Problema afeta quem teve transações processadas na Espanha; bancos de quatro países já decidiram trocar os cartões de seus clientes.

Um aparente vazamento de dados na Espanha levou a Visa e a MasterCard a avisar os bancos sobre possíveis transações fraudulentas de cartões de crédito.

A brecha afeta pessoas de toda a Europa que podem ter tido suas compras processadas na Espanha. Como consequência, muitos bancos alemães optaram por trocar os cartões de seus clientes, informou o Comitê Central de Crédito, organização que representa diversas casas bancárias alemãs.

Bancos da Áustria, da Suécia e da Finlândia também emitiram novos cartões, publicou o Stuttgarter Zeitung na quarta-feira (18/11).

A Visa percebeu movimentações fora do padrão com o uso de cartões na Espanha, “mas o que nós não sabemos é qual foi o problema ou que tamanho ele tem”, disse Ian Barber, um porta-voz da Visa. Uma investigação está sendo conduzida, disse Louise Herbert, porta-voz da MasterCard.

A Visa emitiu um alerta de precaução aos bancos, e a a MasterCard também notificou os bancos parceiros. Nenhuma companhia quis dizer quantos cartões podem ter sido expostos à fraude.

Troca opcional
Cabe ao banco decidir sobre a emissão de novos cartões a seus clientes. Os bancos têm costumeiramente compensado clientes que são vítimas de operações fraudulentas. Como a troca de grandes lotes de cartões é uma operação cara, alguns bancos preferem não substituir os cartões até que haja uma prova concreta de fraude.

Nos últimos anos, as companhias de cartão de crédito, como a Visa e a MasterCard, têm exigido que as empresas associadas se adequem ao Padrão de Segurança de Dados da Indústria de Cartões para Pagamento (PCI DSS), um conjunto de práticas e recomendações sobre a manutenção da segurança de dados e de processamento de cartões de pagamento. A intenção é reforçar a segurança sobre os dados do cartão.

Independentemente disso, as brechas ainda ocorrem. “Infelizmente, esses casos não são raros”, disse Sandra Quinn, diretora de comunicações da UK Payments, uma associação comercial de empresas de pagamento.

Os bancos ingleses HSBC e RBS não forneceram informação precisa sobre se farão a troca de cartões. A Barclaycard, que é a divisão de cartões de crédito do Barckaysbank, disse que estava ciente da situação e que tomará “todas as medidas necessárias” para parar a fraude, disse um porta-voz.

Fonte: IDG News Service

Publicada em 20 de novembro de 2009 às 18h33

Especialista ganha prêmio do TSE por registrar interferência da urna sobre rádio, o que permitiria romper segredo por meio de receptores baratos.

Por Guilherme Felitti, do IDG Now!

Publicada em 20 de novembro de 2009 às 18h14

Atualizada em 20 de novembro de 2009 às 22h40

Durante os testes promovidos pelo Tribunal Superior Eleitoral (TSE) para testar a segurança da urna eletrônica a ser usada nas eleições de 2010, um perito teve sucesso em quebrar o sigilo eleitoral e descobrir, por meio de radiofrequência, o candidato escolhido pelo eleitor.

O consultor Sérgio Freitas da Silva compôs o grupo de32 especialistas convocados pelo TSE e compareceu à sede do órgão na terça-feira (10/11), primeiro dia dos testes, com a estratégia de detectar a interferência eletromagnética que a urna exerce sobre as ondas de rádio.

“Fiz meu experimento em 29 minutos e obtive sucesso no escopo que estava proposto: rastrear a interferência e gravar arquivos para comprovar a materialidade do fenômeno”, que sintonizam ondas longas e curtas e estações em AM e FM.

Segundo Sérgio, o equipamento usado é encontrado em rádios convencionais vendidos nas lojas, “destes que custam 10 reais”. A técnica acabou dando a Sérgio a primeira posição no concurso de melhorias para urna promovido pelo TSE, o que lhe rendeu prêmio de cinco mil reais.

“Enquanto eu digitava na urna, rastreava através do rádio pra ver se detectava alguma interferência. Consegui rastrear a interferência que isto provocava na onda, gravando um arquivo WAV com estes sons”, explica.

Sérgio explica que após gravar os ruídos que os botões da urna eletrônica exercem sobre a onda é possível decodificar os sons, o que levaria à descoberta dos candidatos escolhidos pelo eleitor, quebrando seu sigilo.

“É como se o teclado da urna eletrônica se transformasse em um teclado musical, conseguindo rastrear a tonalidade da interferência neste arquivo WAV que gravei”, compara.

A técnica descrita por Sérgio é chamada de Van Eck Phreaking, segundo o especialista em segurança Marco Canut, que confirma a possibilidade de quebra do sigilo eleitor caso o método seja aplicado à urna eletrônica brasileira.

Canut é diretor geral da Tempest, consultoria de segurança contratada tanto pela iniciativa privada como pelo Governo para realizar testes de segurança em sistemas computacionais, mesmo intuito do TSE ao convocar os 32 especialistas que atacariam a urna eletrônica. Leia Mais…

MOUNTAIN VIEW, Califórnia (Reuters) – O Google está abrindo seu esperado software Chrome para programadores externos, em preparação para expandir seu domínio no setor de sistemas operacionais.

A gigante de Internet organizou um evento de mídia nesta quinta-feira para demonstrar o software gratuito, baseado na computação em nuvem, e que a empresa espera lançar no mercado em netbooks antes da temporada de Natal de 2010. Executivos do Google afirmam que desenvolveram o Chrome com ênfase em velocidade, segurança e simplicidade.

No momento, o software pode ser iniciado em um PC em sete segundos, e o Google disse que espera diminuir o tempo de iniciação ainda mais.

Mas a empresa afirmou que o Chrome, pelo menos inicialmente, não irá funcionar em qualquer PC, e que planeja especificar certas exigências de hardware para operar o software, como discos rígidos SSD.

Com o Chrome, o Google busca enfrentar o domínio do Windows, da Microsoft, que opera em nove de cada 10 PCs no mundo.

Ao abrir o código-fonte do Chrome, o Google espera encorajar programadores de fora da empresa a inovarem com seu sistema operacional e desenvolverem novos aplicativos.

O Google afirmou que todos os dados do Chrome serão automaticamente armazenados na chamada nuvem, ou em servidores externos, mas também em formato cache no hardware interno do computador, para melhorar seu desempenho.

(Reportagem de Alexei Oreskovic)

Fonte: Reuter

Understanding BS 25999
The International Business Continuity
Management (BCM) Standard

Organizations across the world are keenly awaiting the launch of BS 25999-2:2007, the specification for Business Continuity Management (BCM) due to be brought out later this year by the British Standards Institution (BSI). This follows the launch of the accompanying Code of Practice for BCM, BS 25999-1 during the year 2006. Clearly, resilience in the wake of a business disruption is recognized as a strategic business imperative and organizations are keen on benchmarking their BCM Systems against international standards. This article is based on the published draft version of the document and attempts to give the reader a quick heads-up on what to expect in the standard.

Definition of Business Continuity Management

According to BS 25999-1, BCM is: “A holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand, and value-creating activities.”

The holistic BCM Life Cycle, as defined in Figure 1, has at its core the foundations of BCM Program Management. This is followed by 4 key stages that focus on implementation and maintenance: Understanding the Organization, Determining the BCM Strategy, Developing and Implementing the BCM Response, and Exercising, Maintaining, and Reviewing the BCM Program. Critical to making all this happen is the need for embedding BCM in the Organization’s Culture.

	1.	Understanding the Organization
		•	Business Impact Analysis
		•	Risk Assessment and Control
	2.	Determining the BCM Strategy
		•	Organization strategy
		•	Activity recovery within recovery time objective
		•	Managing relationships with key stakeholders and external bodies
	3.	Developing and Implementing the BCM Response
		•	Incident response structure
		•	Plans to manage incidents and recovery plans
		•	Communications
		•	Public relations and the media
	4.	Exercising, Maintaining, and Reviewing the BCM Program
		•	Validation of plans
		•	Fit-for purpose and up-to-date
		•	Contiual improvement
		•	Corrective action
		•	Preventive action

BCM Program Management Leia Mais…

Uma GCN efetiva ajuda as organizações a aumentar sua resiliência e proteger seus empregados, ativos e processos de negócios.

Muitos planos da GCN falham devido a falta de treinamento e conscientização dentro da organização. Logo, é importante assegurar que a organização considere business continuity em todas suas atividades.

Cultivando uma conscientização coletiva.

Cultivar um entendimento e conscientização no staff é fundamental para a efetividade da GCN – isto é um elemento chave dentro da BS 25999. Entretanto, isto permanence como um desafio para muitas organizações, principalmente para as mais complexas com alto volume de staff, múltiplas localidades e diferentes culturas para influenciar.

Gerentes locais da GCN não devem tomar decisões rápidas para replicar internamente programas de treinamento e conscientização sem avaliação e análise preliminar do ambiente. Um programa como este precisa ser único para toda organização, endereçando todos os componentes da GCN, como análise de riscos, gerenciamento de crises, planos de comunicação, procedimentos de contingência e recuperação de ativos, e atividades de ongoing, como atualização e monitoramento.

Aqui estão alguns elementos simples para aludar os planejadores da GCN a construir e nutrir uma conscientização da continuidade de negócios para toda a organização:

• Use terceiros, como consultores, auditores e clientes para ajudar a mostrar a importância do planejamento da continuidade de negócios;
• Mostre como seus concorrentes estão construindo os programas de continuidade de negócios;
• Use o programa para gerar publicidade para a organização. Divulgue testes e exercícios para a mídia e comunidade local, para mostrar que sua organização tem compromisso com as operações de negócio;
• Use um sistema de notificação de emergência, como o XCORP Mobile para anunciar mudanças ou benefícios ou distribuição de procedimentos e testes;
• Use eventos atuais para ressaltar a importância da GCN ou do PCN. Notícias sobre empresas que conseguem dar continuidade aos negócios após rompimentos ou incidentes graves são uma grande fonte para isso. Leia Mais…

A utilização de um sistema para automação dos diversos procedimentos descritos durante a elaboração de um plano de continuidade de negócios, tem que levar em conta a possibilidade de cadastramento de todo o ambiente envolvido, sejam pessoas, processos, ativos, crises, ameaças e todas as localidades envolvidas. Muitas empresas utilizam sistemas específicos na construção dos planos e esquecem do mais importante: a possibilidade de usabilidade numa situação de crise.

Um bom sistema de automação dos planos deve permitir, além da construção de todos procedimentos, a usabilidade pelos gestores de uma forma amigável e simplificada. Aqueles sistemas complexos, que geralmente são construídos com muitos campos para preenchimentos com detalhes específicos de entrevistas e de relacionamento com procedimentos operacionais, são ótimos para abranger as diversas atividades de uma contingência, mas muitas vezes se tornam impossíveis de serem implementados por gestores estratégicos, que querem somente consultar os procedimentos operacionais a serem executados por sua equipe em situações de crises e desastres. Muitos consultores acreditam que as atividades voltadas para a usabilidade do PCN são mais difíceis de serem implementadas do que a sua própria construção.

Entre diversos aspectos e características técnicas dois fatores merecem atenção especial na escolha da melhor ferramenta de apoio: a característica de ser uma ferramenta de apoio as diversas atividades que devem ser executadas pela equipe de trabalho, e não o contrário, e o fato da ferramenta possibilitar a visualização dos procedimentos que devem ser executados, ao invés de simplesmente informar os erros de sistemas e equipamentos ou detectar problemas. Algumas ferramentas não permitem alterações na sua forma de pensar, e as atividades são obrigadas a ser desenvolvidas de acordo com as etapas planejadas no sistema. Outras apenas agem como um “aviso de tempestade” e não informam os procedimentos para atuar na crise. Nestes casos as atividades desenvolvidas se tornam o apoio da ferramenta, e as conseqüências são bastante danosas para a usabilidade e implantação do sistema no ambiente corporativo. A empresa acaba se tornando pouco flexível e subordinada as regras do sistema. Nestes casos a possibilidade de implementação adicional as características da ferramenta se torna difícil de acontecer.

Leia Mais…

Ataque aconteceu na rede corporativa, na quinta-feira (12).
Sistema operativo é blindado, segundo órgão.

Juliana Carpanez e Altieres Rohr Do G1, em São Paulo

O Operador Nacional do Sistema Elétrico (ONS) confirmou na tarde desta segunda-feira (16) que sua rede corporativa sofreu invasão de hackers na noite de quinta-feira — a brecha foi corrigida no mesmo dia. Segundo o órgão, não há qualquer indício de invasão à rede operacional do site.

O G1 divulgou no início desta tarde que o órgão havia solucionado o problema em uma página de login, mas uma brecha semelhante continuava no sistema de cadastro. Pouco depois da publicação da reportagem, a página deixou de apresentar o erro que comprova a falha. “Toda vez que eles tentam [invadir], a gente corrige”, disse o operador.

“A rede operativa é blindada, separada da internet e operada via comando de voz”, segundo informou a entidade, negando que o apagão que atingiu 18 estados na terça-feira (10) tenha sido causado por ação de hackers. O ONS cita o Ministério das Minas e Energia, que voltou a confirmar nesta segunda que o blecaute foi causado por curto-circuito . Leia Mais…

Dez vulnerabilidades mais severas verificadas no primeiro semestre de 2009 afetaram softwares da Apache, Citrix, IBM, SAP, Sun e Symantec.

por Thomas Claburn | InformationWeek EUA

10/11/2009

O número de vulnerabilidades detectadas em software tem crescido a ponto que nove em cada dez aplicativos web possuem falhas que podem expor informações críticas. O relatório “Web Application Security Trends Report Q1-Q2, 2009, produzido pela empresa Cenzic e divulgado na segunda-feira (09/11), revela que mais de 3,1 mil vulnerabilidades foram identificadas no primeiro semestre deste ano, índice 10% superior ao verificado no segundo semestre de 2008.

 Do total de vulnerabilidades, 78% são de aplicativos web. Embora o percentual seja menor que o apontado no segundo semestre de 2008, supera o índico dos primeiros seis meses do ano passado.

 Outro documento, o “Top Cyber Security Risks”, do SANS Institute, lançado em setembro, revelou que mais de 60% dos ataques na internet focaram aplicativos web.

 Além disso, 90% das vulnerabilidades encontradas foram em aplicações comerciais e 8% em navegadores que rodam web apps, apontou o relatório da Cenzic.

 Entre as fabricantes de software afetadas pelas 10 principais falhas estão PHP, SAP, Sun, Citrix, Apache, F5 Networks, Symantec e IBM. De acordo com a Cenzic, as vulnerabilidades SQL Injection e Cross Site Scrupting tiveram maior participação nos ataques pela web, com 25% e 17%, respectivamente.

O documento da Cenzic mostra ainda que 87% das aplicações analisadas “tinham sérias falhas que poderiam expor informações críticas ou confidenciais dos usuários durante transações.”

No segundo semestre de 2008 esse percentual era de 78%.

Quando se fala em vulnerabilidade de navegadores, Firefox e Safari lideraram. “Mozilla Firefox teve o maior percentual com 44%”, aponta o documento. “O que surpreendeu foi o navegador Safari ter muita vulnerabilidade, chegando a 35%. O Internet Explorer ficou em terceiro com 15% e o Opera, em quarto, com 6% do total de vulnerabilidade.”

Nos últimos anos, o Firefox apresentou número maior de problemas que o Internet Explorer, mas os bugs do navegador da Mozilla são resolvidos com mais agilidade do que aqueles que afetam o browser da Microsoft.

Membros do Firefox argumentam que a questão de segurança do Firefox e Internet Explorer não são facilmente comparáveis porque o processo de segurança da Mozilla é aberto e o da Microsoft fechado. A Microsoft não se pronunciou sobre o assunto. 

 Fonte: ITWEB

Painel realizado no México reuniu executivos de diversas áreas que apontaram tecnologias prioritárias para o próximo ano. 

Fonte: ITWEB

por InformationWeek México

09/11/2009

 

O painel de tendências foi um dos mais esperados do Business Innovation Forum, que aconteceu na Cidade do México. A diretora geral da Netmedia, responsável pela publicação da Informationweek México, Mônica Mistretta, reuniu representantes de empresas como EMC, CA, Google, Ernst&Young e Websense para discutir as tecnologias que impactarão o ambiente empresarial. Veja um resumo do que foi discutido:

 

- Cloud computing

 

Miguel Monreal, engenheiro de vendas empresariais do Google, considera que atualmente já existe uma forma de integrar informações das empresas em nuvem de maneira relativamente fácil. “Agora a tendência é integrar os dois mundos. Como nem toda a informação da companhia pode trafegar em nuvem, a ideia é encontrar uma meio para que o conteúdo na organização e o que se encontra no ambiente cloud possam conversar”, explicou.

 

Por outro lado, Victor Hernández, da área de estratégia de soluções da CA, aproveitou para destacar às organizações que um esquema de computação em nuvem que oferece múltiplos serviços ligados a um desenho corporativo poderia complicar a vida da equipe de TI. “Para eles, teremos tecnologias para permitir que os negócios migrem para este esquema fazendo uma administração centralizada e com acordos de nível de serviço.”

 

- Redes sociais nas empresas

 

De acordo com Ernesto López, gerente comercial da Impra Consultores, embora as redes sociais representem uma ferramenta poderosa, é preciso saber como tirar proveito. “É uma ferramenta muito forte para falar com o cliente, principalmente com as novas gerações que fazem uso natural dessas tecnologias. Mas é preciso planejar isso muito bem: não é apenas colocar uma página na web; se nada de interesse for incluído, não serve”, ensinou. Leia Mais…

Por Computerworld (EUA)

Publicada em 13 de novembro de 2009 às 15h46

Atualizada em 13 de novembro de 2009 às 15h50

Uma falha no software Flash, da Adobe, pode ser explorada por hackers para comprometer todo site que dê permissão para atualização de conteúdo – caso, por exemplo, do Gmail do Google – para então atacar silenciosamente os visitantes desses sites, afirmaram hoje (13/11) pesquisadores de uma empresa de segurança dos EUA.

A Adobe não refutou as declarações dos pesquisadores, mas disse que é responsabilidade dos projetistas e dos administradores web construir aplicações e sites capazes de se prevenir contra tais ataques.

“O tamanho do problema é enorme”, avalia Mike Murray, executivo de segurança da Foreground Security, da Flórida. “Qualquer site que permita a atualização de conteúdo pelo visitante é vulnerável, e a maioria deles não está pronta para lidar com isso.”

Permissão arriscada
O problema está nas regras de operação do Flash ActionScript, que é programado para permitir o acesso de um objeto Flash a outro conteúdo somente a partir do domínio que o originou, explica Mike Bailey, um pesquisador sênior de segurança na Foreground.

Infelizmente, explica Bailey, se um invasor puder infiltrar um objeto Flash malicioso em um site – por meio de suas capacidades de geração de conteúdo, que tipicamente permite às pessoas atualizar arquivos em um site ou serviço – eles poderão executar scripts maliciosos no contexto desse domínio.

Bailey explicou como um hacker poderia explorar a falha do Flash. “É relativamente simples”, disse. “Tudo que ele precisa fazer é criar um objeto Flash malicioso, e carregá-lo no servidor web”.

Saiba mais em:  http://bit.ly/1a5ocw