A importância do PENTEST

7 de janeiro de 2011

Infelizmente as empresas ainda não perceberam a importância de testar sua segurança simulando um ataque real. Essa é a realidade do mercado de PENTEST no Brasil.

 http://www.cw4.com.br/blog/blog.jpg

Mas o que é o PENTEST?

 Pentest é o acrônimo para PENETRATION TEST ou “Teste de Penetração”, onde a empresa submete seu sistema nas mãos de um HACKER WHITE HAT* que irá utilizar todas as ferramentas e técnicas possíveis para invadir o sistema e apontar os pontos fracos. Possibilitando corrigir as falhas existentes antes que sejam exploradas por uma pessoa mal intencionada.

 Quem é louco de entregar seu sistema nas mãos de um HACKER para um PENTEST?

 Infelizmente o preconceito contra os HACKERS ainda é muito forte. E todos são generalizados como criminosos. Devemos lembrar que o conceito original de HACKER é “aquele que conhece ou domina algo por completo”, ou seja você pode ser um HACKER DE JARDIM se dominar todos os conceitos da jardinagem.

 Por isso temos o conceito de HACKER WHITE HAT ou HACKER ETICO, que são profissionais de segurança da informação que trabalham pesquisando, aprendendo, desenvolvendo técnicas de ataque e defesa mas sem o objetivo de prejudicar. São pessoas que fazem o uso consciente e profissional das suas habilidades em burlar ou proteger sistemas informatizados.

 Infelizmente esses profissionais ainda são vistos com maus olhos pois quando tratamos de segurança da informação muitas vezes é preciso saber atacar para saber como se defender. E esse é o segredo das grandes empresas que nunca tiveram casos de ataques bem sucedido. Pois contratam esses profissionais para constantemente testarem sua segurança, antecipando-se contra um ataque de alguém mal intencionado.

 Quais os riscos do PENTEST?

 A partir do momento que estamos falando em atacar, corremos o risco de que o “programa atacado” pare de responder deixando os serviços prestados por esse programa inacessível. Pois os ataques vão explorar vulnerabilidades nas aplicações que podem fazer com que essas parem de responder ou precisem ser re-iniciadas para voltarem a funcionar.

Por isso é necessário que o profissional que for executar o serviço tenha a habilidade de juntamente com a equipe de TI definir o horário de menor impacto para a empresa. Ou seja se algo parar de responder não vai prejudicar o andamento dos trabalhos da sua empresa.

 Quais são os benefícios?

 O PENTEST funciona como uma auditoria de segurança da informação, portanto você tem a oportunidade de saber quais são as reais falhas de segurança em seu ambiente que possibilitaria alguém invadir o sistema e corrigi-las antes que sejam exploradas.

 Empresas que mantém o hábito de periodicamente avaliarem sua segurança tornam-se mais competitivas no mercado, pois o PENTEST aponta as fraquezas do sistema que uma vez corrigidas torna seu sistema mais confiável e seguro.

 Após o PENTEST as chances de sua empresa ser certificada CISP** aumentam, pois as vulnerabilidades existentes no sistema já estarão corrigidas.

 Você já tentou calcular o prejuízo que sua empresa teria se sua rede fosse invadida e os dados excluídos, roubados ou divulgados na internet? Muitas empresas nunca cogitaram essa possibilidade por isso não sentem a necessidade de provar se sua segurança é realmente eficaz.

 Portanto os benefícios do PENTEST para sua empresa seria uma noite tranqüila de sono para você e todos os seus profissionais de TI.

 Em time que esta ganhando não se mexe!!!

 Esse é o grande erro de muitas empresas que pensam que só porque as coisas estão funcionando bem não precisam de manutenção. Essas infelizmente trabalham tampando os buracos deixados pelos ataques e não se antecipando a eles.

Muitas empresas pensam que segurança da informação é somente ter um programa antivírus atualizado. E a idéia de atacar a si mesmo é a coisa mais absurda do mundo.

 Enquanto essas empresas pensarem dessa forma, os HACKERS BLACK HATS vão ter muitos motivos para comemorar. Pois sistemas vulneráveis nunca vão faltar.

 A diferença para sua empresa é:

Você esta protegido? Ou “em time que esta ganhando não se mexe”?

Mais informações sobre o tema:

HACKER WHITE HAT* = http://pt.wikipedia.org/wiki/White_hat

 HOW TO SETUP A PENTESTING LAB = http://blog.rapid7.com/?p=5791

 Post escrito por:  Rêner Alberto (Gr1nch)
Analista de Segurança e Pentester da CW4 Soluções.
 

 

 

Publicado em Sem categoria | Nenhum comentário »

O maior grupo de segurança digital do Brasil

11 de outubro de 2010

Sete grandes empresas especializadas em segurança do conteúdo digital se unem para formar o maior grupo especializado do país o Digital Security Network.

A empresa mineira CW4 Soluções inovou no ano de 2010 ao se unir a mais seis empresas especializadas em segurança do conteúdo digital de todo o país. O grupo se formou em busca de compartilhar todo o conhecimento de mercado na área de segurança da tecnologia, ganhar capilaridade em todo o Brasil e principalmente inovar nas soluções oferecidas aos clientes.

Segundo pesquisas divulgadas, o ambiente digital lida com uma nova variante de ameaça lançada a cada 1,5 segundos, por conhecer este cenário dinâmico e saber de todas as dificuldades enfrentadas por seus clientes, o grupo Digital Security Network se propõe a inovar nos serviços e produtos oferecidos aos seus clientes, lidando de forma pró-ativa contra as ameaças do mundo digital.

A CW4 Soluções faz parte deste grupo pois pretende contribuir para a construção de um mundo digital seguro e possível para todos, onde o compartilhamento de informações ocorra com segurança, por isso inova em seus projetos.

Publicado em Sem categoria | Nenhum comentário »

O perigo está mais perto do que se imagina…

22 de julho de 2010

De acordo com estudos e levantamentos realizados, umas das tendências observadas pela comunidade de segurança da informação nos últimos anos tem sido a migração do alvo dos ataques para os usuários finais de internet, tanto residenciais quanto corporativos.

Normalmente esta migração é atribuída a diversos fatores, entre eles:

1. Há cada vez mais usuários com banda larga em suas residências, de modo que tendem a ficar mais tempo conectados e expostos a ataques via rede. Estes usuários, entretanto, não têm aumentado seu nível de preocupação com segurança, dependendo basicamente do software antivírus como única forma de proteção;
 
 2. As empresas aumentaram a preocupação com segurança, principalmente a segurança dos servidores corporativos, tornando mais difíceis os ataques a estes servidores. Neste cenário, atacar diretamente o usuário tem se tornado mais fácil e eficaz.

O usuário pode ser afetado das seguintes formas:
 
• Pode ser vítima de técnicas de engenharia social, ou seja, o atacante tenta fazê-lo acreditar em algum fato e seguir um link ou instalar um código malicioso em seu computador; 

• Sua máquina pode ser comprometida automaticamente, via rede, por um worm ou bot. Se for infectada por um bot, esta máquina pode ser controlada remotamente por um invasor e ser utilizada, entre outras coisas, para: envio de spam; ataques de negação de serviço contra outras instituições; e qualquer atividade maliciosa, incluindo ser utilizada para invadir outras máquinas.

A segurança na internet depende de diversas ações para sua melhora, sendo uma das principais a educação dos usuários de internet sobre as ameaças e suas formas de proteção.

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), mantido pelo Comitê Gestor da Internet no Brasil, tem um conjunto de ações que visa melhorar este quadro. Para auxiliar a educação dos usuários residenciais e corporativos o CERT.br mantém desde 2000 a Cartilha de Segurança para a Internet.

Outros esforços também são necessários para que um aumento efetivo na segurança da internet seja alcançado. Nesse ponto indicadores sobre a situação atual de segurança são cruciais para ajudar todos os setores a focarem seus esforços nas áreas que mais necessitam de melhorias, bem como possibilitar a avaliação da efetividade das medidas adotadas.

Mais do que ferramentas para segurança, é necessária a conscientização do usuário.Abaixo seguem alguns sites onde você pode se informar cada vez mais sobre segurança na internet.

 

Fonte: Texto “ O cenário da segurança da informação no Brasil.”

 Cristine Hoepers e Klaus Steding-Jessen
Fonte: Pesquisa sobre o uso das Tecnologias da Informação e da Comunicação no Brasil 2005

 

 http://cartilha.cert.br/

 http://www.cert.br/docs/seg-adm-redes/

http://www.cert.br/

 

Publicado em Sem categoria | Nenhum comentário »

Vazamento de dados

14 de junho de 2010

As informações confidenciais da sua empresa estão realmente protegidas?

 Fique atento a este assunto, pois o vazamento de dados pode prejudicar os negócios de sua empresa e afetar os seus clientes.

Dados importantes e sigilosos que fazem parte da rotina de seus negócios não podem ser vulneráveis a ataques e possíveis roubos de informação, essa segurança é uma obrigação das empresas para com seus clientes.

As empresas que trabalham com varejo e vendas e que utilizam sistemas financeiros, devem se preocupar com o vazamento de dados como: cartões de crédito, contas correntes, transações, normas regulatórias e dados financeiros de seus clientes.

Outros segmentos como empresas tecnológicas, manufaturas e grandes empregadoras, devem se atentar quanto ao acesso de terceiros a dados como códigos de fonte, protótipos, plantas confidenciais, dentre outras informações que compõem os níveis de atuação da empresa, e que fazem parte  de sua estratégia de mercado.

Muitas empresas desconhecem os perigos que a cercam e não se protegem de maneira eficiente, expondo suas estratégias e colocando em risco o vazamento de dados essenciais para o seu funcionamento.

Estudos comprovam que o vazamento de dados de uma empresa pode acontecer por diversos fatores, desde um funcionário que não age de acordo com as normas de segurança ou qualquer outro dispositivo que possa ser extraviado da empresa.

       Veja alguns dados:

  1. De cada 2 dispositivos de memória USB, 1 contém informação confidencial.
  2. De 5 empresas que possuem laptops e ferramentas moveis, cerca de 4 perdem dados confidenciais quando um laptop ou outra ferramenta móvel é roubado ou perdido.
  3. Correspondem a 58% o número de usuários móveis de laptops – com acesso a internet fora da rede corporativa- que admitem haver enviado informações confidenciais utilizando serviços de e-mail público.
  4. 64% das empresas reportaram nunca ter realizado um inventário das informações sensíveis de seus clientes, nem das informações que seus funcionários possuem.

Fonte: Ponemon, Trend Micro, Gartner

 blog

Para evitar o vazamento de dados e manter sua empresa segura, já existem ferramentas disponíveis para a segurança da informação desenvolvida por empresas especializadas, mas uma das melhores ferramentas é a conscientização de seus usuários sobre as ameaças e suas conseqüências para a empresa.

Portanto pense sobre o assunto, e não se esqueça o perigo está em qualquer lugar.

Publicado em Segurança WEB | Nenhum comentário »

E por falar em mídias sociais…

17 de maio de 2010

A CW4 disponibiliza para você algumas dicas de segurança do programa Segurança na Internet para crianças e sua família da Trend Micro apoiado pelos parceiros Childnet International e Connect Safely, para que você se proteja e navegue com segurança pelas mídias sociais.

A Internet permite aos jovens manter contato com os amigos fisicamente distantes e, algumas vezes, permite conhecer novas pessoas com os mesmos interesses. Os sites de redes sociais, as salas de bate-papo, os fóruns e blogs são alguns exemplos dos vários modos de como isso é possível pela Internet.

Conheça os Riscos

A Internet deveria ser um meio pelo qual as crianças se divertissem e se comunicassem com amigos, além de aprenderem sobre o mundo ao redor.

Embora o uso da Internet faça parte da vida dos jovens e aprender a utilizá-la seja fundamental, há riscos associados a ela. Pais e filhos deveriam estar cientes desses riscos para evitá-los ou minimizar o impacto deles e, assim, ajudar as crianças a terem um tempo construtivo enquanto estão on-line. Em geral, o impacto positivo e os benefícios da Internet são maiores que seus riscos. Entretanto, ainda é essencial conhecer os perigos e exercitar o pensamento crítico e o bom senso para evitá-los completamente. Ao considerar os riscos, é importante levar em conta o que pode atingir os jovens pela Internet assim como o que eles podem compartilhar por meio dela com o mundo.

Esteja Preparado

Pais, professores e outras pessoas que lidam com jovens socialmente ativos na Internet devem primeiramente definir expectativas razoáveis. Proibi-los de usar os sites de redes sociais pode levá-los a esconderem o uso e a encontrar outros meios (computadores da escola, celulares, computadores de amigos, etc.) para continuar com sua vida social on-line. Uma alternativa positiva é ensiná-los a pensar criticamente sobre o que estão vendo, lendo, ouvindo ou compartilhando virtualmente.

Seguem algumas orientações para os jovens quando estiverem usando sites de rede social, salas de bate-papo, blogs ou fóruns.

1-Use um apelido ou outro nome.

É recomendável não usar seu nome real nem nomes sexualmente sugestivos ou ofensivos aos outros. Isso ajuda a diminuir a probabilidade de ser ameaçado on-line.

2- Mantenha o seu perfil privado

Os sites de rede social podem ser uma ótima maneira de manter contato com os outros. Um bom modo de estar seguro quando se usa esses serviços é definir seu perfil como privado – assim só as pessoas que você convidou podem ver o que você postar.

3- Não divulgue informações pessoais

É recomendável não divulgar seu endereço, número de telefone, ou outras informações pessoais com estranhos no ambiente on-line. Não revele sua localização real, nem quando ou onde planeja estar.

4- Pense bem sobre o que você posta

Tenha cuidado com o compartilhamento on-line de fotos ou detalhes íntimos, até mesmo com pessoas que você conheça, por meio de e-mail particular ou conversa de texto. A informação ou conversa pode ser copiada e divulgada por alguém que você compartilhou – e é difícil de ser removida. Lembre-se: o que você diz numa sala de bate-papo ou em mensagens instantâneas é ao vivo e não pode ser desfeito ou excluído depois.

5- Mantenha seu software de segurança sempre atualizado

Os sites de rede social são muito populares. Como tem muitas pessoas usando, os criminosos digitais usam táticas furtivas para infectar os computadores de quem usa esses sites.

6- Leia “nas entrelinhas”

Pode ser divertido conhecer novas pessoas on-line para amizades ou romance, mas lembre-se de que, embora existam pessoas legais, algumas só agem assim porque querem alguma outra coisa. Mensagens bajuladoras e de apoio podem ser manipulação e não amizade ou romance.

7- Evite encontros face a face

A única forma que alguém tem de agredir você fisicamente é se vocês estiverem no mesmo local, por isso, para estar totalmente seguro, não marque encontros pessoais. Se realmente precisa encontrar alguém que você “conheceu” on-line, não vá sozinho. Marque o encontro em algum lugar público, diga a seus pais ou alguém que realmente possa ajudar se precisar e leve algum amigo junto.

8- Quando estiver on-line, seja educado

Haja corretamente no mundo on-line. Trate as pessoas como você gostaria de ser tratado. Ameaçar ou intimidar alguém on-line pode até mesmo ser considerado crime.

9- Pense antes de responder

Se alguém disse ou fez algo que deixou você desconfortável, bloqueie-o e não responda. Se ele continuar, conte aos seus pais ou a outro adulto. Se a mensagem for ameaçadora de algum modo, grave-a e conte a seus pais, pois isso pode ser considerado crime.

10- Ao usar um celular, seja esperto

Todas as dicas para computadores também valem para celulares. Exceto que os celulares estejam onde você está muitas vezes longe de casa e de seus sistemas de proteção usuais. Tenha cuidado ao dar seu número de celular, usar o GPS ou outras tecnologias que podem mostrar sua localização física.

Siga essas dicas, e fique atento, para que possa navegar com segurança sem se expor aos riscos…

Publicado em Segurança WEB | Nenhum comentário »

CW4 nas redes sociais

19 de abril de 2010
Alexandre Russo

Alexandre Russo

 

Por Alexandre Russo, CEO CW4 Soluções

 

Cecília, do marketing da CW4, me propôs um desafio: escrever um texto de abertura para o blog para contar a nossa estratégia de redes sociais.

Por que uma estratégia de marketing baseada em redes sociais?

As redes sociais são um importante instrumento de compartilhamento de informações e um fenômeno que mudou o comportamento do consumidor e a relação das empresas com os mercados onde atuam. Partindo-se deste principio, vemos uma excelente oportunidade de utilizar deste instrumento para levar conhecimento para nossos clientes e parceiros criando uma rede de compartilhamento da informação que agregará valor aos negócios de nossos parceiros e clientes.

A informação como ferramenta estratégica

A pró-atividade, para nós que atuamos na área de segurança da informação, é um importante aliado no combate as ameaças digitais. Esta pró-atividade só é possível graças às informações geradas por nossa rede de pesquisa, em conjunto com nossos parceiros, que nos possibilita saber com antecedência os movimentos dos “caras” do mau e onde criamos nossas estratégias para o combate a estas ameaças. Acreditamos também que as redes sociais terão fundamental importância ao levarmos para nossos clientes as informações relacionadas aos produtos e suas principais características, permitindo uma troca de conhecimento que pode ser fundamental no atendimento das necessidades de nossos parceiros de negócios. O novo site da CW4 será o ponto de convergência para a nossa estratégia de comunicação com o mercado, através dele será possível as pessoas receberem a todo o momento as informações que agreguem valor no desenvolvimento do trabalho não somente do profissional de TI, mas de todos aqueles que utilizam os recursos digitais nas empresas e em suas casas. Utilizaremos as ferramentas Twitter, Facebook, Youtube e este blog como forma de difundir as informações que levantamos todos os dias e que são frutos de nossas experiências na prestação de nossos serviços especializados.

Nosso compromisso é participar

Todos nós da CW4 nos comprometeremos em disponibilizar informações para estes portais e teremos como meta a participação ativa nesta estratégia por acreditarmos que a nossa expertise pode ser útil na disseminação da informação para o combate às ameaças digitais. Se para a CW4 é estratégico este trabalho, com certeza incluiremos estes processos em todas as ações da empresa e trataremos como objetivo maior da organização. Seremos conduzidos por nossa visão compartilhada de possibilitar “Um mundo digital seguro e possível para todos” e convidaremos nossos parceiros a contribuírem também com esta rede de informações opinando, discutindo, criticando e participando desta corrente de conhecimento.

Publicado em Novidades WEB | Nenhum comentário »