Vamos dar um olhar ao que a série de normas ISO 27000 tem a respeito da gestão dos sistemas de comunicação e o estabelecimento de procedimentos de operação além de opções para implementar os controles sugeridos.

Precisamente um dos 10 pilares básicos da norma ISO 27001 enfoca-se nos mecanismos que deveria adotar uma organização para assegurar a operação correta e segura dos recursos sobre os quais manipula-se a informação corporativa. Por sua vez devem ficar claras as responsabilidades e os procedimentos para a gestão e operação destes recursos. Cabe dentro da gestão, os procedimentos para a resposta ante incidentes e os procedimentos de configuração e operação segura de aplicações.

Na página da Agência Nacional de Segurança (NSA) dos Estados Unidos há um parágrafo onde proveem uma série de guias de configuração segura para uma série de aplicações de código aberto e licenciadas. Além disso podem-se encontrar outra série de guias para manejar de forma segura a informação, inclusive até como destruí-la de forma segura. Deveriam-se documentar e manter os procedimentos de operação e colocá-los à disposição de todos os usuários que o necessitem.

Contudo a correta configuração dos sistemas é importante que as tarefas e as áreas vinculadas nestes temas tenham uma adequada segregação de funções, com o objetivo de diminuir a possibilidade de que apresente um uso mal intencionado ou não autorizado dos ativos de informação da organização.

Dentro deste domínio de controle, também sugere-se estabelecer procedimentos periódicos para garantir um adequado respaldo da informação em cópias de segurança, incluindo as provas que garantem seu correto funcionamento. Estas implementações  de backup devem satisfazer todos os requerimentos legais. Por exemplo, para o setor financeiro, tem implementções específicas e as expectativas próprias do negócio no qual opera a empresa. Isto consegue-se com uma adequada análise de riscos, que permita focar os esforços nos ativos de informação mais relevantes para o negócio.

Com respeito a infraestrutura de comunicação, deve-se manter a segurança da informação não somente que troca-se dentro da empresa como também daquela que saia de uma entidade externa. Esta segurança deve partir de uma política onde fiquem estipulados os acordos de intercambio de qualquer informação, sejam física ou eletronicamente. Isto inclui os canais alternativos que devam utilizar-se no caso de uma contingência. Pontualmente a norma ISO/IEC 27010, proporciona controles específicos para implementar, manter e melhorar a segurança da informação nas comunicações dentro da organização e feita ao exterior.

Para a proteção da integridade do software e portanto da informação que maneja-se é necessário prevenir que os sistemas sejam atacados por algum código malicioso, ja sejam nos equipamentos de escritório, equipamentos portáteis ou móveis. Para este caso os controles tecnológicos de uma solução de segurança como ESET Endpoint Security devem permitir a detecção, prevenção e recuperação contra malware. Estas medidas tecnológicas devem combinar-se com medidas que incluem a educação e formação dos usuários. Desde ESET Latinoamérica contamos com recursos gratuitos que neste ponto podem ajudar as empresas com a Plataforma Educativa ESET.

Destaca ainda neste domínio de controle, a recomendação da norma de cuidar da informação que inclui-se nas mensagens de e-mail. Pontualmente ter muito cuidado com a informação que deixa-se nos metadados, já que muitas vezes este tipo de informação podem conter dados frágeis como por exemplo nomes de usuários ou rotas nos servidores. É conveniente utilizar ferramentas para eliminar os metadados antes de compartilhar ou publicar documentos.

Lembre-se que  a segurança da informação tem êxito através da integração de diferentes medidas de segurança. Não serve muito ter unicamente o último em tecnologia, é necessário complementar com a educação dos usuários e adoção das medidas de gestão mais indicados segundo o negócio.

H.Camilo Gutiérrez Amaya

Especialista de Awareness & Research

Categories: Corporativo, Curiosidades
No Comments »

De acordo com um estudo conduzido pela ESET, em parceria com a Harris Interactive, uma em cada dez pessoas, já ficou sem um dispositivo móvel por roubo ou perda, significando que contactos, fotografias, documentos e outras informações confidenciais podem estar a circular livremente na Internet.

Para dar resposta a este problema juntámos cinco dicas que poderão ajudar os utilizadores a estarem mais preparados e protegidos, para estas eventualidades.

1. Proteja os dispositivos por palavra-passe

Embora possa ser uma medida aparentemente óbvia, muitos usuários não colocam uma palavra-passe que impeça o acesso não autorizado aos seus dispositivos, quer se tratem de smartphones, computadores ou tablets. É algo simples de fazer e pode evitar grandes dores de cabeça.

Android

Se estiver num sistema Android deverá deslocar-se às definições do sistema e posteriormente localizar a opção segurança.  Escolha a opção pin ou palavra-passe, conforme for mais conveniente e introduza-as para ativar. Depois da introdução terá de confirmar e dar um clique em avançar. A partir deste momento quem não souber o pin ou a palavra-passe não poderá acessar aos seus contatos, mensagens, fotografias, entre outras informações.

iPhone / Ipad

Se estiver no iOS vá em Settings, depois em geral e localize a opção bloqueio por código. Ative-a introduzindo o código que pretende atribuir ao dispositivo para acessar ao sistema. Confirme-o e a partir desse momento, passa a ser necessário introduzir um pin para utilizar o iPhone ou o iPad.

2. Crie cópias de segurança

As cópias de segurança são algo que praticamente todos os utilizadores sabem que devem fazer, mas poucos passam da teoria à prática.

Android

A primeira coisa que deve fazer é assegurar-se que tem as cópias de segurança ativadas. Para isso basta ir a definições e posteriormente acessar a cópia de segurança e reposição.  Verifique se há o item Fazer uma cópia de segurança. Esta cópia de segurança funciona ao nível do próprio Google. Para além disso, existem ainda aplicações adicionais que podem ajudar. Um bom exemplo passa pelo Master Backup que está disponível em https://play.google.com/store/apps/details?id=com.BackMaster. É grátis e permite fazer uma cópia de segurança de praticamente todas as informações localizadas no telefone para o cartão SD.

iPhone / iPad

O iTunes é a ferramenta essencial para fazer uma cópia total de todos os dados contidos no seu iPhone ou iPad. Tudo é tão simples como ligar o dispositivo ao computador e posteriormente no iTunes dar um clique no canto superior direito na opção iPhone ou iPad e posteriormente no separador sumário, escolher a opçãoFazer cópia de segurança agora. Não se esqueça de selecionar o local de destino, chamado, iCloud ou para o computador.

3. Utilize software de localização

Recuperar o seu dispositivo não é de todo impossível, especialmente se conseguir comunicar com ele de forma remota. A ESET possui, para sistemas Android, uma aplicação denominada ESET Mobile Security que permite bloquear remotamente o smartphone para impedir o acesso não autorizado aos dados e ainda localizá-lo remotamente.

4. Tenha os seus dispositivos debaixo de olho

Não deixe os seus dispositivos sem vigilância em locais públicos. Deixá-los em cima de uma mesa, no carro, no aeroporto ou num restaurante, mesmo que seja por alguns segundos, é pedir que os roubem. No estudo ESET / Harris Interactive, concluiu-se que um em cada cinco dispositivos foram furtados no carro e 12% em transportes públicos.

5. Utilize palavras-passe seguras

As palavras-passe embora fáceis de definir, são uma dor de cabeça para muitos cibernautas, dado que a utilização de uma expressão muito simples pode ser uma porta de entrada para muitos utilizadores mal intencionados e colocar em risco o seu e-mail, os seus dados pessoais e até contas bancárias. Para estar protegido com maior eficácia deverá utilizador diferentes classes de caracteres, como por exemplo, letras e números, escolher palavras e assuntos dos quais fala pouco e separar duas palavras por símbolos e números.

A ESET disponibiliza duas aplicações que o podem ajudar a estar mais protegido, quer no que diz respeito ao seu computador portátil, quer no caso do smartphone ou tablet Android.

Protecção para Mobile– ESET Smart Security

O sistema AntiFurto auxilia os utilizadores a localizarem os seus portáteis em falta, sendo possível a monitorização das atividades realizadas nos dispositivos. Tira fotografias de quem está na posse indevida do computador, através da câmara integrada e indica em um mapa onde o computador se encontra, utilizando para o efeito os dados recolhidos nas redes Wi-Fi que se encontram na área. Os dados recolhidos podem ser acessados com facilidade em http://my.eset.com.

Mais informações em http://www.eset.com/pt/home/products/smart-security/

Protecção para dispositivos Android – ESET Mobile Security

Protege todos os vetores do seu smartphone e combina a detecção robusta do nosso motor de análise com antispam avançado e funcionalidades antifurto para proteção em tempo real esteja onde estiver.

Saiba mais em www.eset.com.br

Categories: Curiosidades, Fuga de informação
No Comments »

Cada mês, os leitores compartilham conosco tendências e estatísticas relacionadas a diversos temas de Segurança da Informação que obtemos através das pesquisas que realizamos na ESET Latinoamerica. Em janeiro o tópico mais representativo foi de perda ou roubo de dispositivos móveis.

A respeito disso, 58% dos usuários afirmaram que seus celulares foram furtados. Na sequência as pessoas que nunca tiveram dispositivos furtados(36,7%), os computadores portáteis(notebooks) com 6,1% e os netbooks com 3%. Os tablets ficaram em último lugar com 1,6% . Na sequência mostra-se um gráfico com os dados mencionados anteriormente:

Tal como pode apreciar-se de acordo com nossa pesquisa, os telefones móveis são os dispositivos mais furtados na América Latina. Isto poderia explicar em alguns aspectos como a presença em massa desta tecnologia, o descuido, entre outras possibilidades. Por isso mesmo, 49,3% dos pesquisados acreditam que o roubo de dispositivos móveis é algo “muito comum”. Segue-se em 23,4% os que pensam se tratar de um problema “comum” e mais atrás estão aqueles que opinam que é somente “algo comum” con cerca de 19, 9% das pesquisas.

Independentemente da frequencia com que ocorre este problema, contar com uma solução de segurança que permita geolocalizar o equipamento e caso necessário, apagar a informação de forma remota, é uma opção válida para minimizar o impacto que implica perder um dispositivo por roubo ou perda. E neste sentido, ESET Mobile Security permite apagar a informação remotamente através da função Remote Wipe. Também facilita localizar o telefone em um mapa e bloquear-lo através de comandos enviados por mensagens de texto. Por outro lado, e para os usuários de computadores portáteis, a versão 6 de ESET SmartSecurity implementou uma nova característica denominada AntiFurto. Através da ativação deste módulo, aquelas pessoas que o necessitam poderão obter a direção de seu notebook perdido, inclusive utulizar a câmera para facilitar o reconhecimento do deliquente.

Outro aspecto fundamental para minimizar o impacto do roubo de dispositivos móveis é o backup da informação, conselho que muitas vezes é subestimado pelos usuários tal como pode-se observar em nossa pesquisa em outubro de 2012. Naquela ocasião, 77% dos usuários afirmou ter perdido informação por não realizar backup. Desafortunadamente esta situação se mantém e piora. Naquela oportunidade, 81,8% dos pesquisados disse ter perdido dados importantes por perda, dano ou roubo do equipamento tal como é expresso pelo seguinte gráfico:

Mais além da causa, manter uma cópia da segurança da informação de forma regular permite evitar tais situações. No caso de telefones inteligentes, existe a possibilidade de copiar os arquivos importantes de forma manual ou utilizando alguma aplicação desenhada para tal propósito. Dos dados que os usuários perderam, 58,2% asseguraram que eram fotos pessoais, 50,5% documentos de texto e 44,4% música, vídeos e filmes. Consta também que 91,2% dos pesquisados não pode recuperar o equipamento extraviado ou roubado, 5,6% que recuperou o aparelho graças ao uso de um software de rastreamento.

Frente a pergunta sobre que medidas de segurança adotam os usuários para proteger-se da perda ou roubo dos dispositivos, 68,5% dos pesquisados protege seu equipamento com uma senha para dificultar o acesso de um terceiro à informação. A respeito disto é importante sinalizar que esta medida é válida e necessária, contudo a chave deve ser difícil de adivinhar e em nenhum caso deve-se utilizar sequências numéricas como 1111, 1234, etc. Implementar uma solução de segurança e estabelecer uma senha de bloqueio permite minimizar o impacto frente a perda de um dispositivo, contudo, para evitar que tal situação ocorra em uma primeira instância, é recomendável não deixar os equipamentos à vista em todos os lugares públicos.

Finalmente todos os leitores estão convidados a conhecer melhor nosso produto ESET Smart Security 6 através do link: www.eset.com.br/v6

André Goujon

Especialista de Awareness & Research

Categories: Curiosidades, Estatísticas, Sem categoria
No Comments »

A informação confidencial relacionada com dados críticos de serviços e aplicações sobre os servidores web expõe-se cada vez mais devido a uma deficiente gestão dos administradores. Isto facilita o acesso de terceiros por meio de buscadores web.

Em publicações anteriores falamos sobre painéis de administração web e credenciais de acesso expostas. O problema levantado neste caso era sobre um painel web específico onde se gerava um arquivo contendo informação sensível que podia ser utilizada por um atacante para ingressar o próprio painel.

Tem-se descoberto que através de buscas específicas na Internet é possível acessar arquivos infinitos que contenham informação confidencial. Na continuação pode visualizar-se uma captura com os resultados de uma busca onde obtem-se dados sobre usuários e senhas de diversos websites em formato XLS (planilhas):

No caso anterior, obtiveram-se resultados que jogaram arquivos em formato XLS que contém informação confidencial como podem ser usuários e senhas de serviços ou qualquer outro tipo de dados críticos. Muitos destes arquivos são alojados em servidores web pelos próprios administradores com a crença que não serão visíveis por terceiros.Contudo os buscadores indexam a informação aos sites de forma recursiva ficando pública e acessível a partir de buscas com filtros específicos.

Assim mesmo, existe informação confidencial de outra natureza e origem que pode ser exposta. Muitas ferramentas utilizadas em servidores web geram relatórios e arquivos de forma automática que contém informação sensível. A modo de exemplo, um caso específico pode ser de certas ferramentas que trabalham sobre o protocolo FTP (porta padrão 21) o protocolo SSH (porta por defeito 22), onde é possível visualizar o nome do usuário e senha correspondente a uma grande quantidade de sites web. A continuação se une a uma captura com os resultados de uma busca específica:

É importante que este tipo de informação seja contemplada na hora de utilizar ferramentas que disponham destas características.

Que medidas podem ser tomadas para evitar o acesso a informação confidencial?

No caso que se utilizam planilhas ou outro tipo de arquivos com informação sensível dentro de um servidor web, na medida do possível, não se deve armazenar nos diretórios do servidor web de forma pública. Exceto no caso de estes arquivos somente serem acessíveis por certas pessoas onde o acesso deve realizar-se através de um mecanismo de validação. Outra alternativa é alojar-lo em diretórios privados, onde não sejam indexados pelos crawlers (robôs) dos buscadores.

No caso dos relatórios ou arquivos gerados automaticamente por distintas ferramentas, deve-se ter em conta previamente esta característica. Se não é necessário dispor de tais relatórios de arquivos, é recomendável desativar esta funcionalidade para evitar que os mesmos fiquem acessíveis por terceiros acidentalmente. Se devem-se dispor destes arquivos, devem contemplar para que os dados sejam guardados em locais seguros e não públicos.

Este tipo de incidente não é algo novo mas existe a possibilidade de evitá-lo. É por isso que a segurança deve ser gestionada. Desde a ESET Latinoamérica contamos com nossa unidade de ESET Security Services, onde ofertamos serviços orientados a autoridade de segurança, estabelecendo uma forma de avaliar qual é o estado atual da mesma e propor um plano de ação corretivo.

Fernando Catoira

Analista de Segurança.

Categories: Alertas, Curiosidades, Fuga de informação
No Comments »

Até agora, no mês de junho, já foram várias comunidades on-line que sofreram ataques, como as redes sociais LinkedIn e Last.fm, que através de suas contas de Twitter e outros meios, sugeriam a seus usuários que alterassem sua senha, já que esta informação poderia ter sido afetada pelos crackers. Mais uma vez vale a pena perguntar: quão segura é a nossa informação na rede?

Em 1956 foi publicado um dos artigos mais citados na psicologia, escrito por George Armitage Miller, intitulado “The Magical Number Seven, Plus or Minus Two” que, dentre outras coisas, aborda as limitações na quantidade de informação que o ser humano tem para receber, processar e recordar. 26 anos depois, Eliyahu Goldratt escreveu sobre a Teoria das Restrições (TOC – Teoria das Restrições), o que poderia ser sintetizado usando a analogia da cadeia: a corrente é tão forte quanto seu elo mais fraco. Agora, ampliemos a questão inicial: de que forma estes dois acontecimentos históricos, distantes um do outro em um quarto de século, se relacionam com a segurança de nossas informações e os ataques que ocorreram nas últimas semanas?

Dadas as limitações dos seres humanos para memorizar informações, podemos explicar a tendência para utilizar poucas ou uma única senha para todos os sites registrados, e como todos os sites não garantem o mesmo nível de segurança, elas podem ser potencialmente expostas. Em outras palavras, o nível de proteção de um usuário será o mesmo do site que acessa com o menor nível de segurança.

Claramente, o aumento do uso de tecnologias de informação tem aumentado o uso de serviços de rede que requerem alguma forma de autenticação: comércio eletrônico, banco on-line, redes sociais, dentre outros serviços, e a forma mais usada de autenticação é a dobradinha nome de usuário e senha, o que aumenta o número de dados para armazenar conforme aumenta o número de serviços em que o usuário está registrado. Em torno deste problema há tamanho interesse, que tem surgido alguns estudos que procuram identificar as tendências neste sentido, encontrando como uma prática comum a reutilização de senhas. Mais recentemente, professores universitários do Canadá e da Coreia do Sul publicaram artigos analisando o impacto da reutilização de senhas na segurança da informação.

Se continuarmos a amarrar as pontas soltas, em menos de uma semana houve ataques a comunidades online como o LinkedIn, Last.fm e eHarmony, em que foram roubadas senhas de muitos usuários. O que pode sugerir que, ainda que não tenham sido atacadas diretamente as contas do Facebook ou violados os dados de segurança do banco dos usuários, essa informação pode ser obtida caso você reutilize as senhas entre esses serviços.

Existe uma abordagem para descobrir o quão alto é o nível de exposição devido à reutilização de senhas, que nada mais é do que uma relação entre o número de sites onde o usuário está registrado e quantos sites têm a mesma senha. Esta relação assume valores entre zero e um, com zero sendo o melhor caso,  quando cada site tem sua própria senha. Além disso, o pior caso ocorre quando reutiliza-se a mesma senha para todos os sites, sendo o nível de exposição igual a 1. Um valor de exposição intermediária próximo de zero não significa que você não pode ser violad. O risco será obviamente menor, mas ainda é preciso seguir as orientações para a criação de senhas. Além disso, existem aplicativos que auxiliam no gerenciamento seguro de senhas, gerando senhas seguras e as centralizando para utilização.

Finalmente, conforme ataques recentes, confirmamos que a reutilização de senhas pode comprometer seriamente a informação na rede e deve ser lembrado que a exposição ao roubo de identidade não é a única ameaça que uma pessoa pode enfrentar enquanto navega na Internet .

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Alertas, Curiosidades
No Comments »