Posts tagged as:

Sociedade

Hacker e Cracker são a mesma coisa para a Polícia?

31/08/2009

4D46B98296A511DE9A5618BDDB90F874

Quando fiz um post sobre o caso Telefonica x KMax, defendi que duas questões deveriam ser levantadas sobre o caso; se a culpa pelo vazamento das informações em questão era da Telefonica que não tomou os devidos cuidados na proteção para os dados de seus clientes e teve um sistema acessado de forma indevida, ou se era de um programador que identificou a falha e errou ao adotar uma política que quase pode ser chamada de full disclosure?

A linha de defesa que adotada no processo começou da seguinte forma:

O especialista afirma que diversas empresas não enxergam a importância dos hackers verdadeiros, que descobrem falhas de segurança e notificam os administradores de sistemas dessas companhias. “Em alguns casos, eles chegam a receber contra si um processo criminal envolvendo a chamada criação de alarde”, explica.

KMax publicou dados parciais de clientes da Telefônica em um site provisório que, segundo seu advogado, funcionaria como uma prova de conceito. Recurso utilizado por hackers para demonstrar a existência dos problemas.

Provas de conceito de vulnerabilidades são apresentadas em conferências de segurança, sites sobre o assunto e fóruns públicos, onde normalmente as pessoas se protegem atrás de um nickname para garantir a sua privacidade e se proteger de retaliações desta natureza.

Na última Defcon o assunto veio à tona e trouxe o debate de até onde podem ir as empresas nesta questão: as vulnerabilidades devem ser levadas à público como forma de pressionar em busca de uma correção adequada ou mantidas como segredo para que o fabricante faça isso de forma reservada e uma janela de ataque fique aberta?

Bela questão para um debate mais profundo, quem se arrisca? A notícia publicada na Info pode ser lida na íntegra aqui.

{ 0 comments }

Será que isso realmente é uma novidade?

27/08/2009

acessoprivilegiado

Hoje recebi um e-mail direcionando para uma reportagem da BBC News, onde uma pesquisa conduzida pela RSA foi comentada e chegou a uma conclusão que volta e meia aparece e ainda é tratada como uma novidade: “malicious insiders” are the biggest cyber security threat for companies on its head.”

A matéria é interessante e aborda que como resultado da pesquisa, constatou-se que o maior risco é originado nos terceiros e funcionário temporários, que não são adequadamente treinados nas políticas corporativas e são dificilmente controlado pelo (pouco?) tempo que ficam nas empresas.

Como não existe um link para a pesquisa e não a encontrei no web site da RSA, fica difícil fazer uma análise mais profunda de qualquer resultado, mas:

  • Quem fornece o acesso privilegiado para um usuário – independente da sua classificação – não é ele mesmo, é uma área que deveria controlar isso de forma adequada.
  • Quem contrata terceiros e temporários e informa a área responsável pela criação e controle de acessos de forma inadequada não é o usuário, é uma área de negócios que não dá o valor adequado à proteção das informações da empresa que representa.
  • Quem coloca informações e dados privilegiados fora de um local adequadamente protegido não é um usuário que acabou de entrar na empresa, uma vez que ele não tem idéia do que seja isso. É um usuário com um mínimo de conhecimento e que não teve o seu acesso adequadamente controlado, uma vez que consegue fazer isso.

Abordei este assunto há tempos e insisto neste ponto, é necessário uma mudança de postura de toda a empresa, não adianta mais procurar culpados em pontos específicos. Segurança que não esteja integrada já era há muito tempo, mas parece que a mudança ainda está longe de acontecer em grande escala …

{ 0 comments }

Prisões em série de …. crackers? hackers? programadores?

21.08.2009 Read the full article →

O ROI da Segurança da Informação

19.08.2009 Read the full article →

Segurança Web para Dummies (ou nem tanto)

01.07.2009 Read the full article →

← Previous Entries