Security Intelligence for your Business

Esse mês o firewall fará 25 anos de existência, e em comemoração a esse aniversário, a McAfee publicou esse belo infográfico.

Se analisarmos o infográfico, poderemos notar que a introdução e evolução dos firewalls coincidem com alguns eventos de segurança, como por exemplo:

  • 1995: Primeiro conceito/WM de vírus a se disseminar através do  Microsoft Word
  • 2000: Primeiro ataque de denial-of-service descoberto
  • 2008: Conficker infecta entre 9 e 15 milhões de sistemas Microsoft

Clique no infográfico para ampliar.

infografico-firewalls-25-anos

relatorio-verizon-pci-compliance-2014

O relatório de PCI Compliance da Verizon para 2014 utiliza dados e informações extraídas de avaliações de clientes globais de diversas verticais, feitos pela própria Verizon.

Estar em conformidade com o PCI é um ponto importante, independente da vertical da sua empresa. No entanto, os resultados que a Verizon apresentam, mostram que quase 9 em cada 10 empresas não passam em sua primeira avaliação inicial do PCI.

O relatório abaixo ajuda a aprender com os erros dessas empresas, bem como proteger os dados de cartão.

Para fazer o download basta clicar aqui.

Relatório-MFE-Q3-13

Os hackers estiveram ocupados durante o terceiro trimestre de 2013, a julgar pela quantidade e pela sofisticação das novas ameaças. Quatro tendências fundamentais destacam a importância de se proteger dados confidenciais, e isso vale para todos, desde empresas a indivíduos.

Os destaques incluem:

  • A vulnerabilidade do Android que motivou o aumento de 30% nos ataques contra esse popular sistema operacional móvel.
  • Como o crescimento do malware “assinado” levanta questões sobre a validade dos certificados digitais.
  • Por que o spam global apresentou um pico de 125% no último trimestre.
  • Como as moedas virtuais possibilitam níveis nunca vistos de atividade criminosa na Deep Web.

Para ler o relatório, clique nos links abaixo:

 

adobe

Quase 150 milhões de usuários foram afetados pelo vazamento de dados de clientes da Adobe, um número 20 vezes maior do que a empresa havia admitido inicialmente.

No site http://adobe.cynic.al, o programador @Hilare_Belloc criou uma ferramenta que verifica se o seu endereço de email estava na lista do banco de dados de 10Gb que vazou na semana passada. Se o seu endereço de email não estiver na lista você está seguro, mas se estiver, você deve trocar a sua senha o quanto antes, pois há grandes chances da sua senha estar comprometida.

Erro de criptografia

Além de permitir que os dados fossem roubados, a Adobe também cometeu outros dois grandes erros no armazenamento dos dados. O primeiro problema é que todas as senhas foram criptografadas com a mesma chave, e para piorar a situação, o método utilizado na criptografia não protege os dados adequadamente.

O método utilizado, chamado de ECB, faz com que senhas iguais sejam idênticas após a criptografia. Ou sejam se o banco de dados possui quase 2 milhões de senhas criptografadas e que aparecem iguais, como por exemplo “EQ7fIpT7i/Q”, os pesquisadores sabem que todas essas pessoas possuem a mesma senha. A partir daí basta analisar as dicas de senha dos usuários (que não estavam criptografadas) e tentar descobrir a senha.

Nesse exemplo em específico, as dicas continham informações como: “numbers”, “12”, “654321” e “123456”, sendo que o último provavelmente é a própria senha, que foi utilizada por quase 2 milhões de usuários.

O PCI Security Standards Council (PCI SSC) publicou a versão 3.0 dos seus padrões, o PCI Data Security Standard (PCI DSS) e o Payment Application Data Security Standard (PA-DSS). O novo padrão já está disponível para download no site do PCI SSC, e entra em vigor no dia 01/01/2014. A versão 2.0 continuará ativa até 31/12/2014, garantindo que as empresas possam se preparar adequadamente para a transição.

Os novos requerimentos incluem (em inglês):

PCI DSS 

  • Req. 5.1.2 – evaluate evolving malware threats for any systems not considered to be commonly affected
  • Req. 8.2.3 – combined minimum password complexity and strength requirements into one, and increased flexibility for alternatives
  • Req. 8.5.1 – for service providers with remote access to customer premises, use unique authentication credentials for each customer*
  • Req. 8.6 – where other authentication mechanisms are used (for example, physical or logical security tokens, smart cards, certificates, etc.) these must be linked to an individual account and ensure only the intended user can gain access
  • Req. 9.3 – control physical access to sensitive areas for onsite personnel, including a process to authorize access, and revoke access immediately upon termination
  • Req. 9.9 – protect devices that capture payment card data via direct physical interaction with the card from tampering and substitution*
  • Req. 11.3 and 11.3.4 – implement a methodology for penetration testing; if segmentation is used to isolate the cardholder data environment from other networks, perform penetration tests to verify that the segmentation methods are operational and effective*
  • Req. 11.5.1 – implement a process to respond to any alerts generated by the change-detection mechanism
  • Req. 12.8.5 – maintain information about which PCI DSS requirements are managed by each service provider, and which are managed by the entity
  • Req. 12.9 – for service providers, provide the written, agreement/acknowledgment to their customers as specified at requirement 12.8.2*

PA-DSS 

  • Req. 5.1.5 – payment application developers to verify integrity of source code during the development process
  • Req. 5.1.6 – payment applications to be developed according to industry best practices for secure coding techniques
  • Req. 5.4 – payment application vendors to incorporate versioning methodology for each payment application
  • Req. 5.5 – payment application vendors to incorporate risk assessment techniques into their software development process
  • Req. 7.3 – application vendor to provide release notes for all application updates
  • Req. 10.2.2 – vendors with remote access to customer premises (for example, to provide support/maintenance services) use unique authentication credentials for each customer
  • Req. 14.1 – provide information security and PA-DSS training for vendor personnel with PA-DSS responsibility at least annually

*Indica requerimentos com datas futuras e serão consideradas melhores práticas até Julho/2015.

Confiram abaixo o infográfico do PCI-DSS v3.0 (clique na imagem para ampliar).

PCIDSS