Notícias:
Falhas em softwares caem em 2009, mas aplicativos são ameaça
Como profissionais de segurança veem cloud e virtualização?
===================== xxxxxxxxxxxxxxxx =====================
Falhas em softwares caem em 2009, mas aplicativos são ameaça
É o que aponta o relatório anual de riscos da IBM, para quem o número de falhas em programas foi reduzido 11% em relação a 2008.
Por IDG NEWS SERVICE
25 de fevereiro de 2010
O número de vulnerabilidades de softwares caiu no geral em 2009, mas a quantidade de erros em leitores de documentos e aplicativos de multimídia cresceu em 50%, de acordo com o relatório anual de riscos e tendências da IBM.
A pesquisa foi feita pelo grupo X-Force, da IBM, e coletou divulgações de vulnerabilidades e outros dados de ataques feitos na web. Em 2009, a equipe registrou 6,6 mil novas vulnerabilidades, quantidade 11% menor que a registrada em 2008.
Segundo o estudo, Brasil, EUA e Rússia representam o grupo de países de onde se originou a maioria dos ataques maliciosos, superando a Espanha, Itália e Coréia do Sul, que estavam no topo do relatório em 2008.
No que se refere às brechas de segurança, a IBM disse que o número de vulnerabilidades informadas para leitores de documentos, editores e aplicativos de multimídia subiu 50%. A empresa classifica essas como vulnerabilidades como "clientes", que também afetam navegadores e sistemas operacionais.
Das cinco falhas mais exploradas na web, três envolvem arquivos PDF. Crackers tiveram muito sucesso procurando brechas nos documentos e conduziram ataques através de spams e sites maliciosos.
“Existe definitivamente um grupo de caras maus que mira esse tipo de arquivo”, disse o gerente de pesquisas da X-Force, Tom Cross.
As outras duas falhas exploradas envolvem o Flash e um controle ActiveX que permite que usuários vejam arquivos do Microsoft Office no Internet Explorer, disse a IBM.
Navegação vulnerável
Navegadores possuem a maior parte das vulnerabilidades de clientes. O Firefox teve o dobro de falhas críticas que o Internet Explorer em 2009. Nenhum desses erros, no entanto, deixou de ser corrigido até o fim do ano.
Mais da metade das vulnerabilidades de clientes críticas atingiu quatro fabricantes: Microsoft, Adobe, Mozilla e Apple. Enquanto, em média, a maioria dos fornecedores corrigiu 66% dessas falhas, a Apple se mostrou pior nesse ponto, corrigindo apenas 38%.
A IBM também observou as taxas gerais de correção. A X-Force disse que a Research in Motion, a comunidade GNU, a Cisco Systems, a Adobe e a HP tiveram desempenho excelente. A Cisco deixou apenas 1% das falhas críticas sem patchers até o fim do ano, enquanto as outras empresas corrigiram todos os erros.
As empresas com a maior porcentagem de vulnerabilidades sem correção foram a comunidade Linux, com 53%, a Oracle com 38%, a Novell com 31% e a IBM com 27%.
Aplicativos
Outras brechas observadas pela X-Force incluem aplicativos da web, uma condição perigosa para sites que pode resultar em perda de dados e outros danos.
E os números não são bons: cerca de 67% dos problemas com aplicativos de web não foram corrigidos até o fim de 2009. Os cross-site scripting superaram injeção de SQL como principal vulnerabilidade na web, disse a IBM.
Cross-site scripting é um ataque no qual um script ganha permissão para rodar onde não deve, recurso que pode ser usado para roubar informação. Injeção SQL ocorre quando comandos são validados e executados em um banco de dados, que pode revelar dados e ser usado para outros fins maliciosos.
O número de injeções de SQL visto pela IBM em 2008 foi de cerca de 5 mil por dia. Em 2009, ela observou cerca de um milhão de ataques por dia, com invasores usando ferramentas para descobrir sites fracos, segundo Cross.
Muitas vezes hackers tentam inserir HTML em uma página via injeção de SQL que faz com que usuários sejam redirecionados para outro site.
Os crackers estão “tentando conseguir que links maliciosos sejam colocados em sites legítimos com audiência e que a audiência seja redirecionada para outro site”, disse Cross. A IBM também disse que viu um aumento massivo de links maliciosos em 2009.
Como profissionais de segurança veem cloud e virtualização?
A virtualização e a nuvem estão mudando o paradigma de segurança das corporações, mas será que isso facilita as coisas? Veja o que mostra a pesquisa '2010 State of Enterprise Security Survey'.
Por COMPUTERWORLD/EUA
23 de fevereiro de 2010
A migração para a virtualização e a computação em nuvem está tornando a segurança de redes mais fácil ou mais difícil? Quando essa pergunta foi feita aos 2.100 principais líderes de TI e administradores de segurança de 27 países, as respostas mostraram uma grande falta de consenso, representando a diversidade das atitudes nas corporações.
O relatório “2010 State of Enterprise Security Survey” indica que apenas um terço das pessoas ouvidas acreditam que virtualização e computação em nuvem dificultam a segurança, enquanto um terço deles afirmam que tudo fica “mais ou menos” igual, e o restante considera mais fácil.
Para explicar as diferenças conceituais sobre o impacto da segurança, o diretor de tecnologias estratégicas da Symantec, Matthew Steele, afirma que a melhor forma de compreender essas respostas é saber que “se os entrevistados tivessem um contexto de segurança real, eles ficaram imediatamente preocupados. Mas, se eles se preocupam com as operações de TI, eles responderam de um ponto de vista para melhorar o setor”. E as respostas em cima do muro são geralmente originadas daqueles que têm responsabilidades com gastos. “Se o negócio está indo para frente, as coisas estão ok”, destaca Steele.
A pesquisa mostrou que os gastos com segurança corporativa devem chegar a 600 mil dólares em 2010, um aumento de 11% em relação a 2009, com um crescimento de 11% antecipado para 2011. Mas, apesar do crescimento, os entrevistados – que variam de setores bancários, saúde, telecomunicações, entre outros – mencionaram dificuldades em encontrar ou manter funcionários de segurança.
Em média, as organizações têm 120 funcionários para o setor de TI. Já as grandes empresas, com 5.000 ou mais empregados, têm uma média de 232 funcionários. Mas, segundo os entrevistados, na maior parte do tempo esse número foi insuficiente: 51% afirmaram enfrentar um “grande” problema para encontrar profissionais qualificados.
A dificuldade para encontrar o conhecimento correto foi um condutor em todas as formas de terceirização, incluindo o uso de alguns serviços de administração de segurança, que cerca de metade das organizações adotaram. Mas apenas metade delas ficou verdadeiramente “satisfeita” com os acordos de terceirização.
Além disso, 40% dos entrevistados disseram que suas organizações estavam usando aplicações na nuvem de alguma forma – ainda assim, 40% afirmaram que seria difícil prevenir ou reagir à perda de dados sob a estratégia de computação em nuvem da companhia. E, quando a pergunta foi “a sua estratégia de computação em nuvem aumenta ou diminui o risco de perdas de dados?”, 38% disseram que o risco seria maior, enquanto o restante se dividiu igualmente entre riscos menores ou mesma quantidade.
No setor de ciberataques e perdas de dados, três quartos dos entrevistados disseram que suas organizações foram atacadas nos últimos 12 meses, com 36% deles descrevendo o ataque como “um pouco ou muito eficiente”. O prejuízo anual causado pelos ciberataques chegou a mais de 2 milhões de dólares para as grandes empresas. Para resolver essa questão, atualizar os sistemas é a medida mais eficiente, segundo 87% dos entrevistados.
Já as perdas de dados foram atribuídas a várias fontes, incluindo externas (20%) e acidentes internos (15%). Fornecedores do setor de saúde registraram 58% de perdas de dados com exposição acidental de informações de paciente e 22% com roubos, incluindo roubos de identidades e até mesmo ataques de malware em equipamentos médicos.
|
