Gbitten
terça-feira, janeiro 29, 2008
CSO em quatro passos
- Encontre as 3 maiores ameaças de segurança ao negócio;
- Defina controles para tratá-las;
- Verifique a eficácia deles;
- Retorne ao passo 1.
domingo, janeiro 27, 2008
Roubo de indentidade
IDENTITY theft and identity fraud are terms used to refer to all types of crime in which someone wrongfully obtains and uses another person's personal data in some way that involves fraud or deception, typically for economic gain.
Existe muito oba-oba a respeito de incidentes de roubo de identidade, principalmente, ao roubo ou perda de grandes bases de dados contendo informações privadas de milhares de pessoas.
Essa lista das piores violações de segurança de 2007 é sintomática. As 19 violações de segurança da lista estão relacionadas com roubo de identidade. Contudo, apenas 1 violação relata o uso de informações roubadas para cometer fraudes.
É possível que boa parte destes incidentes não tinham como objetivo o roubo da base em si. Mesmo assim, é estranho é que, com exceção de fraudes de cartão de crédito, os impactos negativos causados por roubos de bases de dados de identidade geralmente passam desapercebidos.
terça-feira, junho 12, 2007
Ameaça ou Ataque?
Hoje eu li um "post" muito interessante do Richard Bejtlich comentando que o "Modelo de Ameaça" da Microsoft é na verdade um "Modelo de Ataque". A consolidação de conceitos como ameaça e ataque é um assunto que me interessa profundamente. Confesso que não tenho certeza sobre este dois termos. Bejtlich, pelo seu background, deve basear sua opinião na terminologia militar, o que provavelmente é a coisa mais indicada pois os militares estão literalmente a alguns milênios de experiência na nossa frente. Se alguém souber alguma bibliografia sobre o assunto que possa recomendar, por favor se apresente.
Vale ressaltar o comentário do Fernando Cima na própria notícia do Bejtlich, informando de onde originou dentro da Microsoft o termo "Modelo de Ameaça".
Marcadores: Ameaça
quinta-feira, dezembro 28, 2006
Shadowserver
Shadowserver é uma iniciativa de um grupo de voluntários contra a ameaça dos Botnets.
sexta-feira, outubro 28, 2005
[Palestra] Internet Crimes and Financial Institutions
Essa palestra ministrada pelo promotor-assistente do distrito de Maryland, Stuart A. Berman, no evento Café com Finanças é ao mesmo tempo interessante e inquietante.
Interessante por apresentar um cenário cada vez mais comum de crimes de manipulação de mercados através de meios eletrônicos como "Pump-and-Dump" e "Cybersmear". Berman descreve da seguinte forma estas práticas:
Pump-and-Dump - Identity lightly-traded stock - Buy low - Put false, positive information about the company (earnings increase, takeover) onto the Internet - When stock rises, sell - Truth comes out, stock falls
Cybersmear - Identity lightly-traded stock - Purchase options to “short-sell” (make money if stock goes down) - Put false, negative information about the company (earnings fail to meet goals, CEO under government investigation) onto the Internet - When stock falls, short-sell - Advanced criminals: buy more when price is low - Truth comes out, stock rises – sell for profit
Inquietante pelo panorama apresentado sobre o furto de identidade por meios eletrônicos nos EUA em 2005. Entre os principais casos Berman reporta:
- CardSystems: June 2005:40 million credit card accounts - CitiFinancial: June 2005: information on 3.9 million consumer lending customers - MCI: May 2005: 16,500 current and former employees - LexisNexis/Seisint: March 2005; 280,000 consumers. - University of California - Berkeley: March 2005; 98,000 students and prospective students. - Choicepoint: February 2005; 150,000 consumers. - Bank of America: February 2005; 1.2 million federal workers. - DSW: February 2005; 1.4 million customers.
Num total de 50 milhões de identidades furtadas. Com certeza, isso já ocorre no Brasil (ver), porem a dimensão deste problema é desconhecida, já que por aqui a preocupação sobre o assunto é bem menor que lá fora, além de não haver leis específicas como a lei californiana que obriga a empresa avisar ao cidadão quando um dado pessoal é furtado.
Arquivos
janeiro 2000 fevereiro 2000 março 2000 julho 2005 agosto 2005 setembro 2005 outubro 2005 novembro 2005 dezembro 2005 janeiro 2006 março 2006 abril 2006 maio 2006 junho 2006 julho 2006 agosto 2006 setembro 2006 outubro 2006 novembro 2006 dezembro 2006 janeiro 2007 fevereiro 2007 abril 2007 maio 2007 junho 2007 julho 2007 agosto 2007 setembro 2007 outubro 2007 novembro 2007 janeiro 2008 fevereiro 2008 março 2008 junho 2008 setembro 2008 novembro 2008 dezembro 2008 junho 2009 julho 2009 agosto 2009 setembro 2009 outubro 2009 dezembro 2009 fevereiro 2010
Assinar Postagens [Atom]