7 recomendações para líderes de segurança da informação lidarem com Spectre e Meltdown

Gartner aponta caminhos para mitigar vulnerabilidades que afetam chips de dispositivos

Líderes de segurança e gerenciamento de riscos devem adotar uma abordagem pragmática e baseada em risco para lidar com as ameaças atuais de segurança da informação, de acordo com o Gartner. Specter e Meltdown são os nomes de códigos dados a diferentes tipos de vulnerabilidades que visam a implementação de ameaças dentro da maioria dos chips de computadores fabricados nos últimos 20 anos.

Pesquisadores de segurança revelaram três principais variantes de ataques em janeiro de 2018. Os dois primeiros são apontados como Specter, o terceiro como Meltdown, e as três variantes envolvem execução especulativa de código para ler a memória protegida do chip.

“Nem todos os processadores e softwares são vulneráveis às três categorias da mesma maneira, e o risco varia com base na exposição do sistema ao código desconhecido e não confiável”, explica Neil MacDonald, vice-presidente, analista e companheiro emérito do Gartner. “O risco é real, mas com um plano de remediação claro e pragmático baseado em risco, líderes de segurança e gerenciamento podem fornecer aos líderes empresariais a proteção adequada.”

O Gartner listou sete passos que líderes de segurança podem colocar em prática para mitigar riscos associados às novas ameaças. Confira abaixo:

1. Sistemas operacionais modernos (OS) e hypervisores

Eles dependem de modelos de permissões estruturados e em camadas para fornecer isolamento e separação de segurança. Como essa implementação de design explorável está no hardware – abaixo do sistema operacional e do hypervisor – todas as camadas de software acima são afetadas e vulneráveis. No entanto, a memória só pode ser lida, mas não alterada.

A exploração da falha requer que o código não confiável seja introduzido e executado no sistema de destino, o que deve ser extremamente difícil em um servidor ou dispositivo bem gerenciado, como uma rede ou dispositivo de armazenamento.

Há também uma vantagem em não se apressar para fazer um “patch do pânico”. Os patches iniciais criaram conflitos com algumas ofertas de antivírus e bloquearam desktops com Windows. Alguns conflitaram com o uso de microprocessadores AMD, de modo que os sistemas não inicializassem. Outros patches iniciais tiveram impactos de desempenho que foram aprimorados por patches subsequentes.

2. Quase todos os sistemas modernos serão afetados até certo ponto

Desde que a Y2K tenha uma vulnerabilidade afetada, muitos sistemas – desktops, dispositivos móveis, servidores, máquinas virtuais, dispositivos de rede e armazenamento, tecnologia de operação e dispositivos da internet das coisas (IoT) – demandaram um plano de ação para remediação.

O ponto de partida para os líderes de segurança deve ser um inventário dos sistemas afetados. Em alguns casos, a decisão apropriada para o risco não será corrigir. No entanto, em todos os casos, o roteiro para líderes de segurança será o inventário. Para cada sistema, é necessário um banco de dados ou uma planilha detalhada para rastrear o dispositivo ou a carga de trabalho, a versão do microprocessador, a versão do firmware e o sistema operacional.

3. Vulnerabilidades não são diretamente exploráveis remotamente

Um ataque bem-sucedido exige que o invasor execute um código no sistema. Para tal, o controle de aplicativos e listas brancas em todos os sistemas reduzem o risco de execução de código desconhecida. No entanto, a infraestrutura como serviços (IaaS) compartilhada é particularmente vulnerável até que os provedores da nuvem atualizem suas camadas de firmware e hypervisores subjacente (algo que os principais provedores fizeram). A forte separação de funções (SOD) e o gerenciamento de contas privilegiadas (PAM) reduzem o risco de introdução de código não confiável.

4. Divida a estratégia em fases

A recomendação é fundamental, pois o risco, as implicações de desempenho e as potenciais atualizações de hardware necessárias variam muito entre os casos de uso. Comece com sistemas que representam o maior risco – desktops, infraestrutura de desktop virtual (VDI), smartphones e servidores externos.

5. Prepare-se para cenários nos quais a decisão apropriada não é corrigir

Em alguns casos, isso acontecerá devido à falta de patches em sistemas mais antigos. Em outros casos, o impacto no desempenho não é compensado pela redução do risco, portanto, os patches não serão aplicados. Mesmo para alguns servidores bem gerenciados, a decisão de renunciar patches pode ser feita para proteger o desempenho até que os patches futuros tenham comprovadamente impactos aceitáveis.

No entanto, para as cargas de trabalho do servidor, quando as características de desempenho o permitem, o Gartner recomenda atualizações e uso de firmware.

6. E os sistemas não corrigidos?

Para sistemas que não são corrigidos ou apenas parcialmente corrigidos, vários controles atenuantes podem reduzir o risco. O problema mais importante a ser abordado é restringir a capacidade de colocar código desconhecido ou não confiável no dispositivo.

Ao fazer isso isso, os riscos são significativamente reduzidos, porque os ataques requerem a execução de código local. Para todos os sistemas, isso significa assumir uma abordagem de “negação padrão”, e o controle de aplicativos e listas brancas reduzem muito o risco. Na medida em que os ataques públicos se tornam conhecidos, plataformas tradicionais de proteção de pontos de extremidade e sistemas de prevenção de intrusão baseados em rede também têm seus riscos mitigados.

7. Lembre-se: é apenas o começo

Specter e Meltdown representam uma classe inteiramente nova de vulnerabilidades, e isso é apenas o começo. A implementação explorável subjacente certamente permanecerá nos próximos anos.

Fonte https://www.itforum365.com.br/seguranca/7-recomendacoes-para-lideres-de-seguranca-da-informacao-lidarem-com-spectre-e-meltdown/

Nova falha do iOS pode travar WhatsApp e Facebook Messenger no iPhone

Problema acontece depois que usuário recebe mensagem com caractere específico; falha permite bloquear acesso a WhatsApp, Gmail e Facebook Messenger

Uma nova falha de segurança no iOS, o sistema operacional do iPhone, foi descoberta nesta semana – e ela pode bloquear acesso a aplicativos de mensagens como o WhatsApp e o Facebook Messenger, além do aplicativo de mensagens nativo do celular. A brecha foi descoberta pelo blog italiano Mobile World e acontece na versão 11.2.5 do sistema operacional, a mais recente disponível para todos os usuários.

O problema acontece quando um usuário manda uma mensagem com um caractere específico da linguagem indiana Telugu. Ao receber o texto, o teclado do iOS vai travar e o aplicativo de mensagens do iPhone não poderá mais ser aberto. Para resolver o problema, o único jeito é pedir ao mesmo usuário que enviou a mensagem para mandar uma segunda missiva e tentar deletar toda a sequência da conversa.

Além disso, o bug também afeta o uso de aplicativos como Facebook Messenger, WhatsApp, Gmail e Outlook para o iOS – no caso do WhatsApp, é difícil se livrar da falha sem ter acesso à versão web do aplicativo. Felizmente, apps como Telegram e Skype não foram afetados.

Além disso, a Apple já parece estar ciente da falha: na versão para testes da próxima atualização do iOS, 11.3, o sistema já está imune ao “caractere malicioso”. A atualização deve chegar a todos os usuários no segundo trimestre de 2018 – e deve trazer também a correção para o sistema que diminuiu a performance de iPhones mais antigos, que gerou polêmica no final do ano passado.

Fonte:http://link.estadao.com.br/noticias/cultura-digital,nova-falha-do-ios-pode-travar-teclado-do-iphone-e-apps-de-mensagens,70002190431

Atualização. Waves: plataforma poderá processar milhares de transações por minuto

Em 5 de outubro, a plataforma Waves anunciou a introdução de uma nova tecnologia chamada New Generation (NG), que permite processar milhares de transações por minuto. Isto foi relatado pelo correspondente da ForkLog, que esteve presente na apresentação fechada do desenvolvimento.

De acordo com os desenvolvedores do projeto, a nova tecnologia aumenta a largura de banda da rede e a velocidade de criação de blocos mantendo um alto nível de segurança. Graças à NG, a plataforma Waves poderá suportar cargas pesadas, como a distribuição de moedas ou tokens bônus após a ICO. Além disso, a velocidade da transação aumentará na corretora descentralizada DEX, que entre outras coisas, recebeu uma interface atualizada.

 Atualização. Waves: plataforma poderá processar milhares de transações por minuto. BTCSoul.com

“NG é um protocolo que permite aumentar o número de transações em um bloco sem aumentar o número de forks. As informações necessárias para começar a gerar o próximo bloco são enviadas para todos os nós imediatamente após a geração anterior. Já o mineiro envia o número máximo possível de transações para a rede em várias porções, micro blocos”,observaram os desenvolvedores.

O protótipo da nova tecnologia foi o Bitcoin NG, desenvolvido para a rede do Bitcoin pela professora da Cornell University, Emin Gun Sierer.

“Para conquistar o mundo, eles devem ser escaláveis. O NG é um dos protocolos de negócios mais avançados. Ele permite reduzir atrasos e aumentar a largura de banda do bloco. A equipe da Waves mostrou que possui uma plataforma inovadora que inclui uma das tecnologias mais conhecidas e está pronta para aplicações de próxima geração na Blockchain”, disse Sirer.

De acordo com Igor Pugachevsky, gerente de produtos da Waves Platform, a empresa está desenvolvendo aplicativos baseados em blocos que receberão aplicação prática.

 Atualização. Waves: plataforma poderá processar milhares de transações por minuto. BTCSoul.com

“No momento, o mundo usa principalmente a antiga infraestrutura bancária centralizada, que exige uma transferência de fundos enorme e que precisa ser adaptada e desenvolvida. O objetivo estratégico da Waves é tornar o sistema de Blockchain público e simplificar a interação financeira entre pessoas, eliminando obstáculos do processo de intermediários desnecessários”, afirmou.

Espera-se que o teste de estresse aberto da tecnologia Waves NG comece no dia 12 de outubro.

A Waves Platform também desenvolve o sistema operacional Blockchain, um sistema operacional de hardware que aproveitará todas as vantagens da tecnologia de registro distribuído.

“No backend, usamos o bloco, em vez do DOS clássico. Até agora, o sistema consiste em uma bolsa, uma bolsa de valores e um sistema para a emissão de tokens. Tudo isso é descentralizado, ninguém pode acessar sua carteira”, disse Igor Pugachevsky.

 Atualização. Waves: plataforma poderá processar milhares de transações por minuto. BTCSoul.com

De acordo com o fundador e CEO da Waves Platform, Alexander Ivanov, durante o ano, a plataforma terá uma atualização séria: a criação de um sistema de contratos inteligentes, cujo desempenho superará o Ethereum.

“Como resultado, a Waves proporcionará aos usuários um ecossistema de Blockchain totalmente funcional que permite a criação de tokens, a realização de ICO, o armazenamento de seus fundos, o intercâmbio e o acesso aos sistemas de votação”, disse Ivanov.

Segundo ele, trabalhar no sistema – que até agora não possui análises no mundo – terminará em 2018.

Lembre-se de que, os tokens da Waves foram adicionados à lista de uma das maiores corretoras do Sudeste Asiático, a Bitcoin.co.id.

Fonte https://www.btcsoul.com/noticias/atualizacao-waves-plataforma-podera-processar-milhares-transacoes-minuto/

Apple impede o downgrade para o iOS 10.3.3 ou 11.0 no iPhone

Donos de iPhone que quiserem fazer o downgrade para as versões antigas do iOS estão sem sorte. Nesta quarta-feira (04), a Appleremoveu a assinatura digital das builds 10.3.3 e 11.0 do seu sistema operacional – o que torna impossível instalá-las novamente. Com a medida, somente os sistemas 11.0.1 e 11.0.2 podem ser usados daqui para a frente.

A prática é comum para a desenvolvedora e afeta o iPhone, iPad, e iPod Touch. Para os usuários que não desejam instalar as atualizações, a recomendação é permanecer nas versões anteriores, uma vez que agora não é mais possível reverter as modificações.

O que muda com o iOS 11: veja principais novidades do sistema

O que muda com o iOS 11: veja principais novidades do sistema

Remover assinaturas de plataformas antigas é uma prática comum na Apple e ocorre frequentemente após o lançamento de versões mais atuais do software. A medida garante que os usuários possam manter seus dispositivos com o sistema operacional mais atualizado, além de evitar falhas e vulnerabilidades que já foram corrigidas.

versão 11.0.2 foi lançada na terça-feira (3) com diversas correções de bugs detectados no iOS 11. A atualização corrige sons de estalos durante ligações no iPhone 8, problemas de ocultação de fotos no rolo da câmera e falha na exibição de anexos criptografados de e-mails, além de falhas específicas para iPhones antigos.

Central de controle do iOS 11 no iPhone X (Foto: Thássius Veloso / TechTudo)Central de controle do iOS 11 no iPhone X (Foto: Thássius Veloso / TechTudo)

Central de controle do iOS 11 no iPhone X (Foto: Thássius Veloso / TechTudo)

O update para o iOS 11 ficou disponível em setembro. O novo sistema operacional trouxe novidades como gravação de tela nativa, uma nova central de controle, integração com serviços na nuvem de terceiros, modo escuro e leitor de QR Codes.

Via 9to5Mac MacRumors

https://www.techtudo.com.br/noticias/2017/10/apple-impede-o-downgrade-para-o-ios-1033-ou-110-no-iphone.ghtml

Apple libera atualização do macOS High Sierra com correção de vulnerabilidade

E aí, você já atualizou o seu Mac para o novo macOS High Sierra? Se a resposta for positiva, é hora de correr para atualizar o sistema operacional, pois a Maçã acaba de liberar a versão 10.13 com uma atualização que corrige bugs no Disk Utility e também acaba com uma vulnerabilidade que poderia expor senhas dos usuários.

O update também traz melhorias relacionadas à estabilidade do sistema, além de corrigir um erro de gráfico no cursor ao usar o Adobe InDesign e solucionar um problema que impedia que mensagens de contas do Yahoo fossem deletadas do Mail. Quanto à vulnerabilidade mencionada, o problema está relacionado aos volumes APFS criados com criptografia pelo Utilitário de Disco do macOS, cuja falha fazia com que o sistema exibisse a senha desses volumes ao clicar em “Mostrar Dica”.

Para baixar, é só abrir a loja de aplicativos de seu MacBook ou iMac e selecionar “Atualização de Software”.

Fonte: MacRummors

https://canaltech.com.br/macos/apple-libera-atualizacao-do-macos-high-sierra-com-correcao-de-vulnerabilidade-101550/

Como limitar a velocidade de downloads do Windows Update

Limitar o consumo de Internet na hora de baixar atualizações do Windows 10 é um dos recursos que chegam ao sistema operacional com a Falls Creators Update. Entretanto, quem participa do programa insider da Microsoft já pode testar a novidade e configurar o sistema de forma a impedir um alto consumo da banda na hora de baixar atualizações — o que pode deixar a sua rede mais lenta. Veja como fazer isso nos passos abaixo.

Vale destacar que para encontrar essa opção no seu computador, você precisa baixar o preview da atualização que é liberado para integrantes do Insider Preview, ou esperar até 17 de outubro — data prevista para o lançamento da Falls Creators Update.

Passo 1. Abra as Configurações do Windows 10;

Abra o aplicativo de Configurações do Windows 10 (Foto: Reprodução/Filipe Garrett)Abra o aplicativo de Configurações do Windows 10 (Foto: Reprodução/Filipe Garrett)

Abra o aplicativo de Configurações do Windows 10 (Foto: Reprodução/Filipe Garrett)

Passo 2. Acesse a opção “Atualizações e Segurança”;

Acesse Acesse

Acesse “Atualizações e Segurança” (Foto: Reprodução/Filipe Garrett)

Passo 3. Escolha Windows Update e, em seguida, “Opções avançadas”;

Navegue o cursor até Navegue o cursor até

Navegue o cursor até “Opções avançadas” (Foto: Reprodução/Filipe Garrett)

Passo 4. Na nova tela, acesse “Otimização de entrega”;

Clique em Clique em

Clique em “Otimização de Entrega” (Foto: Reprodução/Filipe Garrett)

Passo 5. Mais uma vez, acesse “Opções avançadas”;

Abra Abra

Abra “Opções avançadas” para continuar (Foto: Reprodução/Filipe Garrett)

Passo 6. Na tela que será aberta, você terá a oportunidade de fixar limites de consumo de banda para o Windows Update;

Área de Área de

Área de “Configurações de download” permite que você defina limites de velocidade para o download de atualizações (Foto: Reprodução/Filipe Garrett)

Passo 7. Selecione o campo “Configurações de Download” e deslize a barra para a quantidade de banda que você considera ideal para a atualização do Windows. O padrão é 45% e o mínimo possível é 5%.

Selecione a caixa para ativar e, em seguida, deslize a barra de acordo com a sua preferência (Foto: Reprodução/Filipe Garrett)Selecione a caixa para ativar e, em seguida, deslize a barra de acordo com a sua preferência (Foto: Reprodução/Filipe Garrett)

Selecione a caixa para ativar e, em seguida, deslize a barra de acordo com a sua preferência (Foto: Reprodução/Filipe Garrett)

Fonte https://www.techtudo.com.br/dicas-e-tutoriais/2017/10/como-limitar-a-velocidade-de-downloads-do-windows-update.ghtml

CURSO ONLINE AWS PARA DEVOPS (20 HORAS)

O treinamento AWS para DevOPS tem como principal foco instruir aos profissionais de TI, desenvolvedores ou equipe de infra, como é o dia a dia de um devops que trabalha com a AWS. Serão ensinados truques do dia a dia pra administrar dezenas de servidores simultaneament na nuvem AWS.

A nuvem AWS (ou Amazon Web Services) é a nuvem mais utilizada no mundo inteiro.

CURSO ONLINE LINUX IN CLOUD ESSENTIALS (14 HORAS)

Este curso de Linux in Cloud Essentials tem como objetivo capacitar o profissional para realizar tarefas administrativas básicas em um servidor, melhorando sua segurança e performance.

Também será ensinado editores de textos do Linux, compilação de programas a partir de seu código fonte e diferencas entre Debian 8, Ubuntu 15 e CentOS 7.

Click AQUI