Notcia 1

Fonte: http://computerworld.uol.com.br/seguranca/2012/08/30/toyota-acusa-
funcionario-demitido-de-ter-causado-falha-grave-na-seguranca/
a)
Toyota acusa funcionrio demitido de ter
causado falha grave na segurana

De acordo com empresa, ex-programador teria modificando
certificados de segurana e roubado documentos
confidenciais.

A montadora Toyota entrou com uma ao contra um ex-funcionrio, acusando-
o de ter atacado o website de fornecimento de peas da empresa nos Estados
Unidos, como parte de um plano de vingana por ter sido demitido.

O acusado, o programador indiano Ibrahimshah Shahulhameed, foi demitido
pela companhia em 23 de agosto. Depois do acontecimento, Shahulhameed
teria acessado o portal toyotasupplier.com e sabotado 12 aplicaes web,
modificando certificados de segurana, o que levou a uma queda no sistema.

O ex-funcionrio tambm teria feito o donwload de documentos crticos com
informaes sobre preos, peas e dados de testes de qualidade que a
montadora teme que sejam distribudos para terceiros, afirma o processo.

"Se essa informao forem divulgadas aos concorrentes ou tornadas pblicas,
seria altamente prejudicial para a Toyota e seus fornecedores, causando danos
imediatos e irreparveis", disse o advogado legal da Toyota.

O juiz do caso ordenou que Shahulhameed no deixe os Estados Unidos
durante as investigaes.

b)
Controle 21

Os papis e responsabilidades para a segurana da informao devem estar claros
para qualquer novo funcionrio contratado, para que este tenha cincia dos limites e
da importncia da segurana da informao naquela empresa.

Controle 20
O ataque descrito na notcia foi realizado por um ex-funcionrio, dessa forma de
extrema importncia que antes de selecionar um candidato para ocupar um posto
de trabalho, todo seu histrico deve ser verificado para que o processo de
contratao seja interompido, caso exista algum desalinhamento entre as aes
passadas deste candidato e os princpios ticos da empresa, ou mesmo com
regulamentaes legais.

Controle 27
O ex-funcionrio teve acesso a documentos e a certificados de segurana mesmo
aps seu desligamento, o controle 27 trata exatamente deste ponto, onde aps o
encerramento das atividades de um funcionrio todos os seus direitos de acesso
devem ser retirados.

Controle 70
O registro (log) das atividades realizadas nos sistemas pode identificar sabotagens e
acessos indevidos, no caso descrito nessa notcia o Log pode ajudar a identificar e
responsabilizar o ex-funcionrio se este for o responsvel pela sabotagem.

Notcia 2
a)
Fonte:http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?=&infoid
=31263&sid=11

TCU detecta falhas no ERP e na segurana
da informao dos Correios

:: Convergncia Digital :: 25/07/2012
A rea de Tecnologia da Informao das estatais do governo passa por momentos crticos,
segundo relatrio do Tribunal de Contas da Unio, divulgado nesta tera-feira, 24/07. No caso da
Empresa Brasileira de Correios e Telgrafos, o TCU exige que a companhia aprove formalmente
uma poltica de segurana de informao para o sistema integrado de gesto interna da
empresa. E recomenda: hora de melhorar a governana de TI.

A fiscalizao do TCU detectou, por exemplo, "a existncia de contas impessoais, com provvel
compartilhamento de contas de usurios, o que abre brechas perigosas no quesito de
segurana". Segundo o relatrio do TCU, essas contas no identificam usurios, mas, sim, reas
da estrutura organizacional da ECT.

"Alm disso, por vezes, mais de uma pessoa compartilha um nico login e senha de acesso ao
sistema ERP, no seguindo o disposto na NBR 27.002:2005, item 11.3.1, letra h", constata o
relatrio, do ministro Walton Alencar Rodrigues. O levantamento apurou ainda "a ausncia de
processo de remoo ou bloqueio imediato dos direitos de acesso de usurios que mudaram de
lotao, cargo ou funo", razo que pode levar a vazamento de informaes crticas dos
Correios e do Governo.

Na parte de ERP - pacote de gesto empresarial - os Correios usam sistema da Oracle, o TCU
adverte que o sistema da ECT no implementa controles internos que deveriam estar
implementados, tais como: listas de verificao para cada artefato (projeto bsico, edital,
contrato) produzido no processo de aquisies; memorial de clculo das estimativas de
quantidade dos itens a contratar; reviso dos artefatos por usurio snior; bloqueio de casos de
violao de segregao de funes; registro das interaes realizadas com os fornecedores
durante o processo licitatrio; e controles sobre prazos legais aplicveis.

b)
Controle 1
Conforme descrito na notcia no existe um documento formal da poltica de
segurana da informao, permitindo que as vrias falhas apontadas no restante da
notcia ocorram nos Correios.

Controle 27
No existe um processo definido de retiradas de direitos de acesso de usurios que
mudaram de funo ou de cargo nos correios.

Controle 77
Esse controle trata da anlise crtica por parte dos gestores dos direitos de acesso
dos usurios, essa anlise se feita nos correios pode reduzir o nmero de acessos
indevidamente liberados a usurios que mudaram de cargo ou funo.

Controle 78
O ERP dos correios permite o compartilhamento de usurios e senhas e no segue
qualquer boa prtica de seleo e uso de senhas.

Controle 112
O sistema de informao (ERP) utilizado pelos correios fornecido por uma
empresa externa, todo o processo de desenvolvimento deste software deve ser
monitorado pelos correios.

Notcia 3
Fonte: http://info.abril.com.br/noticias/seguranca/reuters-tem-blog-atacado-e-
cracker-publica-materia-falsa-03082012-59.shl

a) Reuters tem blog atacado e
cracker publica matria falsa
So Paulo A agncia de notcias Reuters afirmou ter sofrido
um ataque cracker nesta sexta-feira, 03.
Na ocasio o cracker teria publicado uma matria falsa sobre a
Sria no site. Segundo a Reuters, a notcia j foi retirada do ar,
mas ainda no identificou as falhas que permitiram o acesso ao
blog.
A falsa matria publicada trazia uma suposta entrevista com um
dos lderes rebeldes da Sria, que dizia que suas foras estavam
sendo expulsas das provncias do norte aps embate com as
foras de segurana sria.
Posts falsos foram atribudos falsamente a diversos jornalistas
da Reuters, que retirou as pginas de blogs do ar para
verificao, revelou a agncia. A Reuters acredita que a ao
tenha sido programada pelo regime srio na tentativa
b)

Controle 48
A gesto da capacidade deve ser tratada com grande ateno pois projees
realizadas de forma incorreta podem tornar o o site da reuters indisponvel, ou
mesmo a falhas e tentativas de invaso.

Controle 66
As informaes divulgadas no site da reuters so publicamente disponveis e no
podem sofrer modificaes no autorizadas, pois so informaes sensveis e que se
modificadas podem acarretar em srios prejuzos de imagem e financeiros.

Controle 116
Incidentes como os relatados na notcia devem ser tratados com aes e respostas
rpidas e efetivas, j que cada reportagem divulgada falsa divulgada no site da
reuters pode ter graves consequencias internacionais.

Controle 117
Os incidentes de segurana detectados como os citados na notcia devem ser
monitorados para que sejam tomadas medidas para evit-los futuramente.