outubro 31, 2006

[Segurança] Crimeware

O Anti-Phishing Working Group (APWG) lançou recentemente, em conjunto com o "US Department of Homeland Security", um relatório muito interessante sobre o que é o "Crimeware", quais são as técnicas e as tendências, chamado "The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond".

"Crimeware" é um termo utilizado pra designar qualquer atividade ilegal realizada através de softwares, com objetivo de obter ganhos financeiros para o distribuidor do software. Isto inclui os "keyloggers" (e os "screenloggers"), os trojans, os rootkits e vários outros. O relatório fala sobre o que eles são, como se propagam, se instalam, como são usados e passa algumas dicas de como prevení-los.

outubro 27, 2006

[Segurança] Cartilha de Segurança para Internet


O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), com o apoio do Comitê Gestor da Internet publicou recentemente a versão 3.1 da Cartilha de Segurança para Internet, que agora passou a ser editada também em um formato de livro.

A cartilha está disponível gratuitamente no site http://cartilha.cert.br/ e tem um conteúdo excelente, completo, maduro, de grande valia para os profissionais de segurança e usuários em geral. É uma boa opção para uso em treinamentos e atividades de conscientização de usuários.

O CERT.br tem feito um trabalho excelente com a cartilha. Ela foi criada em 2000, e desde então tem evoluído bastante, em seu conteúdo e apresentação. No site

[segurança] Carreira em Segurança

O amigo Sérgio Dias publicou há um tempo atrás um texto muito completo em seu Blog sobre Carreira do Profissional de Segurança.

Em seu texto, ele aborda o mercado brasileiro de segurança, comenta sobre as principais certificações existentes (e quais são mais valorizadas) e dá dicas de como se manter atualizado (sites, livros, etc). O texto está bem feito e consistente.

Parabéns, amigo.

outubro 26, 2006

[segurança] Conscientização de Usuários


Um dos aspectos mais importantes de um programa de segurança corporativo é, justamente, obter a conscientização e comprometimento dos usuários. Os usuários finais são os alvos mais fáceis de ataques, devido a pouca informação que normalmente possuem sobre tecnologia e os riscos de segurança existentes.

Atualmente existem várias empresas e ferramentas que auxiliam na elaboração e implantação de um plano de conscientização (em inglês, "security awareness"). Isto deve envolver treinamentos, palestras e campanhas periódicas, porém com o cuidado de não serem repetitivas nem perderem o descrédito junto aos usuários.

Nesse segmento, há algumas companias e soluções que acredito que merecem um destaque, tais como:
  • Existe um screensaver gratuito, bem simples, mas que pode ser customizado em www.code.ae/projects/scr (vi essa dica no blog do amigo Wagner Elias)
  • No site da empresa Security Awareness Inc. também tem muito material de conscientização bem feito. Embora seja em inglês, acho que vale a pena dar uma olhada no screensaver demo deles ("free demo version") e nos modelos de posters e banners (como o utilizado aqui) como fonte de inspiração. Visite também a página com os ítens gratuitos ("freebies").
  • Uma opção nacional de screensaver de segurança é o safeboard
  • Eu mesmo já utilizei o gibi de segurança da "Qualidade em Quadrinhos"


Além das citadas acima, existem várias ferramentas que podem ser utilizadas para manter uma comunicação e conscientização com os usuários, tais como:
  • Intranet de Segurança (acho importante como repositório de informações e para consulta)
  • pop-ups na Intranet para chamar a atenção para campanhas
  • banners na intranet
  • bulletin boards, para permitir a troca de idéias e informações
  • blogs
  • mailing interno, periódico, divulgando novidades, cuidados e notícias
  • meio de canal (e-mail ou formulário web) para receber reclamações, dúvidas, etc
  • padronizar fundo de tela e/ou screensavers dos computadores
  • material de campanha tradicional, tal como posters, brindes, adesivos, mouse pad, etc


Também é comum ver empresas criando campanhas como "Dia da Segurança", "Dia do [Anti-]Vírus", etc.

O importante é saber que cada ferramenta de comunicação tem um enfoque diferente e nenhum deles deve ser usado em demasia, caso contrário o usuário passa a se aborrecer e ignorá-lo. O ideal é criar um planejamento estratégico das ações de conscientização e definir uma mensagem diferente para ser comunidada por cada meio, com um intervalo de um ou dois meses entre cada ação.

Por exemplo, num mês você divulga sua política por mailing e pop-up, noutro mês faz a campanha do dia internacional de segurança com banner na intranet, etc...

Há um material muito bom do NIST, de 2003, chamado "Building an Information Technology Security Awareness and Training Program" e deve servir de referência para quem deseja elaborar um plano de conscientização de segurança. Eles também possuem uma página específica sobre "Awareness, Training & Education" que vale a visita.

outubro 17, 2006

[Segurança] Tarados e pedófilos em sites de relacionamento

Recebi essa notícia através do CISSP Fórum: O artigo "MySpace Predator Caught by Code" na Wired News é interessante.

Segue um breve resumo dele:

O bom e velho Kevin Poulsen criou um script em Perl (+ de 1000 linhas) para buscar perfis de "predadores sexuais" conhecidos no MySpace. Dos 385.932 "registered sex offenders", ele localizou 744 perfis (em 1/3 dos resultados encontrados, pois teve que fazer um refinamento manual, devido aos numerosos "falso positivos"). 407 deles tem histórico de interesse por crianças ! E a maioria dos profiles encontrados aparentam ser de uma pessoa com uma vida normal (e não de um tarado/pedófilo/etc).

E, no caso, ele encontrou os "predadores sexuais" conhecidos que se cadastraram no MySpace com seu nome real. Ou seja, que foram inocentes (ou amadores) o suficiente para não se cadastrarem com um nome fictício.

Dentre alguns exemplos de perfis encontrados, um ex-treinador de basket de 34 anos usa o MySpace para manter contato com seus ex-alunos. Em seu registro criminal consta que ele fazia os garotos (de até 13 anos) tirar as roupas em frente dele. Outro cara, de 33 anos que molestou uma criança menor de 13 anos em 1994, usa o slogan "Love knows not age" em seu perfil. (argh!)

Em seu artigo ele mostra que, através de sua investigação, Kevin ajudou a polícia a encontrar "Andrew Lubrano", que usava o MySpace para fazer amizade com menores. Segundo o artigo, no perfil de Lubrano constavam 93 amigos, incluindo 6 adolescentes que ele ele encontroou através do site.

Moral da história?
  • Os "predadores sexuais" estão a solta e agindo através das comunidades virtuais.
  • As crianças estão sendo abordadas por eles ! São vítimas fáceis !
  • A polícia e os sites de relacionamento (como o MySpace) ainda não sabem como evitar ou contra-atacar isso.
  • Apesar de parecer inviável, é possível buscar e identificar perfis suspeitos, que após um trabalho investigativo (manual) pode levar a prisão deste tipo de criminoso. É trabalhoso, claro, e depende de uma investigação e legislação eficientes.

outubro 16, 2006

[segurança] Open Vulnerability and Assessment Language

O Open Vulnerability and Assessment Language (OVAL™) é um esforço para criar um padrão internacional para documentação e troca de informações sobre segurança, principalmente vulverabilidades.

O projeto OVAL inclui uma especificação de linguagem usada para criar arquivos XML com a codificação do detalhamento de sistemas e vulnerabilidades: isso permite documentar, para uma determinada vulnerabilidade, que sistemas são afetados e como testar se o sistema está vulnerável. Assim, foi criada uma forma de documentar os três passos de um processo de avaliação de vulnerabilidade: representação do status do sistema a ser testado, análise do sistema e a apresentação do resultado da análise.

Isto forma uma base de informações que pode ser acessada e compartilhada pela comunidade. O principal repositório é chamado de "OVAL Repository" e fica hospedado no Mitre. Nesse site é possível buscar por vulnerabilidades e fazer o download da base de dados com todas as vulnerabilidades cadastradas (na página de database, é possível abaixar o repositório por sistema operacional). Essa base de dados nada mais é do que um "arquivão" .xml com a descrição, na linguagem OVAL, de todas as vulnerabilidades conhecidas.

Por exemplo, indo na página de "Latest Updates", o link "oval:org.mitre.oval:def:220" permite ir na página de descrição de uma vulnerabilidade recente no PowerPoint que permite ao atacante executar aplicativos através de arquivos mal-formados. Nessa página é possível abaixar o arquivo XML com a especificação técnica da vulnerabilidade e descrição dos sistemas afetados. Fuçando nesse arquivo, vemos que a tag "description" descreve a vulnerabilidade, a tag "tests" descreve os testes necessários para saber se o equipamento está vulnerável (se o Power Point estáinstalado e qual é a versão vulnerável). Na tag "objects" é especificado como verificar estas informações (no caso, quais chaves de registry consultar).

Essas informações podem ser tratadas por aplicativos compatíveis (aí depende do fabricante da ferramenta de segurança utilizar esse padrão ou não). No site do OVAL está disponibilizado um aplicativo muito simples para exemplificar o uso destas informações, chamado "OVAL Interpreter".

A versão Windows dele roda no prompt do DOS. Após fazer o download e copiar ele para algum diretório em sua máquina, copie o XML de definições para a plataforma Windows para a pasta e o renomeie este arquivo para "definitions.xml". Ao executar o comando "ovaldi -m", ele irá verificar se seus sistema possui alguma das vulnerabilidades cadastradas e vai gerar um XML com o resultado (e, aí, se vire para entender... heheheheh).

Também no site do projeto OVAL é possível ver quais são os programas e produtos compatíveis (na página "OVAL Compatibility").

[Cybercultura] Lindas fotos do Rio de Janeiro


Achei um "fotolog" muito bonito hospedado no Flickr, do Claudio Lara.

Neste fotolog há fotos lindas, de tirar o fôlego. A maioria delas são do Rio de Janeiro, mostrando locais turísticos, construções e paisagens em ângulos incríveis.

Depois de visitá-lo, fiquei com vontade de ver, ao vivo, a abóbada central da Igreja da Candelária !!!

outubro 09, 2006

[Segurança] Dia Internacional de Segurança em Informática 2006

Pelo segundo ano consecutivo, a RNP estará promovendo, no dia 30 de novembro, o Dia Internacional de Segurança em Informática.

O DISI 2006 (Dia Internacional de Segurança em Informática) tem como objetivo promover a segurança da informação para toda a sociedade, principalmente os usuários e os profissionais relacionados a Internet. Neste dia haverá um ciclo de palestras online (que, no ano passado, foi de excelente conteúdo) e o site do evento irá disponibilizar, em breve, alguns materiais de apoio para a discussão e divulgação da segurança.

É imperdível !!!!

Todos os profissionais de segurança devem divulgar, colaborar e comparecer no evento.

Site do evento: www.rnp.br/eventos/disi/2006/

outubro 05, 2006

[Cidadania] O Astronauta Brasileiro

Ontem, na Futurecom, tive a oportunidade de assistir uma palestra do astronauta e cosmonauta Marcos Pontes, o primeiro brasileiro a ir para o espaço. A palestra foi patrocinada pela Venturus.



A propósito, há uma piada correndo na Internet segundo a qual "foi só um brasileiro is para o espaço que sumiu um planeta" (Plutão).

Como (quase) todos nós já sonhamos um dia em ser astronauta, não foi surpresa ver a quantidade de pessoas que se amontoavam para assistir a apresentação e, depois, tirar fotos com ele.

A palestra dele foi excelente. Ele, em si, é uma pessoa cativante: simpático, simples e de origem humilde - chegou ao que é hoje através de muito esforço, estudo e dedicação. Ele falou sobre como foi sua formação, como foi sua escolha para ser o astronauta brasileiro e como foi todo o treinamento e preparativos para o vôo. Além de contar como foi o vôo em si e vários detalhes engraçados e/ou curiosos que ocorreram. Hoje ele ainda atua na Agência Espacial Brasileira.

Ele terminou sua apresentação com uma frase de Gandhi, que mostra muito bem a importância de pensarmos como comunidade, como um grupo, e não individualmente:
“Tudo que fizermos individualmente será insignificante, mas é muito importante que cada um de nós faça a sua parte!”

Essa foi, na minha opninão, a principal mensagem dele. Ao ver a Terra do espaço, pode-se ver o quanto somos pequenos, individualmente. Porém, somos especiais graças a soma de todos nós, e a nossa evolução através das gerações (daí a importância da educação, da preocupação com a formação das crianças e jovens - pois eles ditarão nosso futuro).

Ele tem um site em www.marcospontes.net.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.