Descriptografar o WhatsApp, como juíza pediu, está fora de questão

Em artigo, especialista afirma que tecnologia usada garante que nem o próprio serviço consiga ouvir ou ler mensagens enviadas pelos usuários

Autor: Rita D’Andrea (Diretora geral da F5 Networks Brasil)

WhatsApp tem no Brasil 100 milhões de usuários e já foi bloqueado três vezes desde 2015, sempre por ordens judiciais. Ontem o Facebook – a empresa que controla o WhatsApp – recebeu uma intimação ordenando que a empresa interceptasse e entregasse às autoridades do Rio de Janeiro mensagens de supostos criminosos sendo investigados. A juíza Daniela Barbosa Assumpção, responsável por esta notificação, exigia que a criptografia das mensagens WhatsApp fosse quebrada e os conteúdos das mensagens sejam entregues às autoridades. O bloqueio durou algumas horas e acabou suspenso ontem mesmo, por uma decisão do STF. Neste e nos outros episódios, o Facebook/WhatsApp disse que não poderia realizar o que a notificação pedia por motivos técnicos.

digitalkey_625.jpg

Os responsáveis pelo WhatsApp estão falando a verdade.

Desde abril deste ano, qualquer usuário do aplicativo recebe a mensagem: “As mensagens que você envia para esta conversa e as chamadas de voz são, agora, protegidas com criptografia de ponta a ponta. Toque para obter mais informações”.

 Este curto recado é, na verdade, o topo do iceberg de uma era em que quase todas as principais aplicações do mercado são criptografadas e trafegam em sistemas SSL/TLS.  A maior parte dos serviços que está na nuvem é criptografada – isso vale para o Office 365, para as Oracle Applications, para a plataforma Totvs, etc.

No caso específico do WhatsApp, a tecnologia usada por essa plataforma garante que nem o próprio WhatsApp nem ninguém – governo, empresas, pessoas comuns, criminosos – conseguirão ouvir ou ler algo enviado de um usuário a outro – o que inclui mensagens, fotos, vídeos, mensagens de voz, documentos ou chamadas de voz.

O WhatsApp não ter acesso a esses dados é algo muito importante.

A criptografia é muito comum em toda a Internet. Se um usuário faz uma compra online ou visita Google.com, um cadeado e HTTPS são visíveis no navegador, o que significa que os dados enviados via Internet são criptografados ou ocultados de quem quer que possa tentar bisbilhotar ou roubar a informação, tal como um número de cartão de crédito. O WhatsApp levou isso adiante, devido a ser a maior aplicação multiplataforma de troca de mensagens do mundo, uma aplicação que funciona em um grande número de diferentes dispositivos. A criptografia de ponta a ponta é a diferença entre enviar um cartão postal em papel, em que qualquer um – incluindo o carteiro — pode ler a sua mensagem, e fechar esse cartão postal em um envelope, algo que garanta que somente você e o destinatário conseguirão ler a mensagem.

É importante ressaltar que uma mensagem enviada por WhatsApp é criptografada desde o momento em que sai do dispositivo do remetente até o momento em que é recebida pelo destinatário. Nenhum intermediário, incluindo o WhatsApp, pode ver o conteúdo da mensagem, mesmo se capturada em trânsito. Com isso, os usuários podem ter a certeza de que as mensagens e chamadas de voz estão protegidas contra qualquer pessoa que tente interceptá-las.

O fato de nem mesmo o WhatsApp ser capaz de ver as mensagens ou escutar as chamadas significa que, se a empresa receber um pedido judicial de acesso aos dados pessoais ou mensagens de alguém, o WhatsApp não terá acesso a eles e não terá como entregar o que quer que seja. Devido à maneira como o WhatsApp implementou isso, será muito difícil que as agências policiais e governamentais consigam acesso legal a dados que poderiam ser necessários para auxiliar nas suas investigações.

Discutiu-se se as agências governamentais tentariam proibir isso – a criptografia –, mas rapidamente percebeu-se que seria muito difícil realizar esse feito. Proibir a criptografia poderia causar enormes danos à economia digital. Necessitamos de criptografia para manter seguros os nossos dados pessoais. Por outro lado, seria sim importante encontrar um equilíbrio no qual as forças policiais pudessem obter acesso judicial a dados do WhatsApp para auxiliar as suas investigações.

Estamos vivendo uma interessante disjuntiva. Somos muito livres com os nossos dados pessoais e seu compartilhamento online. Junto com a liberdade, exigimos garantias de não sermos monitorados, algo que roubaria a nossa privacidade. A grande questão, porém, é que criptografia e privacidade andam juntas tanto para pessoas honestas, que nada têm a esconder, como para criminosos, que muito têm a esconder. A tecnologia não é “pessoal”, tratando uns e outros de forma diferente.

O que define este quadro é que o mundo deseja que o WhatsApp ofereça garantias de privacidade e proteção de dados. Com bloqueio ou sem bloqueio, isso continuará acontecendo.

Fonte: IDG NOW!

Dez prioridades de segurança da informação, segundo o Gartner

Consultoria afirma que empresas precisam aprender a aplicar tecnologias emergentes a suas práticas de proteção e gestão de risco.

Consultoria afirma que empresas precisam aprender a aplicar tecnologias emergentes a suas práticas de proteção e gestão de risco.

Segurança da informação virou um ponto crítico para toda organização. Isso se intensifica a medida que a transformação digital puxa os investimentos em políticas e ferramentas de proteção e governança. De olho na evolução constante desse mercado, novas abordagens se fazem necessárias.

“As equipes devem se adaptar aos requisitos de negócios digitais emergentes e, ao mesmo tempo, estarem preparadas para lidar com um ambiente cada vez mais hostil”, observa Neil MacDonald, vice-presidente do Gartner.

Segundo ele, os profissionais de segurança precisam aprender a trabalhar com tendências tecnológicas se quiserem definir, alcançar e manter programas eficazes de proteção que ofereçam, de forma simultânea, oportunidades de negócios digitais com a gestão de riscos.

Veja os prontos prioritários na visão do especialista:

1. Agentes de segurança de acesso à nuvem – Os Cloud Access Security Brokers (CASBs) veem para ajudar profissionais de segurança a fazerem o controle do uso seguro, em conformidade com os serviços em nuvem de seus diversos provedores. Esse tipo de abordagem, segundo o Gartner, preenche muitos espaços em branco dos serviços cloud, permitindo aos líderes de segurança realizarem tarefas simultâneas.

2. Detecção e resposta de endpoints (EDR) – O mercado de soluções de EDR cresce rapidamente para suprir necessidades de proteção mais eficaz, detectando e reagindo de forma mais ágil diante de falhas. Essas ferramentas registram e armazenam informações relativas a diversos eventos. A consultoria aconselha pegar os indicadores coletados nessas ferramentas e processá-los a partir de sistemas analíticos, criando uma rotina mais eficiente de combate a falhas.

3. Abordagens sem assinatura para prevenção de endpoints – “As abordagens para a prevenção de malwares baseadas apenas em assinaturas são ineficazes contra ataques avançados e específicos”, afirma o Gartner. De acordo com MacDonald, novas técnicas de proteção e prevenção automatizada baseadas em aprendizado de máquinas tornam mais efetivos os mecanismos tradicionais de segurança.

4. Análise de comportamento – Usar práticas de análise de comportamentos permite que a empresa realize processos mais amplos de segurança. A correlação das análises de vários fatores, usuários e empresas, tornam os resultados mais precisos e a detecção de ameaças mais eficaz.

5. Microssegmentação e visibilidade do fluxo – Quando os ataques conseguem acessar os sistemas corporativos, eles podem se mover horizontalmente pela rede antes de serem detectados. Para resolver esse problema, o Gartner aponta a necessidade de criar uma segmentação mais granular do tráfego nas redes, com a possibilidade de aplicar criptografia isolada entre cargas de trabalho.

6. Testes de segurança para DevOps – A segurança precisa se tornar parte dos fluxos de desenvolvimento e operações. Justamente por isso, é preciso ficar atento ao surgimento de modelos e padrões para o estabelecimento de uma abordagem automatizada de DevSecOps.

7. Orquestração do centro de operações baseado em inteligência – Na visão do Gartner, um SOC inteligente precisa ir além das tarefas de defesa tradicionais, com uma arquitetura adaptada e com uso de componentes capazes de correlacionarem e darem respostas de acordo com contextos. Para isso, é importante desenvolver um modelo inteligente, suportado por automação e orquestração dos processos.

8. Navegador virtual – A maioria dos ataques começa com um malware entregue aos usuários finais via e-mail ou URLs infectada. Para mitigar esse risco, a consultoria aconselha a adoção de um “servidor de navegação”, que funciona localmente ou em nuvem. Ao isolar a função de navegação do resto do dispositivo e da rede da empresa, a ameaça fica fora do PC do usuário, reduzindo significativamente sua área de ataque ao deslocar o risco para as divisões do servidor, que podem ser facilmente reinicializadas a cada sessão de navegação, ou a cada abertura de uma nova página.

9. Deception – Essas tecnologias são definidas pelo uso de artifícios ou truques destinados a limitar os processos cognitivos do atacante, interromper suas ferramentas de automação, atrasar suas atividades ou evitar o progresso de seus ataques. Ferramentas desse tipo estão surgindo para redes, aplicativos, endpoints e dados. O Gartner prevê que, até 2018, 10% das empresas usarão ferramentas e táticas com tecnologia Deception contra invasores.

10. Serviços universais de segurança – A área de TI está sendo acionada para estender suas capacidades de proteção para a tecnologia operacional e para Internet das Coisas. Dessa forma, novos modelos devem surgir para entregar e administrar a confiabilidade em escala. Os serviços de segurança devem ser projetados para elevar e apoiar as necessidades de bilhões de aparelhos.

Fonte: Computerworld

Novo olhar sobre antigas ameaças

Autor: Léia Machado

De acordo com o mais recente relatório divulgado pela Blue Coat, os malwares para dispositivos móveis continuarão crescendo colocando em risco usuários e empresas. Entre os apontamentos do estudo, está a constatação de que os anúncios da web superaram a pornografia como principais vetores de ameaças móveis nos últimos dois anos.


Em entrevista à Risk Report, Marcos Oliveira, country manager da Blue Coat no Brasil, aborda os detalhes do relatório e alerta como as empresas podem trabalhar o conceito de segurança na cabeça dos usuários. Principalmente em termos de um novo olhar sobre antigas ameaças.

Risk Report: O relatório usou dados mundiais, inclusive no Brasil?
Marcos Oliveira: Sim. Utilizamos a rede global da Blue Coat com 75 milhões de usuários conectados para monitorar o tráfego na rede mundial de computadores. Não temos dados separados do Brasil, mas o levantamento apontou que o País está dentro da média global de vítimas dos malwares móveis. Ainda mais com a proliferação de smartphones e forte presença dos brasileiros nas mais diversas redes sociais.

RR: Quais são os principais vetores de proliferação das ameaças móveis?
MO: Podemos destacar cinco pontos: aumento do uso de dispositivos; engenharia social, muito utilizada pelos hackers para estudo dos usuários; comportamento do usuário; os mesmos mecanismos utilizados pelos cibercriminosos; e a disponibilidade do mercado negro em ensinar e vender malwares para o hackers.

Em novembro de 2012, o principal vetor era a pornografia. Hoje, os anúncios na web e os sites suspeitos levam os usuários a clicarem em spam, links corrompidos em sites de redes sociais e aplicações nocivas. A massificação dos aparelhos móveis proporcionou um ambiente fácil para os criminosos virtuais, pois eles não precisam renovar as estratégias, os mesmos truques utilizados para outros ataques podem ser aplicados no ambiente mobile.

Além disso, temos outros dois vetores: o crescimento do e-commerce via dispositivos móveis, o que abre novas oportunidades de ataques hackers. E a proliferação dos aplicativos e jogos que disponibilizam downloads gratuitos, mas, por trás disso, aparecem diversas ameaças desconhecidas que podem ser alastradas na empresa se estiverem conectados à rede wifi corporativa.

RR: O estudo também aponta que a engenharia social dessas ameaças significa que o comportamento de um usuário é essencial para identificar onde ocorrem as ameaças e como elas evoluem. Mais uma vez estamos falando do elo mais fraco da Segurança da Informação: o usuário?
MO: Sim. Mas não podemos culpar o usuário, pois o avanço dos dispositivos móveis é significativo no sentido de auxiliar cada pessoa na vida moderna. O que precisamos fazer é fomentar o uso consciente dos aparelhos, da internet e das aplicações.

Dentro das empresas, apelamos para as boas práticas de uso saudável aderindo também às políticas de segurança da empresa. Sabemos que é difícil ficar sem a web, mas a engenharia social é muito forte e monitora diariamente o comportamento do usuário a fim de roubar dados ou utilizar o dispositivo como uma botnet para futuras ações maliciosas. Ou o mundo inteiro se mobiliza para criar a sociedade virtual do bem ou não veremos o fim dessas ameaças.

RR: O relatório aponta um novo olhar sobre antigas ameaças. Como podemos colocar em prática esse conceito?
MO: Como as ações cibercriminosas são as mesmas, o novo olhar significa nos atentarmos para a massificação das aplicações móveis que se chegam aos usuários de forma viral. Precisamos entender esse contexto e como isso afeta a sociedade global, além de implementar nas empresas ações de conscientização e educação digital.

Fonte: Decision Report

 

Analisando as ameaças e fragilidades da computação em nuvem

topo-nuvem

Autor: Anderson Sales

Neste terceiro artigo da serie sobre riscos da computação em nuvem continuaremos a abordar itens relevantes desde aspectos técnicos, contratuais até periciais. Lembrando que a responsabilidade de zelar pela segurança da nuvem é uma tarefa compartilhada que não deve ser atribuída apenas à empresa contratada, o contratante também tem sua cota de participação.

Cadeia de custodia da informação

cadeia-custodia

Discorre a respeito da documentação e coleta cronológica de evidencias, devendo inclusive relatar quem teve acesso e/ou as manuseou; resumindo, deve-se zelar pelo nível mais alto de preservação de uma prova. A cadeia de custodia pode ser afetada quando existem múltiplas nuvens contratadas, pois a falta de interoperabilidade entre os contratantes coloca em risco a coleta e preservação de provas periciais. Em provedores que possuem diversos sites espalhados geograficamente, a cadeia de custódia pode ser impactada e evidências deixariam de ser coletadas caso exista alguma omissão ou inexatidão no mapeamento e localização dos ativos e/ou datacenter. A cadeia de custódia deve ser levada muito sério, pois na hipótese da investigação de uma rede de pedofilia que usa a nuvem como meio de distribuição, a incorreta coleta inicial de evidências poderia levar a uma série de análises e acontecimentos desconexos que livrariam os suspeitos de uma condenação e poderiam julgar um inocente, algo bem parecido com a teoria do caos que diz que qualquer interferência (mesmo que mínima) no inicio de um determinado evento pode causar consequências imprevisíveis de proporções catastróficas.

Monitoramento

O monitoramento deve contemplar não somente os thresholds e variação dos recursos computacionais de um host ou aplicação que está na nuvem, o monitoramento deve ir além de sua usabilidade clássica agregando informações de indicadores de desempenho (KPI), estatísticas para compor análises preditivas (uso da matemática que avalia informações históricas a fim de calcular a probabilidade da ocorrência de eventos futuros), entre outros. Em sua essência, a nuvem é um conjunto de sistemas replicantes subdividido em camadas de diversos hosts, redes, etc e em localidades geográficas distintas; por causa dessa característica, identificar a causa raiz de um problema (hardware ou software) é deveras complexo e somente um sistema de monitoramento maduro o suficiente é capaz de identificar a localização exata de um problema. O monitoramento deve acompanhar na mesma proporção o conceito de escalabilidade, ou seja na estrutura contratada desaparecem e surgem novos recursos (servidores, aplicações e etc) a quantidade de ativos monitorados deve variar na mesma dimensão e velocidade.

Gestão de acesso e identidades de usuários

O gerenciamento do controle de acesso deve garantir que tanto as concessões atribuídas ao contratante quanto para a contratada auxiliem a tarefa de evitar vazamento de informações e que haja a correta operação dos hosts que as alocam. É prudente que a informação guardada seja administrada pelo que chamamos de gestão de acessos em camadas devendo seguir as boas práticas como, por exemplo, duplo fator de autenticação, deletar contas inativas, revisão de acessos de usuários, RBAC e se possível implantar um sistema de autenticação sem revelar informações de identificação (credenciais anônimas). Essas atividades mitigam o risco de uma configuração errada ou que uma vulnerabilidade na aplicação permita acesso administrativo da nuvem para usuários não autorizados. O cuidado com a gestão desse processo auxiliará o caso de contratantes diferentes compartilharem o mesmo recurso físico (seja um storage ou um pool de máquinas virtuais) para que eles não acessem informações que não lhe são de direito. Uma coordenação assertiva desses quesitos ampara também a identificação do dono de um registro/perfil que esteja sob suspeita, ajudando a discernir quando uma determinada conta é ou não fictícia, pois um ato comum dos criminosos é gerar vários perfis falsos na contratação de serviços para granularizar suas ações aumentando o grau de dificuldade para o perito forense; o aumento de registros de contas fictícias visa atrapalhar o serviço da investigação porque quanto mais dados fakes existirem, mais “sujeira” será coletada para verificação. Assim como qualquer outra infraestrutura de rede, é desejável que os acessos sejam segregados para cada usuário (evitando uso de contas compartilhadas) e que a criação de uma nova conta seja capaz de gerar trilhas de auditoria. Em casos mais críticos como acessos administrativos (sejam eles físicos ou lógicos) entre outros, é necessário um incremento maior na autenticação; existem algumas técnicas para implantar esse tipo de controle, o uso de certificado digital é uma delas.

Exclusão de arquivos

A exclusão de arquivos deve ocorrer de forma segura desde o nível físico até o lógico. A empresa contratada deve ter em sua estrutura um processo que comporte retenção/exclusão dos arquivos baseados em tempo, por exemplo, o PCI informa que uma determinada informação deve ser apagada após o período de cinco anos. É importante atentar-se sobre as menções da rescisão de contrato ou término sem renovação porque é do cliente a responsabilidade efetuar a cópia, remoção, migração dos arquivos da estrutura da empresa contratada; lembrando que ela deve apagar de maneira segura todos os arquivos do cliente, removendo inclusive os dados estatísticos e analíticos. Caso haja rompimento do contrato por causa de migração de serviço para outro provedor, deve haver um período (que varia de 1 a 3 meses) para que o cliente possa transferir seus dados, em seguida estes poderão excluídos. A equipe de operação que gerencia a infraestrutura da nuvem deve ter uma plataforma centralizada de administração que permita apagar os arquivos em qualquer data center de sua responsabilidade, a mesma deve fornecer uma prova auditável de que a informação foi devidamente excluída, transferida ou retida.

Reutilização de recursos

Esse tema faz referência ao tratamento incorreto dos recursos computacionais e a disponibilização subsequente do mesmo para outro cliente. Por exemplo, um compartilhamento de rede existente dentro de um storage que é inutilizado, deve ser apagado de maneira segura para que aquele espaço não seja atribuído de maneira equivocada para outro contratante. A disponibilização de memória ram também deve ser tratada com cautela para que se tenha a certeza de que a memória que foi alocada, não possua dados resilientes/residentes de um outro cliente (risco de dump de memória). Ao mesmo tempo em que a preocupação com a reutilização de recursos é uma tarefa crítica para o departamento de operações de datacenter, ela também pode inviabilizar intimações judiciais para coleta de dados, caso uma informação ou máquina virtual altamente confidencial seja deletada (propositalmente ou não) os investigadores terão maior dificuldade para efetuar a aquisição de dados para perícia. Outro cenário de risco ocorre quando um spammer contrata serviços na nuvem e o IP do mesmo cai na blacklist; se o pool de IPs públicos ofertados pelo provedor for um serviço concedido dinamicamente e em seguida o spammer desaloca o IP publico que foi marcado na blacklist, o próximo cliente que receber esse endereço para usar em um serviço legítimo será impactado negativamente e terá problemas para efetuar o envio de e-mails válidos. A obrigação por reverter essa situação junto aos órgãos responsáveis (Spamhaus é um deles) deve ser da empresa contratada, mas isso deve constar no acordo de serviço para que possa ser cobrado.

Falência da empresa contratada

Um item que não é lembrado quando firma-se um contrato de prestação de serviços na nuvem é sobre como as informações serão tratadas caso a empresa contratada passe por um processo de falência. Não é possível prever se a empresa contratada falirá, mas é possível resguardar-se contratualmente. É válido solicitar que as informações que estão de posse da contratada sejam submetidas ao contratante e que posteriormente haja o descarte seguro das mesmas.

Interoperabilidade

Ocorre quando o contratante precisa gerir os dados da empresa entre dois ou mais provedores de cloud computing, a falta de uma padronização entre as plataformas dos provedores afeta uma série de itens de segurança da informação, como a correlação de evidencias por exemplo. O cliente tem o direito de trocar de provedor (seja por falência, fusão, venda ou opção), mas a falta de interoperabilidade onera muito o tempo de migração dos dados; esse gap deve ser diminuído (se possível em SLA) para que o novo provedor contratado absorva os dados com o menor impacto possível.

Múltiplos sites ou datacenter

A ideia de que quanto mais estruturas de datacenter um provedor possuir, melhor será sua nuvem possui também um revés. Um atacante malicioso pode efetuar pequenas alterações em sites distintos e em pontos diferentes do perímetro da estrutura computacional e chegar ao seu alvo. Por fim suas alterações passariam despercebidas, com um nível de correlação bem abaixo do normal ou até encarada como falso-positivo.

Logs

Apesar do provedor de cloud computing possuir localidades físicas diferentes para alocar sua infraestrutura, todos os sites devem possuir um formato padrão para armazenar seus logs. A tarefa de consolidar um padrão de log para toda a corporação facilitará qualquer atividade que necessite de uma informação recuperada, desde uma solicitação por parte do cliente até uma auditoria interna/externa ou análise forense. Esses logs vão desde conexões nos servidores, acessos, aplicativos, banco de dados, hypervisor, até captura de pacotes de rede, tráfego, bilhetagem, entre outros.

Todo item debatido nesse artigo variará de importância dependendo do serviço contratado. O que deve-se ter em mente é que a segurança na nuvem tem muitos aspectos originados da infraestrutura que é praticada “dentro de casa”, ou seja, se o sistema que deseja-se mover do datacenter já é considerado “no compliance”, não será a nuvem que o tornará compliance. A computação em nuvem não remove as falhas de processo e segurança de um sistema “in loco”.

Não adianta mover uma aplicação que não possui processos e regulamentações achando que está se livrando de um problema, pois eles continuarão ocorrendo. O ímpeto de adotar essa nova tecnologia deve ser contido pela simples pergunta: minha empresa está pronta para a nuvem?

Fonte: Blog de Segurança da Informação | Módulo Security

Quase 25% das empresas não passam na auditoria de segurança

Um estudo realizado pelas empresas Axway e Ovum sobre segurança de dados, governança e desafios de integração nas empresas mostra que a complexidade das normas e da governança exige ampliar a proximidade com a integração da TI sob pena de ampliar riscos econômicos e de reputação nas companhias

Foram ouvidos 450 profissionais no mundo todo. Desse total, 23% disseram que suas empresas falharam em auditoria de segurança nos últimos três anos, e 17% não sabem ou não acreditam que podem ser aprovados em uma auditoria hoje. O estudo também revela que o custo médio total de uma violação de dados é de US$ 3 milhões.

“Como o volume e a velocidade dos negócios continuam crescendo, as organizações enfrentam maior risco em expor dados críticos. Além disso, exigências regulatórias mandatórias demandam processos auditáveis transparentes e um alto nível de visibilidade e controle sobre o fluxo de dados importantes” diz Saurabh Sharma, analista senior da Ovum.

Nova abordagem

“As formas de abordagem tradicionais de gerenciamento de interações de negócios não são adequadas para atender esses requerimentos complexos e aumentam, consideravelmente, a probabilidade de violação de dados e o não cumprimento das normas”, completa.

Ao examinar as principais prioridades para os CIOs, diretores de segurança da informação, e de risco, o estudo identificou a continuidade dos negócios e a recuperação de desastres como principal prioridade (87%), seguido por proteção contra ameaças cibernéticas (85%), gestão de ameaças internas (84%) e acompanhamento do cumprimento das normas (83%).

Para determinar o quão bem equipadas as organizações estão para lidar com essa ampla gama de prioridades de segurança de dados e de governança, foi analisada a situação atual da infraestrutura de integração e de arquivo de transferência de tecnologias das organizações.

Infraestrutura fragmentada

Um dado alarmante é que a maioria das organizações (71%) tem pouca sinergia entre a estratégia de integração e a segurança, privacidade, governança e política de dados. E mais da metade das organizações relata uma infraestrutura de integração fragmentada.

A lista de preocupações dos usuários incluem as soluções de transferência de arquivos existentes, com questões como confiabilidade (84%), normas (77%), visibilidade e monitoração (75%) e integração (74%), listadas como os principais problemas.

Segurança é a chave

Os silos de infraestrutura e de governança atuais, a necessidade de gerenciar um número crescente de tipo de integrações e problemas com soluções de envio de arquivo em vigor criaram preocupações com privacidade e segurança de dados em transferências de arquivos.

Entrevistados listaram a criptografia de dados (89%), a definição e aplicação de políticas de segurança (86%) e gestão de identidade e acesso (78%) como as questões mais prementes. Estas preocupações são particularmente importantes, pois como mostrou o estudo, as organizações utilizam transferências de arquivos para 32% ou mais dos processos críticos de negócios, em média.

“As descobertas da Ovum apontam uma luz sobre os desafios que a maioria das organizações tem hoje em atender os crescentes requerimentos de segurança de dados e conformidade, bem como os riscos de não aplicar a governança do fluxo de dados de forma eficaz”, disse Dean Hidalgo, vice-presidente executivo de marketing global da Axway.

“Com tecnologias comprovadas de gerenciamento de MFT e API, seja local ou na nuvem, e por meio da concepção de uma estratégia de integração mais unificada e abrangente, as organizações podem governar o fluxo de dados via fontes internas e externas”, conclui.

Para baixar o whitepaper original “The Imperative for Effective Data Flow Governance in Response to Data Security, Risk Mitigation, and Compliance Requirements” (em inglês), clique neste link.

Fonte: COMPUTERWORLD

A importância de monitorar os emails corporativos e como fazer sem infringir a lei

A questão do monitoramento do e-mail corporativo é bastante polêmica e tem sido enfrentada pelos tribunais com cautela e bom senso. De um lado, estão os que julgam que quaisquer e-mail deve ser protegido contra fiscalização e do outro, estão os que permitem a fiscalização do email corporativo pelo empregador, excluindo o e-mail pessoal.

Ponto de vista jurídico sobre o monitoramento de e-mails

Até alguns anos atrás, parte dos juristas consideravam os e-mails como “correspondência inviolável”, protegida pelos incisos V, X, XII e LVI, artigo 5º da Constituição de 1988 que trata do resguardo do sigilo da correspondência como direito fundamental.

Entretanto, um importante Acórdão da 1ª Turma do Tribunal Superior do Trabalho publicado em 10/06/2005, com relatoria do ministro João Oreste Dalazen, reconheceu que há necessidade de se separar os e-mails pessoais dos e-mails corporativos.

Desde então, o Tribunal Superior do Trabalho tem recomendado às empresas que comuniquem previamente seus funcionários sobre o uso adequado do e-mail corporativo, avisando que o e-mail da empresa deve ser usado apenas para fins profissionais e que este não exige privacidade como o e-mail privado. Tais comunicados devem ser reforçados com o estabelecimento de uma regulamentação interna.

No entanto, se o empregado eventualmente utilizar o e-mail corporativo para assuntos particulares, deve ter consciência de que o acesso pela empresa ou pelo empregador não caracteriza violação de sua privacidade ou intimidade – o que é, inclusive, entendimento pacífico dos tribunais. A maioria das decisões judiciais tem sido favorável às empresas desde que o empregado seja previamente notificado a respeito das políticas de monitoramento de dados.

Por que monitorar os emails corporativos

Pesquisas afirmam que a principal fonte de vazamentos de informações nas empresas são os próprios funcionários. A perda ou o vazamento de informações pode representar prejuízos significativos às organizações, que vão desde a perda de receitas e/ou clientes até danos ao posicionamento e à imagem da empresa no mercado.

Uma alternativa para prevenir o problema é o monitoramento ativo e contínuo do ambiente de trabalho, abrangendo os registros de comunicação realizados pelo e-mail corporativo, logs de acessos aos diretórios de rede, utilização de dispositivos móveis de armazenagem (pen drive, HD externos), entre outros.

Para um monitoramento assertivo de e-mails

  • Estabeleça uma comunicação objetiva sobre o monitoramento (via código de ética, contrato laboral, aviso no logon da máquina/rede, etc.);
  • Reúna uma equipe especializada, capacitada em gestão de riscos e técnicas de inteligência, dedicada à operação, para conduzi-la de forma independente e isenta de conflitos de interesses;
  • Defina e atualize continuamente as regras de monitoramento, sejam elas de dados estruturados (remetentes, destinatários, datas/horários, tamanho da mensagem, quantidade e tipos de anexos) ou não estruturados das mensagens (título, corpo, nome e conteúdo de arquivos anexados);
  • Dê ênfase também na análise dos riscos representados pelos comportamentos dos funcionários e da sua rede de relacionamentos e não unicamente sobre mensagens pontuais.

Tão importante quanto o monitoramento dos e-mails, o arquivamento das mensagens que são enviadas e recebidas é de extrema importância para resguardar as organizações contra possíveis casos de vazamento de informação

Fonte: UOL

Sistema operacional humano: o paraíso dos hackers

Parece que o sistema operacional que realmente precisa de algumas correções de segurança é o humano. Enquanto gigantes da tecnologia como Microsoft, Google e Apple lançam atualizações, ajustes, correções constantes para ameaças, as brechas sempre aparecem no elo mais fraco – o funcionário negligente ou ignorante. O peopleware (aquela peça que fica entre o monitor e o encosto da cadeira), pode perceber, sempre tem uma parcela de culpa considerável.

Convenhamos: é praticamente impossível que um apaixonado Romeu não seja acometido pelo ciúme e curiosidade nesses cada vez mais sofisticados ataques que se valem de recursos de engenharia social. Olhando apenas para o ano passado, veremos que as maiores violações tiveram como alvo e tática enganar um empregado.

E isso é, apesar de anos de advertências lançadas por especialistas que bateram na tecla do treinamento para que os trabalhadores se conscientizem de seu papel na segurança da informação, ainda é fundamental uma palestra para todo o time a cada seis meses para que a sistema operacional humano não fique desatualizado.

Em uma pesquisa recente realizada pela Flash Dark Reading, mais da metade dos 633 entrevistados disseram que “a ameaça de engenharia social mais perigosa para as organizações ocorre devido à falta de conscientização dos funcionários”.

O último McAfee Phishing Quiz, que tocou mais de 30 mil participantes de 49 países no início deste mês, constatou que 80% dessas pessoas caíram em pelo menos um e-mail de phishing em alguma das 10 perguntas do questionário. Entre os usuários de negócios, o melhor resultado veio de equipes de TI e P&D -, mas a sua pontuação foi de apenas 69% de acertos na detecção de mensagens que eram legítimas das que eram maliciosas.

Em suma, hackear o humano continua a ser muito fácil. Chris Hadnagy, especialista em descobrir falhas a partir de engenharia social, disse “como você pode constatar a partir do noticiário recente, ataques a partir de mídias sociais funcionam muito bem”. De acordo com ele, de cada três pontos principais para o sucesso de um ataque, duas são humanas.

A primeira é que as pessoas são programadas para querer ajudar o próximo. “Essencialmente, queremos confiar nas pessoas”, diz. Em segundo lugar, a maioria dos usuários são ignorantes sobre ameaças de segurança. “As empresas não estão fazendo um grande trabalho de conscientização sobre como esses problemas afetam o empregado”, adicionou. “Coloque os dois pontos juntos – a psicologia e a falta de conhecimento – e você tem terreno fértil para a engenharia social.”

“Tudo começa com OSINT (sigla em inglês para inteligência de código aberto) ou coleta de informações online”, pontua Hadnagy, para acrescentar: “Essa é a força vital de engenharia social. Uma vez que o dado é recolhido, torna-se evidente que o vetor de ataque vai funcionar melhor”.

Theresa Payton, ex-CIO da Casa Branca e atualmente na posição de CEO da Fortalice Solutions, concorda que essa abordagem inicial dá aos atacantes ferramentas muito melhores para enganar seus alvos. “Descobrir quem é a equipe executiva da empresa, o escritório de advocacia, os nomes dos servidores corporativos, projetos em andamento, relações com os fornecedores e muito mais”, lista, “permite que usem esse conhecimento, o que muitas vezes pode ser feito em menos de um dia, para criar sofisticadas tentativas de engenharia social.”

Os invasores também praticamente eliminaram uma das suas fraquezas mais óbvias. Em outras palavras: não vivemos mais os dias de ortografia e gramática ruim que, por muito tempo, fez mensagens de phishing uma fraude relativamente óbvia. Parece que os hackers descobriram o corretor gramatical.

Outra evolução toca o nascimento/expansão do “vishing”, no qual um atacante faz um telefonema, se passando por alguém de outro departamento, para ludibriar o funcionário, fazendo-o clicar em um link em um e-mail sem verificá-lo completamente.

“Isso significa o envio do e-mail envenenado a uma secretária para depois chamá-la ao telefone ‘confirmando o recebimento’ da mensagem sob o pretexto de ter que comunicar algo importante para a organização”, cita Mark Gazit, CEO da ThetaRay, “O adversário normalmente permanece na linha para garantir que o funcionário lança o anexo. “

O especialista observa que os ataques vishing também incluem o envio de SMS com um link para um site de phishing ou uma mensagem de spam para um funcionário, alegando que um de seus cartões de pagamento foi bloqueado. “Na pressa para responder a essa mensagem, as vítimas acabam divulgando suas credenciais bancárias e outros dados aos hackers”, comenta.

O único jeito eficaz para conter esta vulnerabilidade, dizem os especialistas, é melhorar o treinamento. E isso significa mudar o modelo predominante de mensagens impositivas. Passa por fazer com que os colaboradores se conscientizem da importância de atenção ao ambiente de ataques com recursos cada vez mais arrojados.

“O treinamento não deve ser um ‘evento’. Precisamos passar de algo de formação para o reforço positivo. Sinceramente, a maior parte dessas atividades se enquadra em aspectos muito limitados de transmissão de conhecimento, além de serem centradas, ainda, no computador”, observa Payton.

Ela recomenda a criação de um “feedback loop” para os funcionários. “Diga-nos porque os nossos protocolos de segurança ficam no caminho de suas atividades profissionais; quais os gatilhos emocionais; deixe-nos mostrar-lhe como seguir o nosso conselho para que se proteja de ataques tanto no trabalho quanto em casa”, aconselha.

Hadnagy acredita que o treinamento eficaz deve incluir exemplos do “mundo real”. “Fazemos imitações durante o horário comercial para ter acesso ao prédio”, ilustra. “O objetivo não é fazer as pessoas olharem para aquilo como algo estúpido, mas para mostrar os pontos fracos e o que você precisa fazer para fortalecê-los.”

Gazit lembra que , com a explosão no volume de informações diárias, muitos funcionários tendem a esquecer dos ensinamentos tão logo voltam para suas mesas. Ele concorda com seus colegas especialistas que os colaboradores precisam sentir que a formação é relevante. “Os executivos, contadores, administradores e trabalhadores da fábrica não estão sujeitos às mesmas ameaças virtuais, assim que o treinamento deve ajudar cada grupo aprenda a reconhecer e lidar com as ameaças específicas que são mais susceptíveis de encontrar”, crê.

É claro, tal como é o caso com a tecnologia, nada fará uma organização um organismo a prova de balas. Mas Hadnagy garante que uma boa formação pode reduzir drasticamente o risco. Ele falou de uma empresa que contratou sua equipe há dois anos para testar a sua consciência, e 80% dos empregados clicaram em e-mails de phishing, 90% foram vítimas de vishing e 90% foram enganados por um dos membros de sua equipe que se passou por um funcionário do help desk. “Demos o treinamento e depois fizemos um teste prático”, comprovou.

Isso, segundo ele, demonstra o quão eficaz pode ser um bom treinamento. “Declarações como: ‘Não há nenhum patch para a estupidez humana’ são prejudiciais para a crença que podemos corrigir isso”, acredita. “Não se trata de seres humanos sendo estúpido, mas sobre seres humanos sem conhecimento e sem instrução, que pouco sabe o quanto uma ameaça de segurança atinge ele e sua empresa”, conclui.

Fonte:  COMPUTERWORLD