Os números relacionados a vazamentos de dados na Internet demonstram a importância da atenção à segurança da informação, afinal, apenas no primeiro semestre de 2021, mais de 4,6 bilhões de credenciais foram vazadas, representando um aumento de 387% em relação a todo o ano de 2019, por exemplo.

Vazamentos de dados são definitivamente um problema, mas, é difícil encontrar um grande ataque cibernético nos últimos cinco anos, em que a identidade, geralmente uma senha comprometida, não tenha fornecido o vetor de ataque. Vivemos um momento em que não existem senhas “seguras”, afinal, são “segredos compartilhados” que precisam ser conhecidos pelo usuário e aplicações que as armazenam nos servidores de autenticação, tornando-as inerentemente vulneráveis a inúmeros métodos de ataque, entre eles o phishing, malwares e ataques de força bruta.

O uso de phishing, por exemplo, para enganar usuários e descobrir suas senhas é o mais alarmante. Um relatório do Anti-Phishing Working Group (APWG) descobriu que 2016 foi o pior ano da história para golpes utilizando o método, com um volume de ataques 65% maior em relação ao ano anterior.

Diante do aumento da frequência de ataques do tipo, governos buscam políticas focadas no impulsionamento da adoção de autenticação multifator (MFA), que podem evitar ataques baseados em senha e proteger de forma mais eficiente dados e sistemas críticos.

A consultoria em gestão de risco e segurança Chertoff Group, elenca 8 princípios fundamentais para que governos protejam ativos críticos de forma eficiente através de políticas de autenticação.

1. Tenha um plano que aborde explicitamente a autenticação

Embora uma abordagem sólida para autenticação seja apenas um elemento de uma abordagem adequada ao gerenciamento de riscos cibernéticos, qualquer iniciativa cibernética que não inclua um foco em autenticação forte está lamentavelmente incompleta.

2. Reconheça as limitações de segurança dos segredos compartilhados

Os responsáveis pela elaboração de políticas de segurança devem entender as limitações das tecnologias de MFA de primeira geração, como senhas de uso único ou OTPs, que dependem de segredos compartilhados e buscam incentivar a adoção de alternativas mais seguras, como aquelas que utilizam criptografia de chave pública onde as chaves são sempre armazenadas — e nunca saem — do dispositivo do usuário, como Padrões de autenticação FIDO.

3. Garanta que as soluções de autenticação sejam compatíveis

À medida que o uso de transações móveis cresce, qualquer política que não esteja voltada para otimizar o uso de MFA no ambiente móvel não conseguirá proteger de fato as transações realizadas.

4. Não prescreva nenhuma tecnologia ou solução única

A autenticação está no meio de uma onda de inovação, e novas tecnologias melhores continuarão a surgir. Por esse motivo, os governos devem se concentrar em uma abordagem baseada em princípios da política de autenticação que não impeça o uso de novas tecnologias.

5. Incentive a adoção generalizada escolhendo soluções de autenticação fáceis de usar

A baixa usabilidade frustra os usuários e impede a adoção generalizada. As soluções de MFA de última geração reduzem drasticamente esse “atrito do usuário” e, ao mesmo tempo, oferecem ganhos de segurança ainda maiores. Os responsáveis pelas políticas devem procurar incentivos para incentivar o uso de MFA de próxima geração que aborde tanto a segurança quanto a experiência do usuário.

6. Entenda que as antigas barreiras à autenticação forte não se aplicam mais

Um dos maiores obstáculos à adoção de MFA tem sido o custo — anteriormente, poucas organizações podiam se dar ao luxo de implementar tecnologias de MFA de primeira geração. Hoje, existem dezenas de empresas que oferecem soluções de autenticação de próxima geração que são mais fortes que as senhas, mais simples de usar e menos dispendiosas de implantar e gerenciar.

7. Saiba que a privacidade é importante

As soluções de MFA podem variar muito em sua abordagem à privacidade — algumas rastreiam cada movimento dos usuários ou criam bancos de dados de informações do consumidor. Essas soluções levantam preocupações com a privacidade e criam caches valiosos de informações que estão sujeitas a ataques. Felizmente, hoje várias empresas de autenticação adotaram uma abordagem de “privacidade desde a concepção” que mantém uma biometria valiosa no dispositivo de um usuário e minimiza a quantidade de dados pessoais armazenados nos servidores.

8. Use biometria apropriadamente

A quase ubiquidade dos sensores biométricos em dispositivos móveis está criando opções para autenticação segura, facilitando o uso de tecnologia como impressão digital e reconhecimento facial. No entanto, a biometria é mais bem utilizada como uma das camadas de uma solução MFA — combinando uma biometria em um dispositivo para, em seguida, desbloquear um segundo fator.

Idealmente, a biometria deve ser armazenada e combinada apenas em um dispositivo, evitando a necessidade de lidar com os riscos de privacidade e segurança associados a sistemas que armazenam biometria centralmente. Todos os dados biométricos armazenados em um servidor são vulneráveis a cair em mãos erradas caso o servidor seja comprometido. Este foi o caso em junho de 2015 quando ocorreu a violação do Office of Personnel Management (OPM) dos Estados Unidos, resultando em 1,1 milhão de impressões digitais comprometidas.

Conclusão

Não há tecnologia ou padrão capaz de eliminar o risco de ciberataques, mas adotar padrões modernos de MFA pode ser um passo fundamental para uma redução significativa. Através dos oito princípios governos podem criar uma sólida base para o uso da autenticação multifator, que melhora a segurança coletiva e contribui para maior privacidade e confiança no ambiente digital.

The post Ampliando a cibersegurança em governos appeared first on DSTEC.

Um relatório lançado nesta quinta (12), pelo FMI (Fundo Monetário Internacional) indica que ferramentas digitais podem aprimorar serviços e melhorar a arrecadação de um governo em até 2% ao ano.

O estudo integra o relatório de monitoramento fiscal do órgão, e afirma que a tecnologia pode ajudar a combater práticas de sonegação fiscal e aumentar a base de coleta de dados do governo.

“Esse volume de informações pode permitir aos governos que melhorem a entrega de serviços públicos e a transparência fiscal”, informa o documento.

As conclusões se fundamentam na experiência de vários países, como China, África do Sul, Estônia e Chile, entre outros.

Por outro lado, o relatório pontua que são necessários esforços simultâneos para garantir a segurança das informações digitais, em especial entre “cidadãos que permanecem profundamente desconfiados em confiar ao governo suas informações pessoais”.

O órgão sugere investimento não só para a manutenção de sistemas e sua segurança, como também para a criação de um arcabouço legal de transparência e compliance para a administração pública.

Assegurar o acesso da população a essas tecnologias, por meio da expansão da internet de banda larga e móvel, por exemplo, também está entre as recomendações.

O documento ainda sugere que os países deveriam tomar medidas em conjunto para taxar companhias de tecnologia com operações internacionais.

The post Relatório do FMI indica que tecnologia pode aprimorar arrecadação do governo appeared first on DSTEC.

Com a visão de conectar tudo e todos em qualquer lugar, a Wi-Fi Alliance tem como parte da sua missão promover uma colaboração global altamente efetiva entre as empresas associadas, bem como a adoção de suas tecnologias em todo o mundo, conduzindo, desenvolvendo e adotando padrões acordados pela indústria.

Três meses após a divulgação da vulnerabilidade Krack, que compromete a segurança de equipamentos conectados via Wi-Fi através do protocolo WPA2, com potencial de revelar todo o conteúdo da comunicação transmitida, a entidade anunciou na última segunda-feira (8) estar iniciando uma série de aprimoramentos de configuração, autenticação e criptografia em seu portfólio.

A Wi-Fi Alliance afirmou que continuará aprimorando o protocolo WPA2 para garantir uma segurança forte aos usuários Wi-Fi à medida que o cenário de segurança evolui. Novos aprimoramentos de testes também reduzirão o potencial de vulnerabilidades devido à má configuração da rede e salvaguardarão mais as redes gerenciadas com serviços de autenticação centralizada.

Com base na adoção generalizada e no sucesso do WPA2, a Wi-Fi Alliance fornecerá um conjunto de recursos para simplificar a configuração de segurança do Wi-Fi para usuários e provedores de serviços, enquanto reforçará também as proteções de segurança da rede Wi-Fi. Quatro novas capacidades para redes Wi-Fi pessoais e empresariais surgirão em 2018 como parte do Wi-Fi CERTIFIED WPA3. Dois dos recursos fornecerão proteções robustas mesmo quando os usuários escolherem senhas que não atendam a recomendações típicas de complexidade, simplificando o processo de configuração de segurança para dispositivos que possuam interface de exibição limitada ou até mesmo nenhuma. Outra característica fortalecerá a privacidade do usuário em redes abertas através de criptografia de dados individualizada. Finalmente, uma suíte de segurança de 192 bits, alinhada com a Suíte CNSA (Commercial National Security Algorithm) do Comitê de Sistemas de Segurança Nacional, protegerá as redes Wi-Fi com requisitos de segurança mais altos, como o governo, a defesa e a indústria.

Referências

https://glo.bo/2AQ80dl, http://bit.ly/2AQShe5, http://bit.ly/2AQ9zb2

The post Novidades na Segurança para redes Wi-Fi appeared first on DSTEC.

Na DEF CON  25, que iniciou na última quinta (27) e vai até 30 de julho, hackers tiveram a oportunidade de acessar livremente sistemas de votação e bancos de dados eleitorais, a fim de buscar vulnerabilidades que possam ser utilizadas para manipular os resultados.

A organização do evento estabeleceu um perímetro apelidado como #VotingVillage, onde os hackers contaram com 30 dispositivos para simular uma votação eletrônica dos Estados Unidos, obtendo inclusive acesso físico, ao interior dos equipamentos. Em apenas 90 minutos obtiveram sucesso na missão de encontrar falhas de segurança, revelando segundo o The Register “Um embaraçoso baixo nível de segurança”.

“Sem dúvida, nossos sistemas de votação são fracos e vulneráveis. Graças às contribuições da comunidade de hackers hoje, descobrimos ainda mais sobre exatamente como”, foram as palavras de Jake Braun, um dos organizadores da #VotingVillage.

O próprio presidente eleito Donald Trump, teria denunciado fraudes em urnas eletrônicas à época das eleições presidenciais em 2016, leia mais http://abr.ai/2v6wikE.

A prova de fogo para a segurança dos sistemas de votação eletrônica que surge após rumores e teorias sobre a manipulação das eleições nos Estados Unidos, deixa a mensagem de que o sistema eleitoral definitivamente não é tão seguro como se imagina.

“Houve muitas afirmações de que o nosso sistema eleitoral não pode sofrer um ataque cibernético. Isso é bobagem”, disse Braun. “Apenas um tolo ou mentiroso tentaria afirmar que seu banco de dados ou máquina não podem ser invadidos”.

Além dos Estados Unidos, sabe-se que o Brasil também utiliza o voto eletrônico, levantando sempre discussões e polêmica acerca do tema, porém, vale ressaltar que a tecnologia é uma aliada capaz de otimizar tarefas reduzindo drasticamente o tempo de execução, então fica a pergunta: A maior e mais assustadora falha de segurança está de fato nos sistemas, ou no aspecto cultural de seus usuários?

The post Urnas eletrônicas x Hackers na DEF CON 2017 appeared first on DSTEC.