[Segurança] Reportagem da BBC sobre Cybercrime no Brasil

A BBC publicou hoje dois artigos muito interessantes sobre o crime cibernético (cyber crime) no Brasil. A reporter Misha Glenny, ao escrever um artigo sobre como o crime está crescendo organizadamente no mundo inteiro, utilizou o Brasil como um exemplo (real) de como funciona o crime cibernético.

O artigo "What makes a cyber criminal?" utiliza um exemplo real, do "hacker" Fabio (nome fictício), um garoto que vive na favela em SP e que aprendeu a cometer pequenos roubos pela Internet, através de gastos em cartões de crédito roubados.

No site do BBC Radio é possível ouvir a reportagem "How Crime Took on the World", onde a quarta parte é a respeito do cyber crime no Brasil, país que, segundo a reportagem, produz mais cyber criminosos do que qualquer outro lugar no mundo. A reportagem pode ser ouvida online é também é possível abaixar o mp3 dela.

[Segurança] Blog sobre Direito Eletrônico

Achei um blog muito interessante sobre direito eletrônico, chamado Direito da Tecnologia da Informação.

Ele tem vários posts muito bons e de qualidade sobre esse assunto, que falam sobre os aspectos legais relacionados a tecnologia e segurança.

Para quem tem interesse nesse assunto, eu recomendo também os sites dos doutores Renato Opice Blum e Patricia Peck, os dois maiores expoentes sobre esse assunto.

[Geek] Startups do Windows

Este vídeo é muito legal: chamado "Windows Sounds and logos- never before seen!", ele é uma montagem que mostra os logos e os sons utilizados no startup de diferentes versões do Windows.

[Segurança] Caso muito curioso de recuperação de HDs

A Scientific American publicou um artigo muito interessante, sobre o trabalho realizado a partir de um HD recuperado do acidente com o ônibus espacial Columbia ("Hard Drive Recovered from Columbia Shuttle Solves Physics Problem").

O acidente ocorreu em fevereiro de 2003, quando o ônibus espacial Columbia explodiu durante sua reentrada na atmosfera após completar sua missão no espaço (veja uma reportagem sobre o acidente aqui). Para delírio dos aficionados por perícia forense, o HD foi identificado em meio aos destroços do acidente armazenados no Kennedy Space Center e enviado para uma empresa especializada em recuperação de dados (Ontrack Data Recovery). A empresa conseguiu recuperar 99% dos dados do HD, que eram referentes a uma das pesquisas científicas realizadas durante o último vôo do ônibus espacial. Os dados recuperados permitiram que a pesquisa fosse concluída.

O Columbia se desintegrou no retorno de seu último vôo espacial, matando todos os seus 7 ocupantes e espalhando destroços pelos estados do Texas e Luisiania. O HD, um Seagate de 400GB, foi recuperado 6 meses depois do acidente. Após a explosão da nave, ele "sobreviveu" a entrada na atmosfera, ao fogo, a queda e estava caído em um lago seco em meio aos destroços, cercado por metais retorcidos e derretidos.

Segundo uma reportagem bem detalhada da ComputerWorld, o HD estava quase irreconhecível. A controladora (uma placa de circuitos que fica na parte inferior do HD) estava queimada, com todos os seus componentes destruídos. Todas as peças de plástico tinham derretido, todos os chips eletrônicos estavam queimados e o selo de borracha que vedava o HD também havia derretido, deixando muita sujeira entrar. Os especialistas conseguiram limpar e recuperar os pratos do HD, montá-lo no chassis de um outro HD semelhante e, assim, ler cerca de 99% da informação que permanecia lá. O trabalho foi feito em 2 dias, mas a análise dos dados durou mais alguns anos.

[Cybercultura] Cartoons muito legais

O Randy Glasbergen mantém um site com centenas de charges muito legais, várias delas relacionadas a computadores e Internet. Mas várias outras sobre temas mais gerais, em sua maioria temas atuais.
As charges são bem feitas e muito engraçadas, eu recomendo a visita.
As charges são protegidas por copyright e o autor pede que enviem uma mensagem para ele para saber quanto custa usá-las.

[Segurança] (ISC)2 Blog

A (ISC)2 anunciou oficialmente a criação de seu novo blog, chamado singelamente de (ISC)2 Blog.

Mais um blog de segurança? Talvez não.... como uma das mais respeitadas entidades do mundo da segurança, o (ISC)2 tem o propósito de criar um blog para permitir que seus próprios associados publiquem posts no blog da associação (e todos são profissionais experientes na área).

Em uma rápida olhada nos posts existentes, há alguns textos longos, no estilo "artigo", e pequenas notas - todos muito interessantes e de boa qualidade. Arrisco dizer que é um blog para se visitar periodicamente. Sucesso a eles !!!!!

[Cultura] Frases de pessoas famosas

Acabei de incluir um recurso legal em meu Blog: no canto esquerdo agora tenho uma área que mostra a "frase do dia" ("Quote of the Day"). é um serviço interessante fornecido pelo site BrainyQuote.
Este site contém milhares de frases interessantes que foram ditas por pessoas famosas. É um recurso muito útil para enriquecer um texto (de seu trabalho ou faculdade), um artigo, seu site ou até mesmo para passar o tempo lendo!

[Segurança] Enigma na RSA Conference 2008

Durante a RSA Conference de 2008 (realizada de 07 a 11 de abril, em São Francisco/EUA), tive a oportunidade de visitar o stand da NSA no pavilhão de exposições: um stand pequeno, fechado, onde nas duas portas de entrada ficavam seguranças que entregavam um crachá de visitante, sem o qual você não poderia entrar lá (e na saida o segurança, sorridente, dizia que o crachá era era um brinde). Lá dentro, a NSA (National Security Agency) mostrava o funcionamento do Enigma (a famosa máquina de criptografia utilizada pelo exército alemão na Segunda Grande Guerra). Livretos, demonstrações e uma máquina faziam parte do acervo. Veja o vídeo feito no stand da NSA durante a exposição:

[Segurança] Futuro da área de segurança, segundo o Bruce Schneier

Foi divulgado, na CISSP-Forum, um artigo muito interessante publicado na TechDirt Daily, chamado "Security-As-A-Feature And The Economics of Abundance", onde o autor (Timothy Lee) faz análises em cima de algumas opiniões do guru Bruce Schneier. O que me chamou a atenção foi o trecho abaixo:

Security products are increasingly becoming commodities. Obviously the software ones - anti-virus tools, software firewalls, intrusion detection systems - have a marginal cost of zero, and even many of the hardware devices are built on commodity parts that get cheaper every month. What hasn't gotten cheaper is the expertise required to put the bewildering array of security tools together into a coherent system that's customized for a firm's particular business. Indeed, as security products have gotten more numerous and more complex, it has actually gotten harder to keep track of them all and know which security tools are the best ones to use in any given situation.

A cada dia, as soluções tradicionais de segurança começam a fazer parte da infra-estrutura operacional básica de uma empresa (ninguém imagina uma rede sem Firewall nem um computador sem anti-vírus). Ao mesmo tempo, as tecnologias tradicionais de segurança vão atingindo um grau cada vez maior de maturidade que torna-se difícil distinguir ferramentas de concorrentes distintos: todas cobrem as funcionalidades "básicas" e, quando alguma lança algum tipo de recurso "avançado", certamente os concorrentes o farão em um curto prazo. Assim, as tecnologias de segurança tornam-se "commodities", simples produtos de prateleira. Nessa hora é que entra a capacidade do profissional de segurança e indentificar, dentro de todo o leque possível de tecnologias, ferramentas e fornecedores, quais são as ferramentas de segurança que realmente agregam valor ao negócio.

Uma empresa não compra soluções de segurança porque quer. Compra porque precisa, porque sua infra-estrutura tecnológica, por si só, não é capaz de garantir a segurança necessária contra os riscos de negócio e contra os ataques e ameaças do dia-a-dia. As soluções de segurança funcionam como uma proteção preventiva: já que a rede não tem condições de se proteger sozinha, já que as aplicações tem bugs, vamos adicionar uma camada de proteção nelas. Outro trecho deste mesmo artigo mostra isso muito bem, do ponto de vista de negócio:

(...) non-security-focused software firms buying security firms to help bolster the security and reputation of their products. This may indicate that developers of other software products are recognizing that better security is one of the key features customers are demanding in their products.

A indústria tem se mostrado, historicamente, incapaz de fabricar um software seguro. Por outro lado, a empresa não quer comprar segurança: ela quer comprar o software, a aplicação que atende sua necessidade imediata de negócio (sua folha de pagamento, seu sistema contábil, seu site de comércio eletrônico). Uma solução dedicada de segurança existe justamente porque a empresa está buscando meios de trazer segurança ao seu negócio. Hoje a empresa tem que comprar dezenas de softwares e ferramentas de segurança (Firewall, IDS, IPD, anti-virus, personal firewall, criptografia, backup, etc) justamente porque a infra-estrutura de TI não consegue garantir sua disponibilidade, confidencialidade e integridade por si só.

[Segurança] Catalogo de fraudes da RNP

O CAIS, da RNP, lancou um catálogo de fraudes muito interessante, onde apresenta as principais fraudes online identificadas e divulgadas pelo CAIS.

A intenção é utilizar este site para, a partir deste ano, apresentar todas as fraudes identificadas pelo CAIS (ordenadas de acordo com a data de distribuição), de forma a conscientizar a comunidade sobre os principais golpes que estão em circulação. O site é rico em exemplos de fraudes (mensagens de phishing scam)), descrevendo o seu tipo, o arquivo malicioso que ele tenta utilizar e um breve descritivo do seu funcionamento (além de screenshot deles).

É uma ótima iniciativa, que pode colaborar muito com a conscientização dos usuários finais.