SegurançaNovos vírus bancários realizam transferências invisíveisMedidas de segurança tomadas por bancos estão levando cibercriminosos a utilizar vírus que rouba dinheiro de computadores infectados sem ser percebido pelos titulares.
John E. Dunn, Techworld.com22 de junho de 2012 - 10h00página 1 de 1Uma descoberta da Trend Micro mostra que as medidas de segurança tomadas por bancos online estão levando cibercriminosos a utilizar um tipo de ferramenta de vírus que realiza o roubo de dinheiro de computadores comprometidos de forma invisível aos titulares.
Os ataques do tipo "man-in-the-middle" a bancos online são realizados por vírus, como Zeus e SpyEye, que intercepta credenciais para autorizar transferências bancárias por meio de falsas telas de autenticação.
De acordo com um relatório da Trend Micro, uma nova maneira foi descoberta para esconder até mesmo essa atividade dos usuários por um Sistema de Transferência Automática (ATS, em inglês).
São Java Scripts e scripts HTML complexos que são injetados em websites e que, agora, estão sendo utilizados para consultar contas ou transferências sem a necessidade de ter a interação com o usuário. Isso significa que os vírus que atacam bancos podem exibir falsos saldos nas contas e esconder transações ilegais de seus titulares, retardando a descoberta dos roubos.
O que fascina na dimensão disso tudo é que esses scripts solicitam uma customização "bank-by-bank" feita por um decodificador dedicado que tem acesso a uma conta do banco alvo. Isso é fornecido por um intermediário, em sua maioria programadores do leste europeu, que vendem suas habilidades no que pode ser uma tarefa complicada - um erro e todo o ataque falhará facilmente - aos cibercriminosos dispostos a pagar.
O quão efetivo é esse novo método? Em muitos casos, não muito, mas a verdade sobre todos esses vírus bancários é: bancos detectam transferências incomuns, sendo elas autorizadas ou não, e as bloqueiam. No entanto, a Trend Micro tem visto outras somas consideráveis em contas laranja, contas legítimas que estão dentro do banco alvo e são utilizadas como intermediárias, acobertando todo o procedimento.
Até o momento, bancos do Reino Unido, Alemanha e Itália são os mais atacados pelo ATS, um reflexo da proteção extra - com dois fatores de autenticação - que foram adotadas nesses países.
"A contaminação ATS é difícil de ser determinada desde que o sistema realize transações fraudulentas silenciosamente, no plano de fundo. É, portanto, uma boa prática monitorar declarações bancárias utilizando métodos que não os online (como checando extratos bancários pelo telefone ou monitorando declarações via correspondência), diz um pesquisador da Trend Micro, Loucif Kharouni.
A resposta da Trend Micro para combater esse vírus seria reforçar a segurança, mas nem todos concordam com isso. Uma análise feita pela Universidade de Cambridge no início desta semana sugere que uma boa estratégia, com melhor custo-benefício para os países, seria reforçar a insignificante soma que é gasta atualmente para perseguir e punir criminosos.
Computerworld - Dez dicas de segurança para empresa e funcionários - Segurança
SegurançaDez dicas de segurança para empresa e funcionáriosCompanhias devem conscientizar os empregados sobre a importância de proteger informações sensíveis para reduzir riscos de ataques virtuais e prejuízo aos negócios.
Edileuza Soares25 de junho de 2012 - 09h05página 1 de 1As empresas ainda derrapam nas questões de segurança e têm dificuldade para conscientizar seus funcionários sobre adoção de medidas básicas para proteção de dados sensíveis. Uma constatação disso é que 60,8% dos problemas enfrentados nessa área são vazamento de informações, segundo estudo realizado pelo laboratório da ESET com organizações latino-americanas.
Para tentar ajudar as companhias a terem pulso mais forte com suas políticas, especialistas da ESET na América Latina elaboraram uma espécice de cartilha chamada “Guia de Segurança para Funcionários”. Esse material, que está disponível gratuitamente para download na seção “Conteúdo” do site da empresa, traz dicas de como disseminar as boas práticas para administração dos dados, mitigar riscos e alertar colaboradores sobre as principais ameaças de segurança.
Segundo Camillo Di Jorge, country manager da ESET Brasil, por incrível que pareça, as empresas não adotam medidas básicas para proteção de suas informações, como o uso de senhas fortes e políticas da mesa limpa. “É muito comum funcionários deixarem contratos com informações confidências espalhados pelas mesas quando saem para almoçar. Muitos não têm a percepção de que são valiosas as informações que estão em suas mãos”, observa o executivo.
A conscientização das políticas de segurança, embora pareça óbvio, é muito importante e as medidas devem ser relembradas, recomenda Di Jorge. Ele espera que o novo guia oriente as organizações a reforçarem os três pilares fundamentais para garantir a segurança da informação: tecnologia, educação e gestão dos dados.
Veja a seguir as dez práticas recomendadas pelo “Guia de Segurança para Funcionários”:
1. Siga as políticas de segurança
Toda companhia deve criar regras de como todos os empregados precisam lidar com a proteção das informações corporativas. As normas têm que ser escritas e muito bem explicadas no momento da contratação. Recomenda-se solicitar a assinatura de um contrato para o cumprimento dessas medidas.
2. Apoie-se nas ferramentas instaladas na máquina
As tecnologias são a base da segurança de informação das empresas. Assim, um funcionário cauteloso deve ficar atento aos alertas emitidos pelos antivírus, firewall, antispam entre outras ferramentas.
3. Proteja-se contra códigos maliciosos comuns
Atualmente, o malware – software malicioso – é um dos ataques mais comuns contra empresas e usuários. Apesar de nem sempre os profissionais terem ideia do impacto que essas pragas virtuais trazem para os negócios, elas podem representar o risco de perda de informações, de tempo e de dinheiro.
4. Evite cair no golpe da engenharia social
Essa ainda é uma forma bastante utilizada pelos os desenvolvedores de códigos maliciosos e criminosos digitais para enganar as pessoas e comprometer a segurança da empresa. Entre as táticas mais comuns estão os golpes por e-mail, com envio de links maliciosos que tentam remeter as pessoas para algum conteúdo interessante ou curioso.
5. Armazene e transporte dados corretamente
A perda ou furto de informações ocorre, muitas vezes, por um descuido dos próprios funcionários, a partir do desvio de dados transportados ou guardados em meios físicos ou digitais.
6. Crie travas para os dispositivos móveis corporativos
Recomenda-se ter uma senha de acesso aos equipamentos corporativos – como smartphones, notebooks ou tablets –, para evitar acessos não autorizados a informações. Além disso, deve-se tomar cuidado para só baixar aplicativos de locais confiáveis, contar com uma solução de segurança e criptografar a unidade de armazenamento dos dispositivos.
7. Adote senhas fortes
Para que a senha seja considerada forte, ela deve ser fácil de lembrar e difícil de quebrar. É importante também não utilizar as mesmas senhas pessoais e corporativas, além de não guardá-las em lugares visíveis ou de fácil acesso.
8. Bloqueie links que não sejam confiáveis
Dessa maneira, minimiza-se a possibilidade de ser infectado com códigos maliciosos e ser vítima de phishing, roubo de informação pessoal ou financeira do usuário, por meio da falsificação de uma entidade confiável.
9. Cuide dos dados da empresa inclusive fora do âmbito corporativo
Quando se transfere documentos e papéis importantes para trabalhar fora do escritório, deve-se ter cuidado para evitar furto ou perda. Além do que, os documentos devem ser manipulados levando em conta o nível de confidencialidade requerido. No caso do uso de dispositivos USB ou memórias externas, é necessário realizar uma análise do produto com um antivírus no momento de sua inserção no equipamento.
10. Acesse rede Wi-Fi com segurança
Na hora de acessar Wi-Fi pública use Virtual Private Network (VPNs), que aumenta a segurança na transmissão dos dados. Caso seja necessária a utilização de dispositivos móveis de trabalho conectados a essas redes, recomenda-se não realizar conexões sensíveis para acessar e-mail corporativo, pois as informações podem ser expostas. No caso de uso de computador público, não se deve acessar arquivos confidenciais, evitando que fiquem disponíveis a outros usuários dessas máquinas.Computerworld - Certisign lança serviço para assinatura digital de documentos na nuvem - Segurança
SegurançaCertisign lança serviço para assinatura digital de documentos na nuvemPortal faz a coleta das assinaturas eletrônicas das partes envolvidas e faz autenticações dos contratos para acelerar os acordos de negócios como os de compra e vendas.
Edileuza Soares25 de junho de 2012 - 14h53página 1 de 1Com o objetivo de expandir o uso da certificação digital no mercado brasileiro, a companhia nacional Certisign acaba de lançar uma plataforma de serviço na nuvem que coleta assinaturas eletrônicas e faz autenticação de documentos que precisam de validade jurídica, sem que as partes envolvidas precisem se locomover fisicamente ou se dirigir até um cartório. É o "Portal de Assinaturas Eletrônicas", baseado no padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), que já conquistou seu primeiro cliente, os organizadores do Rock in Rio.
A Certisign investiu 2 milhões de reais para colocar o novo serviço no ar, que começa a ser oferecido gratuitamente por um período de dois meses para que os usuários dos certificados digitais possam degustá-lo na fase experimental. Depois da promoção, a tarifa será de 10,80 reais por documento eletrônico assinado, independentemente da quantidade de assinaturas, páginas ou de originais que serão distribuídos.
“Esse será o principal negócio da companhia em 2013”, anuncia Maria Teresa Aarão, gerente de desenvolvimento de novos produtos da Certisign. A empresa pretende usar a plataforma para prestar serviços a públicos variados. A ideia do portal é fazer com que pessoas jurídicas e físicas utilizem mais a certificação digital no Brasil.
Hoje, esse mecanismo de segurança já é uma exigência do governo para muitas empresas emitirem a Nota Fiscal Eletrônica (NF-e), enviar obrigações acessórias com o Sped (Sistema Público de Escrituração Digital) contábil e fiscal, entre outras prestações de contas ao Fisco. Já os cidadãos estão usando a tecnologia para entrega da declaração do imposto de renda e buscar informações no site da Receita Federal. A adoção pelas pessoas físicias ainda é timída por causa do custo da certificação, ainda considerado alto, e também porque seu uso é facultativo.
“Queremos popularizar a certificação digital no Brasil. O portal vem com essa missão e também para acelerar os contratos de negócios”, conta Maria Teresa. Ela aponta pesquisas de mercado que revelam que de 80% a 90% dos contratos de compra e venda no Brasil levam até 90 dias para serem formalizados por causa do vaivém da papelada e dificuldade para colher a assinatura das partes envolvidas. Às vezes o processo para porque uma das pessoas está em viagem.
Dispensa dos cartórios
A executiva observa que hoje os negócios estão exigindo mais rapidez nas operações e também menos burocracia. A vantagem do novo serviço, segundo ela, é que as pessoas vão poder assinar digitalmente os documentos das transações em qualquer lugar, mesmo fora do Brasil, já que as minutas estarão na nuvem. Outro ganho, de acordo Maria Teresa é a desmaterialização do papel e redução da emissão de dióxido de carbono (CO2).
Pelo novo serviço, será possível assinar eletronicamente contratos de prestação de serviço; compra e venda de mercadorias e imóveis; procurações; e toda a papelada exigida atualmente pelos governos para abertura de uma empresa no País. “Em pouco tempo, as pessoas não vão mais precisar mais levar esses documentos para reconhecer firma e autenticar em cartórios”, profetiza Maria Teresa.
Como a certificação digital tem validade jurídica e dá garantias de que a identidade de quem assinou é verdadeira, a executiva da Certisign acredita que, num futuro não muito distante, as pessoas terão de ir ao cartório somente quando precisarem formalizar documentos que exigem apresentação física, como é o caso dos testamentos.
O novo portal da Certisign conquistou como primeiro cliente os organizadores do Rock in Rio, que passam a assinar eletronicamente os contratos dos envolvidos no evento pela plataforma na nuvem. Outros potenciais usuários do serviço são bancos, seguradoras, construtoras, corretores, advogados, contadores, condomínios de shopping center e instituições de ensino etc.Computerworld - Big Data desafia segurança, afirma especialista - Segurança
SegurançaBig Data desafia segurança, afirma especialistaA adoção de uma estratégia para lidar com grandes volumes de dados também implica na adaptação de sistemas de criptografia.
Computerworld (Portugal)04 de julho de 2012 - 19h00página 1 de 1Em uma estratégia de Big Data, é necessário desenvolver políticas de segurança sobre as informações, diz o especialista Ed Savvis Moyle, da Savvis, provedora de infraestrutura de nuvem e soluções de hosting de TI. Os sistemas de gestão tradicionais, de segurança e proteção de dados não estão preparados para o grande fluxo de informação, diz. E, nesse contexto, é necessário reforçar a blindagem do ambiente.
Até agora, diz Moyle, as empresas poderiam usar um sistema de encriptação tradicional. Entretanto, a ferramenta é incapaz de acompanhar o ritmo de crescimento registrados pelos sistemas de Big Data.
Assim como as ferramentas de criptografiam precisam ser revistas, os sistemas de prevenção de roubo de dados ou as soluções de rastreio de malware também devem ser implementadas para ampliar a proteção do ambiente. “É preciso pensar em como lidar com a segurança antes de seguir com a estratégia de Big Data”, disse Moyle.
A falta de previsão pode ser fatal, no caso do Big Data. Um planeamento inadequado pode expor um volume alto de dados sensíveis, alerta.
Computerworld - PCs com vírus DNS Changer ficarão sem acesso à internet nesta segunda - Segurança
SegurançaPCs com vírus DNS Changer ficarão sem acesso à internet nesta segundaMais de 300 mil máquinas pessoais e corporativas contaminadas com o vírus no mundo ficarão offline devido ao desligamento de servidores.
Gregg Keizer, Computerworld/USA06 de julho de 2012 - 19h00página 1 de 1Cerca de 300 mil PCs e Macs vão ficar sem acesso à internet na segunda (9/7) a menos que seus proprietários livrem-se do malware DNS Changer. No Brasil, a estimativa é que sejam mais de 6 mil. De acordo com um grupo de especialistas em segurança formado para combater este vírus, este número de infecções pode ser ainda maior.
O DNSChanger altera os endereços DNS no micro, fazendo com que o internauta seja direcionado para um site falso mesmo que digite o endereço correto. No auge, chegou a contaminar 4 milhões de PCs e Macs e rendeu a seus criadores 14 milhões de dólares.
As máquinas infectadas vão perder a sua ligação à internet na segunda, quando os servidores DNS que estão servindo de ponte para elas forem desligados.
Esses servidores, que foram mantidas sob uma ordem do tribunal federal pelo Internet Systems Consortium (grupo sem fins lucrativos que mantém o popular software BIND DNS), foram implementados no ano passado, após o FBI apreender mais de cem servidores de comando-e-controle (C&C) usados pela quadrilha.
A operação "Operation Ghost" terminou com a detenção de seis homens da Estônia - um sétimo, um russo, continua foragido - a apreensão dos servidores C&C e a substituição deles. Sem os substitutos, os micros infectados ficariam offline imediatamente.
Não é apenas PCs de consumo e Macs que permanecem infectados, mas também computadores e sistemas corporativos em agências do governo, diz a empresa Internet Identity (IID), que tem acompanhado os esforços de limpeza .
Na semana passada, a IID disse que seus exames mostram que 12% das empresas da Fortune 500 têm computadores ou roteadores infectados. E duas de 55 agências do governo dos EUA também.
Em janeiro, a taxa de ambos os grupos era de incríveis 50%."Estamos todos lutando com isso", disse Rod Rasmussen, diretor de tecnologia da IID. "Há um monte de pessoas que não fizeram nada." O site do DCWG, grupo formado para combater o vírus, tem links para ferramentas gratuitas que remover o malware.
sexta-feira, julho 06, 2012
Computerworld - Carreira: 4 dicas para se tornar especialista em segurança - Segurança
SegurançaCarreira: 4 dicas para se tornar especialista em segurançaHá muitas oportunidades de emprego para profissionais capacitados nessa área e vão se dar bem os credenciados em certificações conhecidas e com domínio das técnicas de defesa de TI.
Carolyn Duffy Marsan, Network World (USA)22 de junho de 2012 - 07h30página 1 de 1O crescimento dos riscos com ataques cibernéticos, aumento da consumerização e de aplicações em nuvem aumentaram a procura por especialistas em segurança da informação. Segundo consultorias, há muitas oportunidades de emprego na área. Empresas de governo, bancos, indústrias de manufaturas, varejo e serviços têm demanda por esses talentos.
Mas quais são as competências que eles precisam para se dar bem nessa área? Especialistas no assunto listaram quatro dicas para os que querem ser um expert em cibersegurança. Veja a seguir quais são:
1. Corra atrás das certificação reconhecidas
As certificações são uma espécie de selo de qualidade e pré-requisito para quem quer trabalhar na defesa da segurança de TI. Essas credenciais atestam, conhecimentos, atitudes e comprovam que os especialistas passaram por testes rigorosos. As certificações de segurança contam ponto hora da contratação e são bastante valorizadas pelas empresas.
Essas credenciais vão desde as mais básicas como CompTia Security+ até as mais badaladas como Certified Information Security Manager (CISM) e Certified Information Systems Auditor (CISA), emitidas pela Information Systems. Essas duas últimas são emitidas pela Information Systems Audit And Control Association (Isaca), entidade internacional que congrega profissionais de segurança.Outra certificação famosa é a Certified Information Systems Security Professional (CISSP), que é uma das mais respeitada no mundo, expedida pelo International Information Systems Security Certification Consortium (ISC²). Há outras mais populares e as dos fornecedores como as da Cisco, RSA, Symantec.
"Há várias certificações de segurança que são muito bem aceitas e extremamente benéficas para os profissionais ", avalia Jacob Braun, presidente e COO da Waka Mídia Digital, consultoria de segurança de TI, sediada em Boston (EUA). "Elas demonstram o conhecimentos e experiências dos especialistas, sendo que algumas têm mais peso que exames escritos. Porém, elas têm alguns componentes práticos, que são obstáculo adicional para se conseguir".
"Alguém que tem o credencial CISSP comprova que passou por um teste bastante abrangente”, exmplifica Dave Frymier, Chief Information Security Officer (CISO) da Unisys.
A consultoria Verizon Solution Research Investigation, que compila relatório anual sobre violações de segurança, recomenda que as empresas tenham em sua equipe talentos certificados e que passaram por cursos de segurança, como o Handler Incident GIAC para que saibam como responder corretamente em caso de ataques.
"Muitas organizações não têm profissionais capacitados para lidar com casos de violação de dados", constata Bryan Sartin, diretor de investigações da Verizon. “Eles precisam saber como isolar o ambiente atacado, investigar sistemas e manter a integridade das informações".
2- Saiba controlar aplicações em nuvem
A gestão da informação de segurança, identidade de acesso na nuvem é uma grande preocupação dos CIOs, que estão implantando software como serviço (SaaS) como Salesforce e Concur para complementar as aplicações corporativas. Por isso, eles estão à procura de especialistas que saibam controlar o acesso de aplicações em nuvem.
"Queremos pessoas que entendem a tecnologia, a política e a inteligência dessas coisas", afirma Braun. "Se alguém tem experiência na implantação de soluções de segurança em um novo modelo de negócio, como nuvem, isso é muito valioso."
Uma habilidade específica relacionada à segurança em nuvem que o mercado está demandando é a de Security Assertion Markup Language (SAML), padrão emergente que permite às empresas ampliar seu diretório de autenticação e sistemas de gestão de identidade para aplicações em nuvem.
“É possível aprender SAML muito rapidamente porque quase todos os [Software-as-a-Service] das empresas suportam interface de SAML”, comenta Frymier. "Fizemos uma implementação baseada em SAML no último ano que nos permite criar interface para uma loja de LDAP, como o Microsoft Active Directory e de maneira segura. Podemos fazer gerenciamento de contas dentro do nosso Active Directory e que tem reflexo imediatamente em nossos aplicativos de SaaS".
3- Seja mestre em segurança móvel.
Muitas organizações estão adotando o Bring Your Own Device (BYOD) e estão sendo desafiadas a criar políticas para dispositivos móveis. Elas precisam proteger informações armazenadas em uma variedade de dispositivos.
A consumerização exige reforço da segurança. “Temos um programa “Traga seu próprio dispositivo” e agora 4 mil funcionários têm os seus próprios dispositivos iOS. Nós criamos uma forma que é segura para isso, usando o Microsoft ActiveSync", conta o executivo da Unisys.
"As pessoas que entendem a mobilidade em um nível muito profundo tendem a ser muito jovem, por terem acabado de sair faculdade. O que descobrimos é que é preciso colocá-las juntos com pessoas mais experientes que entendem de sistemas de back-end", afirma Frymier. "Há um grande fluxo de dados em aplicativos móveis. Você precisa entender como eles entram e como saem com autenticacão dos que realmente têm acesso."
4. Aprenda a analisar dados
Os especialistas em segurança cibernética são mestres em encontrar agulhas em palheiros. Eles precisam lidar com grandes volumes de dados coletados por meio de dispositivos de segurança e encontrar anomalias que indicam falhas.
"Uma área onde vemos uma lacuna de competências é no acompanhamento logs de monitorados", constata Sartin. "Todo mundo parece ter alguém que é responsável por registros de monitoramento, mas essas pessoas não têm experiência suficiente. Elas olham para quantidades infinitas de dados, e não encontram a prova da injeção de SQL", que é o tipo mais comum de violação de segurança.
Os profissionais de TI precisam melhorar a capacidade de analisar dados de monitoramento de log e encontrar tendências importantes.
"Especialistas cibernéticos precisam entender e analisar as tendências dos dados de registro para encontrar anomalias e outros sinais de falhas de segurança", diz Braun. "Eles precisam entender como os dados entram e saem de uma organização e como devem ser tratados. Também devem ter habilidade para identificar quando há visitantes mal-intencionados ou uma ameaça na rede."
sexta-feira, junho 29, 2012
Computerworld - Se sua empresa não estiver preparada, aborte a migração para IPv6 - Segurança
SegurançaSe sua empresa não estiver preparada, aborte a migração para IPv6Especialistas em segurança advertem que a desativação inadequada do antigo IPv4 pode abrir brechas para ataques.
Computerworld/Portugal19 de junho de 2012 - 07h30página 1 de 1Os defensores do novo protocolo de internet têm argumentos de sobra sobre a substituição em massa do antecessor IPv6. Mas especialistas em segurança dizem que se sua empresa não estiver totalmente compatível com a nova tecnologia não vale a pena entrar em pânico.
Em comparação com o IPv4, o IPv6 oferece um endereçamento quase ilimitado, maior mobilidade, melhor desempenho, características de segurança superiores e muito mais. Mas isso não significa que as empresas devam se apressar e ligar todos os “interruptores IPv6” porque outras empresas como Google e Facebook já se adiantaram.
Na verdade, se a organização não estiver preparada, até pode ser útil desativar os recursos de IPv6, para evitar que sejam alvo de ciberataques – muitos crackers já desenvolveram formas de aproveitar brechas do IPv6. Esta advertência vem de especialistas como o Chief Security Officer (CSO) da VeriSign, Danny McPherson, e pode parecer contraditória dadas as célebres vantagens de segurança do IPv6 em comparação com o IPv4.
Por exemplo, o IPv6 traz incorporado o protocolo IPSec, além de suportar as funcionalidades Secure Neighbor Discovery, Privacy Addresses e Unique Local Addresses – todas oferecem novas camadas de segurança.
De acordo com McPherson, “se os provedores de serviços não gerirem adequadamente as redes IPv6 – e não perceberem sua ativação na maioria dos equipamentos, haverá um impacto substancial na abordagem de segurança”.
É uma das maiores armadilhas, na qual é mais fácil cair, mas também se resolve rapidamente. O problema é que nem todas oferecem as ferramentas e funcionalidades de gestão de rede para o IPv6, como faziam para o IPv4.
“Essa falta de compatibilidade de recursos significa que as equipes de segurança não têm a mesma visibilidade e capacidade de mitigação quando tentam identificar e bloquear ataques baseados em IPv6″, diz o engenheiro de qualidade de software da Arbor Networks, Cerveny Bill.
Compatibilidade plena
Assim, se os gestores de rede não estiverem preparados para garantirem que o novo protocolo tenha “compatibilidade plena em termos de segurança e operacionais, precisam realmente de desativar o IPv6 inteiramente. Eles devem implantar novos dispositivos e hardware de uma forma muito calculada”, recomenda McPherson.
O problema é que os cibercriminosos criaram formas de explorar a falta de preparação de uma organização para o IPv6. Descobriram uma maneira de usar “túneis” para enviar tráfego IPv6 sobre IPv4, vírus e spyware que contornam as defesas de rede, de acordo com a Check Point.
Alguns também têm explorado o IPv6 para roubar dados, assim como para ativar ataques de comando e controle de infraestruturas de botnets e de ataque de negação de serviço (DDoS).
As preocupações de segurança envolvendo o IPv6 não param aí. Entre outras ameaças, McPherson explica que traduzir tráfego IPv4 para o IPv6 pode ser outra armadilha.
“A transferência de volumes de pacotes IPv4 para IPv6 constitui uma oportunidade para uma implantação fraca ou para um interveniente mal-intencionado explorar uma potencial vulnerabilidade”.
Ataques de DDoS
Além disso, o IPv6 introduz cabeçalhos de extensões “que podem estar encadeados e exigem processamento complexo por vários sistemas: estes podem sobrecarregar os firewall e gateways de segurança, podendo até mesmo levar à degradação do desempenho de encaminhamento e abrir brecha para um potencial DDoS, entre outros “, diz McPherson.
Na transição do IPv4 para o IPv6, as organizações podem precisar implantar dispositivas e protocolos de Network Address Traslation (NAT). Estes podem complicar a rede e as operações, de acordo com McPherson, e quebrar as funcionalidades e ferramentas (por exemplo, listas negras e filtros de tráfego) que os gestores de segurança usam para monitorizar incidentes de segurança.
A digitalização da infraestrutura de rede para sistemas não autorizados ou vulneráveis é muito mais complexa com o IPv6 do que com o IPv4, segundo McPherson. Ele explica que o IPv6 tem, neste sentido, um espaço de endereçamento escasso.
“Esses recursos precisam ser ampliados com controles de acesso à rede e sistemas de medição ativos capazes de desencadear o rastreamento de vulnerabilidades”, recomenda.
Assinar: Postagens (Atom)Editor do Blog
Raphael Simões Andrade
Analista de Sistemas
Campina Grande, PB, Brasil
About Raphael Simões Andrade
Pós-Graduação em Direito Processual: Grandes Transformações 2007 [LFG/UNAMA]
Pós-Graduação em Direito Processual Civil 2008 [LFG/UNISUL]
Pós-Graduação em Direito Constitucional Aplicado 2009 [Gama-Filho]
Pós-Graduando em Direito Público 2010-2011[LFG/Anhanguera-Uniderp]
Analista de Sistemas
Acadêmico de Direito
Usuários On-Line
Vídeo sobre os Direitos Autorais no Mundo, um protesto contra o uso dos direitos de autor com a finalidade de obstruir a cultura!
Compreendendo o documentário “RIP! A Remix Manifesto” e o Direito Autoral no Brasil
Política de Privacidade
Mapa - Usuários On-Line
Inscrever-se
Postagens
Pesquisar este blog
Colaboradores
Seguidores
Marcadores
- Arquitetura da Informação (12)
- ASP.NET (88)
- Banco de Dados (26)
- Carreira (426)
- Computação Forense (10)
- CSharp (1)
- Direito (16)
- E-commerce (21)
- E-gov (3)
- Gerência de Projetos (13)
- Gestão (259)
- Negócios (448)
- Profissão (1)
- Projeto de Lei (1)
- Segurança (738)
- Tecnologia (330)
- Telecom (468)
Ferramentas
Notícias Google
Desenvolvimento Web
Anúncios
