domingo, 21 de abril de 2013

Lições da Evernotes – Parte 2


 
Conforme falado na postagem anterior, daremos continuidade ao caso da empresa Evernotes,

empresa americana desenvolvedora de apps para tornar as tarefas dos seus clientes mais produtiva no dia a dia, a qual suspeita-se que 50 milhões de usuários tiveram seus endereços de e-mail, usuários e senhas criptografadas roubadas, devido a uma brecha de segurança.

 

Anteriormente falamos sobre os detalhes do ataque ocorrido.

 

2 –  Precauções: Apesar de apenas suspeitar e não saber ao certo se informações  sigilosas foram roubadas de seus usuários, a empresa resolveu efetuar um reset de todas as senhas de seus clientes, solicitando aos mesmos cadastrarem uma nova senha.

 

Segundo a diretoria da empresa, isso foi feito para assegurar que os dados de seus usuários, continuassem seguros, apesar da criptografia robusta que foi implementada anteriormente.

 

A boa noticia é que depois de uma investigação minuciosa, não foi constatado nenhum indicio de que os dados dos usuários foram acessados, roubados ou alterados, incluindo os dados de pagamentos dos usuários das contas Premium.

 

Essas atitudes mostram um ótimo exemplo de empresa que se preocupa com a integridade dos dados de seus cliente.

 

Parabéns Evernotes.

 
Grande abraço a todos!!!

terça-feira, 16 de abril de 2013

Lições da Evernotes – Parte 1




Achei interessante e resolvi escrever sobre uma empresa chamada Evernotes.
A Evernotes é uma empresa americana, com sede em Redwood City, California que, tem como objetivo desenvolver apps que facilitam a organização das pessoas em seu dia a dia, tornando suas tarefas mais produtivas. São eles lembretes, reuniões, tarefas diárias etc..., em seu celular, PC e notebooks.

Para ter acesso a esses aplicativos, é necessário acessar o site da empresa (evernote.com), criar uma conta, a qual pode ser gratuita ou paga (Premium).

Segundo matéria que saiu no Information Week, suspeita-se que 50 milhões de usuários (isso mesmo..milhões!!!!), tiveram seus endereços de e-mail, usuários e senhas criptografadas roubadas, devido a uma brecha de segurança.

A equipe da empresa, descobriu uma atividade suspeita em sua rede e a bloqueou. Por via das dúvidas e por motivos (óbvios) de segurança, foi mandado um e-mail para os usuários do site , solicitando a alteração de suas respectivas senhas de acesso.

A pergunta é: Será que além de pedirem para os usuários mudarem suas senhas, foi feito mais alguma coisa para evitar esse tipo de incidente? Foi aprendida a lição para isso não acontecer mais?
A resposta para ambas perguntas é: SIM.

A partir de hoje, vou postar, semanalmente, em 7 partes, as lições aprendidas com esse incidente na Evernotes:

1 –  Detalhes do ataque:
Uma mensagem de segurança via boradcast enviada para a empresa através de múltiplos canais, mostrou claramente o que os invasores queriam, bem como, a maneira que os dados estavam protegidos.

A investigação mostrou , que os indivíduos responsáveis pelos ataques, conseguiram acesso às informações dos usuários da Evernote, como endereços de e-mails, usuários e senhas criptografadas, apesar dessas informações estarem armazenadas e protegidas por criptografia do tipo “one-way”

A boa noticia para os usuários da empresa é que a Evernote implementou um tipo de proteção nas senhas, conhecida como Salted e hashed (em criptografia, salt são dados randômicos adicionados a senhas, acrescentando uma outra camada de segurança, que funciona com um hash adicional em senhas ou frases), ao contrário do Linkedin que somente criptografou as senhas de seus usuários, ficando suscetível a novos ataques de força bruta.

Apesar da criptografia em hás não ser infalível, pelo menos, em casos de novos ataques, fornece mais tempo para a equipe de monitoramento da empresa e seus usuários detectar e responder a novos ataques.

Grande abraço a todos e até a próxima semana!

domingo, 7 de abril de 2013

Ataques X Investimentos


Li uma material que saiu no TI Inside Online que não poderia deixar de comentá-la. O artigo tem como título “Mais de 70% das empresas brasileiras foram afetadas nos últimos meses”.
 
Veja bem 70%!!!!!

Para ser mais exato, 73% das empresas brasileiras sofreram ataques que afetaram suas operações. Desses ataques, 58% foram malwares (ver tabela abaixo).

Pesquisa feita pela ESET, uma companhia de soluções de software de segurança contra ameaças digitais. 

Somente 27% das empresas entrevistadas, reportaram que não sofreram nenhum tipo de ataque nos últimos meses, ou ainda não sabem disso. 

Olhando para esses números, não posso deixar de fazer os seguntes questionamentos: 

- Após sofrerem algum tipo de ataque, será que essas empresas tomaram alguma ação para melhorar a segurança de seus dados e de sua infraestrutura? 

- Os softwares antivírus, antispyware etc.. são o suficiente para garantir a disponibilidade, integridade e confidencialidade das informações dentro da empresa? 

- Com relação aos usuários, foi feito algum programa de conscientização sobre a segurança dos dados da empresa? 

Apesar de todo dia lermos todos os dias que os ataques a aplicações web estão cada vez mais engenhosos e profissionais, segundo a mesma pesquisa feita pela ESET, 22% das organizações irão diminuir o investimento em segurança da informação.  

Por outro lado, 78% das empresas entrevistadas pretendem manter ou aumentar os investimentos em segurança de seus dados. 

Tipos de ataques sofridos por empresas com até 200 funcionários:

 

Malwares
58%
Pishing
29%
Vulnerabilidades
22%
DDoS
15%
Acesso Indevido
11%
Não sofreram ataques
27%

 
Um grande abraço a todos!!!!