<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Texto de balão Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.TextodebaloChar
        {mso-style-name:"Texto de balão Char";
        mso-style-priority:99;
        mso-style-link:"Texto de balão";
        font-family:"Tahoma","sans-serif";}
span.EstiloDeEmail20
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>William, boa tarde.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Trabalho na Leadcomm e nós temos uma solução israelense, inovadora e extremamente eficiente para combate de APTs.<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>O nome da solução é Seculert. Trata-se de um serviço baseado em nuvem que utiliza conceitos big data para detecção de ataques avançados. Não requer a instalação de nenhum dispositivo em seu ambiente, integrando-se totalmente às soluções que você possuir (Firewall, IPS, SIEM, anti-vírus, etc).<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Estou enviando o link da apresentação que está no Dropbox para que você possa ver maiores detalhes e fico à disposição para agendarmos uma reunião na qual poderei explicar todos os detalhes técnicos.<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><a href="https://www.dropbox.com/s/p5c8nuiue2z6e6m/Leadcomm%20-%20Innovation%20Division%20-%20Seculert%20-%20Full_V5.pptx">https://www.dropbox.com/s/p5c8nuiue2z6e6m/Leadcomm%20-%20Innovation%20Division%20-%20Seculert%20-%20Full_V5.pptx</a> (Caso o arquivo não abra automaticamente, clique no botão Baixar -> Download Direto).<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Abraço,<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><table class=MsoNormalTable border=0 cellpadding=0 width=664 style='width:497.7pt'><tr><td width="22%" style='width:22.78%;border:none;border-right:solid windowtext 1.0pt;padding:.75pt .75pt .75pt .75pt'><p class=MsoNormal align=right style='mso-margin-top-alt:auto;margin-right:4.9pt;mso-margin-bottom-alt:auto;text-align:right'><span style='color:#1F497D'><img border=0 width=122 height=46 id="Imagem_x0020_1" src="cid:image001.jpg@01CEED11.F2727F60" alt=LEADCOMM-EMAIL></span><span lang=PT-BR style='font-family:"Calibri","sans-serif";color:#1F497D'><br></span><span style='font-size:8.0pt;font-family:"Calibri","sans-serif";color:#0218E8'><a href="http://www.leadcomm.com.br/"><span lang=PT-BR style='color:#0218E8'>www.leadcomm.com.br</span></a></span><span lang=PT-BR style='font-size:8.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><br></span><span lang=PT-BR style='font-size:8.0pt;font-family:"Calibri","sans-serif";color:black'><br>R. Samuel Morse, 120 cj 64<br>Brooklin – CEP 04576-060<br>São Paulo, SP – Brasil</span><span lang=PT-BR style='font-size:8.0pt;font-family:"Calibri","sans-serif";color:black'><o:p></o:p></span></p></td><td width="76%" style='width:76.32%;padding:.75pt .75pt .75pt .75pt'><p class=MsoNormal style='margin-left:2.7pt'><b><i><span style='font-size:14.0pt;font-family:"Calibri","sans-serif";color:black'>Ilton Duccini</span></i></b><i><span style='font-size:14.0pt;font-family:"Calibri","sans-serif";color:black'> </span></i><i><span style='font-family:"Calibri","sans-serif";color:black'>(</span></i><i><u><span style='font-family:"Calibri","sans-serif";color:#0218E8'><a href="mailto:ilton@leadcomm.com.br"><span style='color:#0218E8'>ilton@leadcomm.com.br</span></a></span></u></i><i><span style='font-family:"Calibri","sans-serif";color:black'>)</span></i><i><span style='font-family:"Calibri","sans-serif";color:black'><o:p></o:p></span></i></p><p class=MsoNormal style='margin-left:2.7pt'><b><i><span style='font-size:9.0pt;font-family:"Calibri","sans-serif";color:black'>Security Innovation Division Director<o:p></o:p></span></i></b></p><p class=MsoNormal style='margin-left:2.7pt'><b><i><span style='font-size:9.0pt;font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></i></b></p><p class=MsoNormal style='margin-left:2.7pt'><b><i><span style='font-family:"Calibri","sans-serif";color:black'>Tel.:</span></i></b><span style='font-family:"Calibri","sans-serif";color:black'> +55 (11) 5505-0505<o:p></o:p></span></p><p class=MsoNormal style='margin-left:2.7pt'><b><i><span style='font-family:"Calibri","sans-serif";color:black'>Cel.:</span></i></b><span style='font-family:"Calibri","sans-serif";color:black'> +55 (11) 99472-3802</span><span style='font-family:"Calibri","sans-serif";color:black'><o:p></o:p></span></p></td></tr></table><p class=MsoNormal><span lang=PT-BR style='font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span lang=PT-BR style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>De:</span></b><span lang=PT-BR style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Associados [mailto:associados-bounces@issa.org.br] <b>Em nome de </b>william Borges da Silva<br><b>Enviada em:</b> sexta-feira, 29 de novembro de 2013 14:22<br><b>Para:</b> Erico C. Manfredi - Boaventura Cons.<br><b>Cc:</b> associados@issa.org.br; Vaz Berto; Associados<br><b>Assunto:</b> Re: [ISSA_Brasil] Ajuda APTs<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>Pessoal,<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Muito obrigado pela ajuda, estou estudando todo o material enviado.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Tenho 2 propostas de ferramentas<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Fire-eye e </span><span style='font-size:10.0pt;font-family:"Calibri","sans-serif"'>Deep Discovery.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Att,<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>William Borges da Silva<o:p></o:p></p></div></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>Em 29 de novembro de 2013 13:14, Erico C. Manfredi - Boaventura Cons. <<a href="mailto:erico@boaventuraconsulting.com.br" target="_blank">erico@boaventuraconsulting.com.br</a>> escreveu:<o:p></o:p></p><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Prezados,</span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Só interando a colaboração do colega, APT pode ser também um ataque diversificado, ou executado por uma equipe de hackers e oriundos de vários pontos da rede.</span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Os IDS´s reativos são excelentes opções para uma rede WAN.</span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Existem opções menores, porém eficientes.</span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Se precisar de dicas de soluções me avise.</span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Sucesso,</span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Érico</span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><span lang=PT-BR><o:p></o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span lang=PT-BR style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>De:</span></b><span lang=PT-BR style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Associados [mailto:<a href="mailto:associados-bounces@issa.org.br" target="_blank">associados-bounces@issa.org.br</a>] <b>Em nome de </b><a href="mailto:alfred@petrobras.com.br" target="_blank">alfred@petrobras.com.br</a><br><b>Enviada em:</b> sexta-feira, 29 de novembro de 2013 12:24<br><b>Para:</b> William Borges da Silva<br><b>Cc:</b> <a href="mailto:associados@issa.org.br" target="_blank">associados@issa.org.br</a>; Vaz Berto; Thiago; Associados</span><span lang=PT-BR><o:p></o:p></span></p><div><p class=MsoNormal><span lang=PT-BR><br><b>Assunto:</b> Re: [ISSA_Brasil] Ajuda APTs<o:p></o:p></span></p></div></div></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR> <o:p></o:p></span></p><p><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Prezado,</span><span lang=PT-BR><o:p></o:p></span></p><div><div><p class=MsoNormal><span lang=PT-BR><br><br></span><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Desde já posso dizer que nenhuma empresa implanta APTs, mas sim sistemas de proteção contra APTs (a não ser que seja uma empresa dedicada a hacking...).</span><span lang=PT-BR><br><br></span><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Um APT nada mais é do que um ataque focado de um hacker, que está buscando informações específicas de uma empresa. Os ataques tipicamente utilizam "zero day vulnerabilities", que são vulnerabilidades conhecidas por alguns hackers mas não pelas empresas de software, de modo que ainda não há patches para evitar ataques que explorem essas vulnerabilidades.</span><span lang=PT-BR><br><br></span><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Um APT vai aproveitar vulnerabilidades "zero day vulnerability", vai usar engenharia social, vai usar toda sorte de ferramentas de invasão, tudo para buscar informações específicas. O "Persistant" quer dizer que o ataque pode ser mantido por um bom período de tempo. A empresa de equipamentos de rede Nortel foi hackeada (<a href="http://en.wikipedia.org/wiki/Nortel" target="_blank">http://en.wikipedia.org/wiki/Nortel</a>) por mais de 10 anos e alguns acham que esse hacking, conduzido por crackers chineses, contribuiu para a quebra da empresa. Os rootkits instalados pelos crackers chineses constituíram uma espécie de APT, dentro da tecnologia da época.</span><span lang=PT-BR><br><br></span><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Os equipamentos de proteção contra APTs são na realidade sistemas que detectam comunicações suspeitas pela rede da organização. Não cheguei a estudar esse tipo de sistema, mas sei que há vários no mercado de sistemas de segurança.</span><span lang=PT-BR><br><br></span><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'>O SANS mantém uma biblioteca de artigos (em inglês) sobre diversos temas. Achei esse artigo, com link logo abaixo, sobre o tema APTs, que explica tecnicamente a natureza de um ataque investigado pelo autor do artigo (que pelo jeito entendia chinês, essencial para decifrar o ataque, dado que o ataque se originou na China).</span><span lang=PT-BR><br><br></span><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'><a href="http://www.sans.org/reading-room/whitepapers/malicious/detailed-analysis-advanced-persistent-threat-malware-33814" target="_blank">http://www.sans.org/reading-room/whitepapers/malicious/detailed-analysis-advanced-persistent-threat-malware-33814</a></span><span lang=PT-BR><br><br></span><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Uma empresa que fornece sistemas de proteção é a Fireeye: <a href="http://www.fireeye.com/products-and-solutions/" target="_blank">http://www.fireeye.com/products-and-solutions/</a>. Há outras empresas no mercado.</span><span lang=PT-BR><br><br></span><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Att,</span><span lang=PT-BR><o:p></o:p></span></p></div></div><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:36.0pt'><span lang=PT-BR style='font-size:10.0pt;font-family:"Arial","sans-serif"'><br>_____________________________________________________<br>Alfred John Bacon, CISM, CISA, CRISC, CISSP<br>Consultor Sênior<br>Cel:<a href="tel:%28%2B5521%298187-2649" target="_blank">(+5521)8187-2649</a><br>PETROBRAS - Financeiro Corporativo - Controle e Conformidade<br>Av República do Chile, 65 - 402A - Centro Tel<a href="tel:%28%2B5521%29%203224-4850" target="_blank">(+5521) 3224-4850</a><br>CEP 20031-912 - Rio de Janeiro - RJ - Brasil</span><span lang=PT-BR><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=PT-BR><br>"O emitente desta mensagem é responsável por seu conteúdo e endereçamento. Cabe ao destinatário cuidar quanto ao tratamento adequado. Sem a devida autorização, a divulgação, a reprodução, a distribuição ou qualquer outra ação em desconformidade com as normas internas do Sistema Petrobras são proibidas e passíveis de sanção disciplinar, cível e criminal."<br><br>"The sender of this message is responsible for its content and addressing. The receiver shall take proper care of it. Without due authorization, the publication, reproduction, distribution or the performance of any other action not conforming to Petrobras System internal policies and procedures is forbidden and liable to disciplinary, civil or criminal sanctions."<br><br>"El emisor de este mensaje es responsable por su contenido y direccionamiento. Cabe al destinatario darle el tratamiento adecuado. Sin la debida autorización, su divulgación, reproducción, distribución o cualquier otra acción no conforme a las normas internas del Sistema Petrobras están prohibidas y serán pasibles de sanción disciplinaria, civil y penal."<o:p></o:p></span></p></div></div></div></div></div><p class=MsoNormal><o:p> </o:p></p></div></div></body></html>