news Arrow to Content

March 21, 2017

Cyber Security Brazil

 

No próximo dia 28 de Março, o fundador e diretor do Capítulo Brasileiro da CSA estará presente na 3º Edição do evento Cyber Security Brazil, falando sobre segurança em ambientes de computação em nuvem.

O evento irá tratar de temas como estratégias em segurança cibernética para infraestruturas críticas de energia, inovações em inteligência cibernética, IoT, Machine Learning, entre outros. Terá presença de empresas como PwC, Eletrobras, AES Brasil, SABESP e Shell.

Utilize o código SPCSB17 para realizar sua inscrição e receba 15% de desconto.

Confira mais informações sobre o evento aqui.

Categories: Publicações || Tags: , , , , , , , ,

October 31, 2013

Defesa Cibernética do Brasil é falha e requer coordenação única.

Especialistas do setor de Segurança da Informação se mostram reticentes à criação de uma Agência Nacional de Segurança Cibernética, proposta defendida pelo general José Carlos Santos, chefe do Centro de Defesa Cibernética do Brasil. Mas admitem que é preciso uma ação unificada, já que, hoje, há projetos distribuídos e não conectados.

“Do ponto de vista de segurança, muito pouco é olhado, principalmente nos ativos elétricos e de telecom. Há falhas primárias”, adverte Leonardo de Melo Leite, da Fundação para Inovações Tecnológicas (FITEC). Ele não se sente confortável em apoiar uma Agência Nacional de Segurança Cibernética. “Isso precisa ser maturado”, afirmou, ao participar de um debate sobre Internet e Soberania Nacional, durante o Cyber Security, evento realizado pela Network Eventos, nesta terça-feira, 29/10.

 Antonio Moreiras, gerente de desenvolvimento do NIC.br, concorda que há ações diferenciadas dentro do governo e que deveriam ter uma coordenação, mas também se mostra pouco confortável em opinar sobre ter ou não uma Agência Nacional de Segurança Cibernética. ” Nós que somos da área damos muito pouca atenção à segurança. Quando um desenvolvedor está projetando um sistema, ele pensa em como ele vai ser usado, mas também para os casos de abuso. Como vão tentar invadir esse sistema. E isso não é ensinado na faculdade. E também não se reflete na homologação dos equipamentos”, pondera.

O especialista em segurança do Serpro, Oscar Marques, lembra que o próprio site de campanha do presidente dos EUA, Barack Obama, foi recém-hackeado. “O trabalho para combater as ações criminosas começam dentro de casa. Não acredito que uma agência possa, sozinha, resolver todos os problemas. O profissional precisa assumir a sua parte. O brasileiro com a mania de cachorro vira-lata precisa apostar mais na tecnologia nacional e usar mais a nossa criatividade”.

Paulo Pagliusi, presidente da Cloud Security Alliance do Brasil e diretor da Procela, empresa especializada em Segurança da Informação, afirma não saber se será uma Agência o ponto de coordenação, mas reitera que é necessário ter uma ação unificada. “Esse sacode que o Brasil tomou tem que servir de lição para fazer algo. A informação é uma arma. Precisamos levar o debate para os jovens. Técnicas de segurança estão aí. E há empresas nacionais capacitadas. Precisamos ensinar criptografia”, diz.

Por sua vez, o diretor executivo do Instituto Coaliza, Lincoln Werneck, lembra que se caso um dia venha existir uma agência para Segurança da Informação, que ela não seja regulatória. “Ela deve ser técnica e comandada por técnicos. Políticas Públicas no Brasil são raras. O certo é: não é possível realizar ações de segurança efetivas sem apoio do Estado. Elas são muito caras e precisam de recursos efetivos”.

A CDTV, do portal Convergência Digital, mostra o posicionamento dos especialistas sobre a necessidade de uma agência reguladora para Segurança Cibernética. Assistam clicando aqui.

Fonte: Convergência Digital

Diretoria de Comunicação e Mídias Digitais

Categories: Publicações || Tags: , , , , , , ,

October 21, 2013

CPI da Espionagem ouve Presidente da CSABR e ex-secretário de Segurança do RJ

A Comissão Parlamentar de Inquérito (CPI) da Espionagem realizará audiência pública na terça-feira (22) para ouvir o ex-secretário de Segurança Pública do Rio de Janeiro, Marcelo Itagiba e o pós-doutor em Segurança da Informação e presidente da Cloud Security Alliance Brasil, Paulo Sérgio Pagliusi. O objetivo da CPI é investigar ações de espionagem dos Estados Unidos no Brasil.

Já foram ouvidos pela CPI a presidente da Petrobrás, Maria das Graças Foster, que falou aos senadores sobre a posição da empresa diante das denúncias de que o governo norte-americano teria monitorado informações estratégicas da petrolífera brasileira, e o jornalista norte-americano Glenn Greenwald, que divulgou as informações sobre espíonagem dos Estados Unidos, que lhe foram fornecidas por um ex-funcionário da agência nacional de segurança daquele país.

Glenn Greenwald afirmou à comissão que os principais objetivos da espionagem dos Estados Unidos em outras nações é ampliar seu poder no mundo e obter vantagens econômicas para seu governo e suas empresas.

A CPI da Espionagem foi instalada no dia 3 de setembro após terem sidos divulgadas denúncias sobre ações de espionagem dos Estados Unidos no Brasil, tendo por alvo governos, empresas e cidadãos brasileiros.

Composta de 11 senadores titulares e sete suplentes, a comissão é presidida pela senadora Vanessa Grazziotin (PCdoB-AM) e tem como vice-presidente o senador Pedro Taques (PDT-MT). O senador Ricardo Ferraço (PMDB-ES) é o relator da CPI.

Diretoria de Comunicação e Mídias Digitais

Fonte: Agência Senado Federal

Categories: Publicações || Tags: , , ,

October 15, 2013

CSABR apoia e participa da XIII FEUCTEC

A FEUCTEC é a semana acadêmica dos cursos de Licenciatura em Computação e Bacharelado em Sistemas de Informação da FEUC e foi criada no intuito de apresentar trabalhos acadêmicos, palestras e minicursos aos alunos e visitantes interessados em tecnologia da informação, as inscrições para a semana foram abertas no dia 01/10.

Com o intuito de levar o conhecimento aos jovens universitários, o Instituto Coaliza e a Cloud Security Alliance – Capitulo Brasil formalizaram o apoio institucional ao evento e estarão presentes na semana acadêmica que tem o tema: Cultura Hacker.

Veja a programação completa e os palestrantes no link abaixo.
http://goo.gl/RvcyDK

Diretoria de Comunicação e Mídias Digitais

Categories: Publicações || Tags: , , ,

September 9, 2013

Artigo: Criptografia pode servir de mapa da mina

Segundo Sun Tzu, “a arte da guerra nos ensina a não confiar na probabilidade de o inimigo não estar vindo, mas na nossa própria prontidão para recebê-lo; não na chance de ele não nos atacar, mas sim no fato de que fizemos a nossa posição inatacável”.

Ao ter a oportunidade de acessar uma parte do conteúdo obtido pelo denunciante Edward Snowden, a respeito do programa clandestino de vigilância eletrônica de dados em massa denominado PRISM, a frase do estrategista chinês foi a primeira que me veio à mente.

Operado pela Agência de Segurança Nacional dos Estados Unidos (NSA), PRISM é um nome de código governamental americano que se refere a um esforço de coleta de dados conhecido oficialmente por SIGAD US-984XN.

O material que acessei é composto por slides cujo conteúdo possuía todas as evidências de que foram destinados a treinamento de agentes da NSA. Pelo que foi possível perceber, os módulos do programa PRISM a que tive acesso (com codinomes bem pitorescos, como “FlyingPig” — e logomarca de um leitão com asas) mapeiam diversas informações sobre as comunicações de um alvo previamente selecionado, composto principalmente por nomes de empresas bem conhecidas, como a Petrobras, além de outras grandes empresas multinacionais e mesmo um órgão de relações exteriores de um país europeu.

Para ler a matéria completa, clique neste link

Ph.D Paulo Pagliusi
Presidente
Cloud Security Alliance – Capítulo Brasil

 

Categories: Publicações || Tags: , , , , , ,

June 20, 2012

Eleição na Cloud Security Alliance Brasil

Atenta ao crescimento da nuvem no mercado de TI, a CSA-Brasil elege nova Diretoria.

O mercado de TI no Brasil passa por um histórico momento de transformação, em que empresas de todos os portes buscam redução de custos e agilidade no lançamento de novos produtos e serviços.

Como tais objetivos podem ser mais bem alcançados com o uso da computação em nuvem, hoje a migração da computação tradicional das empresas para este novo ambiente não é mais uma questão de ‘se’, mas sim de ‘quando’ irá ocorrer.

Em função desta tendência, surge um novo e enorme mercado no país, praticamente desatendido, com demanda que cresce exponencialmente para serviços profissionais, que incluem a consultoria para construção de infraestruturas de nuvem pública, privada e híbrida.

E a segurança do ambiente corporativo de computação em nuvem assume papel preponderante neste processo, viabilizador da confiança indispensável a essa migração.

Em plena sintonia com esta exponencial mudança no mercado brasileiro de TI, que segue a tendência de crescimento global da nuvem, o capítulo Brasil da Cloud Security Alliance – CSABR tem como missão promover a utilização das melhores práticas para a prestação de garantia de segurança dentro da computação em nuvem.

Além disto, também oferece educação sobre os usos da nuvem, de modo a ajudar as corporações a protegerem também todas as outras formas de computação.

Na mais recente eleição da sua Diretoria, passou a compor o board do capítulo CSABR, como Presidente, André Serralheiro; como Vice-Presidente, Anchises Moraes ; como Diretores: Eduardo Haruo Kamioka, Leonardo Goldim, Marcelo Carvalho , Paulo Sergio Pagliusi, Reginaldo Sarraf e Uelinton Santos. A CSABR também elegeu os Colaboradores: Cristian Latapiat, Lincoln Werneck, Luiz Felipe FerreiraMarco SinhoreliOlympio Rennó, Ricardo MakinoWalter Capanema e Yuri Diogenes.

Entre os próximos desafios da equipe da CSABR, encontra-se a tradução, para o português, do CSA Security GuidanceV.3 (Guia de Segurança para Áreas Críticas com foco em Nuvem), que descreve as melhores práticas para gestores que querem adotar o paradigma da nuvem de forma segura – e o desenvolvimento de um White Paper inédito, intitulado “Adoção de Computação em Nuvem e suas Motivações”.

Página Oficial:
CSA-Brasil

Fan Page:
CSA-Brasil

Twitter:
CSA-Brasil


 

Categories: Publicações || Tags: , , , , ,

April 4, 2012

Segurança na Nuvem – Capítulo Especial

Os autores do Livro “Certificação Security+, da prática para o exame SYO-301“, Yuri Diógenes e Daniel Mauser adicionaram um capítulo especial em PDF que trata sobre a Segurança na Nuvem.

Clique aqui para baixar o capítulo.

Categories: Publicações || Tags: , , , , ,

April 3, 2012

Nuvem Ganha Diretrizes de Segurança

Depois de quase um ano de muito trabalho, o Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos apresentou uma publicação de 80 páginas intitulada “Guidelines on Security and Privacy in Public Cloud Computing”, com diretrizes e orientações sobre segurança e privacidade na computação em nuvem. Objetivo é auxiliar corporações e governos na tarefa de avaliar o uso da nuvem pública.

Segundo a descrição feita pelo próprio NIST, o documento traz “uma visão geral sobre os desafios de segurança e privacidade relacionados à cloud computing pública. Além disso, apresenta recomendações que as organizações devem considerar ao terceirizar dados, aplicativos e infraestrutura para um ambiente de nuvem pública. O documento oferece visões sobre ameaças, riscos de tecnologia e meios de proteção relacionados a cloud pública para ajudar as empresas a tomarem decisões baseadas em informações sólidas sobre este uso da tecnologia.”

Ainda de acordo com o instituto, o documento é desenvolvido para os responsáveis por conduzir iniciativas de computação em nuvem; profissionais responsáveis por medidas de privacidade e segurança para cloud computing; adminsitradores de redes e sistemas; e usuários de serviços de nuvem pública.

Para os especialistas, considerando que os ambientes de cloud pública trazem consigo uma série de desafios de segurança, os quais, talvez, não existam em ambientes de nuvem privada ou híbrida, vale a pena ler as considerações do NIST. Elas ajudam a entender quais são os problemas e preocupações que devem ser endereçadas antes de armazenar os dados em uma nuvem pública.

O estudo completo está disponível em: www.nist.gov/itl/csd/cloud-012412.cfm

Fonte: Convergência Digital

Categories: Publicações || Tags: , , , , , ,

April 3, 2012

Correio Eletrônico na Nuvem – Migração, Riscos e Recomendações de Proteção

Você conhece as vantagens de se migrar o e-mail corporativo para a nuvem? E os cuidados necessários à estratégia de migração? Antes de se adotar o correio eletrônico na nuvem, é preciso levar em conta os custos ocultos, as questões legais, as contratuais e seguir diversas recomendações, inclusive as de segurança. Os principais riscos relativos à adoção do correio eletrônico na nuvem devem ser atentamente analisados.

Uma das principais razões para se pensar em e-mail na nuvem é a significativa economia de escala obtida com esse modelo computacional. A maioria das corporações não tem mais que centenas ou milhares de usuários, enquanto um provedor de nuvem pode fornecer esses serviços para dezenas de milhões de usuários, a custos bem menores – podendo chegar, no limite, a zero. Além disso, devido a restrições orçamentárias, o e-mail interno às organizações não disponibiliza grande capacidade de armazenamento. É comum um e-mail interno ser restrito a 500 MB por usuário, enquanto um e-mail na nuvem oferta 30 GB. O custo por GB na nuvem é bem menor pela economia de escala ofertada e, logo, o provedor pode oferecer, com custo mínimo, maior capacidade de armazenamento.

Entretanto, definir uma estratégia de migração para e-mail na nuvem exige cuidados. Um deles é levar em conta os custos ocultos. Embora o e-mail na nuvem tenha um preço por usuário bem menor, há certos custos que não aparecem imediatamente. Por exemplo, custo do maior uso de redes e banda larga, e da migração do ambiente interno para a nuvem. Também será necessário manter um staff mínimo de suporte, para apoio ao usuário final e para a gestão da interface com o provedor da nuvem.
O contrato com o provedor deve ser analisado com cautela. Alguns itens merecem atenção redobrada, como o custo para retenção longa de backup (archiving) e para o cancelamento do contrato (e migração para outra nuvem). Há também as questões legais. Suas caixas postais podem ficar armazenadas em um centro de dados localizado em outro país? Nesse caso, sob qual jurisdição as questões legais serão resolvidas? E caso haja uma investigação forense, como os dados poderão ser disponibilizados?

 

Quando uma informação é armazenada em nuvem, em última instância será armazenada em um servidor e em um dispositivo de armazenamento residente em algum local físico, que pode ser em outro país, sujeito a legislação distinta. Além disso, por razões técnicas, essa informação poderá migrar de um servidor para outro, estando ambos em países diferentes. Nada impede que a lei de um desses países permita o acesso às informações armazenadas, mesmo sem o consentimento do proprietário.

 

Por exemplo, em diversos países a legislação antiterrorista ou de combate à pedofilia permite o acesso a informações pessoais, sem aviso prévio, em caso de evidências legais de atos criminosos. A questão é que o conceito de computação em nuvem é recente. A legislação em vigor mal entendeu a Internet e está distante de entender a nuvem. Ainda está no paradigma da época em que os PCs viviam isolados e, no máximo, havia troca de disquetes. Apreender um desktop para investigação forense em e-mail cujo conteúdo está em nuvem é totalmente irrelevante. E como obter as informações de discos rígidos virtuais, espalhados por diversos provedores de nuvem? Outros cuidados envolvem a segurança e integração com aplicações que interajam com o serviço de e-mail.

 

Diante do exposto, Cezar Taurion estabelece que, antes da migração do e-mail do ambiente interno para a nuvem, devem ser observadas as seguintes recomendações [1]:
· Criar um projeto específico para a migração do e-mail para a nuvem.
· Determinar claramente os objetivos do projeto em pauta (reduzir custos?).
· Identificar os custos internos por usuário de e-mail e compará-los com os dos provedores de e-mail em nuvem.
·  Analisar diferenças de funcionalidade existentes entre os recursos oferecidos pelo e-mail interno e os oferecidos pelo provedor de nuvem (como nível de disponibilidade, política de backup, consumo da largura de banda por usuário [2]).
· Engajar o setor jurídico no processo de migração, de modo a selecionar o provedor de e-mail na nuvem mais adequado e estudar atentamente o contrato.

 

Passemos à análise dos riscos. Recentemente, diversas organizações adotaram soluções gratuitas de e-mail baseado em nuvem, como o Google GmailTM, Yahoo MailTM e HotmailTM. Embora para a maioria dos casos tais soluções possam ser excelentes, podem não ser tão adequadas para organizações que necessitam trocar e-mails com conteúdo sensível como, por exemplo, as de defesa. Nestes casos, a segurança provida pelos provedores de e-mail em nuvem é considerada aquém do ideal, devido ao fato de que a maioria dos e-mails é enviada em texto aberto. Assim, para proteger seus e-mails, o remetente precisará criptografá-los, seja fazendo uso de uma infraestrutura de chaves públicas, seja coordenando com o receptor uma forma da informação ser decifrada após o recebimento.

 

Segundo um estudo publicado pelo portal About.com Defense [3], os principais riscos relativos ao correio eletrônico na nuvem podem ser assim resumidos:


1. E-mails e anexos armazenados em qualquer lugar do mundo. Um dos problemas do correio eletrônico em nuvem é que não se sabe em que lugar do mundo os e-mails e anexos são armazenados. Eles poderiam ser facilmente armazenados em países envolvendo distintas legislações. Como exemplo, leia o conteúdo exposto na norma: NIST SP-800-144 – Guidelines on Security and Privacy in Public Cloud Computing [4].

 

2. Provedores de correio eletrônico em nuvem, geralmente, reivindicam licença do conteúdo ofertado, inclusive e-mails. Leia bem os termos e condições, para ter certeza que você não desista de direitos que você não pode abrir mão. Por exemplo, os termos e condições estabelecidos pelo Google GmailTM incluem, na seção 11.1, esta declaração:

 

By submitting, posting or displaying the content you give Google a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services”.

 

Na Seção 11.2, também está escrito:

 

You agree that this license includes a right for Google to make such Content available to other companies, organizations or individuals with whom Google has relationships for the provision of syndicated services, and to use such Content in connection with the provision of those services.

 

Certifique-se de que estas são condições com as quais você pode concordar, antes de utilizar e-mails baseados em nuvem.

 

3. E-mail com relatórios sensíveis de segurança e informações não classificadas, mas restritas, não deve transitar na nuvem. Deve-se atentar para não expor indevidamente informações classificadas, que venham a transitar, desprotegidas, no e-mail em nuvem.


4. Legislação vigente sobre segurança da informação pode restringir o uso do e-mail na nuvem. Se a sua corporação está sujeita a regulamentações, tais como HIPAA ou Sarbanes-Oxley, então é importante que qualquer solução de nuvem que você use para enviar e-mail tenha uma equipe com capacidade e especialização para manter seu negócio em conformidade. Se o provedor é incapaz de fornecer esta garantia, então se deve procurar outro provedor de serviços.


5. Um software em nuvem é considerado aceitável se o provedor ofertar ao cliente garantias e controles de segurança, mas a maioria dos provedores de e-mail em nuvem não as oferece. O consumidor precisa ter certeza de que o provedor de e-mail em nuvem suporta suas necessidades e fornece garantias e mecanismos de controle de segurança, de acordo com a dinâmica exigida pelo ambiente em nuvem. Assim, de acordo com Marcon Jret al, todo provedor de nuvem deve [5]:

  • Controlar o acesso de usuários aos serviços fornecidos pela nuvem – de acordo com as políticas definidas pelo consumidor
  • Honrar os acordos de nível de serviço (SLA –Service Level Agreement) ou contratos de QoS (Quality of Service) estabelecidos com o consumidor
  • Controlar o acesso aos dados dos usuários
  • Controlar o acesso à área do sistema, no nível de usuário e administrativo (com acesso privilegiado)
  • Manter as informações do perfil do usuário e as políticas de controle de acesso atualizadas;
  • Permitir a coleta de informações do perfil do usuário e das políticas de controle de acesso implantadas no provedor de nuvem
  • Fornecer meios de notificação para alterações em contas de usuários (criação, remoção, concessões de acesso), visando coibir configuração de contas falsas ou modificação de direitos de acesso no provedor sem que o consumidor saiba
  • Fornecer trilhas de auditoria para o ambiente de cada consumidor – identificando atividades de gerenciamento e acesso, assim como a utilização de qualquer recurso para o qual sejam estabelecidas cotas de uso.

Em contraste ao exposto, os termos e condições estabelecidos pelo provedor de e-mail em nuvem Google GmailTM incluem, na seção 14.2, a seguinte declaração, indicando que o risco do uso dos serviços é do consumidor, e que o serviço é fornecido “como está” e “quando disponível”:

 

“YOU EXPRESSLY UNDERSTAND AND AGREE THAT YOUR USE OF THE SERVICES IS AT YOUR SOLE RISK AND THAT THE SERVICES ARE PROVIDED “AS IS” AND “AS AVAILABLE.”

 

Finalmente, as vantagens de se migrar o e-mail corporativo para a nuvem são notáveis. Mas a estratégia de migração demanda cuidados prévios. Antes de se adotar o correio eletrônico na nuvem, é preciso levar em conta os custos ocultos, as questões legais, as contratuais e seguir diversas recomendações, inclusive as de segurança. Os principais riscos relativos à adoção do correio eletrônico na nuvem, expostos neste artigo, devem ser analisados com a devida atenção.

 

A Cloud Security Alliance Brazil publicou, em Jun2010, o Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem [6], com as seguintes recomendações, todas aplicáveis ao provedor de e-mail em nuvem:

 

a.      É preciso examinar e avaliar a cadeia de suprimentos do provedor da nuvem (relacionamentos com prestadores de serviço). Isso também significa verificar o gerenciamento de serviços terceirizados feito pelo próprio provedor da nuvem.

 

b.      A avaliação do provedor do serviço em nuvem deve concentrar-se nas políticas de recuperação de desastres e continuidade de negócio, e em seus processos. Deve incluir, também, a revisão das avaliações do provedor destinadas a cumprir exigências de políticas e procedimentos, e a avaliação das métricas usadas pelo provedor, para disponibilizar informações sobre o desempenho e a efetividade dos controles.

 

c.      O plano de recuperação de desastres e continuidade de negócios do consumidor do serviço em nuvem deve incluir cenários de perda dos serviços prestados pelo provedor e da perda, deste último, de suas capacidades dependentes de terceiros.

 

d.      A regulamentação da governança de segurança da informação, a gestão de riscos, as estruturas e os processos do provedor da nuvem devem ser amplamente avaliados.

 

e.      É preciso solicitar documentação de como as instalações e os serviços do provedor da nuvem são avaliados, quanto aos riscos e ao controle de vulnerabilidades.

 

f.      Deve-se solicitar ao provedor da nuvem uma definição do que ele considera fator de sucesso em segurança da informação e serviços críticos, indicadores-chave de desempenho, e como esses pontos são mensurados.


 

[1] Taurion, Cezar. E-mail em nuvem: quando e como?Portal iMasters, Set2010, acesso em Jan2012. Disponível em:http://imasters.com.br/artigo/18170/cloud/e-mail_em_nuvem_quando_e_como/
[2] Segundo Christopher Voce, analista da Forrester, para cada grupo de 100 utilizadores ativos no Outlook instalado localmente são consumidos 37 KB/s de largura de banda. Já o mesmo grupo de 100 utilizadores, ligados ao serviço de e-mail Outlook na plataforma de e-mail em nuvem, requer mais do que o dobro: 85KB/s. Matéria: Seis dicas para a migração do e-mail para a cloud. Portal ComputerWorld, Abr2011, acesso em Jan2012. Disponível em:http://www.computerworld.com.pt/2011/04/01/seis-dicas-para-a-migracao-do-e-mail-para-a-cloud/

 

[3] Bame, Michael. Dangers of Cloud Based Email. Portal About.com Defense, Jan2012, acessado em 12Jan2012. Disponível

em: http://defense.about.com/od/BusinessOps/a/Dangers-Of-Cloud-Based-Email.htm

 

[4] NIST SP-800-144 – Guidelines on Security and Privacy in Public Cloud Computing. National Institute of Standards and Technology, Jan2011, acesso em Jan2012. Disponível em:http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf

 

[5] Marcon Jr, Arlindo; Laureano, Marcos; Santin, Altair; Maziero, Carlos. Minicurso Capítulo 2: Aspectos de segurança e privacidade em ambientes de Computação em Nuvem. X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, 2011. Em:http://professor.ufabc.edu.br/~joao.kleinschmidt/aulas/seg2011/nuvem.pdf

 

[6] https://cloudsecurityalliance.org/guidance/CSAGuidance-pt-BR.pdf

 

Fonte: Blog MPSafe – Seu Porto Seguro na Nuvem

Categories: Publicações || Tags: , , , , ,

April 3, 2012

Há um Verme (Worm) na Nuvem! Quão seguros são os servidores em nuvem?

Nos círculos técnicos, as pessoas têm noção das inúmeras variáveis ​que ​envolvem as nuvens. E que os provedores de nuvem deixam as questões de segurança da máquina virtual, tanto quanto possível, para os clientes resolverem. Os técnicos sabem disso. Porém, nem todos os clientes de nuvem se enquadram nessa categoria (a de técnicos) e nem todas as nuvens são criadas da mesma maneira. Há muitos clientes casuais (leia-se: leigos) e também outros que, embora técnicos, são também muito ocupados.

Digo isto pois é altamente provável que muitas imagens em nuvem (cloud images) do Windows possam estar vulneráveis (por default) ​​a um exploit denominado MS12-020 RDP.

Novas pesquisas, usando o script nmap NSE “rdp-MS12-020.nse”, desenvolvido pela @ea_foundation, mostram que todas as imagens em nuvem do Windows Rackspace estão (por default) vulneráveis. E no AWS (Amazon Web Services) EC2 (Elastic Compute Cloud), quaisquer imagens AMIs ou EBS existentes sem correção (patch) do Windows (pré 13/03/2012), que foram inicializadas com as regras de firewall padrão do Console de Gerenciamento AWS, estão igualmente vulneráveis.

Ou seja, há um verme na nuvem (um cloudworm). Embora os provedores de serviços em nuvem têm tomado algumas medidas para mitigar o risco do exploit MS12-020, o que fizeram é longe de ser suficiente para proteger os clientes. Isto se deve ao fato de que ambos os provedores de serviços em nuvem, AWS EC2 e Rackspace, têm suas configurações de segurança padrão (default) vulneráveis.

Para lançar instâncias da EC2, a nuvem AWS EC2 tem, como regra padrão, um ‘global allow RDP‘ (porta 3389) para todos os seus clientes usando o Console de Gerenciamento AWS. Por sua vez, a nuvem Rackspace tem um ‘ServiceNet’ inseguro (unfirewalled LAN) em todos os seus servidores em nuvem. Traduzindo (para não técnicos): Isto significa que, quando um exploit é desenvolvido para explorar a falha MS12-020, ele pode ser implantado em um número muito grande de servidores em nuvem, caso os provedores de nuvem não ajam prontamente e de forma proativa.

Os clientes mais vulneráveis ​​são os usuários de nuvem casuais, que têm uma expectativa de que os prestadores de serviços em nuvem estejam fornecendo seus servidores virtuais com um conjunto razoável de regras de firewall padrão. Infelizmente, no caso da MS12-020, o oposto é verdadeiro.

Finalmente, os usuários mais experientes podem também não estar fora de perigo. Iniciar as imagens em nuvem do Windows mais antigas deixará o servidor vulnerável, até que o usuário tenha corrigido e reiniciado seu servidor de nuvem – a não ser que ele tenha um conjunto razoável de regras RDP e tenha protegido todas as interfaces de rede “abertas”. Clique aqui para ver a Prova de Conceito (POC)

Fonte: earthgecko. Tradução: Paulo Pagliusi Agradecimento: Rogério de Souza

Fonte: Blog MPSafe – Seu Porto Seguro na Nuvem

Categories: Publicações || Tags: , , , , ,

Page Dividing Line