02/05/2018 Leave a comment
Olá pessoal,
na última segunda-feira (30/04) eu participei do programa Manhã Total veiculado pela TV Paranaíba, afiliada da Rede Record em Uberlândia e apresentado pela Mônica Cunha. A entrevista foi sobre os Cuidados na navegação na Internet. Vejam abaixo o vídeo:
14/11/2017 Leave a comment
SegInfocast #51 – Faça o download aqui. (13:42 min, 9,4 MB)
Neste episódio, eu e Rafael Barros, instrutor da Clavis falamos sobre a certificação EXIN Information Security Foundation baseada na ISO/IEC 27001.
Esta certificação é a base para as demais certificações em Segurança da Informação, pois apresenta os processos operacionais de SI listados nas ISO/IEC 27001 e ISO/IEC 27002.
Analisamos o conteúdo do curso, incluindo o livro recomendado pela EXIN (obra que foi traduzida para o português e em breve será publicada pela Clavis) e os benefícios da certificação para os profissionais da área, destacando:
Sobre o curso
Rafael explica que durante o treinamento preparatório para a certificação Information Security Foundation (based on ISO/IEC 27001), o aluno vai se familiarizar com um conjunto de termos comuns à área de Segurança da Informação e que fazem parte do escopo do exame, além de receber capacitação em tópicos correspondentes aos requisitos do exame, como conceito e valor da informação, aspectos de confidencialidade, definição de ameaça e risco, e o relacionamento entre ameaças, riscos e confiabilidade da informação, entendimento sobre política de segurança e organização de segurança, gerenciamento de incidentes, medidas de segurança física, técnica e organizacional, leis e regulamentos.
Qual é o público-alvo dessa certificação ?
A certificação é indicada para todos os profissionais que trabalham com informações sensíveis, desde o pessoal administrativo até o CEO. Sendo esta certificação, portanto, um excelente ponto de partida para pessoas que queiram começar a atuar na área de Segurança da Informação.
Sobre o entrevistado
Rafael Luiz de Barros é tecnólogo em Gestão de TI, pós-graduado em Gestão de Negócios pelo IBMEC, certificado PMP desde 2012, profissional de segurança da informação desde 2006. Auditor Líder ISO 27001 pela Modulo Security. Instrutor ISO 27001, CoBIT 5 e ITIL V3. Foi o analista responsável pela auditoria interna de segurança da informação da Contax de 2007 a 2009 e atuou nos planos de ação de diversos produtos, incluindo operações de bancos, cartões de crédito, planos de saúde e telefônicas. Como consultor e gerente de projetos na Cipher S/A atuou em projetos de mapeamento de riscos do programa KM de Vantagens da Ipiranga, em projetos de certificação PCI DSS e em projetos de implantação de tecnologias, incluindo Petrobras, Eletrobrás, MRS e CSN. Atuou também com projetos de Privacy e FATCA na Prudential do Brasil. Áreas de atuação: Gestão de Segurança, Continuidade de Negócios, Gestão de Riscos, Governança de TI e Gestão de Projetos.
Para mais informações, clique aqui
07/09/2017 Leave a comment
SegInfocast #50 – Faça o download aqui. (10:46 min, 7,42 MB)
Neste quinquagésimo e comemorativo episódio, eu recebi novamente Carlos Botelho, Gerente Técnico de Contas da MarkMonitor, para uma conversa bastante interessante a respeito dos Serviços de Proteção de marcas.
Carlos explicou que o Serviço de Proteção de marcas foi criado pela própria MarkMonitor no ano 2000, tornando-se líder mundial no que tange ao monitoramento do uso de marca de terceiros na Internet. O serviço atua na identificação de infrações e situações com determinada marca de uma empresa sendo utilizada indevidamente por outros como, por exemplo, em registro de domínios, logotipos utilizados no conteúdo de sites, páginas e anúncios falsos. entre outros exemplos.
Durante o podcast, Carlos apresentou cada módulo que compõe o Serviço de proteção de marcas. São eles:
Ao final, Carlos explicou a respeito da implementação da solução, que é baseada em Software como Serviço (SaaS), não sendo necessária qualquer instalação no ambiente do cliente.
A Clavis Segurança da Informação é parceira oficial da MarkMonitor e a principal representante no Brasil. Para saber mais sobre o serviço de proteção de marcas oferecido pela Clavis, clique aqui.
Carlos Botelho é Gerente Técnico de Contas da MarkMonitor, Inc., parte da Clarivate Analytics, baseado em Boise, estado de Idaho, nos Estados Unidos. Pelos últimos 7 anos, ele vem trabalhando na área de proteção de marcas, antifraude e gestão de domínios, além de já ter atuado como Analista de Proteção de Marcas, Gerente de Serviços de Anti-Fraude e Gerente de Serviços de Domínios. Carlos também é advogado desde o ano 2000 e possui mestrado em Direito (LL.M) obtido na Faculdade de Direito J. Reuben Clark da Brigham Young University, em Provo, estado de Utah, no Estados Unidos.
25/08/2017 Leave a comment
A Kaspersky Lab divulgou o relatório “Spam e Phishing no 2º trimestre de 2017”, que mostra que criminosos virtuais envolvidos na distribuição de spam tentaram explorar o receio geral causado pela epidemia do ransomware WannaCry usando e-mails de spam e phishing. Além disso, durante o trimestre, houve uma quantidade maior de e-mails em massa direcionados a redes corporativas e de cavalos de Troia maliciosos.
Segundo o relatório de spam e phishing do segundo trimestre elaborado pela Kaspersky Lab, estas foram as principais constatações:
• No segundo trimestre de 2017, o Brasil (18,09%) foi o país com maior percentual de usuários afetados por ataques de phishing. Outros países incluíram Venezuela (10,56%), Argentina (9,35 %) e Nova Zelândia (12,06%).
• O volume médio de spam no trimestre aumentou para 56,97%.
• Os países com maior ocorrência de spam incluíram Brasil, Rússia, França, Irã, e Países Baixos.
• O país mais visado por envios de e-mails maliciosos foi a Alemanha. Outros alvos populares incluíram Brasil, Itália, Vietnã, França e os EUA.
• O sistema antiphishing da Kaspersky Lab foi acionado 46.557.343 vezes nos computadores de usuários da Kaspersky Lab. A maior porcentagem de usuários afetados ocorreu no Brasil (18,09%).
• Ao todo, 8,26% usuários exclusivos dos produtos da Kaspersky Lab no mundo todo foram atacados por golpes de phishing.
• Assim como no 1º trimestre, os principais alvos de ataques de phishing continuaram os mesmos e foram, principalmente, do setor financeiro: bancos, serviços de pagamento e lojas virtuais.
• O volume das malas diretas maliciosas aumentou 17%, de acordo com o novo relatório da Kaspersky Lab.
O WannaCry no spam
O ataque de ransomware WannaCry afetou mais de 200.000 computadores no mundo inteiro, causando pânico geral, e os remetentes de spam aproveitaram a oportunidade de imediato. Pesquisadores detectaram uma grande quantidade de mensagens que ofereciam serviços como proteção contra os ataques do WannaCry, recuperação de dados, além de workshops e cursos de treinamento para os usuários. Os remetentes de spam também implementaram com êxito um esquema tradicional de ofertas fraudulentas para instalar atualizações de software nos computadores afetados. No entanto, os links redirecionavam os usuários para páginas de phishing, onde os dados pessoais das vítimas seriam roubados.
Fontes de spam por País no segundo trimestre de 2017
02/08/2017 Leave a comment
SegInfocast #49 – Faça o download aqui. (10:10 min, 7,17 MB)
Neste episódio, eu recebi Carlos Botelho, Gerente
Técnico de Contas da MarkMonitor para uma conversa a respeito das Soluções de Antifraude e proteção de marca para grandes empresas.
Inicialmente Carlos explicou a respeito de fraudes, as principais ações que podem caracterizar uma e os tipos mais comuns. As indústrias financeiras, comércio e prestação de serviços foram citadas como alvos constantes das tentativas de fraudes e o Phishing, técnica utilizada por cibercriminosos para tentar obter dados e informações por meio de e-mails e páginas falsas utilizando marcas famosas, o meio mais utilizado atualmente.
Durante o podcast, Carlos apresentou as soluções da MarkMonitor, líder global em proteção de marcas empresariais de antifraude. São elas:
A Clavis Segurança da Informação é parceira oficial da Markmonitor e a principal representante no Brasil.
Carlos Botelho é Gerente Técnico de Contas da MarkMonitor, Inc., parte da Clarivate Analytics, baseado em Boise, estado de Idaho, nos Estados Unidos. Pelos últimos 7 anos, ele vem trabalhando na área de proteção de marcas, anti-fraude e gestão de domínios e já atuou como Analista de Proteção de Marcas, Gerente de Serviços de Anti-Fraude e Gerente de Serviços de Domínios. Carlos também é advogado desde o ano 2000 e possui mestrado em Direito (LL.M) obtido na Faculdade de Direito J. Reuben Clark da Brigham Young University, em Provo, estado de Utah, no Estados Unidos.
10/07/2017 Leave a comment
Olá pessoal,
hoje eu trago para vocês uma interessante entrevista com o Camillo Di Jorge, presidente da ESET Brasil, empresa fornecedora de soluções de segurança, como antivírus para PCs e servidores. O foco desta entrevista foi a fragilidade na proteção quanto à ameaças em ambientes domésticos e no mercado e micro e pequenas empresas.
Quais são as recomendações efetivas para o usuário final com relação à prevenção de malwares?
Camillo: É aconselhável que o usuário final trabalhe em três pilares:
* Acompanhar publicações sobre o tema de segurança da informação, para estar bem informado sobre novos golpes e ameaças que surgem a cada dia
* Ter bom senso sempre que estiver se comunicando por meios eletrônicos. Muitos golpes e ameaças digitais valem-se de descuidos das vítimas como porta de entrada em seus dispositivos (o que chamamos de Engenharia Social)
* Ter uma boa solução de segurança instalada. Além de ser uma retaguarda do item anterior (i.e.: bom senso), protege de outras ameaças que se propagam sem depender de qualquer interação com o usuário (vide o WannaCry ou Petya)
Há uma enorme variedade de ameaças digitais, portanto é importante que o usuário entenda os três pilares como mutuamente complementares, ao invés de confiar apenas em um ou outro item.
Vivemos em uma realidade onde a oferta de tecnologia é imensa e grandes empresas possuem área de TI que podem auxiliar e fazer toda a preparação para o uso desses recursos, mas e no caso do usuário final seja em cunho pessoal/doméstico seja no de pequena empresa onde essa preparação é mínima ou inexistente? Como proceder?
Camillo: Essa é a realidade da maioria da população e também onde grande parte das ameaças cibernéticas estão concentradas. Nesse caso, o usuário deve procurar soluções de segurança que sejam simples de gerenciar, auto-explicativas e, acima de tudo, eficaz e eficiente.
A ESET oferece produtos totalmente adaptados ao público brasileiro, com interfaces em português, além de não pesar na máquina, porque o usuário só deve notar a presença da solução quando uma ameaça é combatida. Não há nada pior do que o usuário ter que desabilitar uma solução para poder utilizar suas aplicações, porque nesse caso, sim, estará muito exposto às ameaças.
Ainda considerando um ambiente doméstico. Vamos imaginar um cenário comum de uma residência onde temos pelo menos um computador, um notebook, um tablet, telefones celulares, televisão inteligentes, todos conectados à internet, acessando e compartilhando recursos. Quais as melhores práticas com relação à proteção contra malwares neste caso? Não seria uma complexidade muito grande para o usuário final? Existe a necessidade de se ter um técnico/consultor de confiança?
Camillo: Esse é um cenário cada vez mais comum e que tende a se tornar ainda mais complexo no futuro. É importante proteger cada um desses dispositivos, principalmente aqueles utilizados para navegar na internet.
Dependendo do número de dispositivos e do valor das informações acessas por eles, pode ser necessário medidas de segurança mais estruturais, como segregação de redes, por exemplo. Nesse caso, sim, seria aconselhavel contar com a assessoria de um técnico/consultor de confiança.
Tendo em vista cenários como esse, a ESET oferece soluções para PCs e dispositivos móveis que são compatíveis com diferentes sistemas operacionais.
Quais soluções a ESET oferece para este mercado doméstico e Micro, pequenas e médias empresas?
Camillo: A ESET oferece soluções para todos estes mercados de acordo com as necessidades de cada um.
Para o mercado doméstico, por exemplo, a empresa oferece a Solução de Segurança “Tudo em Um” que protege seus equipamentos, transações e as crianças com funções como Controle Pais e Controle Webcam e Roteador que impedem o aceso a sites impróprios e apresenta uma mensagem de alerta caso alguém tente acessar sua webcam além de revisar a segurança de sua rede e controlar quem está conectado à ela. Além de segurança contra ataques. (www.eset.com.br/purchase/residencial )
Já para micro empresas, há o ESET Home Office Security Pack com soluções para empresas com até 10 computadores como Antivírus, Controle de Acesso Web, Administração Remota, Controle de Dispositivos, Firewall (que filtra o tráfego de rede) e Antispam. (www.eset.com.br/purchase/empresarial ).
Há também o ESET Small Business Security Pack, para empresas com 15 a 50 computadores que inclui as funções Controle de Dispositivos, Administração remota e Proteção para servidores de e-mail além das funções da solução ESET Home Office Security Pack.
E para empresas que necessitam de ainda mais segurança há a ESET File Security, que oferece proteção para os dados que passam pelo servidor de arquivos da empresa. O produto utiliza o renomado motor de rastreamento ESET NOD32® em seu núcleo e combina detecção em alta velocidade, performance sem contratempos e estabilidade para garantir um nível sempre alto de segurança.
Para mais informações acesse: www.eset.com.br
Com relação especificamente à categoria de Malware Ransomware, quais as recomendações da ESET, pois muitos ainda pagam o resgate das informações e não as recebem. Como lidar com essa situação?
Camillo: Essa é uma preocupação que deve preceder a infecção. Depois que os arquivos já foram comprometidos, aconselhamos a não pagar, primeiramente porque não se sabe se efetivamente os dados serão recuperados, além disso, de tempos em tempos muitas são descobertas falhas em famílias de ransomware que permitem lançar software capazes de recuperar os dados gratuitamente e, por fim, porque isso gera maior incentivo ao cibercrime para continuar com esse tipo de ataque.
No entanto, para evitar passar por essa situação é importante ter um backup atualizado dos dados (que não esteja conectado à máquina, porque senão ele também sera criptografado), ter instalada uma boa solução de segurança, e se concentrar nos três pilares citados anteriormente. A ESET preparou uma página especialmente esse tema que possui maior detalhamento dessas informações: http://www.eset.com.br/kit-antiransomware
Eu espero que tenham gostado e deixem suas sugestões de temas e pessoas que na medida do possível eu vou procurar trazer mais entrevistas como esta para o blog,
Até a próxima!
04/05/2017 Leave a comment
De acordo com a recente Pesquisa de riscos à segurança de instituições financeiras, 24% dos bancos de todo o mundo têm dificuldades em identificar seus clientes ao fornecer serviços de bancos on-line e digitais. Mais da metade dos bancos (59%) prevê um aumento dos prejuízos causados por fraudes nos próximos três anos. Por isso, a verificação da identidade dos usuários deve ser prioridade nas estratégias de segurança virtual das instituições financeiras, adverte a Kaspersky Lab.
Com o crescimento dos serviços bancários on-line e em dispositivos móveis, os clientes não apenas se tornam vítimas de fraudes financeiras, como também são um ponto de entrada importante para ataques nos canais digitais dos bancos. De acordo com a pesquisa, em 2016, 30% dos bancos passaram por incidentes de segurança que afetaram os serviços bancários fornecidos pela Internet. Os principais fatores que contribuíram para os ataques foram o phishing direcionado aos clientes e o uso de credenciais de clientes para atividades de fraude.
Os bancos carecem de tecnologias de segurança que não prejudiquem a experiência do cliente: 38% das organizações que participaram da pesquisa confirmaram que se preocupam com o equilíbrio entre as técnicas de prevenção e a conveniência para o usuário.
“Ao considerar as diversas abordagens para fornecer canais digitais e móveis seguros, naturalmente os bancos evitam colocar muita pressão sobre os clientes. Os bancos on-line precisam continuar oferecendo seus principais benefícios: uma forma conveniente de fazer transações financeiras em questão de segundos. Por isso, estamos trabalhando em tecnologias que permitam proteger os bancos e seus clientes sem incluir rotinas de segurança adicionais na experiência do usuário”, declarou Alexander Ermakovich, chefe da equipe de prevenção de fraudes da Kaspersky Lab.
Além da dupla-autenticação e de outros procedimentos de segurança usados pelos bancos, a Kaspersky Lab recomenda implementar soluções exclusivas capazes de identificar se uma pessoa tem a devida autorização sem exigir ações adicionais do usuário. A plataforma Kaspersky Fraud Prevention compila e analisa o comportamento do usuário, informações do dispositivo, do ambiente e da sessão na forma de big data anônimo e despersonalizado na nuvem. A autenticação baseada em riscos (RBA, Risk Based Authentication) avalia os possíveis riscos antes do login do usuário, enquanto a detecção contínua de anomalias na sessão (Continuous Session Anomaly Detection) identifica o controle de contas, lavagem de dinheiro, ferramentas automatizadas ou qualquer processo suspeito executado durante a sessão.
Dessa maneira, a plataforma oferece proteção não apenas na fase de login, mas também durante a própria sessão, e os usuários não precisam passar por mais etapas de autorização.
Para saber mais sobre a plataforma Kaspersky Fraud Prevention, visite: https://www.kaspersky.com.br/enterprise-security/fraud-prevention
03/05/2017 Leave a comment
Olá pessoal,
no dia 11 deste mês, das 13:00 às 18:00, teremos no Rio de Janeiro, mais precisamente no Hotel Rio Othon Palace em Copacabana, o evento AWS Cloud Experience promovido pela Amazon.
O evento promete apresentar ferramentas e equipamentos para a criação de soluções de nuvem seguras para os clientes.
As inscrições são gratuitas e podem ser feitas aqui.
Eu já fiz a minha inscrição e estarei presente.
31/03/2017 Leave a comment
Cibercriminosos aproveitam falhas em servidor para aplicar golpe, no qual os internautas são direcionados para um site falso
A ESET – fornecedora de soluções para segurança da informação e pioneira em proteção proativa – identificou um novo tipo de golpe que usa como chamariz a consulta a contas inativas do FGTS (Fundo de Garantia por Tempo de Serviço). Na ação, os cibercriminosos enviam um falso e-mail sugerindo que vítima consulte o saldo de sua conta inativa do FGTS por de um link, o qual na realidade direciona o internauta para um site voltado a roubar dados pessoais.
Tela do site falso voltado a roubar dados pessoais dos internautas:
Entre as informações solicitadas para preenchimento no falso site do FGTS estão CPF, data de nascimento, Número de Identificação Social (NIS), credenciais de acesso ao sistema do governo, telefone, além de informações bancárias. O objetivo dos cibercriminosos é vender os dados pessoais, realizar fraudes ou mesmo direcionar outros ataques para levantar ainda mais informações das vítimas.
Para aplicar o golpe, os cibercriminosos usaram uma falha de segurança e incluíram scripts PHP no servidor. Dessa forma, quando a vítima acessa determinadas URLs especificas, consegue visualizar uma página de internet com conteúdo legítimo.
“Esse caso é um exemplo de como um servidor, hospedando um conteúdo legítimo, teve suas vulnerabilidades exploradas e foi utilizado pelo cibercrime para a propagação de phishing. Isso vale de alerta para aqueles que administram servidores, principalmente, com conteúdos acessados pela Internet, para que atualizem seus sistemas e aplicações, apliquem sempre patch e os protejam antes da ocorrência de um incidente”, afirma Camillo Di Jorge, Presidente da ESET Brasil. “No caso dos usuários, vemos novamente como assuntos de temas amplamente noticiados são utilizados para realizar ciberataques. Cibercriminosos estão sempre explorando assuntos com maior probabilidade de conseguir cliques por parte das pessoas”, reforça o executivo.
Para evitar cair em golpes com esse, a ESET alerta sobre a importância de saber identificar uma ameaça digital, evitando clicar em e-mails desconhecidos, que solicitem informações pessoais ou a realização de downloads. Além disso, os internautas devem contar com soluções de segurança proativas instaladas e atualizadas em todos os equipamentos que acessam a internet.
Para mais informações, acesse: http://blogs.eset.com.br/laboratorio/2017/03/29/phishing-consulta-saldo-fgts/
18/02/2017 Leave a comment
SegInfocast #48 – Faça o download aqui. (13:00 min, 8,95 MB)
Neste episódio eu recebi mais uma vez o Prof. Alan Oliveira, tradutor do livro Fundamentos da Segurança da Informação que se encontra na sua 3ª edição. O livro aborda como a segurança da informação tem sido uma grande preocupação, sobretudo no ambiente empresarial, onde a perda ou vazamento de informações pode gerar um grande impacto no negócio. O livro é referência para o curso de Fundamentos da Segurança da Informação promovido pela Clavis, que visa preparar o aluno para o exame de certificação ISO 27001 e 27002.
Qual é o público alvo do livro e do curso?
Tanto o curso quanto o livro são direcionados para profissionais interessados em se preparar para o exame de certificação ISFS da Exin, utilizando as normas da ISO 27001 e 27002. Porém o livro também se tornou referência e adequado para todos os profissionais que almejam aprender sobre segurança da informação, já que o livro fornece um entendimento básico sobre os fundamentos de segurança em TI.
O que o leitor pode esperar encontrar no livro ?
O livro aborda a segurança da informação de uma forma abrangente, detalhando uma série de conceitos sobre segurança, como confidencialidade, criptografia, controle de acesso, integridade de dados, riscos, ameaças(BOTNET, worms, trojans) e as possíveis contramedidas que devem ser utilizadas para proteção contra tais ameaças.
Quando o livro e do curso será lançado?
O lançamento do livro e do curso está previsto para o segundo semestre de 2017.
Alan Oliveira é Engenheiro, mestre em Engenharia Eletrônica na área de sistemas inteligentes. Atuou por 7 anos como oficial da marinha nas áreas de sistemas de armas e comunicações. Atualmente é professor na Marinha do Brasil, onde ministra as disciplinas de controle de sistemas, guerra eletrônica e sistemas de comunicação. Desenvolve em seu doutorado pesquisas voltadas para a segurança de sistemas de controle e automação.
