A Hardsecure surgiu em 2011, através de uma equipa com elevado background na componente de cyber. O aumento exponencial do volume e sofisticação dos ataques informáticos criou a necessidade de uma empresa completa, que oferece serviços personalizados, que permitem aumentar a segurança das organizações. A Hardsecure possui uma equipa altamente especializada, que presta serviços desde consultoria à implementação de medidas de antecipação. Atualmente, a segurança do sistema de informação nas organizações, deve ser encarada de forma proativa, através da adoção de políticas de segurança que garantam a confidencialidade, integridade, autenticidade, não repúdio da sua informação, bem como, do bom funcionamento da infraestrutura de IT. Além disso, as organizações devem estar preparadas para enfrentar ameaças ao nível dos ciberataques, através da adoção de capacidades de cibersegurança que garantam uma visibilidade, mitigação e bloqueio em 360º, através da utilização de capacidades internas que garantam a análise heurística e comportamental do tráfego na rede de dados, até precaver a ocorrência de cibertaques que aconteçam em qualquer parte do mundo e que possam influenciar de forma direta ou indireta a sua organização. Apoiamos as organizações no sentido de ficarem preparadas para enfrentar ameaças ao nível dos ciberataques.

Notícias e tendências do setor

Partilha de Conhecimento

Junta-te à equipa

Básico

Reativo

Proativo

Produtivo

Garantimos a configuração de Certificados de Autoridade, Revogação e Gestão do Ciclo de Vida de certificados/entidades digitais, incluindo a formação adequada ao pessoal da autoridade de registo (Estruturas PKI). Ligação e autenticação seguras através da criação e gestão de certificados digitais, criando ligações autênticas e seguras entre ativos dentro e fora da organização, através do estabelecimento de cadeias de ligação certificadas (ou seja, estabelecimento apenas de sessões entre ativos reconhecidos internamente e externamente).

O Serviço de Monitorização de Incidentes de Segurança, fornece a monitorização de todos os ativos (internos ou externos), que estejam dentro do âmbito que venha a ser definido, para detetar e identificar ameaças e Indicadores de compromisso (IoC), a fim de assegurar a monitorização da segurança no ambiente da organização em tempo real.

O Serviço de Cibersegurança no âmbito de Sistemas de Controlo Industriais, fornece mecanismos, processos e técnicas sobre como proteger Sistemas de Controlo Industrial, incluindo sistemas de Controlo de Supervisão e Aquisição de Dados (SCADA), Sistemas de Controlo Distribuído (DCS), e outras configurações de sistemas de controlo, tais como Controladores Lógicos Programáveis (PLC), de forma a garantir o seu desempenho, fiabilidade e requisitos de segurança.Os nossos serviços fornecem uma visão geral da segurança para ICS, bem como topologias típicas de sistemas, identificando ameaças e vulnerabilidades orientados a estes sistemas, fornecendo e recomendando contramedidas de segurança para mitigar os riscos associados.

A Hardsecure tem um serviço que fornece a Revisão do Código de acordo com as melhores práticas de Cibersegurança, criado como um processo de auditoria do código fonte para aplicações e/ou base de dados. Permite verificar se os controlos de segurança estão adequados e atualizados, se funcionam como pretendido, e se estão a ser aplicados de forma correta.A nossa revisão ao Código/Aplicações assegura que uma aplicação ou base de dados foi desenvolvida de modo a estar segura no seu ambiente de produção.

O Serviço de Arquitetura Zero Trust (ZTA) é um serviço de estratégia de Cibersegurança empresarial baseado nos princípios da confiança e concebido para prevenir violações de dados e limitar o movimento lateral interno de malware ou acessos não autorizados.A nossa framework (baseada na NIST 800-207) garante a criação de uma ZTA, baseada em componentes lógicos e criação de cenários de vulnerabilidades e ameaças.Apresenta também um percurso para as organizações que desejem migrar para uma abordagem baseada na conceção da confiança na infraestrutura de rede, discutindo políticas organizacionais relevantes que possam ter impacto ou influenciar uma estratégia de arquitetura de confiança.

O Serviço de Compliance no âmbito da Cibersegurança garante que os ativos estão de acordo com as melhores práticas, standards e frameworks ao longo do tempo, protegendo a confidencialidade, integridade e disponibilidade dos bens e ativos críticos da organização.Torna-se necessário implementar um programa eficaz, com uma visão holística das necessidades de segurança da organização, e implementar os controlos físicos, técnicos e processuais adequados para cumprir com o programa.

Fornecimento de serviços especializados para a implementação, configuração e gestão de software de segurança no endpoint do cliente. Estes serviços destinam-se a proteger os endpoints do cliente contra ataques e possíveis comprometimentos. O serviço para proteção dos endpoints, consiste na execução dos seguintes controlos obrigatórios/opcionais: Antimalware. Prevenção de Intrusão Host-based (HIPS). Navegação segura na web. Firewall. Gestão e controlo de forma centralizada dos endpoints. Proteção de equipamentos de mídia removíveis. Prevenção de fugas de dados (DLP). Encriptação. Proteção contra malware e configuração de protocolos de segurança (SPF, DKIM, DMARC,…) para o serviço de email. Gestão de atualizações dos ativos ligados na rede de dados. Endpoint Detection and Response. Medidas de segurança que impedem a utilização de suportes amovíveis não autorizados para armazenamento de informação. Diretrizes de configuração para o hardening com base em boas práticas de segurança (standards, frameworks e guidelines dos fabricantes).

Este serviço conjuga vários tipos de sub-serviços, onde cada um fornece recursos específicos de cibersegurança, fornecendo atividades de suporte e desenvolvimento adequados e customizados para o departamento de TI da organização, terceirizando desta forma, as suas necessidades de segurança e cibersegurança da organização.

Os serviços Implementação do Standard PCI-DSS (Payment Card Industry - Data Security Standard) e PA-DSS (Payment Application Data Security Standard) fornecem uma linha de base de requisitos técnicos e operacionais concebidos para proteger os dados relacionados com transações eletrónicas e pagamentos por cartão de débito ou crédito.O PCI-DSS aplica-se a todas as entidades envolvidas no processamento de cartões de pagamento - incluindo comerciantes, processadores, compradores, emissores e prestadores de serviços, bem como a todas as outras entidades que armazenam, processam ou transmitem dados de titulares de cartões de pagamento (CHD) e/ou dados sensíveis de autenticação (SAD).O objetivo do PA-DSS é ajudar os fornecedores de software e outros a desenvolver aplicações de pagamento seguras que não armazenem dados dos cartões, tais como informação de CVV2 ou PIN, e assegurar que as suas aplicações de pagamento suportam a conformidade com o PCI DSS.

O serviço de Segurança de Perímetro garante uma interligação segura entre diferentes redes, a fim de proteger a informação chave de uma organização. O serviço é composto principalmente por um conjunto de funcionalidades de perímetro colocadas à disposição do cliente, ao nível de hardware (subscrições, suporte e manutenção) ou na cloud, onde o cliente apenas paga o serviço.

Este serviço garante uma capacidade em tempo real de identificação/deteção, contenção, remediação e recuperação de incidentes de segurança que ocorram na organização, dentro do âmbito que esteja a ser monitorizado. O serviço permite uma resposta eficaz e eficiente, atuando no imediato face à ocorrência de problemas de segurança detetados e/ou reportados na organização, garantindo um acompanhamento adequado do incidente de segurança.

O Serviço de Helpdesk do Centro de Operações de Segurança fornece aos clientes um ponto de contacto único para incidentes, pedidos e conselhos relacionados com Cibersegurança, bem como boas práticas na configuração de equipamentos de segurança.

O Serviço de Auditoria de Segurança fornece uma visão real do estado de segurança da organização, baseado nos controlos dos principais standards e frameworks internacionais (série ISO27000, NIST SP 800-53, NIST SP 800-171, NIST CSF, CIS Controls, entre outros). Além disso, garantimos a integração com áreas de conhecimento de gestão de riscos, governance, práticas de auditoria e aplicação de controlos para assegurar a conformidade com leis, regulamentos e padrões, de forma centralizada na organização.

Serviço de Awareness no âmbito da Cibersegurança, permite: Fornecer suporte aos clientes, com o objetivo de apurar o nível de conhecimento e informação que os utilizadores finais possuem sobre as ameaças à cibersegurança; o que a rede de dados da sua organização enfrenta e quais os riscos que apresenta. Os utilizadores finais são considerados o elo mais fraco e a vulnerabilidade primária numa rede. Os utilizadores finais são uma grande vulnerabilidade, onde os meios técnicos para melhorar a segurança não são suficientes, havendo necessidade das organizações fazerem formações e awareness, para uma conscientização pessoal sobre a cibersegurança e alertar os colaboradores sobre as atuais ameaças e riscos, e como as mitigar/bloquear. As pessoas desempenham um papel vital na Cibersegurança. Não existem processos ou tecnologias capazes de resistir a um erro humano. Portanto, aumentar a consciencialização é vital para aumentar a segurança, mas é necessário envolver as pessoas. O objetivo do awareness sobre Segurança Cibernética é envolver todos os colaboradores e educá-los para a mudança de hábitos e endossar a segurança como atitude. A comunicação e sensibilização sobre o risco. Educar todas as partes para compreender o risco associado na utilização de ativos de CIS, nomeadamente para os objetivos que lhes estão atribuídos.

A gestão de riscos de terceiros, também conhecida como gestão de riscos de fornecedores, é o processo utilizado para identificar, analisar e gerir os riscos colocados pelas relações e atividades que são estabelecidas com terceiros. Um terceiro é qualquer pessoa ou entidade ligada às operações da sua organização, mas não faz parte da estrutura da empresa. O serviço de gestão de risco de terceiros permite determinar quais os fornecedores que melhor aderem aos standards da sua organização relativamente aos requisitos de segurança de informação, cibersegurança, conformidade regulamentar, privacidade de dados, entre outros.

 A equipa do Serviço de Análise e Inteligência de Ameaças Cyber (CTI) fornece aos clientes informações sobre ameaças e APT’s (Advanced Persistent Threats), que ajudam a mitigar e a prevenir ações externas contra os nossos clientes e parceiros. Monitoriza de forma contínua e constante a procura de novos vetores de ataque bem como novas vulnerabilidades nas instituições que possuem parcerias com a Hardsecure. As fontes de inteligência de ameaças cyber incluem inteligência via OSINT, intel via meios de comunicação social, intel humana, intel técnica ou intel via deep e dark web, redes Tor, Freenet, I2P, Rifle e outras.

O Serviço de Análise Forense permite apurar de forma detalhada determinadas ações que foram realizadas num ativo da organização, sendo realizadas ações para melhor compreender as ameaças à segurança, para apoiar a compreensão, mitigação, reparação de incidentes e para recolher provas “probatórias” para um processo judicial ou processo interno da organização.

O serviço de Pentest & Pentest as a Service consiste na execução de um conjunto de técnicas de ethical hacking, de forma a identificar vulnerabilidades e falhas de configuração de qualquer equipamento IP ligado na rede de dados da organização.

O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor no dia 25 de Maio de 2016 com um período transitório de dois anos para a sua total aplicação. Como se trata de um Regulamento, é diretamente aplicável aos 28 Estados Membros, sem necessidade de qualquer transposição para cada jurisdição, garantindo, assim, a verdadeira harmonização legislativa ao nível da Proteção de Dados em todos os países na União Europeia. A Hardsecure implementa os projetos de RGPD, obedecendo e cumprindo com os requisitos estabelecidos no respetivo regulamento, de forma a garantir que as organizações estão em conformidade, mantendo o alinhamento com o respetivo regulamento.

O E-mail é o serviço informático para troca de informação com maior utilização no mundo das TIC. Tem-se assistido ao aumento do crime financeiro, através da exploração fraudulenta da comunicação empresarial com recurso ao e-mail. Para tal os atacantes, muitas vezes organizações criminosas, utilizam recursos avançados que pretendem ludibriar o alvo quanto à verdadeira identidade do seu interlocutor e à legitimidade da ação a realizar/autorizar. Este tipo de crime, muitas vezes enquadrado em situações de Business E-mail Compromise ou E-mail Account Compromise, em que os atacantes conseguem, através de processos fraudulentos, fazer acontecer pagamentos/transferências bancárias indevidas em seu benefício, representando um risco real e quantitativo para as organizações e para a sua cadeia de valor.Para além da componente financeira, este serviço é utilizado pelos atacantes para a prática de outros ataques, como data leak, exploração de diferente tipo de malware de forma a comprometer o serviço, equipamento do utilizador ou em casos mais complexos (como ransomware) a toda a infraestrutura de TI. É cada vez mais importante assegurar que o serviço de E-mail está corretamente configurado, do ponto de vista da segurança, e que os utilizadores estão devidamente alertados para os cuidados a ter na utilização do E-mail.

A maioria dos websites institucionais entregues à Hardsecure para testes utilizam o Wordpress como o seu próprio CMS (sistema de gestão de conteúdos), na sua maioria porque é o serviço mais simples e mais popular para criar o seu próprio website ou blog, alimentando 42% de todos os websites na Internet. Mesmo que não seja um programador, pode facilmente alterar o seu site com o vasto ecossistema de temas e plugins do WordPress. Na secção abaixo, vamos ver algumas das vulnerabilidades mais comuns verificadas durante os pentests. Vulnerabilidades comuns: Brute Force Attacks, que envolvem múltiplas tentativas e abordagens de erro usando centenas de combinações para adivinhar o nome de utilizador ou passwords corretos. Cross-Site Scripting, também conhecido como ataque XSS. Neste tipo de ataque, o atacante carrega código JavaScript malicioso que, quando carregado no lado do cliente, começa a recolher dados e possivelmente a redirecionar para outros websites maliciosos. WordPress/plug-ins desatualizados são mais suscetíveis de serem afetados por uma ameaça à segurança. Com o tempo, os hackers encontram forma de explorar o seu núcleo e acabam por executar o ataque a websites que ainda utilizam versões desatualizadas. Enumeração do utilizador, é uma forma de encontrar os dados dos utilizadores no seu website. Estas três técnicas de enumeração são uma forma muito rápida de identificar os utilizadores de um WordPress: JSON API, Formulário de Login e Arquivos de Autores. Malware, é um código malicioso que é injetado em temas, plugins desatualizados ou script e extrai dados do website ou insere conteúdo malicioso. DoS/DDoS, DoS é realizado usando uma única fonte, enquanto o DDoS é um ataque organizado realizado por múltiplas máquinas em todo o mundo. Hardening Framework A segurança deve ser algo recorrente! Pode ter problemas graves quando deixa de verificar a segurança do seu website. Neste capítulo, vamos falar das principais medidas para proteger o seu WordPress ou outros CMS. A primeira medida refere-se a passwords fortes, autenticação de dois fatores e com que frequência alteramos as nossas senhas. Estas são três dicas fáceis que devemos utilizar no nosso dia-a-dia. A segunda medida concentra-se nas atualizações. E nem sempre está relacionado com novas funcionalidades; esta poderia conter correções de segurança e estabilidade que são essenciais. No WordPress, temos de ter em atenção os plugins, temas e PHP que cada versão tem 2 anos de suporte. Se o seu website tiver vários utilizadores, não é recomendável todos serem administradores. Bem como alterar o caminho de login, não resolverá todos os problemas, mas pode ajudar contra bots e/ou scripts. Bloquear caminhos URL com a ajuda do WAF é um bom começo para manter os IPs desconhecidos fora, tal como a página de início de sessão. O ficheiro mais importante é o config.php, pode mover este ficheiro, atualizar as chaves de segurança do WordPress para melhorar a encriptação, alterar permissões nestes ficheiros, desativar XML-RPC, ocultar versões do WordPress (quanto menos pessoas souberem a configuração do seu website WordPress melhor), adicionar cabeçalhos de segurança, tais como: Política de segurança de conteúdo X-XSS-Protection Strict-Transport-Security Opções de X-Frame Public-Key-Pins X-Content-Type Utilizar plugins de segurança como iThemes Security e/ou WordFence Security e não esquecer de utilizar sempre ligações seguras (HTTPS, SFTP). Notas finais Existem mais de 55,000 plugins WordPress! A melhor escolha que pode fazer é utilizar os que têm altos índices de satisfação e que são frequentemente atualizados porque, como vimos acima, estas atualizações são importantes para a integridade do seu website.Lembre-se de instalar apenas os necessários e se quiser jogar com segurança, é melhor criar um ambiente de testes ou desenvolvimento para testar primeiro. Por: Ricardo Araújo, Pentester na Hardsecure.

Não é surpreendente, que o Ransomware continue a ser a ciber-ameaça mais comum, e que nenhuma empresa ou rede esteja a salvo dela. O que começou com algumas disquetes comprometidas em que foi pedido às vítimas que pagassem 189 dólares, é agora uma indústria de cibercrime de mil milhões de dólares com potencial para causar danos em todo o mundo. De acordo com os relatórios da SonicWall, 2021 tem sido o ano mais ativo em termos de ransomware, com ataques a aumentar 148% no terceiro trimestre de 2021, sendo os valores de pedidos de resgate os maiores até à data. Dada a forma como o cibercrime avança, as organizações começam a mudar para uma abordagem de ciber resiliência e de assumir um ataque como inevitável. As estratégias de defesa melhoraram, o backup de dados críticos para as empresas é agora quase uma norma, e a adesão a apólices de ciber-seguros também está a aumentar. O ciber-seguro existe para salvaguardar as empresas das consequências dos ciberataques, incluindo a cobertura dos custos financeiros de lidar com os incidentes. Mas muitos peritos afirmam que os seguros podem estar a alimentar a indústria do cibercrime, uma vez que as organizações confiam nas suas apólices de ciber-seguros para simplesmente pagarem o pedido de resgate, em vez de adotarem as medidas de segurança que poderiam evitar o ataque em primeiro lugar. Sabemos porque é que submundo do cibercrime tem tanto sucesso (além de ser uma indústria de triliões de dólares) ... São altamente organizados; partilham informação e conhecimentos, e sabem a quem atacar: as organizações que reconhecem como potencialmente mais rentáveis ou com maior probabilidade de pagar um ransomware. Assim, parece lógico que os gangs de ransomware procurem ativamente organizações com apólices de ciber-seguros, uma vez que é a melhor forma de garantir que ganharão dinheiro com campanhas de encriptação. A indústria dos seguros também está preocupada, uma vez que os pedidos e exigências de ransomware não só estão a tornar-se mais frequentes, como também muito mais caros. Como resultado, as Seguradoras já estão a aumentar os seus valores e a exigir provas detalhadas das estratégias de cibersegurança utilizadas pelas empresas que querem comprar ciber-seguros. A seguradora multinacional AXA chegou a anunciar que já não criaria novas apólices de ciber-seguros com cobertura contra extorsão e, coincidência ou não, foi atingida por um ataque de ransomware algumas semanas depois. Também temos agora novos tipos de extorsão, como a Dupla Extorsão, que se tornou padrão. Antes de encriptar os dados, gangues como o REvil extraem informação sensível da rede antes de encriptar os ficheiros. Desta forma, além de encriptarem os dados para o pedido resgate, podem encorajar os seus alvos a pagar o mesmo para evitar a exposição pública dos dados extraídos. A disponibilidade de ciber-seguros não parece estar a ajudar a melhorar a cibersegurança, pelo menos neste momento. Para muitas empresas, a ideia de uma violação de dados e que estes fiquem publicamente disponíveis na Internet faz com que um resgate elevado pareça valer a pena, e se o Seguro o cobrir, não pensarão duas vezes em recorrer ao mesmo. Por: Mara Melão, Cybersecurity Account Executive for EMEA na Hardsecure.

Um website é um conjunto de arquivos HTML conectados através de links de hipertexto, armazenados em um servidor web, ou seja, um computador permanentemente ligado à Internet. Com o avanço das tecnologias, o uso dos websites tornou-se parte do nosso dia a dia. Nesse contexto, a segurança dos websites passou a ser um dos principais requisitos para os utilizadores, programadores e para as organizações. Os utilizadores mal intencionados estão a utilizar métodos cada vez mais sofisticados para comprometer a segurança dos websites e uma das técnicas utilizadas por estes utilizadores mal intencionados é o clickjacking. O clickjacking, também conhecido como um "UI redress attack", é uma técnica maliciosa cujo objetivo é enganar um utilizador web para selecionar algo diferente do que o utilizador percebe que está a selecionar, revelando assim informações confidenciais. O clickjacking permite que um hacker insira uma camada invisível no website, entre seus comandos e o que o utilizador vê no ecrã do dispositivo. Um dos exemplos mais conhecidos do clickjacking foi um ataque contra a página de definições de plugins da Adobe Flash. Ao carregar esta página num iframe invisível, um intruso poderia enganar um utilizador a alterar as definições de segurança do Flash, permitindo que qualquer animação Flash utilizasse o microfone e a câmara do computador. De acordo com a natureza do ataque, o clickjacking possui vários tipos: - Cursorjacking: Esta técnica permite mudar a posição do cursor para um lugar diferente do local onde o utilizador percebe. Assim, o utilizador acredita que está a fazer uma ação enquanto está realmente a fazer outra. - Likejacking: Este tipo de ataque visa coletar os cliques dos utilizadores e direcioná-los para “gostos” em páginas do Facebook ou outras redes sociais. - Cookiejacking: Neste caso, o utilizador é levado a interagir com um elemento UI, fornecendo ao intruso cookies armazenados no navegador. Assim um intruso consegue realizar ações no site alvo em nome do utilizador. - Filejacking: Com este tipo de ataque, o utilizador permite ao intruso aceder ao seu sistema de ficheiros local. - Ataques de gestor de passwords: Este tipo de ataque tem como objetivo enganar os gestores de passwords para tirar partido da sua funcionalidade de preenchimento automático. É difícil reconhecer o clickjacking porque é muitas vezes invisível, contudo, pode conter elementos que revelam sua presença ao utilizador. Por exemplo, alguns anúncios e chamadas com erros ortográficos podem ser indício de que há uma tentativa de roubo de clique. Nas redes sociais, o clickjacking pode ser reconhecido quando alguém compartilha um conteúdo estranho, geralmente com um link de acesso. Devem ser realizados testes para determinar se as páginas do site são vulneráveis a ataques deste tipo de vetor. Os pentesters podem investigar se uma página-alvo pode ser carregada num iframe, criando uma página web simples que inclui um iframe que contenha a página alvo. Um exemplo de código HTML para criar esta página web de teste é a seguir apresentado: Há três métodos que podem ser usados para se defender contra clickjacking: - Impedir que o navegador carregue a página num iframe utilizando os cabeçalhos HTTP (X-Frame-Options ou Política de Segurança de Conteúdos- CSP). - Impedir que os cookies de sessão sejam incluídos quando a página é carregada num iframe usando o atributo de cookie SameSite. - Implementação do código JavaScript na página para tentar evitar que seja carregado num iframe (conhecido como "frame-buster"). Estes métodos são todos independentes uns dos outros, e sempre que possível mais de um deles devem ser implementados de modo a fornecer a defesa em profundidade. A ação do clickjacking pode causar vários danos, visto que através de um clique podemos ser infetados por diferentes malwares e até mesmo permitir que terceiros façam uso da câmara ou do microfone do nosso dispositivo. Nem mesmo o nosso email e as nossas redes sociais estão imunes a este tipo de ataque. Por: Daniel Morais, Pentester na Hardsecure.

CyberTalks é uma Iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança e Cibersegurança através de webinars gratuitos. O projeto, que teve início em Maio de 2020, contou com três ciclos de webinars nas áreas de RGPD, Pentest e SOC (Security Operations Center). Nos dias 16,17 e 18 de Junho de 2020, foi dado o fecho desta temporada de webinars em Portugal, com três sessões sobre SOC e Resposta a Incidentes de Segurança. Durante as sessões de SOC, foram apresentados conteúdos sobre: SOC, Managed Security Services; Metodologias de Resposta a Incidentes de Segurança; Como alimentar o motor do SOC (SIEM) e a nossa solução de SOC as a Service (h-SOC). O QUE É SECURITY OPERATIONS CENTER (SOC) – Fornece recursos centralizados e consolidados de prevenção, deteção e resposta a incidentes de segurança, através de soluções tecnológicas e pessoal especializado. H-SOC A SOLUÇÃO DE SOC AS A SERVICE DA HARDSECURE

Desde sempre que, as entidades públicas e/ou privadas, para prestar a maioria dos seus serviços, nos pedem uma cópia do nosso Cartão de Cidadão. Mas será que é mesmo necessário, as entidades ficarem ou reterem o nosso documento identificativo? A verdade é que este é um hábito entranhado na sociedade desde os tempos em que o nosso documento identificativo era o Bilhete de Identidade. Este sim seria o verdadeiro documento identificativo onde constava (para além do número de identificação civil), nome, fotografia, assinatura, filiação, naturalidade, residência (freguesia e concelho), data de nascimento, estado civil, altura e validade do documento – apenas e só documentos identificativos do titular. Contudo, com o Cartão de Cidadão, à vista, temos outros dados, para além dos identificativos, tendo que ter outros cuidados. De acordo com o art. 2.º da Lei n.º 7/2007, de 05 fevereiro: “O cartão de cidadão é um documento autêntico que contém os dados de cada cidadão relevantes para a sua identificação e inclui o número de identificação civil, o número de identificação fiscal, o número de utente dos serviços de saúde e o número de identificação da segurança social.” Se a principal questão, quando nos pedem uma cópia do Cartão do Cidadão é, justamente, para provar a identidade do seu titular, porque deveremos nós permitir o acesso aos restantes dados, os quais constam no Cartão de Cidadão? Aliás, a Lei n.º 7/2007, de 05 fevereiro, com as suas atualizações, prescreve, no seu art. 5.º (Proibição de Retenção), o seguinte: “1. A conferência de identidade que se mostre necessária a qualquer entidade pública ou privada não permite a retenção ou conservação do cartão de cidadão, salvo nos casos expressamente previstos na lei ou mediante decisão de autoridade judiciária. 2. É igualmente interdita a reprodução do cartão de cidadão em fotocópia ou qualquer outro meio sem consentimento do titular, salvo nos casos expressamente previstos na lei ou mediante decisão de autoridade judiciária.” Ou seja, a Lei proíbe a reprodução do Cartão de Cidadão em fotocópia ou qualquer outro meio, como a digitalização, sem o consentimento do titular (salvo as exceções legais). A Lei n.º 7/2007, de 05 fevereiro, quando refere que as entidades públicas ou privadas estão proibidas de reter ou conservar o documento identificativo para verificar a identidade do titular, elas deverão introduzir os dados no sistema informático, formulário ou plataforma, na presença do titular dos dados. Nem mesmo online é legítima a exigência, uma vez que o Cartão de Cidadão tem chip e código PIN, o qual permite fazer a identificação à distância. Ora, no que reporta ao consentimento do titular dos dados, de acordo com a definição constante do art. 4.º n.º 11 do Regulamento Geral de Proteção de dados (RGPD) é: “uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”. Este conceito deve ser conjugado com vários outros preceitos do RGPD, bem como os considerandos, porém temos sempre que dar destaque aos arts. 6.º, 7.º, 8.º, 9.º e 22.º do RGPD. Sejamos realistas, nestes casos, o consentimento para fornecer uma cópia ou reprodução por qualquer outra forma do Cartão de Cidadão é uma ficção. Pouco importa que o titular consinta formalmente, quando, na esmagadora maioria das vezes não tem hipótese de não o fazer sem incorrer em pesados riscos (os dados são pedidos por uma entidade pública para que um projeto prossiga, p.e.), ou o consentimento é necessário para aceder a bens e serviços indispensáveis, como o contrato de fornecimento de energia, p.e. Mas todos nós sabemos que a realidade é bastante diversa de todo o exposto, devendo tomar outra atitude perante a exigência do Cartão de Cidadão. Em primeiro lugar, quando nos exigem a cópia do Cartão de Cidadão, devemos sempre relembrar que esse pedido é contrário à Lei, mas, se mesmo assim a exigência persistir, devemos questionar qual a Lei que identifica essa obrigatoriedade. Na maior parte das situações não existirá qualquer argumento legal, estando assim aberto o caminho para exigir o Livro de Reclamações, fazer a denúncia ou apresentar queixa nas autoridades judiciais, sendo ao Instituto dos Registos e Notariado (IRN) quem cabe instaurar e instruir o processo de contraordenação, arrecadando o mesmo 40% das coimas como receita própria. É certo e consabido (menos por quem nos exige a cópia do nosso Cartão de Cidadão), que o legislador quis acautelar os perigos existentes e cada vez mais atuais, do furto de identidade. É bastante fácil substituir a fotografia e assinar um contrato com os dados pessoais do verdadeiro titular, causando consequências imensuráveis até se apurar a responsabilidade criminal e não só. Os perigos do furto de identidade são uma realidade cada vez mais presente no nosso dia-a-dia, devendo tomar as devidas medidas para nos salvaguardar, mas este tema fica para uma próxima vez. Por: Mara Almeida Pereira, Legal & Compliance Security Auditor na Hardsecure

Quando uma organização planeia a sua estratégia e os processos de comunicação interna, é comum que surjam dúvidas sobre qual o melhor caminho a seguir, principalmente se for pretendido criar mecanismos de comunicação centralizada. A comunicação é de extrema importância para as empresas de cibersegurança e principalmente para as equipas de SOC, que são a primeira linha de defesa informática em tempo real, pois com a informação estruturada, para além de reduzir possíveis erros operacionais, simplifica as relações entre as diferentes equipas e departamentos que atuam em prol do mesmo fim (exemplo: equipas/departamentos de SOC, Pentest e Cyber Intel), como, garantir uma melhor compreensão do ambiente, defesa e proteção da infraestrutura dos seus clientes. Assim, surge a seguinte questão: "empresas que fornecem serviços de cibersegurança devem centralizar a comunicação ou mantê-la descentralizada?" Para ajudar a responder à questão, seguem algumas das suas características. De um modo geral a Centralização possibilita: Tomadas de decisões e informação divididas entre departamentos; Responsabilidade superior na gestão, por departamento; Maior autonomia para os colaboradores, que deste modo faz apelo à contribuição de cada um, com ideias, produtos ou processos, mas apenas na sua atividade; Acesso limitado à informação (documentos, dados, etc.) relativamente a outros departamentos; Menor partilha de informação interdepartamental; Risco de desencontro de informações; Probabilidade acrescida do surgimento de informação duplicada (dados, emails, entre outros). Já na Descentralização: Maior comunicação entre colaboradores; Comunicação interdepartamental facilitada, contribuindo assim para um objetivo geral comum; Gestão de documentos, dados, emails e transmissão de comunicações; Partilha de informações nos meios que considerem mais adequados e eficazes; Melhor supervisão da informação interna partilhada. Conclusão Estas são apenas algumas das vantagens e desvantagens ao adotar uma comunicação centralizada ou descentralizada. A centralização reduz custos e tempo com possíveis erros por falta de informação, como, por exemplo, a repetição de trabalhos ou a criação de incidentes de segurança (Falsos Positivos) gerados pela atividade de um colaborador do departamento de Pentest durante a sua “atividade normal”, sem que haja comunicação interna sobre o que está em curso, pois ao testarem os sistemas de um cliente, acabam por gerar diversos alarmes para os técnicos que estão a monitorizar a rede do mesmo. Apesar da descentralização ser uma prática muito utilizada por diversas empresas, na área de cibersegurança a centralização da comunicação e das informações é um fator crucial para um melhor funcionamento e contributo global dos diversos serviços prestados. Por: Hugo Moreira, Incident Response Analyst na Hardsecure

Com a atual evolução digital, o número de ataques e ameaças às organizações aumentaram de uma forma exponencial. Como forma de resposta, estas decidiram tomar medidas adequadas por forma a protegerem os seus dados e os seus sistemas de segurança, evitando assim perdas e prejuízos. Assim surge o SOC as a Service, no qual consiste num serviço contínuo de monitorização, deteção, análise e relatórios, dando resposta a incidentes e procedendo à gestão de vulnerabilidades, permitindo assim um comportamento inovador e trazendo diversas vantagens para a área de Segurança de Informação. Como funciona o SOC as a Service? O SOC as a Service é um serviço fundamentado em monitorização, executado de forma remota nas redes, aplicado a todos os equipamentos e outros ativos ligados à organização monitorizada (âmbito dentro de um scope pré-estabelecido). Ou seja, o SOC recolhe eventos de diferentes fontes, analisa, identifica as anomalias e filtra este processo por forma a gerar alertas. Sempre que os equipamentos produzem logs e eventos, estes são recolhidos e correlacionados através de regras de segurança permitindo uma avaliação rápida de milhões de eventos, com o objetivo de identificar irregularidades e posteriormente serem analisadas pelos operadores de SOC. A mais-valia do SOC as a Service deve-se à constante monitorização dos eventos juntamente com os recursos de segurança usados nas organizações, recursos estes que podem ser diversos, entre eles Firewalls, Antivirus, ativos de rede, servidores, aplicações, entre outros. Através dos mecanismos de correlação, este analisa os dados sobre os eventos, enviando estes resultados para uma plataforma chamada Security Information and Event Management (SIEM), com o objetivo de transmitir todos os ataques a um sistema ou rede. Vantagens do SOC as a Service Nos dias de hoje, onde cada vez mais se verificam ataques a infraestruturas ou mesmo roubo de informação, torna-se necessário a constante visibilidade do ambiente de forma a proteger e reduzir a exposição das informações e mitigar os riscos. Assim, através do serviço SOC as a service, todas estas componentes são abrangidas, pois o SOC proporciona uma visão generalizada de todo o ambiente de forma segura e robusta, através de uma operação 24x7, protegendo assim contra os criminosos que podem permanecer escondidos dentro do nosso ambiente corporativo. Portanto, podemos determinar diversos benefícios com a aquisição do SOC as a Service, tais como: Vigilância Constante – monitorização dos sistemas 24x7; Segurança – análise e identificação de ofensas originadas por terceiros; Garantia de Integridade, Disponibilidade e Confidencialidade; Flexibilidade no modelo de gestão do serviço – 100% outsourced, híbrido ou equipa em casa; Avaliação e melhoria continua como componente preventiva; Acesso a profissionais de Cibersegurança altamente qualificados; Acesso a tecnologias de monitorização e inteligência; Relatórios estratégicos para partilha com C-levels; Mais informação qualificada para o suporte na tomada de decisão. O SOC as a Service parte do princípio da continua deteção, contenção, visibilidade, correção e agregação de inteligência. Assim, pode-se concluir que as organizações com este serviço, são muito mais eficientes no que diz respeito a identificar ataques e responder aos incidentes, possuindo uma capacidade preventiva face a novos vetores de ataque. Por: Renato Rodrigues, Incident Analyst na Hardsecure

Se é verdade que a Inteligência Artificial (IA) não é um conceito novo, nem tão pouco recente, também é uma constatação que este ramo da Informática assume maior relevância à medida que impacta no nosso quotidiano e na sociedade, de forma cada vez mais complexa e controversa, pois o seu principal objetivo é a execução de tarefas que seriam consideradas inteligentes, caso fossem executadas por um Humano. Paralelamente, o respeito pelos Direitos Fundamentais do Ser Humanos, como a Privacidade e a Proteção de Dados Pessoais, são igualmente temas não recentes e com uma preponderância crescente, que adquirem contornos legais e impõem requisitos técnicos para o seu cumprimento, cada vez mais definidos e incontornáveis. Na verdade, a dicotomia entre o desenvolvimento de sistemas de IA e os valores éticos, é uma constante da atualidade e a busca do seu equilíbrio é um tema ao qual, natural e progressivamente, dedicamos mais tempo, pois a perceção de que é vital para a nossa sobrevivência assim o impõe. A atravessar a Quarta Revolução Industrial (Indústria 4.0), o ritmo a que a Sociedade evolui, a par das possibilidades e soluções tecnológicas e informáticas emergentes, a recolha de dados em larga escala (Big Data), nomeadamente através de dispositivos ligados à Internet (IoTs), a necessidade destes recorrerem à IA para interpretar a informação que recolhem e gerarem respostas, criando redes inteligentes, já não se compadece com a inércia em relação ao que são os requisitos de privacidade e segurança de informação, nem com a isenção de responsabilidade, quer individual, quer coletiva, quanto às nossas ações e quanto à informação de que somos ou nos tornamos responsáveis. Com efeito, o nosso sentido crítico e a forma como agimos e reagimos, determinam as nossas escolhas e o nosso percurso e evolução, enquanto indivíduos. Permitindo-nos assumir um paralelismo a este nível, poderíamos dizer que a IA artificial concretiza “escolhas” com base em algoritmos, enquanto a inteligência humana, com toda a sua complexidade, nos permite conscientemente assumir as nossas escolhas, as nossas decisões e os nossos comportamentos, mediante o contexto e os nossos valores. Ser eticamente correto, é, definitivamente uma dessas escolhas e é, sem margem de dúvida, na sua génese, uma característica humana. Assumimos frequentemente, e fruto de alguma especulação, que aos sistemas de IA são mais aproximados do raciocínio de um Humano e da plenitude do cérebro humano, do que são de facto. Prova deste receio é a necessidade constante de balizar os limites de atuação e do próprio desenvolvimento/suas repercussões, de forma a evitar que se invertam os papéis. Os algoritmos permitem efetivamente a resolução de problemas, com base na leitura e compreensão da linguagem e a aprendizagem, recorrendo a raciocínios lógicos. Mas, qual o caminho a percorrer até obter informação que permita gerar algoritmos a ponto de atingir este patamar? O Próprio Ser Humano, a forma como organicamente se geram os pensamentos, as decisões, serão algum dia, possíveis de “replicar”? E se forem, não estaremos nós a desvirtuar os princípios de Individualidade, de respeito pelos direitos e liberdades do Ser Humano e a subverter os princípios éticos que deverão preceder e acompanhar qualquer processo de desenvolvimento (tecnológico)? Por outro lado, poderá algum dia um algoritmo definir o que precede a tomada de decisão individual e todas as vivências e variáveis quer ambientais, quer individuais, que a determinam? Quando um software desenvolvido com base em IA, por exemplo “machine learning”, “toma decisões” recorrendo a um algoritmo, não estará a considerar o Ser Humano apenas um “robot artificialmente inteligente” e a reduzi-lo a um conjunto de informações e raciocínios lógicos, menosprezando a sua génese? Quando definimos um perfil, com base em inputs e informações recolhidas de um indivíduo, como é o caso do que se obtém a partir dos dados pessoais a que temos acesso e podemos tratar, não estaremos nós também a assumir exatamente este pressuposto, quanto aquele ou aqueles indivíduos? Na verdade, não será de todo irrealista considerar a hipótese de que a IA poderá assemelhar-se à “consciência Humana”, na tomada de decisões. Mas esta semelhança pressupõe ação humana e programação e, no caso de “machine learning”, por exemplo, a aprendizagem está limitada à informação que é recolhida e tratada até ao momento e que permite inferir resultados. Se bem que existem já exemplos controversos que nos levam a questionar a capacidade de sistemas de IA comunicarem em linguagem própria e poderem aprender a ser criativas, até ao momento, podemos considerar que recriar o cérebro humano em todas as suas valências e conseguir recriar uma das suas maiores potencialidades, a que permite desenvolver a criatividade, enquanto, ainda será uma completa utopia, sendo que cada sistema de IA é limitado a um conjunto de ações para cada finalidade, no âmbito em que é criado. Assim, teríamos de repensar o próprio conceito de criatividade e do ato de criar, que pressupõe criar algo novo sem partir de nenhuma informação pré-existente ou assumir que aprender por repetição um processo criativo, se pode considerar uma nova abordagem à definição de criatividade. De qualquer das perspetivas, CRIAR implica SER e SENTIR… Andreas Kaplan e Michael Haenlein definem a inteligência artificial como “uma capacidade do sistema para interpretar corretamente dados externos, aprender a partir desses dados e utilizar essas aprendizagens para atingir objetivos e tarefas específicas através de adaptação flexível”. No entanto, e não sendo possível, prever como evoluirá a ciência, e a neurociência, e como esta “integração” poderá vir a ser possível, é necessário tomarmos consciência dos riscos associados aos benefícios, quando falamos de progresso e desenvolvimento. Idealmente, devemos tentar antecipar-nos a consequências danosas e prejudiciais que desvirtuem o benefício que deverá ser o foco primordial do desenvolvimento. A capacidade para coletar, tratar, interpretar toda a informação, proveniente de todos os nossos sentidos, permitindo ter emoções, memórias e SER, é o que nos define enquanto Indivíduos e nos distingue de uma “máquina ou sistema”, mas também o que nos torna permeáveis a influências e a ser “parcialmente programáveis”. O equilíbrio entre o desenvolvimento de sistemas de IA, a sua influência no comportamento humano e a recolha e tratamento de informação acerca desse mesmo comportamento humano, definindo perfis, de forma a permitir este “ciclo de influência” e resultados através da programação e da aprendizagem pelo raciocínio lógico, impõe-se que seja uma constante quando falamos de IA e de desenvolvimento. Como poderemos assegurar o respeito pelos direitos fundamentais do Ser Humano, como é o caso da sua privacidade, se assumirmos que o Ser Humano está ao serviço da tecnologia e do desenvolvimento e não o inverso? Para além das questões basilares de licitude e legitimidade de tratamento dos dados pessoais, ser-nos-á realmente possível reconhecer os limites inerentes a uma finalidade, quando falamos de desenvolvimento de sistemas de IA? Regulamentações de proteção de dados, como o Regulamento Geral sobre Proteção de Dados, têm surgido com o objetivo de impor também estes limites, de normalizar procedimentos, de promover a implementação de medidas de controlo e de promover o desenvolvimento de padrões de ética, apelando ao sentido de responsabilidade pessoal, corporativa e coletiva. A reflexão que se impõe: serão as medidas atuais, os mecanismos existentes e os quadros legislativos em vigor, suficientes para que, na corrida ao desenvolvimento com base na IA, onde buscamos reproduzir e aperfeiçoar comportamentos/ações humanas, salvaguardemos o respeito pela Individualidade, pela privacidade e pelos direitos e liberdades do Ser Humano? Inevitavelmente, as motivações que impulsionam o desenvolvimento, nomeadamente o que assenta em IA, são reflexo da forma como os mercados condicionam as organizações a preterir os princípios éticos a favor do retorno financeiro. Urge conseguir este equilíbrio, impondo e ajustando os limites e os requisitos legais, mas também promovendo e assumindo visões e posturas cada vez mais humanistas, mais conscientes, responsáveis e eticamente corretas, que visem claramente o desenvolvimento da tecnologia e da IA como alavanca de crescimento e evolução das Sociedades e do Indivíduo. Por: Lara Silva, Legal & Compliance Security Auditor na Hardsecure

A Hardsecure/Progroup irá participar na 2ª CNSI (Conferência Nacional de Segurança Informática) entre os dias 25 - 27 de Março de 2015 no Talatona Convention Centre em Luanda/Angola. Será um evento com o objetivo de trazer as principais discussões acerca da evolução tecnológica mundial no âmbito da segurança informática, reunindo os principais empreendedores, tecnólogos, Gestores de TIC, Gestores de serviços IP, Administradores de Sistemas e Universitários.

O Ransomware é um tipo de malware que restringe o acesso ao sistema infetado e cobra um valor de "resgate". Os antivírus nem sempre são eficazes na sua resolução, sendo que a Hardsecure tem garantido a resolução deste malware através da execução de técnicas de análise forense e recuperação de informação.

Dia 21 de Abril de 2016 irá decorrer na Comunidade Intermunicipal Viseu Dão Lafões (CIM VDL) a apresentação da tecnologia Kaspersky, quer ao nível de soluções de endpoint security, quer ao nível de soluções/serviços de cibersegurança. Estarão presentes os municípios que fazem parte desta CIM, bem como entidades interessadas em participar no evento (devem as entidades fora da comunidade que estejam interessadas em participar no evento, entrar em contacto com a Hardsecure).

A TecPro-IT surge como uma spin-off da Hardsecure de forma a colmatar lacunas no mercado de TI, na prestação de serviços especializados em áreas como Segurança e Cibersegurança, Sistemas, Networking e Desenvolvimento avançado de soluções à medida das organizações.

A Hardsecure, no âmbito da parceria que possui com um dos melhores fabricantes de segurança mundiais, participou no evento da Palo Alto, convidando os seus parceiros/clientes para fazerem parte desta grande família. Novas soluções e serviços de segurança na cloud foram apresentados e demonstrados ao longo do evento.

O “Bugcrowd Bug Bashes” é um evento que reúne equipas com os maiores Whitehat Hackers do mundo num ambiente divertido, interativo e educacional, com o objetivo de descobrir vulnerabilidades críticas. A Hardsecure, no âmbito dos serviços de Pentest e Resposta a Incidentes de Segurança, vai participar nos Estados Unidos com consultores de Cyber neste evento.

Com um histórico de mais de duas décadas, a Progroup é uma empresa com uma vasta experiência em gestão de projetos em Angola, com foco em soluções integradas de elevada qualidade para empresas em diversos sectores. Dentre as soluções fornecidas, destacam-se: Gestão patrimonial; Segurança física de pessoas e bens; Segurança eletrónica e Manutenção e Gestão Integrada de Projetos. Com o objetivo de fornecer as melhores soluções de Segurança e Cibersegurança aos seus clientes, a Hardsecure e a Progroup estabeleceram uma parceria de valor acrescentado para o mercado angolano, no âmbito de soluções, serviços e formação de quadros especializados nas áreas de Proteção de Dados, Auditoria e Compliance, Resposta a Incidentes de Segurança, Awareness, Testes de Intrusão / Vulnerability Assessement, Controlo de Qualidade de Código, entre outras valências. A partir deste mês, o projeto CyberTalks, que tem como objetivo a sensibilização e informação nas áreas de Segurança e Cibersegurança através de webinars gratuitos, irá além fronteiras. Esta iniciativa, no mercado angolano, será organizada pela Hardsecure e pela Progroup. Nos próximos meses falaremos sobre: Pentest – Segurança da Informação, Gestão e Mitigação de Riscos SOC e Resposta a Incidentes de Segurança Scorecard - Third-party Risk Management

A Hardsecure passa a integrar a Rede Nacional CSIRT reforçando o seu contributo para o desenvolvimento de uma cultura de segurança informática em Portugal. A Rede Nacional CSIRT é um fórum de partilha de informação, de carácter operacional, que potencia a cooperação entre agentes do setor, estabelecendo laços de confiança entre agentes responsáveis pela segurança informática. Enquanto membro da Rede Nacional CSIRT a Hardsecure terá como responsabilidades reportar incidentes de segurança informática, facilitar a troca e partilha de informação entre as equipas participantes, promover a recolha de indicadores e estatísticas úteis à rede, organizar e promover fóruns de conhecimento e de partilha de boas práticas. A cibersegurança deve ser encarada pelas empresas e organizações como uma área prioritária, quer ao nível estrutural como pedagógico, motivos pelos quais a Hardsecure tem vindo a especializar-se nesta área e realizado vários projetos em território nacional e internacional.

O Relatório Global de Ameaças da Fortinet revela que um ambiente de segurança pouco sólido e a utilização de aplicações de alto risco são o principal motor de propagação de ciberataques destrutivos em tempo recorde.

A Comissão Europeia vai divulgar no final do mês as propostas concretas para aumentar a cibersegurança no espaço europeu. Entre as medidas está um maior investimento em tecnologia e também o pedido para uma maior cooperação entre as nações.

Um relatório da Symantec revela que um grupo de cibercriminosos conhecido como Dragonfly tem vindo a manter uma campanha de ciberataques contra empresas do setor da energia desde 2015.

Este malware foi descoberto quando a Bitdefender investigava alguns downloads que continham trojans que se faziam passar por apps de vídeo ou de leitores de e-books. Bitdefender, uma empresa de cibersegurança romena que cria softwares antivírus, descobriu um novo tipo de malware que rouba passwords e informação sobre métodos de pagamento guardados no browser dos utilizadores chamado Scranos. A empresa afirma que este software malicioso consegue também aumentar silenciosamente subscrições de canais de YouTube e aumentar as fontes de receita ao infetar os dispositivos através de capacidades rootkit. Ataca especialmente sistemas operativos Windows e, de acordo com a TechCrunch, desde que foi encontrado o primeiro caso em novembro, o número de dispositivos infetados tem vindo a aumentar. «As motivações são estritamente comerciais (…) parecem estar interessados em espalhar este botnet para consolidar o negócio, ao infetarem o maior número possível de dispositivos e, assim, conseguirem fazer uma publicidade abusiva e distribuírem malware de terceiros», refere Bogdan Botezatu, responsável pelas operações contra ameaças da Bitdefender. A empresa descobriu este malware quando investigava alguns downloads que continham trojans, que se faziam passar por apps de vídeo ou de leitores de e-books. As apps não eram detetadas, pois tinham uma certificação fraudulenta que enganava os computadores, «ao usarem esta técnica, os hackers têm uma maior probabilidade de infetar os seus alvos», afirma Bogdan Botezatu. Uma vez instalado, o rootkit estabelece contacto com a sua central de comando ou servidor e faz download de mais componentes para o dispositivo infetado. Numa segunda fase, o malware injeta código no browser de Internet (Firefox, Chrome, entre outros) com o objetivo de abrir caminho para as contas de Facebook, YouTube, Amazon, Airbnb e extrair dados dos utilizadores. A Bitdefender afirma que o malware é capaz de abrir o Google Chrome em “debugging mode” e esconde a janela no desktop e na barra de ferramentas. Ao enganar o browser, fá-lo abrir vídeos do YouTube em segundo plano, removendo-lhes o som, subscrevendo canais e clicando em anúncios - tudo a comando do servidor central. Segundo a empresa, este malware torna o computador das vítimas em “clickfarms”, capazes de gerar ilegalmente receita. «O software procura promover de forma fraudulenta o consumo de anúncios no canal de quem os publica de forma a gerar lucro (…), neste caso são canais em expansão que recorrem a este método para crescerem mais», afirma o responsável da empresa, concluindo que «se os utilizadores tiverem a sua conta de Facebook aberta, o malware faz-se passar pelo utilizador e extrai informação da conta (…), o software consegue também contabilizar o número de amigos e páginas que o utilizador gere».

Investigador de 30 anos podia ganhar controlo sobre quase 500 subdomínios da gigante norte-americana. Microsoft classifica o português como um hacker de «alta eficácia» Quando recebeu um email a dizer que estava na lista dos 75 hackers mais valiosos da Microsoft, ao lado de nomes grandes da indústria de segurança informática que já segue há muito tempo, Fábio Pires ficou para lá de radiante. «Fiquei super contente, até porque acho que não é relativamente fácil entrar [na lista]», confidencia em entrevista à Exame Informática. Para fazer parte desta elite, é necessário ter submetido ao longo do último ano falhas de segurança em produtos e serviços que pertencem à Microsoft. A lista, revelada durante a Black Hat, um dos mais consagrados eventos ligados à cibersegurança, que decorreu nos EUA, coloca Fábio Pires na 67ª posição e vem com um elemento adicional: junto ao nome está um símbolo que o distingue como sendo um hacker de alta eficácia. «Isto na prática significa que todas as vulnerabilidades que submeti, todas foram consideradas válidas e de impacto», explica o português de 30 anos, que cresceu na Marinha Grande, mas agora vive em Londres, no Reino Unido. Ao todo comunicou oito vulnerabilidades, mas na prática a falha era apenas uma – uma que lhe dava acesso a quase 500 subdomínios de alguns dos principais produtos da gigante norte-americana. A vulnerabilidade em questão é conhecida como subdomain takeover e permite a um pirata informático ganhar acesso a um subdomínio e usá-lo, por exemplo, em campanhas de phishing. Neste caso em particular, Fábio Pires descobriu centenas de subdomínios da Microsoft associados a alguns dos principais endereços web da empresa americana, como microsoft.com, windows.com, office.com e xbox.com, entre outros. «Eles tinham montes de produtos com esta vulnerabilidade. E quando digo produtos, digo sites principais onde os subdomínios estavam mal configurados», conta-nos. «O impacto é que eu como atacante podia controlar mais ou menos 500 subdomínios da Microsoft.» Na prática, os subdomínios encontrados pelo investigador português foram “esquecidos” pelas equipas da Microsoft, mas continuavam corretamente configurados, com o DNS a apontar para serviços externos de alojamento. Caso um subdomínio estivesse a “apontar” para a Amazon Web Services, por exemplo, bastava a Fábio Pires criar um bucket na plataforma com o nome do subdomínio para ganhar controlo sobre o mesmo. E como eram subdomínios de marcas com uma grande reputação, este seria o ponto de partida perfeito para efetuar ataques de phishing altamente eficazes. «Posso simplesmente mandar um email a uma empresa a dizer “saiu uma nova atualização para o vosso produto, descarregue o ficheiro em qualquercoisa.microsoft.com», exemplifica. «Mesmo as firewalls veem esse tráfego como de um site que à partida pertence à Microsoft e não te bloqueiam. A partir daí tens uma vantagem gigantesca.» Muitas Vulnerabilidades à Solta A primeira vez que Fábio teve contacto com a técnica de subdomain takeover foi para resolver a falha na empresa para a qual trabalhava em meados de 2018 – chamada WorldRemit. Mas quando decidiu procurar por outras empresas que estivessem expostas à vulnerabilidade, encontrou muitas portas escancaradas. Nesta fase já contou com a ajuda do colega Francesco Mifsud para avisar todas as empresas vulneráveis: Siemens, Avast, Adidas, Royal Bank of Scotland, GitHub, Dell, Lufthansa e Teamviewer foram algumas das organizações que responderam ao alerta dado pela dupla de investigadores, corrigindo o problema. Outras empresas de renome foram alertadas, mas as correções ainda não foram feitas. Fábio dedicou quase um mês a este processo, período durante o qual recebeu muitas t-shirts como forma de agradecimento, recorda em tom de brincadeira. Agora a trabalhar como líder de segurança de aplicações móveis na News UK, um dos maiores conglomerados britânicos de meios de comunicação e responsável por publicações como o The Sun e o The Times, o português diz que quer «continuar a crescer» e espera em breve «liderar uma equipa» de investigação em segurança informática. Fonte: Exame Informática

A nova diretiva implica um reforço da segurança, levando a que nos próximos 12 a 18 meses possa deixar de ser possível utilizar o número de cartão de crédito e dígitos de segurança na compra de serviços e bens online. Desde o dia 14 de setembro, a banda magnética do seu cartão de crédito e/ou débito já não vai ser usada para efetuar pagamentos. Agora, devido à entrada em vigor de uma diretiva europeia que pretende reforçar as medidas de segurança, vai ser usado apenas o chip dos cartões no momento do pagamento. Tal como avança o JN, as mudanças vão também afetar as cadernetas bancárias, que vão deixar de poder ser usadas para levantamentos de dinheiro. No que respeita ao acesso online a contas bancárias, também os cartões matrizes vão deixar de servir e o acesso via apps ou telemóvel passam a necessitar de uma medida extra de acesso – os bancos vão passar a enviar um código via SMS para o telemóvel do utilizador, que lhes permitirá aceder às suas contas pessoais. As novas medidas de segurança impostas pela diretiva não vão para já impedir a utilização do número de cartão e dos dígitos de segurança na compra de serviços e bens online, mas o JN afirma que esta realidade poderá mudar nos próximos 12 a 18 meses. Vai também ser alargado o número de serviços financeiros, nomeadamente, será permitido que outras entidades para lá das instituições bancárias acedam à conta dos utilizadores, caso estes cedam permissão para tal, com o objetivo de fazer pagamentos e fornecer serviços de informação sobre as contas. Consta na lei que os bancos que não cumprirem podem ser responsabilizados por eventuais roubos ou fraudes nas contas. Caso tenha cartão de refeição ou um cartão pré-pago vai poder continuar a usufruir deles utilizando as suas bandas magnéticas, uma vez que a finalidade incide na aquisição de bens ou serviços pré-limitados (parques de estacionamento, autoestradas, entre outros). Fonte: Exame Informática

Os investigadores descobriram um zero-day kernerl bug que permite privilégios ao atacante e que pode resultar no comprometimento total de certos dispositivos Android e aparentemente está a ser explorado livremente. Dispositivos conhecidos por serem afetados pela vulnerabilidade de alto nível "use-after-free", incluem o Pixel 1, 1X:, 2 e 2 XL; o Huawei P20; o Xiaomi Redmi 5A; o Xiaomi Redmi Note 5; o Xiaomi A1; o Oppo A3; o Moto Ze; os Oreo LG; e os Samsung S7, S8 e S9. De acordo com um relatório de vulnerabilidade publicado por Maddie Stone investigadora de segurança do Project Zero, o mesmo bug foi corrigido anteriormente em Dezembro de 2017 no 4.14 LTS kernel, o AOSP Android 3.18 kernel, o AOSP Android 4.4 kernel e o AOSP Android 4.9 kernel. Mas, aparentemente, não foi corrigido universalmente em todos os dispositivos Android. Citando o Threat Analysis Group (TAG) da Google, Stone escreve que a vulnerabilidade pode ser explorada através da sandbox do Chrome, observando que a exploração in-the-wild é atribuível ao Grupo NSO, com sede em Israel, um dos principais fornecedores comerciais de ferramentas ofensivas cibernéticas. O Grupo NSO negou qualquer envolvimento, de acordo com um relatório da ZDNet. Oficialmente designado CVE-2019-2215, “A vulnerabilidade pode ser explorada nos processos de renderização do Chrome sob o domínio SELinux‘ isolated_app ’do Android, o que nos leva a suspeitar que o Binder é o componente vulnerável”, observa Stone. “Se a exploração for fornecida pela web, ela só precisa ser emparelhada com uma exploração do renderizador, pois essa vulnerabilidade pode ser acedida por meio da sandbox.” A equipa do Android afirmou que um patch será disponibilizado como parte da atualização do sistema operacional de Outubro. Fonte: SCmagazine

As duas fontes oficiais apresentam uma discrepância numérica – mas ambas são reveladoras dos estragos que os códigos maliciosos de sequestro de dados fizeram em entidades do Estado nos últimos meses: desde o início de 2019, o Centro Nacional de Cibersegurança (CNCS) já foi informado de 21 casos de ransomware que afetaram organismos da Administração Pública nacional; a Unidade Operacional de Combate ao Cibercrime e à Criminalidade Tecnológica da PJ (UNC3T) contabilizou cerca de 30 casos que no mesmo período terão resultado em queixas relacionadas com este método conhecido por ransomware. Questionado pelo JN, que avança com estes números em primeira-mão, o CNCS recorda que «os números indicados espelham os incidentes reportados» ao próprio centro que tem como função apoiar instituições públicas e empresas a lidar com as diferentes ameaças tecnológicas, e devem ser encarados como a única fonte de informação descritiva do panorama nacional. O facto de o sequestro de dados pressupor uma prática criminosa que, obrigatoriamente, tem de ser comunicada à PJ ajuda a explicar o facto de a PJ ter contabilizar um número superior ao registado no CNCS (que é uma entidade operacional de apoio técnico e não uma entidade de investigação criminal). Entre todos estes casos mais prementes da atualidade, destaca-se o da Câmara Municipal de Vinhais, distrito de Bragança, que teve de mudar de procedimentos para se manter operacional e investiu seis mil euros junto de uma empresa especializada para superar a encriptação aplicada pelos cibercriminosos com o objetivo de impedir o acesso aos repositórios da autarquia transmontana. Durante a análise aos sistemas camarários foram detetados 11 tipos de códigos especializados em ransomware. Os hackers exigiam entre 20 mil e 30 mil euros para devolver o acesso aos dados da Câmara de Vinhais. Durante o período de sequestro, os hackers terão sido obrigados por várias vezes a trabalhar à “moda antiga” – com caneta e papel. Fonte: Exame Informática

Ataque ao Whatsapp com um ficheiro de vídeo. O WhatsApp confirmou ter encontrado uma falha grave na sua aplicação. Assim, este bug permite que qualquer pessoa, com o conhecimento necessário, pudesse espiar as conversas de terceiros. Além disso, esta falha permite mesmo o controlo do smartphone enviando um ficheiro de vídeo MP4 com código malicioso. O bug está presente no WhatsApp para iOS nas versões 2.19.100 ou anteriores e para Android nas versões 2.19.274 ou anteriores. Também afeta o WhatsApp Business, especialmente grave nestes casos de acesso remoto a dados. A notícia foi conhecida através de uma discreta nota de segurança publicada pelo Facebook. Fonte: PPLWARE

CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. Em parceria com a Proofpoint, no próximo dia 16 de Setembro, o tema que vamos abordar é Business Email Compromise (BEC) — também conhecido como Email Account Compromise (EAC) — é um tema cada vez mais atual dado que explora o facto de muitas organizações utilizarem o email como ferramenta de negócio. Entre os vários tipos de fraude por e-mail, a fraude de faturação do fornecedor costuma ser responsável pelas maiores perdas financeiras devido à natureza do pagamento B2B. A Proofpoint oferece uma solução completa e integrada para combater o Business Email Compromise, abordando várias técnicas usadas em ataques de fraude por e-mail, como o uso de reply-to pivots, falsificação de domínio, falsificação de nome de exibição e domínios semelhantes. Assista ao nosso Webinar sobre Business Email Compromise em parceria com a Proofpoint e fique a conhecer como pode proteger a sua organização. Agenda: O que é Business Email Compromise? Business Email Compromise by Proofpoint: Proofpoint Introduction to people centric security BEC/EAC Problem Space and holistic solution Email Authentication/Lookalike domain visibility and remediation Gateway protection for your corporation Cloud Application controls, including 3rd party apps Education: Making your users the last line of defense Demonstração* e exemplos práticos. Esta componente será em inglês.*

CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. Participe no nosso webinar sobre Cyber Threat Intelligence & Forensic Analysis para saber mais sobre formas de deteção, exemplos, prevenção e medidas de atuação. Agenda: Cyber Threat Intelligence: O que é, como e onde se aplica. Dumpster Diving e outras técnicas. O nosso "lixo" é valioso para alguém. Como podemos preparar a nossa defesa? Técnicas e comportamentos. Como avaliar um alarme e o impacto? Demonstração e exemplos práticos. Forensic Analysis. Os novos tipos de malware: Já ouviu falar de Fileless Malware? Os desafios atuais da análise forense. Demonstração.

CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. Em parceria com a Palo Alto Networks, no próximo dia 25 de Novembro, o tema que vamos abordar é Cibersegurança em Sistemas de Controlo Industrial (OT e IoT). Agenda : - Uma única plataforma para proteger todos os dispositivos da sua rede: - A digitalização e as tendências de segurança IoT - O aumento da superfície de ataque e os seus desafios - A Metodologia certa para proteger os dispositivos IoT - Segurança de IoT: A solução mais abrangente da Indústria - Micro-segmentação e Zero Trust para dispositivos IoT - Visibilidade e segmentação IoT - Segurança OT e IoT - Demonstração. - O papel do SOC na visibilidade da integração OT/IT. Assista ao nosso Webinar sobre Cibersegurança em Sistemas de Controlo Industrial (OT e IoT) em parceria com a Palo Alto Networks e fique a conhecer como pode proteger a sua organização. A Palo Alto Networks, líder mundial em cibersegurança, está a moldar o futuro com as suas soluções para identificar, gerir os ativos e protocolos ICS e proteger e segmentar ambientes OT.

CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. A necessidade de proteger um direito fundamental, como os Dados Pessoais, face uma economia digital e global, tornou-se cada vez mais emergente nas últimas duas décadas. Definitivamente, na legislação da EU, o Regulamento Geral de Proteção de Dados é um marco impar, pela sua relevância, mas igualmente pela sua obrigatoriedade de cumprimento em todas as organizações! Participe para saber se cumpre esta obrigação legal de conformidade e qual a metodologia e framework desenvolvidas pela Hardsecure nos seus projetos de implementação RGPD. Agenda: Sobre o RGPD Porquê proteger os nossos dados Objetivo Cronologia do RGPD O que mudou A quem se aplica Legislação Framework Hardsecure Metodologia e Best Practices Entidades Reguladoras

CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. Participe no nosso Webinar sobre Pentest – “Segurança da Informação, Gestão e Mitigação de Riscos” e descubra quais as Frameworks de Análise, Metodologias de Execução de Ataques, Exploitation, Reporting e de que forma, o Pentest pode ajudar a sua organização. Agenda: O que é Pentest Vulnerability Scans Vs Pentesting Tipos e principais etapas do Pentest Demonstração de um ataque tipo Black-Box Quais as variáveis para contratar um serviço de Pentest Principais Benefícios

CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. Participe no nosso webinar sobre SOC e Resposta a Incidentes de Segurança para saber mais sobre Managed Security Services, Metodologias de Resposta a Incidentes de Segurança, Como alimentar o motor do SOC (SIEM), o h-SOC. Agenda: O que é Principais objetivos Tipos de SOC (Tiers) Workflow de processos (SOC Tier 3) Modelos de SOC Metodologia de resposta a incidentes H-SOC Principais benefícios Como implementar SOC as a Service na sua organização

CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. No próximo dia 3 de Fevereiro, o tema que vamos abordar é O Papel da Inteligência Artificial na Ciberdefesa com Rui Ribeiro Barata (IBM), Víctor Aguilar Gutiérrez (Nozomi Networks), Fábio Mestre (Hardsecure).Agenda:Abertura: O que é a Inteligência Artificial na Ciberdefesa?Inteligência Artificial e Resposta a Incidentes, Rui Barata Ribeiro, Security Sales Leader, IBMIndustrial Cybersecurity: Do you know what's going on in your OT/IIoT network? *, Víctor Aguilar Gutiérrez, Regional Director, Iberia & Turkey, Nozomi NetworksO papel da Inteligência Artificial em Cibersegurança e Ciberdefesa, Fábio Mestre, Pentester, HardsecureQuestões e debate (15 minutos) * esta componente será em inglês Assista ao nosso Webinar, em formato mesa redonda, e venha descobrir como a Inteligência Artificial pode ajudar na Ciberdefesa de IT, OT e IIoT. 

CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. No próximo dia 19 de Maio, o tema que vamos abordar é O Papel de Cyber Threat Intelligence na Ciberdefesa com Rui Ribeiro Barata (IBM), Paco Dalmau (Google Cloud Security), Fábio Mestre (Hardsecure).Agenda:Abertura: O que é Cyber Threat Intelligence (CTI)?Cyber Threat Intelligence on the move, Rui Barata Ribeiro, Security Sales Leader, IBMGoogle Cloud Security "why and why now"*, Paco Dalmau, Channel Account Manager Iberia & Italy, Google Cloud SecurityO papel de Cyber Threat Intelligence em Ciberdefesa, Fábio Mestre, Pentester e Cyber Threat Analyst, HardsecureQuestões e debate (15 minutos) * esta componente será em inglês Assista ao nosso Webinar e fique a conhecer O Papel de Cyber Threat Intelligence na Ciberdefesa! 

CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. No próximo webinar contamos com os oradores Jorge Almeida (DPO/EPD/Advogado), Pedro Castro (SecurityScorecard, Enterprise Sales Director Iberia) e Pedro Afonso (Hardsecure, Head Audit & Compliance), para abordar o tema "O Papel da Ciberdefesa no Risco de Terceiros".Agenda:Abertura: A gestão do Risco de Terceiros na Cadeia de Valor?Os "meus" dados na mão de Terceiros? Riscos e Oportunidades, Jorge Almeida, DPO/EPD/AdvogadoSecurityScorecard e o Risco de Terceiros, Pedro Castro, Enterprise Sales Director Iberia, SecurityScorecardGestão de Risco de Terceiros – Uma categoria peculiar de risco operacional, Pedro Afonso, Head Audit & Compliance, HardsecureQuestões e debate (15 minutos) Assista ao nosso Webinar, e fique a conhecer como a Ciberdefesa pode auxiliar na Gestão do Risco de Terceiros na Cadeia de Valor! 

Junte-se a nós e fique a conhecer o portfólio do IBM Security® ReaQta!  Junte-se a nós neste evento para ficar a conhecer as últimas tendências em deteção e resposta em eventos de segurança no endpoint. Contamos com a participação de profissionais experientes que partilharão as suas experiências, conhecimentos e melhores práticas em primeira mão.Além disso, estamos muito entusiasmados com a presença dos especialistas da IBM e da Hardsecure para apresentar o IBM Security® ReaQta e as suas experiências de projeto. Os especialistas partilharão informações relevantes sobre as mais recentes tecnologias, estratégias e soluções de cibersegurança que podem ajudar a sua organização a manter-se na vanguarda.Este evento é uma oportunidade para as empresas que estão a considerar serviços de managed detection and response (MDR) e que pretendem conhecer IBM Security® ReaQta. Terá a oportunidade de interagir com profissionais e especialistas da área com ideias semelhantes, partilhar ideias e obter conhecimentos de grande valor que o podem ajudar a levar a sua organização para o nível seguinte. Agenda:Abertura: Business BreakfastAbertura e Contexto, José Duque, Hardsecureh-Cyber Asset: o serviço de gestão de segurança dos endpoints, Rui Almeida, Hardsecure Uma abordagem distinta à segurança de endpoints, Rui Almeida, HardsecureIBM Security® ReaQta live Demo, Pedro Dias, IBMCoffee-break e networking   Registe-se agora para garantir o seu lugar no evento e dê o primeiro passo para garantir o futuro da sua organização. 

Estamos a reforçar a nossa equipa com consultor de segurança (m/f) para os nossos escritórios de Lisboa ou Porto. Descrição da função: Levantamento de requisitos técnicos e aconselhamento relativo às soluções e serviços de segurança e cibersegurança (preferencial) mais ajustadas às necessidades dos clientes; Suporte à equipa comercial na apresentação e elaboração de soluções; Apresentação das nossas soluções junto dos clientes e em eventos promocionais, dando apoio técnico quando necessário; Identificação de novas soluções e serviços que possam ser relevantes para acompanhar as necessidades / exigências do mercado. Requisitos: Licenciatura em engenharia informática (ou similar); Fortes conhecimentos em tecnologias de segurança (palo alto networks, Fortinet, bitdefender, cisco, são as tecnologias preferenciais); Fortes conhecimentos em networking (protocolos de routing, switching, VoIP, wifi e segurança) e System Admin; Certificações CCNP e CCNP Security; Conhecimentos em TSHOOT – Troubleshooting and Maintaining Cisco IP Networks; Forte capacidade na execução e gestão de projetos no âmbito de networking e segurança de perímetro e de endpoint; Experiência mínima nas funções: 3 anos. Perfil Comportamental: Sentido de responsabilidade; Dinâmico e pró-ativo; Capacidade de trabalho sob pressão; Bom relacionamento interpessoal e trabalho em equipa. O que oferecemos: Participação em projetos de relevo no panorama nacional e internacional. Integração em equipa dinâmica e experiente. Integração com participação transversal em projetos onde a empresa esteja envolvida. Pacote salarial atrativo adaptado aos conhecimentos e experiência evidenciados pelo candidato(a). As repostas devem ser enviadas por email com a referência no assunto net.20.hs, enviadas para o email: geral@hardsecure.com

Requisitos: Licenciatura em engenharia informática (ou similar); Conhecimentos sobre as evoluções tecnológicas de segurança presentes no setor; Fortes conhecimentos em tecnologias de segurança (preferencial firewalls, antivirus, SIEM, DLPs, WAF,…); Fortes conhecimentos em networking (protocolos de routing, switching, VoIP, wifi e segurança) em âmbitos como Radius, protocolo 802.1x e similares; Fortes conhecimentos em frameworks e standards de segurança como ISO27001:2013, ISO27005, ISO22301, PTES, OWASP e similares; Obrigatoriedade numa das seguintes certificações: ITIL, PMP ou PRINCE2. Forte capacidade na execução e gestão de projetos no âmbito da segurança e cibersegurança; Valoriza-se conhecimentos em outros níveis (sistemas, bases de dados, frameworks,…); Experiência mínima nas funções: 7 anos Perfil Comportamental: Sentido de responsabilidade; Dinâmico e pró-ativo; Capacidade de trabalho sob pressão; Bom relacionamento interpessoal e trabalho em equipa. O que oferecemos: Participação em projetos de relevo no panorama nacional e internacional. Integração em equipa dinâmica e experiente. Integração com participação transversal em projetos onde a empresa esteja envolvida. Pacote salarial atrativo adaptado aos conhecimentos e experiência evidenciados pelo candidato(a). As repostas devem ser enviadas por email com a referência no assunto GP.20.hs, enviadas para o email: geral@hardsecure.com