Segurança da (sua) Tecnologia da Informação e Comunicação

A cada segundo um fornecedor de infraestrutura crítica é alvo de um ciberataque, afirma uma pesquisa divulgada nesta quinta-feira pela empresa de software de segurança McAfee.

Hackers frequentemente têm sucesso em ataques contra empresas, afirmam especialistas em segurança, mas as companhias que são alvo dessas incursões raramente as revelam porque temem prejudicar suas reputações e incentivar os criminosos.

Por conta disso, o anúncio do Google de que foi alvo de um “altamente sofisticado ataque dirigido” na China ganhou tamanho destaque este mês.

Para a pesquisa da McAfee, o Centro Estudos Estratégicos e Internacionais ouviu cerca de 600 executivos voltados a áreas de tecnologia da informação e segurança dos setores de energia, transporte, saneamento, governo, telecomunicações e financeiro em 14 países.

“Nos países mais desenvolvidos, a infraestrutura crítica está conectada à Internet e pode não ter os recursos devidos de segurança, o que deixa essas instalações vulneráveis”, afirma a McAfee no relatório.

Cerca de 37%das empresas acreditam que a ameaça à infraestrutura crítica esteja crescendo e 40% esperam um importante incidente de cibersegurança para o próximo ano, afirma a pesquisa. O levantamento também sustenta que uma em cada cinco empresas foi vítima de extorsão financeira.

Greg Day, analista de segurança da McAfee, disse que a maior surpresa na pesquisa foi a escala e a amplitude dos ataques.

“Está acontecendo em uma escala tão grande e nós certamente veremos ataques cada vez mais sofisticados”, disse Day.

Fonte: Reuters

Hackers criaram um vírus que ataca o iPhone secretamente, controlando o smartphone por meio de conexões à internet, alertaram analistas.

O vírus foi detectado na Holanda e só ataca iPhones cujos usuários desabilitaram algumas funções de segurança pré-instaladas, de acordo com analistas que monitoram o vírus, conhecido como Duh Worm.

Os hackers estão tentando usar o vírus para obter senhas de banco na Holanda, segundo Graham Cluley, pesquisador da Sophos. Quando um usuário do iPhone tenta acessar um site de banco, o Duh Worm direciona o navegador para uma página falsa controlada pelos hackers.

Os aparelhos vulneráis a ataque são aqueles “abertos”, nos quais os usuários desabilitam ferramentas de segurança fundamentais da Apple que impedem algumas atividades.

Por exemplo, a Apple impede que usuários mudem de provedor de serviço para operadoras não autorizadas e que eles instalem qualquer um dos cerca de 100 mil programas vetados pela fabricante.

Três analistas de segurança independentes disseram que é melhor que os usuários não desabilitem essas funções porque os riscos de segurança são muito maiores do que os possíveis benefícios.

Esta é a primeira vez que iPhones são usados para criar uma “botnet”, ou rede de dispositivos infectados controlados por hackers.

Fonte: Info

Esperei exatamente o término dos testes de tentativas de quebra da segurança do sistema de votação eletrônica brasileiro referente às urnas informatizadas para escrever este artigo.

Apesar de inscrever-me no processo não fui à Brasília por motivos óbvios atrelados à crise financeira que ainda flutua em algumas regiões. E também por saber que luminares da segurança estariam por lá; inclusive o pessoal das Forças Armadas onde a equipe da Marinha do Brasil muito dignamente formalizou pedido de não constar entre os eventuais agraciados com as premiações.

Tentou-se de tudo nesta primeira vez que a Justiça Eleitoral possibilitou que o público em geral verificasse a confiabilidade do sistema, ou seja, se ele estaria sujeito a eventuais violações ou fraudes. Apesar de nenhum teste ter conseguido violar a urna e os programas, as idéias apresentadas pelos especialistas podem contribuir para o aperfeiçoamento tecnológico da votação.

As três idéias consideradas mais relevantes para o aprimoramento do sistema eletrônico de votação serão premiadas hoje, sexta-feira (20), em cerimônia no Hotel San Marco, em Brasília (DF), a partir das 10h. Antes disso, às 9h30, o ministro Ricardo Lewandowski fará apresentação dos testes de segurança na urna eletrônica e nos componentes do sistema de votação que serão utilizados nas eleições de 2010.

A ISSA Brasil (Information System Security Association) participou dos testes tentando provar que seria possível um eleitor votar mais de uma vez por eleição. Além de não ter conseguido seu intuito declarou ser o sistema “bastante robusto”.

Bastantes robustos também são considerados os carros blindados da Polícia Militar do Rio de Janeiro, mais conhecidos por nós como “caveirões” do BOPE. Também eram resistentes a tiros de fuzis calibre 5,56 mm (AR15) e 7,62 mm (FAL). Até que os traficantes descobriram que ele é vulnerável a tiros de calibre .50 ou algo semelhante.

Acho que o problema dos testes com as urnas eletrônicas é que na sua grande maioria foram focados no software. Não vi nenhuma referência ao hardware.

Quando o TSE – Tribunal Superior Eleitoral – começou a divulgar este concurso lembrei-me de uma das minhas primeiras aulas na faculdade de informática lá nos anos 90. Um professor visionário fez a seguinte pergunta para a turma:

- Vocês imaginam o que poderia acontecer se um hacker ou pessoa mal intencionada adentrasse um CPD com um dispositivo de pulso magnético ou até mesmo um imã? E plantasse este imã perto de algum ativo de rede ou até mesmo sob um servidor de missão crítica?

Vamos adaptar esta pergunta para a realidade das urnas:

- O que aconteceria a uma urna eletrônica se uma pessoa durante o seu momento reservado e único de votação plantasse sob a urna tal dispositivo?

Participei de todas as votações eletrônicas realizadas no Brasil como simples eleitor e jamais vi qualquer tipo de verificação por parte da equipe compulsoriamente convocada ao trabalho de secretário, mesário e presidente de zona eleitoral. Querem mais é que o dia passe rápido para poder curtir o que ainda resta dele após ter trabalhado de graça para o governo. Já fui mesário na época das eleições em papel e tiro e falo por mim somente. Também nunca vi nenhum equipamento detector de metais.

Se em um país como os EUA foi possível derrubar as torres gêmeas o que poderia ocorrer por aqui?

- O que aconteceria a uma urna eletrônica se logo abaixo de seu chassi fosse grudado um dispositivo de pulso magnético programado para entrar em funcionamento logo após o fim do pleito? Qual seria o plano de contingência? Tem plano B? Ou o povo teria que ser convocado novamente para uma nova eleição?

Esta viagem na maionese serve apenas para exemplificar que segurança da tecnologia da informação e comunicação não versa apenas sobre software. É um conjunto de fatores físicos e lógicos que devem ser levados em consideração. Pois; será que as urnas são suficientemente blindadas? O caveirão também era até que,…, coitados dos mesários e secretários.

Teste de segurança do sistema eletrônico de votação

O Tribunal Superior Eleitoral (TSE) aprovou por unanimidade, na sessão administrativa do dia 30 de junho de 2009, a realização de teste público de segurança no sistema eletrônico de votação para verificar possíveis vulnerabilidades no sistema, ou seja, se ele está sujeito a eventuais violações ou fraudes.

O teste para as eleições de 2010 deverá ocorrer no período entre 10 e 13 de novembro deste ano, nas dependências do TSE, e vai colocar à prova o sistema eletrônico, por meio de tentativas a serem feitas para burlar seus programas.

A participação nos testes está aberta a toda a sociedade brasileira. Informações adicionais estão disponíveis no Edital dos testes. O TSE convida a participarem, em especial, profissionais das áreas de tecnologia da informação e engenharia.

Os resultados dos testes serão analisados e divulgados por uma comissão formada por membros externos à Justiça Eleitoral, denominada Comissão Avaliadora.

A Corte designou o ministro Ricardo Lewandowski para coordenar a realização do teste público de segurança.

http://www.tse.gov.br/internet/eleicoes/teste_seguranca.htm

Fonte: TSE

Um firewall que roda em PC com apenas 64 MB de RAM. Serve para pequenos escritórios que tem um micro velho parado e não sabem mais o que fazer com ele.

Você pode usá-lo transformando-o em um firewall para a sua empresa. Faça o download em http://www.techsoup.org/learningcenter/downloads/techstructure/page9880.cfm

Possui fácil instalação e administração.

A CPI da Pedofilia do Senado assinou nesta terça-feira, 4, um termo de cooperação mútua com a Associação Brasileira das Empresas de Cartões de Crédito e de Serviços (Abecs), Polícia Federal e Ministério Público Federal para prevenir e combater transações ilegais de compra e venda de pornografia infantil pela internet.

Segundo Thiago Oliveira, presidente da SaferNet Brasil, entidade sem fins lucrativos que atua na prevenção de crimes cibernéticos, que também assinou o acordo, a parceria servirá para identificar empresas e consumidores de pornografia infantil virtual por meio de transações financeiras realizadas com cartões de crédito.

Na prática, as empresas de cartões de crédito serão informadas pela Polícia Federal de empresas envolvidas na prática do crime de comercialização de pornografia infantil. Com isso, será feito o descredenciamento dessas empresas e poderá ser feito o levantamento das pessoas que mantiveram transações financeiras

De acordo com Oliveira, já foram identificados mais de 2,5 mil sites, a maioria hospedados fora do Brasil, que comercializam o acesso a imagens com pornografia infantil. O termo de cooperação também prevê a realização do cruzamento de dados de páginas suspeitas no Brasil, a criação de novas ferramentas para coibir a pornografia infantil virtual e uma campanha de educação e prevenção contra esse tipo de crime.

Um acordo semelhante já foi assinado nos Estados Unidos em 2006 e criou uma espécie de coalizão financeira dos principais bancos e bandeiras de cartão de crédito norte-americanos com o objetivo de dificultar as transações ilegais de compra e venda de imagens pornográficas e de sexo explícito envolvendo crianças e adolescentes. A Inglaterra também assinou acordo com o mesmo teor, no ano passado. As informações são da Agência Brasil.

Fonte: TI Inside

A Abecs (Associação Brasileira das Empresas de Cartões de Crédito e Serviços) anuncia um novo selo de segurança para os terminais eletrônicos utilizados pelos varejistas para pagamento feito com cartão de crédito ou débito. Alessandro Raposo, representante da Abecs, explica que a nova norma é ainda mais adequada às peculiaridades do Brasil em relação a fraudes no cartão. “ O selo da Abecs é superior, em alguns quesitos, ao padrão PCI porque prioriza principalmente o cenário brasileiro”, explica.

Raposo conta que enquanto em outros países um dos riscos mais citados é o de vazamento de informação, no Brasil, a realidade aponta para cartões clonados, cuja camada de hardware estará ainda mais segura para proteger os estabelecimentos de tais vulnerabilidades.

Entre os fabricantes que já aderiram ao acordo estão a Verifone, Hypercom, Ingenico, Gertec, Daruma, Perto, Dataregis e Gemalto. A certificação dos equipamentos será feita pelos laboratórios LSI Tec, CPQD e Instituto Eldorado. A previsão é de que alguns terminais comercializados desde julho já tenham o selo da Abecs.

Raposo esclarece que o selo complementa e contribui para a adoção do padrão de segurança da informação do PCI, criado desde 2004 pelo fórum das operadoras de crédito. “O selo é complemento do PCI”, afirma. Ele, entretanto, admite que a iniciativa ampliará a Segurança da Informação no Varejo, inclusive dos estabelecimentos que não seguem nem os princípios básicos do PCI.

Fonte: Risk Report

Supercomputadores guardam tudo o que se passa na vida dos paulistas. Todos os números de São Paulo estão nesta central. Saiba como funciona a estrutura da Prodesp.