Alckmin afasta funcionário por vazamento de informações

1 . março . 2011 1 comentário

O Governador de SP, Geraldo Alckmin, afastou nesta terça-feira o sociólogo Tulio Kahn por vazamento de informações sigilosas referentes à estatísticas de violência no Estado. De acordo com a matéria da Folha, o sociólogo vendia serviços de consultoria com informações vetadas “para não alarmar o público”. Entre as informações estaria o tipo de bens levados com maior frequência em assaltos a condomínios de São Paulo e os furtos mais comuns na região de Campinas. Não havia, no entanto, informações sobre ruas ou locais específicos.

O sociólogo nega o vazamento das informações.

A notícia é da Folha de São Paulo e pode ser lida em http://www1.folha.uol.com.br/cotidiano/882683-alckmin-afasta-funcionario-por-venda-de-dados-sigilosos.shtml.

Anúncios

Gmail restaura contas de usuários

O Google informou hoje que recuperou de fitas de backup as mensagens de 40.000 contas de e-mail, ou 0.02% da base (antes o percentual era 0.08). No final do dia 28.02 uma pane apagou milhares de contas e os detalhes sobre o problema podem ser visualizados no blog do Gmail em http://gmailblog.blogspot.com/2011/02/gmail-back-soon-for-everyone.html.

Esta não é a primeira vez que o Gmail sofre de indisponibilidade temporária. Em incidentes ocorridos nos últimos anos, o Gmail ficou indisponível para alguns usuários que não conseguiam acessar o site do serviço. Dessa vez, pequena parte dos usuários foi afetada, recebendo a tela inicial de criação de conta ao tentar fazer logon. Ou seja, a conta estava vazia.

Para reduzir o risco de indisponibilidade, o usuário pode baixar suas mensagens para o computador local. Isso evita apenas que o usuário fique temporariamente sem uma informação necessária (se estiver com acesso ao computador onde as mensagens estão armazenadas), no entanto, dependendo do problema, pode não conseguir enviar e-mails. Qualquer programa de e-mail que suporte conexões criptografadas (SSL) pode ser usado.

Hora do Recreio: Grandma proof

26 . fevereiro . 2010 1 comentário

Da série “Mantenha seu laptop longe da sua avó” ou “Testando a Gestão da Continuidade de Negócios com o Lenovo Pizzapad“.

TED 2009: O sexto sentido, por Pattie Maes

25 . fevereiro . 2010 1 comentário

A dica é do Cláudio Barizon, do blog Beta.

O texto sobre o vídeo no site do TED já diz tudo:

Esta demonstração — do laboratório da Pattie Maes no MIT, coordenado por Pranav Mistry — foi um destaque no TED…. É um dispositivo que se veste, com um projetor que abre caminho para uma profunda interação com o meio a sua volta. Imaginem “Minority Report”, e então algo mais…

Para ver o vídeo, em inglês, com legendas em português, selecione View subtitles (na janela do vídeo) e selecione Portuguese (Brazil).

Categorias:Tecnologia

2010 CWE/SANS Top 25 Most Dangerous Programming Errors

25 . fevereiro . 2010 3 comentários

O SANS, o Mitre e alguns fabricantes de software de segurança nos EUA e Europa se juntaram e criaram uma relação com as 25 maiores vulnerabilidades de aplicações, assim como o OWASP compila a relação Top Ten de vulnerabilidades (também de aplicações).

Para ler a relação das 25 maiores vulnerabilidades (em inglês), clique aqui.

Comentário meu:

Os desenvolvedores não são os únicos culpados pelas vulnerabilidades existentes nos ativos de informação, mas com certeza tem grande responsabilidade, já que cada vez mais as empresas precisam desenvolver ou customizar suas aplicações web internas e externas, por exemplo. Para comprovar isso basta verificar o número de vagas abertas para programadores nas principais linguagens e bancos de dados usados hoje em dia. Além disso, como há uma tendência crescente de exibição de conteúdo dinâmico em portais e intranets, cada vez mais utiliza-se acesso a bancos de dados e a outros sites para relacionar as informações.

Um dos problemas dessa história é que alguns recrutadores vêem os desenvolvedores como commodities, como sacas de café, por exemplo. Se precisam que uma aplicação seja desenvolvida, vão nos sites de vagas de TI e contratam um, sem levar em consideração o conhecimento em segurança da informação e segurança no desenvolvimento de aplicações (principalmente nas linguagens e bancos de dados que serão usados). Quero dizer que, contratar um serviço personalizado como esse, levando em consideração as regras de negócio (ou necessidades do cliente), as linguagens de programação que serão utilizadas, as particularidades da infraestrutura existente e ainda as vulnerabilidades intrínsecas da comunicação na Internet, não é a mesma coisa que comprar bananas no supermercado. Por outro lado, as empresas investem pouco na capacitação de seus colaboradores, deixando a cargo do indivíduo se manter atualizado no que tange tecnologia e ainda, antenado em relação à segurança da informação, que para a maioria das pessoas é um mundo completamente novo.

O processo de desenvolvimento também está mal formatado em muitos lugares. Deixam para pensar em segurança em uma determinada etapa do projeto, quando muitas vezes já não é mais possível corrigir as vulnerabilidades encontradas, pois seria necessário desconstruir um trabalho de meses. Quando chega nesse nível de complicação, o software acaba indo para a “prateleira” com alguns bugs (leia-se vulnerabilidades) que serão corrigidas no projeto que criará a versão seguinte. Para reduzir esse risco, segurança da informação tem que acompanhar o desenvolvimento em todas as suas etapas.

Guias como esse e o do OWASP servem para preencher essa lacuna de conhecimento, divulgar as vulnerabilidades e permitir a criação de checklists para verificação de código-fonte. Vale a pena conferir ambos os trabalhos!

OWASP retorna ao Brasil em 2010

24 . fevereiro . 2010 Deixe um comentário

Após o sucesso da conferência de 2009, em Brasília, que contou com mais de 200 participantes, o OWASP AppSec Brasil está organizando um novo evento. A conferência deve acontecer ainda este ano em Campinas, SP.

O anúncio foi feito esse mês no blog do grupo e também foi anunciada a intenção de executar um evento maior ainda, o OWASP AppSec Latin America 2011. Membros poderão propor locais para o evento, que ainda não está definido.

Veja aqui o texto (em inglês) no blog do OWASP.

Relatório sobre segurança no Mac OS X

23 . fevereiro . 2010 Deixe um comentário

Depois de tudo o que já foi dito sobre a segurança do Mac, é bom ficar atento.

Veja o post do blog WebAppSec, do capítulo Portugal do OWASP:

Intego, uma empresa que comercializa um software chamado VirusBarrier, um dos melhores software anti-virus disponíveis para a plataforma Mac OS X (linha Mac e iPhone), disponibilizou o seu relatório anual de segurança em que fala das principais ameaças a que os dispositivos da marca da maçã estiveram sujeitos durante 2009.

Deste relatório é possível destacar o seguinte:

  1. Que as ameaças continua ainda a ser muito limitadas, embora se note uma tendência para que as mesmas cresçam;
  2. As principais ameaças resultam da instalação de software pirateado (iWork’09, Adobe CS4), ou resultam de fazer Jailbreak ao iPhone e instalar o OpenSSH;
  3. Que apesar de tudo, grande parte destas ameaças necessitam de uma colaboração total por parte dos utilizadores dos dispositivos;
  4. Apesar de tudo, começam já a existir software de segurança de qualidade que podem ajudar a detectar e corrigir estes mesmos problemas.

Apesar da plataforma Mac continuar a ser pouco visada pelos atacantes, a verdade é que esses mesmos ataques mostram uma tendência para crescer. Estes ataques parecem visar para já apenas software de terceiros, em que existe uma implantação mais alargada do mesmo, mas a verdadeira exposição poderá acontecer (se nada for feito) quando os ataques acontecerem ao nível do próprio sistema operativo.

O relatório pode ser visto diretamente no link http://blog.intego.com/images/yims2009.pdf.

%d blogueiros gostam disto: