.
em resumo A diretora da Cybersecurity and Infrastructure Security Agency, Jen Easterly, tem falado abertamente em seu esforço para trazer mais mulheres para a indústria de segurança, e este ano, para o Dia Internacional da Mulher, sua agência formalizou essa promessa ao anunciar uma parceria com a organização sem fins lucrativos Women in CyberSecurity (WiCyS).
O Departamento de Segurança Interna dos EUA e a agência WiCyS assinaram um memorando de entendimento na quarta-feira para ajudar a aumentar a conscientização sobre oportunidades de trabalho para mulheres em segurança cibernética e construir “um canal para a próxima geração de mulheres” capaz de preencher essas funções, a agência disse.
Easterly, que foi escolhida pelo presidente Biden para chefiar a CISA em 2021, disse que inspirar mulheres e meninas a ingressar no campo da segurança cibernética é uma de suas principais prioridades. Leste era uma palestrante principal na conferência anual WiCyS de 2022, onde ela pediu que metade dos profissionais de segurança cibernética sejam mulheres e minorias sub-representadas até 2030. Pela contagem mais recente, o número é apenas metade disso – cerca de um quarto das funções de segurança cibernética são ocupadas por mulheres.
O WiCyS foi fundado em 2014 por meio de uma concessão da National Science Foundation ao Dr. Ambareen Siraj, da Tennessee Tech University, para iniciar o WiCyS como uma conferência. Em 2018, o grupo cresceu o suficiente para criar sua própria organização sem fins lucrativos e começou a oferecer outros serviços para mulheres na comunidade de segurança, como um quadro de empregos, oportunidades de afiliados profissionais, programas de assistente de treinamento, serviços de colocação de aprendizes e muito mais.
A CISA disse em seu anúncio da parceria que uma de suas primeiras iniciativas conjuntas será a participação da CISA no WiCyS’ orientação programa. Aberto a todos os membros do WiCyS, o programa de nove meses agrupa mentorados em coortes para reuniões virtuais com mentores do setor de segurança cibernética, dos quais os funcionários da CISA provavelmente farão parte. No ano passado, o programa incluiu 746 alunos desde o nível básico até o superior.
Alunos interessados ou potenciais mentores podem se inscrever agora, mas a janela se encerra em 22 de março.
Sobre a parceria, a diretora executiva da WiCyS, Lynn Dohm, disse que o objetivo da CISA de desenvolver uma força de trabalho de segurança cibernética mais forte e inclusiva se alinha perfeitamente com a missão de seu grupo. “Nossa colaboração garantirá que mais mulheres e outros grupos sub-representados tenham as ferramentas e os recursos para impulsionar suas carreiras na área cibernética e sejam apoiados ao longo de sua jornada”, disse Dohm.
Itens acionáveis desta semana
Como observamos há algumas semanas, adicionamos esta seção ao resumo semanal de segurança como forma de garantir Strong The One os leitores estavam cientes das vulnerabilidades críticas em tempo hábil. Expandimos a seção para incluir também alguns dos outros itens de segurança menores, mas ainda assim acionáveis, da semana que não foram impressos.
A CISA detectou mais cinco vulnerabilidades conhecidas sendo exploradas na natureza esta semana, mas apenas três delas foram classificadas como críticas:
- CVS 8.5 – CVE-2021-39144: a biblioteca XStream é vulnerável a um RCE que pode permitir que um invasor remoto manipule o fluxo de entrada processado para executar comandos como o host.
- CVS 8.8 – CVE-2022-33891: quando as ACLs são habilitadas no Apache Spark, um caminho de código é aberto em HttpSecurityFilter que permite a representação sempre que um usuário fornece um nome de usuário arbitrário.
- CVS 9.8 – CVE-2022-35914: A plataforma de gerenciamento de serviço de código aberto GLPI contém um arquivo de teste PHP em seu módulo htmlawed que permite a injeção de código PHP.
A CISA também lançou um par de vulnerabilidades críticas do sistema de controle industrial:
- CVS 8.8 – CVE-2023-0228: O software ABB Ability Symphony Plus contém um bug de autenticação imprópria que pode permitir que um cliente não autorizado se conecte a um servidor de operações e aja como um cliente legítimo.
- CVS 9.8 – Múltiplos CVEs: Todas as versões do Akuvox E11, um telefone com câmera de campainha, são afetadas por vulnerabilidades, incluindo o uso de chaves de criptografia codificadas, um servidor web sem autenticação, nenhuma verificação de extensão de arquivo e vários outros motivos para atualizar ou simplesmente despejar o coisa, o mais rápido possível.
Aqui está um rápido resumo dos outros itens que estamos acompanhando esta semana:
- O FBI é aviso que, embora o mundo possa ter mudado da criptografia em favor da mania da IA, os cibercriminosos ainda estão criando jogos de blockchain falsos para roubar criptomoedas.
- Oh, veja: não é apenas BetterHelp vendendo dados de clientes para anunciantes: empresa de telessaúde Cerebral disse esta semana está fazendo a mesma coisa – mas por acidente, afirma.
- O ransomware IceFire tem mutantee agora também infecta os sistemas Linux.
- Quer ver o ChatGPT gerar malware polimórfico? Claro que sim, e é por isso que o pessoal da Hyas lançado um PoC disso. Agora vá aprender do que ele é capaz para que você possa ser proativo contra ele.
- A empresa de classificação de segurança cibernética Bitsight disse um em 12 as empresas que ele rastreia têm uma webcam não segura voltada para a Internet ou um dispositivo semelhante – talvez agora seja a hora de verificar a sua?
- O GitHub Actions foi codificado com um pouco de descuido de segurança: acontece que atores mal-intencionados podem usar confirmações de repositórios bifurcados para ignorar as configurações de fluxo de trabalho permitidas e ocultar códigos maliciosos. A lição? Assine todos os seus commits.
O FBI pagou por dados de localização para contornar as regras do mandado
Ao falar perante o Senado dos EUA, o diretor do FBI Christopher Wray fez uma admissão nada surpreendente, mas ainda um tanto surpreendente: G-men impedidos de obter mandados de dados de geolocalização simplesmente recorreram à compra dos dados de que precisam de corretores.
Wray fez uma declaração redigida com muito cuidado no sentido de que o FBI não compra mais dados de localização, mas costumava comprar.
“Até onde sei, atualmente não compramos informações de banco de dados comerciais que incluam dados de localização derivados de publicidade na Internet. Entendo que anteriormente – como no passado – compramos algumas dessas informações para um projeto piloto específico de segurança nacional. Mas isso não está ativo por algum tempo”, disse Wray na audiência.
Observe sua qualificação nessa declaração: o FBI atualmente não compra dados que incluam dados de localização derivado de publicidade na internet. Quanto aos dados de localização derivados de outro lugar? Bem, o FBI depende de processos autorizados pelo tribunal para obter esses dados, Wray disse.
A admissão de Wray marca a primeira vez que uma agência federal lida com o que o Congresso tem preocupado há algum tempo, ou seja, que as agências federais dos EUA estão contornando a regra da quarta emenda contra buscas irracionais, que a Suprema Corte decidiu em 2018 incluído dados de localização, simplesmente comprando-os no mercado comercial.
O senador Ron Wyden, cuja pergunta provocou a confirmação de Wray do passo judicial lateral, escreveu cartas aos Departamentos de Segurança Interna, Defesa e Justiça pedindo-lhes que investigassem a suposta coleta sem mandado de dados de localização em suas agências. Agora que sabemos que eles estavam fazendo isso, resta saber se o Congresso pode realmente mudar a lei para impedir que isso aconteça – mesmo que não esteja acontecendo agora. ®
.
