Beruflich Dokumente
Kultur Dokumente
PARTE 2
CONTEDO
Ataques direcionados
Violaes de dados
20
30
Sobre a Symantec
34
Ataques direcionados
VISO GERAL
Em 2014, mais casos de espionagem ciberntica apoiada por governos foram revelados.
INTRODUO
Em 2014, a Symantec analisou vrios ataques de espionagem ciberntica e coletou
dados sobre as tticas usadas para infiltrar milhares de organizaes crticas e
protegidas em todo o mundo. Essa pesquisa mostra um aumento preocupante na
sofisticao.
Imagine que voc o diretor de segurana da informao
(CISO) de um corpo diplomtico do Leste Europeu. Em
2014, voc desconfiou que os computadores de suas
embaixadas em toda a Europa haviam sido infectados por
um Cavalo de Troia de porta dos fundos. Voc contratou
uma empresa de segurana para investigar o problema, e
suas piores suspeitas foram confirmadas. A investigao
descobriu que uma campanha de spear phishing cuidadosamente direcionada enviou e-mails a membros da equipe,
com uma carga de Cavalo de Troia dissimulada que infectou
os computadores. O uso de exploraes de dia zero, de
emails elaborados com ateno e de astutos ataques de
tipo watering hole contra sites mostraram que essas atividades despistaram a deteco por tempo suficiente para
comprometerem mais de 4.500 computadores, em mais de
100 pases1.
1
2
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf
Ibid.
ESPIONAGEM CIBERNTICA
Em 2014, especialistas em segurana da Symantec passaram quase oito meses
dissecando um dos malwares de espionagem ciberntica mais sofisticados jamais
visto. Conhecido como Regin, ele d aos usurios ferramentas poderosas usadas
para espionar governos, operadoras de infraestrutura, empresas, pesquisadores e
indivduos. Os ataques contra empresas de telecomunicaes parecem ser desenvolvidos para obter acesso a chamadas roteadas em sua infraestrutura3.
O Regin complexo, com cinco estgios de instalao furtivos. Ele tambm apresenta um design modular que permite
que diferentes recursos sejam adicionados e removidos
do malware. Tanto o carregamento em estgios quanto
a modularidade j foram vistos antes, mas o Regin exibe
alto nvel de capacidade de engenharia e desenvolvimento
profissional. Por exemplo, ele possui dezenas de mdulos
com funes como acesso remoto, captura de tela, roubo de
senha, monitoramento de trfego de rede e recuperao de
arquivos excludos4.
Seu desenvolvimento exigiu meses, seno anos, o que
indica um investimento significativo de recursos. bastante
adequado a operaes de espionagem persistentes e de
longo prazo, e seu nvel de sofisticao mostra que um
estado-nao o criou.
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
http://www.symantec.com/en/uk/outbreak/?id=regin
5,6
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats
7
http://www.symantec.com/connect/blogs/equation-advanced-cyberespionage-group-has-all-tricks-book-and-more
3
4
75
13
60
50
39
40
35
7
30
14
Vulnerabilidades
12
Fornecedores
individuais
10
8
6
10
2012
2013
2014
20
http://www.symantec.com/connect/blogs/dragonfly-western-energycompanies-under-sabotage-threat
http://en.wikipedia.org/wiki/OLE_for_Process_Control
Pode ser difcil proteger sistemas antigos quando as empresas no podem aceitar qualquer tempo de inatividade para
a instalao de patches ou quando usam tecnologias paten
teadas ou protegidas de forma inadequada. Por exemplo,
o protocolo OLE for Process Control9 (OPC) amplamente
usado em sistemas de automao industrial. Ele um padro aberto bem documentado, mas existe pouco planejamento para criptografia, autenticao ou outras medidas de
segurana, o que o deixa vulnervel a softwares falsificados. Um dos objetivos do Dragonfly era coletar informaes
sobre sistemas OPC nas empresas-alvo.
Ao explorarem especificamente os servidores de atualizao de software dos fornecedores de ICS, os ataques do
Dragonfly introduziram uma nova dimenso ao mtodo de
ataque watering hole. Esse tipo de ataque explora vulnerabilidades em sites de terceiros que sero visitados pelo
alvo real do ataque, e dessa forma o invasor poder injetar
malware na organizao visada. Com o Dragonfly, os invasores comprometeram a cadeia de suprimento, explorando os
servidores de atualizao do software ICS utilizado pelas
vtimas, definindo um novo marco em ataques de estilo
watering hole.
ATAQUES DE RECONHECIMENTO
Alm dos ataques que usam campanhas de spear phishing e watering hole que
precisam do elemento humano da engenharia social para ter sucesso os invasores continuam a atacar as organizaes visadas a partir de outros ngulos, a fim de
conquistar uma posio firme em sua rede. Para fazer isso, eles atacam o permetro
da rede, buscando brechas nas defesas e explorando-as.
Agora, mais do que nunca, o reconhecimento desempenha
um papel importante no processo de obteno de acesso
pelo invasor rede de uma organizao-alvo. Normalmente,
este o primeiro passo no processo de invaso: obter informaes sobre os sistemas e buscar fragilidades que possam
ser exploradas.
A popularidade do reconhecimento fica evidente quando
examinamos as principais exploraes de dia zero de 2014.
De longe, a mais usada foi a CVE-2013-7331. Essa no
uma explorao comum do tipo que d acesso a um sistema
vulnervel. Tudo o que ela permite que o invasor rena
informaes sobre a rede-alvo. No entanto, ela bastante
til para planejar outros ataques. Armado com informaes
da rede-alvo, como nomes de host internos, endereos IP e
vrios nomes de caminho internos, um invasor pode elaborar seu prximo plano de ataque com facilidade.
Essa explorao de dia zero ficou sem patches por um
perodo considervel. No s a CVE dessa vulnerabilidade
foi alocada em 2013, sendo divulgada somente em fevereiro
de 2014, mas seu patch foi lanado apenas em setembro
de 2014. Isso ofereceu aos invasores uma imensa lacuna
de 204 dias entre a divulgao pblica e o lanamento do
patch.
http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10-zeroday-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi
http://www.symantec.com/connect/blogs/zero-day-internet-vulnerabilitylet-loose-wild
12
http://www.symantec.com/connect/blogs/sandworm-windows-zero-dayvulnerability-being-actively-exploited-targeted-attacks
13
http://www.symantec.com/connect/blogs/how-elderwood-platform-fueling2014-s-zero-day-attacks
10
11
24
+4%
2014
23
+64%
14
2012
2013
19 dias
4 dias
+276 dias
+51 dias
295 dias
55 dias
Em 2014, 57% de todos os ataques para as cinco principais vulnerabilidades ocorreram aps a incluso de
uma assinatura (at 90 dias) e antes do lanamento de um patch pelo fornecedor.
57%
2014
Classificao
CVE
81%
9,5%
7,3%
2,0%
<1%
O nmero total de dias entre a data de publicao do fornecedor e a data de correo posterior, para as cinco vulnerabilidades de dia
zero mais exploradas, aumentou de 19 dias em 2013 para 295 dias em 2014. Cinquenta e sete por cento dos ataques que exploravam
essas cinco vulnerabilidades foram bloqueados pela tecnologia Symantec Endpoint nos primeiros 90 dias, muitas vezes antes do
lanamento de um patch.
23
20
15
13
15
14
14
12
10
9
5
2006
2007
2008
2009
2010
2011
2012
2013
2014
4 19
2013
59
2014
295
25
81% Microsoft ActiveX Control
CVE-2013-7331
20
81%
15
10
7%
2%
Microsoft
ActiveX
Control
25
50
75
100
125
150
175
200
225
250
275
300
O perodo de vulnerabilidade (a durao entre a data de publicao e a data da correo) da maioria das vulnerabilidades de dia zero
mais exploradas aumentou em 2014. A CVE-2014-0322, a CVE-2014-0515 e a CVE-2014-4114 foram exploradas em 2014 em vrios
ataques direcionados, incluindo ataques relacionados ao Hidden Lynx e ao Sandworm.
INTELIGNCIA DE AMEAAS
Hoje, a inteligncia de ameaas um componente vital de qualquer organizao
que deseje entender as ameaas potenciais contra as suas redes.
Investir em tecnologia sofisticada resolve apenas parte do
problema; uma combinao de inteligncia de ameaas,
gerenciamento de riscos e as melhores solues tcnicas
ajudaro a revelar quem so os alvos e tambm como e por
qu. Compreender as ameaas essencial, porque agora as
empresas precisam antecipar o ataque a dvida no se,
e sim quando.
Grandes empresas
Mais de 2.500
funcionrios
Mdias empresas
251 a 2.500
funcionrios
Pequenas empresas
1 a 250
funcionrios
100%
50%
39%
41%
31%
25%
31%
30%
34%
2012
2013
2014
50%
19%
32%
18%
2011
Taxa de risco
em2014
Taxa de risco em
2014 como %
Taxa de risco
em 2013
Taxa de risco em
2013 como %
Grandes empresas
2.500+ funcionrios
1 em 1,2
83%
1 em 2,3
43%
Mdias empresas
2512.500
funcionrios
1 em 1,6
63%
1 em 3,5
33%
Pequenas empresas
1250 funcionrios
1 em 2,2
45%
1 em 5,2
19%
Em 2014, 83 por cento das grandes empresas foram alvos de campanhas de spear phishing, em comparao a 43 por cento em 2013.
18
13
11
Servios profissionais
Atacado
15
10
Transporte, comunicaes,
eletricidade, gs e esgoto
20
14
7
6
5
Administrao pblica
Varejo
20
13
Minerao
1
1
Construo
1
1
16
2013
10
15
2014
20
25%
Taxa de risco
em 2014
Minerao
1 em 2,3
Atacado
Taxa de risco
em 2014
como %
Setor em 2013
Taxa de risco
em 2013
Taxa de risco
em 2013
como %
43%
Minerao
1 em 2,7
37%
1 em 2,9
34%
Administrao pblica
(governo)
1 em 3,1
32%
Manufatura
1 em 3,0
33%
Manufatura
1 em 3,2
31%
Servios de transporte,
comunicaes, eletricidade,
gs e esgoto
1 em 3,4
29%
Atacado
1 em 3,4
29%
Administrao pblica
1 em 3,4
29%
Servios de transporte,
comunicaes, eletricidade,
gs e esgoto
1 em 3,9
26%
Finanas, seguros
e imveis
1 em 4,8
21%
Finanas, seguros
e imveis
1 em 4,8
21%
Varejo
1 em 4,8
21%
Servios no tradicionais
1 em 6,6
15%
Servios no tradicionais
1 em 6,5
15%
Construo
1 em 11,3
8%
Servios profissionais
1 em 6,9
15%
Agricultura, silvicultura
e pesca
1 em 12,0
8%
O setor de minerao foi o mais visado em 2014, com 43 por cento (1 em 2,3) das organizaes de minerao visadas pelo menos uma
vez durante o ano. A classificao de Minerao inclui organizaes de extrao de energia, alm de metais e minrios.
73
83
-12%
2014
-28%
116
2012
2013
O nmero de e-mails de spear phishing detectados pela Symantec caiu ligeiramente, mas no h indcios de que a intensidade dos
ataques direcionados tenha sido reduzida tambm. O nmero de campanhas de e-mail em geral aumentou, e os e-mails de spear
phishing tornaram-se mais sutis, usando malware personalizado e mensagens de engenharia social cuidadosamente planejadas para
enganar a segurana.
Variao
2013
Variao
2012
Campanhas
841
+8%
779
+91%
408
Destinatrios por
campanha
18
-20%
23
-81%
111
Ataques por
campanha
25
-14%
29
-76%
122
Tempo mdio da
campanha
9 dias
+13%
8 dias
+173%
3 dias
Em 2014, houve um aumento de 8 por cento em ataques direcionados usando campanhas de spear phishing, apesar de um declnio
geral de 12 por cento no nmero de e-mails de spear phishing enviados todos os dias. Os ataques de spear phishing em 2014 tinham
menos caractersticas de spam, com menos destinatrios de altos volumes. Os invasores dedicaram mais tempo ao planejamento e
coordenao dos ataques antes de inici-los, prestando especial ateno ao reconhecimento. A Symantec tambm observou que vrios
ataques direcionados distribudos foram coordenados entre grupos de invasores que aparentemente trabalhavam em conjunto. Esses ataques foram planejados e distribudos de maneira que mesmo se o volume fosse relativamente alto eles no seriam qualificados
como spam.
Vendas/Marketing
1 em 2,9
35
Operaes
1 em 3,8
27
Finanas
1 em 3,3
30
P&D
1 em 4,4
23
TI
1 em 5,4
19
Engenharia
1 em 6,4
16
RH e Recrutamento
1 em 7,2
14
Outro
1 em 9,3
11
Indivduos em cargos de Vendas e Marketing foram mais visados em 2014, com 1 em 2,9 sendo alvo pelo menos uma vez; isso equivale
a 35% do pessoal de Vendas e Marketing.
Taxa de risco em %
Gerente
1 em 3,8
26
Colaborador individual
1 em 3,7
27
Estagirio
1 em 3,9
26
Diretor
1 em 5,4
19
Suporte
1 em 7,6
13
Outro
1 em 9,3
11
O nvel da gerncia foi o principal alvo em 2014, com 1 em 3,8 dos indivduos sendo alvo pelo menos uma vez; isso equivalente a
26% dos indivduos em nvel gerencial.
2012
2013
2014
Tipo de executvel
Porcentagem geral
em 2014
Tipo de executvel
Porcentagem geral
em 2013
.doc
41,2%
.exe
31,3%
.exe
24,0%
.scr
18,4%
.scr
9,7%
.doc
7,9%
.au3
8,7%
5,3%
.jpg
4,9%
.class
4,7%
.class
3,6%
.jpg
3,8%
3,3%
.dmp
2,7%
.bin
2,0%
.dll
1,8%
.txt
1,5%
.au3
1,7%
10
.dmp
1,1%
.xls
1,2%
Anexos de arquivo de documentos do Office superaram arquivos executveis como a ttica usada com mais frequncia em
anexos de ataques de spear phishing, tendo sido usados em 41 por cento dos ataques de 2014. Pelo menos 35 por cento
dos ataques de spear phishing poderiam ser evitados caso as empresas bloqueassem anexos de tipo executvel e protetores
de tela no gateway de e-mail. Anexos de documento mal-intencionados tambm podem se tornar seguros antes de chegarem ao gateway de e-mail por meio de filtragem forte baseada em nuvem, a fim de identificar e eliminar ataques de spear
phishing antes que cheguem rede corporativa.
Fonte: Symantec I .cloud
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile
14
Violaes de dados
VISO GERAL
1
Em 2014 ocorreram menos violaes de grande porte (com a divulgao de mais de 10 milhes de identidades) do que em 2013.
INTRODUO
Em 2014, os criminosos cibernticos continuaram a roubar informaes privadas
em escala gigantesca, por ataques diretos a instituies, como bancos, e a sistemas
de ponto de venda do varejo.
foram obtidas por meio de ataques direcionados extremamente personalizados contra contas individuais, e no
usando fragilidades gerais na segurana da empresa19.
Em 2014, o JPMorgan Chase, um banco americano, confirmou que dados associados a 83 milhes de contas 76
milhes de residncias e 7 milhes de pequenas empresas haviam sido comprometidos, em uma das maiores
violaes de dados da histria15.
Em setembro de 2014, a Home Depot sofreu uma violao
de dados de 56 milhes de nmeros de carto de crdito. Os
criminosos continuaram a visar sistemas de ponto de venda
do varejo e, em um nico ataque, a Staples sofreu o roubo
de um milho de registros de cartes de pagamento16. No
entanto, muitas violaes talvez a maioria deixam de ser
informadas ou detectadas17,18.
A divulgao de quase 200 fotos de celebridades no site
4chan, em agosto de 2014, recebeu ampla cobertura da
mdia e aumentou a ansiedade dos consumidores a respeito
de sua privacidade. De acordo com a Apple, as imagens
Total de violaes
312
+23%
2014
253
+62%
156
2012
2013
4
2014
-50%
+700%
1
2012
2013
Embora em 2014 tenham ocorrido menos violaes de grande porte (maiores do que 10 milhes de identidades expostas por violao), o nmero total de violaes permaneceu no mesmo nvel alto estabelecido em 2103, sugerindo que entramos em uma nova era
de atividade de violaes.
http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003
http://staples.newshq.businesswire.com/press-release/corporate/staples-provides-update-data-security-incident
http://www.insurancejournal.com/news/west/2014/03/07/322748.htm
18
http://www.ponemon.org/news-2/7
19
https://www.apple.com/uk/pr/library/2014/09/02Apple-Media-Advisory.html
15
16
17
70
2013
Porcentagem
60
50
49
40
30
34
29
20
27
22
21
10
8
0
Hackers
Tornadas pblicas
por acidente
Roubo ou perda
de computador
ou unidade
Roubo por
profissional interno
Em 49 por cento, a maioria das violaes foi causada por invasores, em comparao a 34 por cento em 2013. Entretanto, 22 por cento
das violaes foram classificadas como Tornadas pblicas por acidente, e 21 por cento ocorreram por Roubo ou perda de computador
ou unidade. Esse ltimo tipo de exposio de dados pode ser evitado se os dados forem criptografados, eliminando o impacto do roubo
dos dados. A boa notcia que esse nmero diminuiu dos 56 por cento em 2013.
180
159
35
147
140
130
120
30
113
25
100
20
78
80
60
15
59
53
INCIDENTES
160
43
10
40
32
23
20
12
3
0
j
F
2013
0,3 0,8
A
10
J
F
2014
1
A
6,5
N
0,4
Em 2014, ocorreu uma queda significativa no nmero de identidades expostas devido a violaes de dados. Em 2013, informamos a
exposio de 552 milhes de identidades. Em 2014, esse nmero parece ter sido consideravelmente reduzido, para 348 milhes de
identidades.
384
-37%
milhes
552
93
+493%
milhes
milhes
2013
2012
2014
Fonte: Symantec I CCI
1.116.767
2.181.891
604.826
2014
2013
2012
-49%
+261%
7.000
+3%
6.777
2014
2013
-19%
8.350
2012
Classi
ficao
Setor
Sade
116
37,2
Varejo
34
10,9
Educao
31
9,9
26
8,3
Financeiro
19
6,1
Software de computador
13
4,2
Hotelaria
12
3,8
Seguros
11
3,5
Transporte
2,9
10
Artes e mdia
1,9
Nmero de incidentes
% de incidentes
Classi
ficao
Tipo em 2014
Nomes verdadeiros
68,9
Nomes verdadeiros
71,5
44,9
Datas de nascimento
43,1
Endereo residencial
42,9
39,5
Informaes financeiras
35,5
Endereo residencial
37,5
Datas de nascimento
34,9
Pronturios mdicos
33,6
Pronturios mdicos
33,7
Nmeros de telefone
19,0
Nmeros de telefone
21,2
Informaes financeiras
17,8
Endereos de e-mail
19,6
Endereos de e-mail
15,4
12,8
11,9
10
Seguros
11,2
Seguros
5,9
2014 %
Tipo em 2013
2013 %
Nomes verdadeiros, Nmeros de previdncia social e Endereo residencial ficaram entre os trs principais tipos de informao violados
em 2014. A exposio de informaes financeiras cresceu de 17,8 por cento para 35,5 por cento em 2014, o maior aumento na lista de
dez principais tipos de informao expostos.
Setor
Varejo
205.446.276
59,0
Financeiro
79.465.597
22,8
Software de computador
35.068.405
10,1
Sade
7.230.517
2,1
7.127.263
2,0
Redes sociais
4.600.000
1,3
Telecomunicaes
2.124.021
0,6
Hotelaria
1.818.600
0,5
Educao
1.359.190
0,4
10
Artes e mdia
1.082.690
0,3
20
21
http://securityresponse.symantec.com/content/en/us/enterprise/media/
security_response/whitepapers/attacks_on_point_of_sale_systems.pdf
http://www.symantec.com/connect/blogs/demystifying-point-sale-malwareand-attacks
% de identidades expostas
PRIVACIDADE E A IMPORTNCIA
DA SEGURANA DE DADOS
A prevalncia das violaes de dados nos ltimos anos certamente afetou a opinio
dos consumidores a respeito de suas informaes privadas. A Symantec realizou
uma pesquisa sobre privacidade na Unio Europeia, publicando concluses inte
ressantes no documento State of Privacy Report 2015 (Relatrio sobre o estado da
privacidade de 2015).22
Por exemplo, 59 por cento dos entrevistados j tinham
enfrentado problemas com a proteo de dados. Alm de
violaes de dados de empresas usadas por eles, outros
problemas incluram invaso de contas de e-mail e mdia
social, roubo de detalhes bancrios e identidades online,
vrus de computador ou e-mails falsos ou de fraudes online.
No geral, 57 por cento dos entrevistados preocupam-se que
seus dados no estejam seguros. Esse no um problema
pequeno, j que a segurana dos dados muito importante
para os consumidores, considerando que 88 por cento
afirmam que esse um fator importante na escolha da
empresa com a qual fazem negcios mais importante do
que a qualidade do produto (86 por cento) ou a experincia
com o atendimento ao cliente (82 por cento).
Alm disso, somente 14 por cento dos entrevistados no
se importavam em compartilhar seus dados com terceiros,
com 47 por cento insatisfeitos em compartilhar quaisquer
dados e 35 por cento exigindo alguma forma de controle
sobre quais dados so compartilhados.
Os entrevistados tambm indicaram que estavam adotando
uma abordagem de automoderao em relao a seus
dados pessoais e que se encarregariam eles prprios de
sua proteo. De acordo com a pesquisa da Symantec, mais
da metade dos pesquisados (57 por cento) agora evitam
publicar detalhes pessoais online. Outra abordagem comum
automoderao tambm pode ter repercusses assustadoras para os negcios, porque um em trs consumidores
admite ter fornecido informaes falsas a fim de proteger a
sua privacidade.
22
http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf
23
Muitas organizaes, como o SANS Institute, o Departamento de Segurana Interna dos EUA, o FBI e o FDA, divulgaram
advertncias alarmantes a respeito dos riscos de segurana
ciberntica para o setor de sade. As violaes no so um
problema restrito aos EUA, tendo sido relatadas em vrios
outros pases. Existe um mercado clandestino prspero
para informaes mdicas, e os criminosos esto lucrando
de vrias maneiras e por vrios motivos.
Em primeiro lugar, os conjuntos de dados mdicos tendem a
ser mais completos em comparao aos que podem ser obtidos em outros locais. Eles incluem informaes demogrficas, identificaes governamentais, contas bancrias e de
carto de crdito, credenciais de planos de seguro, status
de doenas e descritores fsicos. Esses dados podem ser
usados para roubo de identidades, fraude financeira, fraude
de prescries, obteno de servios mdicos ou revenda
de dados no mercado negro. As caractersticas fsicas dos
pacientes podem ser utilizadas na obteno de passaportes,
vistos ou outras formas de documentos de identidade24. Em
resumo, esses dados atraem agentes mal-intencionados
devido ao seu alcance e profundidade.
O roubo de identidades mdicas custa mais s vtimas do
que apenas seu dinheiro. Dados incorretos em pronturios
mdicos podem levar a diagnsticos ou tratamentos incorretos ou atrasados, afetar possibilidades de emprego e,
Medical identity theft proves lucrative in myriad ways; Fierce Health IT, 21 de outubro de 2014; http://www.fiercehealthit.com/story/medical-identify-theftproves-lucrative-myriad-ways/2014-10-21?utm_medium=nl&utm_source=internal
The Growing Threat of Medical Identity Fraud: A Call to Action; Medical Identity Fraud Alliance (MIFA), julho de 2013; http://medidfraud.org/wp-content/
uploads/2013/07/MIFA-Growing-Threat-07232013.pdf
26
Your medical record is worth more to hackers than your credit card; Reuters, 24 de setembro de 2014; http://www.reuters.com/article/2014/09/24/uscybersecurity-hospitals-idUSKCN0HJ21I20140924
27
Stolen EHR Charts Sell for $50 Each on Black Market; MedScape, 18 de abril de 2014; http://www.medscape.com/viewarticle/824192
24
25
RECOMENDAES E
MELHORES PRTICAS
Obtenha
SSL mais
forte
A Microsoft e o Google anunciaram planos de descontinuar o SHA-1 que podem afetar sites com
certificados SHA-1 cuja expirao comea em 1 de janeiro de 2016ii. Em outras palavras, caso
voc ainda no tenha migrado para o SHA-2, os visitantes que usam o Chrome para acessar seu site
provavelmente vero um aviso de segurana e, a partir de 1 de janeiro de 2017, seus certificados
no funcionaro para visitantes que usem o IE.
A Symantec tambm est expandindo o uso do algoritmo ECC, uma alternativa muito mais forte ao
RSA. Todos os grandes navegadores, mesmo as verses mveis, tm suporte para certificados ECC
em todas as plataformas mais recentes. Existem trs benefcios principais no uso de ECC:
1. Segurana aprimorada. Comparadas com as chaves RSA 2048, o padro do setor, as chaves ECC256 so 10.000 vezes mais difceis de violariii. Ou seja, preciso ter muito mais capacidade de
computao e dispor de muito mais tempo para executar ataques de fora bruta que violem esse
algoritmo.
2. Melhor desempenho. Os proprietrios de sites costumavam se preocupar que a implementao
de certificados SSL deixaria seus sites mais lentos. Por isso, muitos sites adotaram SSL
apenas parcialmente, o que cria vulnerabilidades graves. O ECC requer menos capacidade de
processamento no site do que o RSA e pode lidar com mais usurios e conexes ao mesmo tempo.
Isso torna a implementao do Always-On SSL no s sensata mas tambm vivel.
3. Perfect Forward Secrecy (PFS). Embora a PFS seja uma opo com certificados RSA e ECC, o
desempenho muito melhor com certificados ECC. Por que isso faz diferena? Bem, sem a PFS,
um invasor que obtenha as suas chaves privadas poder descriptografar dados de forma retro
ativa. Considerando que a vulnerabilidade Heartbleed tornou essa possibilidade bastante real
para tantos sites, esse um problema. Com a PFS, porm, um invasor que viole ou obtenha sua
chave privada de certificado SSL s poder descriptografar informaes protegidas com as chaves
a partir desse momento. Ele no poder descriptografar dados histricos.
Como vimos em 2014, os benefcios do SSL dependem da sua implementao e manuteno. Por
isso, certifique-se de:
Implementar o Always-On SSL. Use certificados SSL para proteger todas as pginas do seu site, de
forma que todas as interaes dos visitantes com o site sejam autenticadas e criptografadas.
Use o SSL
da forma
certa
http://www.symantec.com/page.jsp?id=1024-bit-certificate-support
http://www.symantec.com/pt/br/page.jsp?id=sha2-transition
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
iv
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
i
ii
iii
Bom senso bsico e alguns bons hbitos de segurana podem fazer muito pela segurana de sites
e servidores este ano:
Garanta que os funcionrios no abram anexos de remetentes que no conhecem.
Instrua os
funcionrios
Eduque os funcionrios a respeito da sua conduta em mdia social: ofertas que paream boas
demais para ser verdade no so; assuntos quentes so uma grande isca para fraudes; nem
todos os links levam a pginas de login verdadeiras.
Estimule-os a adotarem a autenticao de duas etapas em qualquer site ou aplicativo que a
oferea.
Garanta que tenham senhas diferentes para cada conta de e-mail, aplicativo e login,
especialmente no caso de sites e servios relacionados ao trabalho.
Lembre-os de cultivar o bom senso. Ter um software antivrus no significa que permitido
visitar sites mal-intencionados ou questionveis.
Os invasores esto mais agressivos, mais sofisticados e mais impiedosos do que nunca em
suas tentativas de explorar a Internet para seus objetivos perniciosos. No entanto, indivduos e
organizaes podem fazer muito para limitar o seu impacto.
Garanta a
segurana
ou passe
vergonha
O SSL e a segurana de sites agora fazem parte da conscincia pblica, e se voc no fizer a sua
parte poder passar vergonha no HTTP Shaming, um site criado pelo engenheiro de software Tony
Websterv.
Quando se trata de empresas e seus sites, implementaes e processos de segurana adequados
so tudo o que impede a runa total, tanto financeira quanto de sua reputao. Por isso, garanta
asua segurana em 2015 com a Symantec.
http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/
VEM A
PARTE 3:
MDIA SOCIAL E FRAUDES
SOBRE A SYMANTEC
A Symantec Corporation (NASDAQ: SYMC) uma especialista em proteo de informaes
que ajuda pessoas, empresas e governos que buscam a liberdade de aproveitar as oportu
nidades trazidas pela tecnologia a qualquer momento, em qualquer lugar. Fundada em
abril de 1982, a Symantec, uma empresa Fortune 500 que opera uma das maiores redes
globais de inteligncia de dados, fornece solues lderes do setor para segurana, backup
e disponibilidade de locais onde informaes vitais so armazenadas, acessadas e compartilhadas. Os mais de 20.000 funcionrios da empresa esto espalhados por mais de
50pases. Noventa e cinco por cento das empresas Fortune 500 so clientes da Symantec.
No ano fiscal de 2013, ela registrou receitas de US$ 6,9 bilhes.
Para saber mais, visite www.symantec.com/pt/br
ou conecte-se Symantec em: www.symantec.com/pt/br/social.
Mais informaes
Symantec no mundo: http://www.symantec.com/
Recursos de inteligncia da Symantec e ISTR: http://www.symantec.com/pt/br/threatreport/
Resposta de segurana da Symantec: http://www.symantec.com/pt/br/security_response/
Norton Threat Explorer: http://br.norton.com/security_response/threatexplorer/
Norton Cybercrime Index: http://br.norton.com/cybercrimeindex/
Symantec Brazil
Av. Dr. Chucri Zaidan, 920 - 12 andar
Market Place Tower
So Paulo, SP
Brasil
www.symantec.com/pt/br/ssl
2015 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo circular com a marca de
verificao e o logotipo do Norton Secured so marcas comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos
Estados Unidos e em outros pases. Outros nomes podem ser marcas comerciais dos respectivos proprietrios.