Microsoft Security Intelligence Report (SIR) - Volume 15

A Microsoft disponibilizou o Security Intelligence Report (SIR) - Volume 15, que abrange Jan/13 a Jun/13.

O relatório analisa traz uma visão dos exploits, vulnerabilidades e malware, usando dados de mais de 600 milhões de computadores espalhados pelo mundo.

Para acessá-lo, clique aqui.

Estrutura da ISO 27000 (Segurança da Informação)

Olá leitores do InfoSec ECR!

Hoje quero compartilhar com vocês um site muito interessante sobre as normas que regem os padrões de segurança da informação, a ISO 27000.

O site em questão é o ISO 27001 Security.

A ISO 27000 abrange os padrões para a proteção dos ativos do negócio através da segurança da informação. 

Dentro da ISO 27000 existem 21 padrões publicados. Alguns deles são:

• ISO/IEC 27000: Overview e Vocabulário;
• ISO/IEC 27001: Especificações formais para ISMS (Information Security Management Systems);
• ISO/IEC 27002: Guia de controles para segurança da informação;
• ISO/IEC 27003: Guia de implementação.

Para quem esta se aprofundando nos estudos da família ISO/IEC 27000, existem áreas muito boas dentro do site que irei compartilhar. Uma delas por exemplo é ISO27k Toolkit, onde é possível encontrar documentos (.pdf, .doc, .xls, entre outros) com diversas informações sobre a aplicação dos controles das normas de segurança da informação. E também modelos de políticas de segurança para diversas áreas do negócio.

Espero que gostem e tenham bons estudos!

Certificações na Área de Segurança da Informação

Hoje quer compartilhar uma matéria muito boa, que foi divulgada no Blog SegInfo, sobre certificações na área de Segurança da Informação.

Recentemente, o Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR), publicou uma norma que define as certificações, separadas por área, para os servidores e funcionários da Administração Pública Federal.

Veja toda a matéria na íntegra: SegInfocast #4 – Podcast e artigo sobre certificações na área de Segurança da Informação 

Acredito que possa servir como um bom guia para quem deseja trilhar um caminho na área de Segurança da Informação e suas diversas variáveis.

Bons Estudos!!

Sites Governamentais: 672 ataques contabilizados em 2013

Os ataques de hackers aos sites e portais da Administração Pública Federal (APF) se tornaram um problema quase corriqueiro na estrutura de informática governamental. Somente no primeiro semestre de 2013, as páginas do governo federal ficaram fora do ar 672 vezes – conforme relatório obtido pelo iG junto ao Centro de Tratamento de Incidentes de Segurança de Redes de Computadores (CTIR-Gov), departamento do Gabinete de Segurança Institucional (GSI) do Palácio do Planalto.

Em média, as páginas do governo na internet ficaram inacessíveis uma vez a cada oito horas. A suspensão desses acessos é a segunda maior reclamação de incidentes de informática no governo. Entre janeiro e junho deste ano, cerca de 20% das reclamações repassadas ao CTIR-Gov foram relacionadas à “indisponibilidade de sítio”, segundo o relatório.

A reclamação mais recorrente é o chamado “abuso de sítio”, ou seja, problemas com a configuração dos sites (provocados por agentes externos ou não) e exposição de códigos fonte ou descobertas de eventuais vulnerabilidades nos sistemas. Esses casos foram responsáveis por 25% das notificações no primeiro semestre.

No dia 22 de junho, durante os protestos em todo o Brasil, por exemplo, o portal do governo federal sofreu ataque de hacker e ficou fora do ar por pelo menos uma hora. A invasão ocorreu por volta das 2h da manhã. A mesma situação ocorreu nos portais Receita Federal e Presidência da República. Ainda no dia 22, o site da Petrobrás ficou instável pela manhã e caiu durante a tarde.

Já no final de junho foram alvos de ataques os portais da Polícia Federal, Senado, Ministério dos Esportes, Ministério da Cultura, Instituto Brasileiro de Geografia e Estatística (IBGE), Empresa Brasileira de Infraestrutura Aeroportuária (Infraero) e Ministério das Cidades. Parte desses ataques foi assumida por grupos como Fatal Error, Havittaja, Fail Shell e Anonymous.

Especialistas apontam, entretanto, que invasões desse tipo são consideradas menos danosas, porque o autor não consegue acesso a dados sigilosos, como nos casos de entrada dos sistemas de órgãos estratégicos.

Os hackers conseguiram apenas acesso remoto dos portais sem autorização ou simular um grande número de acessos, ocasionando a derrubada ou dificuldade de navegação por usuários reais – é o chamado DDoS (Distributed Denial of Service). “Em todos estes casos, o que houve foi acesso aos portais, não alcançando informações sigilosas, e/ou indisponibilização dos serviços”, avalia o secretário-geral da Comissão Especial de Crimes de Alta Tecnologia da OAB-SP, Fernando Barreira.

"Bebê real" vira isca para Spammers

Cibercriminosos aproveitaram o nascimento do filho do Príncipe William e Kate Middleton para usar a notícia como isca em ataques, alerta a Kaspersky Lab.

A empresa de segurança divulgou na quinta-feira (25) que identificou o envio em massa de e-mail spam que contém três links que encaminhavam o usuário para uma página que supostamente permite visualizar em tempo real a câmera do hospital onde Kate deu à luz. Mas, na verdade, o site malicioso contém o exploit kit "Black Hole".

Os usuários desprotegidos e com plugins desatualizados podem ser infectados automaticamente ao acessarem a página.

De acordo com a empresa, o link já está desativado mas, sem grande esforço de pesquisa, foram detectados no Google muitos outros sites fraudulentos com conteúdos maliciosos dedicados ao mesmo tema.

Segundo Fabio Assolini, analista de malware da Kaspersky no Brasil "o BlackHole é bastante efetivo em infecções web, atacando especialmente usuários que tenham o plugin do Java desatualizado. Esse kit de ataque é bastante usado globalmente, inclusive entre cibercriminosos brasileiros."

A Kaspersky Lab detectou a ameaça como sendo o "Troyan Downloader.js.Expack.aie".

Microsoft corrige falha crítica no Internet Explorer - Patch Tuesday

A tradicional Patch Tuesday da Microsoft para o mês de julho abordará sete questões de segurança, seis das quais poderiam ser exploradas remotamente por um invasor.

A empresa publicou um aviso com antecedência sobre a data das correções, que acontecem na segunda terça-feira de cada mês, para que administradores se informem sobre quais produtos serão afetados. No entanto, tal aviso não descreve as vulnerabilidades até que suas respectivas correções sejam liberadas.

As vulnerabilidades críticas estão no Windows OS, .NET Framework, Silverlight, Office, Visual Studio, Lync e Internet Explorer (IE). Um sétimo boletim, classificado como "importante", afeta o software de segurança Windows Defender.

O boletim de segurança mais importante inclui o IE, escreveu o CTO da Qualys, Wolfgang Kandek. Ela afeta as versões 6 a 10 do browser no Windows XP, Vista, 7, 8, Server 2003, Server 2008 e RT.

A Microsoft também irá corrigir uma vulnerabilidade 0-day apresentada pelo pesquisador de segurança Tavis Ormandy, escreveu Kandek. A falha é relativa a um problema de gerenciamento de memória que é essencialmente uma vulnerabilidade 0-day depois de um exploit ser adicionado ao kit de exploração Metasploit, disse Kandek.

A companhia descreveu a vulnerabilidade CVE-2013-3660 como "um problema conhecido publicamente do componente no kernel do Windows."

Kandek escreveu que a Patch Tuesday dará um pouco de trabalho para os administradores de desktop e servidores. "No geral, é uma Patch Tuesday de tamanho normal, mas com um grande número de questões críticas", escreveu.

Os boletins serão liberados na terça-feira pela manhã.

Falha de segurança no Android pode atingir 99% dos aparelhos

Os smartphones Android podem estar em risco. Pesquisadores da Blueblox, empresa especializada em segurança de dispositivos eletrônicos, descobriram uma falha de que pode afetar até 99% dos aparelhos com o sistema operacional do Google. Através desta brecha, usuário maliciosos podem controlar totalmente o telefone de outras pessoas.

O funcionamento do hack, obviamente, não foi divulgado pela BlueBox, mas a vulnerabilidade já existe desde o Android 1.6 e tem propriedades curiosas. Hackers poderiam explorar a falha para editar códigos de APKs legítimas, sem quebrar as assinaturas criptográficas delas. Dessa forma, seria possível inserir conteúdo malicioso nos programas a ser instalados.

Ao infectar o smartphone, uma notificação de update para o aplicativo apareceria para o usuário, que autorizaria o seu celular ser totalmente explorado ao invés de ser atualizado. Os pesquisadores afirmam que hackers conseguiriam até ganhar controle total.

A Bluebox notificou o Google sobre a falha em fevereiro e destaca que o Galaxy S4 é o único aparelho atualmente imune à falha – o que sugere que um patch de segurança já deve existir para isso. De acordo com o CTO da empresa, Jeff Forristal, um update deve chegar aos aparelhos Nexus em breve. Procurado pelo site Engadget, o Google não comentou o caso.