blog.dennyroger.com.br

Prezados, com o objetivo de disseminar o IPv6 no Brasil, o NIC.br oferecerá, à partir do próximo mês, cursos presenciais sobre IPv6 em São Paulo.

Para participar do curso existem alguns pré-requisitos. Acesse http://www.ipv6.br/IPV6/MenuIPv6CursoPresencial. Quem está fora de São Paulo ou não atende ao pré-requisito, pode estar participando de um curso on-line sobre o assunto, disponível em http://curso.ipv6.br.

O custo, de R$ 3.000,00 por participante, será inteiramente subsidiado pelo CGI.br/NIC.br para as turmas já previstas.

Mais informações no site http://www.ipv6.br/IPV6/MenuIPv6CursoPresencial.

Abraços,

Denny Roger
denny@epsec.com.br

Começou a valer o novo pacote de medidas de segurança contra a exploração infantil na internet. A partir de agora, os pedófilos vão ser rastreados.

Reportagem de Fábio Barreto.

Confira a matéria em video com o meu amigo Wanderley Abreu Jr. Acesse http://band.com.br/conteudo.asp?ID=153699.

Denny Roger relata as técnicas mais utilizadas para roubo de senhas. Saiba como proteger a sua.

Nos primeiros seis meses de 2009, recebi 87 relatos referentes ao roubo de senhas. A principal dúvida das vítimas não está relacionada à identificação do “ladrão virtual”. A questão principal foi como recuperar uma senha roubada.

Imagine a seguinte situação: você tenta acessar o seu e-mail pessoal e recebe a mensagem de “senha inválida”. Após várias tentativas de acesso, você suspeita que alguém alterou a sua senha, tenta utilizar o recurso de “recuperação de senha” mas a tentativa não funciona. E agora, o que fazer?

Ao longo das próximas horas, você tenta fazer contato com o administrador do servidor de e-mail para que a senha seja recuperada. Para piorar as coisas, o seu e-mail é de um serviço gratuito de webmail como Gmail ou Hotmail, por exemplo. Você não consegue localizar um telefone ou e-mail de contato para solicitar a ajuda. E agora?

Como roubaram a minha senha?
Por incrível que pareça, existem diversas técnicas para roubar senhas de internet banking, e-mail, intranet, banco de dados, redes sociais como Facebook, LinkedIn, MySpace, Orkut etc. Conheça as técnicas mais utilizadas para roubo de senhas.

Adivinhação de senhas: esta é a técnica mais comum. Alguém tenta descobrir a sua senha digitando, por exemplo, o número do telefone celular, o nome do marido ou da esposa, data de nascimento, placa do carro, nome do time de futebol, palavras relacionadas a palavrões, sexo etc.

Neste momento, lembramos que é obrigatório, na maioria dos sistemas, escolhermos uma senha complexa. Não é uma questão de gosto ou de elegância. Para a segurança da informação, o ato de criar uma senha “forte” é, basicamente, a primeira linha de defesa. Mas isso realmente resolve o problema?

Pescaria de senhas: algum parente ou companheiro já tentou descobrir a sua senha observando o que você está digitando? Isso é a pescaria de senhas. Outra maneira é procurar por senhas anotadas em papéis ou armazenadas no aparelho celular. Você anota as suas senhas em um papel ou as armazena no celular? Então tome muito cuidado com os pescadores de senhas.

Programas espiões: são ferramentas online utilizadas para roubar números de agência, conta corrente, senha do teclado virtual etc. Por meio destes programas conhecidos como spywares, tudo o que você digita no teclado é armazenado em um arquivo e enviado para o invasor, remotamente. Essa técnica é bastante difundida porque há conhecimento de muitos casos envolvendo roubo de senhas de internet banking e comunicadores instantâneos.

Monitoramento de rede: esta técnica consiste em capturar a sua senha no momento em que a informação trafega pela rede ou pela internet. Programas como o Cain & Abel podem ser utilizados para tentar descobrir a sua senha.

Existem outras técnicas mais avançadas que podem roubar a sua senha de diversas maneiras. Porém, não serão consideradas porque o objetivo é discutirmos os ataques mais comuns.

Dicas
Através de uma auditoria podemos identificar quando alguém está tentando adivinhar a nossa senha. Esta identificação ocorre através de uma análise das tentativas de acesso inválidas utilizando o seu usuário. Porém, as empresas não compartilham de forma amigável este tipo de informação com seus usuários.

Não utilize computadores compartilhados (por exemplo, em faculdades e Lan Houses) para acessar o seu e-mail, a intranet da sua empresa, a sua página no Facebook etc. A probabilidade de existir um programa espião instalado nestes computadores é grande.

Evite anotar a sua senha e criar senhas de fácil adivinhação. Troque a sua senha uma vez por mês. Esta boa prática pode salvar a sua senha mesmo que alguém a tenha roubado.

Caso não consiga o apoio necessário da empresa que administra o sistema que controla a sua senha, procure um advogado. Este profissional poderá prover os recursos necessários para que a empresa identifique quem está utilizando a sua senha e também irá permitir que você “recupere” a senha roubada.

Denny Roger é diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2009-06-28.5137710879/.

Ontem (19/06) eu estava lendo uma notícia com o seguinte título: Crise contribui para aumento nas falhas dos projetos. Na mesma hora eu lembrei de algumas empresas que estão contratando consultorias para desenvolverem projetos críticos para seus negócio. Porém, estão escolhendo o fornecedor pelo menor preço.

O que está acontecendo é que estou ouvindo reclamações de implementações fracas de sistemas de segurança e projetos sendo executados por profissionais não qualificados.

A notícia ainda comenta que “A queda dos orçamentos de TI e as demissões provocadas pela crise contribuíram para uma redução na taxa média de sucesso dos projetos conduzidos pela área de tecnologia da informação das organizações.” Ous seja, as empresas que estão contratando pelo menor preço e depois estão pagando para outra consultoria (mais experiente) corrigir todos os pontos fracos do projeto que foi implementado.

Quando eu trabalhei em instituições financeiras (nos bancos), por exemplo, recebia 3 propostas comerciais de diferentes fornecedores. O investimento da primeira proposta era de R$ 100.000,00, por exemplo. A segunda proposta estava com R$ 93.000,00. A terceira proposta estava com o valor de R$ 37.000,00. A alta direção do banco quase que automaticamente descartava a terceira proposta porque a diferença de preço para as outras era muito grande. Ou seja, existe a probabilidade de ter algo “estranho” neste fornecedor.

Pense nisso na hora de contratar uma consultoria!

Abraços,

Denny Roger
denny@dennyroger.com.br

Para quem busca por novidades na área de segurança da informação, acontece neste sábado (20/06), em São Paulo, o GTS.

A programação do evento é a seguinte:

09:00 - 09:40 Ataques contra o SMTP - Como as botnets enviam spam
Miguel Di Ciurcio Filho, Unicamp

09:40 - 10:20 Malware Patrol - Os desafios de coletar e monitorar URLs que apontam para Malwares
Andre Correa, Malware Patrol

10:50 - 11:30 O Crime Cibernético contra as Leis: o cenário da América Latina
Anchises M. G. de Paula, VeriSign Brasil

11:30 - 12:10 Honeynets: Automatizando a restauração de Honeypots de alta interatividade
Luiz Otávio Duarte, Renato Yuzo Madokoro e Ricardo Makino, CTI / MCT

14:00 - 14:40 Desafios na criação de um CSIRT distribuído
Karina M. Queiroz, TIVIT

14:40 - 15:20 O que interessa não é o Servidor Web
Luiz Eduardo Dos Santos, Imperva, Inc.

15:20 - 16:00 Processo de Gestão de Identidades com uso de biometria por impressão digital
Jorilson Rodrigues, DPF / Ministério da Justiça

16:30 - 17:10 GATI - Tratamento de Incidentes de Segurança no MJ e DPF
Ivo de Carvalho Peixinho e Jorilson da Silva Rodrigues, Departamento de Polícia Federal

17:10 - 17:50 Um ano do Catálogo de Fraudes RNP - Números, tendências e próximos passos
Ronaldo Castro de Vasconcellos, CAIS / RNP

O evento é gratuito e as inscrições podem ser realizadas no próprio local.

Av. Roque Petroni Junior, 1000 - Brooklin - São Paulo

Confira o site do evento, acesse http://gts.nic.br/reunioes/gts-13.

Abraços,

Denny Roger
denny@dennyroger.com.br

Um dos recursos de segurança que sempre indico para quem tem aplicações WEB é o Web Application Firewall (WAF).

Hoje li um artigo sobre como fazer um “bypass” no WAF utilizando HPP. Para mais informações, acesse http://milw0rm.com/papers/340.

Abraços,

Denny Roger
denny@dennyroger.com.br

Conheça técnicas de espionagem online e saiba como garantir sua privacidade. Por Denny Roger

Nós últimos anos, é cada vez mais freqüente nos depararmos com manchetes como “Um terço dos funcionários roubaria dados das empresas” e “FBI usa spyware para capturar acusado de extorquir operadoras nos EUA”.

Muitos brasileiros passaram a acreditar que o melhor negócio é investir na privacidade das suas informações. Se você é um deles, observe as técnicas abaixo de espionagem na rede.

Interceptação de seus dados cadastrais
Vamos imaginar a seguinte situação: Você ou a sua empresa recebeu um e-mail ameaçador. É necessário identificar a pessoa responsável pelas ameaças.

O primeiro passo é conseguir junto à empresa de telecomunicações e ao provedor do e-mail, os dados cadastrais do autor da mensagem. Por exemplo, nome completo do assinante, endereço, telefone etc.

Escuta telefônica
Infelizmente, a atitude maldosa de algumas pessoas faz com que a justiça solicite a execução da escuta telefônica. Nestes casos, a polícia solicita às empresas de telefonia móvel e fixa o desvio de todas as ligações para um número fixo determinado por eles. Sendo assim, a pessoa investigada recebe ou faz chamadas normalmente, porém, uma equipe da polícia está ouvindo e gravando todas as conversas.

Grampo virtual de e-mails e sites
As empresas de telecomunicações, que oferecem o serviço/link de acesso à internet, possuem tecnologia para monitorar todos os seus acessos a e-mails e sites, em desktops, celulares ou smartphones. Isso permite realizar uma cópia de todos os seus e-mails enviados e recebidos, registrar as páginas que você acessou na internet (por exemplo, sites pornôs, jogos online etc.) e gravar evidências dos downloads realizados.

O grampo virtual das informações de uma determinada pessoa pode ser realizado mediante solicitação da justiça. Porém, nada impede a empresa de telecomunicações de utilizar este tipo de recurso para “mapear o perfil dos seus clientes”, gerar estatísticas dos acessos realizados pelos usuários, entre outras situações.

As operadoras possuem a tecnologia para capturar até mesmo as senhas de acesso - a infra-estrutura física e lógica é toda controlada por essas empresas. Sendo assim, é muito simples conseguir as senhas dos clientes que utilizam a internet de suas casas, empresas, celulares e modems, por exemplo.

Localização de uma pessoa pelo celular
Outro detalhe importante no mundo da espionagem na rede é conseguirmos identificar fisicamente o local onde uma determinada pessoa está. Isso é possível através do rastreamento do chip do seu aparelho celular. Desta forma, a empresa de telecomunicações identifica em qual antena o aparelho celular está conectado e identifica a localização de uma pessoa.

Proteção
As pessoas estão procurando cada vez mais investir em tecnologias que ajudam a garantir a sua privacidade no mundo virtual. Tecnologias que permitem a criptografia dos arquivos pessoais e dados corporativos são cada vez mais comuns.

A autenticação segura está crescendo no mundo todo. As pessoas estão considerando a implementação de um segundo fator de autenticação, o token (camada extra de identificação na forma de chave de segurança, cartão de segurança, tabela de senhas, dispositivo de senhas eletrônicas etc). Sendo assim, não adianta capturarem a sua senha porque será necessário ter acesso físico ao token.

Muitas pessoas estão comprando celulares que suportam aplicações de criptografia para evitar a escuta telefônica e algumas empresas investem em tecnologias que criptografam os seus e-mails e links entre filiais e escritórios remotos. Dessa forma, as operadoras de telecomunicações não conseguem monitorar o tráfego de informações que está passando pelo link ou ter acesso ao conteúdo dos e-mails.

Neste tempo onde quase tudo foi migrado para o mundo virtual é recomendável que consumidores e empresas apostem na criptografia para não serem vítimas da espionagem virtual.

Denny Roger é especialista em segurança da SafeNet, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@dennyroger.com.br

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2009-05-31.0726614576/

O estudo, que tem como objetivo alertar os usuários sobre as principais ameaças, aponta para roubo de senhas bancárias.

Número de computadores contaminados no País cai 12,6%. Confira a notícia na íntegra e faça o download do relatório em português.

São Paulo - Boa parte das empresas teme as vulnerabilidades de segurança trazidas pelas redes sociais. Saiba quais pontos merecem atenção especial.

Por Rodrigo Afonso, repórter do COMPUTERWORLD

De acordo com pesquisa da empresa de segurança Sophos, divulgada no começo de maio, 63% das corporações do mundo têm medo de que as comunidades de Web 2.0 tragam riscos de segurança às infraestruturas corporativas. Apesar disso, boa parte das companhias permite acesso total a ferramentas colaborativas. A análise mostra que 43% delas dão possibilidade de uso do Facebook, 50% do Twitter, 49% do MySpace e 52% do LinkedIn.

Para o vice-presidente para a América Latina e o Caribe da empresa de segurança Kaspersky, Alejandro Stetson, os usuários têm confiança demais nos conteúdos que visualizam nessas redes e não tomam cuidados básicos. “Mesmo em comunidades mais específicas, como o LinkedIn, a atenção deve ser redobrada. Os profissionais de tecnologia da informação têm toda razão em se preocupar com acessos a esse tipo de site”, afirma.

As ameaças podem vir das mais diversas fontes. Desde ataques gerais, com links para códigos maliciosos, até ações mais direcionadas, voltadas para atingir determinadas empresas. Os criminosos estão cada vez mais sofisticados e especializados em enganar funcionários com mensagens aparentemente inofensivas.

Outro exemplo dos males que as redes podem trazer é o Twitter. A ferramenta passou por uma situação que expôs todo o seu risco. Um cracker explorou uma vulnerabilidade na ferramenta para rodar uma aplicação em Java Script que infectava o perfil e o computador de quem os acessava. “Com isso, o usuário ficava exposto ao sequestro de browser, poderia receber arquivos maliciosos e, por consequência, colocar o ambiente corporativo sob grande risco”, relata Gabriel Menegatti, diretor de tecnologia da empresa de segurança F-Secure.

Diante disso, o departamento de tecnologia pode ter duas atitudes: bloquear o acesso às ferramentas ou utilizar meios de proteger a infraestrutura da empresa com ações de conscientização e monitoramento constante da rede. Em ambientes em que as redes sociais são importantes para o trabalho, o bloqueio não é uma opção. Resta seguir à risca as melhores práticas da segurança corporativa e implantar uma cultura entre os usuários.

Para Denny Roger, especialista em segurança da empresa da área Safenet, não dá para prescindir de um bom gerenciamento de antivírus, firewall e outras soluções que evitam a entrada de malwares na empresa. “O que deveria ser feito com mais constância e que poucas empresas fazem é um processo diário de análise das vulnerabilidades e dos riscos e como esses elementos podem afetar a infraestrutura da corporação”, afirma.

Disseminar a cultura de segurança é algo um pouco mais complexo, já que não depende de técnicos e sim de ações educativas constantes. Segundo Marcos Prado, gerente de canais da Websense, a melhor forma de começar não é necessariamente falando de riscos técnicos, mas divulgando as maneiras mais seguras de se transmitir informações. “A abordagem de segurança das companhias deve estar cada vez menos centrada em detalhes de infraestrutura e mais concentrada em um tratamento adequado das informações”, atesta.

Fonte: http://computerworld.uol.com.br/seguranca/2009/05/21/redes-sociais-exigem-mais-atencao-a-normas-de-seguranca/

Buenas!

Esta semana estou em Buenos Aires, Argentina. Estou participando da terceira conferência latinoamericana da SafeNet.

A idéia é trabalharmos esta semana com assuntos relacionados a criptografia para banco de dados, PCI DSS, soluções HSM para transações financeiras, Nota Fiscal Eletrônica, token, etc.

Estou reunido com alguns dos principais especialistas no assunto. Além dos próprios brasileiros, estou com engenheiros dos EUA, Canadá, México, Colombia, etc.

Em breve estarei publicando mais informações sobre o que está rolando no mundo da espionagem virtual e como se proteger dos “grampos virtuais”.

Abraços,

Denny Roger
denny.roger@safenet-inc.com