[Segurança] Entrevista no Papo Binário

Foi ao ar uma entrevista que eu dei para o Fernando Mercês no Papo Binário, o seu canal no YouTube. A entrevista foi gravada durante a H2HC do ano passado, em Outubro, e o papo fluiu naturalmente. Nós acabamos conversando principalmente sobre carreira na área de segurança, aonde eu comentei algumas dicas que eu considero importante para quem está começando: para começar, foca na área que você

[Cyber Cultura] Você já colaborou com a Cryptorave 2017?

A Cryptorave é um evento sensacional, que fala de segurança e criptografia com um grande foco em discussões políticas, liberdade na rede e privacidade. A edição deste ano, a quarta edição da Cryptorave, irá acontecer nos dias 5 e 6 de Maio. Serão 24 horas initerruptas de atividades, incluindo palestras, debates, oficinas de criptografia, rodas de conversa, install fest, jogo de cartas e festa de

Autenticação de Múltiplos Fatores – Perguntas e Respostas com Carlos Caetano, Diretor Regional Associado do PCI SSC

computer-767784_640

Os atacantes continuam a comprometer credenciais válidas para acessar as redes das empresas e roubar dados. Para ajudar as organizações a combater esta crescente ameaça, o PCI Security Standards Council (PCI SSC) emitiu orientações sobre o uso adequado de autenticação de múltiplos fatores (MFA) para impedir o acesso não autorizado a computadores e sistemas que processam transações de pagamento. Aqui, Carlos Caetano, Diretor Regional Associado do PCI SSC, explica por que essas diretrizes são necessárias e como as organizações podem se beneficiar com isso em seus esforços de segurança de pagamento e conformidade.

Por que o PCI SSC está emitindo orientações sobre a autenticação de múltiplos fatores?

Carlos Caetano: Desde suas primeiras versões, o PCI Data Security Standard (PCI DSS) exigiu que a autenticação de múltiplos fatores (MFA) fosse implementada para acesso remoto ao ambiente de dados do portador do cartão (CDE). No PCI DSS v3.2, um novo sub-requisito foi adicionado ao requisito 8.3, para que a MFA também seja aplicado a todos os acessos não-console no CDE para o pessoal com acesso administrativo.

Desde a atualização do padrão com essa mudança, recebemos uma série de perguntas, tanto das organizações que planejam implementar MFA como dos consultores de segurança que avaliam as implementações da MFA, sobre como os diferentes fatores devem ser implementados. O guia de informações para MFA fornece orientação sobre um número de melhores práticas reconhecidas pela indústria que devem ser incluídas como parte de uma implementação segura da MFA. O uso desta orientação não é necessário para atender aos requisitos atuais do PCI DSS, mas destina-se a ajudar as organizações a entender os princípios de segurança para implementar e adaptar as soluções MFA de forma eficaz para enfrentar os riscos de segurança.

O que é a MFA?

Carlos Caetano: A intenção da MFA é fornecer um grau mais alto de garantia da identidade do indivíduo tentando acessar um recurso – como um local físico, dispositivo de computação, rede ou banco de dados – criando um mecanismo de camadas múltiplas que um usuário não autorizado teria que derrotar a fim de obter acesso.

Além da identificação de usuário exclusiva de acordo com o Requisito 8.1.1 do PCI DSS, a MFA requer pelo menos dois dos três métodos de autenticação descritos no Requisito 8.2 do PCI DSS:

• Algo que você sabe, como uma senha ou frase secreta;
• Algo que você tem, como um dispositivo de token ou smart card;
• Algo que você é, como a biometria.

Você disse que a MFA é tão boa quanto sua implementação. Qual é um dos erros mais comuns que você vê quando se trata de implementação adequada?

Carlos Caetano: Algumas implementações de MFA podem não cumprir os princípios explicitados neste documento de orientação e, portanto, não estão fornecendo o benefício de segurança pretendido por autenticação de múltiplos fatores, que é impedir que alguém fingindo ser um usuário válido use um nome de usuário válido e senha para obter acesso a recursos de rede sensíveis e / ou dados do titular do cartão. Um desses princípios é que a MFA deve ser implementada para que os mecanismos de autenticação sejam independentes uns dos outros. Isto significa que o acesso a um fator não concede acesso a qualquer outro fator e o comprometimento de um fator não afeta a integridade ou a confidencialidade de qualquer outro fator.

Por exemplo, se um indivíduo usa um conjunto de credenciais (nome de usuário / senha) para autenticar na rede da empresa e usa as mesmas credenciais para acesso a uma conta de e-mail para a qual um segundo fator (como uma senha única) é enviado, esses fatores não são independentes de acordo com um número de padrões da indústria (por exemplo, NIST SP 800-63B). Isso ocorre porque o acesso a apenas um fator – o nome de usuário / senha neste caso – dá acesso à conta de e-mail e, portanto, o segundo fator, permitindo que uma pessoa obtenha acesso ao ambiente de dados do portador de cartão apenas conhecendo o nome de usuário / senha. Da mesma forma, o uso de um certificado de software armazenado em um laptop e protegido pelo mesmo conjunto de credenciais usado para fazer logon no laptop pode não atender aos requisitos de independência.

O que resulta em uma boa implementação da MFA?

Carlos Caetano: Os princípios de uma boa implementação da MFA incluem a independência dos mecanismos de autenticação, a proteção dos fatores de autenticação e a garantia de que nenhum conhecimento do sucesso ou falha de um fator é fornecido ao indivíduo até que todos os fatores tenham sido submetidos.

Como as organizações devem usar esse guia?

Carlos Caetano: As organizações são fortemente encorajadas a avaliar todas as implementações de MFA novas e em produção para conformidade com esses princípios, a fim de implementar soluções de forma eficaz e enfrentar melhor os riscos de segurança. Embora atualmente o PCI DSS não exija que as implementações de MFA atendam a todos os princípios descritos neste guia, ele poderá exigir no futuro e essas práticas recomendadas e reconhecidas pelo setor fornecerão um roteiro para futuras considerações de segurança.

O Guia de Autenticação de Múltiplos Fatores está disponível em: https://www.pcisecuritystandards.org/pdfs/Multi-Factor-Authentication-Guidance-v1.pdf.

Para obter recursos adicionais do PCI Security Standards Council, visite: https://www.pcisecuritystandards.org


[Segurança] A RSA Conference

Na semana passada tivemos mais uma edição da RSA Conference (ou "RSAC", para os íntimos), provavelmente o maior e mais importante evento do mercado de segurança em todo o mundo. O evento surgiu em 1991, como um fórum para criptógrafos - hoje limitado a uma das diversas trilhas do evento e ao painel de criptógrafos que acontece após a cerimônia de abertura. Apesar de levar o nome da empresa

Divulgação da avaliação (média de 8,69) e testemunhos do curso Teste de Invasão em Redes Sem Fio – EAD

writing-1149962_640

A Academia Clavis divulou as notas atribuídas pelos alunos da última turma de mais um dos seus cursos. Na avaliação dos participantes, o treinamento  Teste de Invasão em Redes Sem Fio  – realizado na modalidade online em agosto de 2016 – obteve média geral de 8,69.

Nestas avaliações os alunos dos cursos da Academia Clavis são convidados a dar suas notas para diversos quesitos: da didática e conhecimento do instrutor até o material usado e o apoio da equipe Clavis.

“Metodologia de ensino muito eficiente.”

-Valdecy Oliveira de Araujo

Veja abaixo os resultados da avaliação feita pelos alunos do treinamento Teste de Invasão em Redes Sem Fio:

Perguntas Média
Perguntas formuladas pelo professor focalizaram, estimularam e desencadearam novas ideias? 9,0
As ideias principais foram retomadas, resumidas, esclarecidas ou completadas, quando necessário? 9,2
Os exemplos utilizados foram ilustrativos, simples, relevantes e ajustados aos conceitos principais? 9,2
O vocabulário utilizado na apresentação foi preciso, correto, sendo traduzido quando necessário? 9,0
Houve sequência no desenvolvimento do assunto de modo que facilitasse o entendimento por parte do aluno? 8,7
Qual o grau de profundidade que foi desenvolvido o curso? 8,0
Qual a sua avaliação sobre o material entregue? 7,3
Faça uma avaliação geral para a parte teórica do curso. 8,0
Faça uma avaliação geral para a parte prática do curso. 8,2
O tempo de duração do curso foi adequado? 8,5
Os textos foram adequados, preparados e bem utilizados? 8,2
Como foi o atendimento da equipe administrativa durante o curso? 9,5
Como foi o atendimento da equipe administrativa fora do horário do curso? (emails, lista, telefone, etc) 9,3
O instrutor demonstrou domínio suficiente aos assuntos abordados? 9,1
Os recursos audiovisuais foram utilizados adequadamente? 8,4

Até as próximas turmas! ;)

Este curso faz parte da Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação:

banner-2-certificacao-clavis-formacao-aduitoria-teste-de-invasao-pentest


Cert.br lança dois novos guias com dicas de segurança na internet para pais e filhos

child-1073638_640

O Centro de Estudos, Resposta e Tratamentos de Incidentes de Segurança no Brasil (CERT.br) lançou um site dedicado a fornecer dicas de navegação segura para pais e crianças na internet. O site internetsegura.br hospeda duas cartilhas em PDF voltadas para os dois públicos, além de contar com espaço para denúncias de abuso e pedidos de orientação na internet.

Voltado para os pais, o guia Proteja Seus Filhos – Ensine-os a Usar a Internet com Segurança traz dicas e sugestões para que “pais e responsáveis possam orientar seus filhos a usar a internet com mais segurança”, alertando para comportamentos de risco como a divulgação de dados pessoais, publicação de fotos e ensinando a lidar com questões como o cyberbulling e o estabelecimento de limites e regras.

Para os pequenos, o CERT preparou o guia Internet Segura – Divirta-se e Aprenda a Usar a Internet de Forma Segura que ensina a identificar situações de perigo na web. A cartilha também oferece algumas orientações sobre comportamento para tornar a internet um ambiente mais amigável como evitar postar, curtir e compartilhar “mensagens fotos ou vídeos que possam agredir, humilhar ou prejudicar alguém”, e traz dicas úteis de proteção da privacidade.

Sobre o CERT.br

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil é mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil, e atende a qualquer rede brasileira conectada à Internet.


[Segurança] Explicando o algoritmo RSA

Eu fui dar uma olhada no canal do Youtube da RSA Conference e, para a minha surpresa, o primeiro vídeo que eu vi foi um vídeo bem curtinho e simpático, de 2011, aonde os criadores do algoritmo RSA explicam o seu funcionamento: O vídeo não é nenhum pouco educativo: Rivest, Shamir e Adleman simplesmente se revezam citando como o algoritmo RSA funciona (escolhe dois números primos, calcula a

[Carreira] O ego na TI

Neste ano, o nosso amigo Youtuber Fernando Mercês começou a gravar vídeos curtos em seu canal Papo Binário, falando sobre assuntos objetivos relacionados a carreira e tecnologia. Além das entrevistas que ele continua fazendo desde o ano passado, o Mercês começou a gravar estes vídeos curtos, de 5 a 10 minutos cada - que normalmebte valem ser vistos. Em um destes vídeos, ele fala sobre "O ego na

Qualys apresenta diversas novidades para a segurança de aplicações web e cloud durante a RSA Conference

finger-769300_640

A Qualys levou à RSA Conference uma série de novidades vinculadas aos seus produtos voltados à segurança de aplicações web e à sua plataforma cloud (Qualys Cloud Platform). Entre as novidades apresentadas estão novas funcionalidades e novos serviços.

No que se refere à segurança de aplicações, dois produtos receberam novas funcionalidades: o Qualys Web Application Scanning (WAS) 5.0 e o Web Application Firewall (WAF) 2.0. As novas funções “permitirão que os usuários analisem milhares de aplicações e APIs usando o WAS 5.0, implantar correções virtuais de segurança com apenas um clique com o WAF 2.0 e gerenciar tudo isso a partir de uma plataforma cloud atualizada automaticamente”.

A empresa espera minimizar os problemas causados pela complexidade inerente às aplicações web – ameaças que evoluem constantemente, diversidade de aplicações (web, mobile e IoT) e a ampla gama de sistemas necessários para o gerenciamento da segurança. “Os clientes agora podem usar uma plataforma cloud para programar varreduras e correções de aplicações seja para browser, mobile ou IoT, além de simular ataques para verificar a segurança”.

Para uma lista completa das novas funcionalidades do WAS 5.0 e do WAF 2.0, clique aqui.

Novos serviços para o Qualys Cloud Platform

No que se refere aos serviços em nuvem, a Qualys anunciou uma grande expansão do Qualys Cloud Plataform, que agora inclui os serviços File Integrity Monitoring (FIM) e Indicators of Compromise (IOC).

O primeiro (FIM) cataloga e centraliza eventos entre sistemas globais de TI permitindo sua visualização em um único dashboard onde é possível detectar e identificar mudanças críticas resultantes de uma atualização corriqueira e tarefas administrativas ou de violações e atividade maliciosa.

Já o IOC monitora atividades nos endpoints para detectar eventos suspeitos que podem indicar a presença de malware ou atividade de atores maliciosos em dispositivos dentro e fora da rede.

Para ver uma lista de todas as funcionalidades dos novos serviços do Qualys Cloud Platform, clique aqui.

 


[Cyber Cultura] O lado bom e o ruim da Campus Party

Há poucos dias atrás tivemos a décima edição brasileira da Campus Party (CPBR), um evento que reuniu um punhado de milhares de pessoas em Sào Paulo durante quase uma semana inteira (de 31/01 a 05/02), muitas das quais acamparam lá e por muitas vezes ficaram antenadas por mais de 24 horas seguidas. a organização do evento previu receber 8.000 pessoas na Arena interna (os chamados "campuseiros") e