Arquivo da categoria: Segurança da Informação

Novo plugin que permite Anonimizar dados no GLPI

Novo plugin disponível para clientes da GLPI Network à partir do nível Basic ou clientes da GLPI Network Cloud platform permite a Anonimização de dados no GLPI diretamente da interface web ou linha de comando de forma individual ou com ações em massa.

É uma ótima iniciativa para prover compliance com #LGPD e #GDPR.

Com ele é possível anonimizar dados para perfis que não devem ver algum tipo de dado de algum cliente ou usuário no sistema.

Veja algumas telas retiradas da documentação oficial da GLPI Network

GLPI Network Anonymization
Fonte: GLPI Network – divulgação https://services.glpi-network.com/documentation/1688/file/README.md

A anonimização dos dados pode ser definida via perfis de anonimização.

Cada perfil determina:

  • Os elementos em que será executada (“Usuários”, “Computadores”).
  • Em cada elemento é possível aplicar uma estratégia aos mais variados campos (“Nome”, “Localização”, “Número de Série”…) e consiste em 5 opções de tratamento deste dado:
    • Manter o dado
    • Apagar o dado
    • Substituir o dado com um valor estático
    • Substituir o dado com um valor aleatório
    • Substituir o dado com um valor aleatório real
  • É possível também tratar os campos de histórico dos elementos:
    • Apagar o histórico;
    • Apagar parte do histórico definido por uma data e anonimizar o restante;
    • Anonimização completa do histórico do elemento.
  • Você pode definir uma lista de campos a serem pesquisados e substituídos
  • É possível definir um perfil de anonimização como padrão de um grupo de elementos ou campos.

A anonimização pode ser executada como Ação em Massa e também via linha de Comando como nos comandos abaixo:

Executar os perfis de anonimização padrão em todos objetos:
glpi:plugin:anonymize --all

Executar os perfil de anonimização X em todos objetos ou em um objeto:
glpi:plugin:anonymize --profile=X
glpi:plugin:anonymize --profile=X --item-id=X

Executar o perfil de anonimização padrão X em todos objetos ou em um objeto:
glpi:plugin:anonymize --itemtype=X
glpi:plugin:anonymize --itemtype=X --item-id=X

Você gostaria de ajudar o blog de alguma forma?

A lista de valores reais e aleatórios possíveis de serem substituídos até o momento é bem interessante:

campoTipologia
glpi_x.serialBase.randomAscii
glpi_x.otherserialBarcode.ean13
glpi_x.uuidUuid.uuid
glpi_contacts.namePerson.name
glpi_contacts.firstnamePerson.firstName
glpi_contacts.phonePhoneNumber.e164PhoneNumber
glpi_contacts.phone2PhoneNumber.e164PhoneNumber
glpi_contacts.mobilePhoneNumber.e164PhoneNumber
glpi_contacts.faxPhoneNumber.e164PhoneNumber
glpi_contacts.emailInternet.email
glpi_contacts.addressAddress.streetAddress
glpi_contacts.postcodeAddress.postcode
glpi_contacts.townAddress.city
glpi_contacts.stateAddress.state
glpi_contacts.countryAddress.country
glpi_networkports.ipInternet.ipv4
glpi_networkports.macInternet.macAddress
glpi_phones.number_linePhoneNumber.e164PhoneNumber
glpi_users.nameInternet.userName
glpi_users.passwordInternet.password
glpi_users.phonePhoneNumber.e164PhoneNumber
glpi_users.phone2PhoneNumber.e164PhoneNumber
glpi_users.mobilePhoneNumber.e164PhoneNumber
glpi_users.realnamePerson.name
glpi_users.firstnamePerson.firstName
glpi_users.languageMiscellaneous.locale
glpi_useremails.emailInternet.email
Fonte: GLPI Network – Divulgação

Veja mais informações na documentação oficial.

Se você não é cliente GLPI Network, pode testar o plugin e a plataforma de nuvem da Teclib’ por um período de 45 dias se cadastrando aqui https://myaccount.glpi-network.cloud/register.php

Você gostaria de ajudar o blog de alguma forma?

➤ Site: https://www.arthurschaefer.com.br
➤ Instagram: https://instagram.com/arthurrschaefer
➤ Facebook: https://facebook.com/arthurschaefercombr
➤ LinkedIn: https://br.linkedin.com/in/arthurramosschaefer
➤ Twitter: https://www.twitter.com/arthurrschaefer
➤ Inscreva-se no Canal: https://www.youtube.com/ArthurSchaefer
➤ Canal no Telegram: https://t.me/arthurschaefer
➤ Baviera TI: https://www.bavierati.com.br

Golpes de phishing aumentaram no Skype

E-mails que parecem legítimos solicitando que você verifique notificações pendentes na plataforma do Skype e que você precisa clicar em um link para fazer essa verificação têm grandes chances de ser um golpe de phishing com objetivo de roubar seus dados de acesso do Skype e extorquir os seus contatos. Caso semelhante ao do roubo do WhatsApp.

Pesquisadores de segurança têm alertado para uma onda de golpes com foco em usuários do Skype. Ao receber uma mensagem solicitando uma suposta revisão de notificações e que para tanto você deve clicar em um link, você será direcionado para uma página falsa que parece muito verdadeira (phishing) que lhe solicita sua senha. Ao digitar e prosseguir com o suposto processo você estará fornecendo seus dados de acessos a criminosos que usam estes mesmos dados para tentar extorquir os seus contatos do serviço.

O mais maluco desse golpe é que alguns detalhes mínimos estão deixando o procedimento muito realista. Por exemplo: o nome de usuário vem preenchido automaticamente na página de login falsa e a URL (endereço do site) parece legítima. Você só consegue identificar o golpe analisando o endereço de e-mail e a URL cuidadosamente.

Para evitar cair nessa:

  • Não clique em links de e-mails supostamente vindos do Skype que solicitem que você acesse notificações;
  • Acesse as notificações diretamente da sua conta no aplicativo do Skype mesmo. As notificações ficam lá no sininho na direita do cabeçalho do aplicativo.
  • Se você enviou sua senha para os criminosos em algum site deste tipo, altere-a imediatamente e usa uma senha segura.

Dia Internacional da Proteção de Dados Pessoais

Hoje, 28 de janeiro, é o Dia Internacional da Proteção de Dados Pessoais. A data pega muita gente de surpresa e não é a toa. Mesmo sendo celebrada mundialmente há mais de uma década, ela não atinge as proporções esperadas e não é sequer citada na mídia normal. Isso é grave pois não estamos falando sobre um tema importantíssimo presente nas nossas rotinas quase que totalmente digitalizadas.

A data foi criada em 26 de abril de 2006 pelo Conselho da Europa para celebrar a Convenção 108 de 28 de Janeiro de 1981. Todos os estados-membros do Conselho assinaram a instituição da data como a primeira norma escrita buscando garantir um direito fundamental já proclamado na Declaração Universal dos Direitos Humanos em 1948, que no artigo 12 cita: “Ninguém será sujeito a interferências em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a ataques à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques”.

A Europa, evolução das empresas criação de regulamentações

Blue and Yellow Round Star Print Textile

A Europa sempre foi pioneira no assunto privacidade e proteção de dados pessoais, provavelmente como um reflexo histórico de monitoramentos da população por governos autoritários, principalmente nos países que compõem a Eurásia.

As empresas evoluíram e passaram a tratar os nossos dados como “o novo petróleo”, estudar nossos comportamentos e usar nossos dados para moldar nossos hábitos digitais e desenvolver estratégias mais competitivas. E como em toda inovação que gera ganhos expressivos, sempre haverá abusos e negligências. Com o tratamento de dados não foi diferente.

Notícias de vazamentos de dados (incidentes de segurança digital onde pessoas não autorizadas acabam tendo acesso a dados sigilosos sem autorização), condutas irresponsáveis (empresas que rastreiam sua localização, registram imagens com a câmera sem que você perceba) ou até objetivos dolosos de pessoas mal-intencionadas (pessoas que vendem os dados das empresas em que trabalham), tem sido super comuns nos últimos meses ainda que a grande mídia explore pouco tal assunto. As regras precisaram ser endurecidas para tentar coibir essas atitudes e irresponsabilidades.

White Caution Cone on Keyboard

Um exemplo de regulamentação criada na Europa é a GDPR que, desde de 2018, visa garantir a segurança dos dados de cidadãos da União Europeia e já aplicou multas de até €183 milhões tendo como a multa mais branda sido de €1,4 mil aplicada a um policial alemão que usava os dados de redes oficiais da polícia para propósitos ilegais.

No Brasil, a partir de agosto de 2020, por fim a Lei Geral de Proteção de Dados Pessoais (LGPD ou Lei nº 13.709/2018) passará a fazer parte do cotidiano dos cidadãos brasileiros. Ela é inspirada no texto europeu, regula atividades de tratamento de dados pessoais de indivíduos naturais brasileiros e orienta melhores práticas para garantir privacidade e aplicar penalidades para quem não respeitar seus artigos.

No artigo que trata das sanções, a lei define que as empresas infratoras podem receber multas de até R$ 50 milhões ou 2% do faturamento líquido. A Autoridade Nacional de Proteção de Dados, responsável pela fiscalização da Lei, pode até proibir alguma companhia de coletar dados até que apresente provas de que esteja preparada para tratar esses dados com segurança.

É um panorama um pouco alarmante para empresas e cidadãos pois uma pesquisa encomendada pela Serasa Experian mostrou que 85% das empresas brasileiras não estão nem perto de estar em conformidade com a regulação.

O perigo dos pontos de rede nas áreas de acesso comum dos escritórios

Qualquer pessoa pode penetrar na rede local da sua organização através de pontos de rede e dispositivos em áreas comuns.

Quando falamos de redes de computadores consideramos as redes cabeadas mais seguras por exigir um acesso físico para conectar dispositivos. Entretanto, pontos falhos básicos são vistos diariamente nos mais diversos ambientes.

Corredores e recepções

A sua empresa vai ocupar um novo escritório que já foi utilizado por outras empresas. Diversos ajustes certamente serão feitos e talvez algumas salas serão desativadas ou até reaproveitadas, porém os pontos de rede que foram feitos anteriormente provavelmente serão mantidos. Afinal, abrir parede e trocar tomadas demanda recurso de tempo e dinheiro que certamente farão com que a obra seja deixada para outro momento.
Essas portas de rede geralmente permanecem ativas mesmo sem intenção de serem utilizadas. Assim qualquer pessoa poderia conectar um aparelho nessa porta e ter acesso físico à sua rede local. Desde funcionários até visitantes, entregadores, candidatos em busca de emprego, clientes, representantes. Uma pessoa com um laptop conectado a um cabo na parede, em geral, não chama muita atenção pois as pessoas que passam por ali podem imaginar que a pessoa está apenas carregando seu laptop, ou que tem permissão para usar a rede.
É claro que, mesmo com acesso físico à rede o cibercriminoso precisaria investir algum tempo hackeando e identificando falhas na rede. Mas equipamentos com senhas fracas, padrões de fábrica ou até desatualizados poderiam ser facilmente explorados. Ou pior: Em casos de portas de rede em locais menos acessados, o atacante poderia instalar um dispositivo de acesso remoto e atacar sua rede posteriormente de qualquer lugar.

Dispositivos em locais públicos

Dispositivos como impressoras de rede, roteadores, terminais ou caixas eletrônicos também podem ser alvos de dispositivos de captura de dados ou exploração remota da sua rede. Um caso, em 2016, no qual criminosos conectaram dispositivos a caixas eletrônicos desprotegidos e capturaram detalhes de cartões de clientes é uma prova disso.

Proteção

Como sempre, não há uma forma 100% segura de evitar ser atacado. Mas existem maneiras de se mitigar tais acontecimentos. Diminuir as possibilidades de acontecer.

  • Manter registro de portas de rede e equipamentos ativos;
  • Desativar as portas de rede inativas desligando portas do switch ou as desconectando no patch pannel;
  • Manter equipamentos físicos em locais que visitantes e pessoas não autorizadas não tenham acesso fácil;
  • Atribuir sub-redes para departamentos que exijam uma criticidade maior afim de dificultar a identificação e exploração de equipamentos;
  • Usar ferramentas de segurança de dispositivos como um bom Antivírus e de perímetro como um Firewall de rede.
  • Ter muita cautela e manter a documentação e monitoramento em dia é sempre importante para a continuidade do negócio.