blog.dennyroger.com.br

Pretexto do e-mail malicioso é levar usuário a matéria sobre o vírus H1N1. Link direciona a servidor que tenta instalar praga no PC.

Circula pela internet um golpe por e-mail que aborda os sintomas e formas de contágio da gripe suína (vírus H1N1) no Brasil.

A mensagem de phishing inclui informações de suposta autoria da Organização Mundial de Saúde, apontando para o número de pessoas contaminadas pela doença e o total de vítimas fatais.

Um link promete oferecer mais informações, mas irá levar o usuário a um destino malicioso. “O link direciona a um servidor nos Estados Unidos, o www.dassis.com, que está disseminando um malware programado para fazer o download de outras pragas pela web”, explica Denny Roger, da empresa de segurança da informação EPSEC.

O link para o download é uma URL curta, criada com o serviço Bit.ly. “Provavelmente muitas pessoas irão clicar porque parece um link do Twitter. Mas quando aparecer o pedido de download, é só cancelar”, diz Roger.

Segundo estudo da MessageLabs, divisão da empresa de segurança Symantec, as URLs curtas estão em 2% dos e-mails não solicitados (spams).

Fonte: http://idgnow.uol.com.br/internet/2009/07/21/e-mail-falso-sobre-gripe-suina-usa-url-curta-para-aplicar-golpe-online/

Sem comentários »

Segundo especialista, cerca de 95% das companhias que adotaram o sistema estão desprotegidas por vulnerabilidades.

Por Rodrigo Afonso, da COMPUTERWORLD

Após período de implantação nas empresas, a nota fiscal eletrônica (NFe) é realidade na maioria das transações que antes se valia de documentos em papel. O mercado de tecnologia da informação se apressou em oferecer diversas soluções, desde o fornecimento de módulos para sistemas de gerenciamento de negócios já existentes até a terceirização da emissão das notas.

Para a emissão de notas, as empresas precisam comprar certificados digitais que validarão a assinatura dos documentos. No entanto, muitas companhias podem se deparar com problemas, já que o tipo de certificado mais adotado, o A1, traz vulnerabilidades. Se chegarem às mãos de pessoas mal intencionadas, correm o risco de serem usados para emissão de notas em nome da empresa.

Segundo o especialista em segurança de informação da consultoria Epsec, Denny Roger, já existem vários casos de empresas que sofreram com algum tipo de fraude. E investigações que correm em segredo de justiça mostram que os problemas foram causados por certificados digitais utilizados indevidamente.

Roger faz uma analogia entre o início do Internet Banking no Brasil, quando as empresas tinham somente uma senha simples de acesso à conta com a situação do certificado A1. “Depois que as fraudes nas contas correntes explodiram, as instituições foram atrás de soluções. O mesmo deve acontecer com os certificados digitais para emissão das notas eletrônicas”, diz.

De acordo com o especialista, há grupos que defendem a substituição dos certificados A1 por certificados A3, instalados em um hardware ou smartcard; em tese, invioláveis. O presidente da NFe do Brasil, Marco Zanini, afirma que não há a necessidade de eliminar o certificado do tipo A1, pois ele pode ser mantido em segurança.

Bastaria, para isso, implantar, nas operações da empresa, módulos de segurança conhecidos por HSM (Hardware Security Module). Eles podem ser instalados diretamente na estrutura de servidores para assinar digitalmente e com segurança todas as notas.

Apesar disso, Zanini concorda que a maioria das corporações estão expostas a riscos. “Eu diria que, se hoje houver 10 mil empresas emitindo nota fiscal eletrônica, no Brasil, somente 500 estão seguras e utilizam a proteção adequada”, afirma.

O executivo acrescenta que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada. Já o gerente de certificação digital da Serasa Experian, Igor Ramos, acredita que o risco com o certificado digital A1 está muito mais relacionado à corrupção do arquivo do que à existência de fraudes. “Hoje as companhias já contam com formas eficazes de proteção”, diz.

Por outro lado, destaca, se o arquivo sofrer algum dano, causado ou não por terceiros, e não houver plano de contingência, a companhia pode ficar algum tempo sem emitir notas e deixará de fazer negócios.

Fonte: http://computerworld.uol.com.br/seguranca/2009/07/20/nota-fiscal-eletronica-certificados-expoem-empresas-a-riscos/

Observações e considerações: por Denny Roger

Antes de mais nada, muito obrigado por acompanhar o meu blog. Gostaria de comentar algumas coisas em relação a matéria. Ou melhor, complementar as informações.

Existem vários tipos de certificado digitais. Porém, os utilizados na Nota Fiscal Eletrônica são:

A1 – Certificado gerado em PC/Servidor: tem validade de 1 ano, chave RSA 1024 bits e menor custo.

A3 – Certificado gerado em HSM/token (hardware seguro): tem validade de 3 anos, chave RSA 1024 bits e maior custo.

Para mais informações sobre certificados digitais, acesse https://www.icpbrasil.gov.br/.

O certificado digital é a identidade virtual de uma empresa. É uma garantia legal, respaldada pela Medida Provisória 2.200 de 27 de Julho de 2001. Documentos assinados com um certificado digital possuem valor jurídico, fé pública e possuem não-repúdio. Ou seja, não há como negar que foi a empresa a emissora de uma NF-e.

O certificado do tipo A1 oferece grandes riscos a empresa ou ao provedor de soluções de assinatura remota (SAAS). Um certificado A1 nada mais é que um arquivo instalado no computador, protegido por senha, sem nenhum mecanismo rigoroso de proteção. O certificado é passível de extravio ou furto durante o transporte por meios digitais (e-mails) ou físicos (pendrives). Para copiar um certificado A1 de um computador, basta algum conhecimento de informática, pois requer apenas que se copie ou recorte um arquivo e cole em uma mídia removível ou em um e-mail, por exemplo. O próprio Windows oferece, no Internet Explorer, mecanismos de exportação de certificados e suas chaves.

Diversas empresas compram software de terceiros para emitirem a NFe. Essas empresas geralmente disponibilizam para o fornecedor do software o certificado A1 para realizar os testes para emissão da NFe. Ou seja, o fornecedor do software fica com uma cópia do certificado digital e poderá agir de má fé emitindo a NFe sem que o cliente saiba, causando grandes prejuízos para a empresa que disponibilizou o certificado digital para testes.

Existe uma segunda ameaça relacionada ao se fazer um clone da HD do computador onde está o certificado digital para NFe. Dessa forma, caso o atacante tenha acesso ao clone do HD poderá acessar o certificado digital e emitir NFe sem que a empresa saiba.

Caso alguém de má-fé obtiver o certificado digital de uma outra pessoa (Jurídica ou Física), poderá se passar por tal pessoa. No ambiente on-line, por exemplo, é possível emitir uma NFe real, causando grandes prejuízos à empresa.

No site da Receita Federal, um certificado digital pode alterar os dados críticos da empresa, emitir documentos verdadeiros e causar estragos cujas consequências são praticamente imprevisíveis.

Existe um comentário do Marco Zanini, presidente da NFe do Brasil, afirmando “que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada”. Empresas que emitem centenas ou milhares de NFe por dia utilizam HSM para proteger o certificado digital do tipo A3 e assinar digitalmente os arquivos que são enviados a SEFAZ. Ou seja, o argumento não é válido.

Abraços,

Denny Roger
denny@epsec.com.br
www.epesec.com.br
(11) 8196-5141

Sem comentários »

A EPSEC estará comemorando, em agosto de 2009, o seu primeiro ano de vida. Esta comemoração marca não apenas um ciclo completo de grandes resultados no mercado de segurança da informação, mas simboliza também a força inovadora de uma empresa que acompanha as constantes transformações do mercado.

“A EPSEC entrou no mercado oferecendo ferramentas de conscientização em Segurança da Informação, visando dar aos funcionários de seus clientes uma noção da importância da Segurança da Informação, fazendo-os ter a capacidade de responder qualquer ameaça que apareça dentro da empresa, e isso inclui envolvimento, comprometimento e, principalmente, qualificação do funcionário, visando assumir responsabilidades e iniciativas, conhecendo as boas práticas de segurança da empresa onde trabalham”, observa Denny Roger, sócio-fundador da EPSEC que cita entre seus principais clientes o Grupo Pão de Açúcar, Grupo Votorantim, Yamaha Motor do Brasil e a MAC Empreendimentos Imobiliários.

No dia 01 de maio de 2009, a EPSEC assinou contrato com a SafeNet Inc., empresa americana líder em criptografia e especializada na fabricação de hardware criptográfico (HSMs) e tokens. Segundo Heloisa Velasco, sócia-diretora da EPSEC, “Este contrato com a SafeNet Inc. faz parte da nossa estratégia em oferecer consultoria especializada nas áreas de prospecção de negócios e oportunidades comerciais para empresas que desenvolvem tecnologia relacionada a segurança da informação”.

Estratégias para o segundo ano de vida da EPSEC

A partir de setembro de 2009, a EPSEC oferecerá ao mercado serviços de consultoria para avaliar o estágio de maturidade em segurança da informação e o desenvolvimento de um plano de crescimento. “O Modelo de Maturidade de Segurança da Informação (MMSI), sugerido pela EPSEC, pode ser definido como sendo uma soma de melhores práticas para diagnóstico e avaliação de maturidade de segurança da informação em uma organização.”, explica Denny Roger.

A nova estratégia da empresa teve como objetivo criar um modelo para avaliar a maturidade de segurança da informação, estruturado em efetuar uma ligação entre o planejamento estratégico da empresa e a segurança da informação. “Dessa forma, os objetivos de segurança podem ser mais bem avaliados visto estarem ligados ao sucesso da empresa.”, afirma o executivo.

O empreendedorismo dos fundadores, aliado ao desenvolvimento pioneiro de um software para avaliação do nível de maturidade de segurança da informação, garantirão a EPSEC, clientes de primeira linha e promissoras parcerias, o que reforça a visão madura e a trajetória consistente da empresa.

Eventos de comemoração

Para celebrar a ocasião em grande estilo, a EPSEC comemora seu primeiro aniversário organizando duas apresentações únicas sobre “Segurança da Informação e Certificação Digital” e “Diagnóstico e avaliação de maturidade da segurança da informação”.

O “Seminário sobre Segurança da Informação” promovido pela Associação Brasileira da Indústria Elétrica e Eletrônica (ABNIEE) e a Resolve Consultec Empresarial dá inicio às comemorações. O seminário terá inicio no dia 26 de agosto, no Espaço ABNIEE em São Paulo. Durante o evento, Denny Roger falará sobre vivências e estudos de casos para tratamento das questões extraídas da realidade do mercado.

Completando as comemorações, a EPSEC realizará uma apresentação sobre “Diagnóstico e avaliação de maturidade da segurança da informação” no XVIII CNASI Congresso Latino-Americano de Auditoria de Sistemas, Segurança da Informação e Governança/II CLASI, consagrado como o mais importante evento para os profissionais de Risk Management e Compliance, capítulos vitais para a Governança de TI. O evento acontecerá de 22 a 24 de setembro, no centro de convenções Frei Caneca, em São Paulo.

A expectativa da empresa é reunir mais de 300 profissionais durante os eventos de comemoração. Segundo Heloisa Velasco, “esse é um momento muito importante para a nossa empresa, pois estaremos compartilhando com as novidades da área de segurança da informação e demonstrando o aperfeiçoamento sobre o modelo de maturidade de segurança da informação”.

Sem comentários »

Objetivo:
Alertar a necessidade de Segurança da Informação e Certificação Digital dentro do setor elétrico e eletrônico

Público Alvo:
Gestores e líderes que precisam entender a necessidade da certificação digital e defender suas empresas de eventuais ataques para o crescimento dos negócios.

Instrutor:
Denny Roger, parceiro da Resolve Consultec Empresarial em atividades de segurança da informação, diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense.

Carga Horária: 3 horas

Data: 26 de Agosto de 2009, das 09hs às 12hs.

Local: Espaço ABINEE - Av. Paulista 1439, 6° andar conjuntos 62/63.

Incluso na Palestra Material promocional e Coffee Break.

Seminário Gratuito - Vagas Limitadas

Conteúdo:
- Cuidados relacionados aos pgms espiões (vírus de computador, worm, cavalo de Tróia);
- Ameaças relacionadas a páginas clone de bancos, lojas de comércio eletrônico, etc.
- Engenharia social envolvendo e-mails e links falsos;
- Problemas relacionados a utilização do Orkut e programas de mensagem instantânea;
- Ameaças relacionadas a instalação de programas gratuitos no ambiente corporativo;
- Engenharia social relacionada ao uso de pen drives.
- Criação e utilização de senhas;
- Certificação Digital e autenticação forte;
- Apresentar as ações jurídicas relacionadas aos crimes na Internet.

Metodologia
Apresentação expositiva. Vivências e estudos de casos para tratamento das questões extraídas da realidade do mercado. Apresentação de slides para ilustrar e estimular a reflexão dos conceitos apresentados.

Para mais informações e inscrições, acesse http://www.abinee.org.br/informac/cursos/curso05.htm.

Sem comentários »

São Paulo - Com 30 anos de experiência, Mark A. Floyd assume cargo de Chief Executive Officer da subsidiária, que buscou CEO por um ano.

Mark A. Floyd é o novo Chief Executive Officer (CEO) da SafeNet, empresa de segurança da informação, para o mercado brasileiro. O executivo assume o cargo após um ano de intensa procura da companhia para preencher a vaga.

Com mais de 30 anos de experiência no comando de empresas, o executivo acumula passagens pela Entrisphere, fornecedora de equipamentos de comunicação vendida à Ericsson, Efficient Networks, adquirida pela Siemens, El Dorado Ventures, Tekelec e Riverbed Technology.

Fonte: http://idgnow.uol.com.br/carreira/2009/07/09/empresa-de-seguranca-safenet-tem-novo-comando-no-brasil/

Sem comentários »

Prezados, com o objetivo de disseminar o IPv6 no Brasil, o NIC.br oferecerá, à partir do próximo mês, cursos presenciais sobre IPv6 em São Paulo.

Para participar do curso existem alguns pré-requisitos. Acesse http://www.ipv6.br/IPV6/MenuIPv6CursoPresencial. Quem está fora de São Paulo ou não atende ao pré-requisito, pode estar participando de um curso on-line sobre o assunto, disponível em http://curso.ipv6.br.

O custo, de R$ 3.000,00 por participante, será inteiramente subsidiado pelo CGI.br/NIC.br para as turmas já previstas.

Mais informações no site http://www.ipv6.br/IPV6/MenuIPv6CursoPresencial.

Abraços,

Denny Roger
denny@epsec.com.br

Sem comentários »

Começou a valer o novo pacote de medidas de segurança contra a exploração infantil na internet. A partir de agora, os pedófilos vão ser rastreados.

Reportagem de Fábio Barreto.

Confira a matéria em video com o meu amigo Wanderley Abreu Jr. Acesse http://band.com.br/conteudo.asp?ID=153699.

Sem comentários »

Denny Roger relata as técnicas mais utilizadas para roubo de senhas. Saiba como proteger a sua.

Nos primeiros seis meses de 2009, recebi 87 relatos referentes ao roubo de senhas. A principal dúvida das vítimas não está relacionada à identificação do “ladrão virtual”. A questão principal foi como recuperar uma senha roubada.

Imagine a seguinte situação: você tenta acessar o seu e-mail pessoal e recebe a mensagem de “senha inválida”. Após várias tentativas de acesso, você suspeita que alguém alterou a sua senha, tenta utilizar o recurso de “recuperação de senha” mas a tentativa não funciona. E agora, o que fazer?

Ao longo das próximas horas, você tenta fazer contato com o administrador do servidor de e-mail para que a senha seja recuperada. Para piorar as coisas, o seu e-mail é de um serviço gratuito de webmail como Gmail ou Hotmail, por exemplo. Você não consegue localizar um telefone ou e-mail de contato para solicitar a ajuda. E agora?

Como roubaram a minha senha?
Por incrível que pareça, existem diversas técnicas para roubar senhas de internet banking, e-mail, intranet, banco de dados, redes sociais como Facebook, LinkedIn, MySpace, Orkut etc. Conheça as técnicas mais utilizadas para roubo de senhas.

Adivinhação de senhas: esta é a técnica mais comum. Alguém tenta descobrir a sua senha digitando, por exemplo, o número do telefone celular, o nome do marido ou da esposa, data de nascimento, placa do carro, nome do time de futebol, palavras relacionadas a palavrões, sexo etc.

Neste momento, lembramos que é obrigatório, na maioria dos sistemas, escolhermos uma senha complexa. Não é uma questão de gosto ou de elegância. Para a segurança da informação, o ato de criar uma senha “forte” é, basicamente, a primeira linha de defesa. Mas isso realmente resolve o problema?

Pescaria de senhas: algum parente ou companheiro já tentou descobrir a sua senha observando o que você está digitando? Isso é a pescaria de senhas. Outra maneira é procurar por senhas anotadas em papéis ou armazenadas no aparelho celular. Você anota as suas senhas em um papel ou as armazena no celular? Então tome muito cuidado com os pescadores de senhas.

Programas espiões: são ferramentas online utilizadas para roubar números de agência, conta corrente, senha do teclado virtual etc. Por meio destes programas conhecidos como spywares, tudo o que você digita no teclado é armazenado em um arquivo e enviado para o invasor, remotamente. Essa técnica é bastante difundida porque há conhecimento de muitos casos envolvendo roubo de senhas de internet banking e comunicadores instantâneos.

Monitoramento de rede: esta técnica consiste em capturar a sua senha no momento em que a informação trafega pela rede ou pela internet. Programas como o Cain & Abel podem ser utilizados para tentar descobrir a sua senha.

Existem outras técnicas mais avançadas que podem roubar a sua senha de diversas maneiras. Porém, não serão consideradas porque o objetivo é discutirmos os ataques mais comuns.

Dicas
Através de uma auditoria podemos identificar quando alguém está tentando adivinhar a nossa senha. Esta identificação ocorre através de uma análise das tentativas de acesso inválidas utilizando o seu usuário. Porém, as empresas não compartilham de forma amigável este tipo de informação com seus usuários.

Não utilize computadores compartilhados (por exemplo, em faculdades e Lan Houses) para acessar o seu e-mail, a intranet da sua empresa, a sua página no Facebook etc. A probabilidade de existir um programa espião instalado nestes computadores é grande.

Evite anotar a sua senha e criar senhas de fácil adivinhação. Troque a sua senha uma vez por mês. Esta boa prática pode salvar a sua senha mesmo que alguém a tenha roubado.

Caso não consiga o apoio necessário da empresa que administra o sistema que controla a sua senha, procure um advogado. Este profissional poderá prover os recursos necessários para que a empresa identifique quem está utilizando a sua senha e também irá permitir que você “recupere” a senha roubada.

Denny Roger é diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2009-06-28.5137710879/.

Sem comentários »