OWASP AppSecLatam 2011

É com grande satisfação que damos as boas vindas ao capítulo OWASP Global AppSec Latin América 2011, que este ano será realizado na cidade de Porto Alegre - RS, nos dias 04 à 07 de outubro na PUCRS (Pontifícia Universidade Católica do Rio Grande do Sul).

Os dias 4 e 5 de outubro foram reservados para a realização de cursos. Logo, nos dias 6 e 7 terão os debates abertos para início das sessões plenárias.

A conferência Global AppSec Latin América 2011 será uma reunião de líderes latino-americanos na área de Segurança da Informação, e irá apresentar temas e idéias de vanguarda sobre o assunto - Segundo a página oficial do evento. O evento estima atrair cerca de 250 profissionais relacionados ao governo, serviços financeiros, mídia, saúde, tecnologia, e diversas outras áreas.

O evento deste ano vai contar com as presenças de Bryan Sullivan, Pesquisador Sênior em Segurança (Adobe), e Chris Evans, Information Security Engineer (Google).

O valor das inscrições varia de R$ 250,00 a R$ 450,00. Com descontos especiais para membros do OWASP e estudantes.

Fonte: OWASP AppSecLatam

Prejuízo de empresas com cibertaques pode chegar a US$ 1,7 milhão

Pesquisa da Symantec revela que 27% das empresas entrevistadas sofrem ataques contra suas redes regularmente ou em grande número.

Quando 3.330 profissionais de tecnologia da informação foram entrevistados sobre cibersegurança, eles afirmaram que os ataques de códigos maliciosos são o principal tipo de violação que suas empresas sofreram no ano passado, embora “ações internas não intencionais” de funcionários também tenham causado muitos danos.

Enquanto 73% dos entrevistados na pesquisa “2011 State of Security”, patrocinada pela Symantec, disseram que os ciberataques eram mínimos, 21% afirmaram que eles ocorrem “regularmente”, e 6% indicou que sofreram “um grande número” de invasões em 2010.

Quando ciberataques ocorrem, os custos principais estavam relacionados ao “período de inatividade” e com “perda de produtividade”, de acordo com os profissionais de TI nos setores financeiro, manufatura, tecnologia de ponta, saúde, imobiliário, energia entre outros que responderam à pesquisa.

Os participantes da pesquisa também indicaram que consideram “ataques direcionados”, “hackers” e “espionagem industrial” como significativas ameaças à segurança de suas organizações, embora “funcionários bem-intencionados” quem, inadvertidamente, causam problemas de segurança, também tenham sido bastante citados.

Isso se deve à grande dor de cabeça originada pelo surgimento dos ataques com engenharia social a funcionários das empresas, via redes sociais, que envolvem enganar empregados para que eles baixem códigos maliciosos, de acordo com Ashish Mohindroo, diretor sênior de marketing de produtos da Symantec.

O estudo informa que a média de perda de produtividade nos últimos 12 meses foi de 915 mil dólares. Quando foi determinado que um ciberataque levava à perda ou prejuízos no relacionamento com o cliente, o montante passou a ser 1,14 milhão de dólares durante o ano passado, e a perda de dados importantes ficou avaliada em 1,7 milhão de dólares.

Quando perguntado sobre a efetividade das salvaguardas para conter ciberataques, o melhor método foi visto como “manter atualizações de correções e definições de arquivos”, e “perímetro de segurança”, o que só serve para mostrar que quanto mais as coisas mudam, mais elas tendem a ficar iguais.
(Ellen Messmer)

Fonte: Network World (US)

DISI '11

O Dia Internacional de Segurança em Informática (DISI) é realizado desde 2005 pela Rede Nacional de Ensino e Pesquisa (RNP), por meio do seu Centro Atendimento a Incidentes de Segurança (CAIS).

O evento acontece uma vez ao ano em uma capital brasileira, e reúne especialistas de segurança para compartilhar conhecimentos e disseminar a cultura e conscientização sobre segurança em ambientes informatizados.

O DISI 2011 ocorrerá nesta quarta-feira, dia 31 de agosto, na cidade de Curitiba (PR). Neste ano, o tema eleito para conduzir as discussões e atividades do DISI será "Conscientização em Segurança é um Dever de Todos".

As palestras são gratuitas, abertas ao público mediante inscrição e também serão transmitidas em tempo real através do site do evento.

Confira a grade de programação do evento, que ocorre no dia 31 de agosto:

[09:00 - 09:30] Abertura do Evento

[09:30 - 10:20] Como se Proteger no Mundo Digital: Cuidados Básicos
Palestrante: André Landim (CAIS/RNP)

[10:20 - 11:10] Proteja seu Dinheiro contra as Fraudes da Internet
Palestrante: Altieres Rohr (G1)

[11:10 - 11:30] Intervalo (coffee-break)

[11:30 - 12:20] Redes Sociais: Virtudes e Defeitos Colaterais da Nova Comunicação Digital.
Palestrante: Marcelo Tas

[12:20 - 14:00] Intervalo (Almoço)

[14:00 - 14:50] Conveniência.com e a Segurança da Informação
Palestrante: Luiz Eduardo (SpiderLabs/TrustWave)

[14:50 - 15:40] F@mília Digital Protegida – desafios da educação da nova geração
Palestrante: Viviane Luswarghi (PPP Treinamentos)

[15:40 - 16:00] Intervalo (coffee-break)

[16:00 - 16:50] Crimes Cibernéticos e Direito Aplicado ao Mundo Virtual
Palestrante: Gerson Charbel (Superior Tribunal Militar)

[16:50 - 17:00] Encerramento

Fonte: DISI '11

Fraudes eletrônicas aumentam perdas em 36%

Segundo dados da Federação Brasileira dos Bancos (FEBRABAN), só neste primeiro semestre de 2011 as perdas em virtude de fraudes bancárias por meio eletrônico já simbolizam um aumento de 36% em relação ao mesmo período do ano passado, totalizando o valor de R$ 685 milhões contra os R$ 504 milhões do ano anterior.

Wilson Gutierrez, diretor técnico da FEBRABAN, cita que esse aumento se deve principalmente a três fatores: O uso crescente dos meios eletrônicos como forma de pagamento, à ausência de uma legislação que iniba o avanço da ação dos criminosos com punições efetivas, e a negligência de alguns usuários em relação a procedimentos de segurança. Ele acrescenta que a fraude geralmente ocorre externamente, como captura de trilhas de cartões nas operações de compras, ou obtenção indevida de senhas de acesso e dados pessoais dos clientes.

Os criminosos de hoje se utilizam do que há de mais moderno no mercado e das mais sofisticadas técnicas de "engenharia social" para ludibriar os usuários de internet e com isso obter dados e informações sigilosas, que serão informadas ingenuamente pelo próprio cliente. Por meio da exploração da curiosidade e da ingenuidade, estes criminosos conseguem instalar programas maliciosos nos computadores dos usuários e capturar quaisquer informações manipuladas pelo mesmo.

Em contrapartida, a FEBRABAN sugere mudanças na legislação que possam de fato impedir a ação crescente desses criminosos. Defendendo que seja promulgada lei com tipificação específica aos novos "crimes cibernéticos" ou de natureza eletrônica.

Apenas para exemplificar, um dos artigos mais importantes (art. 163-A) diz respeito à definição de crime de atos de inserção ou difusão de códigos maliciosos na internet ou nos computadores dos usuários. “Esse artigo tem por objetivo atacar frontalmente os disseminadores de programas que, uma vez acionados pelos usuários de computadores, permitem capturar informações sensíveis, como senhas de acesso e dados pessoais”, observa Antonio Carlos de Toledo Negrão, diretor Jurídico da FEBRABAN.

Por fim, é de suma importância citar que uma das questões mais discutidas é a determinação do armazenamento de logs de acesso a internet. Conforme o diretor da FEBRABAN, o projeto de lei não irá ameaçar a liberdade e a privacidade dos internautas, pois “os logs são simples registros de data e hora de entrada e saída de uma máquina na internet, e o local onde está instalada. Equipara-se ao usual registro para entrada e saída em qualquer prédio comercial e de orgãos públicos“. De acordo com o projeto de lei as informações devem ser retidas pelo prazo de 3 anos em ambiente seguro, controlado e que seja auditado por autoridade pública competente.

Fonte: FEBRABAN