Tecnologia da RedeSegura presente no quadrante mágico do Gartner

Entre os pontos fortes apontados no relatório estão as ferramentas de teste por análise de tráfego HTTP entre o browser e o servidor, que também testa a força das senhas; os recursos de testing-as-a-service; relatórios e a integração considerada out-of-the-box com diversos fornecedores de TI

A N-Stalker, especializada em segurança de aplicações web e responsável pelo desenvolvimento da plataforma RedeSegura, ingressa no Quadrante Mágico do Gartner Group para testes em aplicações Web como player de nicho por sua tecnologia, no relatório de julho de 2013. De acordo com o CTO da N-Stalker, Thiago Zaninotti, a criação do Quadrante Mágico para testes de aplicações Web mostra a importância desta tecnologia para a segurança corporativa. “O volume de aplicativos web cresce exponencialmente e o desenvolvimento e rápida disponibilização para atender aos requisitos do mercado acabam deixando muitas vulnerabilidades exploráveis, o que compromete a segurança”, completa.

 O foco da brasileira N-Stalker é a análise de segurança de aplicações web, com técnicas DAST – do inglês dynamic application security testing – com captura proxy; ferramentas de testes por análise de tráfego HTTP entre o browser e o servidor, que testa a força das senhas, permite descobrir servidores web e testar sua capacidade. Características avaliadas como pontos fortes pelos já conhecidos rigorosos critérios do Gartner para o relatório do Quadrante Mágico.

Outros pontos avaliados e considerados fortes pelo Gartner foram os recursos de testing-as-a-service, que segundo o relatório “A N-Stalker é um dos poucos fornecedores que oferece opções de DAST-as-a-service”. E os recursos de classe empresarial, como o RBAC – Role Base Access Control –, em seu console; relatórios e a integração considerada out-of-the-box com diversos fornecedores de tecnologia Web Application firewall – WAF.

A tecnologia N-Stalker foi patenteada pelo USPTO – United States Patent and Trademark Office, agência do Departamento de Comércio do Governo dos Estados Unidos, que reconheceu a metodologia inventada e desenvolvida por Zaninotti, como uma nova abordagem para avaliação de aplicações de segurança na Web.

Cuidado com os mitos de segurança dos aplicativos web

Minimizar alguns riscos pode dar falsa sensação de segurança, levando as empresas a baixar a guarda para ameaças quase eminentes

Muitos mitos e mesmo distorções povoam o, digamos, imaginário corporativo sobre a segurança na internet, aumentando a incidência de vulnerabilidades e reduzindo as defesas contra ataques. Isto porque os mitos tendem a minimizar os riscos; dar uma falsa sensação de segurança, seja por meio de alguma nova tecnologia “milagrosa” ou pela ausência de visibilidade dos problemas, levando as empresas a baixar a guarda para ameaças quase eminentes.

Como é bastante óbvio, a internet se tornou o principal ponto de convergência dos sistemas corporativos, integrando transações com parceiros, fornecedores, clientes e investidores em um mesmo canal eletrônico. Segundo o site da Pingdom, os usuários de internet no mundo todo somaram 2,4 bi, em 2012. Por aqui, o número de usuários ativos, segundo a pesquisa da Net Insight, estudo sobre internet do IBOPE Media, era de 50 milhões, em dezembro deste mesmo ano.

Com tantos usuários utilizando sistemas de informação em rede pública, a segurança para aplicativos web se consolidou de vez como um dos principais itens na agenda dos gestores de segurança da informação. Considerando ainda a atual complexidade dos sistemas de TI, incluindo a disseminação da computação distribuída em nuvem, “big data”, composição de serviços distribuídos e a necessidade da implantação da governança corporativa, faz-se cada vez mais necessário eliminar os mitos que contribuem negativamente para o sucesso da proteção dos aplicativos.
Enumeramos os seis mitos mais recorrentes que fragilizam o elo de percepção de segurança e os descrevemos a seguir.

1. O desenvolvedor sempre me proverá sistemas seguros

Qualquer aplicativo web, do mais simples serviço de bate-papo a um complexo pacote de gestão de recursos corporativos, passa necessariamente pelas fases de desenvolvimento e manutenção. Nestas fases, as atividades de criação e alteração de código-fonte priorizam requisitos funcionais e o desempenho do aplicativo. É um mito achar que os desenvolvedores poderiam estar vertendo todo o seu tempo para produzir trechos de código livres de falhas de segurança. Muitas brechas seriam resolvidas se o aplicativo web fosse testado adequadamente durante estas fases ou antes de ser colocado em produção.

2. Apenas especialistas sabem explorar vulnerabilidades da Aplicação Web

Com a ampla oferta de sites que publicam ferramentas abertas para testar vulnerabilidades, qualquer usuário com um computador conectado à Internet pode ser um potencial vetor de ameaças. Os ataques de hoje exigem menos conhecimento técnico e tem parte de sua complexidade ocultada por ferramentas sofisticadas que executam automaticamente passo-a-passo as instruções para explorar uma falha de segurança. Achar que você está protegido pela obscuridade ou falta de conhecimento da vulnerabilidade é um grave erro.
3. Falhas em aplicações internas não são tão importantes

Em um recente estudo conduzido pela Universidade Carnegie-Mellow em conjunto com o Departamento de Segurança Interna dos EUA, pesquisadores detectaram que ataques internos são os mais bem sucedidos no segmento financeiro. Na maioria dos casos estudados, o tempo para a detecção inicial de fraudes internas supera 32 meses. Isso significa que o excesso de confiança no ambiente interno acostuma as pessoas a serem menos conscientes; as aplicações são desenvolvidas de maneira menos seguras, seja pelo uso de controles inadequados ou pela falta de interesse em eliminar vulnerabilidades. Lembre-se, os aplicativos internos são aqueles que armazenam os dados mais preciosos do negócio, estando mais suscetíveis a funcionários descontentes, prestadores de serviço ou até mesmo criminosos infiltrados.

5. O Firewall nos protege de todos os ataques externos

Mesmo tendo alcançado a maturidade comercial desde o final dos anos 90, os firewalls não estão prevenindo o aumento das estatísticas de ataques em todo o mundo. Obviamente alguma coisa está errada nesta estratégia de defesa. As tecnologias de proteção perimetral são essenciais para qualquer estratégia de gestão de segurança, afinal, são a base de sustentação do plano de defesa em camadas. Por outro lado, os ataques estão cada vez mais direcionados às funcionalidades de negócio, disfarçados em transações legítimas que tem por objetivo final explorar uma determinada vulnerabilidade no aplicativo. Trata-se, portanto, de mais um mito amplamente difundido nas corporações.

5. Selos de “percepção” de segurança não blindam o seu site.

Apesar dos selos de segurança terem tido o papel de introduzir a discussão de proteção dos aplicativos web em todas as camadas de negócio da empresa, eles têm sido frequentemente utilizados para substituir um trabalho mais profundo na correção de vulnerabilidades das aplicações. Os selos de “blindagem” contra ataques acabam tendo o mesmo efeito de um aviso de “cão antissocial” na porta da sua casa. O mito deve ser combatido com um trabalho de acompanhamento do ciclo de vida dos aplicativos, incluindo testes de segurança periódicos nas funcionalidades de negócio, de maneira a produzir efeitos satisfatórios de proteção para suas aplicações web.

6. Meu website é seguro porque utiliza SSL e Criptografia de Dados;

Este mito é um dos mais frequentes nas áreas de negócio das empresas. Utilizar criptografia de dados, SSL ou o tal “cadeado de segurança” no navegador só assegura que os dados sejam transmitidos do aplicativo para o navegador web com baixo risco de serem interceptados. O verdadeiro foco de problemas está naquilo que o aplicativo ou usuário faz com os dados após eles terem sido transmitidos e, para se proteger deste risco, o “cadeado” é completamente inócuo. Da mesma forma que o mito anterior, a única maneira eficaz de proteger o seu aplicativo web é antecipar a detecção e correção de vulnerabilidades antes que algum usuário mal intencionado resolva tomar proveito delas.

Conhecer os principais mitos de segurança e entender o impacto de ignorá-los já são ferramentas bastante eficientes para prevenção de ataques nos aplicativos web. Por meio delas, adota-se uma atitude mais proativa e menos reativa, aliando tecnologia e metodologia para proteger estes sistemas. E ter em mente que segurança da informação é um estado transitório, que só pode ser garantido pela continuidade de processos e atividades que visam manter os níveis adequados de proteção, seja para um pequeno negócio ou para uma grande corporação.

* Thiago Zaninotti, CISSP-ISSAP, CSSLP, CISM, é mestre em engenharia da computação pelo Instituto de Pesquisas Tecnológicas de São Paulo, criador da tecnologia patenteada da N-Stalker e CTO da REDE SEGURA TECNOLOGIA.

Os desafios da segurança de aplicativos em 2013

Agora, o acesso à internet é feito por dispositivos diversos e em várias redes. Os riscos aumentaram e os desenvolvedores, as empresas e os usuários precisam evoluir as políticas de segurança e controle.

Por Thiago Zaninotti

Nunca antes a segurança da informação esteve tão presente no dia a dia das pessoas. Esta é uma questão que afeta a todos sem distinção, de grandes corporações, passando por pequenas empresas e organizações sem fins lucrativos, até pessoas físicas. Por outro lado, assistimos a uma grande difusão de dispositivos, não somente corporativos, mas também dos próprios usuários que passaram a se conectar à internet para acessar aplicativos e informações, de forma ininterrupta.

E o que isso representa em termos de segurança da informação? De imediato, podemos perceber que as políticas tradicionais de segurança, especialmente voltadas à proteção das estações de trabalho, não são mais tão eficazes para conter as brechas de segurança, principalmente se levarmos em consideração a mobilidade dos usuários e dos sistemas de informação. Mas o que a mobilidade tem a ver com isto?

Não há dúvidas que a mobilidade é, hoje, a palavra de ordem. Para se ter uma ideia, segundo a IDC, foram vendidos cerca de 2,6 milhões de tablets no Brasil em 2012. Neste ano, este número deve saltar para 5,4 milhões. Outra pesquisa, da Our Mobile Planet realizada pelo Google em parceria com o Instituto Ipsos, revelou que 14% dos celulares no país são smartphones. O uso desses dispositivos móveis intensificou a utilização de aplicações (apps), que segundo estimativas do Gartner, as lojas online de aplicações – App Store e o Android Market – devem distribuir 70 milhões de aplicativos até 2014.

E se por um lado a ubiquidade do acesso à tecnologia representa uma quebra de paradigma, esta difusão de mobilidade tem por principal característica a descentralização do acesso à informação, permitindo que seus clientes, parceiros ou grupos de amigos realizem, a partir de ambientes não controlados, interações sensíveis com seus aplicativos hospedados na internet. Uma pesquisa da Juniper Research informa que o número de colaboradores que usam smartphones e tablets pessoais nas empresas vai mais que dobrar até 2014, chegando a 350 milhões em comparação com quase 150 milhões este ano.

Para entender melhor o problema, vamos tratar da questão dos aplicativos. Em sua maioria, os ataques de hoje começam por meio de brechas de segurança nos aplicativos utilizados pelas pessoas para realizar suas atividades diárias, tais como acessar e-mail, canais de atendimento, portais de notícias, enquetes, internet bank etc. A partir destas falhas, os criminosos estruturam operações com alvos específicos como a prática de fraudes eletrônicas, roubo de identidade e crimes contra o sistema financeiro. A fragilidade dos aplicativos disponibilizados por uma determinada empresa pode, inclusive, determinar o grau de sucesso para atacar os seus serviços e clientes.

Para se ter uma ideia, nove de cada 10 aplicações corporativas que foram analisadas pela RedeSegura possuem algum tipo de vulnerabilidade que pode ser explorada por meio de ferramentas amplamente disponíveis na internet. Destas aplicações vulneráveis, apenas duas serão corrigidas em uma janela de tempo necessária para evitar ataques mais sérios. Já o relatório de Tendências e Riscos X-Force dá conta que mais de 4,4 mil novas vulnerabilidades de segurança na web e em mídias sociais foram encontradas no primeiro semestre de 2012. Destas, 47% não foram corrigidas.

A gestão de riscos ainda é ineficiente
Mas por que isso acontece? Tradicionalmente as organizações nunca se preocuparam diretamente com os aplicativos. Bastava assegurar que o usuário e o meio de comunicação estivessem protegidos. Entretanto, neste jogo de insegurança, perdem os dois lados. Perde o desenvolvedor do aplicativo, que permite que seu sistema e dados de clientes sejam expostos de maneira arbitrária, e perde o usuário, que muitas vezes é vítima de ataques facilitados por estas falhas, instalando e hospedando malwares, programas maliciosos como botnets e cavalos de troia.

Sem a correta metodologia de detecção de falhas de segurança ainda na fase do desenvolvimento dos aplicativos, procedimento muitas vezes esquecido, o serviço, mesmo com funcionalidades perfeitas, será um calcanhar de Aquiles na segurança. Além desta prevenção, é importante rodar um sistema confiável que consiga rastrear, da forma mais eficiente possível, as brechas na segurança dos aplicativos já existentes em produção. Estas são mudanças primordiais para o futuro da segurança da informação neste mundo cada vez mais conectado.

Cracker invade blog da agência Reuters e posta entrevista falsa

Os invasores, ainda não identificados, postaram uma reportagem falsa no blog da empresa – que admitiu o problema em sua conta no Twitter

A agência de notícias Reuters, uma das principais do mundo, foi atacada por crackers nesta sexta (3). Os invasores, ainda não identificados, postaram uma reportagem falsa no blog da empresa – que admitiu o problema em sua conta no Twitter.

“A Reuters.com foi alvo de hackers nesta sexta-feira. Nossa plataforma de blogs foi comprometida”, postou a agência. “Posts foram falsamente atribuídos a vários jornalistas da Reuters. Estamos trabalhando para resolver o problema”. Enquanto não resolve o problema, a empresa retirou seus blogs do ar.

A reportagem falsa, já retirada do ar, foi uma suposta entrevista com um dos comandantes dos rebeldes sírios, Riad al-Asaad. “A Reuters não vai realizar essa entrevista e a postagem foi excluída”, disse a agência.

Fonte: idgnow

Segurança: pesquisador brasileiro cria método de teste em apps web

O pesquisador brasileiro Thiago Zaninotti criou uma nova maneira de realizar testes de segurança de aplicativos web. A descoberta, que faz parte do estudo ‘Método para testes de segurança em aplicações web por meio de casos de uso’ e foi apresentado ao Instituto de Pesquisas Tecnológicas – IPT – da USP, mostra que ao realizar os testes a partir de requisitos de utilização de casos de uso a eficiência e aumento na detecção de problemas com segurança chega a 30%.

Zaninotti explicou em comunicado oficial que as classes de vulnerabilidades podem ser adaptáveis, porém, a equipe realizou testes com as três principais vulnerabilidades listadas no padrão internacional do OWASP Top 10.
O método proposto pelo especialista testa a interação com as funcionalidades específicas dos aplicativos web. Ou seja, o modelo permite testar a segurança do app como se fosse um usuário regular com um navegador – e não realizar uma orientação dos testes de invasão (“pen-test”) que buscam falhas na infraestrutura e operações superficiais.

O estudioso explicou que o modelo apoia a utilização sistemática de testes ao longo do Ciclo de Desenvolvimento dos Sistemas (SDLC, do inglês Software Development Life Cycle).

Fonte: IT Web

IG adota novo paradigma de segurança para aplicações Web

Projeto de segurança de serviços web do IG implantou em mais de 100 sites internos e externos um processo de avaliação da segurança em todo o ciclo de desenvolvimento, iniciando pela certificação das entregas na fase de homologação, e incluindo o monitoramento de risco de ataques nos ambientes de produção.

O portal ampliou significativamente os níveis de segurança dos serviços oferecidos aos usuários e tratou quase 24 mil vulnerabilidades de forma preventiva, este ano

O Portal IG – www.ig.com.br – adota o Sistema RedeSegura, da REDE SEGURA TECNOLOGIA, para ampliar a segurança das suas aplicações Web, que são as soluções desenvolvidas para criar e disponibilizar os mais variados serviços aos usuários, desde hospedagem, e-mail e backup até jogos e entretenimento. O projeto de segurança de serviços web implantou em mais de 100 sites internos e externos um processo de avaliação da segurança em todo o ciclo de desenvolvimento, iniciando pela certificação das entregas na fase de homologação, e incluindo o monitoramento de risco de ataques nos ambientes de produção. Para se ter uma ideia, até meados de 2011 o portal realizou 542 testes, aproximadamente 48 scans/mês, e encontrou 23.894 vulnerabilidades. Segundo o diretor de Tecnologia da Informação – CTO – do IG, André Galvani, todas foram tratadas de acordo com o grau de criticidade.

O portal do IG, criado em janeiro de 2000, recebe diariamente 2 milhões de visitantes únicos. Possui 8 milhões de usuários de variadas faixas etárias e níveis de formação que fazem diferentes usos dos serviços. Atualmente, são mais de 10 milhões de page views todos os dias. O principal aplicativo do IG é o e-mail, mas o portal tem a característica de ser um ISP – Internet Service Provider, o que explica a oferta de tantos serviços e a necessidade de manter níveis elevados de proteção. “Segurança não é uma questão simples, e nem se resolve apenas com investimentos em tecnologia e equipamentos de rede e servidores. É preciso pensar na segurança como um processo preventivo, integrado e dinâmico, que requer atualizações constantemente.” comenta Galvani.

O diretor comercial da REDE SEGURA TECNOLOGIA, Eduardo Lanna, explica que o Sistema RedeSegura aborda a questão da segurança a partir de um novo paradigma, norteado para atender as demandas de serviços web e necessidade crescente de interfaces interativas com os usuários, e pela necessidade de se antecipar aos riscos de ataques, que ocorrem devido à busca incessante dos hackers maliciosos por encontrar brechas na segurança. “O sistema RedeSegura propõe uma metodologia de segurança com um ciclo contínuo de melhoria da proteção da camada de aplicações, integrado à tecnologia N-Stalker, que foi desenvolvida no Brasil e é mundialmente reconhecida como uma das melhores soluções para análise de segurança em aplicações web”, explica Lanna.

O contrato foi assinado em julho de 2010, com serviços iniciados no mês seguinte, com o planejamento do processo de segurança, entrega do primeiro dispositivo Appliance local, e início dos testes de avaliação de um grupo de aplicações em produção. A partir daí os testes foram configurados e realizados pela equipe de suporte técnico conforme as equipes de desenvolvimento e de segurança do IG demandavam. “Um projeto desta magnitude requer planejamento e um cronograma longo, mas temos conseguido atender aos prazos previstos inicialmente”, acrescenta o executivo do IG.

A implantação do projeto contou com a orientação da equipe de Consultoria da REDE SEGURA TECNOLOGIA desde as etapas do seu planejamento e da devida adaptação ao cenário do ambiente do IG. Avaliou-se inicialmente o ambiente de produção para obter uma idéia imediata do grau de segurança que algumas aplicações apresentavam, e quais esforços seriam necessários adotar no desenvolvimento para realizar eventuais melhorias. Logo depois, outro Appliance na área de desenvolvimento foi ativado para que as avaliações também fossem feitas a cada entrega de novos projetos.

O principal resultado foi a melhora na qualidade das entregas do desenvolvimento. A equipe técnica do portal passou por um processo de aprendizado sobre o ciclo de desenvolvimento seguro, a partir da introdução da metodologia de segurança proposta pelo Sistema RedeSegura. Além disso, o IG conseguiu integrar as áreas de segurança, desenvolvimento e infraestrutura em torno deste processo de melhoria, e isso se refletiu na queda dos indicadores de incidentes com segurança, resultado de uma melhoria no grau de maturidade de seus processos internos da gestão de segurança de TI.

Segundo o diretor do IG a escolha da REDE SEGURA TECNOLOGIA se deveu ao uso da tecnologia N-Stalker, uma das melhores para varredura de vulnerabilidades na camada de aplicações web do mercado, e que tem o respaldo de mais de 10 anos de experiência em segurança na web. “Não compramos uma ferramenta. Contratamos uma metodologia que inclui tecnologia e equipe técnica de suporte qualificada, e que da forma como é proposta, realmente alcança resultados consistentes, em pouco tempo”, avalia e acrescenta: “a REDE SEGURA conseguiu unir a melhor tecnologia de avaliação de segurança com um time de suporte técnico qualificado, em torno de uma metodologia de segurança de aplicações que começa no desenvolvimento, alcança o ambiente de produção, e funciona como um ciclo contínuo de melhoria da segurança.”

O IG adota todas as melhores práticas de segurança de infraestrutura e rede recomendadas para um Portal Internet e também procura atender aos padrões de segurança recomendados pelas melhores práticas de mercado, como OWASP top10, e também o PCI-DSS quando necessário. E agora tem também este projeto de segurança de aplicações web orientado para o ciclo de desenvolvimento.

Sobre a REDE SEGURA TECNOLOGIA:
A REDE SEGURA TECNOLOGIA foi fundada pela N-Stalker, empresa com mais de 10 anos de experiência em segurança na internet, para licenciar com exclusividade o uso do Sistema RedeSegura, que implementa uma metodologia de segurança dirigida para as aplicações web e seus servidores. O uso do Sistema RedeSegura suporta o processo de Gerenciamento de Vulnerabilidades, criando um ciclo contínuo de melhoria da segurança que vai desde a avaliação da qualidade das entregas do desenvolvedor (QA de Segurança), até o Monitoramento do Risco de ataques no ambiente web de produção, cobrindo todo o ciclo de vida das aplicações web com avaliações de segurança recomendadas pela OWASP, o PCI-DSS, e SANS/FBI. A metodologia de segurança proposta pela REDE SEGURA TECNOLOGIA integra equipes técnicas multidisciplinares em torno de uma política de segurança abrangente, e em conformidade com melhores práticas, promovendo assim um avanço do Grau de Maturidade das empresas na Gestão da Segurança da Informação. Para mais informações: www.redesegura.com.br

REDE SEGURA DE TECNOLOGIA
Rua Funchal, 513 – 8º and. Cj. 82
São Paulo/SP – CEP: 04551-060
Tel.: +11 3044-1819
www.redesegura.com.br

MakingNews – Assessoria de Imprensa
Telefone: 11 – 3509-2109
Jornalista Responsável: Edilma Rodrigues
[email protected]

Fonte: http://itweb.com.br/voce-informa/ig-adota-novo-paradigma-de-seguranca-para-aplicacoes-web/

Cibercriminosos criam sistema de fraude usando cloud e faturam bilhões

Operações foram automatizadas e já atacaram bancos da Europa, Estados Unidos e América Latina, sempre visando contas com saldos milionários

Cibercriminosos criaram um sistema de fraude baseado em nuvem, que tem como alvo pessoas muito ricas e contas comerciais em bancos europeus. Os golpes realizados até o momento podem ter resultado em possivelmente bilhões de dólares em perdas, disseram fornecedores de segurança.

A aliança internacional selecionou contas com saldos de 300 a 600 mil dólares, e tentou transferir até 130 mil dólares para contas falsas, disse a McAfee na terça-feira (26/6). A estimativa é que o valor roubado possa ser de até 2,5 bilhões de dólares.

Segundo o diretor de pesquisa avançada e inteligência de ameaças da McAfee Labs, Dave Marcus, os crackers começaram invadindo contas em bancos europeus e, depois, expandiram as fraudes para a América Latina e, mais recentemente, nos Estados Unidos – onde apenas começaram.

A McAfee, que está investigando as operações da aliança por mais de seis semanas com o Guardian Analytics, está trabalhando com agências policiais para encerrar essas atividades.

Marcus afirma que o que é único nesse tipo de fraude é a quantidade de serviços automáticos, uma façanha possível por conta da utilização de cloud computing. A combinação de servidores remotos e conhecimento excelente em sistemas de transações bancárias possibilita automatizar o golpe, ao invés de simplesmente roubar nomes de usuários e senhas, além de colocar uma pessoa para transferir manualmente o dinheiro de um computador.

A natureza automatizada desse tipo de ataque realmente requer esse tipo de funcionalidade do servidor cloud“, diz Marcus. “Toda a lógica e toda a sofisticação realmente residem na nuvem.

A McAfee descobriu que os fraudadores estavam operando primeiro na Itália, e depois seguiram para a Alemanha, Holanda e outros países da Europa. Em março, a aliança foi descoberta na Colômbia, e um servidor foi, depois, identificado nos Estados Unidos.

A fraude teve início com um clássico e-mail disfarçado para parecer remetido pelo banco. Clicando no link dentro da mensagem, o malware era baixado e posteriormente injetado na web – quando são criados campos de formulários falsos em sites bancários ilegítimos – para roubar informações necessárias e realizar as transferências.

A McAfee – que chamou a investigação de “Operation High Roller” (algo como “Operação Alto Escalão”, em tradução livre), por conta do alto padrão de vida das vítimas – encontrou 60 servidores processando milhares de tentativas de roubos. A maioria delas era para menos de 10 mil dólares e, com o valor mais alto beirando os 130 mil dólares.

Os fraudadores utilizam-se das plataformas de malwares Zeus e SpyEye – os mais comuns para esse tipo de roubo – como base para o código malicioso, personalizado para cada banco.

Uma vez que o malware conseguia as informações, transferências eram realizadas via servidores de controle, que eram até mesmo habilitados para obter informações necessárias para burlar a segurança de leitores de cartões utilizados na Europa – com duplo fator de autenticação. “Nós não vimos esse nível de sofisticação antes“, disse Marcus.

A McAfee não sabe dizer como os criminosos alcançaram esse nível de entendimento com relação ao funcionamento de sistemas bancários. “Você não pode fazer com que uma transação fraudulenta pareça uma oficial, se você não souber o que está fazendo“, disse Marcus. “E esses caras sabem o que fazem.

Fonte: http://idgnow.uol.com.br/internet/

Estudo aponta que 70% das empresas já priorizam investimento em segurança da informação

Os resultados deste estudo sobre segurança servem de subsídio para identificar as deficiências e as oportunidades neste mercado específico“, afirma em comunicado Luís Mário Luchetta, presidente da Assespro Nacional

Um estudo realizado com cerca de 1,2 mil profissionais de TI e negócios envolvidos diretamente com a segurança de informação de empresas apontou que 70% das companhias já consideram como prioridade os investimentos em tecnologia de segurança da informação.

A 9ª Pesquisa Anual de Tendências de Segurança é de responsabilidade da Assespro Nacional (Associação das Empresas Brasileiras de Tecnologia da Informação) e da CompTIA (Associação da Indústria da Tecnologia da Computação), entidade global focada na certificação de profissionais de TI.

Esse número no estudo anterior era de 49%, e a nova pesquisa revela, também, que foram movimentados 35,1 bilhões de dólares em serviços de segurança da informação em todo o mundo durante 2011, e a expectativa é chegar a 49,1 bilhões de dólares em 2015. Profissionais do Brasil, Estados Unidos, Reino Unido, Japão, Índia e África do Sul participaram do estudo.

Os resultados deste estudo sobre segurança servem de subsídio para identificar as deficiências e as oportunidades neste mercado específico”, afirma em comunicado Luís Mário Luchetta, presidente da Assespro Nacional.

Outro ponto levantado foram as dificuldades nas contratações. Cerca de 40% das empresas de TI veem um déficit muito grande na localização de profissionais capacitados para atuar com segurança da informação.

Entre os pontos que as empresas priorizam os investimentos, estão segurança virtual com 71% e servidores de dados com 61%. Já a preocupação com segurança nas redes sociais é a que menos demanda, com 28% das companhias realizando pouco ou nenhum investimento.

Por fim, o estudo ainda apontou quais as principais demandas que devem movimentar o mercado de segurança da informação, são elas: Big Data, Cloud Computing e Segurança Mobile.

Fonte: http://crn.itweb.com.br/

iG contratou o sistema Rede Segura para reforçar sua segurança em TI

Portal contratou serviço que gerencia e controla o ambiente de produção de mais de cem sites, incluindo os de conteúdo e que realizam transações.

Com mais de cem sites internos e a necessidade de desenvolver diversas aplicações para suportá-los, o iG precisou reforçar a segurança para controlar o seu ambiente de produção e monitorar riscos de ataque. A companhia investiu na implementação de um projeto que gerencia e protege todas as aplicações web.

Para realizar esse trabalho, o iG contratou o sistema Rede Segura, fornecido pela empresa brasileira Rede Segura Tecnologia. A ferramenta é baseada no software N-Stalker Web Application Security Scanner, criado pelo brasileiro Thiago Zaninotti e adotado atualmente por cerca de 400 empresas no País. A solução monitora todo o ciclo de desenvolvimento até sua implementação, fazendo varredura dos programas para corrigir falhas.

Segundo o diretor de tecnologia da informação (CTO) do iG, André Galvani, o portal adotou essa tecnologia para ampliar a segurança das aplicações web, que são criadas e liberadas por meio de vários serviços oferecidos aos seus usuários, desde hospedagem, e-mail e backup até jogos e entretenimento.

O projeto contempla todos os cerca de cem sites do portal, incluindo os de conteúdo e que realizam transações. Um appliance instalado no iG se encarrega de escaneá-los e avaliar a segurança, iniciando pela certificação das entregas das aplicações na fase de homologação e incluindo o monitoramento de risco de ataques nos ambientes de produção.

Em operação desde janeiro de 2000, o portal iG conta com uma base de mais de 8 milhões de usuários de variadas faixas etárias e níveis de formação que fazem diferentes usos de seus serviços. O principal deles é o e-mail, mas o portal também opera como Internet Service Provider (ISP), o que, segundo Galvani, explica a oferta de tantos serviços e a necessidade de manter níveis elevados de proteção.

Galvani avalia que os principais ganhos com a adoção da nova ferramenta foram melhora na qualidade das entregas das aplicações e integração das áreas de segurança, desenvolvimento e infraestrutura. Esse trabalho, segundo ele, reduziu o número de incidentes, reforçou processos internos e aprimorou a gestão de segurança da TI.

Segurança não é uma questão simples, e nem se resolve apenas com investimentos em tecnologia e equipamentos de rede e servidores. É preciso pensar na proteção como um processo preventivo, integrado, e dinâmico, que requer atualizações constantemente”, comenta Galvani.

O diretor comercial da Rede Segura Tecnologia, Eduardo Lanna, acrescenta que a solução implementada no iG propõe uma metodologia de segurança com um ciclo contínuo de melhoria da proteção da camada de aplicações.

O iG investe anualmente cerca de 1 milhão de reais em segurança, porém a empresa não revelou quanto foi aplicado nesse projeto, que é acompanhado por uma equipe interna formada por cinco pessoas. Segundo o CTO, esses especialistas ficam focados o tempo todo nas políticas de segurança e avaliam o cumprimento das boas práticas.

Roubo de senhas coloca reputação do LinkedIn em xeque

O silêncio do LinkedIn em relação à extensão da quebra de segurança que expôs as senhas de milhões de usuários manchou a reputação do site entre alguns profissionais e pode atrasar o crescimento dele caso essa violação tenha sido mais grave do que o divulgado.

Vários dias após o roubo de senhas ter sido divulgado, o site, com mais de 160 milhões de membros, mantém que ainda precisa avaliar a proporção do caso.

Alguns especialistas em segurança cibernética dizem que o LinkedIn não tinha proteção adequada e alertam que pode descobrir mais violações de informações nos próximos dias enquanto estiver tentando descobrir o que aconteceu.

O LinkedIn contratou especialistas forenses para dar assistência, já que os engenheiros da empresa e o FBI (polícia federal dos EUA) tentam descobrir como mais de 6 milhões de senhas apareceram em sites ilegais frequentados por hackers.

O porta-voz da companhia, Hani Durzy, disse que o LinkedIn invalidou as senhas roubadas, apesar de não saber se qualquer outra informação foi roubada das contas.

Vem mais pela frente“, disse Jeffrey Carr, presidente da empresa de segurança Taia Global. “Enquanto eles não souberem o que aconteceu aqui, há uma grande chance de que o caso tenha sido maior do que o imaginado inicialmente“, acrescentou.

Clientes cujas senhas foram roubadas ainda estavam sendo avisados pelo LinkedIn na sexta-feira, dias depois de a violação ter vindo à tona.

Laura DiDio, analista de tecnologia da consultoria ITIC, disse que a notificação não foi rápida o suficiente.

Fonte: http://info.abril.com.br/noticias/seguranca/