dezembro 28, 2007

[Segurança] ISSA Day - Janeiro / 2008

A ISSA Capítulo Brasil/SP já preparou a próxima edição do ISSA Day patrocinado pela CLM. O ISSA Day de Janeiro de 2008 irá ocorrer no próximo dia 23/01 (quarta-feira).

Nesta edição do encontro, contaremos com a presença de um palestrante internacional, o consultor de segurança David Thomason. Sua palestra será sobre o uso de tecnologias de monitoração de redes para detecção de intrusos.

Agenda:

19:00 ~ 19:15 - Apresentação da ISSA
19:15 ~ 20:15 - Apresentação da CLM
20:15 ~ 20:45 - Coffee-break
21:15 ~ 22:00 - David Thomason - Network Intelligence: The Benefits of a Passive vs. an Active Approach

Local: Sonesta Ibirapuera - Sala Caju
Av. Ibirapuera, 2534, Moema - São Paulo - SP

O evento é gratuito e aberto a todos os profissionais de segurança. As inscrições devem ser feitas no site da ISSA Brasil/SP.

Sobre o palestrante:
Depois de 20 anos trabalhando no mercado de segurança de redes, David Thomason fundou sua própria empresa de produtos e serviços de segurança. Thomason é um líder dinâmico e montou alguns dos melhores times de desenvolvimento e consultoria em segurança. Thomason é um palestrante requisitado por diversos eventos ao redor do mundo e já foi entrevistado por diversos jornais e revistas, além de programas de rádio. Após passar por empresas como a ISS e a Sourcefire, Thomason agora está proporcionando sua experiência, liderança e habilidade de comunicação para na criação de uma nova empresa de consultoria e produtos de segurança.

[Geek] The Day The Routers Died

Vi no YouTube uma sátira muito engraçada feita a partir da música "American Pie" chamada "The Day The Routers Died".

Os Geeks de plantão vão adorar !!!

dezembro 21, 2007

FELIZ NATAL PARA TODOS !!!

Desejo a todos os meus amigos, meus familiares e leitores um Feliz Natal, repleto de paz, saúde, felicidades e segurança.


Este ano resolvi não enviar e-mail para os amigos desejando Feliz Natal, depois que um grande amigo disse que nunca os lê (para ser sincero, nem eu...). Assim, optei por algo mais prático: utilizar meu blog !!!

Além do significado religioso da data, o Natal representa, para mim, uma época de confraternização. É o momento de lembrarmos o quanto nossa família é importante e o valor de nossos amigos em nossa vida. (Isto vale para os familiares e amigos próximos e distantes)

dezembro 13, 2007

[Cybercultura] Cyberbullying

Há pouco tempo vi uma notícia sobre jovens japoneses vítimas de um tal de "ciberbullying", um dos problemas que surgiram na era da Internet.

A palavra "ciberbullying" deriva do inglês "bullying", que é um conjunto de comportamentos agressivos, intencionais e repetitivos que normalmente são adotados por um ou mais alunos contra outros colegas, sem motivação evidente. No caso do ciberbullying, essas mesmas ações são realizadas no mundo virtual através de blogs, comunidades de relacionamento (Orkut, Myspece, etc), YouTube, outros tipos de sites, softwares de comunicação instantânea (como o MSN Messenger) e até mesmo mensagens de texto enviados no telefone celular.

Alguns jovens japoneses, ao se tornarem alvo de seus "colegas", passam a sofrer insultos e a serem perseguidos online através de mensagens de celular, posts ofensivos na Internet, etc. Segundo a reportagem, 10% dos alunos de colegial do Japão dizem já ter sido ofendidos por e-mails, sites ou blogs.

Coisa de Japonês? Os japoneses são sempre lembrados por sua cultura altamente tecnológica e, ao mesmo tempo, com uma sociedade muito rígida. O cenário ideal para este tipo de ciber-problema.

Mas isso acontece no Brasil também. Já tivemos vários casos divulgados na mídia de adolescentes sendo ofendidos, ou com sua intimidade exposta na Internet e, em seguida, perseguidos por seus colegas (ou conhecidos). Os dois mais famosos foram os da casos das fotos do "cafofo" montado em uma festa do centro acadêmico da GV em 2002 e, mais recentemente, a jovem de Marília que teve divulgadas fotos fazendo sexo com dois homens. Há vários casos julgados de sites criados para ofender terceiros, além de histórias frequentes sobre ofensas realizadas pelo Orkut (o famoso crime de "calúnia e difamação" já em sua versão online).

O site da ONG SaferNet Brasil é uma ótima referência para quem quer se aprofundar mais no assunto do direito a privacidade online ou mesmo para quem está sofrendo estes tipos de problemas (ou quem quer evitá-los).

dezembro 05, 2007

[Segurança] ISSA Day de Dezembro

No próximo dia 10 de dezembro, (segunda-feira) a ISSA Capítulo Brasil realizará mais uma edição do ISSA Day, que será patrocinado e acontecerá nas dependências da BRConnection. Nesta edição do encontro, contaremos com a presença de Anderson Ramos, da (ISC)2, que falará sobre Desenvolvimento profissional e carreira em Segurança da Informação.

Além disso, contaremos com a presença dos membros e o encerramento do Grupo de Estudos 2007 para Certificação CISSP em São Paulo e Chamada para o Grupo de Estudos 2008.

Agenda:

19:00 ~ 19:15 – Recepção
19:15 ~ 19:30 - Apresentação da ISSA
19:30 ~ 20:00 - Apresentação BRC
20:00 ~ 20:30 - Coffee-break
20:30 ~ 22:00 - Palestra - Anderson Ramos - Desenvolvimento
profissional e carreira em Segurança da Informação.
22:00 ~ 23:30 - Coquetel Comemorativo do Grupo de Estudos 2007
(Patrocínio - BRC)


Local: R. Amador Bueno, 328 - Auditório. (Santo Amaro - São Paulo - SP - mapa). Estacionamento gratuito no local.

O evento é gratuito. As inscrições devem ser feitas através do site da ISSA Brasil.

novembro 30, 2007

[Segurança] Mini-site sobre Ameaças da Symantec

A Symantec, que neste ano completa 25 anos, lançou com bastante divulgação na mídia um mini-site chamado "Relatório de Ameaças" para divulgar as descobertas de ameaças globais e regionais na internet que são publicadas em seu relatório semestral Internet Security Threat Report (ISTR).

O site, que pode ser meio demorado para carregar na primeira vez, é um resumão do relatório, apresentando as principais estatísticas sobre ameaças, vulnerabilidades, ataques e códigos maliciosos. São dados bem interessantes, apresentados de uma forma bem simples e fácil de entender.

A página sobre o Mercado Negro merece destaque, por apresentar uma visão rápida sobre o funcionamento do mercado negro de informações e ameaças digitais.

No site também é possível abaixar o relatório Internet Security Threat Report (ISTR) em partes ou completo (134 páginas). O relatório é bem extenso e com muita informação valiosa. Há vários anos ele tem sido produzido e já se tornou uma boa referência no mercado.

novembro 28, 2007

[Segurança] DISI 2007 - Dia Internacional de Seguranca em Informatica

O Computer Security Day (CSD) é uma data comemorada desde 1988, no dia 30 de novembro, com objetivo de aumentar a conscientização sobre segurança em TI e, portanto, ser uma forma de lembrar aos usuários a importância de manter seus computadores seguros. No Brasil esta data é chamada por muitos de "Dia Internacional de Segurança em Informática"

A RNP (Rede Nacional de Ensino e Pesquisa), através do Centro de Atendimento a Incidentes de Segurança (CAIS), está organizando pelo terceiro ano consecutivo o Dia Internacional de Segurança em Informática - DISI 2007 e está aproveitando esta data para comemorar o aniversário de 10 anos do CAIS.

O evento é direcionado aos usuários finais e visa divulgar informações sobre segurança e boas práticas, com uma linguagem acessível e de forma gratuita. Neste dia acontecerão palestras abertas ao público (no Rio de Janeiro) das 08h30 até as 12h30h. Pode-se participar do evento presencialmente ou pela Internet.

A FIESP e 3º CTA do Exército também realizarão um evento nesta data, chamado de CSD.SP.BR-2007 com palestras muito interessantes do Dr. Renato Ópice Blum, Edison Fontes e Andrew Cushman, diretor de internacional da Microsoft, que poderão ser assistidas ao vivo pela Internet.

Esta é uma data que todas as empresas podem utilizar para realizar atividades internas de conscientização de seus usuários. Muitas empresas já o fazem.

No site www.computersecurityday.org foram disponibilizados alguns posters para download gratuitamente. O site do CAIS também tem muita informação. No site do CSD.SP.BR-2007 foi colocada uma "Lista de ações de A - Z" - muito criativo e bem feito !!!

[Cybercultura] Cartoons bem legais

O Site Savage Chickens tem uns cartoons bem legais. A proposta é de piadinhas baseado em um conjunto de personagens (os principais são umas galinhas e um robozinho) em várias situações engraçadas.

O interessante é que a proposta é de "fazer uma piada em um post-it", ou seja, os cartoons são simples e com um único quadro.

Bem bolado !!!

novembro 21, 2007

[Segurança] ISSA Day Novembro: Riscos e Direito Digital

O ISSA Day de novembro ocorrerá na próxima segunda-feira, dia 26/11/07, Neste dia teremos uma palestra da CLM sobre risco operacional e a palestra da Dra. Patrícia Peck sobre aplicações do direito digital nas empresas.

O evento é organizado pela ISSA Brasil.

O ISSA Day é um encontro mensal, onde sempre trazemos assuntos de destaque no mercado de segurança da informação. Nosso objetivo é garantir um encontro diversificado e de grande interesse, por isso cada mês abordamos temas atuais e sempre buscamos realizar o encontro em novos parceiros. O encontro é um meio de promover a atualização profissonal e o networking entre os profissionais de segurança. Normalmente o encontro é realizado em São Paulo, que concentra a maioria dos profissionais da área, mas já realizamos uma edição no Rio de Janeiro e outra em Belo Horizonte.

O ISSA Day de novembro será patrocinado pela CLM Software e contaremos com a presença da Dra. Patricia Peck. A agenda do encontro segue abaixo:

19:00 ~ 19:15 - Recepção
19:15 ~ 19:30 - Apresentação da ISSA
19:30 ~ 20:15 - Apresentação CLM: "Convergência entre Segurança da Informação e Risco Operacional", Francisco Camargo, CEO
20:15 ~ 20:45 - Coffee-break e networking
20:45 ~ 22:00 - Palestra "Direito Digital e Gestão do Risco Eletrônico nas Empresas", Dra. Patricia Peck e Dr. Diego Camargo Fuschini


O encontro será no Sonesta Ibirapuera (Av. Ibirapuera, 2534, Moema) e as inscrições, gratuitas, devem ser feitas através do site da ISSA Brasil.

novembro 19, 2007

[Segurança] Global Incident Map

Através da lista CISSPForum tomei conhecimento do site Global Incident Map, que apresenta de uma forma bem interessante uma relação atualizada de todos os incidentes de segurança e ações de terrorismo que estão ocorrendo mundialmente.

Na página principal, além do mapa mundi com indicação dos eventos, há a lista de todos os incidentes mais recentes (onde é possível clicar para ter acesso a notícia relacionada), além de um mecanismo de busca. O site apresenta notícias relacionadas a vários tipos de incidentes, tais como: acidentes na aviação, assassinatos e ataques de franco-atiradores, acidentes biológicos, explosões, ataques químicos, ameaças a infra-estrutura de óleo/gás, notícias relacionadas a terrorismo, etc.

Segundo o site, a coleta e avaliação das notícias é feita manualmente. Fiz uma busca pelos eventos ocorridos no Brasil e, apesar de constarem alguns eventos, senti a falta dos nossos recentes acidentes aéreos. Na busca por tipos de eventos, a maioria dos casos listados na categoria "Airport/Aviation Incidents" é relacionado a ações terroristas, criminosas ou suspeitas, mas possui também alguns casos de acidente aéreo). Por isso me parece que a cobertura aos eventos no Brasil é um pouco falha.

De qualquer forma, este site é bem interessante e pode ser utilizado por profissionais de segurança, de análise de risco ou do governo para acompanhar os principais eventos relacionados a segurança em todo o mundo.

outubro 30, 2007

[Mundo Corporativo] Frase do Dia

Essa eu acabei de ouvir e adorei:

"Se o cliente não pediu, não ofereça."



Ou seja, se você estiver desenvolvendo um produto e oferecer ao cliente uma funcionalidade que ele não pediu (ou sequer imaginou), ele vai exigir isso de você e não vai querer pagar a mais.

Na verdade, a melhor forma de encantar um cliente é apresentar uma funcionalidade nova quando ela já estiver pronta, entregando-lhe um produto final que vai além do que ele tinha como expectativa. Alimentar a expectativa do cliente com algo que você não tem e que vai ser custoso não é uma boa estratégia :o)

outubro 29, 2007

[Segurança] "Spear Phishing Attack"

Hoje vi que a família dos malwares (códigos maliciosos) ganhou há não muito tempo atrás um membro que eu desconhecia: o "Spear Phishing Attack".

Até agora pouco já tínhamos uma família bem numerosa, formada pelos famosos vírus, pelos vermes ("worms"), trojans (ou "cavalos de tróia"), keyloggers (os softwares de captura de teclado), rootkits (que atacam o sistema operacional para perpertuar e esconder uma invasão), os bots (ferramentas de ataque que misturam o pelhor - ou pior - dos trojans, keyloggers e rootkits, mais a acapacidade de efetuar ataques contra terceiros) e os ataques de "phishing".

Os ataques de "Spear Phishing" são ataques de e-mail, baseados no mesmo princípio do "phishing scam" (mensagens falsas que te induzem a repassar alguma informação ou fazer o download de algum arquivo), porém altamente direcionados para um determinado grupo de pessoas ou membros de um departamento de uma determinada empresa.

Da mesma forma que o termo "phishing" remete a imagem da "pescaria" de senhas, o "spear phishing" é a pesca mais especializada (na tradução literal, poderia ser a pesca com arpão).

Este tipo de ataque usa, por exemplo, características visuais que o fazem parecer com uma mensagem interna ou um e-mail corporativo. Poderia ser uma falsa comunicação corporativa pedindo dados pessoais ou solicitando que o usuário faça o download de um arquivo e/ou software. Ou uma mensagem aparentemente enviada por um colega de trabalho.

"Spear-phishing is a distilled and potentially more potent version of phishing." (NYT)

Geralmente este tipo de ataque, por ser bem direcionado, é difícil de ser detectado e é realizado por grupos "hackers" organizados, em busca de ganhos financeiros, roubo de dados e espionagem industrial ou militar.

Pesquisando na Internet achei algumas referências interessantes:



Na página da Microsoft há algumas dicas sobre como se prevenir contra estes ataques. Basicamente, são as mesmas dicas válidas para se proteger dos tradicionais ataques de phishing e dos Spams: nunca acredite em nada que você receba por e-mail. suspeite de tudo e, principalmente, sempre tenha muito cuidado ao abrir arquivos anexados ou clicar em links. Sempre verifique muito bem a origem das mensagens que você recebe.

E desconfie de tudo que pareça minimamente suspeito.

outubro 27, 2007

[Segurança] ISSA Day - outubro

No próximo dia 31 de outubro (quarta-feira) o Capítulo Brasil/SP da ISSA realizará mais uma edição do ISSA Day, o encontro mensal aberto a todos os associados e profissionais interessados. Neste mês o evento será patrocinado e acontecerá nas dependências da Microsoft e contaremos com a uma palestra sobre Tendências em Fraudes de Henrique Takaki, Gerente de Segurança de Dados da Visanet.

As inscrições devem ser feitas no site da ISSA Brasil.

No mês passado, setembro, também realizamos um evento focado em fraudes, onde apresentamos as novas tendências de códigos maliciosos e as principais formas de defesa disponível. Nesta ocasião, contamos com um palestrante internacional: o Ralph Thomas, gerente do time de pesquisa de códigod maliciosos da VeriSign, apresentou com exclusividade para a ISSA as pesquisas que ele apresentou no ICCyber 2007 e ganhou o prêmio de melhor trabalho da conferência. em setembro contamos com o apoio da Daryus, que nos cedeu a infra-estrutura para o encontro.

[Segurança] DefCon XV - Novidades e Tendências


Em agosto deste ano aconteceu em Las Vegas a XV edição da Defcon, a maior e mais tradicional conferência de "hackers". Eu, e mais um grupo numeroso de brasileiros, tivemos a oportunidade de participar do evento e conhecer as principais novidades na área de segurança.

Os temas que dominaram a maioria das palestras e, portanto na minha opinião representam as principais tendências da área de segurança, são as seguintes:

  • Information Warfare: A Guerra eletrônica, com nações combatendo e se espionando pela Internet, hoje já é realidade. Acontece na Guerra do Iraque (assisti uma palestra que falou superficialmente sobre os objetivos de uma divisão da Marinha americana especialista em guerra eletrônica) e neste ano ficou famoso o caso da Estônia, que teve seus sistemas governamentais on-line atacados por, aparentemente, grupos russos;
  • O Mercado de Malware e bots está a pleno vapor: já existe todo um comércio underground de bots, que movimenta muito dinheiro e faz com que seja muito fácil cometer crimes eletrônicos;
  • Ataques a/entre servidores virtuais: no momento em que o principal assunto da área de TI é a virtualização como forma de racionalizar os recursos das empresas, a comunidade hacker está atenta e estudando as principais brechas de segurança nas ferramentas de virtualização. E elas existem;
  • Invasão através dos browsers: o foco principal agora é o ataque direto na camada de aplicação, no browser, afetando diretamente o usuário. Isto ocorre através de técnica de "SideJacking", do uso de arquivos de midia como vetor de infecção e, até mesmo, usando os recursos de "gadgets" (comuns no sidebar do Vista, igoogle, yahoo, etc) para criar pequenos trojans;
  • A fragilidade das redes sociais: além de serem conhecidas como fonte de informação valiosa para Engenharia Social e alvo de recentes vírus e phishing scams, existe hoje diversas linhas de pesquisa onde estão buscando vulnerabilidades nestes sites. Já é fácil capturar senhas e roubar a seção de um usuário em alguns destes sites.

Em agosto promovemos um ISSA DAY na BRConnection onde eu, o Ferfon e o Willian apresentamos um rápido sumário das principais palestras do evento e discutimos estes pontos com a audiência.

[Administrativa] Longas Férias

Cometi o maior pecado que pode ocorrer no mundo on-line: fiquei meses sem atualizar este blog !!!
Peço desculpas aos meus visitantes (assíduos e esporádicos, curiosos e amigos).
Se é possível justificar o injustificável, então digo que a principal causa deste crime foi um período de férias em Julho, seguido de um ritmo incessante de viagens a trabalho (incluindo a DefCon em Las Vegas, visitas a clientes no México, Peru e Chile, e a Futurecom, na linda Floripa, no começo de outubro).

junho 22, 2007

[segurança] Um artigo interessante sobre Carreira em Segurança

Foi publicado recentemente, no número 10 da revista Insecure Magazine, um artigo muito interessante sobre a carreira em segurança chamado "Climbing the security career mountain: how to get more than just a job".

Este artigo complementa muito o que já foi publicado sobre a carreira do profissional do SI (em especial, veja o artigo do Eduardo Neves e meu post aqui). Eu gostei muito da forma como ele descreve a "Montanha de Segurança", isto é, como ele posiciona o crescimento dentro da carreira.

Em tempo, todos os números desta revista estão disponíveis para download gratuitamente: um material de excelente qualidade, muito conteúdo e muito bem acabado.

[Segurança] Artigo sobre a aplicação da pirâmide de Maslow no BCP

O grande amigo e excelente profissional Fernando Fonseca disponibilixou em seu blog o artigo que escreveu entitulado "Aplicando a pirâmide de Maslow ao Business Continuity Plan". Para nosso orgulho, ele teve seu artigo publicado na edição de Maio da revista ISSA Journal.

A idéia dele foi bastante original: apresentar como um plano de continuidade de negócios deve se preocupar com o fator humano de sua equipe, com base nas necessidades mais básicas do ser humano (necessidades fisiológicas e de segurança). No evento de uma catástrofe de grande dimensão, que afete direta ou indiretamente as instalações da empresa, muitas vezes pecamos por não prever como isto poderia afetar a disponibilidade dos funcionários - ou mesmo o lado psicológico deles. Ignorando estes fatos, mesmo o melhor PCN pode fracassar.

Excelente artigo: muito bem escrito, franco, direto e com uma abordagem muito criativa.

junho 11, 2007

[Internet] Estatísticas sobre Internet no Brasil

A Nic.br divulgou recentemente o relatório da 2ª pesquisa sobre uso da Tecnologia da Informação e da Comunicação no Brasil, a TIC 2006.


O arquivo em PDF de 322 páginas com a pesquisa completa pode ser abaixado diretamente do site do "Centro de Estudos sobre as Tecnologias da Informação e da Comunicação" (CETIC.br) ou consultada online (com páginas específicas sobre os dados referentes a domicílios e empresas).

Algumas estatísticas interessantes deste estudo:
  • 54,35% da população brasileira nunca utilizou o computador e 66.68% nunca usou a Internet;
  • Somente 14,49% dos domicílios brasileiros possuem acesso a Internet;
  • Em 2006, apenas 14% dos brasileiros que já tiveram acesso á Internet declararam ter adquirido bens e serviços por meio da rede pelo menos uma vez;
  • Dentre os problemas de segurança mais freqüentes, o campeão de reclamações foi o ataque de vírus com perda de informação ou acesso não autorizado à maquina (20,3%).

junho 06, 2007

[Segurança] Segurança no mundo Microsoft

Hoje achei o site "winsec.org", que possui diversos artigos, tutorias e várias novidades sobre segurança para o mundo Microsoft (produtos, ferramentas, etc).

Tem links para várias ferramentas e sites da Microsoft relacionados a segurança (alguns da Technet), muitos artigos sobre o Vista, algumas ferramentas para Windows, e, digno de nota, alguns artigos muito interessantes do Fernando Cima.

junho 04, 2007

[Segurança] Guerra Cibernética vira realidade

Se alguém ainda pensava que uma "guerra cibernética" ("Cyberwar") fosse coisa de ficção científica, a Estônia mostrou recentemente que isto já é realidade.

Nas duas primeiras semanas de maio vários sites do governo, jornais e bancos da Estônia sofreram ataques de DDoS, deixando o governo e o povo da Estônia com grandes dificuldades para ter acesso online, uma vez que estes serviços são muito avançados e difundidos neste país. O site do parlamento, da presidência da República, dos ministérios e dos serviços de saúde e tecnologia também foram afetados.

A Estônia vive uma crise diplomática com a Rússia desde que decidiu retirar uma estátua de bronze de um soldado soviético de uma praça em Tallin, capital do país. E, aparentemente, isto motivou os ataques DDoS ("Distributed Deny of Service"). Segundo o governo da Estônia, os técnicos de TI identificaram que os endereços IP que originaram os ataques pertencem a computadores de agências governamentais russas. A Rússia negou o ataque, mas a União Européia e a Otan foram acionadas para ajudar nas investigações.

Essa notícia foi publicada na revista VEJA de 23 de maio de 2007 (Edição 2009) e também consta em vários noticiários no Brasil e no mundo:


Hoje, em seu Blog, Bruce Schneier comentou que este tipo de ataque não é novidade (não é mesmo!) e aproveita a oportunidade para dar sua definição de "Cyberwar", "Cyberterrorism", "Cybercrime" e "Cybervandalism" - que aproveito para transcrever abaixo:
  • Cyberwar: Warfare in cyberspace. This includes warfare attacks against a nation's military -- forcing critical communications channels to fail, for example -- and attacks against the civilian population.
  • Cyberterrorism: The use of cyberspace to commit terrorist acts. An example might be hacking into a computer system to cause a nuclear power plant to melt down, a dam to open, or two airplanes to collide.
  • Cybercrime: Crime in cyberspace. This includes much of what we've already experienced: theft of intellectual property, extortion based on the threat of DDOS attacks, fraud based on identity theft, and so on.
  • Cybervandalism: The script kiddies who deface websites for fun are technically criminals, but I think of them more as vandals or hooligans. They're like the kids who spray paint buses: in it more for the thrill than anything else.


Como ele diz mais adiante, hoje os governos e militares levam a possibilidade de guerra cibernética a sério: tanto como meio de ataque como necessidade de defesa. Neste caso, técnicas de ataque podem ser utilizadas, num cenário de "cyberwar", para desabilitar serviços online e partes das infra-estruturas específicas de um país, preferencialmente em um "ataque cirúrgico". Ou seja, é mais interessante invadir ou derrubar determinados sites estratégicos do que simplesmente tirar um determinado país do ar.

E a guerra cibernética é mais do que simplesmente atacar a infra-estrutura de rede de um determinado país: envolve também a espionagem, a "guerra de informações" (divulgar informações falsas ou enviar informações para o povo de um determinado país, a contra-gosto do seu governo - como os EUA faziam ao jogar panfletos encorajando os soldados iraquianos a se renderem), ataques em guerrilha e ataques surpresa.

Não podemos negar também que este é um novo campo de atuação dos profissionais de segurança: criar técnicas de ataque ou defesa para cenários de guerra tecnológica. E, para lembrar o que já foi dito, as empresas, e não somente apenas os governos, também podem sofrer ataques motivados por disputas políticas entre nações, grupos étinicos e grupos terroristas. Agora as empresas tem a Estônia como exemplo da importância de incluir a possibilidade de guerra cibernética e de cyber-terrorismo em suas análises de risco.

maio 31, 2007

[segurança] Carreira em Segurança - enfim uma referência

O Eduardo V. C. Neves acabou de publicar em seu blog um excelente artigo entitulado "O Perfil do Profissional de Segurança da Informação" onde aborda profundamente a carreira, o perfil e formação do profissional de segurança.
Um trecho que gostei muito foi quando ele fala das competências necessárias, e as divide em competências individuais, específicas (relacionadas diretamente a área - e cita o CKB do ISC2) e organizacionais.
Ele também descreve maravilhosamente bem alguns perfis profissionais para analistas júnior/pleno/sênior em segurança de redes e de processos.
O que ele chama em seu artigo de "analista de segurança de redes de dados" é o que eu considero como o profissional que atua na área de segurança de um ponto de vista técnico. Neste caso, temos não somente profissionais focados em rede - embora a maioria deles se foquem neste campo. Como ele mesmo cita, são os que trabalham com desenvolvimento e/ou auditoria de código seguro, profissionais focados em segurança de aplicações ou profissionais especializados em algumas tecnologias de segurança.
Excelente artigo !

maio 25, 2007

[Cultura] Star Wars faz 30 anos

Hoje toda a cultura "Guerra nas Estrelas" completa 30 anos. Em 25 de maio de 1977 George Lucas lançou o primeiro filme da série de sucesso "Guerra nas Estrelas" ("Star Wars"). A primeira trilogia começou com o filme "Guerra nas Estrelas: Episódio IV - Uma Nova Esperança", depois "O Império Contra-Ataca" (correspondente ao "episódio V" de toda a série e que foi lançado em 1980) e "O Retorno de Jedi" (Episódio VI) em 1983.

Os três últimos filmes-seqüência da saga mostram o surgimento do Império e do Darth Vader e foram lançados recentemente: "A Ameaça Fantasma" em 1999 (o episódio I), "O Ataque dos Clones" (em 2002) e "A Vingança dos Sith" em 2005. Todos os filmes foram sucesso de bilheteria.

Mais do que um sucesso cinematográfico, todos os filmes foram inovadores e criaram toda uma cultura e um mercado ao seu redor. O Darth Vader é considerado por vários críticos o pior vilão da história do cinema.

Neste blog eu já coloquei vários posts telacionados ao tema, incluindo um mostrando diversas paródias do Star Wars no YouTube e outro com as frases mais famosas da Filosofia Jedi.

O Terra colocou no ar um especial sobre os 30 anos do Star Wars, com as principais informações sobre a saga.

maio 18, 2007

[Cybercultura] Material de Domínio Público disponivel

O Ministério da Educação disponibiliza centenas de livros, músicas, vídeos e imagens de domínio público através do Portal Domínio Público.

O site foi lançado em novembro de 2004 (com um acervo inicial de 500 obras), com objetivo de disponibilizar informações e conhecimentos de forma livre e gratuita. Entre outras coisas, o portal possui disponíveis para download imagens (pequenas) de quadros de Vincent van Gogh e Leonardo da Vinci, livros de Fernando Pessoa em pdf, obras Machado de Assis, publicações sobre educação, teses e dissertações da CAPES e hinos brasileiros em mp3.

maio 10, 2007

[Geek] Os 25 boatos mais famosos da Internet

A revista PCWorld publicou recentemente uma lista com as mais populares mentiras divulgadas na Internet até hoje. Os boatos estão listados em ordem de popularidade, e arrisco dizer que todos nós já recebemos a maioria deles por e-mail.

Aqui segue a lista dos que acho mais legais (pulei alguns senão esse post ficaria muito grande). A lista completa e a descrição de cada um deles, as vezes com fotos, está no artigo:
  • O turista acidental (2001) - aquela foto do homem no topo do WTC no exato momento em que um dos aviões estava prestes a colidir com o prédio no ataque de 11 de setembro. Foi muito popular e algumas versões hilárias surgiram depois.
  • Criança doente precisa de sua ajuda (1989) - já surgiram centenas de variações (de crianças e de doenças)
  • Bill Gates distribui dinheiro (1997) - essa e outras variações prometem dinheiro para quem reenviar a mensagem para dezenas de pessoas.
  • Imposto de cinco centavos por e-mail (1999)
  • Golpes nigerianos (2000) - um tipo de crime virtual que existe até hoje: enviam uma história prometendo uma comissão a quem ajudar o remetente a receber um dinheiro que está num banco da nigéria, ou variações com outros países.
  • Roubo de órgãos (rim) e a banheira de gelo (1996) - já foi promovido a Urbam Legend !
  • You've Got Virus! (1999 em diante) - as famosas mensagens que você foi invadido pelo vírus mais destrutivo do mundo, e nem a NASA, nem o Mestre Yoda podem te proteger. Estes são os tradicionais "boatos", ou "hoaxes"em inglês.
  • O gato gigante (2001) - lembro da versão do "Kitty Cat", que era um gato criado dentro de uma garrafa para ser como uma peça de decoração - era mentira também !
  • Vídeo da Autópsia de um Alien em Roswell, New Mexico (1995)

[Geek] Projeção da Luz do Sol na Terra

No site "World Sunlight Map" é possível visualizar como está a diferença entre dia e noite no mapa da terra: quais são as regiões que, no momento que você vê, estão escuras (noite) ou iluminadas pelo sol (dia).



O site é bem caprichado: é possível dar zoon nas imagens (clicando nelas) e visualizar vários tipos de mapa da terra: Mercator (a mais tradicional), Peters, Mollweide ou retangular. Segundo o site, o mapaé gerado por computador, porém as formações das nuvens no mapa são retidadas de dados de satélites.

Eles também tem uma versão com as fases da lua !

abril 24, 2007

[Segurança] Disaster Recovery

O site do Disaster Recovery Journal é rico em informações sobre recuperação de desastres e plano de continuidade de negócios.
Tem muita informação útil na página de ferramentas (DRJ's Toolbox): exemplos de planos de recuperação de desastres, modelos de RFPs, checklists, whitepapers e um excelente Glossário.

abril 20, 2007

[Cidadania] Protesto contra a carga tributária do Brasil

Através do fotolog da minha amiga Biss eu fiquei sabendo do site Xô CPMF (www.xocpmf.com.br).

Ele é um excelente meio para nos mobilizarmos contra a absurda carga tributária a qual somos submetidos diariamente (e sem obter o mínimo de serviços do governo - se alguém deseja ter saúde, educação e segurança de boa qualidade, tem que contratar serviços particulares e não pode depender dos serviços públicos).



Leia o Blog !
Veja a Calculadora da CPMF !!
Assine o abaixo assinado !!!
Reclame com o seu Deputado e Senador !!!!


No blog do site tem uma referência muito legal para o Impostometro, um site da Associação Comercial de SP que mostra o quanto nós estamos pagando de impostos para o governo, além de ter uma Calculadora de Impostos muito legal. Eu acabo de descobrir, num cálculo muito rápido, que pago 38,02% do meu salário em impostos - ou seja, trabalho 11 dia(s) por mês, ou 132 dia(s) por ano, apenas para alimentar os governos federal, estadual e municipal.

abril 11, 2007

[Segurança] Material da Microsoft para Conscientização

O Eduardo Vianna de Camargo Neves enviou recentemente uma notícia muito interessante na lista CISSP-BR, sobre a Microsoft ter lançado um material muito completo sobre conscientização de segurança ("Security Awareness").

O material disponibilizado gratuitamente pela Microsoft foi batizado de "Security Awareness Program Development Guidance". Ele inclui várias dicas sobre como criar seu plano de conscientização para os usuários, além de algumas apresentações sobre o assunto (incluindo algumas sobre Risk Management, Controles e Incident Response), whitepapers, exemplos de folhetos, posters e vídeos de excelente qualidade.

O download do arquivo .zip com esse material é feito através do site de Security Awareness da Microsoft. O arquivo tem 120MB com as apresentações, vídeos e templates sobre conscientização de segurança.

abril 10, 2007

[Segurança] Até quando ficar fazendo análise de vulnerabilidades?

O Jeremiah Grossman publicou um texto muito interesante em seu blog, chamado "Vulnerability Assessment, When do we stop looking? ".

Neste pequeno artigo, ele diz que devemos fazer análises de vulnerabilidade tão constantes e tão detalhadas quanto for a necessidade de segurança, baseado na importância do servidor/aplicação e nas necessidades de segurança da empresa. Outro fator que influencia é a periodicidade de atualizações que você faz em sua aplicação (ou website). De qualquer forma, um processo constante de revisão de vulnerabilidades é importante pois, mesmo que a aplicação não mude, as ameaças (técnicas de ataque, vulnerabilidades, etc) estão sempre evoluindo.

Ele apresenta dois gráficos muito interessantes e que sumarizam muito bem o que considero ser a idéia principal do post: Quanto mais detalhado e mais constante for o processo de análise de vulnerabilidades, maior será o nível de precisão e detalhe dos resultados obtidos.

março 30, 2007

[Cybercultura] Blog do Lincoln

Um amigo falou muito bem. Outro colocou um post em seu blog tecendo elogios.

E eu não poderia deixar de fechar a semana com chave de ouro: no início deste ano o Cristiano Lincoln Mattos começou a publicar seu blog pessoal.

Além de ser feito o site com extremo capricho e uma apresentação visual invejável, o Lincoln mostra toda sua competência e inteligência em seus posts. Além do excelente gosto por Van Gogh.

Parabéns Lincoln !!!

março 28, 2007

[Segurança] Chega um MSS no Brasil

Ontem saiu na mídia a notícia que, através de uma parceria com a NEC, serão oferecidos serviços de gerenciamento de segurança (ou Managed Security Services - MSS) no Brasil, com a tecnologia da VeriSign, a empresa líder no mercado americano de MSS.

O MSS é destinado a empresas que desejam terceirizar a operação da sua infra-estrutura de segurança, permitindo que uma empresa especializada gerencie e monitore a segurança de seu ambiente com uma equipe altamente especializada e treinada.

Esta parceria trará para o mercado brasileiro a oferta de serviços MSS prestados localmente por uma empresa de grande porte e competência como a NEC, porém utilizando tecnologias e processos adotados globalmente pela VeriSign. O SOC da Verisign monitora, atualmente, mais de 1.6 bilhão de eventos por dia.

março 20, 2007

[Segurança] Security Master 2007

O SECMASTER, uma iniciativa conjunta do Capítulo Brasileiro do ISSA e da Via Forum, é a principal premiação dos profissionais do segmento de Gerenciamento de Risco e Segurança da Informação.

O SecMaster visa o desenvolvimento do setor e tem como objetivo reconhecer os profissionais de gerenciamento de risco e de segurança da informação que mais contribuíram no ano de 2006 para crescimento, reconhecimento, debate, divulgação, melhoria e desenvolvimento do segmento, aumentando a sua importância na sociedade.

Este ano serão premiados profissionais nas seguintes categorias:

  • Melhor Profissional do Ano
  • Melhor Contribuição para o Setor Privado
  • Melhor Contribuição para o Setor Público
  • Melhor Contribuição para o Desenvolvimento de Mercado
  • Melhor Trabalho Acadêmico
  • Melhor Contribuição Editorial e Jornalística

Veja o cronograma:
  • 15 a 28 de março – Inscrições dos candidatos
  • 02 de abril – Divulgação dos três finalistas de cada categoria, na Security Week, as 20:00hs.
  • 09 a 18 de abril – Votação Popular e da Comissão Julgadora
  • 4ª semana de abril de 2007 - Cerimônia de premiação, durante o ISSA Day de abril, aos vencedores selecionados pela Academia – (Comissão Julgadora) e pelo Júri Popular em cada uma das 6 categorias. Noite de confraternização, networking e comemoração !

Participe! Divulgue! Indique! Candidate-se!

A participação de todos é importante para fazermos deste prêmio o encontro nacional do segmento e premiarmos aqueles que realmente fizeram a diferença.

Qualquer profissional pode se candidatar para o SecMaster. As inscrições devem ser feitas pelo próprio candidato no website do SecMaster, na opção "Quero Me Candidatar" no menu ao lado esquerdo.

março 15, 2007

[Geek] Os 10 jogos mais importantes de todos os tempos

Estava navegando no Blog do Weber Ress e resolvi conferir a notícia que ele colocou a respeito do artigo "Is That Just Some Game? No, It’s a Cultural Artifact", que enumera os 10 jogos que foram considerados como os mais influentes de todos os tempos.

O sr. Henry Lowood, curador do "History of Science and Technology Collections" da Universidade de Stanford, em conjunto com a Universidade de Maryland e a Universidade de Illinois, anunciaram a lista dos 10 video games mais importantes de todos os tempos:
  • Spacewar! (1962)Spacewar!
  • Star Raiders (1979)
  • Zork (1980)
  • Tetris (1985)
  • SimCity (1989)
  • Super Mario Bros. 3 (1990)
  • Civilization I/II (1991)
  • Doom (1993)
  • Warcraft series (beginning 1994)
  • Sensible World of Soccer (1994)


Segundo os pesquisadores, cada um destes jogos representa o início de um gênero (ou tecnologia) que se tornou vital para a indústria de video games.

Star RaidersSpacewar!, por exemplo, criado por um grupo de programadores do Massachusetts Institute of Technology liderado por Steve Russell, é considerado o primeiro jogo de computador: é ao mesmo tempo o primeiro multiplayer, jogo de competição e também o primeiro jogo de ação. Zork introduziu a idéia de jogo de aventura ("adventure"), algo bem antecessor da idéia de RPG (Role-Playing Game). Os primeiros três jogos Warcraft representam o uso de estratégia em tempo real baseado em uma narrativa (história). Já o jogo SimCity reinventou completamente a noção de "jogo"- em vez de conseguir atingir um determinado objetivo, a idéia é conduzir a vida de uma cidade. Isto foi o embrião do atual The Sims, um sucesso que já vendeu 85 milhões de cópias.

Lembro que o Doom, da id Software, revolucionou muito no aspecto gráfico 3D, no jogo multiplayer via rede (na época, podia ser IPX ou IP) e popularizou o jogo de tiro em primeira pessoa (que começou a ganhar fans alguns anos antes com o Wolfenstein 3d, da mesma empresa). Reinou durante alguns anos, teve seu cógigo-fonte divulgado na Internet em 1997 sob licença GPL e foi substituído nas gerações seguintes pelo Quake e, recentemente, pelo Counter-Strike. Por sinal, embora em 1997 a idSoftware tenha publicado o código fonte do Doom, mas eu me lembro que, um pouco antes, o código havia vazado da empresa.

Eu senti falta de alguns jogos nessa lista, tais como o Pac-Man, o Tomb Rider, o Space Invaders, o Flight Simulator, o Sonic e Mario Bros / Super Mario Bros. Álém destes, eu adorava o Star Wars: Dark Forces! Porém, estes são jogos que se tornaram muito popular e cada um marcou profundamente a geração de sua época, além de ajudarem a difundir o video game. Porém, a lista citada no artigo indica os jogos considerados mais "inovadores", e não os jogos mais populares - acho que isso justifica a omissão.

março 12, 2007

[Eu] Anchises, de Tróia


No ano passado eu coloquei um post aqui sobre o personagem histórico Anchises, principe troiano primo do Rei Príamo de Tróia e pai de Enéas. Hoje eu criei uma entrada na Wikipedia em português sobre o personagem:

Pesquisando o material para o artigo, utilizei o site sobre Mitologia Grega do Carlos Parada que já havia citado anteriormente, que é bem completo e muito detalhado, e também achei o site Encyclopedia Mythica, que contém descrições mais simples e objetivas sobre os personagens.

Pude notar também o como é simples e fácil criar novas entradas na Wikipedia, ao mesmo tempo em que a versão em Inglês é mais completa (mais de 1.600.000 verbetes contra 243.000 em português) e, em muitas vezes, as descrições dos verbetes em inglês são mais elaboradas.

março 09, 2007

[Cultura] Use Filtro Solar

Achei no Blog do Márcio d'Ávila um texto sobre o vídeo "Filtro Solar" (ou "Use filtro Solar"), que aqui no Brasil ficou famoso através de uma versão criada com a voz de Pedro Bial e que foi exibido no Fantástico, no último programa do ano de 2003.

O interessante, segundo o artigo, é que este texto foi publicado originalmente em 1997 no jornal Chicago Tribune. É possível perceber que o texto original sofreu poucas alterações e poucas adaptações se comparado com a versão da Globo (a letra está no próprio site do Fantástico).

É possível envontrar no YouTube o vídeio do Pedro Bial e também o vídeo original, em inglês, que parece se chamar "Wear Sunscreen" com legendas em português.



O vídeo em inglês também é muito legal e merece ser visto:

março 06, 2007

[Internet] Estatísticas sobre Internet no Brasil

Uma excelente fonte de informação sobre estatísticas relacionadas ao uso e penetração da Internet no Brasil é fornecido pelo Comitê Gestor através do CETIC.br - Centro de Estudos sobre as Tecnologias da Informação e da Comunicação.

Este site disponibiliza gratuitamente o acesso a diversos indicadores e estatísticas sobre a disponibilidade e o uso da Internet no Brasil (incluindo informações sobre número e perfil destes usuários).


Melhor ainda, eles disponibilizam um excelente relatório em PDF, a "Pesquisa sobre o uso das Tecnologias da Informação e da Comunicação no Brasil - 2005", uma coletânea com diversos artigos e estatísticas sobre a adoção da Internet no Brasil.

fevereiro 28, 2007

[segurança] Carreira em Segurança - como começar?

Essa é uma pergunta que sempre aparece: "como começar uma carreira em segurança?" Não dá para negar que Segurança é a "carreira da moda". Já apareceram diversas reportagens sobre os "caçadores de hackers" que ganham salários milhonários, sobre os tão idolatrados CSO (Chief Security Officers - ou, em português, os diretores de segurança - o topo da carreira).

Até hoje uma reportagem de capa sobre Hacker faz a revista vender mais. Livro de Hacker? ídem... (as vezes parece que basta ter a palavra "hacker" no meio do título) CD de hacker, então, deve vender como água...

Na minha opinião essa "bolha" vai acabar logo e o profissional de segurança será só mais um no mundo corporativo. Independente disso, o interese pela área existe e é justo: eui considero esta uma área de atuação muito excitante: estamos trabalhando sempre no limiar da tecnologia, combatendo os ataques que ainda não existem, e talvez nem todos tenham percebido que hoje estamos cumprindo um papel muito importante: proteger a sociedade dos ladrões digitais. O crime virtual já é realidade e movimenta o submundo.

Assim como a maioria dos empregos existentes, o glamour de trabalhar na área de segurança não condiz com a realidade do dia-a-dia (todo mundo quer ser astronauta, mas pouca gente aguenta os treinamentos e pressão p/ chegar lá... p/ ficar plantando feijão no espaço). Existem muitos desafios técnicos e humanos, problemas a serem resolvidos, projetos mirabolantes, ataques novos, novos softwares e patches, novos vírus, etc, etc, etc.

Mas é uma carreira excelente para quem gosta de desafios, adrenalina, trabalhar sobre pressão, se manter atualizado constantemente, etc. O trabalho possui uma certa rotina massante, porém de vez em quando temos q sair correndo desesperados por aí.

Ser um profissional de segurança vai muito além de ser um "hacker". Ser um "hacker", do jeito que a mídia divulga e a maioria dos livros com título "*hacker*" contam, significa você saber o suficiente para realizar algumas invasões triviais e, no módulo avançado, rodar algumas ferramentas mais avançadas.

Citando um comentário muito pertinente do meu amigo Fernando Fonseca na lista CISSP-BR:
"Um cracker (respeite os verdadeiros Hackers) é apenas parte do problema, maior parte das ameaças são coisas do dia a dia e ataques não direcionados (como vírus e worms). Para fazer um ataque basta achar uma brecha (vulnerabilidade), para proteger você precisa cobrir todas as brechas (toda a superfície de ataque), inclusive contra acidentes. Quando você protege uma casa, por exemplo, você protege não só contra ladrões, mas sim contra cupins, incêndios, infiltrações, integridade dos moradores, etc.
Se você pensar como o ladrão (cracker) a casa cai sozinha antes que alguém tente roubá-la."

Um profissional de segurança tem que defender a empresa de qualquer problema que possa afetar seu negócio e suas informações. É o que definimos como sendo proteger a Confidencialidade, Integridade e Disponibilidade das informações. Assim, o profissional de segurança tem que saber como proteger a empresa contra todos os riscos possíveis. Ele tem que ser, ao mesmo tempo, um especialista em TI, um especialista em Direito, em Forense (TI + Direito), um Auditor e um Gestor.

Como disse meu colega de profissão Eduardo V. C. Neves certa vez na lista CISSP-BR:
"Isso inclui não só conhecer segurança de redes e aplicações, mas também domínios que não são abordados nestes livros que você cita; change management, business continuity, disaster recovery, segurança física, ROI, TCO, metodologia de gerenciamento de projetos e por aí vai.
Para ser um Security Officer, você terá que saber isso tudo e ainda ter algumas competências que não estão em livros, mas a experiência profissional vai te dar; negociação, coaching, visão e estratégia, saber recuar e avançar nos momentos certos, não usar FUD e sim ferramentas de convencimento com itens palpáveis, etc."

No final das contas, segurança significa saber como fazer tudo certinho para que a empresa não tenha problemas depois.

Acredito que existem dois caminhos para se entrar na área de segurança: o do "hacker" e o do "analista curioso":
  • A opção mais difundida é aquela do adolescente que se interessa por informática e começa a aprender técnicas de ataque. Muitos se especializam em realizar ataques pela Internet, algo relativamente fácil de fazer. Com o amadurecimento pessoal e profissional, esta pessoa passa a buscar formas de ganhar dinheiro lícito com esse conhecimento: aí surgem os consultores "ex-hacker" (também chamados de "white-hat hackers"), os pesquisadores de vulnerabilidade e os consultores especializados em testes de vulnerabilidade e testes de invasão de sistemas (os chamados "pen-test"). Normalmente esse pessoal tem uma visão muito técnica da segurança, e sob o ponto de vista de "ataque versus defesa".
  • Outra opção é o do profissional que começa a se preocupar com segurança no dia-a-dia de suas atividades. Por exemplo, é o caso do analista de suporte que começa a se preocupar com segurança dos sistemas que gerencia, busca informações sobre como protegê-lo, como monitorá-lo, aprende, se interessa pela área e vai aos poucos se especializando.

O profissional de TI, auditoria, advocacia ou alguam área correlata que se especializa em segurança traz uma bagagem maior de conhecimento e tem maior facilidade de tratar segurança atrelada ao dia-a-dia da empresa e ao negócio. Como citou certa vez o colega Ivo de Carvalho Peixinho na lista CISSP-BR:
(...) acho que o analista de segurança deve conhecer o máximo que ele puder da área de redes, programação (desenvolvimento) e banco de dados para ser um profissional completo. Ele é um analista, e não um técnico, então ele deve ser capaz de projetar soluções de segurança para diversas áreas distintas... não adianta colocar um firewall e um IDS para proteger a rede se as aplicações WWW e o banco de dados estiverem descuidados. Eu acredito que segurança é uma coisa abrangente, e qualquer elo fraco compromete o conjunto inteiro.
(...) Quanto mais conhecimento ele tiver, melhor profissional ele vai ser.
Eu acredito ainda que o analista de segurança deve ser um profissional que acumulou alguma experiência como analista de suporte, dba ou programador e depois se especializou em segurança.

Em ambos os casos, com o passar do tempo e com o acúmulo de experiência, esses profissionais vão partir para um emprego especializado em segurança - assim que estiverem aptos e, claro, assim que surgir uma oportunidade. Ou seja, mesmo que hoje o interessado não trabalhe diretamente com segurança, minha recomendação é que ele comece seus estudos - sempre ele poderá aplicar os conceitos que aprenderá em seu dia-a-dia. Isso também vai lhe dar tempo de adquirir uma bagagem de conhecimento suficiente para entrar na área. Há muito o que apreender.

Como bem lembrou o grande colega Marlon Borba na lista CISSP-BR:
"Adicionalmente gostaria de lembrar (...) que um profissional de segurança da informação lida com... INFORMAÇÃO. Embora o lado mais, digamos, "fashion" da área esteja na tecnologia (já que lidar com descarte de papéis, por exemplo, não é muito glamuroso), a informação tem um ciclo de vida que transcende a TI e passa, também, pela cabeça das pessoas. Portanto o profissional de InfoSec precisa, também, entender bem da natureza humana, que é complexa e às vezes (como o "pointy-haired boss" do Dilbert mostra) intratável."


Para começar na área, eu sugiro que o interessado inicie lendo todos os artigos e as notícias mais recentes sobre o assunto. Há centenas de sites nacionais e internacionais que nos disponibilizam muita informação, que é de grande valia para um iniciante. Aqui eu cito alguns poucos, mas que considero como sendo os principais e que já fornecem um belo conjunto de informações para quem está iniciando na profissão:
  • O site da Módulo Security, principal empresa brasileira de consultoria em segurança, possui muita informação e links. Eles também fazem eventos de alta qualidade, cursos e tem uma certificação nacional, chamada de MCSO ("Modulo Certified Security officer").
  • Dê uma navegada nos sites do Sans (e, principalmente, o Reading Room, uma grande coletânea de artigos).
  • Ídem para o site do CERT, parada obrigatória para todo profissional de segurança.
    Se você ainda não leu, abaixe agora a cartilha de segurança do CERT.BR.
  • Visite o site do ISC2 para saber mais sobre a certificação CISSP, a principal do mercado, e o conteúdo dos chamados 10 domínios (os principais campos de conhecimento que envolvem a profissão).
  • A Microsoft Brasil criou a Academia Latino-americana de Segurança, que disponibiliza um material completo e de alta qualidade sobre Segurança da Informação;
  • O artigo "How To Become A Hacker" do Eric Steven Raymond é antigo, mas ao mesmo tempo atual !
  • O programa Olhar Digital fez algumas reportagens sobre a carreira de Segurança. Veja o meu post sobre esse assunto;
  • O meu amigo Sérgio Dias publicou há um tempo atrás um texto muito completo em seu Blog sobre Carreira do Profissional de Segurança. Ele aborda o mercado brasileiro de segurança, comenta sobre as principais certificações existentes (e quais são mais valorizadas) e dá dicas de como se manter atualizado (sites, livros, etc). O texto está bem feito e consistente.


A propósito, a carreira em segurança já existe. Prova disso é que ela já consta na pesquisa da INFO Online sobre Carreira e Salarios. Indo além, há várias especializações dentro da áres: temos os analistas de segurança voltados para ferramentas específicas, os peritos forenses, os consultores, os gestores, etc (para só citar algumas possibilidades).

Para finalizar, quero citar uma parte de outra mensagem muito interessante do Fernando Fonseca, grande amigo e colega de profissão, que foi enviada na lista CISSP-BR:
Não paute sua vida, nem sua carreira, pelo dinheiro. Ame seu ofício com todo o coração. Persiga fazer o melhor. Seja fascinado pelo realizar, que o dinheiro virá como conseqüência. Quem pensa só em dinheiro não consegue sequer ser nem um grande bandido, nem um grande canalha.
Napoleão não invadiu a Europa por dinheiro, Michelangelo não passou 16 anos pintando a Capela Sistina por dinheiro, e, geralmente, os que só pensam nele não o ganham. Porque são incapazes de sonhar. E tudo que fica pronto na vida foi construído antes, na alma.
A propósito disso, lembro-me de uma passagem extraordinária, que descreve o diálogo entre uma freira americana cuidando de leprosos no Pacífico e um milionário texano.
O milionário, vendo-a tratar daqueles leprosos, disse:
"Freira, eu não faria isso por dinheiro nenhum no mundo."
E ela responde:
"Eu também não, meu filho".

Não estou fazendo com isso nenhuma apologia à pobreza, muito pelo contrário. Digo apenas que pensar em realizar, tem trazido mais fortuna do que pensar em fortuna.

fevereiro 27, 2007

[Segurança] Brazucas arrasando mundo afora


Neste ano vários profissionais brasileiros estão conseguindo espaço em eventos internacionais. Isso é excelente, pois mostra ao mundo que temos uma comunidade de segurança formada por profissionais maduros, de primeira linha.

Até o momento, fiquei sabendo dos seguintes colegas e amigos que estão fazendo sucesso lá fora:

fevereiro 23, 2007

[Diversão] Travalínguas

O Rato roeu a roupa do Rei de Roma?

O site abaixo, indicado por um amigo, tem uma lista de frases que chamamos de "travalinguas", aquelas frases engraçadas que servem para a gente se engasgar todo.

http://www.angelfire.com/ut/henrikholm/bilingual/Tonguetwisters.html

Eu, particularmente, estou treinando o travalíngua em espanhol, pois não consigo falar o "erre" puchado do jeito que eles falam :o)

fevereiro 07, 2007

[Segurança] Bruce Schneier na RSA Conference 2007

O nosso guru Bruce Schneier fez uma apresentação muito interessante na RSA Conference sobre "The Psychology of Security", onde ele abordou como a percepção humana de risco pode variar facilmente, sem que haja necessariamente alguma mudança envolvida.

A nossa percepção pode ser influenciada por diversos fatores, e foram apresentados resultados de várias pesquisas. Por exemplo, se você tivesse que decidir entre duas ações que poderiam salvar a vida de 600 pessoas - na primeira provavelmente poderia salvar 400 pessoas, e a segunda poderia causar a morte de 200 pessoas. Qual você escolheria? Embora os número sejam idênticos, a maioria das pessoas opta pela opção onde se fala em salvamento de vidas.

A palestra foi baseada em um artigo recente dele, colocado em seu site, e que vale a pena ser lido para começarmos a entender como a nossa mente lida com esse tipo de percepção em segurança.

fevereiro 01, 2007

[Pessoal] New professional certificate: SANS GHTQ

Ontem eu obtive meu primeiro certificado do SANS / GIAC:

GHTQ - GIAC Cutting Edge Hacking Techniques Certificate.


Eu fiz este curso em Dezembro de 2006, quando ele foi oferecido durante a H2HC (Hackers to Hackers Conference), mas somente ontem consegui finalizar os estudos e fazer a prova. O SANS Institute organiza eventos e cursos há muitos anos, e através do GIAC (Global Information Assurance Certification), possui um calendário de cursos e certificações muito completo e de excelente qualidade.

janeiro 11, 2007

[Segurança] Podcast Brazuca muito legal

Os amigos Luiz Eduardo, Nelson Murilo e Willian Caprino criaram recentemente um Podcast chamado "I Shot the Sheriff".

O resultado é um material muito legal, de primeira: a cada edição eles comentam as notícias e as principais novidades na área de segurança, em um tom leve e descontraído.

Você pode ouvir online ou abaixar o arquivo mp3 com o conteúdo da edição.

Ficou, realmente, muito bom.

janeiro 05, 2007

[Diversão] Paródias do Star Wars

O YouTube tem vários vídeos com paródias do Star Wars. Os que eu mais gosto são:

A Paródia do final do Star Wars Episódio VI, em formato de ópera


O Darth Vader tocando a Marcha Imperial em versão Lego


E, principalmente, o relativamente velho vídeo do Store Wars, que eu adoro !!! (o Chewbrocoli e a Death Melon são hilários!!!)

janeiro 02, 2007

[Segurança] Bug no GMail

Essa notícia saiu hoje no Handler's Diary mantido pelo pessoal do Internet Storm Center do SANS: Foi encontrado um bug de Cross-Site Scripting (XSS) no GMail.

Aparentemente, este bug postado no dia 31/12 em http://blogs.zdnet.com/Google/ permite que o atacante tenha acesso aos contatos do GMail a partir do momento que você acesso um site com o código específico (e exemplificado nesse site, em um post específico).
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.