Blog do Luciano

CE é 2º em fraude no e-commerce 14.02.2013 imprimir email Para evitar esse tipo de problema no comércio eletrônico, é preciso verificar os itens de segurança dos sites Comprar na internet pode facilitar muito a vida do consumidor. Mas, antes de sair digitando seus dados, é preciso se preocupar com a sua segurança. O Ceará foi o segundo Estado, no ano passado, com maior volume proporcional de tentativas de fraudes no e-commerce, segundo dados divulgados pela FControl, empresa do Buscapé Company. Esse tipo de crime foi identificado em 7,5% das transações do Estado em 2012 - contra 6% em 2011. O Ceará ficou atrás apenas do Pará, que alcançou a marca dos 9,7%. O estudo da FControl também revela que os provedores mais utilizados para a criação de e-mails falsos são os gratuitos, pela facilidade encontrada pelos fraudadores. Critérios de segurança Para evitar problemas na hora da compra, o diretor da Morphus Segurança da Informação, Renato Marinho, sugere qu...

Nova lei da União Europeia obriga empresas a comunicarem ciberataques ao governo Autoridades da União Europeia publicaram nesta quinta (7) novas regras para  a comunicação de cibertaques que vão forçar empresas a alertarem imediatamente o governo sobre esse tipo de crime. Neelie Kroes, vice-presidente da Comissão Europeia, disse que os setores de telecomunicações, energia, transportes, bancos, saúde, além das empresas de internet, terão de comunicar "incidentes significantes". Cerca de 40 mil empresas serão afetadas pela nova lei. Com as novas regras, todos os países do bloco terão de manter equipes de resposta emergencial (CERTs, na sigla original em inglês) e criar uma autoridade à qual as companhias vão comunicar os ciberataques. Essas agências decidirão se as brechas de segurança serão comunicadas ao público e se as empresas serão multadas pelas falhas. "A Europa precisa de redes e sistemas sólidos, e não agir seria impor custos significantes a consumi...

Microsoft e Symantec desmantelam quadrilha que controlava milhares de PCs zumbis As fabricantes de software Microsoft e Symantec desativaram servidores que permitiam a uma quadrilha internacional de crimes de informática controlar milhares de computadores sem o conhecimento dos donos. Técnicos a serviço das duas empresas fizeram buscas em centrais de processamento em Weehawken (Nova Jersey) e Manassas (Virgínia) na companhia de policiais federais na quarta-feira, cumprindo mandado expedido pelo tribunal federal norte-americano em Alexandria (Virgínia). Esse desligamento impediu, temporariamente, que computadores infectados ao redor do mundo fizessem buscas na Internet; as duas companhias ofereceram, por meio de mensagens automáticas aos usuários em questão, ferramentas gratuitas para proteger as máquinas. Os técnicos apreenderam um servidor na central de Nova Jersey e convenceram os operadores da central da Virgínia a pedir a desativação de um servidor na Holanda, inform...

Quatro erros que podem colocar seus dados em risco As pressões sofridas pelas organizações em relação às questões de compliance (cumprimento de normas legais e às regras estabelecidas para cada segmento de mercado) têm historicamente servido como pano de fundo para elevar os orçamentos voltados à segurança da informação. Contudo, elas também representam a fonte de muitos dos riscos a que as empresas estão impostas. No ímpeto de cumprir todos os requisitos no prazo estabelecido, entretanto, muitas organizações tomam decisões precipitadas e, por isso, cometem falhas que podem comprometer seriamente as políticas corporativas de proteção dos dados.  Então, é aconselhável que os CIOs estejam atentos aos erros mais comuns na hora de investir em compliance e criem mecanismos para evitá-los. Arruinar a autenticação por meio de múltiplos fatores Para estar de acordo com as normas do segmento no qual atuam, muitas organizações trocam suas políticas de acesso e gerenciamento...

smarter analytics Nova ferramenta agrega inteligência à segurança de dados Network World , há 2 dias por  Ellen Messmer A IBM lançou uma ferramenta que pode analisar terabytes de dados, incluindo e-mails, para ajudar clientes a detectar ataques externos que visam roubar informações sigilosas ou ameaças internas que podem revelar segredos corporativos. Chamada de  IBM Security Intelligence with Big Data , a ferramenta é projetada a partir de dois dos principais produtos da empresa: a versão corporativa IBM do banco de dados open source Hadoop, que possui ferramentas de análise conhecidas como InfoSphere BigInsights; além do QRadar eventos de segurança e de gerenciamento de informações (SIEM) - produto que veio junto com a aquisição da Q1 Labs em 2011. Internamente, o IBM Security Intelligence with Big Data recolhe e analisa os dados em alta velocidade - que inclui pacotes de captura de dados, segurança de eventos de informação a partir de firewalls e out...

CONHEÇA AS NORMAS DE SEGURANÇA DA INFORMAÇÃO ISO-27001 É um modelo focado em estabelecer, implantar, operar, monitorar, rever,  manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os  controles da ISO 27002 Download: http://www.vazzi.com.br/moodle/pluginfile.php/135/mod_resource/content/1/ISO-IEC-27001.pdf ISO-27002 Código de práticas para Segurança da Informação . Descreve centenas de potenciais controlos e mecanismos de controlo, que podem ser aplicadas para a orientação fornecida dentro da framework ISO 27001. Download:  http://www.4shared.com/get/NT8wnB-X/NBR_ISO_27002.html ISO-27005 Norma que fornece diretrizes para um processo de Gestão de Risco Download:  http: //www.brunomoraes.com.br/governanca-em-ti/wp-content/uploads/2010/11/NBR_ISO27005_ConsultaABNT1.pdf Para adquirir as normas entre no site abaixo  http://www.abntcatalogo.com.br/ssl/login.aspx

FALHAS DE SEGURANÇA NO JAVA As coisas não estão indo muito bem para a Oracle. Menos de uma semana após   liberação de uma correção  para uma grave falha de segurança no Java, pesquisadores descobriram duas novas vulnerabilidades no plugin. Após análises, especialistas em segurança criticaram a atualização para o Java 7 Update 11, dizendo que a Oracle corrigiu apenas uma das brechas conhecidas. O pesquisador Adam Gowdiak, da Security Explorations, confirmou na lista de emails  Full Disclosure  que ainda é possível ultrapassar a barreira de proteção do Java na versão mais recente. Sem dar muitos detalhes, ele criou um exploit que usa duas vulnerabilidades diferentes do Java e enviou o código para a Oracle, que está analisando o problema. Gowdiak disse ao  Softpedia  que só foi possível explorar a falha descoberta na semana passada porque a Oracle não corrigiu uma vulnerabilidade antiga, descoberta em agosto do ano passado — isso porque um gr...

Novo método hacker pode reduzir segurança de criptografias avançadas Com um sistema inovador que elimina redundâncias, especialista em segurança aumenta em 21% a capacidade dos sistemas de quebra de senhas. Sabe aquela sua senha muito segura que foi criada com algarismos, letras e caracteres especiais? Pois você deve lembrar que ela  pode não valer nada  se os servidores em que estão armazenadas não oferecerem a segurança necessária. E agora nem mesmo as codificações SHA1 (que utilizam Hash para despistar possíveis invasores) estão garantindo o que esperamos delas. Em um evento especializado em segurança digital realizado na Noruega, um pesquisador apresentou um novo algoritmo capaz de aumentar em 21% a capacidade dos atuais sistemas de quebras de codificação existentes. O grande trunfo deste novo sistema está na possibilidade de fazer com que operações redundantes sejam eliminadas, o que diminui bastante o tempo necessário para a quebra das senhas. Segundo o si...

. VOCÊ SABE O QUE É DEEP WEB? se refere ao conteúdo da  World Wide Web  que não faz parte da  Surface Web , a qual é indexada pelos      mecanismos de busca  padrão. É o conjunto de conteúdos da internet não acessível diretamente por sites de busca. Isso inclui, por exemplo, documentos hospedados dentro de sites que exigem login e senha. Sua origem e sua proposta original são legítimas. Afinal,nem todo material deve ser acessado por qualquer usuário. O problema é que, longe da vigilância pública, essa enorme área secreta (500 vezes maior que a web comum!) virou uma terra sem lei, repleta de  atividades ilegais pavorosas

PRESO HACKER PROCURADO PELO FBI Uma das 10 pessoas mais procuradas pelo FBI, o hacker argelino Hamza Bendelladj, de 24 anos, foi preso nesta segunda-feira ao fazer uma escala no aeroporto de Bangcoc, na Tailândia. De acordo com o jornal  The Nation , os passos do suspeito foram seguidos desde uma viagem à Malásia e a polícia tailandesa realizou a prisão com auxílio de homens do próprio FBI. Bendelladj é procurado pelo serviço de investigação americano há três anos, por invadir sites de ao menos 217 bancos e companhias de finanças. Segundo o general tailandês Phanu Kerdlabpol, que participou da operação, com apenas uma invasão o argelino lucrava "até US$ 20 milhões". Ainda de acordo com as investigações, o hacker vivia uma rotina "de luxo e extravagâncias viajando pelo mundo". Graduado em Ciências da Computação, na Argélia, em 2008, Bendelladj deve ser extraditado para o Estado americano da Geórgia, onde tem um mandado de prisão. Mesmo detido, o...

Governo define militares como responsáveis por proteção contra cibernéticos O Ministério da Defesa aprovou a política que define estratégias de defesa cibernética nos níveis operacional e tático e que deve ser aplicada nos grandes eventos que serão sediados no país, a Copa do Mundo de 2014 e os Jogos Olímpicos de 2016. Portaria que aprova a Política Cibernética de Defesa foi publicada nesta quinta-feira, 27, no Diário Oficial da União. De acordo com o documento, caberá ao ministério, em conjunto com as Forças Armadas, impedir ou dificultar a utilização criminosa da rede. Eles serão os responsáveis por garantir a operação da rede, bem como a interoperabilidade dos sistemas e a segurança. Para isso, a política prevê a implantação do Sistema Militar de Defesa Cibernética, implantado por militares e civis, e assessorado pelo Estado-Maior das Forças Armadas. Deverão ser criados e normatizados processos de segurança cibernética para padronizar os procedimentos de defesa da rede. Deverão ta...