Page

Category Segurança Cibernética

Como os CISOs podem manter a privacidade corporativa mesmo com a adoção de tecnologias emergentes

Por Derek Manky, Estrategista de Segurança Global da Fortinet

A força de trabalho atual tem cada vez mais pessoas da geração do milênio e outras com alto conhecimento de tecnologia, acostumadas a usar a tecnologia para tudo na vida. Com o surgimento de novas tecnologias, esse grupo de funcionários espera ter uma experiência de usuário perfeita em todos os dispositivos e locais, usando aplicativos e dispositivos pessoais no trabalho e vice-versa. Porém, muitas vezes esses funcionários não levam em conta os riscos digitais que acompanham a adoção de novas tecnologias no ambiente corporativo. Com isso, os desafios de segurança se tornaram um grande problema para os CISOs (diretores de segurança da informação).

Além de proteger o perímetro de rede, monitorar a inteligência de ameaças e exercer outras responsabilidades diárias necessárias para impedir que os cibercriminosos acessem a rede por meio de ameaças de dia zero e outras vulnerabilidades, os CISOs agora também devem avaliar todas as formas utilizadas pelos cibercriminosos para explorar as ferramentas e os comportamentos dos funcionários e obter acesso à rede.

Manter a privacidade e segurança com a adoção de tecnologias emergentes

Em particular, existem cinco tecnologias, tendências e comportamentos comuns e emergentes aos quais os CISOs devem dedicar mais atenção:

1. Senhas repetidas

As pessoas geralmente têm contas em diferentes plataformas e aplicativos e muitas vezes repetem as senhas de acesso nessas contas pessoais ou corporativas. Este é um problema que precisa ser discutido. Se uma conta for invadida, os cibercriminosos podem aproveitar a senha repetida e acessar outras contas. O problema se agrava principalmente na nuvem, pois se a mesma senha for usada em todas as contas na nuvem, então, quando uma conta for invadida, todas as outras também serão.

Para combater isso, as equipes de segurança devem promover o uso de senhas diferentes, principalmente em contas corporativas, e ao mesmo tempo limitar o acesso às áreas da rede que o funcionário não precisa acessar. Isso pode ser feito com soluções de gerenciamento de identidade e acesso que utilizam autenticação de dois fatores, software de gerenciamento de senhas para que os usuários adotem senhas mais sofisticadas sem perdê-las e firewalls de segmentação interna que restringem o acesso a partes confidenciais da rede.

2. Shadow IT (TI invisível)

Quando os funcionários usam uma tecnologia não analisada pelas equipes de TI, isso pode levar a vazamentos de dados, vulnerabilidades e não conformidade, como resultado da transferência de informações corporativas confidenciais para programas e redes não aprovados. Os CISOs e as equipes de segurança devem saber, o tempo todo, quais dispositivos e aplicativos estão sendo usados na rede. O uso de proteção dos dispositivos de usuários e firewalls de aplicativos da web permite que as equipes de segurança minimizem o risco causado por esses funcionários, descobrindo quais dispositivos de usuários e aplicativos na rede e, em seguida, identificando e segmentando os que estão em risco.

3. Conexões remotas

O trabalho remoto está cada vez mais comum, com os funcionários se conectando por meio da rede residencial, de lanchonetes ou no trânsito. Embora isso possa ajudar a aumentar a produtividade e a eficiência, os CISOs devem ter certeza de que esses dispositivos estão se conectando a pontos de acesso seguros. Durante o uso de uma rede de WIFI pública, os cibercriminosos podem interceptar dados que estão sendo transferidos ou executados entre o usuário final e a empresa. Os CISOs podem minimizar esse risco, incentivando o uso de VPNs e adotando soluções de gerenciamento de rede sem fio.

4. Golpes por e-mail e phishing

Esses golpes não são novos, mas ainda são uma das formas mais comuns de ciberataques, já que quase todos usam e-mails regularmente. No caso de phishing, o usuário recebe um e-mail de uma fonte aparentemente confiável, por ex. do banco, de um colega de trabalho etc. Esse tipo de e-mail geralmente pede que o usuário envie seus dados de acesso ou pedem para clicar em um link, o que resulta em roubo de senha e/ou download de malware que infecta o dispositivo. Para minimizar as chances de um ataque de phishing causar danos na rede, os CISOs devem implementar controles, como gateway de e-mail seguro.

5. Redes sociais

As contas em redes sociais são uma forma comum utilizada pelos cibercriminosos para o envio de links maliciosos ou coleta de dados pessoais que podem ser usados para criar ataques mais direcionados. Os CISOs devem implementar uma forte política de rede social e alertar os funcionários para que não aceitem solicitações de amizade e mensagens de estranhos, principalmente se tiverem que clicar em um link enquanto conectados à rede corporativa. As equipes de segurança devem garantir a adoção de soluções de antimalware e firewall. Além disso, devem treinar os funcionários para que possam reconhecer esquemas de engenharia social que tentam roubar seus dados de acesso à rede e conta corporativa.

Os CISOs geralmente já possuem muitas das ferramentas necessárias para minimizar o risco dessas tendências, porém é importante usá-las de maneira unificada, ao invés de adotar soluções isoladas e distintas. A integração e automação entre gateways de e-mail seguros, firewalls, proteções de dispositivos de usuários, WAFs, gerenciamento de acesso e outros recursos fornecem uma visão holística da atividade em toda a rede, permitindo que as equipes detectem rapidamente comportamentos estranhos e respondam de maneira coordenada e holística.

As tecnologias adotadas pelos funcionários e trazidas para a rede corporativa estão deixando as equipes de segurança e os CISOs alertas em termos de proteção da rede. Essas tecnologias emergentes exigem a adoção de novas soluções e processos para impedir que comportamentos aparentemente inofensivos acabem comprometendo a rede com violações de dados. Para isso, é importante estar por dentro das tendências de tecnologias emergentes e implementar soluções de segurança integradas para minimizar os riscos.

Atos reúne mais de 300 especialistas e parceiros para discutir computação quântica, segurança cibernética e Blockchain

A Comunidade de Especialistas da Atos se reuniu em Madri para sua Convenção Anual, juntamente com alguns parceiros mundiais, como Google Cloud, Intel, Cisco, Hitachi Vantara, Oracle, DellEMC, VMWare, RedHat e Gigamon. A Atos recebeu três novos parceiros este ano, as startups Blueprism, IDQuantique e RegData. O evento é uma oportunidade para a comunidade mapear o roteiro para futuras atividades, compartilhar progressos e melhores práticas, aumentar o conhecimento sobre tecnologias futuras – como aquelas compartilhadas por parceiros – e refortalecer suas redes.

A Comunidade de Especialistas da Atos, lançada em 2017, é uma rede de mais de 2.100 líderes de opinião que atuam em todos os setores do grupo, desde infraestrutura e quântica até ambientes de trabalho digital. Os especialistas ajudam a orientar a estratégia de negócios da Atos e a construir seu roteiro tecnológico, além de contribuir para o desenvolvimento de tecnologias inovadoras, como computação quântica, segurança cibernética e Blockchain.

Em apenas dois anos, a Comunidade de Especialistas expandiu-se consideravelmente. “A especialização é um fator chave para o sucesso, desempenho e diferenciação em nosso mercado. Ao fornecer aos nossos especialistas um ambiente favorável e estimulante, incentivamos a inovação, aprimoramos a capacidade de P&D e disseminamos o conhecimento especializado”, explica Philippe Vannier, Consultor de Tecnologia do Grupo Atos.

Com a ajuda de um investimento de mais de 250 milhões de euros em Pesquisa & Desenvolvimento no ano passado, a Atos planeja desenvolver ainda mais sua experiência científica e técnica, além de enriquecer sua cultura técnica por meio do compartilhamento e disseminação de conhecimentos em toda a organização

Tags, , , , ,

É possível diminuir os riscos de fraude das urnas eletrônicas?

Por Matheus Jacyntho

Estamos em ano de eleições para a presidência da república, período em que percebemos com mais ênfase o cenário de acirramento político que vem desde o pleito de 2014. Após a última eleição, quando a diferença entre os candidatos foi relativamente pequena, alguns setores da sociedade questionaram a legitimidade e a segurança das urnas eletrônicas utilizadas no processo eleitoral.

O Tribunal Superior Eleitoral (TSE) realiza, desde 2009, Testes Públicos de Segurança do Sistema Eletrônico de Votação (Urnas Eletrônicas), porém em um ambiente muito controlado, de difícil utilização de ferramentas e com prazo limitado para conclusão. Ainda assim, os participantes dos testes conseguiram identificar vulnerabilidades que possibilitariam a um atacante fraudar uma eleição[1].

Para reduzir os riscos de fraude, o TSE recomendou a inserção de um processo de auditoria do Sistema Eletrônico por meio da impressão do voto. Assim, o eleitor conseguiria verificar se o voto impresso corresponde ao realizado na urna e a impressão cairia automaticamente em um compartimento lacrado sem intervenção humana. Caso alguma suspeita de fraude fosse levantada, seria possível recontar os votos impressos e conferir com o boletim da Urna enviado ao TSE.

A discussão sobre a adoção do voto impresso chegou até o Supremo Tribunal Federal (STF), que decidiu que a versão impressa viola a garantia constitucional do segredo do voto, já que seria possível identificar o eleitor. Por fim, o Tribunal afirmou que estudos constataram o custo relativamente mais alto do voto impresso por eleitor.[2]

Sendo assim, em curto prazo, para as eleições de 2018, não será possível implementar a auditoria do voto eletrônico a partir de sua impressão. Talvez nem mesmo em cenário de médio prazo será possível. É importante ressaltar que este controle é considerado reativo, ou seja, caso seja comprovada uma fraude pela auditoria do voto impresso, teremos impactos, por exemplo, na política e economia, visto que seria necessária uma nova eleição.

Quando comparamos esse processo a outros setores, podemos analisar os testes realizados pelos bancos em suas aplicações de Internet Banking. Estes sistemas são testados praticamente de forma ininterrupta, provendo um alto nível de segurança da informação. Caso alguma vulnerabilidade seja implementada involuntariamente em ambiente de produção, é bem provável que os testes internos identifiquem a falha antes que um atacante externo consiga explorá-la.

Partindo da premissa que não existem sistemas 100% seguros e que a auditoria pelo voto impresso não está autorizada, é razoável considerar uma mudança no foco da segurança do voto eletrônico para a realização de mais testes periódicos do Sistema Eletrônico de Votação e da flexibilização do modo como os atuais testes são permitidos.

Os pesquisadores ou empresas contratadas poderiam ter acesso às Urnas Eletrônicas por mais tempo e condições para elaborar testes mais precisos e direcionados para o ambiente do Sistema Eletrônico de Votação. Desta maneira, seria possível identificar proativamente as vulnerabilidades, bem como o TSE providenciar as correções necessárias e os pesquisadores testarem novamente para comprovar que a remediação foi efetiva.

Portanto, na contramão do atual cenário que preconiza a adoção do voto impresso, a realização de mais testes periódicos e de maior duração, poderia diminuir significativamente o risco de fraudes no Sistema Eletrônico de Votação.

Matheus Jacyntho, gerente da área de cybersecurity da Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.

[1] http://www.researchgate.net/publication/323470546?channel=doi&linkId=5a9761de0f7e9ba42974d0c9&showFulltext=true

2 Portal do STF – http://www2.stf.jus.br/portalStfInternacional/cms/destaquesNewsletter.php?sigla=newsletterPortalInternacionalJurisprudencia&idConteudo=291605

Tags, , , , , , ,

Gartner mostra como executivos conseguem manter seus empregos após ciberataques

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, divulga os motivos porque muitos CEOs serão demitidos por causa de ciberataques e como eles podem se manter em seus cargos.

“Tendências no âmbito regulatório indicam um aumento da responsabilidade para conselhos de administração e executivos na comunicação e prevenção de ciberataques”, diz Tom Scholtz, Vice-Presidente de Pesquisa do Gartner. “Embora você não possa controlar a ocorrência de ataques, é possível supervisionar o nível de preparo das organizações para responder e enfrentar a tempestade”, afirma o analista. “Fomente o engajamento de seus executivos – o risco é deles.”

Segundo o Gartner, o roubo de dados privados de 143 de milhões de norte-americanos fez do caso envolvendo o ciberataque da Equifax um dos maiores da história. A maneira como a companhia lidou com a situação foi acompanhada de diversas análises, resultando na saída do CEO Richard Smith em meio à crise, em 2017. Trata-se de um sério lembrete para qualquer CEO dos perigos envolvidos na violação de dados, diz o especialista.

Para o Gartner, muitos CEOs serão demitidos por causa de ciberataques. Vejas sete razões das demissões de altos executivos por erros de segurança, e como eles devem fazer para manter seus cargos:

1. Responsabilidade fragmentada – Mais CEOs serão tidos como os “responsáveis”. Sem um bom esforço de engajamento contra os risco não há como responsabilizar – “Eu apenas fiz o que o pessoal da segurança me mandou fazer”. Ofereça aos seus executivos condições para decisões adequadas, não proteção. Modelos fortemente baseados em responsabilidade, nos quais os riscos estão a cargo de quem tem autoridade para cuidar deles, garantem que problemas de segurança não se agravem.

2. Desconexão cultural – Muitos Conselhos de Administração acreditam que cibersegurança é um problema técnico resolvido por pessoas técnicas, escondidas em TI. Ao contratar as pessoas certas com conhecimento técnico, é possível diminuir as chances de ser atacado e manter distância das manchetes.

3. Servidor que nunca sofre correções – Embora haja uma legítima razão corporativa, muitas organizações possuem servidores completos sem nunca terem sido atualizados ou corrigidos. Decisões de negócios conscientes precisam ser tomadas levando em consideração o que será feito, mas, mais importante, o que não será feito para se proteger.

4. Seu executivo de segurança é o defensor da sua organização – Equipes de segurança são contratadas por serem especialistas e seu trabalho é proteger a organização. Esses silos são a questão, colocar pessoas na função de proteger os resultados de negócios que não entendem. Fomente o engajamento de seus executivos – esse é o risco deles.

5. Jogar dinheiro no problema – Você não pode comprar sua saída – você ainda não estará perfeitamente protegido. Evite resultados negativamente impactantes devido a elevação de custos operacionais existentes prejudicar potencialmente a habilidade de a organização funcionar.

6. Tolerância ao risco e apetite brando – Organizações criam declarações genéricas de alto nível sobre seu apetite por risco que não suportam a tomada de boas decisões. Evite prometer para apenas engajar em atividades de baixo risco. Essa prática é contrária aos bons negócios e cria outras boas razões para demissão se você está envolvido em atividades de risco.

7. Pressão social – Culpar uma organização por sofrer um ataque de hacker é como culpar um banco por ser roubado. A diferença é que bancos são defensáveis – a maior parte das organizações não é. O primeiro passo para se recuperar é admitir que você tem um problema. Suas ações reforçam como as pessoas percebem a dificuldade. “CEOs precisam redefinir a maneira como lidam com risco e segurança para evitar serem demitidos”, acrescenta Scholtz. “O propósito do programa de segurança é criar um equilíbrio entre a necessidade de proteger e a exigência de conduzir os negócios”, diz o especialista do Gartner.

Tags, , , , , , ,

A evolução da segurança na nuvem em meio à transformação digital

Por Ghassan Dreibi, Diretor de Cibersegurança da Cisco do Brasil

O processo de transformação digital é um caminho sem volta. Se em nossas vidas privadas já somos pessoas completamente digitais, sempre conectadas por meio de nossos smartphones, tablets e até mesmo TVs, nas empresas este processo demanda mais tempo, investimento e, principalmente, precauções. Conforme a transição da estrutura de uma empresa para um ambiente conectado se acelera, mais necessária se torna a criação de uma arquitetura de segurança capaz de proteger dados próprios e de clientes.

O lado positivo disso é que boa parte da infraestrutura demandada pela maioria das empresas, sejam pequenas, médias ou grandes, já está à disposição em serviços de nuvem para redes corporativas. Nenhum sistema é perfeito e o escopo de brechas se expande cada vez mais, mas a proteção que é fornecida por serviços de nuvem corporativa tem tornado esta transição inevitável para companhias por conta de um fator fundamental: evolução constante, acompanhando transformações cada vez mais rápidas e impactantes em ambientes virtuais, se contrapondo a ameaças que evoluem na mesma velocidade.

Segundo dados do Relatório Anual de Cibersegurança da Cisco, divulgado em fevereiro deste ano, 27% dos profissionais de segurança disseram que estão usando nuvens privadas off-premises, em comparação com 20% em 2016. Dentre eles, 57% disseram que hospedam redes na nuvem pelo motivo de uma segurança de dados melhor; 48%, devido à escalabilidade; e 46%, por causa da facilidade de uso. A razão por conta desta tendência pode ser vista em outro dado. De acordo com os entrevistados no relatório, mais da metade de todos os ataques sofridos resultaram em danos financeiros superiores à U$ 500.000.

Os desafios, contudo, continuam a aumentar. A quantidade de dispositivos acessando redes corporativas cresce a cada dia. Se antes elas estavam restritas ao ambiente físico das empresas e seus desktops, hoje estes cenários parecem uma antiguidade. Smartphones e tablets transformam qualquer ambiente com uma conexão Wi-Fi em um local de trabalho e, muitas vezes, esta conexão não é segura. Lugares como aeroportos, cafés e hotéis trazem comodidade, mas podem comprometer a segurança de uma rede. Isto ocorre, pois é cada vez mais difícil proteger dispositivos individualmente. Quando estes endpoints são contaminadas por meio de uma conexão insegura ou por falha ou brecha em uma senha pessoal, elas podem colocar em risco toda a rede corporativa.

Os avanços para solucionar estas brechas têm acontecido na nuvem. Novas soluções estão sendo desenvolvidas, e algumas já estão em prática. Serviços de nuvem já conseguem detectar dispositivos vazados, permitindo ou não seu acesso a redes corporativas e evitando assim uma contaminação geral do ambiente. Há ainda outras que fazem o threat hunting (caça de ameaças) e eliminação do problema de forma autônoma e rápida, o que minimiza os danos da forma mais eficiente possível. A Cisco, por exemplo, registrou um TTD (tempo de detecção) de ameaças de 4,6 horas no período entre novembro de 2016 e outubro de 2017. Em 2015, este tempo era de 39 horas. A evolução só foi possível através do uso de tecnologia de segurança baseada em nuvem.

Mesmo que o investimento para migrar a estrutura de segurança de uma empresa para um serviço de nuvem confiável e eficaz pode parecer custoso em um primeiro momento, o retorno é cada vez mais certo, não só em relação a perdas financeiras, mas também garantindo a privacidade dos dados de funcionários e clientes. Com soluções mais completas e rápidas na detecção e contenção de ameaças, agora cabe às empresas se educarem e buscarem as alternativas que melhor se adaptem aos seus negócios, qualquer que seja sua área de atuação.

Tags, , , , , ,

A proteção dos dados pessoais é o dever por trás da criptografia

A Câmara Brasileira de Comércio Eletrônico (camara-e.net) pretende iniciar, ainda este ano, um fórum permanente sobre “A segurança do cidadão na era digital”. Serão realizados seminários e palestras presenciais e digitais para disseminar a importância da assinatura digital, proteção de dados, respeito à privacidade e direito à proteção das informações pessoais. As conferências com especialistas da entidade e convidados serão divulgadas com antecedência e disponibilizadas no site da entidade e no Youtube. A camara-e.net pretende produzir filmes educativos para divulgação nas redes sociais. O objetivo da iniciativa é atingir o maior número de pessoas. A assinatura digital e a proteção de dados são assuntos de segurança nacional, que interessam a todos, tanto ao cidadão diretamente quanto às instâncias de segurança e inteligência do País.

Segundo o presidente da camara-e.net, Leonardo Palhares, um dos projetos prioritários da entidade é disseminar junto aos brasileiros a “cultura da cidadania digital”. Palhares considera fundamental que todos saibam que o compartilhamento, empréstimo, guarda ou qualquer forma de utilização das chaves privadas de certificados digitais por terceiros devem ser vedados. Tratam-se de formas que expõem os seus titulares aos riscos de utilização indevida, contratações e acessos não autorizados, podendo gerar prejuízos de ordem patrimonial e extrapatrimonial e, por fim, quebrar os requisitos mínimos necessários para suportar toda a criptografia e tecnologia empenhadas no processo de geração dos certificados digitais: o segredo e o controle das chaves privadas.

De acordo com Leonardo Palhares, “a identificação inequívoca de pessoas físicas ou jurídicas nas transações eletrônicas, tanto para os contratantes quanto para os contratados, se faz imprescindível para a confiabilidade de uma relação estabelecida em meio remoto. Como exemplo, cite-se que os consumidores se sentem muito mais confortáveis em contratar serviços e produtos de plataformas eletrônicas devidamente identificadas, com mecanismos de contato disponíveis para soluções de problemas e outras tantas informações necessárias para a segurança de uma contratação eletrônica. Portanto, o emprego de assinaturas digitais com certificação digital nos padrões da ICP-Brasil é um importante aliado para a confiabilidade mútua dos contratantes em meio remoto”.

Com o fórum permanente “A segurança do cidadão na era digital”, a camara-e.net objetiva construir uma cultura de cidadania digital. Percebe-se que há pouco conhecimento sobre os efeitos do uso do certificado digital e, principalmente, sobre a relevância da proteção de dados. No Brasil, dado pessoal é aquele “relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa” (Decreto nº 8.771, de 11 de maio de 2016). Logo, uma imensidão de dados pode ser considerada pessoal, desde que permita sua correlação a uma pessoa, sendo, portanto, objeto de proteção por parte daqueles que venham a utilizá-la. A identificação de uma pessoa pode se dar mediante apresentação de documentos de identificação civil, dados cadastrais, informações pessoais, características físicas, biométricas, estéticas ou até mesmo de opiniões. Em meio eletrônico, uma boa parte de dados pessoais são fornecidos voluntariamente pelas pessoas, como contrapartida para um serviço ou produto oferecido ou como mecanismo de atribuição de segurança às transações realizadas em meio eletrônico.

As assinaturas digitais (ou certificação digital) nos padrões da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil (instituída pela Medida Provisória nº 2.200-2/2001), são baseadas em chaves criptográficas (chaves públicas – de conhecimento público – e chave privada – de conhecimento e acesso exclusivos do cidadão), de modo que a chave privada, para que os atributos de integridade e autenticidade sejam garantidos, deve ser gerada e controlada exclusivamente por seus titulares. Portanto, a segurança das transações eletrônicas que se utilizam dos certificados digitais depende da manutenção dos atributos mínimos garantidores do não repúdio das assinaturas digitais. Estas, uma vez associadas a dados de identificação de pessoas físicas (ou jurídicas, muito embora as discussões sobre privacidade estejam atreladas às pessoas naturais) passam a ser enquadradas como dados pessoais e, por isto, merecem proteção absoluta, iniciando-se pela guarda, posse e uso exclusivo das mesmas por parte de seu titular.

A camara-e.net participa ativamente das discussões sobre proteção de dados no âmbito do Legislativo para regulamentação das medidas voltadas a proteção do cidadão. A garantia da privacidade e da autoria de atos eletrônicos dos cidadãos está sob avaliação do Congresso Nacional, que atualmente analisa o projeto de lei nº 7.316/2002. O novo regulamento visa substituição da Medida Provisória que instituiu a ICP-Brasil. A entidade considera que, sem prejuízo à apresentação de emendas que visam a defesa do cidadão compete à sociedade e aos parlamentares repisarem a importância do livre arbítrio sob controle dos seus titulares e jamais sob controle de terceiros. A criptografia, a chave privada e a segurança do cidadão em meio eletrônico dependem de sua manutenção no controle de seus atos e de sua vontade. Sem controle e guarda exclusivos das chaves privadas, não há proteção do cidadão contra as interferências de terceiros, de empresas e do Estado.

A camara-e.net vem se posicionando no âmbito do órgão regulador da ICP-Brasil, do qual participa como integrante do colegiado há mais de 10 anos. A entidade, que é a maior associação multissetorial da América Latina e com maior representatividade na economia digital no País, vem reiterando em seus votos, estudos e fundamentações a imprescindibilidade do controle e guarda exclusiva das chaves privadas por seus titulares, buscando a mais rigorosa e estrita confiabilidade das transações eletrônicas e da segurança técnica e jurídica dos titulares de certificados digitais da ICP-Brasil.

Tags, , , , ,

Consumidores devem reforçar a segurança de suas contas bancárias

Há poucas semanas, autoridades oficiais no México alertaram os bancos para que reforçassem seus sistemas de segurança, diante de potenciais ataques cibernéticos no setor financeiro. No entanto, esses ataques nem sempre miram os bancos, mas têm como foco seus clientes. Por isso, a Avast (LSE: AVST), líder global em produtos de segurança digital, alerta para que os consumidores de todo o mundo – inclusive do Brasil –, fortaleçam seus hábitos online para garantir que seu dinheiro esteja protegido contra possíveis ciberataques.

Os cibercriminosos têm como alvo os consumidores porque sabem que a maioria das pessoas armazena informações confidenciais em seus dispositivos, além de usar smartphones e computadores para realizar compras e transações bancárias online. Os cibercriminosos também sabem que os usuários são um elo fraco e muitas vezes desconhecem as práticas recomendadas de segurança. Luis Corrons, Evangelista em Segurança da Avast, traz dicas importantes sobre a melhor maneira dos consumidores combaterem os cibercriminosos.

Atenção para Trojans bancários em dispositivos móveis

Trojans bancários em dispositivos móveis estão em ascensão. São aplicativos que tentam enganar o usuário a fornecer os seus dados bancários, fingindo ser um aplicativo bancário legítimo. Geralmente, imitam a tela de login ou oferecem uma tela de login genérica, com o logotipo do respectivo banco.

Recentemente a Avast realizou uma pesquisa, pedindo que os consumidores comparassem a autenticidade de interfaces de aplicativos bancários oficiais e fraudulentos. No Brasil, os resultados revelaram que 68% dos entrevistados foram capazes de detectar a interface fraudulenta, enquanto 30% confundiram a falsa com a verdadeira. Estes resultados são alarmantes e mostram que os consumidores podem facilmente ser vítimas de Trojans bancários.

“Estamos observando um aumento constante do número de aplicativos maliciosos para dispositivos Android, capazes de contornar as verificações de segurança em lojas de aplicativos populares e atingir os smartphones dos consumidores. Esses aplicativos geralmente se apresentam como apps de jogos e de estilo de vida, utilizando táticas de engenharia social para enganar os usuários a fazer o download”.

“Os consumidores podem confiar em lojas de apps como o Google Play e a App Store da Apple, para fazer o download com frequência de aplicativos bancários. No entanto, é recomendado uma vigilância extra. Os usuários devem confirmar se o aplicativo bancário que utilizam, é a versão verificada. Caso a interface pareça ser estranha ou estar fora do lugar, é preciso fazer uma nova verificação com a equipe de atendimento ao cliente do banco. Também é importante que os usuários utilizem a autenticação de dois fatores, se disponível, além de terem um antivírus forte para Android instalado, para detectar e protegê-los contra malwares maliciosos”, disse Luis Corrons.

Evitando armadilhas de phishing

Os usuários precisam ainda estar atentos ao phishing, que é uma técnica de engenharia social usada por cibercriminosos para enganar as pessoas a fornecer informações confidenciais, como detalhes do cartão de crédito e credenciais de login. Os golpes de phishing geralmente vêm na forma de email, criado para parecer que veio de uma fonte legítima, dificultando o reconhecimento e incluindo um link ou anexo. Links em e-mails de phishing direcionam o usuário para sites maliciosos, quase idênticos ao site que imitam e pedem às pessoas que insiram suas informações pessoais.

“Os anexos em e-mails de phishing ou o uso de engenharia social são utilizados, por exemplo, para ajustar as configurações a fazer o download do malware. Se um e-mail que afirma ser de uma instituição bancária pareça suspeito, pode ser uma tentativa de phishing. Neste caso, os usuários devem verificar diretamente com o banco a sua legitimidade, para garantir que o e-mail seja realmente da instituição financeira”, disse Luis Corrons.

Senhas são a chave do cofre

Usar senhas fortes e exclusivas para cada conta online, e alterá-las regularmente são medidas importante que devem ser adotadas pelos usuários para que mantenham seguras suas contas online, especialmente as contas bancárias.

“Recomendamos o uso de um gerenciador de senhas, como o Avast Passwords, já que a maioria dos usuários pode ter mais de 20 contas online, dificultando a criação e o registro de senhas fortes, bem como exclusivas para cada uma delas”, disse Luis Corrons.

Os gerenciadores fazem uso de criptografia e geram senhas altamente seguras para todas as contas. Isso não significa que os usuários não precisem se lembrar de senhas longas, mas podem alterá-las facilmente com frequência. Alterar as senhas das contas regularmente é extremamente importante, já que as violações de dados nem sempre são detectadas de imediato pelas empresas, o que significa que os cibercriminosos podem colocar as mãos nas credenciais de login sem que ninguém perceba e, assim, comecem a cometer fraudes.

Instalando uma rede de segurança

A instalação de um programa antivírus é obrigatório em qualquer dispositivo, seja um Mac, Windows ou Android. O Antivírus protege os usuários contra uma infinidade de ameaças, incluindo spyware, ransomware, keyloggers e Trojans.

“Independentemente de quão cuidadosas as pessoas sejam, os cibercriminosos estão sempre descobrindo novas maneiras de entrar nas contas dos usuários. O antivírus atua como uma rede de segurança, protegendo em segundo plano e em todos os momentos até mesmo os usuários mais cautelosos, para que possam utilizar seus dispositivos sem preocupações”.

Mantenha o banco online em seus próprios dispositivos

“Os usuários nunca devem realizar transações financeiras de um computador ou de um dispositivo móvel que não pertença a eles, já que nunca pode-se saber com certeza quem o utilizou pela última vez e que tipo de software está sendo executado no dispositivo. O mesmo vale para as redes Wi-Fi. É extremamente necessário usar uma VPN para realizar transações financeiras, quando o usuário está conectado com redes Wi-Fi públicas. Sem uma VPN, os cibercriminosos podem espiar suas atividades”.

Avast Antivirus e Avast SecureLine VPN para PC, Mac, iOS e Android podem ser baixados em www.avast.com/pt-br

Tags, , , , ,

ClearSale divulga dados inéditos sobre tentativas de fraude no mercado de aparelhos móveis

A ClearSale, empresa líder em soluções antifraude, divulgou um recorte inédito sobre os setores mais visados pelos fraudadores a partir do Mapa da Fraude, estudo elaborado pela empresa que contempla informações sobre tentativas de fraude no e-commerce brasileiro.

Um dos grandes desafios do lojista é identificar e diminuir as fraudes, impulsionando as boas compras e gerando relações de confiança com seus clientes. No último ano, a cada R$100 em compras online de celulares, R$9,47 foram tentativas de fraude, sendo este o setor mais visado pelos fraudadores. Enquanto isso, o mercado de smartphones segue em alta. Segundo estudo realizado pela Gartner, cerca de 1,9 bilhão de smartphones devem chegar aos consumidores em 2018, um crescimento de 1,6% em comparação com 2017.

A prevenção é uma das melhores alternativas para gerar mais confiança entre empresa e consumidor e prevenir atividades fraudulentas. “O fraudador se interessa por produtos de fácil revenda no mercado negro. Por isso, é necessário que, além dos varejistas, o consumidor também tome as devidas precauções para se prevenir de fraudes como, por exemplo, evitar compartilhar informações sensíveis como o número do cartão de crédito e dados pessoais.”, diz Omar Jarouche, gerente de Inteligência Estatística da ClearSale.

Uma das alternativas para a prevenção a fraude é o aplicativo Compre & Confie, iniciativa idealizada pela ClearSale que tem como objetivo consolidar um processo de compra seguro – evitando golpes e, ao mesmo tempo, proporcionando uma boa experiência de compra para consumidores.

Para saber mais sobre as tentativas de fraude que aconteceram no Brasil em 2017 acesse http://lp.br.clear.sale/mapa-da-fraude

Tags, , , , , ,

Segurança deficiente nos roteadores está deixando os brasileiros vulneráveis a ataques cibernéticos

Nova pesquisa da Avast revela que 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores para alterar as credenciais de login de fábrica. Dos brasileiros que acessaram a interface administrativa web, 72% nunca atualizaram o firmware do roteador.

Os consumidores brasileiros, que têm uma segurança deficiente em seus roteadores, estão sob alto risco de ataques cibernéticos projetados para assumir o controle de dispositivos conectados à rede Wi-Fi, roubar senhas e coletar outras informações pessoais confidenciais. Uma nova pesquisa da Avast, líder mundial em segurança digital, revela que 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores para alterar as credenciais de login de fábrica. Outra constatação preocupante é que 14% dos brasileiros que usaram essa interface administrativa web, ainda mantêm as credenciais fornecidas com o roteador. Somente 42% dos brasileiros alteraram suas credenciais de login dos roteadores através da interface web. Além disso, dos brasileiros entrevistados que acessaram a interface administrativa web, 72% nunca atualizaram o firmware do roteador.

A pesquisa foi realizada para entender melhor o conhecimento do público com relação à segurança dos roteadores, que é frequentemente negligenciada quando as pessoas prestam mais atenção nos dispositivos que estão utilizando.

No início deste mês, cerca de 700.000 roteadores em todo o mundo foram diagnosticados como vulneráveis a um malware com recursos de decodificação SSL. Conhecido como VPNFilter, esse malware modular contém recursos de ataque MiTM (Man-in-The-Middle), criado para injetar cargas maliciosas no tráfego da internet. O malware tem a capacidade de escanear o tráfego web de entrada e saída na rede do usuário, com o objetivo de coletar senhas e outras informações confidenciais. Até hoje, roteadores de 54 países foram afetados, incluindo os modelos Linksys, NETGEAR, D-Link, Huawei e Asus.

Também foi relatado recentemente que a botnet Satori, uma botnet que infecta dispositivos IoT (Internet das Coisas) usando-os para realizar ataques DDoS e minerar criptomoedas, está se espalhando e explorando uma vulnerabilidade nos roteadores DSL da D-Link. O Brasil é atualmente o país mais afetado.

A pesquisa da Avast ilustra como os ataques podem tirar proveito da falta de compreensão das pessoas sobre a segurança dos roteadores. Exatamente metade dos consumidores brasileiros admitiu acessar a interface do roteador uma vez por ano ou menos, para verificar se há atualizações, enquanto um número similar (52%) disse que não tinha ideia de que seus roteadores tinham firmware – um software pré-programado, gravado em hardware que requer atualização para incorporar patches de segurança.

“Uma rede local do usuário é tão relevante e pode ser vista como o elo mais fraco de uma cadeia. Na maioria das vezes, o roteador é o maior ponto de vulnerabilidade”,disse Martin Hron, Pesquisador de Segurança da Avast.

“O roteador é freqüentemente mal compreendido ou ignorado, porém, é indiscutivelmente o dispositivo mais importante ao atuar como porta de entrada para a internet. Ao conectar vários dispositivos e permitir que compartilhem dados entre si, enquanto gerenciam o tráfego web de entrada e saída, o roteador é um alvo natural para cibercriminosos que desejam coletar informações pessoais confidenciais dos usuários, como detalhes de login do banco e explorar dispositivos conectados à rede como os de IoT. No mínimo, deve-se alterar o nome do usuário e a senha padrão de fábrica, assim que o roteador estiver instalado e verificar pró-ativamente se há atualizações de firmware”, finalizou.

Metodologia da pesquisa

A pesquisa foi realizada pela Avast em junho de 2018 e entrevistou 1.522 consumidores no Brasil.

Tags, , , , ,

Proteção de Dados: responsabilidade das empresas e de todo seu ecossistema de terceiros

A GDPR – General Data Protection Regulation eleva o grau de exigência sobre as empresas e todo seu ecossistema de terceiros, em relação às estruturas, políticas, procedimentos e controles que promovem a adequada proteção de dados em seus negócios. O eventual descumprimento das novas regras sujeita empresas e seus terceiros a pesadas multas e sanções.

Para mitigar riscos e promover o compliance sobre a proteção de dados nas empresas e seus terceiros, a ICTS Outsourcing incorporou em seu serviço de Due Diligence de Terceiros (3rd Party Compliance), já amplamente empregado com enfoque Anticorrupção, uma nova camada de verificação.

A condução de due diligences sobre Proteção de Dados de forma rigorosa e periódica é um importante elemento para um programa efetivo de compliance nas organizações, permitindo a identificação e o tratamento de riscos no relacionamento entre a empresa e seus diversos terceiros (parceiros de negócio, prestadores de serviços, fornecedores, representantes, etc). Adicionalmente, possui um caráter construtivo muito interessante, pois estimula a assimilação de melhores práticas de negócio em toda a cadeia de valor da empresa, promovendo uma evolução gradual do mercado.

“Esta nova camada de diligência era necessária para permitir a avaliação do grau de maturidade dos parceiros, fornecedores e outros terceiros sob a ótica da proteção de dados, verificando seu grau de preparação e aplicação prática dos elementos de segurança, seja sobre dados pessoais, inclusive sob a ótica da GDPR, ou quaisquer outras informações da empresa às quais o terceiro tenha acesso.”, explica o sócio diretor da ICTS Outsourcing, Cassiano Machado, especialista em gestão de riscos, ética e compliance.

Empregando uma abordagem progressiva de análise, cuja complexidade aumenta conforme o nível de exposição aos riscos envolvido, o processo de Due Diligence possibilita às empresas uma ação preventiva sobre atos de corrupção e, agora, também sobre o tratamentamento inadequado e o vazamento de dados. E, especialmente nestes contextos, como comenta Cassiano, prevenir é melhor do que remediar: “A GDPR, por exemplo, prevê multas que variam de 2% a 4% do faturamento anual para empresas que não cumprirem suas regras, e a Lei anticorrupção brasileira é ainda mais rigorosa, com multas de até 20% do faturamento”, destaca. Ele ainda reforça a importância da execução das diligências preferencialmente antes da contratação do novo terceiro, ou, minimamente, nos momentos prévios a renovação dos contratos.

Tags, , , , ,

Investir em segurança é essencial para o sucesso da IoT

Por Samir Vani

A Internet das Coisas é um conjunto de tecnologias que permite conectar os mais distintos equipamentos à rede mundial: relógios, câmeras de vigilância, geladeiras, roupas, carros, máquinas industriais, quase tudo pode fornecer dados e trocar informações online. Por meio dela, já é possível falar com assistentes pessoais inteligentes conectados à Internet (como o Echo Dot, da Amazon, ou o Google Home) que te dizem, por exemplo, onde fica o restaurante italiano mais próximo; enviar automaticamente o seu desempenho no último treino físico a um servidor na nuvem, registrado pelo app do seu smartphone ou por um smartwatch; ligar a banheira de casa mesmo estando a quilômetro de distância; e até mesmo alterar a temperatura do ar condicionado de centenas de unidades de uma rede de lojas remotamente.

Segundo dados do instituto Gartner, em 2017 já tínhamos 8,4 bilhões de “coisas” conectadas, número que deve superar 20 bilhões já em 2020. Todo esse volume de equipamentos cria uma infinidade de possibilidades de inovação, agregando recursos e inteligência a muitos deles, além de oferecem às empresas informações valiosas para a tomada de decisão. São bilhões de sensores que fornecem, por exemplo, dados sobre hábitos de consumo e desempenho de equipamentos, o que permite criar produtos mais adequados e reduzir custos com gerenciamento, entre outras funções.

Mas para que toda essa gama de recursos promissores seja utilizada de forma adequada, as empresas precisam estar muito atentas a um ponto vital: a segurança da plataforma. Afinal, equipamentos que antes estavam isolados, a exemplo de babás eletrônicas ou equipamentos que monitoram a saúde, passam agora a trocar informações em tempo real, e passar a ser alvo de hackers.

Com o crescimento vertiginoso do número de dispositivos de IoT, os criminosos virtuais já voltaram suas atenções para esses equipamentos. Dados levantados por especialistas do Kaspersky Lab na primeira metade de 2017 apontaram mais de 7.000 amostras de programas nocivos em equipamentos de IoT, mais do que o dobro do registrado no ano anterior. De acordo com números do Gartner, cerca de 20% das empresas já sofreram pelo menos um ataque relacionado a dispositivos de IoT nos últimos três anos. O resultado disso é que os gastos mundiais com a segurança da Internet das Coisas devem crescer quase 30% este ano, atingindo US$ 1,5 bilhão em 2018, em iniciativas que englobam, hardware, software e serviços.

Recentemente a Microsoft anunciou o primeiro chipset criado para a Azure Sphere, o MT3620 (desenvolvido pela MediaTek) equipado com um controlador conectado via rede Wi-Fi e um processador para rodar o sistema operacional de IoT dessa plataforma. Esse componente oferecerá suporte para os protocolos de segurança mais recentes da Microsoft, com conectividade e proteção integrados.

A meta é criar um ecossistema de fornecedores de silício e fabricantes de equipamentos de uma ampla variedade de setores, que entendem as oportunidades e os riscos associados ao crescente número de dispositivos e aplicativos de IoT e que se unam para garantir o desenvolvimento e a aplicação de padrões de segurança.

Com a redução significativa no custo da conectividade, mais de nove bilhões de dispositivos com microcontroladores entram no mercado a cada ano. Por isso é fundamental que as fabricantes trabalhem para garantir que todos os dispositivos conectados, independente do preço, tenham o mais alto nível de proteção.

Samir Vani é Country Manager da MediaTek no Brasil, empresa fabricante global de semicondutores para equipamentos como smartphones

Tags, , , ,

Dia Mundial da Senha Segura: como criar uma palavra chave eficiente?

Cada um seu modo, muitos fabricantes de soluções e entidades envolvidas com a segurança digital têm divulgado os dias 4, 5 e 7 de maio como sendo o Dia Mundial da Senha Segura. No entanto, uma coisa é certa: todo dia é necessário usar uma palavra chave forte para impedir o acesso indesejado a qualquer um dos serviços na Internet e sistemas computacionais.

Em média, Cada usuário acessa 26 serviços online que exigem uma senha. A maioria delas, por exemplo, em redes sociais ou lojas online é um elemento importante na proteção destas contas para evitar a ação de criminosos cibernéticos. O especialista Bruno Lucio Maciel Pinheiro, da FirstSecurity, empresa que distribui as soluções antivírus da G Data no Brasil, comenta que durante anos os especialistas em segurança de TI vêm trabalhando para chegar a conclusões que nos permitem estabelecer com clareza quais elementos devem incorporar uma senha tornando-a realmente robusta. “Anteriormente, analistas e pesquisadores concordavam que uma senha deveria conter pelo menos oito caracteres aleatórios, sem formar palavras que pudessem ser encontradas em qualquer dicionário. Ainda hoje, estas ainda são as diretrizes de gigantes como o Google. No entanto, o cenário atual exige mais que senhas fortes, além da atenção redobrada dos usuários para novos tipos de ameaças criadas diariamente pelos invasores mal-intencionados”.

Para este Dia Mundial da Senha Segura, o especialista oferece algumas dicas para aumentar a segurança dos serviços online:

– Use um gerenciador de senhas: Esta é a maneira muito fácil de controlar muitas senhas complexas e também os serviços online: redes sociais, compras online, serviços bancários, e-mail. No mercado existem boas ferramentas antivírus que oferecem este recurso;

– Use senhas longas: Uma nova abordagem aponta que senhas longas são melhores do que as complexas, especialmente se estas são muito curtas. Uma senha que combina caracteres alfanuméricos, maiúsculos e minúsculos não será efetiva se for muito pequena. Uma senha complexa com seis caracteres reúne 309 milhões de combinações, nada que um programa moderno não consiga resolver em poucos segundos. No entanto, se elevarmos esse número de caracteres para doze, o programa levará vários anos para decifrar a chave, mesmo com a capacidade computacional atual;

– Use frases-chave: Senhas como “1234”, “password” ou qualquer palavra que você pode encontrar no dicionário são muito fáceis de serem quebradas. Se você usar uma frase, por exemplo, ela não deve ser muito curta ou óbvia. Os cyber criminosos usam ferramentas avançadas que permitem gerar combinações de palavras estatisticamente prováveis e que revelam rapidamente as senhas geradas a partir de frases simples. Um exemplo é transformar uma frase (uso contra senhas fortes, por exemplo) em uma combinação aleatória de caracteres “US0 c0ntr @ s @ S3N f0rt3s.” Aproveite os espaços entre as palavras para torná-la ainda mais complexa e robusta: Muitos usuários não sabem que podem usá-los ao criar uma boa senha e este é um truque muito interessante;

– Mude suas senhas regularmente: Quando você alterar uma senha, a nova nunca deve ser uma derivação do original (há muitos usuários que usam esta regra de má reputação e adicionam um número ou letra à primeira palavra chave criada). Geralmente, uma única mudança vale a pena quando o serviço web exige ou quando temos suspeita que o provedor do serviço tenha sofrido uma invasão cibernética. Você pode verificar se um banco de dados (e, consequentemente, sua própria segurança) foi violado em sites como ” Have I been Pwned em https://haveibeenpwned.com/NotifyMe”;

– Autenticação de dois fatores: Logon em duas etapas é uma ótima maneira de se acessar a qualquer serviço na Internet. Facebook, LinkedIn, Dropbox, Google, PayPal e, em geral, os provedores de serviços mais reconhecidos, já oferecem essa opção. Na empresa em que você trabalha, ou na sua escola, verifique se existe esta funcionalidade disponível;

Outras recomendações importantes para proteção no ambiente digital

– Atualizações constantes. O sistema operacional, programas de computador e aplicativos instalados em seu computador e celular devem ser constantemente atualizados;

– Instalar uma solução de segurança: a recomendação é estendida a todos os dispositivos. Desktops, smartphone, tablets e servidores;
– Spam, direto para a lixeira. O spam deve ser excluído imediatamente e, é claro, nunca clicar em links ou anexos;

– Controle Parental: ajude as crianças a navegarem na Internet com elevada segurança. Ensine-as a desconfiar e a ofertas enganosas, mensagens de pessoas desconhecidas e a saber o que compartilhar nas redes sociais. Os controles parentais incluídos nas soluções de segurança impedem o acesso a sites inadequados para menores e limitam o tempo de uso da Internet;

– Links curtos – Eles podem levar a sites falsos. Então, tenha cuidado ao clicar neles. As soluções de segurança incluem filtros capazes de bloquear o acesso às páginas mal-intencionadas que se escondem atrás desses URLs curtos;

– Redes Sociais: pense duas vezes antes de compartilhar informações pessoais, como endereços postais, números de telefone ou certas fotos. Também controle quem você aceita em seu círculo de amigos.