Ir para o conteúdo

Espírito Livre

Tela cheia

Blog

3 de Abril de 2011, 21:00 , por Desconhecido - | No one following this article yet.

NSA nega ter espionado servidores do Google e Yahoo

2 de Novembro de 2013, 10:00, por Desconhecido - 0sem comentários ainda

13-06-2013_nsa-square

Em mais uma revelação proveniente dos documentos vazados por Edward Snowden, o Washington Post reportou na quarta-feira (30/10) que a Agência de Segurança Nacional dos EUA (NSA) espionou os servidores do Google e do Yahoo em diversos países, coletando informações de centenas de milhões de usuários – muitos deles americanos. A agência negou a alegação do jornal. “Isso nunca aconteceu”, afirmou o chefe da NSA, general Keith Alexander, à Bloomberg News.

De acordo com o Post, um documento confidencial datado de janeiro deste ano mostra que a NSA teria conseguido invadir links de comunicação e enviava milhões de registros das redes internas do Yahoo e do Google para sua sede em Fort Meade, em Maryland. No mês que precedeu o documento, técnicos da agência teriam enviado mais de 181 milhões de novos arquivos, desde metadados até conteúdo de texto, áudio e vídeo.

O programa de espionagem, que seria operado em conjunto com a agência de inteligência britânica GCHQ, recebeu o nome de MUSCULAR. Ainda segundo o Post, as duas agências conseguiam interceptar e copiar o fluxo de dados que passa por cabos de fibra ótica que carregam informação entre os servidores das gigantes de tecnologia do Vale do Silício.

Negativa e preocupação

O general Keith Alexander afirmou que a reportagem é “incorreta” e disse que a NSA só pode interceptar servidores de empresas com uma ordem judicial. Ainda segundo ele, a agência “não tem acesso aos servidores do Google ou do Yahoo”.

O Google, em declaração, afirmou que ficou preocupado com as alegações de que o governo interceptaria o tráfego entre seus servidores. “Há muito nos preocupamos com a possibilidade deste tipo de espionagem, e por isso continuamos a ampliar a criptografia a cada vez mais serviços de links do Google”, ressaltou a empresa. Uma porta-voz do Yahoo declarou que a companhia tem controles rígidos para proteger a segurança de seus servidores. “Não demos acesso a nossos servidores à NSA ou a nenhuma outra agência governamental”.

Sob o programa PRISM, também revelado pelos vazamentos de Snowden, a NSA já coletava grande volume de registros de comunicação online. A agência tinha permissão legal para solicitar a empresas como o Google e o Yahoo, por exemplo, acesso a dados ligados a determinados termos de busca.

Tradução e edição: Leticia Nunes. Informações de Barton Gellman e Ashkan Soltani [“NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say”, The Washington Post, 30/10/13] e de Denver Nicks [“NSA Chief Denies Agency Taps Google And Yahoo”, Time.com, 31/10/13]

Com informações de Observatório da Imprensa.


Conheça o Lynis: ferramenta de auditoria de segurança para fortalecer sistemas GNU/Linux

2 de Novembro de 2013, 9:00, por Desconhecido - 0sem comentários ainda

lynis-screenshot

Lynis é uma ferramenta de auditoria desenvolvida para Unix / Linux (especialistas). Ele faz uma varredura no software do sistema e disponibiliza e realiza muitas verificações de segurança individuais. Além disso, ele determina o estado de robustez da máquina e detecta problemas de segurança. Ao lado de informações de segurança, ele também irá procurar por informações do sistema em geral, os pacotes instalados e possíveis erros de configuração.

Este software tem como objetivo auxiliar em processos de auditoria automatizada, gerenciamento de patches de software, vulnerabilidade e varredura de malware em sistemas baseados em Unix / Linux. Ele pode ser executado sem instalação prévia, para inclusão da possibilidade de leitura e armazenamento (pendrive, cd / dvd). Lynis auxilia os auditores na realização de auditorias de compliance Basel II, GLBA, HIPAA, PCI DSS and SOx (Sarbanes-Oxley).

A ferramenta foi desenvolvida para especialistas em segurança, testadores de penetração, auditores de sistema / gerentes de rede. Exemplos de testes de auditoria: – métodos certificados SSL expirados-desatualizados, software de autenticação de usuário disponíveis, sem senha incorreta para arquivo de permissões de configuração de auditoria e erros de Firewall.

Saiba mais em http://www.rootkit.nl/projects/lynis.html.

Com informações de Hack Tools e Under-Linux.


Cisco abre código do codec H.264 e se propõe a pagar os royalties para nosso uso dele na web

2 de Novembro de 2013, 8:00, por Desconhecido - 0sem comentários ainda

H_264_4001

Isso mesmo! A Cisco vai lançar uma versão open source do H.264.

Não apenas open source: a Cisco vai se encarregar de pagar os royalties junto à MPEG LA, vai disponibilizar o código-fonte sob uma licença verdadeiramente livre, e vai oferecer gratuitamente binários compilados a partir desses fontes, para que o Firefox possa instalar automaticamente no momento em que seus usuários necessitarem do codec, conforme a Mozilla já confirmou.

A Cisco não está fazendo isso por ser boazinha: os negócios dela vão se beneficiar bastante de ter todo mundo usando um mesmo Codec para transmitir vídeos na web, evitando assim a custosa tarefa de transcodificação.

Mas o sucesso dela nisso depende ainda de no começo de novembro os representantes da indústria concluírem, na reunião marcada para essa escolha, que o H.264 será o padrão de codec a ser usado no WebRTC.

Com informações de Ostatic e Br-Linux.


Conheça o HconSTF Pentest Browser: Framework open source para testes de invasão

2 de Novembro de 2013, 7:00, por Desconhecido - 0sem comentários ainda

HconSTF-Pentest-Browser

HconSTF é um framework muito interessante, open source, desenvolvido para a realização de testes de invasão e práticas de hacker ético, tornando-se uma aplicação muito importante para alavancar o nível dos trabalhos de qualquer profissional de segurança. Ele dá uma enorme assistência nos testes de penetração ou processos de varreduras, disponibilizando poderosas ferramentas de detecção de vulnerabilidades que favorecem ataques do tipo XSS (Cross-Site Scripting), SQL Injection, XSS, vulnerabilidades CSRF, dentre outros.

Além disso, o utilitário é bastante colaborativo para qualquer pessoa interessada no domínio da segurança da informação, sejam elas estudantes, profissionais de segurança, os desenvolvedores Web, avaliações de vulnerabilidade manuais e muito mais.

Com informações de Hack Tools e Under-Linux.


Como criar políticas para proteger dados confidenciais

1 de Novembro de 2013, 13:00, por Desconhecido - 0sem comentários ainda

data-Recovery

Os dados corporativos são atualmente os ativos mais valiosos de uma companhia e, não surpreendentemente, tornaram-se os maiores alvos de ataques e ameaças, na maioria das vezes de origem interna.

Sim, os maiores inimigos dos segredos empresariais são os funcionários das organizações, e como mostrou o caso Snowden, os terceirizados com amplo acesso a sistemas sensíveis.

Ninguém pode de fato impedir que um vazamento de informação aconteça. A verdade é que nenhuma política, ou tecnologia de segurança de dados internos, tem poderes, digamos,de evitar um vazamento. Mas podem tornar a ocorrência menos provável. Iso passa por investir no uso de  produtos e serviços para a detecção de ataques e reação, mas também por políticas de prevenção. Entre elas o estabelecimento e a implementação de políticas de proteção das informações críticas confidenciais. Como?

1 – Defina o problema

A empresa precisa definir minuciosamente o escopo do problema para, então, mitigar seus efeitos. Uma “auditoria de dados sigilosos” – a qual inclui passos semelhantes aos percorridos em qualquer auditoria de segurança – é uma ferramenta importante para mapear quais são as informações secretas que a organização possui.

Como os dados podem ser de formatos e tamanhos diferentes, é indicado que a auditoria siga as seguintes etapas:

1. Determinar quais informações precisam ser protegidas
2. Rever os processos já implementados para proteger tais dados
3. Analisar a solidez dessas informações, identificando lacunas de proteção

A necessidade de proteção de cada informação deve ser avaliada de acordo com o valor do dado, seus usos práticos e o custo para mantê-la segura.

2 – Desenvolva as regras de proteção

O programa de proteção inclui um conjunto de políticas, processos, contratos e infraestrutura de TI para suportar tudo isso. É importante lembrar de que cada companhia tem particularidades que influenciarão a aplicação da estratégia de segurança.

Entre as particularidades estão: segmento de atuação, valor das informações confidenciais, cultura corporativa, disponibilidade de recursos financeiros, processo de seleção de funcionários, clima organizacional, entre outros.

De forma geral, um programa de proteção envolve:

1. Mecanismos de controle de acesso e gestão de identidades;
2. Regras para a utilização de dispositivos como drives USB, cartões de memória, CDs e smartphones, e acesso a sites não relacionados ao trabalho e redes sociais;
3. Restrições e protocolos que garantam o que só os usuários selecionados terão acesso aos dados sigilosos e que qualquer movimentação dessas informações será registrada;
4. Políticas expressas para regulamentar o acesso e a preservação dos dados corporativos;
5. Protocolos para bloquear o acesso de funcionários tão logo sejam desligados da companhia;
6. Revisões periódicas para a busca de possíveis brechas de segurança.

Enquanto essas políticas são voltadas aos funcionários, o programa completo de segurança corporativa inclui exigências a prestadores de serviços, fornecedores, candidatos a fusão ou joint-ventures.

Embora muitas questões de proteção e privacidade envolvam o departamento de TI, é importante que o CIO conte com o apoio das áreas jurídica, de recursos humanos, financeira e também do conselho deliberativo. Só assim há a possibilidade de desenvolver um projeto coeso e que abranja todos os níveis da companhia.

3 – Siga as regras

As etapas descritas são de extrema importância para o sucesso do programa de segurança. No entanto, se houver qualquer falha na implementação das políticas, todo o esforço anterior torna-se nulo. E se isso acontecer, não adianta culpar o orçamento disponibilizado para o projeto, as pessoas envolvidas ou os recursos tecnológicos utilizados.

No cenário atual, os profissionais de TI e os advogados são, em conjunto, a entidade que tem como principal missão proteger os dados confidenciais da organização. Por isso, é importante que o CIO trabalhe junto com o responsável pela área jurídica desde o início do projeto.

(*) Russel Beck é fundador da Beck Reed Riden LLP

Fonte: ComputerWorld