgressões que só existem no mundo virtual, como a distribuição de vírus eletrônico, cavalos-de-tróia e worm (verme, em português).

Para essa maioria, a internet não é um campo novo de atuação, mas apenas um novo caminho para a realização de delitos já praticados no mundo real, bastando apenas que as leis sejam adaptadas para os crimes eletrônicos. E é isso que a Justiça vem fazendo. Adaptando e empregando vários dispositivos do Código Penal no combate ao crime digital.

E a lista também é extensa: insultar a honra de alguém (calúnia – artigo138), espalhar boatos eletrônicos sobre pessoas (difamação – artigo 139), insultar pessoas considerando suas características ou utilizar apelidos grosseiros (injúria – artigo 140), ameaçar alguém (ameaça – artigo 147), utilizar dados da conta bancária de outrem para desvio ou saque de dinheiro (furto – artigo 155), comentar, em chats, e-mails e outros, de forma negativa, sobre raças, religiões e etnias (preconceito ou discriminação – artigo 20 da Lei n. 7.716/89), enviar, trocar fotos de crianças nuas (pedofilia – artigo 247 da Lei n. 8.069/90, o Estatuto da Criança e do Adolescente - ECA).

No caso das legislações específicas, as mais aplicadas são as seguintes: usar logomarca de empresa sem autorização do titular, no todo ou em parte, ou imitá-la de modo que possa induzir à confusão (crime contra a propriedade industrial – artigo 195 da Lei n. 9.279/96), monitoramento não avisado previamente (interceptação de comunicações de informática – artigo 10 da Lei n. 9.296/96) e usar cópia de software sem licença (crimes contra software "Pirataria" – artigo 12 da Lei n. 9.609/98).

Consolidando dispositivos

O STJ, como guardião e uniformizador da legislação infraconstitucional, vem consolidando a aplicação desses dispositivos em diversos julgados. Nos casos de pedofilia, por exemplo, o STJ já firmou o entendimento de que os crimes de pedofilia e divulgação de pornografia infantil por meios eletrônicos estão descritos no artigo 241 da Lei n. 8.069/90 (apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de comunicação, inclusive pela rede mundial de computadores ou internet, fotografias ou imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente), e previstos em convenção internacional da qual o Brasil é signatário.

Mais do que isso: a Corte concluiu que, por si só, o envio de fotos pornográficas pela internet (e-mail) já constitui crime. Com base no artigo 241 do Estatuto da Criança e do Adolescente (ECA), os ministros da Quinta Turma do STJ cassaram um habeas-corpus concedido pelo Tribunal de Justiça do Estado do Rio de Janeiro (TJ-RJ) que determinava o trancamento de uma ação penal sob o argumento de que o ECA definiria como crime apenas a "publicação" – e não a mera "divulgação" – de imagens de sexo explícito ou pornográficas de crianças ou adolescentes.

Em outro caso julgado, a Turma manteve a condenação de um publicitário que participou e filmou cenas eróticas envolvendo crianças e adolescentes. Ele foi denunciado pelo Ministério Público de Rondônia com base no artigo 241 do ECA, nos artigos 71 e 29 do Código Penal (crime continuado e em concurso de agentes) e por corrupção de menores (Lei n. 2.252/54: constitui crime, punido com a pena de reclusão de um a quatro anos e multa, corromper ou facilitar a corrupção de pessoa menor de 18 anos, com ela praticando, infração penal ou induzindo-a a praticá-la).

Os casos de furto e estelionato virtual também já foram devidamente enquadrados pela Corte. A Terceira Seção do STJ consolidou o entendimento de que a apropriação de valores de conta-corrente mediante transferência bancária fraudulenta via internet sem o consentimento do correntista configura furto qualificado por fraude, pois, nesse caso, a fraude é utilizada para burlar o sistema de proteção e vigilância do banco sobre os valores mantidos sob sua guarda. Também decidiu que a competência para julgar esse tipo de crime é do juízo do local da consumação do delito de furto, que se dá no local onde o bem é subtraído da vítima.

Em outra decisão, relatada pelo ministro Felix Fischer, a Quinta Turma do STJ definiu claramente que, mesmo no ambiente virtual, o furto – "subtrair, para si ou para outrem, coisa alheia móvel" (artigo 155 do Código Penal) – mediante fraude não se confunde com o estelionato – "obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento" (artigo 171 do Código Penal) – já que no furto a fraude é utilizada para burlar a vigilância da vítima e, no estelionato, o objetivo é obter consentimento da vítima e iludi-la para que entregue voluntariamente o bem.

Crimes contra a honra

Em uma ação envolvendo os chamados crimes contra a honra praticados pela internet, o desembargador convocado Carlos Fernando Mathias de Souza manteve a decisão da Justiça gaúcha que condenou um homem a pagar à ex-namorada indenização por danos morais no valor de R$ 30 mil por ter divulgado, pela internet, mensagens chamando-a de garota de programa. No recurso julgado, a ex-namorada alegou que, após a falsa publicação de e-mails com seus dados pessoais junto com uma fotografia de mulher em posições eróticas, ela passou pelo constrangimento de receber convites por telefone para fazer programas sexuais.

Em outro julgado, a Quarta Turma do STJ determinou que o site Yahoo! Brasil retirasse do ar página com conteúdo inverídico sobre uma mulher que ofereceria programas sexuais. A empresa alegou que o

site citado foi criado por um usuário com a utilização de um serviço oferecido pela controladora americana Yahoo! Inc., portanto caberia a essa empresa o cumprimento da determinação judicial.

Em seu voto, o relator do processo, ministro Fernando Gonçalves, sustentou que a Yahoo! Brasil pertence ao mesmo grupo econômico e apresenta-se aos consumidores utilizando a mesma logomarca da empresa americana e, ao acessar o endereço trazido nas razões do recurso como sendo da Yahoo! Inc. – www.yahoo.com –, abre-se, na realidade, a página da Yahoo! Brasil. Diante desses fatos, o ministro conclui que o consumidor não distingue com clareza as divisas entre a empresa americana e sua correspondente nacional.

A Terceira Turma decidiu que ação de indenização por danos morais pode ser ajuizada em nome do proprietário de empresa vítima de mensagens difamatórias em comunidades do site de relacionamentos Orkut. O tribunal considerou legítima a ação proposta por um empresário de Minas Gerais contra duas pessoas que teriam difamado o seu negócio de criação de avestruzes, causando-lhe sérios prejuízos. Segundo a relatora, ministra Nancy Andrighi, as mensagens divulgadas na internet não foram ofensivas somente ao empresário e a seu filho, mas também ao seu comércio de aves.

Atrás das grades

Aplicando os dispositivos do Código Penal, o STJ vem negando habeas-corpus a acusados e condenados por diversas modalidades de crimes eletrônicos. Entre vários casos julgados, a Corte manteve a prisão do hacker Otávio Oliveira Bandetini, condenado a 10 anos e 11 meses de reclusão por retirar irregularmente cerca de R$ 2 milhões de contas bancárias de terceiros via internet; negou o relaxamento da prisão preventiva de um tatuador denunciado por divulgar fotos pornográficas de crianças e adolescentes na internet; de um acusado preso em operação da Polícia Federal por participar de um esquema de furto de contas bancárias; de um hacker preso pelos crimes de furto mediante fraude, formação de quadrilha, violação de sigilo bancário e interceptação telemática ilegal; e de um técnico em informática de Santa Catarina acusado de manipular e-mails para incriminar colegas de trabalho.

O Tribunal também enfrentou a questão da ausência de fronteira física no chamado ciberespaço ao entender que, se o crime tem efeitos em território nacional, deve-se aplicar a lei brasileira. No caso julgado, um acusado de pedofilia alegou que as fotos pornográficas envolvendo crianças e adolescentes foram obtidas no sítio da internet do Kazaa, um programa internacional de armazenamento e compartilhamento de arquivos eletrônicos sediado fora do Brasil. A Corte entendeu que, como o resultado e a execução ocorreram em território nacional, o fato de os arquivos terem sido obtidos no Kazaa, com sede no estrangeiro, seria irrelevante para a ação.

O Poder Legislativo ainda não concluiu a votação do projeto de lei que visa adequar a legislação brasileira aos crimes cometidos na internet e punir de forma mais rígida essas irregularidades. O projeto, que já foi aprovado pelo Senado, define os crimes na internet, amplia as penas para os infratores e determina que os provedores armazenem os dados de conexão de seus usuários por até três anos, entre outros pontos.

Enquanto a lei que vai tipificar a prática de crimes como phishing (roubo de senhas), pornografia infantil, calúnia e difamação via web, clonagem de cartões de banco e celulares, difusão de vírus e invasão de sites não é aprovada no Congresso Nacional, o Poder Judiciário continuará enquadrando os criminosos virtuais nas leis vigentes no mundo real, adaptando-as à realidade dos crimes cometidos na internet.

Opinion: The debate resumes over Mac security

2008-12-06T09:00:00.000-02:00

Opinion: The debate resumes over Mac security

A revised Apple support doc told users to run antivirus apps; then it was yanked

Michael DeAgonia

December 5, 2008 (Computerworld) The Mac community this week has been debating an updated Knowledge Base article on Apple's Web site that raised questions about the company's stance on security. The recent update, which was pulled down on Tuesday, originally recommended that users install at least one antivirus software app. It was an odd statement given that Apple has often bashed rival Windows for being less secure than Mac OS X.

The whiplash nature of the document's publication and its oh-so-quick removal renewed an age-old debate: just how secure from malware is the Mac operating system? After all, if Apple was changing its stance, should users now be worried? Adding fuel to the fire were recent reports about the release of a Mac-based Trojan horse.

Intego warns of new Trojan

Security vendor Intego released an advisory about the Trojan on Tuesday: "This new variant, like the initial RSPlug.A Trojan horse, has been found on pornographic web sites. ... When a user visits an infected site, and attempts to view a video, they are alerted that there is a 'Video ActiveX Object Error' and is told that their 'Browser cannot play this video file.' The alert instructs the user to download the 'missing Video ActiveX Object.' If the user clicks OK, a disk image downloads. Depending on the user's browser settings, this disk image may mount and launch automatically, commencing installation. If the user clicks Cancel when the Video ActiveX Object alert displays, however, they receive another alert saying, 'Please install new version of Video ActiveX Object.' This alert only allows the user to click OK, returning them to the first alert. The only way to get rid of these alerts is either to download the infected disk image, or quit the browser."

Each of these incidents -- the Knowledge Base article and the Intego warning, both of which came to light within a day of each other -- raised fears that Mac OS X might now be vulnerable to malware, and might now need extra security software to account for internal flaws. Some security researchers posited that Apple had finally wised up to the ways of the world. Others dismissed the Knowledge Base brouhaha as nothing new. Caught in the middle were Mac owners left wondering whether their favorite Mac was suddenly vulnerable.

So is it?

Spoiler alert: No. The BSD code underpinning Mac OS X goes a long way toward preventing malware problems -- as any Linux and Unix user can attest -- and there's a decided lack of interest in the Mac from cybercriminals. Apple has made major gains in recent years, but still has less than 10% of the operating system market share. There are many more PC users, making the payoff for cybercriminals that much greater if they target Windows.

Mac OS X inherently secure

In Computerworld's OS Smackdown, I touted the inherent security of Mac OS X as a major selling point, given that Macs are less susceptible to virus outbreaks than Windows-based PCs. Given the rarity of Mac exploits and the lengths malware authors must go to if they hope to successfully breach the Mac OS, I'd say nothing has changed since then. There are still no reports of self-propagating malware that can automatically infect a Mac by installing itself and then spreading itself to other computers. Even this latest Trojan horse requires visits to Web sites that almost anyone would be wary of and requires an administrator's password to actually install malicious code.

This is the technological equivalent of unlocking your door and helping a burglar pack your TV into his van.

And as menacing as the Intego statement sounds, I'm unaware of any Web browser that automatically commences an installation. Even when Safari's "Open safe files after downloading" option is selected, any software installation still requires the admin password. For most businesses and colleges, this isn't an issue because end users won't know that password, cutting off malware drama before it begins.

That's not to discount the value of security, however. Ultimately, Mac users have to be good Net citizens.

Antivirus software doesn't just help Mac users

I spoke to Randy Rowles, lead Macintosh Desktop Engineer for Houghton Mifflin Harcourt in Orlando, about finding the best antivirus software for the Mac and why users might still want to install one. "Antivirus [software] for Macintosh is a good thing to consider -- not necessarily for your own protection, but for the protection of others," he said. "Even though your Macintosh may not be affected by the bulk of viruses traveling around the Internet, any e-mail you forward that has a virus attached can infect other folks that receive it. Having a good virus scanning solution on your Macintosh can help prevent the spread of viruses."

Rowles recently had to figure out which of three antivirus apps -- McAfee VirusScan, VirusBarrier from Intego and Norton AntiVirus for Mac -- would be best for the Mac users at Houghton Mifflin Harcourt. "Each of the vendors offered similar options for protecting your Macintosh from virus infections, including the use of services for receiving updates and integration with Apple's Mail software."

"For enterprise customers, many vendors provide integration with a central management console," Rowles said. "This allows you to manage where your users get updates ... and often times what updates they receive. You also have a single place to schedule scans and control the preferences for multiple users."

While some of the antivirus software packages included real-time scanning options, the feature has drawbacks. "This feature is often called 'On Access Scanning' or 'Real-Time Scanning.' What this means is every time you read or write a file, that file is scanned for viruses. Normally, there are options for 'tuning' this process, allowing you to exclude specific folders or set it to only scan during a write operation. These options are your greatest asset at avoiding having your entire computer slow down and become sluggish."

Which antivirus app gets the nod?

When I asked which app he settled on, Rowles was quick to note that antivirus software has to be based on enterprise-specific needs. "We went with McAfee VirusScan because it offered a complete cross-platform management solution. McAfee also offers a complete suite of tools for firewall and host intrusion protection for Windows users that integrates with the same management solution. McAfee's VirusScan software for Macintosh has been a competent solution, and they have provided great support and have supplied hot fixes when needed. McAfee's 'On Access Scanning' solution isn't the best one out there, but it can be customized to not scan specific folders or to scan only on read or write instead of both. McAfee was also one of the first companies to offer an Intel Mac compatible solution and that was when we were comparing products."

For less enterprise-focused users, Rowles pointed to VirusBarrier from Intego. "The reason being is that their solution was written from the ground up for the Macintosh. They offer the same competitive features as McAfee and Norton, but in testing I found their Real-Time Scanning to be the quickest and [it] didn't cause nearly as much initial sluggishness -- if any -- compared to competitors. Enterprise customers will probably want to look elsewhere because VirusBarrier does not offer the same level of integration or cross-platform management as other competitors."

The upshot from this week's Mac security debate is simple: don't panic. It's not yet time to completely batten down the antivirus hatches on Mac OS X. Having said that, it's reasonable to assume that as OS X gains ground in the operating system wars, it will become a more attractive target for viruses. Think of it this way: Would you rather be installing antivirus software the day an unexpected virus pops up -- or the day after? For now, installing an antivirus package would certainly be the courteous thing to do for other, more susceptible colleagues. That kind of pay-it-forward approach to malware might even lead to good karma. After all, some folks have it far worse.

Michael DeAgonia is a computer consultant and technologist who has been using Apple products and working on them professionally since 1993. His tech-support background includes tenures atComputerworld, colleges, the biopharmaceutical industry, the graphics industry and Apple. Currently, he is working as a Macintosh administrator at a large media company.

Do You Need an Antivirus for Your Mac? Definitely, Yes.

2008-12-04T21:42:00.001-02:00

Do You Need an Antivirus for Your Mac? Definitely, Yes.

Apple has gotten a lot of press recently regarding their position concerning the need for antivirus software to protect Macs. A Knowledge Base article spotted on the company's web site said, "Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one application to circumvent, thus making the whole virus writing process more difficult." The article went on to recommend three antivirus programs, including Intego VirusBarrier X5.

However, following an unexpected amount of attention in the press, Apple has removed the article. An Apple spokesman said, "We have removed the Knowledge Base article because it was old and inaccurate." Yet the article was recently updated, on November 21, 2008, so it was certainly not old. The Apple spokesman went on to say that, "The Mac is designed with built-in technologies that provide protection against malicious software and security threats right out of the box." But the Apple spokesman also said, "Since no system can be 100% immune from every threat, running anti-virus software may offer additional protection."

Apple has gone from recommending that Mac users protect themselves with antivirus software to saying that Macs have "built-in technologies" that protect against "malicious software and security threats." And rather than make that technical note "new" and "accurate", they have simply deleted it. What can Mac users understand from these flip-flops?

What probably began as a simple technical note based on the real-world experience of one of Apple's knowledgeable technicians (whose competency is recognized) turned into a major issue that affected Apple's marketing strategy. Apparently, it was Apple's top management that decided to remove the Knowledge Base article. It's usually safer to trust those with hands-on experience rather than the creative minds who make up ad campaigns. While Apple may be worried about its reputation, you should consider what you have at stake if your Mac gets infected by malware. You could lose important files: your business files, digital music and movies, and the thousands of pictures of your family could be wiped out by a single infection.

Apple may, in fact, be acting irresponsibly by suggesting that an antivirus is not essential. In a way, it's as if they were saying you shouldn't lock the doors to your home. Sure, burglars aren't watching all the time to see if you've locked your door, but if someone turns the doorknob and finds it open, they're more likely to go inside.

So what's the truth about malware and Macs? Do you really need to run an antivirus on your Mac? We think so. Laurent Marteau, Intego's CEO, explains why.

1. How secure is Mac OS X?

Like every operating system, Apple software contains bugs and security flaws that need to be corrected. So far this year, Apple has needed to issuea total of 34 security updates, covering a number of products: Mac OS X, the iPhone, QuickTime (an essential part of Mac OS X), Safari, the Apple TV, iPhoto and more. New security flaws are discovered regularly.

If you count all of the updates that average Mac users need to keep their Macs safe - which includes updates to Mac OS X, QuickTime, Safari, iTunes and other iLife programs, and Java - there have been a total of 20 updates this year alone to stanch security flaws in Apple's "built-in technologies." This represents a couple of gigabytes of files to download, just to stay up-to-date for security issues.

2. Doesn't Apple issue security updates quickly?

Apple tends to act like an ostrich regarding security issues, and can take a long time to update its software for known security flaws. In some cases the company takes months to get around to releasing a security update, and in others security researchers go public with flaws they've discovered after finding that Apple hasn't reacted in months.

This means that between the time that a security flaw is discovered - and while security researchers find many of these flaws, they are also found at the same time by malware writers - Macs are vulnerable.

3. Is malware targeting Macs becoming more common?

While Mac malware is scarcer than Windows malware, Intego has issued eight security alerts or memos so far in 2008. These cover Trojan horses (and a number of variants of one Trojan horse that has infected many Macs), rogue "security software," a serious bug in QuickTime, a very serious Apple Remote Desktop flaw, and a hacker toolkit that can be used to create malware. We have seen more new Mac malware this year than at any time since the advent of Mac OS X.

In addition, as Mac market share increases, those writing malware for profit are more likely to want to target this growing demographic. We have seen several recent types of malware that get downloaded to Macs from web pages. In the past, these pages would only serve up Windows malware, but now they detect the user's platform to provide the appropriate version of the malware.

Mac users are generally less security-savvy than Windows users, who are familiar with the many security threats to their platform, and who are generally protected. Average Mac users who unintentionally download a Trojan horse are just as likely as Windows users to enter a user name and password to allow malware to install itself on their Macs.

4. Aside from Trojan horses, what other kinds of malware do we need to worry about?

One serious type of malware is macro viruses that affect Microsoft Word and Excel. These viruses spread among your Word and Excel applications and documents, and, unlike other types of malware, affect Macs and Windows alike. If a friend, colleague or business contact sends you a Word file that is infected with a macro virus, it can damage any or all of your Word documents, and be very difficult to remove.

While this doesn't affect Office 2008 (which has no Visual Basic for Applications, the engine that lets macros run), any Mac user running earlier versions of Microsoft Office (2004 or v. X) is at risk. In addition, the more people you exchange Word and Excel documents with, the greater the risk. While these programs have a security setting that tells the programs to display a warning when you open documents containing macros, this warning only lets you turn off all the macros in the document. Many users need macros, especially in Excel spreadsheets, and find it normal to receive documents containing them, so they are unlikely to want to deactivate them.

5. Do businesses need Mac antivirus software?

Yes, especially because people in businesses are more likely to exchange files. In an enterprise environment, a global security policy generally requires that all computers be protected from malware. Macs can pass on files that contain malware to Windows users, and one line of defense is to use a Mac antivirus (such as Intego VirusBarrier X5) that detects and stops Windows viruses as well as Mac malware.

6. If I install an antivirus program on my Mac, it will only detect viruses that already exist, right?

Quite the contrary. Efficient Mac antivirus programs (such as Intego VirusBarrier X5) use "behavioral analysis" and other techniques to detect potentially dangerous activity, so they can spot new malware based on actions it attempts to perform. In addition, Intego's Virus Monitoring Center is constantly on the lookout for new threats, and generally updates VirusBarrier's virus definitions within 24 hours of the discovery of a threat, which is usually before it has had much of a chance to spread. You have to make sure you keep your antivirus software up-to-date, of course, and install new virus definitions as soon as they are available.

7. Doesn't antivirus software slow down my Mac?

Intego VirusBarrier X5 certainly doesn't. Not only does it use very little memory, but also very little CPU time, when it runs in the background. At the same time, its real-time scanner checks every file that is saved, written or opened on your Mac, ensuring that you don't get infected.

8. Aren't you saying all this just to sell your software?

No. We certainly have to tell the truth to our customers, who count on us to keep their Macs protected; this is one of our roles as a Mac security company. Nevertheless, Mac OS X is still much more secure than Windows, and Mac users face far fewer security threats than Windows users. It is important for Mac users to become aware of the issues they face, and a combination of education and security software will ensure that their Macs remain protected.

Anti-vírus x Macs - Mais um round

2008-12-04T00:30:00.001-02:00

Esta semana, tivemos novamente a polêmica Mac versus vírus. Pois bem,
todo mundo sabe (até em Marte) que não existem vírus para Mac. Ponto.
Mas existem spywares (keyloggers, etc...). O problema não é esse.

O problema é que estão confundindo "vírus para Mac" com "vírus".
Simples assim. Não interessa que não existam vírus para Mac, o
problema é que existem vírus, e se você receber no seu Mac e repassar,
aí temos um problema.

As boas práticas (e a boa educação...) dizem que você não deve zelar
apenas pelo seu umbigo, mas sim contribuir para que uma atitude sua
não crie problemas para os outros.

"Ah, que se dane o Windows, que usa que se vire", é o discurso de quem
usa Mac (claro, nem todo mundo pensa assim). Mas não deveria ser.
responsabilidade social, sabe o que é isso? Então aplique!

E de novo, não estou recomendando a compra do Intego, Norton ou
Mcafee. Estou recomendando a a utilização do ClamXav, que é gratuito
(mas deixe de ser pão-duro, ou pão-dura, e faça uma doação no site) ou
do iAntiVirus (que também é gratuito, mas verifica apenas ameaças para
Mac. E ajude a fazer do mundo (ou pelo menos da internet) um lugar
melhor.

Apple pulls support note recommending antivirus software

2008-12-03T23:09:00.001-02:00

Apple pulls support note recommending antivirus software

By AppleInsider Staff

Published: 08:00 AM EST

Apple has removed a widely publicized support document from its website that encouraged Mac OS X users to install antivirus software, explaining that its operating system was designed with safeguards to protect against malicious attacks on its own.

The recommendation drew widespread attention given that the Mac maker has been critical in its television advertisements of Windows users' need to stock up on virus detection software while its own computers remain immune to viral threats.

It was later revealed that the document was about a year old and only caught the attention of industry watchers after Apple recently updated it to reflect changes in the version numbering of the antivirus software it was recommending.

"Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one application to circumvent, thus making the whole virus writing process more difficult," the document said, in part.

Speaking to CNet News.com, Apple spokesperson Bill Evans said the article was removed last night because it was deemed to be "old and inaccurate."

"The Mac is designed with built-in technologies that provide protection against malicious software and security threats right out of the box," he said. "However, since no system can be 100 percent immune from every threat, running antivirus software may offer additional protection."

TidBITS security editor Rich Mogull speculates that Apple may have never intended to urge Mac users to install antivirus software, and that the support article may have found its way to the company's website without being filtered through the proper channels.

For its part, CNet believes Apple's latest statement "poses more questions than it answers."

Cursos e Palestra Gratuita da Apple.

2008-12-02T21:55:00.001-02:00

Clique aqui para vizualizar esse e-mail no seu navegador!

Não quer receber mais? Clique Aqui!

Certificados Digitais

2008-11-30T09:59:00.000-02:00

O que é um Certificado Digital?

O Certificado Digital é um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa uma entidade (pessoa, processo, servidor) a uma chave pública.

Na prática, o Certificado Digital funciona como uma carteira de identidade virtual que permite a identificação segura de uma mensagem ou transação em rede de computadores. O processo de certificação digital utiliza procedimentos lógicos e matemáticos para assegurar confidencialidade e/ou integridade das informações e confirmação de autoria.

Um Certificado Digital é um arquivo no computador que identifica você. Alguns aplicativos de software utilizam esse arquivo para comprovar sua identidade para outra pessoa ou outro computador. Alguns exemplos típicos são:

- Quando você consulta seu banco on-line, este tem que se certificar de que você é a pessoa que pode receber a informação sobre a conta. Como uma carteira de motorista ou um passaporte, um Certificado Digital confirma sua identidade para o banco on-line.

- Quando você envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu Certificado Digital para assinar "digitalmente" a mensagem. Uma assinatura digital faz duas coisas: informa ao destinatário que o e-mail é seu e indica que o e-mail não foi adulterado entre o envio e o recebimento deste.

Um Certificado Digital normalmente contém as seguintes informações:

- Sua chave pública
- Seu nome e endereço de e-mail;
- A validade da chave pública;
- O nome da empresa (a Autoridade Certificadora - CA ou AC) que emitiu seu Certificado Digital;
- O número de série do Certificado Digital;
- A assinatura digital da CA.

O que é um par de chaves de Certificado Digital?

Quando você se comunica com outra pessoa (ou computador), precisa de um ambiente seguro para trocar informações, de modo que ninguém as possa interceptar e ler. Atualmente, a maneira mais avançada de criptografar (embaralhar) dados é através de um sistema que utiliza pares de chaves. Um par de chaves é formado por uma chave pública e uma privativa. Estas são utilizadas como as chaves de uma fechadura, sendo que uma chave serve para proteger a fechadura e outra, para abri-la.
Quando você tem um par de chaves, seu aplicativo de software utiliza uma chave para criptografar o documento. Este, ao ser recebido, só poderá ser lido com o auxílio de uma chave correspondente, que irá decriptografar a mensagem. O problema com esse processo é como dar a alguém a "chave" para decriptografar sua mensagem, sem que ela caia nas mãos de outra pessoa?

A solução está na maneira como as chaves são utilizadas. Você cria uma chave privativa, que só pode ser usada com o Certificado Digital que você pediu, e uma chave pública, que passa a fazer parte do Certificado Digital. O navegador pode pedir a senha quando você acessar a chave privativa. É muito importante que você escolha uma senha que só você conheça. Não escolha seu aniversário, outras datas pessoais ou frases que alguém possa adivinhar.

Depois de receber e instalar o Certificado Digital, você pode distribui-lo a quem quiser. O Certificado Digital que você envia contém sua chave pública. Quando alguém quiser enviar uma mensagem criptografada para você, usará sua chave pública. A mensagem criptografada com sua chave pública somente poderá ser decriptografada por você, pois só você possui sua chave privativa.

Da mesma forma, quando você quiser enviar uma mensagem criptografada, primeiro você deverá obter a chave pública do destinatário. Isso pode ser feito procurando numa listagem ou pedindo que lhe enviem um e-mail assinado com o respectivo Certificado Digital, contendo a chave pública necessária. Seu aplicativo de e-mail pode guardar o Certificado Digital para quando este for necessário.

O que é Assinatura Digital?

A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática que utiliza criptografia e permite aferir, com segurança, a origem e a integridade do documento. A assinatura digital fica de tal modo vinculada ao documento eletrônico que caso seja feita qualquer alteração a assinatura se torna inválida. A técnica permite não só verificar a autoria do documento, como estabelece também uma "imutabilidade lógica" de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura.

Quais as aplicações da Assinatura Digital?

São infinitas as possibilidades de aplicações da assinatura digital, dentre elas encontram-se as seguintes: - comércio eletrônico; - processos judiciais e administrativos em meio eletrônico; - facilitar a iniciativa popular na apresentação de projetos de lei, uma vez que os cidadãos poderão assinar digitalmente sua adesão às propostas; - assinatura da declaração de renda e outros serviços prestados pela Secretaria da Receita Federal; - obtenção e envio de documentos cartorários; - transações seguras entre instituições financeiras, como já vêm ocorrendo desde abril de 2002, com a implantação do Sistema de Pagamentos Brasileiro - SPB; - Diário Oficial Eletrônico; - identificação de sítios na rede mundial de computadores, para que se tenha certeza de que se está acessando o endereço realmente desejado;

O que é uma Autoridade Certificadora (AC)?

Uma CA (Autoridade Certificadora) é a empresa que emite um Certificado Digital para você. A sua CA pode ser a empresa para a qual você trabalha ou uma empresa que você paga para emitir Certificados Digitais.

O que é infra-estrutura de chave pública (PKI ou ICP)?

A PKI refere-se a um processo que utiliza chaves públicas e Certificados Digitais para garantir a segurança do sistema e confirmar a identidade de seus usuários. Por exemplo, uma empresa pode usar a PKI para controlar o acesso a sua rede de computadores. No futuro, as empresas poderiam usar a PKI para controlar o acesso a tudo, desde a entrada nos prédios até a obtenção de mercadorias.
A PKI permite que pessoas e empresas realizem negócios em particular. Os funcionários podem enviar e-mails pela Internet com segurança, sem se preocupar com a sua interceptação por um concorrente. As empresas podem construir sites privativos, enviando informações somente para clientes conhecidos.

A PKI baseia-se em um sistema de confiança, no qual duas partes (pessoas ou computadores) confiam mutuamente em uma CA (ou AC - Autoridade Certificadora) para verificar e confirmar a identidade de ambas as partes. Por exemplo, a maioria das pessoas e empresas confia na validade de uma carteira de habilitação de motorista ou em um passaporte. Isto ocorre porque elas confiam na forma pela qual o governo emite estes documentos. Entretanto, uma caderneta de estudante é normalmente aceita como prova de sua identificação apenas para a escola que a emite. O mesmo vale para os Certificados Digitais.

Com a PKI, ambas as partes de uma transação (seja ela um banco on-line e seus clientes ou um empregador e seus funcionários) concordam em confiar na CA que emite seus Certificados Digitais. Normalmente, o aplicativo de software que utiliza seu Certificado Digital tem algum mecanismo para confiar nas CAs. Por exemplo, um navegador contém uma lista das CAs em que confia. Quando é apresentado ao navegador um Certificado Digital (por exemplo, de um shopping on-line realizando comércio seguro), ele consulta a CA que emitiu o Certificado Digital. Se a CA estiver na lista de CAs confiáveis, o navegador aceita a identidade do site da Web e exibe a página da Web. Entretanto, se a CA não estiver na lista de CAs confiáveis, o navegador exibe uma mensagem de aviso que lhe pergunta se você deseja confiar na nova CA. Geralmente seu navegador lhe dá opções para confiar permanente ou temporariamente na CA ou não confiar em absoluto. Como usuário, você tem controle sobre em qual(is) CA(s) deseja confiar, porém o gerenciamento da confiança é feito pelo aplicativo de software (neste exemplo, pelo navegador).

O que é a ICP- Brasil?

O Brasil montou sua infra-estrutura de chaves-públicas denominada ICP-Brasil. Trata-se de um conjunto de regras e normas, baseadas em padrões públicos internacionais, que são definidas no país por um comitê gestor composto por representantes do governo e da sociedade civil. Essas técnicas, práticas e procedimentos que foram traçadas pelo seu Comitê Gestor com o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em chave pública.

O modelo adotado foi o de certificação com raíz única. O Instituto Nacional de Tecnologia da Informação - ITI está na ponta desse processo como Autoridade Certificadora Raiz/AC Raiz da Infra-Estrutura de Chaves Públicas Brasileira. Cabe ao instituto credenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.

Qual a estrutura da ICP-Brasil?

A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. COMITÊ GESTOR O Comitê Gestor da ICP-Brasil vincula-se à Casa Civil da Presidência da República.

É composto por cinco representantes da sociedade civil, integrantes de setores interessados, e um representante de cada um dos seguintes órgãos: Ministério da Justiça; Ministério da Fazenda; Ministério do Desenvolvimento, Indústria e Comércio Exterior; Ministério do Planejamento, Orçamento e Gestão; Ministério da Ciência e Tecnologia; Casa Civil da Presidência da República e Gabinete de Segurança Institucional da Presidência da República.

Sua principal competência é determinar as políticas a serem executadas pela Autoridade Certificadora-Raiz. AUTORIDADE CERTIFICADORA RAIZ – AC RAIZ A AC-Raiz da ICP-Brasil é o Instituto Nacional de Tecnologia da Informação – ITI, autarquia federal vinculada à Casa Civil da Presidência da República. AUTORIDADES CERTIFICADORAS - AC As Autoridades Certificadoras são entidades públicas ou pessoas jurídicas de direito privado credenciadas à AC-Raiz e que emitem certificados digitais vinculando pares de chaves criptográficas ao respectivo titular. Nos termos do art. 60 da MP 2.200/01, compete-lhes "emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações". AUTORIDADES DE REGISTRO - AR As Autoridades de Registro também podem ser tanto entidades públicas ou pessoas jurídicas de direito privado credenciadas pela AC-Raiz e sempre serão vinculadas operacionalmente a determinada AC. Nos termos do art. 70 da MP 2.200-2, compete-lhes "identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações".

Autoridades Certificadoras credenciadas pela ICP-Brasil

. Serpro
. Caixa Econômica Federal
. Serasa
. Secretaria da Receita Federal (SRF)
. Certsign
. Autoridade Certificadora da Presidência da República -ACPR
. Autoridade Certificadora da Justiça (AC-JUS)
. AC-SINCOR

NIST Released 3 Security Publications

2008-11-27T23:04:00.001-02:00

NIST is proud to announce the release of 3 documents -
1. Draft FIPS Publication 186-3
2. Draft Special Publication (SP) 800-102
3. Special Publication 800-108
See below for full details on these 3 documents.

Document #1 - Draft FIPS 186-3
As stated in November 12th Federal Register Notice, NIST requests final comments on FIPS 186-3, the proposed revision of FIPS 186-2, the Digital Signature Standard. The draft defines methods for digital signature generation that can be used for the protection of messages, and for the verification and validation of those digital signatures using DSA, RSA and ECDSA. Please submit comments to ebarker@nist.gov with "Comments on Draft 186-3" in the subject line. The comment period closes on Friday, December 12, 2008.

URL to Federal Register Notice:
http://csrc.nist.gov/fedreg/FRN_Nov12-2008_Vol73No219_FIPS186-3.pdf

URL to Draft FIPS 186-3:
http://csrc.nist.gov/publications/PubsDrafts.html#FIPS-186--3

Document #2 - Draft Special Publication (SP) 800-102
NIST requests comments on Draft SP 800-102, Recommendation for Digital Signature Timeliness. This Recommendation provides methods for obtaining assurance about the time that a message was signed. The concepts in this Recommendation were presented in the original public comment draft of FIPS 186,3, The Digital Signature Standard. Please provide comments to ebarker@nist.gov by December 19, 2008, with "Comments on SP 800-102" in the subject line.

URL to Draft SP 800-102:
http://csrc.nist.gov/publications/PubsDrafts.html#800-102

Document #3 - SP 800-108
The National Institute of Standards and Technology (NIST) is pleased to announce the release of Special Publication 800-108. Recommendation for Key Derivation Using Pseudorandom Functions. This Recommendation specifies techniques for the derivation of additional keying material from a secret cryptographic key using pseudorandom functions. This key can be either established through a key establishment scheme or shared through some other manner.

URL to SP 800-108
http://csrc.nist.gov/publications/PubsSPs.html#800-108

Lula sanciona lei contra exploração sexual de crianças na internet

2008-11-25T22:36:00.001-02:00

Leia aqui.

Antivirus para Apple

2008-11-25T21:59:00.001-02:00

A Apple divulgou uma nota na qual encoraja o uso de antivírus nos Macs. Ela inclusive sugere o uso de três marcas:

. Intego

. Symantec

. Mcafee

Pena que esqueceu do ClamXav...

Veja a nota completa aqui.

WPA Wi-Fi Encryption Cracked

2008-11-13T01:08:00.001-02:00

Macworld is reporting that WPA encryption, the most commonly-used encryption for wi-fi networks, has been cracked. Long considered sturdier than WEP, the original form of encryption used on wi-fi networks, it now seems that WPA will need to be supplanted by a newer, more robust form of encryption.

Researcher Erik Tews found a way to use a "mathematical breakthrough" to find the key and intercept data coming from computers to routers over a wireless network. This is problematic because many businesses have only recently migrated from the less secure WEP, and will now need to move to a newer technology such as WPA2, which will require updating a lot of hardware and software. In addition, many existing devices can only use WPA or the older WEP.

Wi-fi security is essential, because of the way networks are accessible from unprotected points. This new challenge to security will necessitate a rapid response from vendors of wi-fi hardware.

Intego warns against MacGuard malware

2008-10-26T13:52:00.001-02:00

by Peter Cohen, Macworld.com

Intego, makers of VirusBarrier and other security software for the Macintosh, issued a security warning for Mac users on Friday advising them against the use of an application called "MacGuard." The company describes MacGuard as "a rogue program."

Intego says MacGuard claims to be "Macintosh antivirus software." But MacGuard is allegedly a clone of a Windows application called Winiguard, which is also malware which hijacks a user's computer and displays exaggerated claims of spyware.

Clues as to the software's dubious background include poorly-pasted Apple graphics, language containing many spelling errors, and a lack of features consistent with a Mac-specific security program, according to Intego.

Intego suspects the developers of the MacGuard software may be trying to harvest credit card numbers or may be laying the groundwork for an even more invasive attempt at distributing Mac malware in the future.

"Intego is issuing this memo to help Mac users understand that not every program that claims to protect Macs is indeed reliable, and that this one is potentially dangerous," said a statement provided by the company.

NIST Released 2 Publications

2008-10-17T16:53:00.001-03:00

NIST Released 2 Publications - 1 Federal Information Processing Standard (FIPS) and 1 Special Publication (SP), all links below point to NIST CSRC website - see below for details:

#1: FIPS Publication 180-3 Secure Hash Standard (SHS) has been released

The National Institute of Standards and Technology (NIST) is pleased to announce the approval of Federal Information Processing Standard (FIPS) Publication 180-3, Secure Hash Standard (SHS), a revision of FIPS 180-2. The Federal Register Notice (FRN) of the approval is available here. The FIPS specifies five secure hash algorithms for use in computing a condensed representation, called a message digest, of electronic data. The five secure hash algorithms are used with other cryptographic algorithms, such as digital signature algorithms, keyed hash message authentication codes or in the generation of random numbers.

URL to -
Federal Register Notice:
http://csrc.nist.gov/fedreg/FedRegNotice_Approval-FIPS180-3.pdf

FIPS 180-3 document:
http://csrc.nist.gov/publications/PubsFIPS.html#FIPS-180--3

--------------------------------------------------------------------------------

#2: NIST Releases Special Publication 800-68 Revision 1

Special Publication (SP) 800-68 Revision 1, Guide to Securing Microsoft Windows XP Systems for IT Professionals, has been published as final. It seeks to assist IT professionals in securing Windows XP Professional systems running Service Pack 2 or 3. The guide provides detailed information about the security features of Windows XP and security configuration guidelines. SP 800-68 Revision 1 updates the original version of SP 800-68, which was released in 2005.

URL:
http://csrc.nist.gov/itsec/download_WinXP.html

---------------------
To unsubscribe from this list send e-mail to listproc@nist.gov and type in the body of the e-mail message:
unsubscribe compsecpubs

Reminder: You need to make sure that you are unsubscribing from the original e-mail address that you subscribed to this list from. If not, you will receive an error message. If that is the case, send patrick.oreilly@nist.gov an e-mail and I will have to manually delete your email address from the listproc system. To save time - please provide me with your old email address that you subscribed to the list. Thanks.

Pat O'Reilly
List Administrator
Computer Security Division
NIST

Nova versão do ClamXav

2008-10-15T19:33:00.001-03:00

Está disponível a nova versão do ClamXav (1.1.1 com ClamAV 094).

Faça o download aqui .

File Vault Imaging: Apple's Dirty Little Secrets

2008-10-14T11:13:00.001-03:00

Excelente artigo sobre o FileVault da Apple: http://zdziarski.com/papers/filevault.html

Último Dia Inscrições com Valores Especiais - Congresso de Governança - Brasília!

2008-10-13T20:52:00.001-03:00


	Imperdível: Último Dia Valor Promocional 13/10! Palestras Técnicas e Casos de Sucesso	Boletim nº 06- 09/10/2008

ATENÇÃO!!
Hoje, 13/10, último dia Inscrições com valores.

Estamos aguardando por você!!!

&
Essas atividades compreendem em apresentações de experiências bem-sucedidas de implantação de TI na prestação de serviços, abrangendo as metodologias e ferramentas utilizadas.

Gestão Integrada de Riscos alinhada aos Objetivos Estratégicos - Atuação inovadora de Compliance / Controles Internos
Luiz Fernando Furlan - Itaú-BBA
Conteúdo:
A Gestão Integrada de Riscos é parte integrante e fundamental da Governança Corporativa.
O objetivo é apresentar um modelo de Gestão Integrada de Riscos alinhada com os objetivos estratégicos da corporação, envolvendo às áreas abaixo, com diferencial na atuação do Compliance....

Aplicação de melhoras práticas em gerenciamento de serviços de TI
Odilon Braz Faria Neto - Universidade de Brasília
Conteúdo:
Este artigo visa apresentar as estratégias adotadas por um núcleo acadêmico da Universidade de Brasília (UnB) para melhorar a qualidade de seus serviços de Tecnologia de Informação (TI). A estratégia utilizada considerou a aplicação da biblioteca de melhores práticas ITIL  Information Technology Infrastructure Library e a utilização de um método específico de aplicação das disciplinas do ITIL, denominado de Operações Visíveis (The Visible Ops).

GRC – Governança, Risco e Conformidade como instrumento de integração da Segurança da Informação aos Negócios
Wagner Moreira da Silva - Fundação CPqD - Centro de P&D em Telecom
Conteúdo:
O tema "GRC – Governança, Risco e Conformidade como Instrumento de Integração da Segurança da Informação aos Negócios". A Segurança da Informação tratada isoladamente leva à falta de conexão entre o programa de segurança da informação e o negócio. O foco estritamente técnico pode criar uma barreira quase intransponível. Assim, urge a necessidade de se integrar a SI aos objetivos do negócio......

Gestão, Governança e Sustentabilidade para o Processo de Segurança da Informação
Edison Luiz Gonçalves Fontes
conteúdo:
Governança, gestão e sustentabilidade são abordagens que cada vez mais estão sendo exigidas para o processo de segurança da informação. Muito se fala desses temas. Mas, na prática o que é cada um dessas exigências e como isso pode ser considerado no processo de segurança da informação?
Como o profissional de segurança da informação deve tratar esses assuntos? Agregam melhorias à qualidade da proteção da informação ou são apenas novos termos de um modismo do mundo organizacional?.....

Governança Corporativa: O Reconhecimento da Governança Tecnológica
José Maurício dos Santos Pinheiro - Fundação Oswaldo Aranha
Conteúdo:
Num cenário de extrema competitividade, as novas estratégias de negócios estão cada vez mais associadas à área de Tecnologia da Informação. Entretanto, sem um conhecimento detalhado da estrutura existente e das práticas gerenciais em vigor é impossível tecer recomendações apropriadas para um ambiente de trabalho específico. Assim, a Tecnologia da informação, como qualquer área funcional, necessita de processos gerenciais bem definidos, que orientem a gestão dos seus recursos....

legenda: casos de sucesso

Conheça a programação completa , criteriosamente elaborada para abordar o mais completo temário reunido num evento de GOVERNANÇA em BRASÍLIA.
Acesse o link www.governancati.com.br/df

Além de Atualização e Capacitação Profissional, a 2ª Edição do Congresso de Governança de TI - Brasília,ainda oferece aos participantes Convivência e Relacionamento com os principais profissionais de TI do mercado.

Essa é a nossa proposta !!!

Formas de Participação www.governancati.com.br/df/inscricao	Valor Promocional hoje último dia - 13 de outubro
VAGAS LIMITADAS

Central de Atendimento e Informações
Aguardamos pelo seu contato pelo telefone : 11 55313899 ramal 213 ou por e-mail governancati@ideti.com.br

LOCAL DO EVENTO

Quality Suítes Lakeside

SHTN Trecho 1 Lote 2 Projeto Orla 3 -

Brasília - DF

ORGANIZAÇÃO E REALIZAÇÃO

Para solicitar a retirada de nossa lista de distribuição clicar aqui.

Artigo sobre segurança no Mac OS X

2008-10-12T21:24:00.001-03:00

Veja nosso artigo sobre segurança no Mac O X, publicado pela revista Mac+. Clique aqui .

iAntiVirus

2008-10-12T21:16:00.001-03:00

A PCTools liberou a versão 1.1 do iAntiVirus (agora não é mais beta!), a proteção contra virus e outros malwares para Mac OS X. Agora, o banco de dados inclui a detecção de 86 ameaças.

Faça o download aqui .

Blog iAntiVirus

2008-10-02T16:41:00.001-03:00

Acompanhe o desenvolvimento do iAntiVirus (o antivírus para Mac) no blog: http://blog.iantivirus.com. Vem aí a versão 1.1!

Falha de segurança no iPhone expõe dados pessoais

2008-08-28T16:44:00.000-03:00

Falha de segurança no iPhone expõe dados pessoais

Quinta, 28 de agosto de 2008, 13h43

Uma falha de segurança no iPhone, da Apple, permite que usuários não autorizados obtenham facilmente acesso a contratos privados e e-mails, mesmo que o aparelho esteja travado. A companhia informou que a solução já está a caminho.

» Software do iPhone ganha correção
» Chip seria causa de problema no iPhone
» Venda de iPhone no Brasil é autorizada
» Fórum: opine sobre as falhas no iPhone

O popular blog de tecnologia Gizmodo e um fórum online operado pelo site Mac Rumors mostraram que bastam três comandos para conseguir acesso a iPhones travados que operam com o mais recente software iPhone 2.02.

Uma porta-voz afirmou em e-mail que a Apple está a par do problema e preparando um software que o corrigiria. Enquanto isso, ela recomendou que os usuários usem o botão "Home" do iPhone para abrir a coleção de música do aparelho em lugar do cardápio de "Favorites".

A porta-voz não informou quando a atualização de software estará disponível.

A falha pode representar um revés temporário para os ambiciosos planos da Apple para competir com a Research in Motion, cujo celular inteligente BlackBerry se tornou uma referência de mercado entre usuários empresariais de todo o mundo.

No começo de agosto, o grupo de pesquisa Gartner divulgou um relatório no qual afirmava que o software do iPhone havia cumprido os requisitos mínimos para uso empresarial, ainda que persistissem algumas questões. O autor do relatório, Ken Dulaney, não foi localizado imediatamente.

Na semana passada, a Apple lançou uma atualização para o software do iPhone que supostamente corrigiu os problemas que o aparelho apresentava na conexão com redes de terceira geração (3G), depois de receber uma série de queixas online de clientes de todo o mundo.

A Apple, que lançou o novo iPhone 3G em 11 de julho em 22 países, anunciou que espera vender 10 milhões de aparelhos até o final de 2008.

Reuters

Leia esta notícia no original em:
Terra - Tecnologia
http://tecnologia.terra.com.br/interna/0,,OI3142190-EI4796,00.html

EUA indiciam 11 em 'maior caso de fraude' da sua história

2008-08-05T21:02:00.003-03:00

05/08/2008 - 20h03

Autoridades americanas indiciaram 11 pessoas suspeitas de envolvimento no roubo de informações sobre cartões de crédito no maior caso de roubo de identidade da história dos Estados Unidos.

Os 11, que são de cinco países diferentes, são acusados de roubar mais de 40 milhões de números de cartões de débito e crédito e depois vendê-los em uma "conspiração internacional". Eles teriam invadido sistemas de computadores usados por comerciantes e bancos para instalar softwares que lhes davam acesso a dados confidenciais.

Entre as lojas que tiveram seus sistemas invadidos, estavam redes populares como a TJ Maxx (de roupas) e a Barnes & Noble (de livrarias).

O Departamento de Justiça dos Estados Unidos definiu o golpe como "o maior e mais complexo caso de roubo de identidade" a resultar em acusações formais. Segundo o departamento, o caso provocou prejuízos "generalizados" entre bancos, comerciantes e consumidores comuns. "Este caso destaca a nossa crescente vulnerabilidade ao roubo de informações pessoais", afirmou o secretário de Justiça dos EUA, Michael Mukasey.

"Casos como este mandam uma mensagem clara àqueles que podem se sentir tentados a abusar das nossas redes de computadores para roubar informação e prejudicar pessoas e negócios que respeitam as leis." A investigação contou com a cooperação de outros países, incluindo Turquia e Alemanha.

O governo americano tem tentado melhorar a sua abordagem para crimes de roubo de identidade, que têm um custo estimado em bilhões de dólares todos os anos para o país. Em 2006, o governo do presidente George W. Bush instituiu um grupo de trabalho com 17 departamentos e agências federais.

Descoberta fraude envolvendo ingressos para Olimpíadas de Pequim

2008-08-04T17:26:00.001-03:00

Absolutamente tudo sobre esporte!

Descoberta fraude envolvendo ingressos para Olimpíadas de Pequim

Site vendeu bilhetes falsos para pessoas de vários lugares do mundo

DAS AGÊNCIAS DE NOTÍCIAS Pequim

Autoridades chinesas afirmaram nesta segunda-feira que pessoas de todo o mundo foram enganadas por um esquema de vendas pela internet de ingressos falsificados para as Olimpíadas de Pequim.

O COI (Comitê Olímpico Internacional) adotou medidas para fechar os sites envolvidos no esquema, mas parece ser tarde demais para que as vítimas consigam novos ingressos. Entre os prejudicados estão famílias de atletas da Nova Zelândia e da Austrália, além de pessoas nos EUA, Japão, Noruega, China e Grã-Bretanha.

- Não podemos aceitar que as pessoas paguem e fiquem sem ingressos - diz Gerhard Heiberg, membro da diretoria do COI, em declarações à agência Reuters.

Um advogado americano afirmou ter perdido US$ 12 mil (cerca de R$ 19 mil) com a fraude e agora acusa o COI de ser complacente.

- Eles sabiam desses sites há meses e não fizeram nada - afirma Jim Moriarty, membro de um escritório de advocacia de Houston que tenta representar as vítimas em eventuais ações.

Apesar do processo aberto pelo COI, um dos sites acusados - www.beijingticketing.com - continuava a funcionar nesta segunda-feira, oferecendo cadeiras para vários eventos, entre eles a cerimônia de abertura, por até US$ 2.150 (R$ 3.350). No site há dois números de telefone, um de Londres e um de Phoenix (EUA).

Habilitar criptografia SSL no Google.

2008-07-28T10:46:00.001-03:00

Você pode habilitar a criptografia para acesso ao Gmail, não apenas para o login, mas permanentemente.

Essa característica nova permite trabalhar com mais segurança (apesar de tornar a conexão um pouco mais lenta). Para isso, vá nas configurações após efetuar o login, e habilitae a opção:

SLIPOC – Root Exploit of Mac OS X

2008-07-21T20:07:00.000-03:00

Foi divulgado um kit de exploração de vulnerabilidade no Mac OS X: http://rixstep.com/2/4/20080718,00.shtml

Apesar de ser apenas uma "Prova de Conceito", é para começar a se
preocupar.

Intego lança antimalware para iPhone e iPod Touch

2008-07-17T17:45:00.000-03:00

A solução de antivírus X5 da Intego para Mac agora permite inspecionar se existe malware em iPhones e iPod Touch.

Veja o anúncio completo em: http://www.intego.com/news/pr115.asp

CISA, CISM, CGEIT December Exam Registration Now Open

2008-07-17T17:42:00.001-03:00

For those interested, or if you know someone that might be, the 13 December 2008 CISA, CISM and CGEIT certification exams are now open for registration. After this December date, June 2009 will be the next opportunity to sit for an exam. To register for the December exam, please visit www.isaca.org/examreg. For additional information on ISACA's world-class certifications, visit www.isaca.org/certification.

Novo antivirus para Mac

2008-06-30T12:14:00.001-03:00

A PC Tools lançoua versão para Mac de seu antivírus iAntiVirus. Você pode baixar uma versão e testar em: http://www.iantivirus.com/

Novo trojan para Mac

2008-06-20T03:29:00.001-03:00

A Securemac divulgou ter encontrado um novo trojan que afeta mac OS X
10.4 e 10.5. E um Apple script, que está sendo distribuído pelo iChat
e Limewire.

Segundo a empresa, ele permite logar e enviar senhas pessoais e do
sistema, e roda oculto.

A boa notícia é que, como os demais, você precisa fazer o download e
executá-lo para ser infectado. Na dúvida, baixe e execute o MacScan,
que já detecta esse trojan.

Saiba mais em: http://macscan.securemac.com/security-advisory-applescripttht-trojan-horse/#more-43

APPLE-SA-2008-06-19 Safari v3.1.2 for Windows

2008-06-19T18:02:00.001-03:00

Seguem as correções para o bug do Safari para Windows.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

APPLE-SA-2008-06-19 Safari v3.1.2 for Windows

Safari v3.1.2 for Windows is now available and addresses the
following issues:

Safari
CVE-ID: CVE-2008-1573
Available for: Windows XP or Vista
Impact: Viewing a maliciously crafted BMP or GIF image may lead to
information disclosure
Description: An out-of-bounds memory read may occur in the handling
of BMP and GIF images, which may lead to the disclosure of memory
contents. This update addresses the issue by performing additional
validation of BMP and GIF images. This issue is addressed in systems
running Mac OS X v10.5.3, and in Mac OS X v10.4.11 with Security
Update 2008-003. Credit to Gynvael Coldwind of Hispasec for reporting
this issue.

Safari
CVE-ID: CVE-2008-2540
Available for: Windows XP or Vista
Impact: Saving untrusted files to the Windows desktop may lead to
the execution of arbitrary code
Description: An issue exists in how the Windows desktop handles
executables. Saving an untrusted file to the Windows desktop may
trigger the issue, and lead to the execution of arbitrary code. Web
browsers are a means by which files may be saved to the desktop. To
help mitigate this issue, the Safari browser has been updated to
prompt the user prior to saving a download file. Also, the default
download location is changed to the user's Downloads folder on
Windows Vista, and to the user's Documents folder on Windows XP. This
issue does not exist on systems running Mac OS X. Additional
information is available from
http://www.microsoft.com/technet/security/advisory/953818.mspx which
credits Aviv Raff with reporting the issue.

Safari
CVE-ID: CVE-2008-2306
Available for: Windows XP or Vista
Impact: Visiting a malicious website which is in a trusted Internet
Explorer zone may lead to the automatic execution of arbitrary code
Description: If a website is in an Internet Explorer 7 zone with the
"Launching applications and unsafe files" setting set to "Enable", or
if a website is in the Internet Explorer 6 "Local intranet" or
"Trusted sites" zone, Safari will automatically launch executable
files that are downloaded from the site. This update addresses the
issue by not automatically launching downloaded executable files, and
by prompting the user before downloading a file if the "always
prompt" setting is enabled. This issue does not exist on systems
running Mac OS X. Credit to Will Dormann of CERT/CC for reporting
this issue.

WebKit
CVE-ID: CVE-2008-2307
Available for: Windows XP or Vista
Impact: Visiting a maliciously crafted website may lead to an
unexpected application termination or arbitrary code execution
Description: A memory corruption issue exists in WebKit's handling
of JavaScript arrays. Visiting a maliciously crafted website may lead
to an unexpected application termination or arbitrary code execution.
This update addresses the issue through improved bounds checking.
Credit to James Urquhart for reporting this issue.

Safari v3.1.2 for Windows is available via the Apple Software Update
application, or Apple's Safari download site at:
http://www.apple.com/safari/download/

Safari for Windows XP or Vista
The download file is named: "SafariSetup.exe"
Its SHA-1 digest is: c63db818658532d3ff2762378b0b7b7e6aace0d6

Safari+QuickTime for Windows XP or Vista
The file is named: "SafariQuickTimeSetup.exe"
Its SHA-1 digest is: 22ebca0a88b5814e22f015daea1be27489e6e7be

Information will also be posted to the Apple Security Updates
web site: http://support.apple.com/kb/HT1222

This message is signed with Apple's Product Security PGP key,
and details are available at:
http://www.apple.com/support/security/pgp/

-----BEGIN PGP SIGNATURE-----
Version: 9.7.2.1608

wsBVAwUBSFqRZHkodeiKZIkBAQgxiAf9HapNeskNLM++Bjfc3T37jpGOe1LRPdMc
GNuCnUIrHzVcr5ZenYRwndz1LtH0Ui6kCo7sazGYAbqEZjNmFUusdByOIo6KikKf
ejntmZsgRGLh7qlTOCwBO/9DptAfrGWQZMqhES1u/enfKjBgg/2ijq/DZhhBlTrA
QQBp6xtDk8aIiIui8UdYFSauyoSOAuomaHTtMU2Wis6h2hHE8rmwG9/9TRZo5Woc
SkzeDi0pjxpyCrEQ3LARBxMd3eEaZx/+2PQeY30m3VKKpenUuj+G7D7Ejz+Uu7Nk
ej6u3zdHmnHAcoAE9gmOPxKCZ0XemzuULzi824EN+aLkqHz0CgWNSg==
=iDKS
-----END PGP SIGNATURE-----

Divulgado código de atque ao Safari ("Carpet Bomb")

2008-06-10T21:20:00.000-03:00

Hoje foi publicado um código que explora falhas críticas no Safari e
Internet Explorer, mas rodando em Windows.

Esse código permite executar código não-autorizado em um computador. A
Apple insiste que não se trata de uma falha, mas a Microsoft divulgou
um alerta, logo deduz-se que ela já esteja trabalhando em uma
correção. O problema parece que está relacionado ao modo do Windows
trabalhar com executáveis.

PGP lança autenticação e criptografia pré-boot para Mac

2008-06-09T10:50:00.001-03:00

A PGP informou que irá lançar em breve seu sistema de criptografia e autenticação pré-boot para a plataforma Mac. Saiba mais em http://www.pgp.com/products/wholediskencryption/osx.html

Novo "spyware" para Mac OS X

2008-06-04T15:18:00.002-03:00

A Spectorsoft acaba de lançar a versão para Mac OS X de seu software de monitoramento. Assim como a versão para Windows, ele grava telas, o que é digitado, etc...

Maiores informações: http://www.spectorsoft.com/products/Spector_Macintosh/entry.asp?refer=31010

Apple lança guia de configuração segura do Mac OS X 10.5 Leopard

2008-06-03T21:33:00.001-03:00

Apple lança guia de configuração segura do Mac OS X 10.5 Leopard

Documento de 240 páginas resume instruções e recomendações para tornar mais segura a instalação e utilização do sistema operacional Mac OS X 10.5 Leopard.

FONTE: APPLEMANIA

A Apple acaba de lançar o "Mac OS X Security Configuration For Version 10.5 Leopard", um guia de 240 páginas que fornece instruções e recomendações para tornar mais segura a instalação e utilização do sistema operacional Mac OS X 10.5 Leopard e para manter o computador seguro.

Segundo o documento, a versão 10.5 Leopard do Mac OS X oferece as seguintes melhorias na segurança:

Mais proteção contra cavalos de tróia — O Mac OS X 10.5 marca os arquivos baixados para ajudar a prevenir o usuário contra a execução de códigos maliciosos baixados da Internet;
Segurança de tempo de execução mais forte — Novas tecnologias, como bibliotecas aleatórias e ajuda tipo sandboxing, impedem ataques que assumam o controle da máquina ou modifiquem o software de seu sistema;
Segurança em rede mais fácil — Após ativar o novo firewall do Mac OS X 10.5, ele se configura sozinho, de modo que o usuário pode beneficiar-se da proteção do firewall sem precisar entender detalhes de portas de rede e protocolos;
Melhoria da segurança em conectividade — O suporte a rede privada virtual (VPN) foi melhorada para a conexão com os mais populares servidores VPN sem software adicional;
Alertas de segurança mais significativos — Quando o usuário recebe alertas de segurança e questionamentos com frequência, podem acabar respondendo as perguntas por instinto quando o sistema lhes faz perguntas envolvendo segurança, clicando em OK sem pensar. O Mac OS X 10.5 minimiza o número de alertas de segurança, de modo que, quando um é exibido, efetivamente captura a atenção do usuário.

O guia é dividido em treze capítulos e dois apêndices, conforme segue:

Capítulo 1: Introdução à Arquitetura de Segurança do Mac OS X — explica a infraestrutura do Mac OS X e discute os níveis de segurança do sistema;
Capítulo 2: Instalação do Mac OS X — descreve como instalar o sistema e suas atualizações de forma segura e explica o que são as permissões e como repará-las;
Capítulo 3: Protegendo o Hardware do Sistema — explica como proteger fisicamente o hardware contra ataques e como assegurar a segurança nas configurações que afetam os usuários do computador;
Capítulo 4: Tornando Seguras as Configurações Globais do Sistema — fala de firmware e inicialização e traz informações sobre os logs de monitoração do sistema;
Capítulo 5: Tornando as Contas de Usuário Seguras — descreve os tipos de contas de usuário e como configurá-las de forma segura, incluindo a conta do administrador do sistema, o uso do Open Directory e autenticação forte;
Capítulo 6: Tornando as Preferências de Sistema Seguras — descreve configurações recomendadas para fortalecer a segurança das preferências do Mac OS X;
Capítulo 7: Tornando os Dados Seguros e Usando Criptografia — descreve como encriptar dados e como usar o Secure Erase para verificar que dados antigos tenham sido completamente removidos;
Capítulo 8: Tornando Seguro o Arquivo de Troca do Sistema e o Armazenamento da Hibernação — descreve como proteger dados nas duas circunstâncias;
Capítulo 9: "Evitando Múltiplos Acessos Simultâneos a Contas — descreve como evitar a troca rápida de usuário e o acesso à conta local do computador;
Capítulo 10: Garantindo a Segurança dos Dados com Backups — descreve a arquitetura do Time Machine e como fazer backup e recuperação de dados de forma segura;
Capítulo 11: Garantia de Segurança com Aplicações — descreve como proteger dados ao usar aplicações Apple;
Capítulo 12: Garantia de Segurança com Serviços — descreve como proteger os serviços de seu computador e como protegê-lo configurando os serviços de forma segura;
Capítulo 13: Gerenciamento Avançado de Segurança — descreve como usar auditorias de segurança para validar a integridade do computador e dos dados;
Apêndice A: Verificação de Segurança — provê uma lista de verificações que guia o usuário para garantir a segurança de seu computador;
Apêndice B: Scripts de Segurança — fornece modelos de scripts para a criação de rotinas de segurança para o computador.

Adicionalmente, o Glossário define termos usados ao longo do guia.

O guia "Mac OS X Security Configuration For Version 10.5 Leopard" pode ser baixadoaqui (PDF, 3,4 MB).

Incêndio em Data Center tira 9 mil servidores do ar

2008-06-02T17:08:00.001-03:00

E tem gente que acha desnecessário um BCP ou DRP: http://idgnow.uol.com.br/computacao_corporativa/2008/06/02/incendio-em-data-center-nos-eua-tira-9-mil-servidores-do-ar/

Phlashing

2008-06-02T11:07:00.001-03:00

Uma nova expressão foi adicionada ao arsenal de ataques: Phlashing> Significa alterar remotamente o firmware de um equipamento, tornando-o inutilizável, isto é, um tipo de Denial-of-Service. A diferença é que este tipo de ataque pode comprometer definitivamente o hardware, necessitando de troca.

Agora, imagine um ataque deste tipo em um sistema de alto-processamento conectado à internet... Até descobrir o que ocorreu e trocar as partes danificadas, os prejuízos podem ser enormes.

Como se prevenir? Senhas confiáveis, firmware atualizado, não permitir conexão remota ao equipamento e/ou atualizações remotas. Pode ser um pesadelo para o seu suporte remoto, mas irá prevenir muitas horas (ou dias) de dores-de-cabeça.

Safari? Por favor, não!

2008-06-01T10:27:00.002-03:00

A Microsoft está solicitando a todos os usuários da plataforma Windows
que não utilizem o navegador Safari. Isto é devido a uma falha de
segurana no navegador, que permite o download e execução de códigos
maliciosos. A Apple rebateu, dizendo que não se trata de um problema
SIGNIFICATIVO....

O link com o alerta da Microsoft está aqui.

De qualquer modo, fica a dica!

iPhone Denial of Service Exploit

2008-05-20T12:36:00.001-03:00

Leiam está notícia publicada na MacInTouch:

We confirmed an iPhone denial-of-service vulnerability, hard-crashing an iPod Touch with this sample exploit, which posts a confirmation screen before doing its damage.

Full Disclosure: iPhone remote DoS :(
Hi, my friend g0tcha and myself came across a remote DoS (I know it sucks) in iPhone (tested on 1.1.2) while looking for a jailbreak for 1.1.3. By browsing to http://open-security.org/ifuk.html you can trigger the following:
# /Applications/MobileSafari.app/MobileSafari
2008-01-22 13:27:04.668 MobileSafari[230:d03] Safari got memory level
warning, killing all documents except active.
2008-01-22 13:27:06.081 MobileSafari[230:d03] Safari got memory level
warning, killing all documents except active.
which creates a Kernel panic

Apple iPhone 1.1.3 remote DoS exploit
The Apple iPhone remote DoS for 1.1.2 was discovered by c0ntex, but it actually works on 1.1.3 as well. After further research it also appears that this was a known issue with Firefox version 1.5.04 and was effected cross-platform. Called Mozilla Firefox JavaScript navigator Object Vulnerability. I recommend you disable Java until Apple releases a fix or patch.

Apple nega falha de segurança do Safari

2008-05-19T09:42:00.001-03:00

http://idgnow.uol.com.br/seguranca/2008/05/16/apple-nega-falha-de-seguranca-do-safari/

MacScan 2.5.3 BETA - Testers Wanted

2008-05-13T17:41:00.001-03:00

Here is the latest beta version of MacScan 2.5.3. Please test it when you get the chance.

SecureMac, Inc is pleased to announce the beta release of MacScan 2.5.3. This new version of MacScan fixes a bug when scanning for certain spyware files. MacScan 2.5.3b also features the latest spyware definition and tracking cookie blacklist files.

This new version is still considered to be a beta version, and as such it is not recommended to run it on a production machine as it is not warranted to function properly and may cause damages or irregularities to the computer.

If you would like to assist in beta testing this new version of MacScan, please run spyware scans as normal, and use the beta feedback form that appears when you quit MacScan to report any feedback or bugs to our development team. We are especially looking for feedback with regard to any crashes that might appear when running Quick, Full, or Custom Scans.

MacScan 2.5.3b can downloaded directly from http://macscan.securemac.com/files/MacScan_2_5_3b.zip

NOTE - THIS IS NOT THE FINAL RELEASE, IT IS A BETA.



Nova Tradução do COBIT 4.1 em Português torna mais acessível o modelo de melhores práticas de Governança em TI Rolling Meadows, IL, USA (28 January 2010)— A nova edição em Português do framework COBIT 4.1 torna mais acessível mundialmente o conjunto de melhores práticas em governança em TI internacionalmente reconhecido. O COBIT 4.1 ajuda os profissionais de negócios e de TI a aumentar o valor de TI e reduzir os riscos relacionados. Utilizado amplamente como uma ferramenta para atendimento à Sarbanes-Oxley e muitos outros padrões globais, o CobiT é anterior a essas regulamentações de controle que vêm sendo aplicadas em todo o mundo. O CobiT é produto de mais de 15 anos de pesquisa e cooperação entre profissionais experientes de TI e negócios. A versão do framework em Português está disponível para download gratuito através do site da associação internacional sem fins lucrativos, ISACA, no endereço:www.isaca.org/obtain_cobit. O COBIT 4.1 é o mais atualizado modelo globalmente aceito que garante que TI esteja alinhada com os objetivos de negócios, seus recursos sejam usados de forma responsável, e os riscos gerenciados adequadamente. Representa um refinamento do CobiT 4.0 e pode ser usado para aperfeiçoar o trabalho já realizado com versões anteriores. As atualizações do CobiT 4.1 incluem um aperfeiçoamento na mensuração de desempenho, melhorias nos objetivos de controle e melhor alinhamento dos objetivos de IT e negócios. O CobiT ajuda as organizações a reduzir os riscos de TI, aumentar o valor obtido da TI e atender às regulamentações de controle. Por exemplo, o Banco Central do Brasil utiliza o CobiT como um guia para avaliação de bancos e instituições financeiras, o TCU(Tribunal de Contas da União) também tem como base o CobiT para seus programas de auditoria para avaliação de diversas entidades nacionais. Esses e outros exemplos de utilização por órgãos de controle e supervisão fazem desta nova versão do CobiT uma ferramenta útil a todas as organizações que necessitam manter um nível adequado de governança em TI. "O CobiT é o único framework gerencial que trata todo o ciclo de vida de TI. O modelo apoia a TI em atingir os objetivos de negócio, garante que esteja alinhada ao negócio, e melhora a eficiência e eficácia de TI", afirma Carmen Ozores, vice-presidente do ISACA Capítulo São Paulo. "O COBIT 4.1 é baseado em um guia prático e comprovado mundialmente por profissionais que utilizam o framework para aperfeiçoar a governança em TI em suas organizações, portanto é um modelo amplamente testado e validado." Esta tradução para o Português é resultado de uma força tarefa formada por profissionais de diversos segmentos e regiões do Brasil. Toda a comunidade de língua portuguesa está convidada a enviar seus comentários para info@isaca.org.br e contribuir para melhorias em futuras versões do COBIT em Português. Sobre a ISACA Com mais de 86.000 associados em mais de 160 países, a ISACA^® (www.isaca.org) é líder global no fornecimento de conhecimento, certificações, network profissional, e educação em segurança e controle de sistemas de informação (SI), governança corporativa de TI, e riscos e conformidade relacionados a TI. Fundada em 1969, a ISACA promove conferências internacionais, publica o ISACA^®Journal, e desenvolve padrões para auditoria e controle em SI. Também administra as certificações globalmente respeitadas: Certified Information Systems Auditor™ (CISA^®), Certified Information Security Manager^®(CISM^®), Certified in the Governance of Enterprise IT^® (CGEIT^®) e Certified in Risk and Information Systems Control™ (CRISC™). A ISACA oferece o Modelo de Negócios para Segurança da Informação (BMIS, Business Model for Information Security) e o framework IT Assurance (ITAF). Também desenvolve e atualiza de forma continua os frameworks COBIT^®, Val IT™ e Risk IT, os quais auxiliam os profissionais de TI e lideranças empresariais a cumprir suas responsabilidades em governança em TI e gerar valor ao negócio. Contatos: ISACA Sao Paulo Chapter: Carmen Ozores, +55.11.5087.8822, info@isaca.org.br ISACA International Headquarters: Kristen Kessinger, +1.847.660.5512, news@isaca.org