Pesquisadores usam bugs para reduzir falhas em softwares

bug

A nova estratégia consiste em treinar ferramentas para encontrar vulnerabilidades nos sistemas

Pesquisadores desenvolveram uma técnica experimental que usa bugs para, acredite, reduzir a quantidade de falhas dos softwares. A ideia consiste em inserir uma quantidade conhecida de vulnerabilidades no código para entender quantos deles são descobertos por ferramentas que buscam brechas.

A partir dessa rotina, é possível analisar as razões que permitiram que aqueles bugs escapassem dos sistemas de detecção e, com isso, possibilitar que desenvolvedores possam criar métodos mais efetivos.

O modelo vem sendo testado por pesquisadores da Universidade de Nova York e do MIT, que criaram a técnica de baixo custo de adição de vulnerabilidades automatizadas em larga escala (Lava, na sigla em inglês).

“A única forma de avaliar um sistema que encontra bugs é controlar o número de bugs em um programa, o que é exatamente o que estamos fazendo com o Lava”, afirmou Brendan Dolan-Gavitt, professor de engenharia e ciência da computação na NYU.

A pesquisa revelou que as ferramentas de varredura eram pouco eficientes na detecção de falhas. Não apenas isso, esses sistemas encontravam problemas que não existiam, gerando um esforço desnecessário de limpeza para garantir a qualidade do código.

O time inseria nos programas um número conhecido que foi chamado de “vulnerabilidades sintéticas”, atributos que simulavam falhas. A ideia é que o avanço da pesquisa ajude a reduzir consideravelmente os custos de desenvolvimento de sistemas.

Fonte: IDG NEWS

Desenvolvedores insistem em códigos vulneráveis para criar softwares

dado

Mesmo sabendo que alguns desses pedaços de sistemas comprometidos, programadores os utilizam em aplicações corporativas

Empresas que desenvolvem software corporativos baixam, em média, mais de 200 mil componentes open source todos os anos. Um em cada 16 desses elementos vem com vulnerabilidades de segurança.

O contexto afeta a qualidade. Ao analisar 25 mil aplicações corporativas, foi constatado que 6,8% dos componentes usados possuem, no mínimo, uma vulnerabilidade.

Segundo a Sonatype, fornecedora de ferramentas para controlar o ciclo de vida das aplicações, esses componentes pegos junto a bibliotecas de terceiros contribuem com entre 80 e 90% da base de código de um software empresarial nos dias de hoje.

Esse é um indicativo preocupante da qualidade da cadeia de suprimento de sistemas, um problema que se torna pior a medida que as empresas aumentam os níveis de terceirização da criação de aplicações.

A Sonatype estima que uma empresa com cerca de 2 mil aplicações gastaria US$ 7,4 milhões para remediar apenas 10% dos defeitos e vulnerabilidades introduzidas por esses componentes afetados.

Práticas de gestão da cadeia de suprimento são comuns em diversas indústrias. A prática, talvez, devesse chegar ao setor de software, o que ajudaria a reduzir os custos de manutenção.

 Fonte: IDG NOW

Dez prioridades de segurança da informação, segundo o Gartner

Consultoria afirma que empresas precisam aprender a aplicar tecnologias emergentes a suas práticas de proteção e gestão de risco.

Consultoria afirma que empresas precisam aprender a aplicar tecnologias emergentes a suas práticas de proteção e gestão de risco.

Segurança da informação virou um ponto crítico para toda organização. Isso se intensifica a medida que a transformação digital puxa os investimentos em políticas e ferramentas de proteção e governança. De olho na evolução constante desse mercado, novas abordagens se fazem necessárias.

“As equipes devem se adaptar aos requisitos de negócios digitais emergentes e, ao mesmo tempo, estarem preparadas para lidar com um ambiente cada vez mais hostil”, observa Neil MacDonald, vice-presidente do Gartner.

Segundo ele, os profissionais de segurança precisam aprender a trabalhar com tendências tecnológicas se quiserem definir, alcançar e manter programas eficazes de proteção que ofereçam, de forma simultânea, oportunidades de negócios digitais com a gestão de riscos.

Veja os prontos prioritários na visão do especialista:

1. Agentes de segurança de acesso à nuvem – Os Cloud Access Security Brokers (CASBs) veem para ajudar profissionais de segurança a fazerem o controle do uso seguro, em conformidade com os serviços em nuvem de seus diversos provedores. Esse tipo de abordagem, segundo o Gartner, preenche muitos espaços em branco dos serviços cloud, permitindo aos líderes de segurança realizarem tarefas simultâneas.

2. Detecção e resposta de endpoints (EDR) – O mercado de soluções de EDR cresce rapidamente para suprir necessidades de proteção mais eficaz, detectando e reagindo de forma mais ágil diante de falhas. Essas ferramentas registram e armazenam informações relativas a diversos eventos. A consultoria aconselha pegar os indicadores coletados nessas ferramentas e processá-los a partir de sistemas analíticos, criando uma rotina mais eficiente de combate a falhas.

3. Abordagens sem assinatura para prevenção de endpoints – “As abordagens para a prevenção de malwares baseadas apenas em assinaturas são ineficazes contra ataques avançados e específicos”, afirma o Gartner. De acordo com MacDonald, novas técnicas de proteção e prevenção automatizada baseadas em aprendizado de máquinas tornam mais efetivos os mecanismos tradicionais de segurança.

4. Análise de comportamento – Usar práticas de análise de comportamentos permite que a empresa realize processos mais amplos de segurança. A correlação das análises de vários fatores, usuários e empresas, tornam os resultados mais precisos e a detecção de ameaças mais eficaz.

5. Microssegmentação e visibilidade do fluxo – Quando os ataques conseguem acessar os sistemas corporativos, eles podem se mover horizontalmente pela rede antes de serem detectados. Para resolver esse problema, o Gartner aponta a necessidade de criar uma segmentação mais granular do tráfego nas redes, com a possibilidade de aplicar criptografia isolada entre cargas de trabalho.

6. Testes de segurança para DevOps – A segurança precisa se tornar parte dos fluxos de desenvolvimento e operações. Justamente por isso, é preciso ficar atento ao surgimento de modelos e padrões para o estabelecimento de uma abordagem automatizada de DevSecOps.

7. Orquestração do centro de operações baseado em inteligência – Na visão do Gartner, um SOC inteligente precisa ir além das tarefas de defesa tradicionais, com uma arquitetura adaptada e com uso de componentes capazes de correlacionarem e darem respostas de acordo com contextos. Para isso, é importante desenvolver um modelo inteligente, suportado por automação e orquestração dos processos.

8. Navegador virtual – A maioria dos ataques começa com um malware entregue aos usuários finais via e-mail ou URLs infectada. Para mitigar esse risco, a consultoria aconselha a adoção de um “servidor de navegação”, que funciona localmente ou em nuvem. Ao isolar a função de navegação do resto do dispositivo e da rede da empresa, a ameaça fica fora do PC do usuário, reduzindo significativamente sua área de ataque ao deslocar o risco para as divisões do servidor, que podem ser facilmente reinicializadas a cada sessão de navegação, ou a cada abertura de uma nova página.

9. Deception – Essas tecnologias são definidas pelo uso de artifícios ou truques destinados a limitar os processos cognitivos do atacante, interromper suas ferramentas de automação, atrasar suas atividades ou evitar o progresso de seus ataques. Ferramentas desse tipo estão surgindo para redes, aplicativos, endpoints e dados. O Gartner prevê que, até 2018, 10% das empresas usarão ferramentas e táticas com tecnologia Deception contra invasores.

10. Serviços universais de segurança – A área de TI está sendo acionada para estender suas capacidades de proteção para a tecnologia operacional e para Internet das Coisas. Dessa forma, novos modelos devem surgir para entregar e administrar a confiabilidade em escala. Os serviços de segurança devem ser projetados para elevar e apoiar as necessidades de bilhões de aparelhos.

Fonte: Computerworld

Estudo revela presentes mais suscetíveis a ataques

Com a época de festas chegando, a Intel Security revela para os consumidores os “Presentes de Natal mais suscetíveis a ataques de hackers” para garantir sua segurança ao dar e receber presentes tecnológicos.

Na época de festas, os consumidores ficam ansiosos para começar a usar seus novos dispositivos o quanto antes e geralmente não percebem alguns dos riscos de segurança em potencial que os tornam vulneráveis. Coisas tão comuns e aparentemente seguras como uma conexão Wi-Fi, Bluetooth e aplicativos para pagamentos podem rapidamente se tornar um ponto fraco na segurança pessoal.

Para ficar alerta aos riscos, veja a seguir os presentes de Natal mais suscetíveis a ataques de hackers em 2015 segundo a Intel Security.

Relógios inteligentes e monitores de atividades físicas

Os relógios inteligentes e monitores de atividades físicas se tornaram extremamente populares nos últimos anos, e devem gerar um grande volume de vendas nesta época de festas.

O proveito real de invadir um dispositivo vestível está em sua conexão com um smartphone. Com acesso ao smartphone, o hacker pode passar pelo aplicativo do dispositivo vestível e ler e-mails, SMSs ou até mesmo instalar um software mal-intencionado, além de visualizar informações no dispositivo como endereços de e-mail, números de telefone, datas de nascimento etc., que podem ser usadas para roubar identidades.

Smartphones e tablets

Com a constante fabricação de novos modelos de smartphones e tablets durante todo o ano, esses dispositivos são presentes ideais para amigos e familiares que querem ter o telefone mais atual para dar suporte à sua rotina sempre em movimento.

Nesses dispositivos, os invasores podem assumir o controle do Bluetooth e, com algumas informações e artimanhas, um invasor pode se passar por um dispositivo Bluetooth e usar isso para roubar informações, como ler mensagens de texto ou ligar para um número pago fingindo ser o seu relógio inteligente, bem como visualizar informações no dispositivo para roubar sua identidade.

Drones e dispositivos com câmeras

Nos dias de hoje, todos querem registrar cada momento utilizando dispositivos com câmeras e até mesmo capturar vistas aéreas com equipamentos como drones. De acordo com as previsões da CEA, o mercado norte-americano de drones faturará quase US$ 105 milhões em 2015.

Os cibecriminosos podem roubar dados pessoais confidenciais de alguém que deseja se conectar a uma rede Wi-Fi aberta enquanto um drone sobrevoa sua cabeça. Isso tira proveito do fato de que os consumidores geralmente estão dispostos a sacrificar a segurança e a privacidade pela praticidade de conectar-se a redes não seguras.

Dispositivos para crianças

E-books, aplicativos sociais e carros de controle remoto: as crianças adoram usar a tecnologia e, embora esperemos que os brinquedos infantis sejam incondicionalmente seguros, existem algumas questões de segurança das quais os pais devem estar cientes, principalmente quando esses dispositivos possuem acesso à Internet. Já houve casos de hackers que invadiram babás eletrônicas e câmeras de vigilância infantil.

Infelizmente, raramente a segurança dos dispositivos e aplicativos sociais para crianças é considerada, então é responsabilidade dos pais assegurar que o brinquedo de seu filho não esteja transmitindo vídeo ou áudio para visualizadores desconhecidos!

Veja algumas dicas para manter mais seguros os dispositivos que ganhar de presente:

Altere as senhas padrão. Esse provavelmente é um dos métodos mais eficazes para proteger melhor seu dispositivo na época das festas. Ao alterar a senha de um dispositivo para outra mais complexa (de pelo menos oito caracteres com números, símbolos e letras maiúsculas e minúsculas), você adotará uma postura de segurança mais reforçada.

Mantenha o software atualizado. Os dispositivos inteligentes quase sempre exigem atualizações de software regulares. Geralmente, essas atualizações incluem correções de segurança criadas para proteger os usuários contra os cibercriminosos. Sempre atualize seus dispositivos assim que as atualizações forem disponibilizadas.

Proteja seus principais dispositivos. Mesmo se um hacker assumir o controle do seu drone ou monitor de atividades físicas, o ideal é impedir que eles acessem seu smartphone, tablet ou laptop.

Fonte: Risk Report

Leitura de impressão digital deve ser adotada por bancos

Hoje em dia, há dois tipos de organização: a que sabe que está sendo hackeada e a que não sabe ou finge desconhecer essa realidade. Seja como for, todas são vulneráveis e suscetíveis a ataques e fraudes”, diz Phil Scarfo, vice-presidente global de marketing da HID Biometrics. Em termos de tecnologia, o sistema financeiro brasileiro é um dos mais avançados e vem, nos últimos cinco anos, substituindo o uso de senhas, tokens e outros dispositivos, pela autenticação biométrica. “Diante de tantos prejuízos por causa do roubo de senhas e cartões dos correntistas, os bancos se adiantaram em buscar soluções que fossem simples e ao mesmo tempo confiáveis em termos de segurança. Por isso a autenticação da impressão digital tem sido o recurso mais usado nos caixas eletrônicos”.

A seguir, Scarfo aponta três razões para que os bancos adotem a leitura da impressão digital para validar operações bancárias:

Facilidade de uso. “Não é à toa que a autenticação biométrica já foi implantada em 90 mil caixas eletrônicos em todo o Brasil, sendo que cerca de 60 mil adotaram a tecnologia de imagem multiespectral para validar impressões digitais. Da base instalada de caixas eletrônicos que utilizam sensores biométricos com essa tecnologia, estimamos mais de 120 milhões de leituras de impressão digital por mês. Isso demonstra que, depois que o usuário cadastra suas digitais na agência bancária onde tem conta, pode sacar dinheiro de qualquer caixa eletrônico da bandeira sem ter de levar a senha anotada ou memorizada. Esse procedimento é especialmente favorável à população com baixa escolaridade, facilitando o recebimento de seus proventos”.

Segurança. “O roubo de senhas, cartões e tokens é muito comum. Obviamente, não são poucos criminosos que tentam fraudar, também, a impressão digital de uma pessoa para uso indevido. Com esse objetivo, usam todo tipo de material – desde látex transparente e silicone, até gelatina, fita adesiva e dedos de borracha, entre outros. Não se pode afirmar que todo leitor de impressão digital está apto a identificar que se trata de uma fraude e impedir que seja bem-sucedida. Por isso, a qualidade da imagem é fundamental para o aumento de segurança. A tecnologia de imagem multiespectral permite que um único leitor biométrico seja capaz de autenticar de forma confiável um grande volume de usuários. Trata-se de uma tecnologia superior que emprega diversos comprimentos de ondas luminosas em conjunto com modernas técnicas de polarização para obter características singulares da impressão digital, tanto da superfície da pele quanto de uma subcamada que reproduz o mesmo padrão. Por isso é tão eficiente no combate às tentativas de fraude”.

Desempenho do sensor biométrico. “Além de ser capaz de garantir a autenticidade da impressão digital, o sensor biométrico tem de funcionar bem em situações reais. Seja no caixa eletrônico instalado dentro de uma agência bancária, de um posto de combustível ou de um shopping center, o leitor de impressão digital tem de identificar e autenticar rapidamente qualquer tipo de dedo, ainda que a mão esteja molhada, suja de graxa ou óleo, machucada, desgastada pelo tempo ou pela atividade exercida pelo correntista. Esse também é um diferencial da tecnologia de imagem multiespectral, por isso também costuma ser empregada em áreas abertas de aeroportos e terminais rodoviários”.

Na opinião do executivo da HID Biometrics, nenhum sistema é 100% seguro por muito tempo. Por isso, outra virtude da tecnologia biométrica de imagem multiespectral é ser capaz de atuar em conjunto com outros dispositivos de segurança. “O importante é sua capacidade de modificar, atualizar e responder a novas vulnerabilidades e ameaças, atualizando o nível de segurança e se provando um investimento de longo do tempo”.

Fonte: Risk Report

Hackers publicam anúncios de Viagra no site do grupo terrorista Isis

Grupo dissidente do Anonymous chamado Ghost Sec também publicou um comunicado na página dos terroristas

viagra

O grupo dissidente do Anonymous chamado Ghost Sec invadiu um fórum do Estado Islâmico na dark web e substituiu um fórum de conteúdo terrorista por anúncios de Viagra.

De acordo com reportagem do The Guardian, o site do grupo terrorista teria sido criado recentemente usando o Tor, em resposta aos ataques do Anonymous que derrubaram centenas de páginas do EI na web.

Além do anúncio do remédio, os hackers publicaram um comunicado no site. “Estados Islâmico demais. Melhore a sua calma. Muitas pessoas estão entrando nesse lance do Isis. Olhem atentamente esse anúncio para que possamos melhorar nossa infraestrutura para te dar conteúdo sobre Isis que vocês tanto querem”.

Vale lembrar que o Anonymous declarou guerra contra o Estado Islâmico na ultima semana, após os ataques do grupo terrorista em Paris que deixaram pelo menos 130 mortos e dezenas de feriados.

Fonte: Computer World

Ataques Ramsomware vão crescer mais de 300% a partir da Black Friday

A temporada de compras de fim de ano está prestes a começar, e a expectativa do mercado é de que as compras online continuarão a desempenhar um papel importante nas vendas. Mas, embora a Black Friday e a Cyber Monday sejam, geralmente, vistas como o início da temporada de compras de fim de ano, os especialistas em segurança da F-Secure alertam que os criminosos podem executar campanhas de ransomware e malware durante todo o mês de dezembro, e não somente nos dias com o maior volume de vendas.

“A Cyber Monday é apenas a ponta do iceberg das compras de fim de ano. Os criminosos estão à espreita das pessoas 365 dias por ano, mas os ataques se tornam mais constantes durante o fim do ano, porque mais pessoas fazem compras online. A Cyber Monday não é mais nem menos segura do que qualquer outro dia do ano. Ainda assim, as pessoas devem se conscientizar de que sites poluídos de anúncios pode resultar em surpresas desagradáveis”, diz Sean Sullivan, F-Secure Security Advisor.

O ransomware é um software malicioso que permite ao criminoso impedir o acesso ao computador da vítima até que ela pague um “resgate”. A F-Secure Labs observou um significativo aumento das detecções de diversas famílias de ransomware entre novembro e dezembro de 2014, incluindo um aumento de aproximadamente 300% da família Browlock de ransomware, destacada como uma das dez maiores ameaças no mais recente relatório de ameaças da F-Secure.

O Browlock é um subconjunto de ransomware que os pesquisadores denominam “ransomware policial”, pois ele impede o acesso aos computadores das pessoas usando uma tela de bloqueio que alega agir em nome da lei. As detecções de ransomware policial aumentam significativamente antes e depois do fim de ano, mas os demais tipos de ransomware seguem outras tendências, em conformidade com a diferença de infraestrutura por trás deles.

O subconjunto Cryptowall, que utiliza técnicas de criptografia para bloquear o acesso a conteúdos como imagens e documentos, usa agentes humanos para ajudar as vítimas a completarem seus pagamentos e desbloquear seus dispositivos. Apesar de ter pouca incidência, é mais um perigo a ser considerado durante o fim de ano. Segundo Sullivan, a atividade do Cryptowall sofreu uma queda repentina no início de janeiro do ano passado, indicando que as pessoas que executavam campanhas de Cryptowall durante a temporada de fim de ano estavam, muito provavelmente, saindo de férias.

“O ransomware policial usa muito mais automação do que as famílias que realmente criptografam dados; vale destacar que a maioria dessas famílias de ramsonware não desbloqueia os dispositivos após a vítima pagar”, comenta Sullivan. “Mas o Cryptowall e famílias semelhantes empregam pessoas em call centers para ajudar as vítimas a fazerem seus pagamentos, e essas pessoas tiram férias como todas as outras. No ano passado, o Cryptowall encerrou as operações por volta de 6 de janeiro – o Natal na Rússia; por isso, muito provavelmente elas estavam gastando o dinheiro que arrecadaram em dezembro para as suas próprias férias.”

Três dicas para compras online seguras neste fim de ano

Qualquer pessoa infectada com o Browlock ou outro ransomware policial pode consultar o F-Secure Labs’ removal guide (Guia de remoção da F-Secure Labs) para saber como remover o malware sem ter de pagar o resgate. Mas, ainda assim, a melhor defesa é que as pessoas evitem se expor a ameaças. Há algumas maneiras para minimizar os riscos ao fazer compras online.

1.Usar um iPad ou outro dispositivo móvel: Embora os dispositivos móveis sejam tão populares quanto os PCs, a maior parte do malware é projetada para comprometer PCs baseados em Windows; por isso, usar um dispositivo móvel para navegar nas ofertas de fim de ano pode minimizar os riscos. Sullivan diz que usa um iPad com o F-Secure Freedome para verificar as ofertas de fim de ano e obter ideias de presentes.

2.Fazer transações financeiras com um PC seguro: “Dispositivos móveis são muito convenientes, mas isso não os torna mais seguros”, diz Sullivan. Muitas pessoas têm, em seus dispositivos móveis, apps com permissões confusas ou invasivas; alguns até salvam dados em serviços de armazenamento na nuvem sem o conhecimento das pessoas. Embora a maioria das ameaças de malware funcione em Windows, os PCs tradicionais oferecem às pessoas mais maneiras de gerenciar as configurações que controlam as informações armazenadas, o que é importante quando se utiliza cartão de crédito ou informações bancárias online.

3. Cuidado com clickbait: Propagandas maliciosas são uma maneira comum de fazer um download acidental de malware ou de entrar em websites maliciosos; por isso, pense antes de clicar em qualquer propaganda ou oferta por e-mail que pareça boa demais para ser verdade.

Fonte: Convergencia Digital