Category

Segurança

Senhas do sistema do Detran-RS vazaram

By | Segurança | No Comments

Criminosos usavam senhas de funcionário para fazer alterações de dados.

A Polícia Civil desarmou um esquema que se aproveitava da fragilidade da política de segurança da informação no Detran do Rio Grande do Sul para fazer alterações fraudulentas na base de dados do órgão.

Segundo revela a Zero Hora, foram pelo menos 955 operações ilegítimas no sistema Gerenciamento de Informações do Detran-RS (GID), que reúne dados cadastrais de veículos.

Foram cumpridos 18 mandados e feitas quatro prisões, incluindo proprietários de revendas de automóveis, que se beneficiaram do esquema pagando menos taxas.

Os fraudadores tiveram acesso à senha de um funcionário, por meios ainda desconhecidos. De acordo com os investigadores, o servidor não é cumplíce.

De posse da senha, os fraudadores precisavam apenas tomar a precaução de fazer as alterações fora do horário de expediente e nos finais de semana, de tal forma a não “derrubar” o usuário real do sistema e levantar suspeitas.

Foram feitas modificações nos registros de pelo menos 322 carros no Estado, causando prejuízo ao Detran, até o momento, de R$ 450 mil.

As alterações incluem dados como nome do proprietário, a existência de multas ou numeração do chassi e do Renavam. Até mesmo carros em nome de pessoas mortas foram transferidos de forma fraudulenta.

A investigação começou quando o Detran levou as suspeitas apuradas em auditoria para a Delegacia de Polícia de Repressão aos Crimes contra a Administração Pública e Ordem Tributária (Deat).

“O caso chama a atenção pela fragilidade dos controles”, disse a ZH o delegado Max Otto Ritter, da Deat.

E tanto. Do ponto de vista de segurança da informação, o caso uma série de falhas nas práticas do órgão. O primeiro questionamento é saber como os fraudadores obtiveram a senha sem participação do servidor.

A Zero Hora não chega a revela durante que período de tempo foram feitas as alterações no sistema. Seja qual for o período, parece que não havia a prática de trocar senhas.

O sistema também não tinha o acesso bloqueado fora do horário de expediente, ou uma classificação sobre de que máquinas ele poderia ser acessado, ou uma política de monitoramento em tempo real dos acessos que pudesse barrar comportamento suspeito em tempo real.

Tudo isso indica potenciais problemas bem maiores do que alguns picaretas de carros usados tentando escapar de pagar algumas taxas.

Usando um pouco de imaginação, é possível pensar no que um grupo de hackers mais bem organizado poderia fazer em um sistema tão facilmente infiltrável.

Acessar o sistema para saber onde estão veículos de luxo de um determinado tipo, quem sabe?

Fonte: Portal Baguete

DINAMO Networks permite certificado digital na nuvem para prestadores de serviço de confiança (PSC)

By | Segurança, Tecnologia | No Comments

A Certisign, Prodemge, Safeweb, SERPRO, Soluti, entre outras ACs são algumas das autoridades certificadoras que estão utilizando os HSMs DINAMO, para oferecer mobilidade no uso de certificados digitais ao mercado.

Empresas estão sendo atraídas por um novo negócio conhecido como PSC (Prestador de Serviço de Confiança), entidade da ICP-Brasil, que tem por tarefa o armazenamento em nuvem das chaves privadas dos usuários finais de certificados digitais. O mercado não está restrito as autoridades certificadoras e tem atraído também o interesse de bancos, entidades de classes, entre outras organizações.

Os PSCs fecharam parceria com a DINAMO Networks para o fornecimento de appliances de segurança digital, que facilitam o uso e padronizam as assinaturas digitais e as respectivas verificações. Por meio dele, é possível que o certificado digital seja armazenado de forma segura, viabilizando o acesso remoto e, ao mesmo tempo, permite o controle seguro e a rastreabilidade pelo seu titular. Tais appliances de segurança, conhecidos como HSMs (Hardware Security Module) são obrigatórios para homologação das empresas interessadas em prestar esse tipo de serviço.

O PSC é a entidade da ICP-Brasil regulamentada pelos DOC-ICP-17 e DOC-ICP-17.01, ambos aprovados em reunião do Comitê Gestor da ICP-Brasil ocorrida em 10 de novembro de 2017. Por se tratar de um serviço na nuvem, o protocolo KMIP (presente nos equipamentos da DINAMO desde antes da regulamentação) passou a ser obrigatório. A arquitetura do PSC deve prever a interoperabilidade entre equipamentos criptográficos distintos, em localidades diferentes, aplicando técnicas de alta disponibilidade e balanceamento de carga facilmente.

Para o diretor executivo da DINAMO Networks, Marco Zanini, o HSM está no coração da infraestrutura dos provedores de serviço de confiança. Segundo Zanini, os equipamentos da DINAMO são essenciais para viabilizar a mobilidade e atender os requisitos de interoperabilidade e segurança para computação em nuvem. ”Estamos participando da evolução do mercado de tecnologia. A solução na nuvem cria modelos comerciais mais flexíveis de certificados digitais, o que traz benefícios para todo o mercado”, afirma o executivo.

A DINAMO Networks é especialista em Segurança de Identidade Digital, com mais de 15 anos de história. Sediada em São Paulo, atua nos mercados das Américas a caminho da Europa. As soluções da empresa estão presentes nos principais projetos de segurança do país como: Imposto de Renda, Sistema de Pagamentos Brasileiro (20 maiores bancos), Conectividade Social, Nota Fiscal Eletrônica/SPED, Autoridades de Certificadoras ICP-Brasil, alguns dos maiores sites de e-Commerce, Gestão e Repositório Seguro de Certificados Digitais (INMETRO ICP Brasil).

Fonte: DINAMO Networks

Atenção: No Brasil, 20% das PMEs quebram após ataque hackers

By | Segurança, Tecnologia | No Comments

Seis em cada 10 empresas de pequeno porte no Brasil foram contaminadas por malware, revela estudo feito pela empresa de segurança Blue Pex, nos meses de julho, agosto e setembro. Das 285 empresas consultadas pela BluePex, 170 – ou seja 60% delas – indicaram já terem sido contaminadas. O levantamento levou em consideração negócios com faturamento anual a partir de R$ 4 milhões.

De acordo com Bruno Maion, diretor comercial da BluePex, o resultado do levantamento é alarmante, porque, segundo pesquisa recente, 20% das pequenas e médias empresas que sofrem o primeiro ataque acabam quebrando. “Pequenos e médios empreendedores acabam optando por contratar soluções caseiras, que acabam oferecendo pouca proteção, ou mesmo por postergar a contratação de um serviço de proteção dos dados, sem perceber que, agindo assim, podem estar condenando suas operações”, afirma.

O estudo apontou, ainda, que nos ataques relatados os criminosos exigiram, em média, 0,3 a 0,4 do valor de um bitcoin (cerca de R$ 9,6 mil); todos os segmentos são vulneráveis, porém alguns setores têm sido mais afetados, tais como empresas varejistas e atacadistas, que dependem do bom funcionamento dos sistemas de PDV para continuar faturando, além de escritórios de advocacia e contabilidade.

“A proteção de dados sigilosos é um aspecto crítico ao funcionamento das empresas e a paralisação da operação gera impactos imediatos no faturamento. Os atacantes veem isso como uma oportunidade”, explica Maion. E não há limites para a extorsão. Nada garante que os criminosos devolvam os dados após o pagamento do primeiro resgate. Maion conta que existem empresas que chegaram a pagar três vezes o valor exigido pelo sequestrador e não conseguiram os dados de volta.

 

Fonte: Portal Convergência Digital