Perguntas Frequentes sobre o Novo Security+

Venho recebendo e-mails de muitos leitores, ex alunos e futuros alunos com uma série de perguntas em comum:

“Vi que a CompTIA está lançando o Security+ SYS-401 e o seu livro é para a prova SYS-301. Vai sair uma versão nova do livro? O que muda? Vale a pena fazer a prova antiga? Posso estudar para a prova nova com o livro antigo?”

Vamos então tirar estas dúvidas uma vez por todas agora:

Pergunta 1) Vai sair uma versão nova do livro?

Resposta: Sim, mas ainda não tenho uma data para lançamento.

Pergunta 2) O que muda na prova nova?

Resposta: A ementa da prova nova pode ser obtida aqui e você pode comparar com a prova 301 que a ementa está disponível aqui.

Pergunta 3) Vale a pena fazer a prova antiga?

Resposta: Depende. Se você já vem estudando para a prova 301 então faça a prova 301. Outro ponto importante também é que se você está estudando para fazer a prova em Português, apenas a 301 está disponível no momento. Mesmo quando a 401 for lançada ela não vai sair imediatamente em PT, vai sair primeiramente em inglês. Por estas variantes é que a resposta é depende.

Pergunta 4) Posso estudar para a prova nova com o livro antigo?

Resposta: Pode, mas precisa estudar tudo que há de novo na prova 401 por fora. Veja a ementa da prova 401 e compare com a 301 (ver pergunta 2). Depois veja que o livro cobre quase que 80% dos assuntos da prova nova, ou seja, os outros 20% precisariam ser estudados por outras fontes.

Espero que com estas perguntas vocês tenham ciência do que estar por vir e o que estamos trabalhando para ter uma versão nova do livro em breve, mas como disse anteriormente não tenho uma data ainda para lançamento.

Posted in Security+ | Leave a comment

Updates de Fevereiro e Março

Estes últimos 30 dias tem sido bastante corrido para mim, vários projetos e com isso o tempo para atualizar o blog diminuiu. Porém gostaria de compartilhar aqui alguns updates sobre alguns projetos que ocorreram e outros em andamento:

Artigo sobre BYOD no ISSA Journal

Se você é membro do ISSA, acesso a edição de Março e veja o artigo que eu escrevi sobre BYOD. Se você não é membro, acesse meu blog e faça o download do PDF deste artigo.

TechED North America 2013

Se você planeja vir para o TechEd North America deste ano, que será aqui no estado que eu moro (Texas), na cidade de Houston (que não é a capital do Texas como muitos pensam – a capital é Austin), dê um pulo na sessão que eu estarei apresentando com o Tom Shinder:

Palestra do MVP ShowCast Disponível

Lembra da palestra que eu ministrei ano passado sobre BYOD, cujos slides já foram disponibilizados aqui? Pois é, ela foi disponibilizada e você já pode assistir online:

 

Artigo sobre Segurança da Informação e Treinamento

Esta semana a SegInfo publicou um artigo meu sobre a importância do treinamento na área de Segurança da Informação. Venho batendo nesta tecla há muito tempo, inclusive em breve na revista Segurança Digital vai sair um artigo que escrevi ano passado sobre a importância de ter segurança da informação como uma disciplina básica de qualquer curso de graduação na área de Tecnologia. Parece que não sou o único a pensar assim, até mesmo por que hoje, li que o Governo da Inglaterra está fazendo campanha nas escolas públicas para estimular alunos de 11 anos e acima à aprenderem algo sobre cybersecurity. Ler o artigo aqui.

Curah, uma Nova Iniciativa da Microsoft

Para não ser repetitivo, recomendo você ler este artigo aqui sobre o Microsoft Curah. Eu já comecei a contribuir e todas minhas contribuições podem ser encontradas no link abaixo:

http://curah.microsoft.com/curator/37110

Comece a contribuir você também!

Posted in byod, issa, segurança, WebCast | Leave a comment

Mais uma Tentativa de Golpe via E-Mail

Os criminosos virtuais estão sem dúvida ficando mais criativos e sabendo como desviar-se de filtros de correio eletrônico. É a segunda vez em menos de 30 dias que um novo e-mail suspeito passa pelo filtro de anti-spam e cai na minha caixa de entrada como um e-mail válido. Desta vez, até com imagem de cheques atachados (como se fossem imagem) no e-mail. Veja abaixo o e-mail:

image

O e-mail é suspeito para mim pois as assinaturas nos cheques não são minhas e ao apontar para cada um destas imagens anexadas o browser mostra na barra de tarefas o link para uma URL que está se tornando muito comum para este tipo de golpe no Brasil (image). Não necessariamente a URL vai ser exatamente a mesma, porém existem dois pontos que venho notado vem se repetindo com frequencia:

  • Eles (criminosos) estão utilizando SSL (HTTPS) para que os inviduos que estam atrás de um firewall que não tem inspeção SSL possam fazer o download do arquivo sem que o Firewall consiga inspecionar o conteúdo
  • Eles (criminosos) utilizão na maioria das vezes uma URL comprimida de algum serviço público de compressão de URL.

Para confimar a suspeita resolvi fazer o download dos arquivos no meu ambiente isolado de rede, usando uma máquina virtual que é específica para este intuito (ser infectada).

Recaptulando o Caso da Semana Passada

Na semana passada quando escrevi este post, eu também fiz o teste e o arquivo que baixou foi um EXE que continha um trojan conforme capturado pelo Security Essentials:

image

Esste Trojan (Banload) é conhecido por ser membro da família do Win32/Banker, que por sua vez é um trojan que rouba credenciais de bancos. É um trojan muito utilizado no Brasil.

Continuando a Investigação

Resolvi baixar o arquivo, ou seja, clicar na imagem e o que me vem para abrir não é um JPG (claro já sabia), é um arquivo ZIP:

image

Note que aqui houveram dois encapsulamentos: a comunicação ocorreu via SSL e o arquivo (provavelmente infectado) está dentro de um ZIP. Tudo na tentativa de obfuscar o firewall de borda durante a inspeção de conteúdo (se você usar o HTTPS Inspection do velho TMG, ele vai fazer a inspeção profunda mesmo com estas duas camadas de encapsulamento).

Após baixar o arquivo ZIP, fiz a estração do conteúdo e então me deparei com o arquivo “Cheque Protestado.CPL”, que mais uma vez é extremamente usado no Brasil, inclusive neste paper sobre CPL Malware da Trend Micro o autor reporta isso (extremamente recomendado ler este paper).

Para ler este arquivo de forma segura eu usei o PE Explorer e depois fiz o disassembler do arquivo conforme mostra a figura abaixo:

image

Os padrões encontrados são muitos parecidos com o CPL referenciado no paper da TrendMicro (página 7).

Conclusão

Mais uma vez, fique atento a qualquer e-mail suspeita, e não abra arquivos CPL, pois o AV não vai identificar como malicioso, mas ao executar ele vai fazer contato com outra URL para baixar uma variante do malware. Muitas vezes o CPL vai apenas agir como um “dropper”.

Fique atento!

Posted in segurança, segurança da informação | Leave a comment

Pequenos Cuidados Grandes Resultados

Apesar da grande maioria das vezes escrever artigos voltado para o público da área de TI ou de Segurança, este post é voltado para o usuário final, aquele que recebe SPAM via e-mail e quando o filtro de proteção falha, ele acaba caindo na tentação de abrir a mensagem mesmo sem saber de quem é.

Semana passada aconteceu comigo algo parecido, recebi uma mensagem e o filtro de conteúdo do Hotmail não entendeu como sendo um SPAM e deixou passar. Primeiro passo é a regra Aponte e Olhe! Aponte o ponteiro do mouse para o arquivo atachado (item 1 da figura abaixo) e olhe na barra de status (item 2 da figura abaixo) para onde o arquivo está lhe encaminhando.

image

Note nesse caso que o arquivo atachado aparece com o ícone do Microsoft Word, uma tentativa de ludibrir o usuário final monstrando-se ser algo que não é. Pois ao verificar na barra de status verá que o destino do arquivo aponta para um arquivo EXE (executável). Este é o momento para você (usuário final) simplesmente deletar este arquivo e problema resolvido.

Porém, se você cometer o erro de clicar no arquivo, o Smart Screen do Internet Explorer vai lhe trazer o aviso abaixo pedindo para salvar ou executar o arquivo. Como regra geral, sempre salve primeiro, a não ser que você esteja 100% seguro da origem e tipo de arquivo.

image

Ao salvar o arquivo o SmarScreen vai identificar o arquivo como suspeito e exibir a mensagem abaixo, onde novamente sugere que você delete o arquivo.

image

Bem, até o momento você já teve duas chances de deletar o arquivo, e é justamente nestes pequenos detalhes que você observa antes de abrir uma mensagem suspeita que mora a chave da sua segurança. Fique atento, pois todos os dias milhares de SPAMs são enviados e por mais que o você tenha um filtro que identifique 99% destas mensagens, este 1% que passou pode ser fatal.

Stay safe!

Posted in E-Mail Malicioso, Phishing, segurança, SPAM | Leave a comment

Segurança da informação em 2014 começou quente

O tempo cada vez mais prova que aquele ponto que você não endereçou durante o seu “security assessment” vai ser justamente o ponto a ser explorado por criminosos que estejam tentando entrar no seu sistema. Não adianta um investimento faraônico na infraestrutura básica de segurança da informação se outras áreas não forem cobertas. Um exemplo clássico aconteceu recentemente aqui nos EUA quando uma empresa grande chamada Target foi vítima de um roubo maciço de cartões de créditos de clientes (110 milhões de clientes afetados) durante as compras de fim de ano. Nesta quarta eles revelaram que as credenciais usadas para entrar no sistema foram de “vendors”, ou seja, de parceiros/contratados e não de funcionários “full time”.

Porém isso é apenas uma parte de um problema maior, o problema é que nos dias de hoje somos alvos de um esquema internacional muito maior. O malware (BlackPOS) usado para este ataque foi criado por um estudante na Russia, porém ele não teve participação no crime, ele apenas é o autor do software que foi vendido na Europa no blackmarket. Isso significa dizer que o uso do BlackPOS poderá ainda afetar outras empresas, tendo em vista que não sabemos quem adquiriu este malware e como será usado. Apesar de uma ferramenta já ter sido criada para detectar, ainda não é o suficiente, pois muitas empresas têm vínculos com parceiros e estes parceiros poderão não ter o mesmo nível de preocupação com segurança da informação que a empresa tem.

Isso é apenas um “wake up call” para mostrar que todas as empresas que geram dinheiro estão suscetíveis a serem atacadas a partir do momento que elas se plugam na Internet. Não há mais como ignorar a segurança da informação como algo interessante de ter mais não ser uma prioridade, tem que ser sim prioridade número um. Porém este “wake up call” não deve ser apenas para as empresas, mais para todos os profissionais da área de tecnologia, todos precisam ter um conhecimento básico de segurança da informação. O desenvolvedor que está criando sua aplicação tem sim que conhecer segurança da informação. Eu venho falando sobre isso a muito tempo e espero que um dia eu veja acontecer: segurança da informação deveria ser uma disciplina MANDATÓRIA em qualquer curso (bacharel, tecnólogo, etc) de tecnologia. Quem trabalha com tecnologia da informação precisa saber o básico de SI, e este básico não é apenas saber que precisa instalar updates e ter uma senha longa, a barra aumentou amigo, agora o básico vai muito além disso.

Ainda falando sobre alguns acontecimentos deste ano, é importante também citar que um dos blogs da Microsoft foi hackeado pelo Syrian Eletronic Army, umas das contas do Twitter e do Facebook da CNN foram também hackeadas pelo mesmo grupo e ontem o Yahoo revelou que várias contas de email foram comprometidas. O que temos aqui é apenas um pequeno exemplo do que está acontecendo e do crescente número de ataques em grandes corporações em menos de 45 dias. Essas são corporações que investem em segurança e mesmo assim são atacadas com sucesso, imagina se não investisse em segurança da informação? O estrago seria maior.

O tema requer tanto do mercado que a demanda por CISO (Chief Information Security Officer) nos EUA aumentou de 50% para 100% nos últimos dois anos e empurrou a variação salarial de 350 mil dólares a 1 milhão de dólares por ano. Isso mostra o quão as grandes empresas estão levando segurança a sério, pois é um trabalho diário, continuo e de longo prazo. A força tarefa para manter uma ambiente seguro tem que estar sempre vigilante, não da para relaxar pois é neste relaxamento que você será atacado.

A dica para começar 2014 é simples: invista em segurança da informação na sua empresa e para você profissional de tecnologia da informação, procure aprender mais sobre segurança da informação.

Um excelente 2014 para todos!

Posted in segurança, segurança da informação | Leave a comment

Promoção de Natal NovaTerra

Olá Pessoal,

Passando rapidinho aqui para divulgar a promoção de Natal da Editora NovaTerra, veja só:

image

Acesse já http://www.editoranovaterra.com.br/ e presentei alguém com um ou mais livros!

Posted in Uncategorized | Leave a comment

Adeus Forefront UAG…

Hoje a Microsoft anunciou que não vai mais desenvolver nenhuma versão do Forefront UAG 2010:

Microsoft will not deliver any future full version releases of Forefront UAG and the product will be removed from price lists on July 1, 2014

Maiores informações no blog abaixo:

http://blogs.technet.com/b/server-cloud/archive/2013/12/17/important-changes-to-the-forefront-product-line.aspx

Posted in forefront, UAG | Leave a comment