14 dicas de segurança para empresas de um hacker do Anonymous.
Sexta-Feira, 02 de Setembro de 2011
Quer prevenir perdas de dados em larga escala por ataques do grupo Anonymous e suas ramificações LulzSec e AntiSec? Então, comece prestando atenção aos requisitos básicos de segurança,o que inclui contratar pessoas capacitadas e treinar funcionários para que sejam guardiões da segurança.
"Segurança da informação é uma bagunça… Companhias não querem perder tempo nem dinheiro em segurança de computador, porque pensam que isso não importa", disse o ex-hacker anônimo conhecido como "SparkyBlaze", em entrevista exclusiva a Jason Lackey, da Cisco, publicada no site da companhia.
Portanto, qual é a melhor maneira de aumentar a eficácia de seus esforços com segurança da informação? SparkyBlaze fornece 14 dicas que vão desde o uso de "defesa em profundidade" e "política restrita de segurança da informação"; contratação de uma empresa externa para auditar sua segurança regularmente; e contratação de administradores de sistemas que entendam de segurança. Contrate um administrador de sistemas que entenda de segurança. Codifique dados também – "alguém como AE-256″, disse o hacker – e "mantenha os olhos nas informações que vocês deixa em domínio público".
Outra boa prática: use um sistema de detecção contra invasão de rede para monitorar atividades incomuns. Empregar uma "boa segurança física" também ajuda a garantir que ninguém fique em torno das medidas de segurança da informação, simplesmente entrando pela porta da frente. Finalmente, atente-se aos hábitos de segurança dos funcionários e mantenha-os informados sobre ameaças de ataque a engenharia social, basta uma pessoa abrir um anexo malicioso para provocar violação de dados larga escala.
Enquanto SparkyBlaze volta ao guia básico de orientação, vale a pena ver o número de dados de invasões e lançamentos executados por grupo de hackerativistas nos últimos meses. De acordo com especialistas, esses ataques não são necessariamente super sofisticados e a maioria não faz uso da chamada "ameaça avançada persistente". Mas com frequência eles acontecem ao explorar vulnerabilidades em comum ou desconfigurar aplicações na web.
SparkyBlaze desertou do Anonymous no começo deste mês, dizendo que estar "cansado de colocar dados de pessoas na rede para, em seguida, se autoafirmar como grande herói". Isso sugere que não existe nenhuma definição fácil e clara no que constitui o hackerativismo. Ainda mais com o "aumento do escopo" no tipo de dados coletados e revelados pelo Anonymous, cujo desdobramento evidente é afastar algumas pessoas para fora do convívio coletivo.
"Eu adoro ser hacker e acredito na liberdade de expressão e anticensura, então, somando as duas se torna fácil para mim. Eu sinto que não tem nada errado em atacar o governo. Recolher dados e entregá-los ao WikiLeaks, esse tipo de coisa que afeta o governo", confessou SparkyBlaze para Lackey, da Cisco.
Mas em post deixado no Postebin, SparkyBlaze afirma que o AntiSec e LulzSec têm operador contra a suposta missão do Anonymous.
"AntiSec tem feito um espetáculo atrás do outro com informações de pessoas inocentes. Para que? O que eles estão fazendo? O hacker Anon tem direito de tirar essas pessoas do anonimato? Eles estão sempre falando sobre o direito das pessoas permanecerem anônimas, então porque eles estão retirando este direito?", questionou.
Em nota relacionada, a razão de ser do Anonymous – Wikileaks – parede ter sofrido sua própria quebra de dados ou, ao menos, perda de controle. Na segunda-feira (30/08), a revista germânica Der Spiegel relatou que um arquivo postado por apoiadores do Wikileaks na internet incluía 251 mil versões escondidas, não-expurgadas e protegidas por senha de cabos do Departamento de Estado dos EUA, revelado pelo WikiLeaks – com muitas fontes omitidas –, em novembro de 2010. Apesar de toda a situação, o Wikileaks afirma que não houve vazamento.
Quer prevenir perdas de dados em larga escala por ataques do grupo Anonymous e suas ramificações LulzSec e AntiSec? Então, comece prestando atenção aos requisitos básicos de segurança,o que inclui contratar pessoas capacitadas e treinar funcionários para que sejam guardiões da segurança.
"Segurança da informação é uma bagunça… Companhias não querem perder tempo nem dinheiro em segurança de computador, porque pensam que isso não importa", disse o ex-hacker anônimo conhecido como "SparkyBlaze", em entrevista exclusiva a Jason Lackey, da Cisco, publicada no site da companhia.
Portanto, qual é a melhor maneira de aumentar a eficácia de seus esforços com segurança da informação? SparkyBlaze fornece 14 dicas que vão desde o uso de "defesa em profundidade" e "política restrita de segurança da informação"; contratação de uma empresa externa para auditar sua segurança regularmente; e contratação de administradores de sistemas que entendam de segurança. Contrate um administrador de sistemas que entenda de segurança. Codifique dados também – "alguém como AE-256″, disse o hacker – e "mantenha os olhos nas informações que vocês deixa em domínio público".
Outra boa prática: use um sistema de detecção contra invasão de rede para monitorar atividades incomuns. Empregar uma "boa segurança física" também ajuda a garantir que ninguém fique em torno das medidas de segurança da informação, simplesmente entrando pela porta da frente. Finalmente, atente-se aos hábitos de segurança dos funcionários e mantenha-os informados sobre ameaças de ataque a engenharia social, basta uma pessoa abrir um anexo malicioso para provocar violação de dados larga escala.
Enquanto SparkyBlaze volta ao guia básico de orientação, vale a pena ver o número de dados de invasões e lançamentos executados por grupo de hackerativistas nos últimos meses. De acordo com especialistas, esses ataques não são necessariamente super sofisticados e a maioria não faz uso da chamada "ameaça avançada persistente". Mas com frequência eles acontecem ao explorar vulnerabilidades em comum ou desconfigurar aplicações na web.
SparkyBlaze desertou do Anonymous no começo deste mês, dizendo que estar "cansado de colocar dados de pessoas na rede para, em seguida, se autoafirmar como grande herói". Isso sugere que não existe nenhuma definição fácil e clara no que constitui o hackerativismo. Ainda mais com o "aumento do escopo" no tipo de dados coletados e revelados pelo Anonymous, cujo desdobramento evidente é afastar algumas pessoas para fora do convívio coletivo.
"Eu adoro ser hacker e acredito na liberdade de expressão e anticensura, então, somando as duas se torna fácil para mim. Eu sinto que não tem nada errado em atacar o governo. Recolher dados e entregá-los ao WikiLeaks, esse tipo de coisa que afeta o governo", confessou SparkyBlaze para Lackey, da Cisco.
Mas em post deixado no Postebin, SparkyBlaze afirma que o AntiSec e LulzSec têm operador contra a suposta missão do Anonymous.
"AntiSec tem feito um espetáculo atrás do outro com informações de pessoas inocentes. Para que? O que eles estão fazendo? O hacker Anon tem direito de tirar essas pessoas do anonimato? Eles estão sempre falando sobre o direito das pessoas permanecerem anônimas, então porque eles estão retirando este direito?", questionou.
Em nota relacionada, a razão de ser do Anonymous – Wikileaks – parede ter sofrido sua própria quebra de dados ou, ao menos, perda de controle. Na segunda-feira (30/08), a revista germânica Der Spiegel relatou que um arquivo postado por apoiadores do Wikileaks na internet incluía 251 mil versões escondidas, não-expurgadas e protegidas por senha de cabos do Departamento de Estado dos EUA, revelado pelo WikiLeaks – com muitas fontes omitidas –, em novembro de 2010. Apesar de toda a situação, o Wikileaks afirma que não houve vazamento.
fonte: Information Week Brasil