Undercover - Não tenha seu laptop roubado.

Vejam este interessante software de proteção contra furtos de
notebooks Apple: http://orbicule.com/undercover/

Fundamental Computer Investigation Guide for Windows

A Microsoft lançou o Fundamental Computer Investigation Guide for Windows. Este guia é uma coleção de processos, ferramentas e melhores práticas, com a finalidade de fornecer um guia padronizado que necessitam conduzir investigações de computadores, baseados no Microsoft Windows, em suas empresas. Acesse

Kit de phishing do tipo "faça você mesmo" é vendido na internet

(http://idgnow.uol.com.br/seguranca/2007/01/12/idgnoticia.2007-01-12.5944222549)

Por John E. Dunn para o Computerworld*

Publicada em 12 de janeiro de 2007 às 18h03

Londres - Kit de phishing "man-in-the-middle" sendo oferecido em versão demo gratuita em um dos fóruns dedicados ao crime digital.

De acordo com a RSA, divisão de segurança da gigante de storage EMC, afirma que encontrou o kit the phishing "man-in-the-middle" sendo oferecido em versão demo gratuita em um dos fóruns dedicados ao crime digital monitorados pela companhia.

O kit estava sendo vendido com o seguinte slogan: "completamente user friendly para ajudar o criminoso sem conhecimentos técnicos". Outra vantagem do "produto" estava na capacidade dele poder atuar em qualquer portal do mundo, já que engana o usuário para que ele entregue suas informações pessoais.

Na prática, o ataque de man in the middle consiste em um criminoso virtual ficar entre a conexão do cliente e do provedor, vendo às claras as informações sendo trafegadas.

"A partir do momento em que as instituições colocaram medidas adicionais de segurança, os fraudadores passaram a procuram novas formas para enganar vítimas inocentes e roubar informações", afirma Marc Gaffan, chefe de marketing de produtos da RSA.

---

John E. Dunn é editor da Techworld.com, em Londres

Copyright 2007 IDG Brasil Ltda. Todos os direitos reservados.

 

 

Sua identidade digital corre perigo - Portal EXAME

Vejam este excelente artigo publicado na revista Exame: http://portalexame.abril.uol.com.br/revista/exame/edicoes/0875/tecnologia/m0101272.html?printable=true

Conheça 13 dicas para criar sua estratégia de segurança

Por Sarah D. Scalethes, para o Computerworld
Publicada em 18 de setembro de 2006 às 11h19
Atualizada em 18 de setembro de 2006 às 12h01

(http://idgnow.uol.com.br/seguranca/2006/09/18/idgnoticia.2006-09-18.8251518357)

Geórgia - Traçamos um plano com sugestões passo-a-passo para quem pretende organizar ou reorganizar com sucesso a área de segurança em TI.

O CISO (Chief Information Security Officer) da Universidade da Geórgia (EUA), Stan Gatewood, em parceria com o Computerworld, reuniu os principais passos para construir – ou mesmo reestruturar – o departamento de segurança da informação da sua empresa.

1. Identifique um executivo líder. Um executivo patrocinador precisa defender a nova estratégia do programa de segurança.

2. Selecione uma pessoa principal. O CISO ou outro líder de segurança devem gerenciar diariamente as atividades.

3. Defina ou priorize os objetivos. Tente amarrar os objetivos de negócio aos de segurança.

4. Estabeleça um mecanismo de revisão. Um processo revisto pela diretoria, por executivos de tecnologia da informação, segurança física, recursos humanos, jurídico, auditoria e pela área de segurança da informação avaliará e aprimorará as iniciativas.

5. Estime o estado corrente da segurança. Considere política, processos, sugestões, padrões, tecnologias existentes (hardware e software), treinamento e educação.

6. Estabeleça – ou restabeleça – a organização da segurança. O grupo deve ter o foco na segurança das informações, não só as limitações das tecnologias que possui.

7. Revise a posição existente e desenvolva novas de acordo com as necessidades. Isso pode incluir uma política aceitável e configuração de segurança mínima para qualquer equipamento da rede.

8. Monte times de implementação. Coloque juntos grupos com funções complementares, com funções técnicas e de negócio para orquestrar os planos as novas políticas, iniciativas, ferramentas e processos.

9. Tenha um executivo da diretoria de segurança revisando os planos. Este grupo deve considerar o orçamento, tempo de execução e prioridades.

10. Revise as possibilidades técnicas. Isto pode ser feito por um técnico de segurança que represente o escritório do CIO e do CTO, mais o pessoal de operações, serviços de produção e suporte.

11. Determine, faça a programação, execute e discute o que pode ser feito e entregue. Dê claras responsabilidades individuais e de grupo.

12. Coloque toda a equipe de trabalho no plano estratégico. Cada um do departamento de segurança deve estar apto a introduzir e explicar os objetivos do plano de segurança e detalhar como os projetos estão contribuindo para a meta da empresa.

13. Mensure resultados com métricas e estas métricas de segurança de TI devem estar baseadas em objetivos que terminem em decisões certas e melhorias de negócio.

*Sarah D. Scalethes é CISO da Universidade de Geórgia (EUA)
Copyright 2006 IDG Brasil Ltda. Todos os direitos

Google Fixes Gmail Vulnerability

Google has fixed a flaw that would have allowed websites to harvest information from Gmail contact lists, a problem that could have let spammers collect reams of new e-mail addresses.

For an attack to work, a user would have to log into a Gmail account and then visit a website that incorporates JavaScript code designed to take contact information from Gmail.

Proof-of-concept code was publicly posted. The JavaScript code used a capability that Google used to integrate addressing with other services, including its video download site and online office productivity suite.

Google appears to have fixed the problem within 30 hours of being notified, wrote Haochi Chen, a blogger who tracks the company on his blog . A Google spokeswoman in London confirmed on Tuesday morning the problem was fixed.

By Jeremy Kirk, IDG News Service (London Bureau)

Trendsecure HouseCall™ Free Scan

Não existem mais desculpas para que o usuário não verifique se o microcomputador possui vírus ou outro malware. A Trend disponibiliza a verificação online. Acesse em http://www.trendsecure.com/free_security_tools/housecall_free_scan.php

Magic Quadrant for SSL VPN, North America, 3Q06

Excelente artigo do Gartner, comparando os fornecedores de SSL VPN. Acesse em http://mediaproducts.gartner.com/reprints/microsoft/vol4/article3/article3.html

Site une oito medidores de ameaça à segurança virtual

A CERTStation lançou o Threat Level Agreggator, um agregador em temporeal dos medidores de ameaça à segurança virtual que une produtos dediferentes firmas em uma só página.

De acordo com o site The Register, são oito medidores ao todo, em um Flash atualizado a cada minuto, que inclui previsões de empresas comoSymantec, SANS, ISS, McAfee, TrendMicro, CA SECCON e F-Secure, além daprópria CERTStation, que normalmente não entram em um acordo entre si,e mostram avaliações diferenciadas da situação atual na web.

Com um clique sobre as avaliações é possível ver o endereço oficial domedidor e, assim, ter acesso às explicações de cada nível e, algumasvezes, a um sumário dos fatos que levaram a uma alta ou baixa nonível.

No site também é possível ver uma lista com vulnerabilidadesencontradas por produtos, a cada semana, além de um feed RSS com asúltimas notícias de segurança, o que o transforma em uma ferramenta muito mais interessante para aqueles que desejam estar por dentro dosúltimos assuntos de segurança.

O serviço pode ser acessado através do endereço http://www.certstation.com/

CAIS-Alerta: ORDB sai de operacao

Vejam os detalhes em http://www.rnp.br/cais/alertas/2006/cais-alr-20061219.html