quarta-feira, 15 de dezembro de 2010

DA UOL - Senhas mais usadas no Gawker eram “123456” e “password”. Sério!

Pois bem, que a senha “123456” deve ser evitada, todo mundo sabe (nós já tentamos avisar!). O blog do Wall Street Journal fez o ranking das 50 senhas mais utilizadas pelos leitores do Gizmodo, LifeHacker e outros sites do grupo Gawker, depois de quase 200 mil perfis terem sido invadidos por hackers na última segunda (13).
Originalmente, as senhas tinham sido encriptadas, mas 188.279 foram decodificadas e publicadas como parte do ataque dos hackers. A partir dessa lista, o Wall Street Journal criou a tabela abaixo.
Repare nas senhas mais usadas. Alguns de vocês sentirão aquela “vergonhazinha alheia”. E outros vão correr para trocar de senha. Corre!
Lá do Wall Street Journal.
Imagem:
Reprodução/Wall Street Journal.
Tags: , ,
por Ana Ikeda às 13:54

quinta-feira, 2 de dezembro de 2010

Battling Cyber Threats

"If you're good, you're going to have dozens of job offers." -- Sujeet Shenoi
Today, virtually every area of life depends on a cyber infrastructure that is vulnerable to attack. According to a recent report by the Center for Strategic & International Studies, sensitive U.S. military and civilian networks have been "deeply penetrated, multiple times, by other nation-states," and hackers employed by terrorist and criminal organizations are a constant and serious menace. In an August 2010 survey by Symantec, of 1580 private businesses in industries such as energy, banking, health care, and other areas of critical infrastructure, more than half reported politically motivated cyber attacks, averaging 10 attacks in the past 5 years.
Computer security experts say the United States faces a radical shortage of highly skilled cybersecurity professionals who can prevent and combat such attacks. One federal official has estimated that there are only 1000 cybersecurity experts in the United States who have the deep technical knowledge required to safeguard national security; tens of thousands are needed, he believes.
"This is a scourge that is going to kill us," says Alan Paller, director of research at the SANS Institute in Bethesda, Maryland, and a leading expert on computer security workforce issues. "It would be like going into World War II and having no pilots. It's actually a very bad problem. The bad guys are spending tens of billions of dollars developing these attack tools. They get through our defenses, carried along on e-mail and on other traffic, and we have to have people who can find them."
Alan Paller (Courtesy of Alan Paller)

Content and context

The need for cybersecurity professionals has grown rapidly, along with the growth in data networks in banking, telecommunications, health care, transportation, law enforcement, energy, emergency response systems, and national defense, among other areas. Meanwhile, the number of American students entering science and engineering has declined. In most fields of science, that decline has been offset by an influx of foreign scientists. But the decline is especially troublesome in cybersecurity because so many high-level cybersecurity jobs require American citizenship and an ability to obtain security clearance.
What's needed most, Paller says, is people with sophisticated technical skills and experience in areas such as system design, software security, digital forensics, computer engineering, and cryptography. "We have way too many people who call themselves cybersecurity people, people who might have written a report about cybersecurity, or done a risk assessment, or passed a test," he says. "We need the people who can actually reset the firewall settings so that they block attacks; the people who can configure software safely; the people who can find errors in software; people who can do the forensics to find evidence of malicious activity. It's like the difference between a hospital administrator and a doctor: they're all in health care, but they're not all doctors."
Agnes Chan, co-director of Northeastern University's Institute for Information Assurance, says there is an equally strong need for people who combine technical expertise with training in risk management and policy. She notes that many cybersecurity positions, especially those that involve risk analysis and policy work, require both a computer scientist's technical proficiency and a social scientist's understanding of human behavior and how it can affect security. "It is not easy to find students that are strong in both," Chan says.
Agnes Chan (Courtesy of Agnes Chan)
Others echo that emphasis on cybersecurity's human component. "You can think about cybersecurity as being like the lock on the door," says Eugene Spafford, director of Purdue University's Center for Education and Research in Information Assurance and Security in West Lafayette, Indiana. "If I use a cheap lock, somebody's going to be able to get into the office real quickly. But if I forget to lock the door regularly or I leave the key sitting on the desk, that's just as bad. So training people is critically important. It's just as important as technology. The field is larger than simply understanding the bits and the wires."
Eugene Spafford (Credit: Purdue University News Service)

Ample jobs

Such shortages translate into abundant opportunity for computer scientists, engineers, mathematicians, and other scientists who pursue a career in cybersecurity. The National Security Agency (NSA) plans to hire 1000 cybersecurity professionals in the next year. The Department of Homeland Security (DHS) has more than tripled its cybersecurity workforce in the past 2 years. The Department of Defense (DOD), which employs more cybersecurity professionals than any other federal body, is hiring aggressively, as are many other federal and state agencies.
There is at least as much demand for high-level cybersecurity professionals in the private sector, which controls almost 85% of the United States's critical infrastructure. "There's a bubble that's going to hit, and the need for cybersecurity people is going to really escalate in the future," says Richard "Dickie" George, technical director of NSA's Information Assurance Directorate. "More and more, industry is going to realize that the long-term viability of the country depends on this protection."
"If you're good, you're going to have dozens of job offers," says Sujeet Shenoi, director of the University of Tulsa's Cyber Corps Program, which is widely regarded as one of the strongest and most intense in the United States. "I can't produce the students fast enough. I graduate about 35 students a year, and even if I were to quadruple it, I wouldn't be able to fill the demand." Lance Hoffman, director of George Washington University's (GW's) Partnership in Securing Cyberspace through Education and Service (PISCES) program, says students there have fared equally well, enjoying 100% job placement since 2002.
Cybersecurity professionals who work in operational settings -- that is, who actually battle cyber attacks -- spend their days writing secure software and designing networks. Some do "penetration testing," hacking into their own organization's defenses to expose weaknesses an enemy might exploit. Others specialize in digital forensics, deconstructing cyber attacks to understand their origins and purpose. Still others create educational programs or work on policy questions, such as how to balance security and privacy, and how to address security breaches in the context of international law.
Research opportunities, too, are growing. All the federal security agencies and many large companies have research arms devoted to developing cybersecurity technologies and finding more effective ways to educate users so that they don't compromise computer systems. Appreciation -- and funding -- for basic research on information security is expanding, says Benjamin Cook, cyber-enterprise capabilities manager at Sandia National Laboratories in Albuquerque, New Mexico. He notes, however, that blue-sky research positions are "few and far between."
In recent meetings, cybersecurity experts identified a number of research priorities. One is the development of mathematically rigorous ways of establishing that hardware or software, or a computer system, is trustworthy. "In the industrialized world, we've kind of bet the bank on this technology," Cook says. "If we can't develop a rigorous and fundamental ability to establish trust in these systems, we're inching out onto thin ice." Other priorities include understanding phenomena of complex networks such as malware propagation and new models of cybersecurity based on biological concepts such as biodiversity and immunity. Some promising areas of research, Cook notes, may be especially suited to scientists with a multidisciplinary bent.

Getting your hands dirty

The main routes into high-level operational and research positions in cybersecurity are the 125 university-based cybersecurity training programs designated by NSA and DHS as Centers of Academic Excellence (CAEs) in information assurance education and research. These programs are eligible to apply for scholarship funding for undergraduates and graduate students through two federal programs: the National Science Foundation's Federal Cyber Service: Scholarship for Service (SFS) program and DOD's Information Assurance Scholarship Program (IASP). The SFS and IASP programs fund students for up to 2 years of undergraduate or graduate training in cybersecurity in return for an equivalent period of government service, either to DOD (for IASP awardees) or to other federal agencies (for SFS awardees). "It's like ROTC for geeks," says Hoffman.
Like other cybersecurity training programs around the country, the CAE programs draw students from computer science, engineering, math, statistics, forensic sciences, criminal justice, business administration, public policy, law, education, and the social sciences. Although computer science is fundamental to cybersecurity research and practice, there is plenty of opportunity for scientists in other fields to apply their interests to cybersecurity issues -- and no need to start over. Graduate students or postdocs in fields such as math, physics, and biology tend to be competitive applicants to CAE programs, although they may have to spend some time developing their computer science knowledge. To understand whether their career goals require taking a couple of courses or spending a few years getting more training, scientists should first figure out what aspect of cybersecurity they're interested in, says Diana Burley, a professor of human and organizational learning who teaches in GW's PISCES program.
Diana Burley (Courtesy of Diana Burley and George Washington University)
"It may be a matter of figuring out how what you already know fits in," Purdue's Spafford suggests. A math degree, for example, provides an excellent grounding for work in cryptography. A mechanical engineer's systems-oriented thinking is an asset for designing and analyzing network defenses. A biologist might study the use of biometric technologies for computer security. A cognitive scientist might use aspects of artificial intelligence to develop protocols for recognizing who is at a keyboard.
Different cybersecurity training programs have different emphases, as a listing of SFS-funded programs reveals. Some concentrate on policy and risk management, some on forensic investigation, others on behavioral aspects of cybersecurity, and still others on research and interdisciplinary training. The best programs combine deep training in core subjects such as computer security, network protocols, or cryptography with significant hands-on experience. "Just being able to solve today's problem isn't enough," says NSA's George. "You need to be able to train yourself to solve the problems that will come 5 or 10 years from now. Then you also need enough hands-on laboratory work doing things like reverse engineering, forensic investigation, and penetration testing that will enable you to solve today's problems. That's a very difficult balancing act."
"This stuff can't be done completely in an abstract setting," agrees Ernest McDuffie, who leads the National Initiative for Cybersecurity Education, a multiagency effort coordinated by the National Institute of Standards and Technology. "You can't do it with a chalkboard -- you need to get your hands dirty."
For those with useful skills but without the specific degree, Paller suggests a "back door" into the field: Volunteer or get a part-time job with your university's computer support service; then, after a semester or two, migrate to doing security support. "That's where you'll learn the skills that will put you in line for the jobs that most need filling," Paller says. Doing cutting-edge work in cybersecurity requires knowing three things: programming, networks and protocols, and operating systems. Academic credentials aren't what's needed, he says. What's needed are people with the skills the best scientists possess: "It's people who are extraordinarily good at taking things apart and seeing how they're made. It takes being hungry to get to the bottom of things."

quarta-feira, 1 de dezembro de 2010

Revendas da Apple abrirão a partir da meia-noite de sexta para vender iPad

DO IG

 

Confira a lista das 11 lojas em todo o Brasil que começarão a vender o tablet durante a madrugada de 3 de dezembro
Claudia Tozetto, iG São Paulo
Depois de confirmar que o tablet iPad chegará às lojas brasileiras, a Apple informou que onze revendas abrirão estarão abertas a partir da meia-noite de 3 de dezembro, dia em que ocorre o lançamento oficial do produto no Brasil.
Versão mais barata do iPad custará R$ 1.649

Getty Images
Em abril de 2010, americanos enfrentaram fila para comprar iPad no dia do lançamento
Em São Paulo, quatro lojas abrirão à meia-noite. A Fnac do Shopping Morumbi, por exemplo, planeja um evento com DJ e coquetel aberto ao público na virada entre 2 e 3 de dezembro. As vendas, segundo a assessoria da Fnac, começarão pontualmente à meia-noite.
Além da Fnac, as lojas Fast Shop e A2You (do Shopping Iguatemi), além da MyStore (do Shopping Villa-Lobos) e a Saraiva (Shopping Higienópolis), também estarão abertas para vender o aparelho no mesmo horário.
Em outras cidades, também haverá lojas abertas no horário especial para vender o tablet. É o caso da iPlace, presente em Belo Horizonte (MG), Florianópolis (SC) e Porto Alegre (RS); da iTown em Salvador (BA) e no Rio de Janeiro (RJ); e da CTIS em Brasília (DF).
Os interessados no iPad também poderão comprar o aparelho em outras revendas autorizadas e lojas de varejo a partir de 3 de dezembro. O produto também estará disponível para compra pela internet, na loja online da Apple

sexta-feira, 29 de outubro de 2010

VISÃO HOLISTICA

O todo não é mera soma das partes, mas delas depende. As partes compõem o todo, mas
“É O TODO QUE DETERMINA O COMPORTAMENTO DAS PARTES”.
Ian Christian  Smuts- Sul Africano- 1926  

domingo, 26 de setembro de 2010

Today I will make a difference.

Today I will make a difference. I will begin by controlling my thoughts. A person is the product of his thoughts. I want to be happy and hopeful. Therefore, I will have thoughts that are happy and hopeful. I refuse to be victimized by my circumstances. I will not let petty inconveniences such as stoplights, long lines, and traffic jams be my masters. I will avoid negativism and gossip. Optimism will be my companion, and victory will be my hallmark. Today I will make a difference.

I will be grateful for the twenty-four hours that are before me. Time is a precious commodity. I refuse to allow what little time I have to be contaminated by self-pity, anxiety, or boredom. I will face this day with the joy of a child and the courage of a giant. I will drink each minute as though it is my last. When tomorrow comes, today will be gone forever. While it is here, I will use it for loving and giving. Today I will make a difference.

I will not let past failures haunt me. Even though my life is scarred with mistakes, I refuse to rummage through my trash heap of failures. I will admit them. I will correct them. I will press on. Victoriously. No failure is fatal. It's OK to stumble...I will get up. It's OK to fail...I will rise again. Today I will make a difference.

I will spend time with those I love. My spouse, my children, my family. A man can own the world but be poor for the lack of love. A man can own nothing and yet be wealthy in relationships. Today I will spend at least five minutes with the significant people in my world. Five quality minutes of talking or hugging or thanking or listening. Five undiluted minutes with my mate, children, and friends.
Today I will make a difference.

quarta-feira, 22 de setembro de 2010

Do site da Mcafee - Por Jeff Green


A indústria da segurança da informação é operada por algumas das pessoas mais brilhantes que eu já conheci. Elas têm total dedicação à causa, são altamente treinadas e têm uma inteligência bem acima
da média. Mas, e quanto à indústria em si? As empresas de segurança, em geral, trabalham a partir dos modelos e hipóteses corretos?

Nós, como indústria, estamos desenvolvendo as soluções certas para enfrentar a crescente onda de ameaças e ataques? Parece que estamos diante de um problema de proporções “sisifianas” (de Sísifo; interminável e árduo). Nesse caso, a rocha que estamos empurrando ladeira acima representa as ameaças ou nossa indústria? Estas são algumas das questões e preocupações que examinaremos neste número do McAfee Security Journal. É hora de recapitular bem o que fazemos, como fazemos e quais são nossos objetivos finais. Queremos simplesmente administrar o risco e nos defender contra ataques porque os mesmos riscos continuarão existindo no dia seguinte e depois, ou é hora de sair da retranca e partir para a ofensiva? Reunimos um grupo excepcional de pesquisadores, jornalistas e cibercombatentes da McAfee e da comunidade de segurança como um todo para tratar dessas questões — as quais nos levam à segurança “ofensiva”. Abrimos este número com o renomado jornalista especializado em segurança Brian Krebs, que compartilha suas ideias e experiências
na derrocada de alguns dos principais cibercriminosos. Em “Takedowns: Manobras segregacionistas e atordoantes que levam a briga para o campo do inimigo”, Krebs adverte contra a mentalidade de neutralizar as ameaças individualmente, que prevalece na indústria de segurança como um todo, e mostra que, através de investigação e pesquisa, podemos, de fato, identificar claramente e isolar fontes significativas e consistentes de atividade on-line hostil — e, em muitos casos, flagrantemente criminosa — e “partir para cima” delas. Em seguida, Ryan Permeh e Brandon Edwards do McAfee Labs explicam e examinam a sempre controversa questão da “invasão de aplicativos”. Utilizando as mesmas ferramentas e técnicas do submundo dos hackers “black hat”, Permeh e Edwards argumentam que os desenvolvedores de software podem produzir um código mais seguro e, com isso, limitar o número de vulnerabilidades que os criminosos podem aproveitar para explorar sistemas e roubar dados valiosos. Indo além da mentalidade comum de “fuzzing” (distorcer; corromper) e teste de penetração empregada pela maioria das empresas e introduzindo técnicas avançadas, como engenharia reversa e auditoria de código-fonte, podemos fechar as brechas em uma das áreas onde o software pode dar muito errado.
Em “O efeito observador comprometido”, o sempre controverso Felix “FX” Lindner do Recurity Labs desafia as mais consolidadas empresas de segurança a rever a própria base de detecção que utilizam. Para resumir, Lindner simplesmente acha que ela não funciona. Ele afirma veementemente que precisamos repensar e substituir a mentalidade “caixa preta” existente, e que é predominante na indústria, para que possamos lidar com os ataques modernos. Suas observações são pertinentes, progressistas, um pouco incisivas e até mesmo chocantes! O Dr. Igor Muttik do McAfee Labs é um pesquisador extremamente experiente. Em seu artigo “A cooperação é fundamental para a segurança da Internet”, ele expõe a história conhecida da comunicação e do compartilhamento entre as empresas mais consolidadas da indústria de segurança e aborda a situação atual da cooperação na indústria — como as iniciativas da Anti-Malware Testing Standards Organization (AMTSO) e do Institute of Electrical and Electronics Engineers (IEEE) para promover a adoção de padrões de teste e compartilhamento de dados. O Dr. Muttik prevê como será o futuro da cooperação na indústria e o que podemos fazer para “reaver nossa Internet”.

Reunimos um grupo excepcional de pesquisadores, jornalistas e cibercombatentes para tratar das questões que nos levam à segurança “ofensiva”.

O especialista em mensagens Sam Masiello, da McAfee, pergunta “Algum dia conseguiremos resolver o  problema do spam?” O spam evoluiu de uma simples, embora incômoda, oportunidade de vendas, para uma indústria administrada por cibercriminosos que emprega imensas redes de bots.
Para limitar o spam, precisamos ver mudanças no registro de domínios, nos provedores de serviços de Internet e no e-mail. Joe Stewart, da SecureWorks, escreveu “Além dos takedowns:
Ofensiva em profundidade”. Nesse artigo, Stewart sugere uma estratégia nova e de longo prazo para afetar os riscos, esforços e potenciais recompensas dos criminosos. Citando os muitos exemplos de proliferação de redes de bots e as comunicações e métodos efetivos dos cibercriminosos de hoje, ele pergunta “De quem é essa responsabilidade?” quando as atuais parcerias e órgãos policiais podem não estar devidamente equipados para produzir algum efeito sobre o êxito dos cibercriminosos de hoje. Encerramos com a análise de David Marcus do recente relatório da McAfee, Mapping the Malweb (Mapeando o Malware na Web). Nesse artigo, Marcus observa a necessidade de classificações de sites e domínios para beneficiar os usuários e como essas classificações evoluíram recentemente. Ele defende a
necessidade de classificações de reputação dos usuários. Este número do McAfee Security Journal contém um “chamado à luta” e um desafio à nossa indústria e seus valores e conceitos mais básicos. As ferramentas e técnicas do cibercrime continuam a crescer em número e em sofisticação, a taxas alarmantes. Os cibercriminosos prosperam como nunca porque têm poucos motivos para temer as consequências. Talvez isso se deva a nunca termos dado a eles motivos para ter medo. Isso precisa mudar. Precisamos adaptar nossa indústria em sua essência e em todos os níveis. É hora de a indústria de segurança partir para a ofensiva.

Jeff Green é vice-presidente sênior do McAfee Labs e de desenvolvimento de produtos. Green supervisiona equipes de pesquisa voltadas para vírus, ataques dirigidos e de hackers, spyware, spam, phishing, vulnerabilidades e correções e tecnologias de intrusão em redes e hosts. Ele também lidera pesquisas de segurança de longo prazo para assegurar que a McAfee esteja sempre à frente das ameaças emergentes.

terça-feira, 7 de setembro de 2010

ANTEBELLUM

Security is a process, not a product. Products provide some protection, but the only way to effectively do business in an insecure world is to put processes in place that recognize the inherent insecurity in the products. The tick is to reduce your risk of exposure regardless of the products or patches. Bruce Shneier

PCI-DSS
Quem pensa que não tem que cumprir normas internacionais, engana-se quando se fala em Segurança da Informação. Ha detalhes na area em que normas tais, são imprescindiveis.
Apesar do tempo disposto pelo PCI - Council em relação a 2012, uma implementação PCI leva pelo menos 2 anos para que os projetos em SI sejam planejados, adequados e implementados em uma corporação.
Em conversa com um especialista em São Paulo, este me informou que um ano e meio é muito pouco para implementação de tal projeto, mesmo por que corporações que estão começando a se adequar devem rever politicas internas, utilizar uma analise de impacto buscando os GAPs para depois iniciar um planejamento e futuro implemento. Quando vemos os 2 anos em implementos, muitas vezes dependendo-se de areas correlatas, o projeto não sai e ao inves de solucionar o problema, cria-se mais barreiras para que processos onde projetos fossem terminados com sucesso não finalizem.
Ora, Corporativismo é uma palavra onde junta-se pessoas, processos e padrões que impulsionam uma organização a um unico objetivo: o sucesso.
Um mestre me disse uma vez:
"Quem quer fazer alguma coisa, encontra um meio."
"Quem não quer fazer nada, encontra uma desculpa. "
Roberto Shinyashiki

e não é a toa que postei aqui um artigo dele ja ha algum tempo...... VAMOS AO TRABALHO.....
Wladimir

CRIMES DIGITAIS

Em 2010 fui convidado pelo DECISION REPORT a debater com alguns representantes da area de Segurança da Informação.
abaixo seguem os links para ver os videos sobre o assunto.

BILL GATES

"Todo mundo tem cliente. Só traficante e analista de sistemas é que tem usuário." [ Bill Gates ]


BCM - PCN

“As empresas mais bem sucedidas são aquelas que sempre possuem um plano B”

JAMES YORKE - Mathematician, on chaos theory in The New Scientist

Um Meio ou uma Desculpa

Não conheço ninguém que conseguiu realizar seu sonho, sem sacrificar feriados e domingos pelo menos uma centena de vezes, da mesma forma, se você quiser construir uma relação amiga com seus filhos, terá que se dedicar a isso, superar o cansaço, arrumar tempo para ficar com eles, deixar de lado o orgulho e o comodismo. Se quiser um casamento gratificante, terá que investir tempo, energia e sentimentos nesse objetivo. O sucesso é construido à noite! Durante o dia voce faz o que todos fazem. Mas, para obter um resultado diferente da maioria, voce tem que ser especial. Se fizer igual a todo mundo, obterá os mesmos resultados, não se compare à maioria, pois infelizmente ela não é o modelo de sucesso. Se voce quiser atingir uma meta especial, terá que estudar no horario em que outros estão tomando chopp com batatas fritas. Terá de planejar, enquanto os outros permanecem à frente da televisão. Terá que trabalhar enquanto os outros tomam sol à beira da piscina. A realização de um sonho depende de dedicação. Ha muita gente que espera que o sonho se realize por mágica, mas toda mágica é ilusão, e a ilusão não tira ninguem de onde está. Em verdade a ilusão é o combustível dos perdedores, pois....

"Quem quer fazer alguma coisa, encontra um meio."
"Quem não quer fazer nada, encontra uma desculpa. "
Roberto Shinyashiki

PALAVRA DE CSO / CISO
“Os executivos podem disponibilizar o melhor sistema de informática do mundo, mas ele só faz sentido se ajudar a produzir resultados para o negócio.”
ROBERT WONG

“Se erramos é por que tentamos – Quando não há tentativa não há erro”

Wladimir

RISCO OPERACIONAL

A intenção de aceitar o risco não se equivale ao desejo irresponsável de se apostar na sorte. AUTOR DESCONHECIDO
_________________________________________________________________________
Segurança não é um evento, é sim um processo
A Segurança é medida pelo elo mais fraco
O mundo real é uma interpretação deturpada da Lei de Murphy e Teoria do Caos
Ao contrario das outras areas de conhecimento, na área de Segurança a paranóia é bem vinda.
MODULO
________________________________________________________________________________________

SKIMLINKS