terça-feira, 2 de outubro de 2012

Resumo para Certificação ISO 27002 - 04 / 05


Este é o quarto post da sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.

4 – Medidas
4.1 – Físicas
4.1.1 – Conceito
Protegem fisicamente os ativos de negócio
4.1.2 – Medidas p/ Equipamentos
Inclui a proteção de equipamento por meio de controle de clima
4.1.2.1 – Exemplos
Ar-condicionado
Umidificador
Filtros de energia (estabilizador)
4.1.3 – Medidas p/ Cabeamento
Inclui cuidados para não haver interferências
4.1.3.1 – Exemplo
Separar cabos de energia, telefone e dados.
Proteger dutos de cabos
Usar cabos separados para sala de servidores
4.1.4 – Medidas p/ Mídias de armazenamento
Inclui cuidados com manuseio de pendrives, smartphones, cartões de memória, laptops, que armazenam informações sensíveis.
4.1.5 – Medidas p/ Anéis de proteção
4.1.5.1 – Anel Externo
Proteção em torno do prédio da empresa
4.1.5.1.1 – Exemplos
Muro
Cerca
Arame Farpado
Guardas de Segurança
Câmera de Segurança

4.1.5.2 – Edifício/Prédio
Proteção para impedir acesso dentro da empresa
4.1.5.2.1 – Exemplos
Janelas com Grade
Portas Reforçadas
Vidros Resistentes
Controle de Acesso com Senha
Sistemas Biométricos
Detecção de Intrusos
4.1.5.2.2 – Salas especiais (sala de servidores)
Precisam de medidas extras
O ar precisa ser resfriado, desumidificado e filtrado.
Uso de no-breaks (UPS), filtros de energia.
4.1.5.3 – Espaço de Trabalho
Algumas áreas da empresa podem não estar acessíveis a todos, como RH.
4.1.5.4 – Objeto
Refere-se a parte mais sensível que precisa ser protegida
4.1.5.4.1 – Exemplos
Armários
Cofre

4.1.6 – Alarmes
Estes precisam ser monitorados
4.1.6.1 – Uso de Sensores
Detecção por infravermelho
Câmeras que detectam movimento
Detecção de vibração
Sensores de quebra de vidros

4.2 – Técnicas (segurança de TI)
4.2.1 – Conceito
Inclui medidas para sistemas computadorizados e infraestrutura de TI associadas
4.2.2 – Gerenciamento de Acesso Lógico
4.2.2.1 – Controle de acesso discricionário
A política de controle de acesso é determinada pelo proprietário (owner) do recurso (O usuário diz quem pode acessar o compartilhamento no seu computador).
4.2.2.2 – Controle de acesso mandatório
A política de acesso é determinada pelo sistema e não pelo proprietário do recurso
4.2.2.3 – Passos para conceder o acesso
4.2.2.3.1 – Identificação 
Pessoa ou sistema apresenta o token (pode ser uma chave, usuário ou senha)
4.2.2.3.2 – Autenticação 
Sistema determina se o token é autêntico e quais recursos o usuário pode acessar
4.2.2.3.3 – Autorização
Aloca o direito de acesso
4.2.3 – Requisitos de segurança para os sistemas
Sistemas devem funcionar conforme pretendido
Validação de dados de entrada e saída
4.2.4 – Criptografia
4.2.4.1 – Conceito
É um meio de manter a informação secreta
A informação é codificada para não ser lida por pessoas não autorizadas
4.2.4.2 – Tipos de Criptografia
4.2.4.2.1 – Simétrica
Existe um algoritmo e uma chave secreta que o remetente e destinatário compartilham
É mais vulnerável
4.2.4.2.2 – Assimétrica
Diferentes chaves são usadas para criptograr e descriptografar
Assinaturas digitais são criadas usando este tipo
4.2.4.2.3 – Infraestrutura de Chave Pública
Através de acordos, procedimentos e estrutura de organização, ela garante quais pessoas ou sistemas pertencem a uma chave pública.
É frequentemente gerenciada por uma autoridade independente
4.2.4.2.4 – Criptografia de mão única
A mensagem é convertida em um valor numérico e não pode ser descriptografada
Usando um algoritmo conhecido, o destinatário pode checar se a mensagem tem o valor correto.  Neste caso, é verificado se dois valores hash combinam.

4.3 – Organizacionais
4.3.1 – Conceito
Diz respeito ao trabalho dos funcionários na organização, políticas, plano de continuidade, sistema de gestão da segurança da informação.
4.3.2 – Sistema de Gestão da Segurança da Informação (SGSI)
É uma medida organizacional
ISO 27001 ajuda a definir uma estrutura para SGSI
Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação
Baseado no ciclo PDCA
Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos.
Existe para preservar a confidencialidade, integridade e disponibilidade.
4.3.3 – Política de segurança da informação
Documento importante do SGSI
Serve para a gerência fornecer direção e suporte a organização
Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos.
Deve ser divulgada para todos na organização
Pode ser usado o ciclo PDCA para ver se a política está sendo seguida ou pode ser melhorada
4.3.4 – Pessoal 
Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos
Pessoal precisa seguir o código de conduta
Novos funcionários precisam passar por uma checagem de ficha limpa
Dependendo do cargo é necessário assinar um Non DisclosureAgreement (NDA) - Acordo de confidencialidade
Visitantes precisam passar por um controle de acesso
4.3.5 – Gerenciamento da continuidade do negócio
4.3.5.1 – Meta
Visa garantir a continuidade das operações após um desastre (enchentes, terremotos, ataques terroristas, etc.).
4.3.5.2 – Continuidade
Envolve manter disponibilidade dos sistemas de informação no momento em que eles são requeridos após um desastre
4.3.5.3 – Desastre
Incidente de grande impacto
4.3.5.4 – Plano de Continuidade de Negócios (PCN)
Estabelece qual a continuidade dos processos de negócio que será garantida
4.3.5.5 – Plano de Recuperação de Desastre (PRD)
Como se recuperar do desastre
4.3.5.6 - Exemplos de ações
Espaços de trabalho alternativos
Data Center redundante
Hot-site sob demanda
4.3.6 – Gerenciamento de comunicações e processos operacionais
Documentar procedimentos de operação dos equipamentos e quem são os responsáveis
4.3.6.1 – As mudanças nos sistemas precisam ser gerenciadas
A segregação de funções ajuda a estabelecer quem faz o que
Testes e aceites antes de entrar em produção
4.3.6.2 – Segregação de funções
4.3.6.2.1 – Conceito
Separar as funções e responsabilidades de cada um
4.3.6.2.2 – Benefícios
Evita mudanças sendo realizadas por pessoas não autorizadas
Diminui os riscos quando uma atividade critica tem mais de uma pessoa envolvida (ex: transferências bancárias)
Com base na função se estabelece que informações podem ser acessadas
4.3.6.3 – Terceirização
Documentar requisitos que precisam ser atendidos
Estabelecer contratos/ acordos SLA
4.3.6.4 – Proteção contra malware, phishing e spam
4.3.6.4.1 – Malware
Termo genérico para software malicioso.  
Pode ser um vírus, worm, trojan ou sypare
Medida: usar scanners antivírus e firewall
4.3.6.4.2 – Phishing
Uma forma de fraude na internet na qual a vítima recebe um e-mail pedindo para ela fazer alguma coisa ou confirmar dados confidenciais (dados bancários, por exemplo).
4.3.6.4.3 – Spam
Nome do coletivo de mensagens indesejáveis
4.3.6.4.4 – Vírus
Pequeno programa de computador que se replica
Carrega código executável
Tem natureza destrutiva
4.3.6.4.5 – Worm
Pequeno programa de computador que se replica
Não depende da ação do usuário para se espalhar pela rede
4.3.6.4.6 – Trojan
É um programa que conduz atividades secundárias não percebidas pelo usuário
Usado frequentemente para coletar informações confidenciais do sistema infectado
4.3.6.4.7 – Hoax
Mensagem que tenta convencer o leitor da sua veracidade e então persuadi-lo a fazer alguma ação
4.3.6.4.8 – Logicbomb
Pedaço de código deixado dentro de um sistema
Exemplo: o programador deixa um código que pode ser ativado quando ele sair da empresa e destruir arquivos
4.3.6.4.9 – Spyware
Programa de computador que coleta informação de um computador e envia para um terceiro
4.3.6.4.10 – Botnet
Uma rede de computadores utilizando software de computação distribuída.
4.3.6.4.11 – Rootkit
Conjunto de ferramentas de softwares utilizado por um hacker
4.3.6.5 – Manuseio de mídias
Estabelecer orientações para como manusear mídias a fim de evitar que informações valiosas caiam nas mãos de pessoas erradas
Política mesa limpa deve sempre ser empregada

quinta-feira, 20 de setembro de 2012

Resumo para Certificação ISO 27002 - 03 / 05

Este é o terceiro post da sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.


3 – Abordagem e Organização
3.1 – Ativo de Negócio
Qualquer coisa que custa dinheiro ou tem certo valor para o negócio
Exemplos: informação, computadores, mídias, pessoas e seus conhecimentos.

3.2 – Classificação de Informação
3.2.1 – Propósito
Ativos do negócio, incluindo informações, precisam ser classificados para determinar os níveis de segurança para lês
Pode ser necessário para contratar seguros, contabilidade financeira e requisitos regulatórios (legislação para proteção de dados pessoais).
3.2.2 – Classificações
Níveis de sensibilidade colocados na marca ou etiqueta de um documento: secreto, confidencial ou público.
As etiquetas de classificação podem ser colocadas fisicamente e de forma visível
3.2.3 – Proprietário 
O dono da informação/documento é responsável pela sua classificação
Determina quem tem acesso a determinados ativos do negócio

3.3 – Incidente de Segurança
3.3.1 – Conceito
Ocorre quando uma ameaça se torna real
3.3.2 – Relato de incidentes
Os funcionários devem reportar os incidentes o mais rápido possível
Normalmente reportados ao helpdesk
3.3.3 – Gerenciamento de Incidentes
Processo para resolver os incidentes o mais rápido possível
3.3.4 – Tipos de Escalação
3.3.4.1 – Funcional (horizontal)
Incidente é repassado para alguém que tem mais conhecimento técnico para resolver
Exemplo: repassar para o administrador de redes uma falha no firewall
3.3.4.2 – Hierárquica (vertical) 
Incidente pode ser reportado para alguém que tem mais autoridade e pode precisar tomar alguma decisão
Exemplo: notificar o gerente do funcionário sobre o seu comportamento suspeito
3.3.5 – Ciclo do Incidente
Estágios: Ameaça - Incidente - Dano - Recuperação
3.3.5.1 – Medidas Para Cada Estágio
3.3.5.1.1 – Redutivas
Reduz o impacto ou probabilidade de uma ameaça antes dela gerar um incidente
3.3.5.1.2 – Preventivas
Aplicadas antes da ameaça levar a um incidente
3.3.5.1.3 – Detectivas
Detectar a ocorrência de um incidente
3.3.5.1.4 – Repressiva
Para responder a um incidente a fim de conter o estrago da ameaça (usar o extintor de incêndio, por exemplo).
3.3.5.1.5 – Corretiva
Reparar o que foi danificado (restaurar o backup, por exemplo).

3.4 – Papéis na Organização
3.4.1 - Chief Information Security Officer (CISO)
Desenvolve a estratégia geral de segurança para a empresa inteira
3.4.2 - Information Security Officer (ISO)
Desenvolve uma política para uma unidade de negócio com base na política da empresa
3.4.3 - Information Security Manager (ISM)
Desenvolve uma política de segurança da informação para a área de TI

domingo, 2 de setembro de 2012

Resumo para Certificação ISO 27002 - 02 / 05

Continuando a sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.


2 – Ameaças e Riscos
2.1 – Ameaça
Fatores / situações que podem levar a um dano ou perda de informação
2.2 – Risco
É a chance que uma ameaça irá de fato ocorrer e suas consequências
2.3 – Incidente de Segurança
2.3.1 - Conceito
Quando uma ameaça se manifesta
2.3.2 – Alguns Exemplos
Hacker conseguiu invadir a rede
Informações confidenciais vazaram no mercado
Um documento importante foi perdido
Usuário esqueceu um documento na impressora
A porta de acesso à sala de servidores foi esquecida aberta
O monitor está apresentando mensagens estranhas

2.4 – Análise de Risco
2.4.1 - Conceito
Metodologia empregada para ajudar a identificar riscos e medidas
É uma etapa do Gerenciamento de riscos
2.4.2 – Meta Principal
Assegurar que medidas de segurança são implementadas a um custo-efetivo e em tempo hábil e consequentemente fornecer respostas efetivas para as ameaças
2.4.3 - Objetivos
Identificar os ativos de informação e seus valores
Determinar vulnerabilidades e ameaças
Determinar o risco de ameaças se tornarem uma realidade e impactar os processos operacionais da empresa
Determinar um equilíbrio entre custos de um incidente os custos de uma medida de segurança
2.4.4 – Tipos
2.4.4.1 – Análise Quantitativa
Calcula, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameaça pode se tornar um incidente
Serve para determinar os custos de medidas de segurança e os custos do objeto a ser protegido
2.4.4.2 – Análise Qualitativa
É baseada em cenários e situações
As chances de uma ameaça se tornar real são examinadas com base em julgamentos subjetivos (experiência das pessoas)

2.5 – Gerenciamento de Riscos
2.5.1 - Conceito
É o processo contínuo que identifica, examina e reduz os riscos a um nível aceitável.
2.5.2 – Responsáveis
Information Security Officer (ISO)
Chief Information Security Officer (CISO)

2.6 – Medidas para Reduzir o Risco
2.6.1 - Redutiva
Reduz a ameaça antes dela se manifestar.
2.6.2 – Preventiva
Torna a ameaça impossível antes dela se manifestar
Exemplo: evitar acessar os sistemas internos via internet
2.6.3 - Detectiva
Garante que cada incidente possa se detectado o mais rápido possível e que todo mundo seja informado do que está acontecendo.
Exemplo: vigilância por vídeo
2.6.4 – Repressiva
Para minimizar as consequências de um incidente após ele ocorrer
Exemplo: usar extintor de incêndio
2.6.5 – Corretiva
Recuperar algo após um incidente ter ocorrido
Exemplo: restaurar o banco de dados usando o backup

2.7 – Tipos de Ameaças
2.7.1 –Humana Intencional
Danos à informação causados por pessoas de forma proposital.
Exemplos: hackers, empregados revoltados, engenharia social.
2.7.1.1 – Engenharia Social
Quando alguém tenta ganhar confiança de um funcionário se passando por colega, cliente ou fornecedor, mas está tentando obter informação confidencial.
2.7.2 – Humana Não Intencional
Danos causados por pessoas de forma involuntária
Exemplos: pressionar botão delete sem querer, pendrive com vírus, uso inadequado de extintor de incêndio
2.7.3–Não humana
São normalmente influências externas.
Exemplos: raios, incêndio, inundação, tempestade.

2.8 – Tipos de Danos
2.8.1 – Conceito
Dano resultante da manifestação de ameaças
2.8.2 – Tipos de Danos
2.8.2.1 – Dano Direto
Danos diretos provocados pela manifestação de uma ameaça
É a primeira perda provocada pelo incidente de segurança
2.8.2.1.1 – Exemplos
Roubo de laptops
Dados perdidos devido a ataques de hackers
Servidor foi danificado após usar o extintor de incêndio
2.8.2.2 – Dano Indireto
É o dano consequente que pode ocorrer após uma ameaça se manifestar
2.8.2.2.1 – Exemplo
O incêndio destrói a infraestrutura de TI e com isto a empresa perde o contrato com um cliente importante.
Perda de reputação no mercado devido a um incidente de segurança que deixou o site da empresa indisponível por horas.
Perda de vendas no site devido a este ter ficado fora do arapós um ataque de hackers
2.8.2.3 – Expectativa de Perda Anual
É a quantia da perda/prejuízo - expressa em valores monetários - que pode resultar de um incidente em um ano
Exemplo: Se a empresa tem uma média de 10 laptops roubados a cada ano, a expectativa de perda anual é o valor dos 10 laptops, incluindo os dados e softwares instalados neles.
2.8.2.4 – Expectativa de Perda Única
Prejuízo causado por um único incidente de segurança
Diferente da Expectativa de Perda Anual que considera a perda durante um ano

2.9 - Tipos de Estratégias para Riscos
2.9.1 - Suportar / Aceitar (Riskbearing)
Quando a empresa aceita os riscos e não adota medidas preventivas
É usada quando os custos das medidas de segurança excedem o dano possível
Neste tipo de estratégia, a organização pode adotar medidas repressivas somente quando a ameaça de fato se manifestar.
2.9.2 - Neutralizar / Reduzir (Risk neutral)
Medidas de segurança são tomadas de forma que as ameaças não se manifestem mais, ou se manifestarem, o dano resultante será minimizado
A maioria das medidas tomadas são uma combinação de medidas preventivas, detectivas e repressivas
2.9.3 - Evitar (Riskavoiding)
Medidas são tomadas para que a ameaça seja eliminada de forma que a ameaça não conduza a um incidente (não se manifeste)
Exemplo: para evitar a ferrugem em vez de usar material de ferro, usa-se material plástico.
A maioria das medidas tomadas são preventivas

Bons estudos e até o próximo post!


sexta-feira, 24 de agosto de 2012

Resumo para Certificação ISO 27002 - 01 / 05

Com este post começo a uma série de cinco posts com um resumo preparatório para a realização do exame de certificação ISO 27002 - Segurança da Informação.


1 – Informação e Segurança
1.1 - Dado 
Informação que não tem significado.
1.2 – Informação
É algo que tem significado
É um conjunto de dados estruturados
É o conhecimento que alguém adquiriu
É um fator de produção, assim como matéria-prima, mão de obra e capital
1.3 – Valor da Informação
É determinado primariamente pelo destinatário da informação (quem recebe)

1.4 - Aspectos de confiabilidade / 3 requisitos de qualidade
1.4.1 –Disponibilidade
1.4.1.1 – Conceito
É o grau no qual a informação está disponível para o usuário e para o sistema de informação que está em operação no momento que a organização precisa dele
1.4.1.2 – Características
Disponível em tempo oportuno
Os sistemas de informação precisam estar disponíveis quando necessários
Continuidade
O pessoal pode continuar o trabalho ainda que ocorra um evento de falha
Robustez
Deve haver capacidade suficiente para permitir todo o pessoal usar sistema para trabalhar
1.4.1.3 - Exemplos de Medidas
Dados devem ser armazenados em um disco na rede e não no HD do PC
Deve haver procedimentos de backup
Deve haver procedimentos de emergência para interrupções

1.4.2 – Integridade
1.4.2.1 – Conceito
É o grau no qual a informação está atualizada e sem erros
1.4.2.2 – Características
Exatidão
A informação está correta, exata.
Completeza
A informação está inteira, completa.
1.4.2.3 - Exemplos de Medidas
Mudanças nos sistemas e dados precisam passar por autorização - reduzir riscos
As ações dos usuários precisam ser registradas (gerar logs) para determinar quem fez alterações nos dados
Instalações e alterações não devem ser feitas apenas por uma pessoa - usar segregação de funções
Deve haver validação de entrada de dados nos sistemas

1.4.3 – Confidencialidade
1.4.3.1 – Conceito
É o grau no qual o acesso à informação é restrito a um grupo definido de pessoas autorizadas a terem este acesso.
1.4.3.2 – Características
Privacidade
A informação não é pública.
1.4.3.3 - Exemplos de Medidas
É preciso ter controles de acesso à informação
A informação não pode cair nas mãos de pessoas erradas
Gerenciamento de acesso lógico estabelecendo direitos de acesso para cada usuário
Segregação de funções para determinar o que cada cargo/função pode acessar nos sistemas
Algumas informações do RH não devem ser acessadas por outros departamentos
Uso de senha para acessar os computadores na rede

Bons estudos e até o segundo post!




domingo, 12 de agosto de 2012

Certificação ISO 27002 – Segurança da Informação


Na última segunda-feira, dia 06/08/2012, fui aprovado no exame de certificação da EXIN para a ISO 27002 – Segurança da Informação. 

O exame é composto de 40 perguntas, sendo necessário obter no mínimo 26 pontos para aprovação.  No Brasil você pode fazer o exame pela PROMETRIC no idioma inglês ou português.

O EXIN é um instituto Holandês independente, com mais de 40 anos de atuação, sem fins lucrativos, que tem como principal objetivo a melhora da qualidade do setor de tecnologia da informação, seus profissionais e usuários por meio da aplicação de testes e certificações.

É uma prova muito tranqüila, principalmente para quem já realizou os exames de certificação para ITIL, COBIT e ISO 20000. 

Estarei postando um resumo que utilizei para a realização do exame. Será uma série de cinco posts. 

Espero que gostem e façam um bom proveito.

Aguardem o primeiro post.


terça-feira, 27 de março de 2012

Usar Facebook no trabalho deixa funcionário mais feliz


Um número cada vez maior de empregadores está percebendo que permitir que os funcionários usem o Facebook no trabalho é uma válvula de escape que os tornam mais "felizes e confortáveis". Pelo menos é no que acreditam vários gestores de tecnologia da informação, de acordo com o site Computerworld.


A permissão de acesso à rede social seria uma espécie de "troca justa" por muitas horas de trabalho no escritório, com horas complementares em casa. A companhia de análise Gartner também reportou, no início de março, que cada vez menos companhias estão bloqueado o Facebook. Em 2010, quase 50% delas bloqueavam.


"Se você trabalha de 12 a 15 horas por dia, haverá momentos em que você gostará de dar uma pausa e se conectar com a realidade - e falar com os amigos e com a família permite que isso aconteça", afirmou um consultor de uma empresa de análises de Chicago, nos Estados Unidos. "Essas ferramentas permitem que você trabalhe por muitas horas sem enloquecer", concluiu.
O número caírá ainda mais daqui dois anos, com cerca de 30% das empresas aplicando bloqueio ao Facebook em 2014, segundo a Gartner. A taxa de queda anual da restrição às redes sociais pelas corporações é de 10% ao ano.


Fonte: http://tecnologia.terra.com.br/noticias/0,,OI5687598-EI12884,00-Usar+Facebook+no+trabalho+deixa+funcionario+mais+feliz.html

quinta-feira, 8 de março de 2012

Traficantes compram blindado para enfrentar o caveirão


Se articulando para retomar o morro do alemão antes da Copa do Mundo, os traficantes cariocas compraram um tanque de guerra blindado para enfrentar o caveirão do bope. Segundo informações apuradas pelo G17, o blindado foi comprado a Al-qaeda – grupo do terrorista Osama Bin Laden, e trazido de navio para o Brasil. 


O governador Sério Cabral disse que o Bope não vai enfrentar o blindado dos traficantes. Há quem diga que o governador está com medo, mas Cabral contornou a situação dizendo que não quer guerra. “Eu quero é paz, e por isso vou deixar os traficantes em paz”, disse. Sérgio Cabral também disse que o blindado dos traficantes poderá ser útil: “Durante a copa podemos negociar o aluguel do veículo para fazermos a segurança do Rio”, disse. 


O blindado custou 50 milhões de dólares e foi financiado pela Associação do Tráfico, em 12 anos, pela Caixa Econômica Federal. O governo Dilma disse que isso é problema do Cabral.


Fonte: http://portalguandu.com.br/noticia/4390-Traficantes_compram_blindado_para_enfrentar_o_caveir%C3%A3o_.html

08 de Maio - Dia Internacional da Mulher


Entenda o elas querem dizer quando falam:

Humm = Tô com Ciúme.
Sei = Não acredito em nada do que disse.
= Pare de Falar.
Não é nada = Tá tudo errado.
Não fale comigo = Pede desculpas agora!
Então vai = Não vai de jeito nenhum.
Sinto muito = Vai ser como eu quero.
Nós queremos = Eu quero.
Faça o que quiser = Se fizer me esqueça, já era.
Precisamos conversar = Quero me queixar de você.
Não estou gritando = Estou berrando!
Estarei pronta em um minuto = Tire os sapatos, escolha um canal de TV e Relaxe.
Não = Sim
Sim = Talvez
Talvez = Não

Mulheres, a todas um feliz dia!

segunda-feira, 5 de março de 2012

Google oferece US$ 1 milhão para quem quebrar a segurança do Chrome


A Google deixa de ser uma das patrocinadoras da famosa competição de hackers, Pwn2Own, para lançar o seu próprio concurso. E para estrear bem, a empresa oferecerá US$ 1 milhão para quem conseguir quebrar a segurança do browser Chrome.


A saída da empresa no Pwn2Own foi porque os hackers não precisavam revelar para as empresas todas as falhas usadas para explorar o site.


O vencedor será aquele que conseguir explorar o navegador usando apenas as falhas que estão nele. O segundo colocado precisa combinar uma fraqueza de segurança do Chrome ou outra. Os prêmios serão pagos aos primeiros que conseguirem hackear o navegador até atingir US$ 1 milhão.


Nas premiações maiores, os hackers devem demonstrar que os bugs presentes são exploráveis. “Não só podemos corrigir os erros, mas estudando a vulnerabilidade e as técnicas de exploração, podemos melhorar as nossas mitigações, testes automatizados, e a sandbox. Isso nos permitirá proteger mais os nossos usuários”, afirmaram Chris Evans e Justin Schuh, da equipe de segurança digital da Google.


A empresa ainda pagará prêmios de US$ 60 mil, US$ 40 mil e US$ 20 mil aos três primeiros colocados em três categorias distintas sobre exploração de vulnerabilidades. Todos os vencedores também ganharão um Chromebook.


Os prêmios menores serão para quem descobrir que não no navegador, mas em seus complementos como em drives, Flash ou no Windows, são exploráveis.


O desafio vai acontecer no entre os dias 7 e 9 de março em Vancouver (Canadá), no mesmo lugar onde será realizado o Pwn2Own.


Vale lembrar que nas três edições que o Chrome participou nenhum hacker conseguiu invadir a segurança do navegador.


Fonte: http://msn.techguru.com.br/google-oferece-us-1-milhao-para-quem-quebrar-a-seguranca-do-chrome/

Windows 8 atinge 1 milhão de downloads em um dia


A versão de teste aberto do Windows 8 foi baixada mais de 1 milhão de vezes em apenas um dia, revelou a Microsoft, nesta quinta-feira (1), por meio da conta oficial do novo sistema no Twitter. A mensagem dizia: “Um dia depois, um milhão de downloads na versão consumer preview do Windows 8”.


O download da versão beta da oitava edição do sistema operacional mais famoso do mundo está disponível em um site oficial da Microsoft desde a manhã da última quarta-feira (29) em duas versões - o modelo de 32 bits (1,5 gigabyte) e 64 bits (1,9 gigabyte) – nos idiomas inglês, chinês, francês, alemão e japonês.


Segundo o presidente da divisão Windows da Microsoft, Steven Sinofsky, a versão funciona em máquinas já equipadas com o sistema Windows 7 sem problemas. No entanto, para usar todos os recursos do novo sistema operacional, como o suporte a múltiplos toques, é necessário utilizar monitor com tela sensível ao toque e resolução de 1366 x 768 pixels ou superior.


O suporte para múltiplos toques, aliás, é uma das novidades do Windows 8 em relação aos modelos anteriores. A tecnologia permite ao usuário abrir mão do mouse e do teclado para manipular programas e jogos usando apenas os dedos na superfície da tela.


Entre as outras novidades estão a interface mais limpa e diferente – com tela formada por mosaicos ou azulejos (tiles) -, e a compatibilidade com tablets e outros dispositivos móveis equipados com microprocessadores ARM, que se tornaram o padrão para a indústria de aparelhos portáteis.


Fonte: http://tecnologia.br.msn.com/noticias/windows-8-atinge-1-milh%C3%A3o-de-downloads-em-um-dia

Serra contrata mais e Vitória demite mais, aponta Fecomercio no ES

O Espírito Santo gerou 1.488 empregos com carteira assinada em janeiro de 2012, de acordo com dados do Cadastro Geral de Empregados e Desempregados (Caged) do Ministério do Trabalho. Entre os 18 municípios do Espírito Santo com mais de 30 mil habitantes, a Serra, na Grande Vitória, liderou o saldo de contratações, com 1.135 vagas criadas. A capital Vitória foi a que mais demitiu, com 469 empregos formais perdidos
O município de Linhares, no Norte do estado, foi o segundo que mais contratou, com 249 empregos com carteira assinada gerados. O município de Ibiraçu, também no no Norte, aparece em terceiro, com a criação de 96 empregos formais.
Na diferença entre contratações e demissões, Colatina, no Noroeste do estado, é o segundo município que mais demitiu, com 109 postos de trabalho perdidos.
Segundo a análise dos dados do Caged pela Federação do Comércio de Bens, Serviços e Turismo do Espírito Santo (Fecomércio/ES), de maneira geral, o crescimento no número de empregos no estado foi de cerca de 0,20% em relação ao estoque de assalariados com carteira assinada de dezembro de 2011.
Os setores de atividade econômica que mais contribuíram para este resultado foram os de serviços, com 1.045 postos, e construção civil, que registrou 1.029 postos, superando a queda do comércio que teve retração de 1.384 postos de trabalho. O setor de comércio apresentou o maior número de desligamentos, com 1.134 postos de trabalho perdidos.


Fonte: http://g1.globo.com/espirito-santo/noticia/2012/03/serra-contrata-mais-e-vitoria-demite-mais-aponta-fecomercio-no-es.html

quinta-feira, 23 de fevereiro de 2012

Coleção de quadrinhos achada é leiloada por US$ 3,5 milhões

Uma coleção de histórias em quadrinhos que haviam sido encontradas em um porão arrecadou US$ 3,5 milhões em um leilão em Nova York na quarta-feira (23).


Quadrinho de estreia do Batman arrecadou US$ 523 mil em leilão (Foto: BBC)


Os 345 gibis foram comprados nos anos 1930 por Bill Wright, do Estado americano de Virgínia, quando ele era garoto. Wright morreu sem nunca ter dito à família que possuía os gibis.


As histórias em quadrinho passaram 17 anos no porão da casa de Wright, na cidade de Martinsville, sem nunca terem saído do lugar. No ano passado, elas foram descobertas durante uma faxina no local por um dos seus parentes, que colocou tudo à venda.


Uma cópia da edição de número 27 do gibi Detective Comics, que foi comprada por Wright por dez centavos em 1939, arrecadou o maior valor no leilão de quarta-feira: US$ 523 mil, ou quase R$ 900 mil.


A edição é famosa por ser a primeira aparição do herói Batman.
Outro gibi - o número um da Action Comics, de 1938 - foi vendido por US$ 299 mil (mais de R$ 510 mil). O quadrinho é o primeiro com o Super-homem.


'Este episódio já conquistou um lugar na história das grandes coleções de quadrinhos', disse Lon Allen, que é diretor da Heritage Auctions, a empresa que leiloou os gibis.
Segundo ele, a 'incrível' coleção é uma prova de que Wright tinha um dom para comprar os gibis mais valiosos.


Especialistas afirmam que outro fator que valorizou a coleção é o fato de ela ter sido montada quando o dono ainda era garoto.


Fonte: http://g1.globo.com/mundo/noticia/2012/02/colecao-de-quadrinhos-achada-em-sotao-e-leiloada-por-us-35-milhoes.html

sexta-feira, 10 de fevereiro de 2012

Ambev é condenada a pagar R$ 100 mil por humilhar funcionário


Um ex-funcionário da Ambev no Rio Grande do Sul ganhou uma ação de R$ 100 mil por danos morais contra a companhia na qual alegava ter sido submetido a maus tratos e humilhação por não atingir metas de vendas, segundo informações da assessoria de imprensa do Tribunal Superior do Trabalho (TST).


O vendedor disse que trabalhou na Ambev de março de 2003 a julho de 2007 e era obrigado pelos gerentes a passar por situações vexatórias como usar "fraldão", fazer flexões e passar por um " corredor polonês", quando não atingia as metas. Ele alegou também que os supervisores da empresa usavam palavrões e apelidos pejorativos contra os funcionários.


Por meio de sua assessoria de imprensa, a Ambev afirmou que não se manifesta sobre processos em andamento na Justiça.


Fonte: http://not.economia.terra.com.br/noticias/noticia.aspx?idNoticia=201202101154_TRR_80840329

quinta-feira, 9 de fevereiro de 2012

Em Brasília, Romário se diz ‘puto’ e pede ‘alguma porra pra fazer’.

O "Cara" está afim de trabalhar mesmo! No twitter desceu a lenha na Câmara e está pedindo serviço.
Na ponta do lápis, a inatividade remunerada da Câmara dura dez dias. Mas Romário exagerou: “Tem 3 semanas que venho em Brasília para trabalhar e nada acontece. E olha que estamos em ano de eleição.”
Autoconvertido numa espécie de zagueiro de tome de várzea, o ex-jogador foi à canela: “Espero que na minha próxima vinda a Brasília tenha alguma porra pra fazer. Ou será que o ano só vai começar depois do Carnaval?
Chutou uma vez: “Não foi votada porque os parlamentares alegaram falta de tempo hábil para concluir se ela é positiva ou negativa para o povo.” Bicou de novo: “Têm quatro anos que essa PEC tramita na Casa e não tiveram tempo de decidir se é boa ou ruim?”
Na zaga do twitter, o ex-artilheiro tratou também do tema que monopoliza as manchetes: a revolta dos policiais militares. Anotou: “A PEC 300 também não foi votada. Têm greves acontecendo, pessoas morrendo e lojas sendo saqueadas. Nós políticos somos culpados mesmo!”
Romário desaprova os meios empregados pelos PMs em greve na Bahia, mas apoia os fins: “Claro que nada tem que ser levado para o lado da violência e muito menos da baderna, mas temos que resolver o problema dos policiais.”
Alheio à alegação de insuficiência orçamentária, o deputado toma as dores dos PMs –“profissionais que têm família e dão a vida para garantir a nossa vida”— de olho em potenciais eleitores –“um policial carioca não pode ganhar menos de R$ 1 mil.”
Afaga também os soldados de outras praças, adiantando o voto: “Os policiais de outros Estados também não podem ganhar menos do que tem direito. Antecipadamente, digo que vou votar a favor dos policias.”
Como que receoso de tomar um cartão vermelho, perte de três da madrugada, Romário retirou-se de campo: “Vou parar por aqui pra não dar mais porrada. Boa noite! Valeu!”


Fonte: www.uol.com.br

terça-feira, 7 de fevereiro de 2012

Cigano diz que ganharia de Tyson no MMA


Ex-campeão de boxe pelos pesos pesados, o norte-americano Mike Tyson declarou ao programa MMA Inside que seria “muito interessante” lutar vale-tudo. Mas o brasileiro Junior Cigano disse não acreditar no sucesso do pugilista no UFC.
“Sou um grande fã do Mike Tyson. Gostaria de vê-lo lutando, não sei se ele se sairia muito bem no MMA. O negócio dele é no boxe, queria vê-lo lutando boxe. Se ele for para o MMA, acho que vai ser como foi com James Toney”, declarou Cigano ao jornal baiano A Tarde, citando o ex-campeão de boxe que perdeu para Randy Couture em sua primeira e única luta no MMA.
Quanto a um hipotético combate entre Mike Tyson e Junior Cigano, o campeão dos pesados do UFC se garantiu: “Mike Tyson nocauteado, com toda a certeza. Pode ser no boxe, no MMA. Se eu não acreditar em mim, se eu não confiar em mim, ninguém vai. Então se rolasse uma luta entre Cigano e Tyson, ele seria nocauteado”.
Tyson elogiou o MMA ao dizer o seguinte: “Imagine estar em uma luta de boxe com alguém que tem socos e técnicas melhor que os seus. Não há muito o que fazer. Mas se você estiver em desvantagem, por que não agarrar alguém, jogar no chão e aplicar um estrangulamento ou chave? Por isso, já disse e repito: lutar MMA seria muito interessante”.

quarta-feira, 25 de janeiro de 2012

Recomendações para o fim do Horário de Verão 2011/2012


Este comunicado tem como objetivo fornecer informações sobre os planos e as atividades da Microsoft com relação ao fim do “Horário de Verão 2011/2012”.
Neste ano de 2012, segundo o Decreto nº 6.558 de 8 de setembro de 2008, publicado no Diário Oficial da União, a partir das 0:00h do dia 26 de Fevereiro de 2012 terminará o horário de verão no Brasil válido para as regiões Sul, Sudeste, Centro-Oeste e o estado da Bahia.
A Microsoft, comprometida com seus clientes e parceiros, já disponibilizou alguns procedimentos para o ajuste correto dos horários em computadores domésticos e corporativos que possuírem Windows 2003, Windows XP e Office 2003, descritos no seguinte site:
Importante:
  • Os clientes que precisarem de assistência técnica no Horário de Verão 2011/2012 podem entrar em contato com o Gerente Técnico da Conta ou diretamente com o suporte Microsoft, enviando um e-mail através do “Fale Conosco” (http://support.microsoft.com/contactus) ou pelos telefones:
    • (11) 4706-0900 para Capital e Região de São Paulo
    • 0800 761 7454 para as demais regiões do país
Estados que não participam do Horário de Verão 2011/2012
Com relação aos usuários de Windows que residem em estados que não participam do horário de verão só é preciso adotar o fuso horário adequado para região onde residem. Esse assunto também foi discutido no seguinte artigo que foi publicado em fevereiro de 2010:
Importante:
  • A Bahia adotou este ano o DST. Para servidores/clientes que estejam na Bahia a recomendação é mudar o time zone de “GMT-3 Cayenne Fortaleza” para “GMT-3 Brasília”, ou caso instale o KB 2633952, mude para o time zone que foi criado para a Bahia "(GMT-3: 00) Salvador".
  • Fiquem atento aos pré-requisitos de service pack necessários para instalar o hot fix. Como sempre, você deverá estar numa versão suportada de service pack para atualizar com o KB novo.
Nossa equipe técnica e de atendimento está à disposição para apoiá-los em caso de dúvidas nos procedimentos citados acima.

Fonte: http://www.microsoft.com

BlogBlogs.Com.Br