01 dezembro 2009 ~ 10 Comentários

Segurança da Informação:Resumo Novembro

Boa noite caros e raros leitores deste espaço virtual.
Conforme prometido, estou aqui hoje para poder compartilhar com vocês algumas considerações sobre os útlimos assuntos em SI que estão em alta.

No mês de novembro foram muitos os assuntos, apagões, patch de correções, lançamentos, etc... Vou tentar fazer um resumo aqui neste post, sobre os mais importantes (me desculpem caso eu deixe passar alguma coisa).

1 - Apagão: Falha de segurança ou não ?

O Operador Nacional do Sistema Elétrico (ONS) teria reconhecido nesta segunda-feira, 16/11, que na quinta, 12/11, o site do órgão foi vasculhado por hackers que “demonstraram que poderiam invadir partes do site corporativo da companhia”. As falhas de segurança teriam sido corrigidas no mesmo dia.

A “invasão”, no entanto, já estava divulgada na internet desde que seu autor, Maycon Maia Vitali, de 23 anos, descreveu no blog Hacknroll os passos que efetuou e o que encontrou nos conteúdos não públicos da página do Operador Nacional do Sistema Elétrico.

O blog Hacknroll já está fora do ar, mas é possível encontrar o relatório de Maycon sobre sua investida na página do órgão e do Convergência Digital.

http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?infoid=21018&sid=4

2 - Terminam os Testes de Invasão nas urnas eletrônicas

Os testes com hackers realizados pelo Tribunal Superior Eleitoral (TSE) com as urnas eletrônicas que serão usadas nas Eleições 2010 terminaram sem que o sistema que contabiliza os votos fosse comprometido.

Segundo comunicado no site do TSE, os 38 especialistas convocados pelo órgão para testar a segurança do sistema não conseguiram comprometê-lo durante os testes, que aconteceram entre os dias 10 e 13 de novembro.

http://idgnow.uol.com.br/seguranca/2009/11/16/testes-de-urnas-eletronicas-com-hackers-terminam-sem-que-haja-invasao/

3 - WASC publicou as estatísticas da segurança das aplicações web referente 2008

WASC publicou as estatísticas da segurança das aplicações web referente 2008. Foram analisadas aproximadamente 12186 aplicações e detectadas 97554 vulnerabilidades em diferentes niveis de serveridade. O que chama atenção é que 13%** dos sites podem ser comprometidos completamente de forma automática o que mostra o total descaso com a segurança . Quase metade , ou seja, 49% das aplicações analisadas possuem falhas de alta criticidade detectadas durante scan automático .

http://projects.webappsec.org/Web-Application-Security-Statistics

4 - Lançamento da versão final 3.3 do Metasploit Framework



No mês de novembro foi lançada a versão final 3.3 do Metasploit Framework, que teve 446 novos exploits incorporado , 216 módulos auxiliares, centenas de payloads, incluindo um serviço VNC in-memory e o Meterpreter (facilidade em escrever novos scripts). Além disso esta versão tem suporte nos payloads Windows a NX, DEP, IPv6 e para a nova versão da Microsoft, Windows 7.

O Metasploit é utilizado por profissionais de Segurança da Informação para a realização de testes de penetração, detectando a existência de aplicações e serviços vulneráveis no sistema

http://www.metasploit.com/redmine/projects/framework/wiki/Release_Notes_33

5 - Lançamento da versão 5 do DEFT Linux




No mês de novembro também tivemos o lançamento da versão 5 do DEFT (Digital Evidence & Forensic Toolkit). Agora o DEFT v5 está baseado no XUbuntu com kernel 2.6.31, mas agora traz no mesmo CD o DEFT Extra, a parte Windows para Resposta a Incidentes, semelhante ao Helix. Ele é projetado para atender policiais, investigadores, o administradores de sistema e as necessidades de um especialista forense no seu computador.

http://www.deftlinux.net/

6 - (IN)Secure Magazine 23


Está disponível para download a 23º edição da (IN)Secure Magazine, revista eletrônica em formato pdf voltada para profissionais de segurança da informação totalmente gratuita.

A revista aborda os principais temas sobre segurança da informação. O público alvo são profissionais de segurança, sejam técnicos ou gestores. Além de artigos de especialistas, a revista trás notícias, atualizações , lançamentos de novos produtos, eventos de segurança, opiniões sobre livros e produtos, entre outros...

Para que quiser ter acesso a 23º edição da revista, basta acessar:
http://www.net-security.org/insecuremag.php

7 - Atualizações de Segurança Microsoft (Novembro)

A Microsoft liberou no Patch Tuesday de Novembro, dia (10/11), um pacote de correções para 15 vulnerabilidades dos sistemas Windows e Windows Server e dos aplicativos Excel e Word, incluindo um que provavelmente deverá ser explorado rapidamente por hackers. Nenhum deles afeta o novo sistema operacional Windows 7.

As 15 falhas corrigidas pelas seis atualizações de segurança publicadas correspondem a menos da metade do pacote recorde do mês de outubro, em que a Microsoft consertou 34 bugs em 13 boletins separados.

Não perca tempo, atualize já o seu Windows

Mais informações:
http://blogs.technet.com/risco/archive/2009/11/10/boletim-de-seguran-a-da-microsoft-novembro-2009.aspx

8 - Palestra sobre "A Importância da Segurança da Informação em ambientes Corporativos

Para fechar com chave de ouro, o grande acontecimento foram as minhas palestras ministrada em 2 eventos de Tecnologia no mês de Novembro. :) !!!!
Palestra esta que apresenta os conceitos e a importância de segurança da informação através de uma nova abordagem, que a transforma em um importante diferencial competitivo e um habilitador de novas oportunidades para as organizações. Durante a palestra são demonstradas estatísticas de incidentes, as tecnologias utilizadas e as novas tendências desta área que esta em alta no mercado.

Tinha que ter um Tie-In no final né. hauhauhauhaua

Bom é isso companheiros.

Abraços[]

10 Respostas para "Segurança da Informação:Resumo Novembro"

  1. gravatar
    Ervison 2 de dezembro de 2009 às 16:59 Permalink

    Excelente Resumo. Porém faltou mencionar os eventos que tivemos no mês de novembro como H2H.

  2. gravatar
    Pri 2 de dezembro de 2009 às 17:40 Permalink

    Excelente palestra no ETS. Fiquei bastante interessada em Segurança da Informação, comecei a ficar mais atenta com acessos a site e download de arquivos. Estou pesquisando mais sobre este assunto, tem algum link de materiais que possa me indicar ?

  3. gravatar
    Robert 2 de dezembro de 2009 às 17:47 Permalink

    Pesquisando sobre S.I. cai direto neste blog, já assinei o RSS. Parabéns.

  4. gravatar
    Rômulo 2 de dezembro de 2009 às 18:14 Permalink

    Não conhecia este blog. Mas um no meu Google Reader. hehehehe

    Por que você não manda ele para o Gustavo bittencourt, no blog dele ele reuni diversas noticias de blogs sobre Segurança da Informação em uma única página. Vale a pena conferir.

  5. gravatar
    Kellison 2 de dezembro de 2009 às 18:41 Permalink

    "Tinha que ter um Tie-In no final né."
    Foi a melhor, auto-promoção é tudo o que há.
    Por isso, tive que comentar. :)

  6. gravatar
    Ronaldo 2 de dezembro de 2009 às 19:04 Permalink

    O DEFT v5 está muuuuito bom. Estou usando ele, e a diferença para versão anterior está gritante. Já quase não lembro mais do Helix. blá

  7. gravatar
    José 2 de dezembro de 2009 às 19:10 Permalink

    Kraca, muita informação em um único post.
    Tu já foi melhor hein... hauhauahua

  8. gravatar
    Ricardo Nascimento 2 de dezembro de 2009 às 19:33 Permalink

    Você dá palestras gratuitas em universidades ? Sou Cordenador do curso de Sistemas da Informação na universidade no centro e estamos querendo organizar um ciclo de palestras e gostei do tema "A importância da segurança da informação em ambientes corporativos". Como faço para entrar em contato diretamente com você ? Ah... esquece encontrei o formulário de contato.

  9. gravatar
    sheila 3 de dezembro de 2009 às 18:23 Permalink

    Estou começando a entrar na área de segurança agora, você possui algum material para que eu possa ler e me inteirar mais sobre SI ?

  10. gravatar
    Unknown 4 de dezembro de 2009 às 00:03 Permalink

    Sou novato em SI,achei esse blog muito bom para ficar sempre atualizado nesse área.Valeu

Deixe seu Comentário