Não importa o tamanho de sua senha, ela será hackeada.

quinta-feira, 30 de junho de 2016


Nas últimas semanas tivemos mais um grande vazamento de senhas de uma importante rede social, no qual 167 milhões de credenciais foram expostas na internet. Assim como a maior rede de relacionamentos profissionais outros serviços famosos já sofreram com o mesmo problema.

Muitos usuários ao saberem que sua credencial foi comprometida, correram para alterá-la e muitos tiveram que trocar a senha em diversos outros serviços, como por exemplo a do webmail corporativo, pois era a mesma senha utilizada.

Quem nunca cadastrou a mesma senha em vários sites? Ou que adotou um padrão/método de criação, mudando apenas um número ou palavra na combinação escolhida?

Recentemente um grande profissional de tecnologia e CEO da maior rede social do mundo virou notícia após ter sua senha divulgada e que a utilizava em diversos sites, além de não seguir as melhores práticas de criação de passwords.

Adotar o uso de senhas longas e complexas com diferentes tipos de caracteres e não re-utiliza-las para diferentes serviços, será que isso irá mesmo proteger nossas credenciais?

Muitos atacantes comprometem a segurança dos sites, no qual muitas vezes, conseguem acesso a base de senhas e mesmo que estejam salvas criptografadas é possível quebrar esta proteção utilizando técnicas específicas e o poder computacional atual. Alguns também utilizam de malwares ou programas maliciosos para infectar o computador da vítima, além de interceptar as conexões entre o computador do usuário e o site de acesso, que por vezes estão desprotegidas ou mal configuradas, para conseguir furtar as credencias.

Qualquer usuário que já realizou um pagamento ou transferência pelo site de seu banco, já deve ter tido a experiência de usar além da senha o seu token com uma sequência de números que é trocada a cada 30 segundos. Ou até mesmo usar o smartphone com um App instalado que faz exatamente a mesma coisa.

Este segundo fator de autenticação é uma camada adicional para proteger sua credencial mesmo que a sua senha tenha sido comprometida. É como alguém ter conseguido uma cópia da chave de sua casa e ao tentar entrar, não conseguir, pois a porta está fechada também por um trinco.

Com essa mesma analogia de trincos eu faço uma pequena demonstração no vídeo a seguir de um ataque de força bruta (brute-force) a um blog Wordpress, no qual as vezes é possível descobrir o login e a senha do usuário. Ao final utilizo uma ferramenta que protege minha credencial com um segundo fator de autenticação instalado em meu smartphone, utilizando o aplicativo “Latch” da Eleven Paths, que pode ser integrado em diversas linguagens, portais, VPN, Sistemas Operacionais, webmails, Open-SSH, e-commerce, entre outros.

O teste foi realizado em meu próprio site de blog pessoal em Wordpress, apenas para realização desta demonstração:



O Wordpress é um CMS, gerenciador de conteúdo, muito utilizado por usuários e empresas, não só para criação de simples blogs, mas também para a construção de sites complexos e até para a criação de e-commerce, o que requer ainda mais atenção, principalmente para o administrador do site que possui privilégios de alteração de conteúdo, criação de usuários, instalação de plugins, etc.

A autenticação usando um aplicativo instalado no smartphone pode ser usado até mesmo em caixas eletrônicos ATMs para proteger os usuários de técnicas chamadas de “skimmers”, que são falsos teclados sobrepostos fisicamente ao teclado original do ATM para capturar as senhas bancárias, ou até mesmo, para uma compra com cartão de crédito em uma loja de varejo ou postos de gasolina, permitindo que o próprio cliente negue ou aprove as compras com o seu cartão.
Em breve, a tecnologia irá substituir as senhas comuns por uma autenticação mais robusta que agregue as contas pessoais do usuário por algo que o identifique melhor. Como por exemplo, o número de telefone, visto que a grande maioria de usuários possuem um aparelho celular e que a operadora faz diversos procedimentos de checagem de identidade ao conceder um número ao cliente.

Os celulares vêm equipados com um smartcard (SIMcard) que assim como os cartões bancários são protegidos por senha(PIN) e conseguem armazenar certificados digitais que garantem a autenticidade, integridade, confidencialidade e não repúdio em uma transação e podem usar a rede da operadora, mesmo que sem acesso a internet.

Não importa o quanto sua senha seja complexa e difícil de adivinhar, se o serviço ou site que você deseja acessar possui a possibilidade de um segundo fator de autenticação, ative-o para aumentar ainda mais sua proteção.

Também pode interessar:
Guías detalladas de instalación de Latch en Wordpress, Joomla, Drupal, PrestaShop y RoundCube
Eleven Paths Talks: Wordpress in Paranoid Mode


Luiz Henrique Barbosa (Cabuloso)

Product Manager Cybersecurity B2B


Saiba mais em:
latch.elevenpaths.com

ElevenPaths Talks: Wordpress in Paranoid Mode

terça-feira, 28 de junho de 2016



 
Na próxima quinta-feira 30 de Junho o nosso colega e especialista de segurança Pablo Gonzáles irá palestrar sobre a o futuro das senhas. Pablo está na parte de idéias rápidas e testes de conceito na área da inovação. Às vezes também domina idéias loucas que são testadas rapidamente. Wordpress in Paranoid Mode nasceu assim, de uma idéia que Chema Alonso e Pablo Gonzalez trabalharam. Wordpress in Paranoid Mode é um código que permite fortalecer o mecanismo de banse de dados, através de um 2FA como Latch, localizado por trás do aplicativo Wordpress. Assim, quando alguém manipular o tráfego ou consultas ou hája uma vulnerabilidade de SQL Injection não se pode modificar, apagar ou inserir dados, para que proteger a integridade e disponibilidade da informação.

 

A duração da palestra do Pablo Gonzáles será cerca de 30 minutos, divididos entre 20 e 25 minutos de exposição e de 5 a 10 minutos de perguntas e respostas. O cronograma da palestra será 15.30 (GMT + 1). A sessão será realizada em Espanhol/Castelhano. A palestra também estará disponível ao final da apresentação em nosso canal de YouTube para assistirem on-demand. A apresentação será realizada utilizando a ferramenta Hangout.

Estamos te esperando para que o Pablo Gonzáles possa lhe ensinar tudo o que você precisa saber sobre o WordPress in Paranoid Mode, norma de boas prácticas para a segurança da informação. Você pode ainda consultar o calendário de talks para ver as que ainda faltam para serem realizadas. Lembre-se, você tem um compromisso, em 23 de Junho, às 15.30 horas (GMT + 1).

Para se inscrever deve usar o seguinte formulário ElevenPaths Talks.

Recomendamos também a lista de webcasts que os nossos colegas CSAs foram ensinando em ElevenPaths:

ElevenPaths Talks: As senhas desaparecem?

terça-feira, 21 de junho de 2016



 
Na próxima quinta-feira 23 de Junho o nosso colega e especialista de segurança Claudio Caracciolo irá palestrar sobre a o futuro das senhas. poderiam desaparecer em um curto período de tempo? Esta e muitas outras perguntas que surgem serão respondidas pelo nosso CSA. As senhas fracas na sua propria natureza fazem que a inovação passe por uma proposta confiável, segura e robusta para proteger identidades digitais. Sem dúvida, estamos no final das senhas. Você não deve perder essa conversa interessante dada por Claudio.

A duração da palestra do Claudio Caracciolo será cerca de 30 minutos, divididos entre 20 e 25 minutos de exposição e de 5 a 10 minutos de perguntas e respostas. O cronograma da palestra será 15.30 (GMT + 1). A sessão será realizada em Espanhol/Castelhano. A palestra também estará disponível ao final da apresentação em nosso canal de YouTube para assistirem on-demand. A apresentação será realizada utilizando a ferramenta Hangout.

Estamos te esperando para que nosso CSA possa lhe ensinar tudo o que você precisa saber sobre o mundo ISF, norma de boas prácticas para a segurança da informação. Você pode ainda consultar o calendário de talks para ver as que ainda faltam para serem realizadas. Lembre-se, você tem um compromisso, em 23 de Junho, às 15.30 horas (GMT + 1).

Para se inscrever deve usar o seguinte formulário ElevenPaths Talks.

Veja e saiba mais sobre os ElevenPaths Talks que tiveram lugar nas quintas-feiras passadas, não vai querer perder:

ElevenPaths e Fortinet assinamos Aliança Estratégica para oferecer serviços de gerenciamento de segurança

quarta-feira, 15 de junho de 2016


O acordo amplia uma relação de 15 anos oferecendo segurança adaptativa e ininterrupta para IoT e Cloud

SUNNYVALE, Califórnia. – 15 de Junho de 2016. – Telefônica (NYSE: VIV), um dos principais fornecedores de soluções e serviços de comunicações do mundo e a Fortinet® (NASDAQ: FTNT), líder global em soluções e serviços de cibersegurança de alta performance, anunciaram hoje uma aliança estratégica que adiciona a arquitetura Security Fabric da Fortnet a carteira de serviços de segurança gerenciada da Telefônica.

  • O acordo reforça a Fortinet como parceiro estratégico de infraestruturas de segurança na oferta de soluções integradas com alguns dos principais serviços de segurança gerenciada da Telefônica, incluindo o serviço de Redes Limpas, o serviço Faast de pentesting persistente e aplicação de patches virtuais e o serviço Metashield Protector que realiza a eliminação de metadados de arquivos ambos da ElevenPaths.
  • A Fortinet é o provedor de infraestrutura de segurança utilizado nas implantações de Rede Limpas da Telefônica para todo o mundo na atualidade e, seguirá sendo parte da evolução desta arquitetura.
  • Os clientes da Telefônica serão beneficiados com a combinação da estratégia de serviços de segurança da Telefônica e da Fortinet Security Fabric que proporcionam cibersegurança integral e adaptativa desde IoT até Cloud.
Segurança desenhada para proporcionar tranquilidade aos clientes
O aumento da conscientização sobre os riscos da cibersegurança enfrentados pelas empresas, desafiando suas capacidades operacionais e a crescente necessidade de cumprir com as normas de segurança estão impulsionando as empresas de todos os tipos a transferir estes riscos para fora de seus departamentos de TI deixando nas mãos de profissionais.

Apesar das tendências tecnológicas tais como IoT e Cloud Computing estarem eliminando as fronteiras das atuais redes, a Fortinet Security Fabric, combinando com os produtos e serviços de segurança da ElevenPaths (Telefônica) permite aos clientes entrelaçar um solução escalável de proteção contra um amplo número de ameaças e, conseguir uma infraestrutura de segurança eficaz, sem fissuras e sem comprometer da agilidade e da performance. Além de que os Clientes da Telefônica podem aproveitar de um hardware e software avançado que permite a comunicação direta entra as soluções de segurança facilitando assim uma resposta a ameaças de forma rápida e unificada. A Fortinet Security Fabric, impulsionado pelo processador de conteúdo FortiASIC e o sistema operacional de segurança FortiOS, permite ao clientes implementar a segmentação das redes internas, assim como outra estratégias inovadoras de segurança proporcionando uma proteção integral contra o crescente número de ameaças na crescente superfície de ataque.

O enfoque da segurança integral da Telefônica apoia-se nos serviços e tecnologias que le tem aportado o reconhecimento como uma autoridade nas soluções de segurança. A combinação das inovações in-house com as alianças estratégicas proporcionando uma oferta completa de gestão da segurança. Isto permite aos clientes alcançar objetivos de segurança que são críticos para o negócio, mantendo os custos operacionais previsíveis e colaborando com as equipes de TI, normalmente sobrecarregados, atuarem de forma antecipada ao problemas de segurança.

Depoimentos de apoio:
Patrice Perche, Vicepresidente Senior de vendas e suporte internacional da Fortinet
“Estamos trabalhando em conjunto com a Telefônica a aproximadamente 15 anos. Esta aliança de sucesso é o resultado de nosso objetivo em comum – proporcionar as tecnologias de segurança que os clientes necessitam para proteger e fazer com seus negócios cresçam. A Telefônica está ampliando sua área de cobertura, ofertas de serviços em rede, base de clientes e necessita de um sócio de segurança para ajudar a manter uma alta performance com escalabilidade e sem interrupções. Sua ampla experiência em segurança e redes de comunicação, seu pessoal especializado e o desenvolvimento de serviços de segurança gerenciada baseada em inteligência, faz com que seus clientes estejam em boas mãos”.

Pedro Pablo Pérez, CEO da ElevenPaths e Telefonica Global Security Managing Director
“Hoje em dia nossos clientes enfrentam uma escassez de talentos no âmbito da segurança, assim como regulamentações cada vez mais severas e aumentos nos requisitos para o cumprimento das normas. Tudo isso se agrava devido a um entorno de ciberameaças em constate mudança. Para ter sucesso, nossos clientes necessitam recorrer a sócios que os ajudem a implementar os processos e a tecnologia necessária. O fator crítico de diferenciação que a Telefônica e a Fortinet proporcionam a seus clientes, é a tecnologia de segurança adaptativa e inteligente. Fortinet Security Fabric, em combinação com os produtos da ElevenPaths da Telefônica, oferece uma segurança integral e inteligente que completa e protege os entornos distribuídos, podendo construir e aplicar uma política de segurança consistente e sem falhas tanto para os entornos de rede local como para cloud ou mesmo sobre arquiteturas complexas”.

» Baixar nota de prensa em PDF

Mais informação em
www.elevenpaths.com

ElevenPaths Talks: SealSign na Internet das coisas



 
Na próxima quinta-feira 16 de Junho o nosso colega e especialista de segurança Jorge Rivera irá palestrar sobre a SealSign na Internet das Coisas. O que é, conceitos que englobam e como você pode aproveitar ao máximo a partir do ponto de vista de segurança cibernética e a Internet das Coisas será visto por Jorge. Hoje em dia, a Internet das Coisas continua a sua grande expansão e precisa de mecanismos que ajudem a proteger nos e a nossa interação e o uso de novas tecnologias.

A duração da palestra do Jorge Rivera será cerca de 30 minutos, divididos entre 20 e 25 minutos de exposição e de 5 a 10 minutos de perguntas e respostas. O cronograma da palestra será 15.30 (GMT + 1). A sessão será realizada em Espanhol/Castelhano. A palestra também estará disponível ao final da apresentação em nosso canal de YouTube para assistirem on-demand. A apresentação será realizada utilizando a ferramenta Hangout.

Estamos te esperando para que nosso CSA possa lhe ensinar tudo o que você precisa saber sobre o mundo ISF, norma de boas prácticas para a segurança da informação. Você pode ainda consultar o calendário de talks para ver as que ainda faltam para serem realizadas. Lembre-se, você tem um compromisso, em 16 de Junho, às 15.30 horas (GMT + 1).

Para se inscrever deve usar o seguinte formulário ElevenPaths Talks.

Veja e saiba mais sobre os ElevenPaths Talks que tiveram lugar nas quintas-feiras passadas, não vai querer perder:

ElevenPaths Talks: A análise de riscos

quarta-feira, 8 de junho de 2016



 
Na próxima quinta-feira 09 de Junho o nosso colega e especialista de segurança Gabriel Bergel irá palestrar sobre a análise de riscos. O que é, conceitos que englobam e como você pode aproveitar ao máximo a partir do ponto de vista de segurança cibernética será visto por Gabriel. Hoje em dia, a análise de risco é um dos aspectos fundamentais no mundo da segurança. Não é fácil realizar uma boa análise de risco, Gabriel mostrar-nos quais são os pontos chaves para ele. Também recomendamos esta palestra que Leonardo deu na ElevenPaths.




A duração da palestra do Gabriel Bergel será cerca de 30 minutos, divididos entre 20 e 25 minutos de exposição e de 5 a 10 minutos de perguntas e respostas. O cronograma da palestra será 15.30 (GMT + 1). A sessão será realizada em Espanhol/Castelhano. A palestra também estará disponível ao final da apresentação em nosso canal de YouTube para assistirem on-demand. A apresentação será realizada utilizando a ferramenta Hangout.

Estamos te esperando para que nosso CSA possa lhe ensinar tudo o que você precisa saber sobre o mundo ISF, norma de boas prácticas para a segurança da informação. Você pode ainda consultar o calendário de talks para ver as que ainda faltam para serem realizadas. Lembre-se, você tem um compromisso, em 09 de Junho, às 15.30 horas (GMT + 1).

Para se inscrever deve usar o seguinte formulário ElevenPaths Talks.

Veja e saiba mais sobre os ElevenPaths Talks que tiveram lugar nas quintas-feiras passadas, não vai querer perder:

ElevenPaths Talks: OSINT e o poder da informação pública

quarta-feira, 1 de junho de 2016



 
Na próxima quinta-feira 02 de Junho o nosso colega e especialista de segurança Diego Samuel Espitía irá palestrar sobre OSINT e o poder da informação pública. O que é, conceitos que englobam e como você pode aproveitar ao máximo a partir do ponto de vista de segurança cibernética será visto por Diego. Hoje em dia, OSINT, Open Source INTelligence é um dos principais jogadores dentro da Segurança Cibernética, pois permite grandes quantidades de informações, cruzar, processá-lo e promovê-lo, obtendo importantes resultados com ele. Também recomendamos esta palestra que Leonardo deu na ElevenPaths.




A duração da palestra do Diego Samuel será cerca de 30 minutos, divididos entre 20 e 25 minutos de exposição e de 5 a 10 minutos de perguntas e respostas. O cronograma da palestra será 15.30 (GMT + 1). A sessão será realizada em Espanhol/Castelhano. A palestra também estará disponível ao final da apresentação em nosso canal de YouTube para assistirem on-demand. A apresentação será realizada utilizando a ferramenta Hangout.

Estamos te esperando para que nosso CSA possa lhe ensinar tudo o que você precisa saber sobre o mundo ISF, norma de boas prácticas para a segurança da informação. Você pode ainda consultar o calendário de talks para ver as que ainda faltam para serem realizadas. Lembre-se, você tem um compromisso, em 19 de Maio, às 15.30 horas (GMT + 1).

Para se inscrever deve usar o seguinte formulário ElevenPaths Talks.

Veja e saiba mais sobre os ElevenPaths Talks que tiveram lugar nas quintas-feiras passadas, não vai querer perder: