Categoria: Segurança da Informação

CFID – Em módulos, aproveite

CFID – Em módulos, aproveite

por | mar 25, 2020 | , , , , , , , , | 0 |

CFID – COMPUTAÇÃO FORENSE E INVESTIGAÇÃO DIGITAL

O curso de Computação Forense e Investigação Digital, a partir de agora poderá se adquirido em módulos.

O treinamento conta com mais de 50 aulas, sendo adicionadas novas aulas periodicamente, 25 horas de vídeos, material em PDF, acesso ilimitado garantido pela Udemy.

Este curso tem como objetivo apresentar os conceitos da Computação Forense e métodos de Investigação Digital, sendo baseado no conteúdo apresentado nas certificações mais conhecidas do mercado. Ao final o aluno terá condições de atuar como analista em forense computacional, consultor, perito judicial em computação forense, entre outras áreas de atuação de um especialista em computação forense.

“O compromisso com a verdade no cumprimento da justiça”

consulte Mais informação
Estabelecimentos comerciais podem exigir CPF para a venda?

Estabelecimentos comerciais podem exigir CPF para a venda?

por | mar 6, 2020 | , | 0 |

Ao que consta em meus conhecimentos, a resposta é simplesmente NÃO, não sou obrigado a fornecer meu CPF, e não precisamos aguardar a LGPD entrar em vigor para nos abster, no entanto, para embasar meu argumento, fiz uma pesquisa em diversos artigos relacionados ao assunto, e a resposta não foi diferente, normalmente quando o cliente questiona o motivo, os atendentes dizem que é para a concessão de descontos ou para cadastro, e o consumidor NÃO é obrigado a informar seu CPF para estes fins. O mesmo vale para seu endereço, se a empresa não irá entregar em o produto em sua casa, para que ela precisaria saber seu endereço?

Caso não haja nenhuma regulamentação que exija este tipo de informação, como a compra de remédios controlados, imóveis ou automóveis, o consumidor tem o direito de recusar fornecer qualquer tipo de dado pessoal numa compra e ao mesmo tempo, o estabelecimento comercial terá o direito de não fornecer o desconto.

consulte Mais informação
Falhas críticas da Cisco, PoC e explicação técnica

Falhas críticas da Cisco, PoC e explicação técnica

por | jan 17, 2020 | , , , , , , , | 0 |

Artigo traduzido:
“TL; DR
Neste post, compartilho três (3) cadeias completas de exploração e várias primitivas que podem ser usadas para comprometer diferentes instalações e configurações do produto Cisco DCNM para obter a execução remota não autenticada de código como SYSTEM / root. Na terceira cadeia, eu (ab) uso a classe java.lang.InheritableThreadLocal para executar uma cópia superficial para obter acesso a uma sessão válida.”

consulte Mais informação
Explorando a vulnerabilidade do Windows CryptoAPI – PoC

Explorando a vulnerabilidade do Windows CryptoAPI – PoC

por | jan 16, 2020 | , , , , , , , | 0 |

Em um nível alto, essa vulnerabilidade tira proveito do fato de que o Crypt32.dll falha ao verificar corretamente se os parâmetros da curva elíptica especificados em um certificado raiz fornecido correspondem aos conhecidos pela Microsoft. Curiosamente, a vulnerabilidade não explora propriedades matemáticas exclusivas das curvas elípticas – o mesmo bug exato poderia ter se manifestado em uma biblioteca de verificação de assinatura DSA normal. Portanto, para evitar entrar no mato da criptografia de curva elíptica, primeiro vamos examinar como esse bug teria funcionado se o Crypto32.dll usasse o DSA normal.

consulte Mais informação
Sobre o Oxygen Forensic® Detective

Sobre o Oxygen Forensic® Detective

por | jan 9, 2020 | , , , , | 0 |

O Oxygen Forensic® Detective é o principal produto, um pacote de software forense digital completo que extrai e analisa dados de várias fontes digitais: dispositivos móveis, seus backups, cartões SIM e de mídia, serviços em nuvem, PCs, dispositivos IoT, smartwatches e drones. Como o tempo é sempre o desafio nas configurações forenses digitais, o Oxygen Forensic® Detective permite aos usuários extrair, analisar e extrair insights de dados 50% mais rápido do que qualquer outra empresa no mercado. Dispositivo móvel, nuvem, computador e outras extrações podem ser mesclados em uma única GUI intuitiva com recursos analíticos avançados, disponíveis sem custo adicional.

consulte Mais informação
QRLJacking e o sequestro de Whatsapp

QRLJacking e o sequestro de Whatsapp

por | nov 21, 2019 | , , , , , , , | 0 |

QRLJacking e o sequestro de Whatsapp

Neste vídeo além do QRLJacking, apresento as técnicas de Engenharia Social, MITM, DNS Spoofing e Session Hijacking.

“O QRLJacking ou o código de resposta rápida, é um vetor de ataque de engenharia social simples capaz de sequestrar sessões afetando todos os aplicativos que dependem do recurso “Login com código QR” como uma maneira segura de acessar contas.”

consulte Mais informação
Decisões de Adequação, BCRs e Whitelists: Entendendo Transferências de Dados Transfronteiriços na Era da GDPR

Decisões de Adequação, BCRs e Whitelists: Entendendo Transferências de Dados Transfronteiriços na Era da GDPR

por | jul 4, 2019 | , , , , | 0 |

para continuar as relações comerciais com a UE no âmbito do GDPR, muitos países não pertencentes à UE buscaram acordos de adequação nos últimos meses. Os acordos de adequação minimizam consideravelmente a carga regulatória sobre as organizações que precisam transferir dados internacionalmente para realizar negócios. Para obter um acordo de adequação, esses países devem aprovar seus próprios regulamentos de privacidade que correspondam de maneira suficiente aos requisitos do GDPR. Atualmente, a Comissão Europeia reconheceu 11 países ou territórios, incluindo Argentina, Israel, Nova Zelândia e Japão , como fornecendo proteção de dados adequada.

consulte Mais informação
Perguntas e respostas sobre o GDPR

Perguntas e respostas sobre o GDPR

por | jun 5, 2019 | , , | 0 |

Em um webinar sobre o novo regulamento da UE GDPR (General Data Protection Regulation), regulamento que afeta todas as empresas e instituições públicas da União Europeia, bem como empresas estrangeiras que operam na EU, a empresa Safetica recebeu e respondeu diversas perguntas sobre o tema.

Dada a semelhança entre a GDPR e a LGPD Lei Geral de Proteção de Dados, podemos analisar o questionário e adequar ao cenário brasileiro.

consulte Mais informação
Usando computação forense para investigar roubo de dados por funcionários

Usando computação forense para investigar roubo de dados por funcionários

por | Maio 7, 2019 | , , , , , , , | 0 |

Funcionários que saem têm um senso de propriedade sobre os dados que eles copiam. A propriedade intelectual comumente roubada inclui listas de clientes, fórmulas secretas, código-fonte, documentos estratégicos e outros segredos comerciais. As informações costumam ser usadas contra a organização quando o ex-funcionário vai trabalhar para um concorrente ou decide abrir uma nova empresa.
Quando surgem suspeitas de roubo de dados por funcionários, é importante contratar um perito em computação forense para realizar uma aquisição do material para análise, a fim de preservar os dados eletrônicos e descobrir evidências importantes.

consulte Mais informação
Pentest PCI, LGPD e GDPR – GALAXPAY

Pentest PCI, LGPD e GDPR – GALAXPAY

por | abr 24, 2019 | , , , , , , , , | 0 |

[parte do resultado de um pentest] #csrf #xss #sqlinjection
Os testes de intrusão podem descobrir vulnerabilidades ou possíveis violações antes de qualquer outra pessoa, o que acaba lhe poupando a dor da divulgação de violações.
O GDPR criará a razão perfeita para fazer testes regulares de intrusão, mas, quando se trata de testes de intrusão, é útil para qualquer equipe. A maioria dos profissionais de segurança pode se relacionar com a placa completa que os outros no setor têm. Além de apenas identificar vulnerabilidades antes da exploração no mundo real, os testes de intrusão ajudam as equipes a priorizar as correções de segurança com base na gravidade e no impacto de diferentes descobertas.
Além de quaisquer requisitos específicos, o GDPR tem severas penalidades por uma violação de segurança, com organizações que enfrentam penalidades de até 20 milhões de euros, ou 4 por cento do faturamento anual global, o que for maior. Com impactos financeiros, controles proativos pesados e completos são essenciais.
Da mesma forma a LGPD (Lei Geral de Proteção de Dados), exige certos cuidados e relatórios de conformidade. O Pentest (teste de intrusão) poderá fornecer provas antecipadas para as empresas, bem como aumentar significativamente a segurança de seu ambiente.
Uma empresa que declare que possui testes de intrusão sendo executados regularmente, certamente irá ter um grande diferencial e sair na frente, passando mais confiança aos seus clientes, colaboradores, investidores, etc…

No final de 2018, uma empresa online, chamada GALAXPAY, que trata pagamentos recorrentes e outras operações financeiras, entrou em contato para que fosse executado um Pentest, para validar a conformidade com o PCI. Sendo assim, a empresa além de estar em conformidade com o PCI também estará um passo a frente nas questões de segurança, incluindo também, os requisitos mínimos para a LGPD.

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) foi desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e facilitar a ampla adoção de medidas consistentes de segurança de dados globalmente. O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados do portador do cartão. O PCI DSS aplica-se a todas as entidades envolvidas no processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e provedores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados de titulares de cartão (CHD) e/ou dados de autenticação confidenciais (SAD).

consulte Mais informação
Carregando