dezembro 24, 2008

Feliz Natal !!!!



Quero aproveitar esta foto que tirei da decoração de Natal no Parque do Ibirapuera para desejar Boas Festas e um Excelente 2009 para todos os familiares, amigos e leitores deste singelo blog.

dezembro 22, 2008

[Cyber Cultura] Redes sociais no mundo

Um aspecto muito interessante da adoção das redes sociais (Orkut, Myspace, Facebook, LinkedIn, etc) é que a preferência, ou predominância, delas varia muito de país para país. Enquanto os brasileiros povoam o Orkut, por exemplo, os americanos dão pouca atenção para ele e preferem o MySpace e o Facebook.

O site Oxyweb criou um mapa-mundi muito interessante (que pode ser visto aqui), apontando quais são os sites de redes sociais mais utilizados em cada país.


Para fazer esta mapa, a metodologia utilizada para definir a popularidade em cada país não foi baseada no número de usuários de cada serviço, mas sim no tráfego de cada site, analizado pelo site Alexa.

É comum que as pessoas tenham vários perfis em sites de redes sociais distintos. Alguns sites são "genéricos" (como o Orkut ou Facebook) e outros são direcionados a um público específico (como o LinkedIn, para as pessoas de negócio, ou até mesmo o PetKurt para donos de animais de estimação). Mas, de uma regra geral, os usuários de sites de rede social tendem a utilizar os serviços onde a maioria de seus amigos já existentes se encontram. Mesmo existindo uma grande variedade de serviços semelhantes, nós usuários acabamos preferindo um ou outro site.

dezembro 18, 2008

[Segurança] Notícia dos hackers chineses na Globo

O Jornal da Globo apresentou uma reportagem sobre hackers chineses invadindo computadores que utilizam o Internet Explorer 7 para roubar senhas de usuários - no caso, o principal foco são códigos de acesso a jogos online) para vendê-los ilegalmente.



A reportagem é um pouco confusa, pois mistura vários assuntos relacionados. A principal mensagem é que os usuários de Internet Explorer 7 estão sendo alvos de uma vulnerabilidade divulgada na semana passada, catalogada pela Microsoft inicialmente em 10 de dezembro (pelo boletim "961051 - Vulnerability in Internet Explorer Could Allow Remote Code Execution"). Esta vulnerabilidade ficou famosa pois o código de exploração dela foi divulgado acidentalmente por um grupo de pesquisadores chineses (no dia anterior). Posteriormente descobriu-se que esta vulnerabilidade afeta todas as versões do Internet explorer. No dia 17/12 (ontem) foi lançado o alerta "MS08-078", com o patch para ser instalado por todos os usuários.

Esse problema é crítico pois já foram descobertos códigos maliciosos explorando esta vulnerabilidade e alguns site contaminados por eles. Este bug no IE permite que o usuário seja infectado simplesmente ao acessar um site contaminado, sem que o usuário precise fazer nenhuma outra intervenção (não é necessário abaixar um software, clicar num link, aceitar ou fazer qualquer coisa para ser infectado, após acessar o site contaminado). Como a reportagem comentou, também foram identificados códigos maliciosos feito por criminosos chineses criados para roubar dados de acesso a jogos online (neste caso, esses ataques eram direcinados a usuários chineses).

dezembro 17, 2008

[Segurança] Reportagem na TV Globo sobre Crimes Cibernéticos

O Jornal Hoje, da TV Globo, apresentou uma reportagem muito bem feita sobre os crimes cibernéticos, onde deu grande destaque aos tipos de mensagens fraudulentas, de phishing, normalmente enviados pelos criminosos virtuais para enganar os usuários e, assim, conseguir capturar seus dados.



A reportagem entrevistou o nosso colega Ricardo Giorgi, especialista na área e professor da FIAP, que falou rapidamente sobre o problema e deu algumas dicas de como os usuários podem se prevenir. O forte desta reportagem não foi o aspecto de prevenção - faltou falar um pouco mais sobre dicas e sugestões para as pessoas se protegerem contra os golpes virtuais. Mas ela abordou bem a questão dos tipos de mensagens de phishing que os fraudadores criam para enganar os usuários, com exemplos bem claros.

É interessante ressaltar um comentário da repórter: nesta época de fim de ano, os golpes virtuais tendem a crescer e as mensagens de phishing são mais facilmente confundidas com mensagens válidas, principalmente por causa dos famosos "cartões virtuais", uma das formas dos criminosos difundirem códigos maliciosos. Também estamos em um momento em que o volume de compras virtuais e transações financeiras aumentam. Mais transações também representam mais riscos de fraudes e mais possibilidades de enganar os usuários. Uma forma de ataque, utilizada eventualmente por criminosos, é de criar sites falsos de lojas (onde o consumidor "compra mas não leva") ou simplesmente utilizar anúncios falsos, onde o consumidor é direcionado para uma página com código malicioso.

dezembro 03, 2008

[Cidadania] Ajuda as vítimas de Santa Catarina

Hoje eu assisti um trecho do documentário apresentado na Globo, no programa Profissão Repórter, sobre a tragédia em Santa Catarina, em função das chuvas torrenciais, inundações e deslizamentos de terra que atingiram o estado. Mais de 110 pessoas já morreram e milhares de pessoas perderam sua casa e/ou a família.

No final de semana passado eu já havia doado várias peças de roupa para os desabrigados, através de um posto de coleta instalado nos balcões de informações do Shopping Ibirapuera, em SP.

O site da Globo também dá algumas dicas para quem deseja ajudar, doando dinheiro para a Defesa Civil Estadual de Santa Catarina.

A rede Bandeirantes também montou alguns postos de coleta de doações em vários lugares do país (alimentos não-perecíveis, água e produtos de higiene e limpeza). Na cidade de São Paulo, os postos ficam no Ginásio do Corinthians e no Ginásio do Ibirapuera.

Banner da Campanha de solidariedade da Band

[Segurança] Security Configuration Guides

Há vários anos a NSA disponibiliza abertamente ao público um grande conjunto de "Security Configuration Guides".

Estes guias foram desenvolvidos e distribuídos pela NSA, cobrindo uma grande variedade de ferramentas e softwares. O objetivo desta ação é oferecer aos parceiros da NSA (e a todo o público intressado em segurança) o melhor conjunto possível de orientações sobre como aplicar a segurança nos produtos mais utilizados no mercado.

O site possui dezenas de guias de configuração, em PDF, cobrindo vários tipos de equipamentos, sistemas operacionais, banco de dados e ferramentas em geral. É uma excelente fonte de informação para administradores de segurança e profissionais de TI.

dezembro 01, 2008

[Cidadania] Dia mundial de combate a AIDS

Foto Terra / Secretaria de Estado da Saúde-Divulgação O Dia Mundial de Luta contra a AIDS foi lembrado hoje em várias cidades do país e também pelo mundo afora e ganharam destaque em todas as mídias. Em São Paulo, o Obelisco do Parque do Ibirapuera amanheceu com uma cobertura feita com laços vermelhos, o símbolo da campanha de solidariedade aos portadores do vírus. Em Brasília, na Praça dos Três Poderes, um jovem passou o dia dentro de uma bolha transparente, impedido de tocar quem estivesse do lado de fora, para ilustrar a exclusão vivida por quem tem o HIV ou sofre outros tipos de preconceito. O Terra destacou várias ações que foram planejadas para lembrar o Dia Mundial de Luta contra a AIDS no país - e o Estadão fez uma pequena matéria sobre as manifestações na África do Sul e alguns outros países.

Neste ano a mídia deu grande destaque ao fato que dados recentes mostram que o número de soropositivos cresceu entre pessoas com 50 anos ou mais no Estado de São Paulo. A partir de 1983, o percentual de infectados nesta faixa etária passou de 4% em 1983 para 15% em 2007. O governo desenvolveu uma campanha específica para os idosos (que são chamados de "clube dos enta"), que pode ser vista na televisão e também no site do Programa Nacional de DST e AIDS. Segundo uma estimativa da ONU, em 2007 havia 33 milhões de pessoas com o vírus HIV no mundo.

 Jovem dentro de uma bolha transparente, impedido de tocar as pessoas, ilustrando a exclusão vivida por quem tem o HIV O UOL publicou uma matéria destacando que ainda existe muito preconceito em relação às pessoas portadoras do vírus da AIDS. Segundo o Ministério da Saúde, por exemplo, 22,5% dos entrevistados disseram que não comprariam legumes ou verduras em um local onde trabalha um funcionário com HIV - o que é um absurdo pois esta situação não representa possibilidade de contaminação. Também destaca que o preconceito é diagnosticado em pessoas de todas as idades (incluindo jovens), independente da classe social e se baseia muito em questões como promiscuidade, uso de drogas, homossexualidade e infidelidade.

Para saber mais informações sobre a doença, a prevenção e as ações do governo e da sociedade civil, visite o portal DST-AIDS do Programa Nacional de DST e AIDS.

novembro 28, 2008

[Segurança] Sete anos para criar um patch

No pacote de atualizações lançado pela Microsoft no mês de novembro teve um detalhe que chamou a atenção de vários especialistas: o patch MS08-068, que corrige uma vulnerabilidade do serviço SMB (Server Message Block), demorou cerca de sete anos e meio para ser criado !!!

Essa falha, chamada por muitos de "SMB relay attack", foi anunciada na Defcon 2000, o proof-of-concept foi criado em 2001 e já existem algumas ferramentas, como o Metasploit, que exploram esta vulnerabilidade.

Segundo a explicação fornecida pela Microsoft, é que somente no ano passado eles descobriram como corrigir a falha sem causar impacto nas aplicações existentes. Uma explicação mais detalhada dos motivos foi publicada no site do grupo "Microsoft Security Response Center (MSRC)".

[Segurança] Novidades no combate a Pedofilia

Nesta semana o presidente Lula sancionou a nova Lei 11.829/2008, que aumenta a criminalização da pedofilia na Internet, alterando alguns pontos do ECA - Estatuto da Criança e do Adolescente (Lei no 8.069/90).

Uma outra ótima notícia que me chamou muito a atenção foi que a SaferNet Brasil, a Secretaria Especial de Direitos Humanos e a Polícia Federal assinam um Termo de Cooperação para permitir a denúncia de pornografia infantil online pelo serviço Disque 100.

Uma legislação mais forte associada a este tipo de serviço (um número telefônico de fácil acesso para denúncia de crimes de pedofilia) deve facilitar muito o combate a este crime abobinável, e que nos últimos anos tem se aproveitado da Internet para aliciar suas vítimas e divulgar o material pornográfico produzido.

novembro 20, 2008

[Segurança] ISSA Day - Novembro

No próximo dia 26/11/08, quarta-feira, a ISSA capítulo Brasil/SP irá realizar mais um ISSA Day, seu principal evento de relacionamento, aberto a todos os profissionais de segurança. Nesta edição contaremos com o apoio da CLM.

Neste evento, a ISSA Brasil convidou o André D. Corrêa para apresentar uma palestra sobre o projeto "Malware Block List". Nos últimos 3 anos ele tem coletado, analisado e monitorado URLs utilizadas em Phishing Scams e que apontam para Malwares. As listas de URLs são distribuídas gratuitamente para que administradores de sistemas e redes bloqueiem o acesso a elas, impedindo assim que usuários sejam infectados por Malware. Nesta apresentação serão discutidos os desafios de desenvolver e manter este projeto, bem como os aspectos de colaboração com a comunidade de segurança e as tendências futuras em Phishing scams.

Agenda
19:00 - 19:15 - Abertura ISSA
19:15 - 20:15 - Palestra "Sourcefire (IDS) e ArcSight (SIEM): mitigando riscos e ameaças internas em tempo real" – Luiz Zanardo
20:15 - 20:45 - Coffee Break
20:45 - 22:00 - "Malware Block List - Os desafios de coletar e monitorar URLs que apontam para Malwares" - André Corrêa


O Luiz Zanardo, que fará a apresentação em nome da CLM, possui mais de 10 anos de experiência em Segurança da Informação e Sistemas de Prevenção e Detecção de Fraudes Eletrônicas. Atuou em diversas companhias de telecomunicações do país. Atualmente é Gerente de Produtos de Segurança da CLM.

O André D. Corrêa possui 13 anos de vivência em Internet, incluindo ISPs, grandes portais de comércio eletrônico e produtoras web. Seu foco são aspectos de Segurança da Informação de servidores Unix e redes MAN/WAN. Atualmente mantêm dois projetos: Linux IMQ e o projeto Malware Block List, uma lista de bloqueio de URLs utilizadas para disseminar Malwares.

O ISSA Day é gratuito e será realizado no 26/11 das 19h às 22h, no Sonesta São Paulo Ibirapuera, que fica na Avenida Ibirapuera, 2534 (em Moema, São Paulo - SP).

Para se inscrever, basta preencher o formulário online.

novembro 08, 2008

[Segurança] H2HC na Globo

A Globo fez uma cobertura da Hackers to Hackers Conference (H2HC) no Jornal Hoje. O evento está acontecendo hoje (08/11) e amanhã, em São Paulo. O vídeo é bem legal, foi uma reportagem curta, porém objetiva, interessante e instrutiva.



O Ricardo Giorgi e o Rodrigo Ubira Branco deram entrevista. A reportagem se preocupou principalmente em mostrar dicas para as pessoas se protegerem. É ótimo ver esse assunto sendo tratado por profissionais de segurança na mídia.

O Jornal Hoje também publicou um artigo, chamado "Novidades tecnológicas reforçam proteção contra hackers", que apresenta e complementa as principais dicas apresentadas na reportagem ao vivo.

Onde está Wally?
Eu apareci duas vezes no cantinho da reportagem. Me acharam?

Dica: estou na platéia.

novembro 05, 2008

[Segurança] Excelentes eventos nos próximos dias

Este mês vai ser agitado para os profissionais de segurança da informação, principalmente no próximo fim de semana e para aqueles que tem um interesse pelos aspectos mais técnicos da área. Três eventos, todos eles excelentes, vão agitar São Paulo em Novembro.

De 07 e 08 de Novembro de 2008 (sexta e sábado) teremos a 26ª Reunião do GTER e do GTS (Grupo de Trabalho em Segurança de Redes), um evento tradicional, de altíssima qualidade, organizado pelo Comitê Gestor da Internet, pelo NIC.br e pelo Registro.br. A programação do evento está dividida de forma que, no primeiro dia (07/11) serão abordados principalmente os temas relacionados a Redes, e as palestras sobre Segurança estão concentradas no dia 08/11.

Nos dias 08 e 09 de novembro (sábado e domingo) ocorrerá a Hackers To Hackers Conference (H2HC), um evento organizado por pessoas que trabalham ou que estão diretamente envolvidas com pesquisas e desenvolvimento na área de segurança da informação, cujo principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação entre os participantes e também entre as empresas envolvidas. O evento inclui treinamentos (incluindo um treinamento do SANS Institute) e palestras apresentadas por membros respeitados do mundo corporativo, de grupos de pesquisas e da comunidade underground. Foi anunciada a presença de 5 palestrantes internacionais.
A H2HC conta com patrocínio da Microsoft, da CheckPoint, da Immunity e da iDefense - além da Coseinc e da Westcon.

Finalmente, no dia 17 de novembro 2008 (segunda-feira), o conhecido podcast de segurança I sh0t the Sheriff realiza pelo segundo ano, um inovador evento de segurança chamado You Sh0t the Sheriff 2.0 (YSTS). A intenção é trazer para o mesmo palco, de forma descontraída, representantes de diversas "camadas" (tipos de profissionais) dentro do mundo de infosec, oferecendo uma visao abrangente, tornando mais claras as semelhanças de cada uma das partes e reduzindo as barreiras que as separam, em um diálogo sem preconceitos. O evento conta com palestras técnicas para motivar gerentes e também sobre gestão e carreira que agradarão os técnicos, buscando uma integraçao das áreas, para que todos conheçam um pouco mais do "outro lado", trazendo um diferencial na qualificação profissional de todos. Tudo isso com o objetivo de melhorar o, as vezes confuso, mundo da Segurança da Informação. O YSYS conta com o apoio da ISSA Capítulo Brasil.

setembro 19, 2008

[Segurança] Dados sobre desastres no Brasil

Estava assistindo uma palestra do Jeferson D'Addario sobre Continuidade de Negócios durante o 3o Global Risk Meeting e ele citou dados sobre desastres do CENACID (Centro de Apoio Científico da Situações de Desastre), uma unidade da Universidade Federal do Paraná (UFPR).

É um trabalho interessante, que tem por objetivo proporcionar apoio científico e técnico a comunidades em situações de emergências. O site deles tem algumas informações úteis, como artigos, textos, notícias sobre desastres e uma pequena coleção de links. A página com os dados sobre desastres no Brasil em dezembro de 2007 (embora antigo), ilustra bem o tipo de informação que eles tem (mas é uma pena que não estão disponíveis dados mais recentes abertamente no site).

Estas informações são muito úteis para profissionais de segurança da informação que trabalham com gestão de riscos e continuidade de negócio.

setembro 09, 2008

[Segurança] Charges sobre os perigos na Internet

O site Charges.com.br, além de divertido, contém várias sátiras que são relacionadas aos perigos no uso da Internet.

Uma delas, chamada "Espinha e Fimose - Imagem é tudo", kostra de forma humorada umasituação onde você pode er sua intimidade exposta na Internet por uma ex-namorada, conhedido ou um amigo (ou não tão amigo assim). Casos semelhantes a esse acontecem com bastante frequência no mundo real e lotam as delegacias especializadas em crime eletrônico.



Estas charges podem ser utilizadas em campanhas educativas e treinamentos para conscientização de usuários sobre Segurança da Informação e sobre os perigos no uso da Internet.

Há mais duas charges, um pouco antiguinhas, que eu também acho bem interessantes, divertidas e bem feitas, que falam de uma forma humorada e didática sobre os riscos de receber SPAMS e ataques de Phishing, outro tipo de crime muito comum no mundo virtual: "Vítima de spam - Admirável chip novo" de 2005 e o "Espinha e Fimose - Trouxas na rede" de 2004.



setembro 03, 2008

[Cultura] Frustração na Madonna Online

Sim, eu passei a madrugada inteira tentando comprar o ingresso para o show da Madonna online.

Diversas pessoas passaram a madrugada nas filas dos postos de venda, mas eu, profissional de TI, trabalhando há mais de dez anos na área, achei que conseguiria comprar um simples ingresso na Internet em, digamos, poucos munitos (ou pelo menos nas primeiras horas).

E, após 5 horas acordado, 3 computadores, 2 browsers (Intenet Explorer e Firefox), dezenas de janelas de browser abertas e fechadas, estou começando a acreditar que é impossível comprar esses ingressos. Talvez teria sido mais fácil, rápido e, em alguns aspectos, mais barato, se eu tivesse comprado um ingresso para assistir a rainha do pop na Europa ou nos EUA e usado minhas milhas para chegar até lá :(

Um pouco antes da meia-noite, horário oficial de início das vendas de ingressos em São Paulo, eu já percebi que algo estava diferente: na página inicial da Tickets For Fun o internauta devia escolher entre 25 servidores distintos !!! Alguém aí, que trabalha na área, já ouviu falar de Load Balancer? De Cluster de servidores? Voltamos a idade da pedra da informática, onde o usuário escolhe em qual dos servidores vai entrar. Já pensou se, ao acessar o Google, a primeira tela que aparecesse fosse um menu para você escolher um dentre os mais de 10 mil servidores que eles tem?

Isso não seria um grande problema, se cada página, cada click, não demorassem infindáveis e incontáveis minutos para serem processados. Quando clicava em alguma opção, lá vinham infindáveis minutos de espera. De fato, na quase totalidade das vezes, as páginas não eram abaixadas e apresentavam erro por time-out (quando o browser desiste de esperar a resposta do servidor e, simplesmente, aborta o acesso a página que você está tentando navegar). O processo de compra, em si, já é muito mal feito: diversas páginas, diversos passos desnecessários só para fazer a escolha do ingresso. Depois disso, você é solicitado a fazer o login e, pasmem, tem que fazer todo o lento e burocrático processo de escolha do ingresso de novo. E aí vem de novo o problema que, na maioria das vezes, não conseguimos passar de uma página para outra.

O resultado? Em nenhum momento, da meia-noite até as 6 da manhã, eu consegui finalizar o processo de compra !!! E, no final, os erros foram vários, e dos mais absurdos possíveis.

No início, até aproximadamente 3 da manhã, o processo simplesmente não finalizava: após fazer o login e escolher novamente os ingressos, o site não carregava a tela seguinte, de pagamento (conforme imagem acima). Aproximadamente as 3 da manhã, o site ficou fora do ar (vejam a mensagem louca de shutdown do site que eu tive a "sorte" de capturar) e permaneceu assim por vários minutos.

As 4:40 da manhã ainda era impossível completar a compra online dos ingressos. Mesmo quando conseguia passar por todas as telas, já tendo escolhido os ingressos, mesmo tendo feito o login e selecionado os ingressos tudo de novo, o site apresentava uma mensagem de erro sem sentido, dizendo que "Nenhum ingresso foi reservado" - justamente após preencher o pedido na tela de comprar o ingresso e clicar em "Comprar" (obviamente, após esperar um tempão até receber esta mensagem). Moral da história? Carrinho vazio de novo !!!


A partir das 5:40 da manhã a situação piorou de vez... começou com uma mensagem de erro estranha no login ("Retorno Indefinido") para, a partir das 5:50 (aproximadamente), todo o site ficar definitivamente inacessível, fora do ar (veja imagem abaixo). Mesmo tendo voltado a funcionar aproximadamente as 6:30, no final do processo de compra o site continua reornando que "". Para piorar, apesar da imprensa ter anunciado que a venda de ingressos por telefone iria começar as 6 da manhã (informação que uma atendente me confirmou ontem), até o momento quando eu consigo completar a ligação atende uma ligação gravada que informa que o horário de atendimento (e, portanto, o início da venda de ingressos) só começa as 9 da manhã.



ATUALIZAÇÃO AS 18:40
Não teve jeito mesmo... até o momento, ainda não consegui realizar a compra dos ingressos - e tentei todos os canais !!!!

Passei o dia todo tentando ligar no número telefônico da TicketsForFun e não consegui sequer completar a ligação mais de que 2 ou 3 vezes - e em todos os casos a ligação caía poucos segundos depois de ouvir a mensagem inicial deles.

Foi na fila do posto de venda no Estádio do Ibirapuera e a cena era desoladora: milhares de pessoas formavam uma fila que ocupava, aproximadamente, uns 6 quarteirões. Após quase 3 horas de fila, ela andou umpouco mais de 1 quarteirão e meio. Fiz as contas (regrinha de três, básica) e estimei que iria ter que dormir no meio da fila... desisti.

Por fim, o site... ah, o vergonhoso site... É uma das experiências mais traumáticas que já tive na Internet. Após demorar quase 2 horas para conseguir chegar até a página de confirmação do carinho de compras (eu vi meus ingressos lá!!!), o site simplesmente voltou para a página inicial. Agora, na minha última e derradeira tentativa, o site me levava até a página de escolher os ingressos e, após selecioná-los, pedia meu login. Após o login, volta para a página de selecionar os ingressos. Depos, login de novo... um verdadeiro loop infinito !!! Parece brincadeira, mas infelizmente é verdade... eu devia ter filmado isso para que ninguém pense que é implicação minha.

E O QUE DEVE TER DADO ERRADO?

Primeiro, e mais óbvio, o site não estava dimensionado para atender um público grande... qualquer pessoa poderia imaginar que haveria uma grande procura pelos ingressos da Madonna. Eles fizeram uma fase de pré-cadastramento e puderam constar isso !!! Pior: tinham acabado de cometer o mesmo erro no Rio de Janeiro e repetiram em São Paulo.

Imagina se o site que tem o seu e-mail pessoal, por exemplo o GMail (no meu caso), não consegue atender o acesso de todo mundo pois eles não imaginavam que os usuários assinantes iriam... usar o serviço. Imagine se uma dessas grandes lojas online no Brasil (por exemplo, Submarino, Americanas, Ponto Frio e Saraiva, só para citar alguns) lançam uma campanha de desconto p/ compra do celular XYZ com 50% de desconto.

Eles ficam fora do ar? Não.... logo, é possível sim ter um sistema hoje que atenda milhares de usuários por *dia* (não estou falando por segundo ou minuto, como um site de Internet Banking ou um grande site de e-commerce).

Segundo, e algo que pode passar desapercebido para um leigo mas é escandaloso para um profissional de TI: o processo de compra do site está MUITO mal feito. A cada passo da compra ele exige a reautenticação do usuário. O usuário em que escolher seu pedido 2 vezes. O Carrinho de compras some, se esvazia. Se você entra na página do carrinho de compras, não em como voltar na página para comprar mais ingressos. Erros básicos de lógica, de programação e de fluxo de negócios que deixariam qualquer executivo de TI e profissional Web de cabelo em pé.

Imagine que desesperador seria se você, ao utilizar seu webmail, tivesse que colocar sua senha de acesso toda vez que lesse uma mensagem, que escrevesse uma resposta e que acessasse sua caixa postal. E se, ao fazer sua compra online, de um livro, 2 DVDs e um CD, tivesse que colocar tudo no carrinho, fazer o login para comprar, navegar na lojapara colocar tudo no carrinho de novo, depois fazer o login de novo para ir na página de pagamento. Não sei o que deveria acontecer depois disso, pois no meu caso eu sempre voltava para a página inicial da loja com o carrinho vazio.

Terceiro, seria tão difícil montar uma infra-estrutura decente para os três canais de venda (site, telefone e bilheteria), com os ingressos distribuídos igualmente entre os três canais, para ter uma distribuição justa? Com os três canais funcinando?

Resultado?
Incompetência técnica + infra-estrutura precária = falta de respeito ao cliente.


E o que será que dizem os patrocinadores do show: a Renner, a TAM, a Nokia, a Claro, o Bradesco e a American Express? Eles estão gostando de ver suas marcas associadas a tamanho desrespeito ao consumidor? Eles estão gostando de ver tamanha lambança e tantos problemas associados a um evento que deveria ser algo alegre, com alto astral?

agosto 28, 2008

[Cybercultura] Ótimos Vídeos sobre informática


O Computer History Museum criou um canal no YouTube com diversos vídeos muito interessantes sobre a história dos computadores e sobre o próprio museu.

Os vídeos são muito instrutivos para profissionais e estudantes, e também para os aficcionados por tecnologia. O canal pode ser acessado pelo link http://www.youtube.com/user/ComputerHistory



O Computer History Museum fica em um prédio grande e muito bonito em Mountain View, na Califórnia, de fácil acesso (perto da Highway 101). Eles tem uma exposição permanente muito grande, com vistas guiadas periódicas. É um lugar que, para os interessados, vale a visita.

Quem não tem condições de ir até o museu, visite o site e assista os vídeos.

[Segurança] Frase interessante do Kevin Mitnick

Estava lendo uma reportagem sobre o Kevin Mitnick no site da Forbes ("Reformed Hacker Looks Back") quando vi uma frase muito interesante dele, quando respondeu a pergunta "What do you see as the biggest threats to cybersecurity today?":

Cybersecurity used to be about the network or operating system. Now it's more at the application layer. Companies and their contractors build their own applications hosted on a public Web site, and the people who write them aren't trained in secure coding. The mistakes they make can be leveraged to break the system.


Como ele diz, o foco dos principais ataques hoje em dia são as aplicações, e não mais as redes ou os servidores. Muitos desenvolvedores de aplicação não tem noções básicas sobre desenvolvimento de código seguro e, consequentemente, temos milhares de sites e aplicações vulneráveis.

agosto 24, 2008

[Segurança] Prêmio ISSA Brasil Awards

O capítulo brasileiro da ISSA, com o apoio da Daryus, está promovendo a primeira edição do ISSA Brasil Awards, uma iniciativa para contribuir com o desenvolvimento do setor e reconhecer os profissionais de Gerenciamento de Risco e de Segurança da Informação que mais contribuíram para a comunidade e para a sociedade em geral no ano de 2007.

O ISSA Brasil Awards é inspirado no ISSA Awards, uma premiação oferecida anualmente pela ISSA Internacional desde 1998. Esta é uma forma que encontramos para dar destaque às principais iniciativas no mercado de segurança da informação, em quatro categorias:
  • Profissional do Ano
  • Organização do Ano
  • Publicação do Ano
  • Contribuição à Sociedade

O site da premiação contém o regulamento do concurso e, através dele, os interessados podem se inscrever até o dia 30 de agosto. Os vencedores serão anunciados no dia 11/09, durante o 3o. Global Risk Meeting.

[Segurança] História das atividades Hacker


Há um artigo muito interessante na Wikipedia, chamado "Timeline of computer security hacker history", que conta os principais acontecimentos da história das atividades hacker/cracker e, de certa forma, a evolução da segurança da informação.

Para quem tem interesse em conhecer um pouco da história brasileira, sugiro uma lida no artigo "PHRACK INTERNATIONAL SCENE ON BRAZIL" publicado na Phrack há um tempinho atrás e, mais recente, ao artigo "Thirteen Years of Starting a Hacker Scene" publicado na revista 2600 pelo Derneval Cunha, o criador do Barata Elétrica.

agosto 11, 2008

[Segurança] ISSA Day de Agosto

No dia 28/08/2008 (quinta-feira) a ISSA capítulo Brasil/SP irá realizar mais um ISSA Day. Neste mês teremos o apoio da Future Security, que excepcionalmente estará trazendo duas palestras de grande interesse.

Além do mais, pelo terceiro ano consecutivo, contaremos com a apresentação dos officers da ISSA sobre quais foram as principais novidades que abalaram o mundo da segurança na recente edição da Black Hat e da Defcon 2008.

Agenda:
19:00 - 19:15 - Welcome Coffee
19:15 - 19:30 - Abertura ISSA
19:30 - 20:15 - Palestra internacional: "Como otimizar e tornar gerenciável as regras de Firewall" com David Goodman
20:15 - 20:45 - Palestra "Segurança com Inteligência" do Andre Diamand
20:45 - 21:45 - Palestra Novidades da BlackHat e Defcon 2008
21:45 - 22:30 - Coquetel de confraternização e sorteio de brindes

O evento é gratuito e as inscrições serão limitadas. Para se inscrever, favor enviar um e-mail para "presidencia arroba issabrasil.org" com o assunto "ISSA Day Agosto". Informar no corpo do e-mail seu nome completo, empresa e se é associado da ISSA Brasil (Sim / Não).

O ISSA Day será no Blue Tree Faria Lima: Av. Brig Faria Lima, 3989, São Paulo (SP).

agosto 04, 2008

[Cybercultura] Dependência de Internet

Lendo um artigo na Folha Online ("Viciados em Internet são atendidos em SP") recentemente, eu tomei conhecimento do site Dependência de Internet. Esta ação foi criada por uma equipe do Centro de Estudos de Dependência da Internet, pertencente ao Ambulatório Integrado dos Transtornos do Impulso, do Instituto de Psiquiatria do Hospital das Clínicas da FMUSP. A mídia trouxe esse assunto a tona depois da paralização da Internet por quase 2 dias em São Paulo, em virtude de um problema n backbone da Telefônica.

É um trabalho muito interessante e muito relacionado ao grande fenômeno que é o uso massivo da Internet no nosso dia-a-dia e a dependência que ela acaba causando a (quase) todos nós. Esse problema não afeta somente profissionais de tecnologia, acostumados a ficarem conectados quase que 24hs através de seus (viciantes) smart fones. Mesmo crianças, adolescentes e adultos podem acabar se viciando no uso de computadores e da Internet, transferindo para o mundo online muito de suas amizades e interações diárias com amigos, escola e trabalho. O que à primeira vista pode parecer um passatempo, quando usado de forma descontrolada pode trazer sérios prejuízos para o indivíduo.

Este grupo tem como missão oferecer orientação e tratamento à indivíduos que desenvolveram alguma forma de dependência tecnológica, a ponto de causar prejuízo na vida cotidiana e no seu dia-a-dia. Paralelamente, eles também desenvolvem pesquisas de novas terapias para tratar as pessoas que sofram deste mal.

Segundo a reportagem da Folha, em três anos de funcionamento o centro já atendeu 30 pessoas e também cita que o vício em Internet pode ser caracterizado como uma doença mental. Também alertam que não existe idade para se tornar um viciado em Internet: isso pode acontecer com qualquer um de nós.

O site possui um pequeno teste para as pessoas identificarem se possuem os sintomas de um dependente de Internet.

E aí, qual foi o seu resultado?

julho 22, 2008

[Segurança] Nova diretoria da ISSA Brasil

A cada 2 anos a ISSA capítulo Brasil/SP elege seu board de officers. Conforme anunciado no site da ISSA Brasil, a apuração dos votos mostrou que os associados aprovaram os resultados que alcançamos na gestão de 2006 a 2008: nossa chapa obteve todos os 30 votos computados.

A eleição representou para nós a oportunidade para avaliar nossa atuação, revisando nossos objetivos e criando novos planos para o próximo período. Também nos motivou a buscar a renovação dentro do corpo de officers, trazendo novos colaboradores (profissonais com os mesmos interesses e aspirações que trouxeram com eles novas idéias e uma disposição renovada) e nos permitiu reavaliar a posição que cada officer ocupava dentro da associação, adequando os novos cargos às atividades que cada um se julga mais apto a contribuir.

Mais do que uma troca de gestão, o processo democrático de eleição permite aos associados manifestarem sua opinião (seu contentamento ou descontentamento) através do voto.

E o que nos leva adiante?

A maioria de nós já tem dificuldades em conciliar a vida profissional com a vida pessoal, então não parece insano dedicar um pouco do nosso tempo livre para mais uma atividade profissional?

Todos os officers possuem trabalho que nos consomem quase que integralmente durante a semana, como é comum hoje em nossa indústria. Viagens a trabalho são comuns. Alguns ainda arranjam tempo para dar aula. E a família? Praticamente todos tem filhos (ou terão nos próximos meses), sem contarmos nas esposas ou namoradas e os parentes.

O que nos move, e acho que falo por todos, é a paixão pela profissão e o desejo de compartilhar o conhecimento e os conceitos éticos que apreendemos e que consideramos necessários no dia-a-dia. É o ideal de contruir uma associação que represente os profissonais e traga benefícios palpáveis para os nossos interesses e necessidades. É, também, a incontrolável vontade de arregaçar as mangas e correr atrás dos nossos sonhos, realizando tudo aquilo que achamos ser possível.

E quais são nossos próximos passos?

Agora estamos preparando o planejamento de ações para o próximo biênio. Estou propondo a todos os membros que criem um plano de metas anual para que tenhamos objetivos claros pela frente. Além de manter as atividades correntes, estamos também fazendo a transição interna das atividades, uma vez que vários officers trocaram de posição.

Vamos agora dar continuidade ao trabalho realizado até o momento, com foco no fortalecimento da associação (isto envolve consolidar sua imagem e trazer estabilidade jurídica e financeira) e na preocupação central no associado, que se traduz pela busca permanente por novos benefícios e por representar seus interesses junto a sociedade. Continuamos fixos no princípio que a ISSA deve ser a Voz da Segurança da Informação.

julho 11, 2008

[Segurança] Eleição na ISSA Brasil

A cada 2 anos a ISSA capítulo Brasil/SP elege seu board de officers. Estamos chegando ao fim da gestão da diretoria atual e a data e o processo de eleição já foram anunciados aos associados. A eleição ocorrerá em 15/07/2008, das 0:00hs até as 23:59 e elegerá a gestão para o próximo período, que corresponde a 07/2008 a 07/2010.

Confiantes nos bons resultados que alcançamos na gestão de 2006 a 2008, a atual diretoria decidiu se candidatar a reeleição e dar continuidade ao trabalho realizado até o momento. Concorreremos com uma chapa formada pelas mesmas pessoas da atual gestão (com algumas trocas de função) e com mais alguns colaboradores, que passaram a fazer parte do grupo pela similaridade com nossos ideais.

Assim eu terei a honra de encabeçar a chapa, formada por um grupo de excelentes profissionais que, a custo de muito suor, trabalho e ética, estão obtendo destaque em nossa área. A chapa será composta conforme abaixo:

Officers Estatutários:
Presidente: Anchises Moraes G. de Paula, CISSP
Vice-Presidente: Willian Okuhara Caprino, CISSP, MCSO
Diretor de Comunicação: Fernando Fonseca, CISSP
Diretor Financeiro / Parcerias / Relacionamento: Dimitri Abreu, CISSP, MCSO
Secretario: Paulo Teixeira, CISSP

Officers de Apoio:
Diretor de Afiliações: Sergio Dias, CISSP, QSA
Diretor de Comitês: Rodrigo Montoro
Diretor de Educação e Conteúdo: Ronaldo C. de Vasconcellos, GAWN, GCIH
Diretor de Eventos: Wagner Elias, CBCP
Diretor Jurídico: Dr. Renato Ópice Blum
Diretor da Regional Sul: Eduardo V. de Camargo Neves, CISSP
Diretora Adjunta de Comunicação: Lucimara Desiderá, MSc, CISSP
Diretor Adjunto de Parcerias e Relacionamento: Eduardo Cabral, CISSP, MCSO
Diretor Adjunto Jurídico: Rony Vainzof


Esperamos dar continuidade ao trabalho iniciado em 2006, mantendo nossos princípios de independência, transparência e valorização do associado e da associação. Nós pretendemos pautar nossa atuação frente ao Capítulo Brasil-SP da ISSA dos pelos seguintes objetivos:
  • Setor Público e Privado: Auxiliar Empresas, Governo, órgãos públicos em geral e órgãos de pesquisa e ensino em suas necessidades de entendimento dos desafios de segurança da informação, na construção da consciência em segurança da informação e na valorização do profissional em SI, expandindo as atividades do capítulo para além da Grande São Paulo, fomentando iniciativas locais.
  • Sociedade: Auxiliar a sociedade em geral a se conscientizar sobre os riscos advindos do uso cada vez maior da tecnologia em seu dia-a-dia, através da parceria com os movimentos de democratização e de popularização da informática (Telecentros, PC Conectado e outros) e com os meios de comunicação em massa.
  • Comunicação Editorial: Estimular a produção e intercâmbio de conteúdo original sobre Segurança da Informação entre os associados.
  • Educação e ensino: Auxiliar entidades e iniciativas de ensino quanto a conscientização e aprendizagem em Segurança da Informação e impulsionar treinamentos, eventos especializados, grupos de estudo e orientações para certificações. Formar parcerias com instituições de ensino públicas e privadas.
  • Associados: Criar novos benefícios para os associados de alto valor agregado e inovadores, incluindo parcerias para descontos na aquisição de livros especializados e treinamentos, a divulgação de oportunidades profissionais e a troca de experiências entre os associados em eventos periódicos, para integração social e profissional, dentre outros. Fomentar a participação de novos associados através da expansão das regionais e criação de comitês de trabalho.


Os últimos dois anos participando da ISSA foram muito intensos, que demandaram muito trabalho. É um esforço que nos obriga a sacrificar um pouco do nosso tempo livre e de nossa vida pessoal, mas que foi muito gratificante graças aos ótimos resultados que obtemos. Nesses dois anos conseguimos dar um destaque maior a associação e aproximá-la ainda mais dos associados, das empresas e da sociedade em geral.

julho 05, 2008

[Internet] O dia em que a Internet parou (continuação)

A pane no backbone Internet da Telefônica foi notícia de capa em vários jornais, o que certamente causou um enorme prejuízo de imagem para a empresa. O sistema foi estabelecido e hoje também surgiram algumas explicações para o problema: o presidente da companhia no Brasil, Antonio Carlos Valente, informou em entrevista coletiva que a pane no acesso Internet teve origem nos equipamentos responsáveis pelo roteamento de rede, mais precisamente em um roteador na região de Sorocaba. "O problema estava no roteamento dinâmico, que faz com que as máquinas se atualizem", disse.

Isso pode indicar uma falha de configuração dos equipamentos, a propagação acidental de uma rota errada ou mesmo problemas na atualização das rotas, que geralmente em diversas redes é feito pelo protocolo Spanning Tree (STP) - há uma animação no site da CISCO que mostra como o protocolo funciona. Embora muito utilizado para controlar o roteamento dinâmico em redes, o Spanning Tree protocol normalmente não é recomendado para grandes redes, justamente porque ele tem a fama de demorar muito para se atualizar. Além do mais, sua configuração é complexa.

O presidente da Telefônica não descartou a hipótese de falha humana mas não acredita na possibilidade de ter sofrido ataque de "hackers".

Também há notícias na imprensa que, com a falha na Telefônica, outros backbones ficaram congestionados. Ou seja, num cenário onde a fornecedora de quase 70% do tráfego Internet sai do ar, as outras empresas certamente ficam sobrecarregadas.

Se tem uma coisa que eu aprendi assistindo os programas do Discovery Channel (e vejo sempre no dia-a-dia) é que nenhum grande acidente acontece em função de uma única causa. Normalmente, vários eventos colaboram para causar uma tragédia de grande proporção. E o que temos visto até agora sobre este caso? Monopólio de mercado, plano de demissões e de terceirização de pessoal (logo, funcionários descontentes e necessidade de manter o conhecimento durante a troca de equipes), ambiente tecnológico complexo, sistema no gargalo e com contingência insuficiente (há notícias que no final de 2007 o Instituto de Defesa do Consumidor fez um estudo segundo o qual o Speedy estava com problemas de estabilidade).



Outras referências:

julho 03, 2008

[Internet] O dia em que a Internet parou (em São Paulo)

Já é capa de vários noticiários: devido a um problema complexo, inexplicável e, convenhamos, injustificável da Telefônica, diversas empresas, órgãos do governo e usuários domésticos em todo o Estado de São Paulo estão enfrentando sérias dificuldades para acessar a Internet.

Bancos e serviços públicos (como delegacias, CET e o PoupaTempo) estão com seus serviços comprometidos desde ontem (02 de julho), quando o problema começou. A Telefônica fornece links de conexão para a rede do governo do estado de São Paulo (Intragov) e para o acesso ao data center do governo do estado (mantido pela Prodesp). O problema afetou empresas, usuários domésticos do Speedy, cerca de 1,3 mil distritos policiais (segundo a Secretaria de Segurança Pública do estado), as 18 unidades do Poupatempo (central de serviços públicos do governo responsável pelas emissões de diversos documentos para a população), a Companhia de Processamento de Dados do Estado (Prodesp), a Companhia de Engenharia de Tráfego (CET) e o Detran. Estes órgãos ficaram sem acesso a Internet e aos sistemas hospedados no data center da Prodesp - na prática, muitos serviços públicos ficaram fora do ar.

A Telefônica classificou o ocorrido como um "evento técnico complexo e raro" que aparentemente atingiu a sua rede MPLS ("Multiprotocol Label Switching") e os sistemas de redundância - no caso da Telefônica isto se refere ao seu backbone principal (o centro de sua rede) e, por isso mesmo, o problema está afetando clientes corporativos de acesso dedicado e também os usuários finais, clientes do Speedy (o serviço de banda larga da Telefônica).
"A suspensão de diversos serviços, muitos de utilidade pública, revela que gerenciamento de risco e plano de contingência não são uma realidade apesar de haver uma massificação do uso da Internet no dia-a-dia dos negócios. No governo de São Paulo, o estrago é grande". (Convergência Digital)

Em entrevista à Rádio CBN, o presidente da Telefônica (Antonio Carlos Valente) disse que o problema é "complexo, raro e ao que parece é a primeira vez que acontece mundialmente".

Diversas reportagens na mídia descrevem o impacto do problema, mas todas elas são unânimes em afirmar que a causa é desconhecida.

julho 01, 2008

[Cybercultura] Imagens gratuitas na Web


O site Stock.XCHNG é um enorme repositório de imagens gratuitas. Ele permite que seus usuários disponibilizem e tenham acesso a milhares de fotos gratuitamente (quase 370 mil atualmente). São fotos de excelente qualidade, categorizadas e com um mecanismo fácil de busca, que podem ser utilizadas em apresentações, trabalhos, e tudo mais que você precisar.

A maioria das imagens estão disponibilizadas sob licença "Royalty free", que em poucas palavras permite o uso livre em websites, apresentações e materiais que não serão comercializados. O site exige que seja criado um cadastro (gratuito) para permitir o download das imagens.

O site também possui uma área de tutoriais, com vários textos muito úteis sobre fotografia e edição de imagens que são escritos pelos usuários.

junho 26, 2008

[Segurança] Como combater o uso criminoso da Internet?

Recentemente vi dois artigos muito interessantes que descrevem como o MySpace e o UOL combatem o uso criminoso de seus serviços. Estes artigos foram publicados em função do estardalhaço causado pela CPI da Pedofilia, que tem movimentado os congressistas, provedores de acesso, policiais, opinião pública e a imprensa.

O artigo "MySpace Brazil monitora conteúdo de internautas diariamente" publicado recentemente no portal Convergência Digital me chamou a atenção pois mostra algumas boas práticas realizadas pela MySpace que, na minha opinião poderiam ser seguidas facilmente por todos os fornecedores de serviços online para garantir a melhor proteção dos seus usuários e evitar o acesso de pessoas que pretendam fazer uso criminoso da Internet.

Entre 2005 e 2006 a MySpace enfrentou sérias denúncias, nos Estados Unidos, de ter vários pedófilos entre seus usuários. Na época, eu mesmo comentei neste blog sobre um excelente artigo na Wired News que detalhava a pesquisa realizada pelo Kevin Poulsen e que lhe permitiu identificar alguns pedófilos condenados que mantinham perfis no site. Após este fato, a empresa investiu na criação de diversos mecanismos de proteção e monitoramento das atividades, conforme relatado no artigo da Convergência Digital e que faço questão de destacar abaixo:

  • todas as imagens postadas passam por uma primeira verificação para identificar os materiais suspeitos, que em seguida são enviados para revisão, onde as imagens e conteúdos confirmados como inadequados são eliminados do site;
  • imagens e conteúdos indevidos são removidos em até 30 minutos, sendo as autoridades notificadas sobre a identificação do material;
  • as páginas removidas e as informações que permitem identificar o computador de onde foram postadas são mantidas por um ano, podendo ser requisitadas pelas autoridades judiciais;
  • possui um sistema de bloqueio automático de sites pornográficos;
  • links para facilitar que os usuários façam denúncias de conteúdo associado a pedofilia;
  • monitoração de textos que contenham palavras indevidas;
  • há mecanismos para prevenir contatos indesejados entre usuários, como impedir a comunicação entre adultos e menores de 18 anos;
  • os usuários adolescentes têm seus perfis configurados automaticamente como privados e eles tem a opção de bloquear contatos com usuários adultos;
  • as ferramentas de busca não fornecem informações sobre usuários com menos de 16 anos;
  • os pais tem um recurso que lhes permite monitorar a atividade dos filhos;
  • novos usuários tem seus dados cruzados com um banco de dados sobre as pessoas processadas por pedofilia (esta informação é fornecida pelas autoridades norte-americanas). Além de impedir a entrada de pessoas que constam na lista, o MySpace notifica as autoridades quando isto ocorre.


O UOL também desenvolve várias ações similares para proteger seus usuários, conforme descrito em uma reportagem da redação do UOL ("Bate-papo UOL identifica possíveis crimes em tempo real"). Abaixo transcrevi as principais atividades, omitindo alguma similares ao MySpace:
  • um software monitora as salas de bate-papo criadas e alerta sobre o surgimento de temas suspeitos. Um pessoal especializado examina a sala e, se considerar a suspeita procedente, o UOL fecha a sala, armazena os dados de endereço IP, data e horário dos acessos e faz a denúncia ao Ministério Público. Esses dados poderão ser formecidos às autoridades mediante autorização da Justiça;
  • acesso fácil à Central de Denúncia do UOL, com apenas um clique, a partir de qualquer sala ou página do Bate-papo UOL;
  • o UOL mantém páginas com dicas de segurança, além de divulgar constantemente nas salas do Bate-papo selos educativos e mensagens contra pornografia infantil, pedofilia e outros crimes;
  • não oferece salas específicas para menores de 15 anos e não estimula o uso do bate-papo junto ao público infantil;
  • uma tela de advertência é exibida na entrada das salas de trocas de imagens e das salas criadas pelo público, informando como proceder em caso de comportamento indevido durante o bate-papo.


Estas ações do MySpace e do UOL são um ótimo exemplo de como duas gigantes no mundo Internet conseguem combater proativamente o mau uso da rede através de controles simples e que podem ser implantados facilmente por grandes e pequenos provedores. A Internet não é um paraíso e, ao mesmo tempo, não pode se tornar "terra de ninguém". Da mesma forma que, no mundo real, corremos o risco de encontrar pessoas mal intencionadas a qualquer momento (como ladrões, trombadinhas, tarados, pedófilos e assassinos), a Internet também é frequentada por pessoas com desvio de comportamento e com intenção criminosa. Assim, é utopia pensar que a rede pode ser acessada livremente e impunemente.

junho 25, 2008

[Segurança] Apresentação sobre o roubo de identidade

Recentemente recebi um link para uma apresentação online sobre Roubo de Identidade (Identity Theft), um problema antigo, mas que na era da Internet tem tomado proporções alarmantes. Qem nunca tinha ouvido falar de um caso onde algum estelionatário utilizou uma identidade falsa para criar uma conta bancária e cometer fraudes? Ou roubou os documentos de alguém e, com eles, abriu contas bancárias falsas? No mundo da Internet, o roubo de identidade permite que criminosos online tenham acesso fácil a dados pessoais e informações financeiras de milhares de pessoas em qualquer parte do mundo.

Este material da empresa eSgulf é bem interessante e bem feito: aborda o que é o roubo de identidade, o impacto deste tipo de crime e as principais formas de evitar e se prevenir.



Mas outro ponto interessante dessa história toda e que não pode passar desapercebido é justamente o site que hospeda este material: o SlideShare é um site criado para permitir o compartilhamento de apresentações. Um site muito interessante com muito material disponível.

junho 23, 2008

[Segurança] ISSA Day de Junho com OWASP

O ISSA Day deste mês está marcado para o próximo dia 26 de junho (nesta quinta-feira). Nesta edição, o capítulo Brasil da ISSA conta com o patrocínio da Fortify e da Leadcomm e com uma apresentação de Leonardo Cavallari sobre o Ranking OWASP TOP 10.

O Capítulo Brasil do OWASP, por meio de seus voluntários, realizou a tradução do OWASP TOP 10 2007, um documento muito útil e completo que reúne as 10 vulnerabilidades mais críticas em aplicações WEB. A versão traduzida pode ser vista aqui.

Data: 26/06 das 19h às 22h
Local: Auditório da LeadComm - Rua Samuel Morse, 120, Brooklin/Berrini (Mapa aqui)

Agenda:
19:00 - 19:15 - Welcome Coffee
19:15 - 19:30 - Abertura ISSA
19:30 - 20:00 - Palestra Leadcomm / Fortify
20:00 - 21:30 - Palestra "OWASP TOP 10", Leonardo Cavallari
21:30 - 22:00 - Coquetel de confraternização

Para inscrições, favor enviar e-mail para "presidencia arroba issabrasil.org" com o assunto "ISSA Day Junho". Informar no corpo do e-mail o seu nome completo, empresa e se é associado da ISSA Brasil (Sim / Não).

Palestra: "OWASP TOP 10" - O projeto OWASP (Open Web Application Security Project) tem como objetivo pesquisar e desenvolver ferramentas, guides para combater as falhas de segurança em aplicações web.

Sobre o palestrante:
Leonardo Cavallari Militelli é formado em Engenharia Elétrica - Modalidade Computação, pela Universidade Santa Cecília (UNISANTA) e Mestre em Engenharia Elétrica pela Escola Politécnica da Universidade de São Paulo. Mais recentemente, tornou-se especialista segurança de redes Wireless, com a obtenção da certificação GAWN, pelo SANS Institute. Atualmente, coordena a área de segurança da E-VAL Tecnologia, participa de projetos de pesquisa junto ao Núcleo de Segurança e Redes de Alta Velocidade (NSRAV) do Laboratório de Sistemas Integráveis (LSI), além de prestar serviços de consultoria e auditoria relacionados à segurança da informação em seus diversos segmentos. Suas principais linhas de atuação são segurança de infra estrutura, redes Wireless, pen-testing de redes e aplicações Web e detecção de intrusos.

junho 19, 2008

[Segurança] SI em Filmes de Hollywood

O Henrique Werneck publicou, em seu site, uma ótima e bem compilada relação de filmes cuja estória, direta ou indiretamente, está relacionada com segurança da informação ou tem cenas em que um personagem realiza alguma ação relacionada ao tema (como, por exemplo, utilizar um leitor biométrico para acesso ao computador central).

A lista é bem completa (atualmente tem mais de 50 filmes) e inclui o título nacional, o título original, o ano de lançamento, o link no site Internet Movie Database (IMDb) e uma breve sinopse do filme.

Esta relação é uma ótima referência para todos os profissionais da área, e vários destes filmes podem ser citados como exemplos e referências em palestras ou treinamentos. Eu mesmo já utilizei o trailer de alguns deles para abrir palestras e, assim, atrair uma maior simpatia do público - além de utilizá-lo para ilustrar o assunto de uma forma mais palpável (e traçando um paralelo com o mundo real).

A propósito, o pessoal do insecure.org não perdeu tempo e, desde a época do lançamento do filme Matrix, já tinham colocado no site do nmap algumas imagens da cena em que a Trinity utiliza a ferramenta. Melhor do que isso, no site deles tem uma página só sobre as aparições do nmap nos filmes de Hollywood !!!

junho 17, 2008

[Segurança] Vídeos sobre segurança da informação

No final de maio foi lançado o site SecurityTube.Net, com cerca de 90 vídeos relacionados a Segurança da Informação.

Os vídeos são bem interessantes, sendo que a maioria são tutoriais. Estão divididos em 4 categorias: Coding (focados em programação), Tools (sobre como as ferramentas funcionam), Basics (informações em nível mais básico, para iniciantes) e Fun.

junho 13, 2008

[Segurança] Seminário Internacional: Internet & Compliance

Na próxima quarta-feira, dia 18/06, a CLM e a Relatório Bancário vão organizar o Seminário Internacional: Internet & Compliance no Hotel Sonesta Ibirapuera (Av. Ibirapuera, 2534 em Moema) com o apoio institucional da ISSA Brasil.

O evento vai discutir as novidades sobre o assunto com especialistas, inclusive tecnologias que permitem um melhor controle do uso da Internet, de forma a minimizar o risco inerente, no que tange a produtividade, vazamento de informações confidenciais e outras.

A inscrição pode ser feita online no site da CLM e todos os associados ativos da ISSA Brasil tem direito a inscrição gratuita.

junho 06, 2008

[Cidadania] Protesto contra "a nova CPMF"

O nosso Congresso está tentando aprovar a "emenda 29", que amplia os recursos para a Saúde com a criação de um novo imposto específico para isso, que rapidamente já foi batizado de "nova CPMF" (Contribuição Provisória sobre Movimentação Financeira), mesmo tendo ressurgido com um nome novo, de CSS (Contribuição Social para a Saúde).

A CSS funcionaria nos mesmos moldes da CPMF, mas com uma alíquota menor, de 0,10%. O governo estima que a Contribuição Social para a Saúde deverá arrecadar cerca de R$10 bilhões. Como se não bastassem os recordes de arrecadação do governo e a alta carga tributária que já temos: 46% de impostos na energia elétrica ou os 36% que pagamos para tomar um café.

A Rádio Eldorado criou um abaixo-assinado online contra a tentativa do governo e dos parlamentares de recriar a CPMF:

http://www.radioeldorado.com.br/fm/campanha_css/index.asp


Ninguém agüenta mais pagar tanto imposto neste País!!!

Mesmo na época da CPMF, o sistema de saúde pública já era ineficiente. E o governo não pode reclamar de falta de recursos - basta ver os recordes de arrecadação: "A arrecadação de impostos e tributos fechou os primeiros quatro meses do ano com o valor recorde de R$ 223,2 bilhões, uma alta de 12,56% sobre o mesmo período do ano passado." (segundo reportagem da Folha)

O Governo simplesmente usa a Saúde como uma desculpa esfarrapada para justificar o aumento de impostos e satisfazer sua ânsia desenfreada pelo nosso dinheiro.

Exerça a sua cidadania ! Se você também estiver indignado e quiser se expressar, participe do abaixo-assinado contra a nova CPMF.

maio 30, 2008

[Segurança] Como as gangs eletrônicas funcionam

Eu gostei muito da reportagem "Justiça de Goiás condena quadrilha cibernética" publicada recentemente no portal Convegência Digital - isso porque, ao mencionar o caso de uma quadrilha presa pela Polícia Federal em uma das várias operações que já realizou, esta reportagem mostra um breve e bem feita descrição de como as "quadrilhas cibernéticas" se organizam para cometer os crimes e fraudes online.

Há vários tipos de criminosos atuando online - desde alguns que trabalham isoladamente até aqueles que formam verdadeiras "quadrilhas virtuais". Para citar só os principais e mais rentáveis tipos de crimes online que ocorrem diariamente, eu listaria o roubo de contas corrente e de cartões de crédito, as fraudes, extorsões e, além disso, compra e venda fraudulenta. Os grupos criminosos que se organizam para cometer estes crimes online em geral seguem uma estrutura muito bem dividida, com diversas pessoas, cada uma especialista em executar uma etapa do crime. A reportagem da Convegência Digital cita as seguintes tipos de participantes, que normalmente trabalham em "camadas":

  • Os líderes (ou "barões", como citado na reportagem): são os responsáveis por idealizar, controlar, orientar e financiar todo o esquema para realizar a prática criminosa online;
  • Os técnicos são programadores ou especialistas em informática responsáveis pelo desenvolvimento dos softwares (trojans e phishing scams) e pelos equipamentos utilizados para a captação e o armazenamento das informações roubadas pela Internet (dados bancários, de cartão de crédito e diversas senhas). Em algumas quadrilhas eles também são responsáveis por confeccionar e magnetizar cartões clonados (estes são normalmente chamados de "carders"). Alguns deles atuam como "free lancers", seja criando software criminoso para ser vendido online ou há vários outros que roubam os dados online e os colocam a venda para qualquer pessoa que ofereça uma boa quantia em dinheiro. Em algumas quadrilhas eles também executam algumas operações online fraudulentas (como acesso ao Internet Banking da vítima para executar as transferências ou pagamentos de contas);
  • Os laranjas (ou sacadores ou boqueiros) tem um papel muito arriscado e, ao mesmo tempo, importante: eles são responsáveis por efetivar o crime - transformar o dinheiro virtual em real. Eles fazem os saques na boca dos caixas, recebem dinheiro de pagamentos irregulares ou executam transferências e pagamentos fraudulentos, utilizando suas contas pessoais, contas bancárias fraudulentas ou os clones dos cartões bancários. Eles normalmente são os primeiros a serem investigados e presos, logo é comum que uma quadrilha conte com um grande número de laranjas;
  • Os intermediários são responsáveis por operacionalizar o funcionamento da atividade criminoza - eles que normalmente centralizam os contatos entre os líderes, os técnicos e, principalmente, os laranjas e coordenam a ação toda;
  • Dependendo do tipo de fraude, também podem ser envolvidos os "insiders", os funcionários que trabalham dentro de empresas que vão facilitar o acesso a recursos para cometer a fraude. Podem ser funcionários administrativos, ou técnicos de empresas de cartão de crédito, ou até mesmo pessoas responsáveis pela manutenção de caixas eletrônicos.

Em algumas quadrilhas também é fácil encontrar outras pessoas que participam dando apoio logístico aos membros do grupo.

O crime eletrônico, ou cyber crime, está evoluindo e sofisticando em todo o mundo. Recentemente, no Brasil, uma quadrilha que foi presa pela Polícia Federal na Operação Cardume chegava a faturar mais de R$ 500 mil por mês.

maio 27, 2008

[Segurança] ISSA Day - Maio / 2008

Neste mês, o capítulo Brasil da ISSA vai realizar o ISSA Day em Campinas (SP).

Esta edição ocorrerá no dia 29 de maio (quinta-feira) com o apoio do Centro de Atendimento a Incidentes de Segurança (CAIS) da RNP e Embrapa Informática (CNPTIA). O evento terá uma apresentação sobre o conceito e dimensionamento de SOCs do Gabriel Lourenço.

O ISSA Day ocorrerá 19h às 22h com a seguinte agenda:

19:00 - 19:15 - Recepção
19:15 - 19:30 - Abertura ISSA
19:30 - 20:00 - Palestra CAIS
20:00 - 20:30 - Coffee-break
20:30 - 22:00 - Palestra "SOC - Conceito e Dimensionamento", Gabriel Lourenço


Local:
Auditório Embrapa Informática (CNPTIA)
Av. André Tosello 209 - Cidade Universitária - Campinas/SP - 13083-886
Referência: dentro do campus da Unicamp, no distrito de Barão Geraldo. (veja no Google Maps)

As inscrições são gratuitas, e excepcionalmente deverão ser feitas através de e-mail para "presidencia arroba issabrasil.org" contendo o Nome, Empresa, E-mail e RG do interessado.

Descrição da Palestra "SOC - Conceito e Dimensionamento":
Utilizando melhores praticas de mercado nesta palestra são explorados os conceitos de Security Operations Center, Arquitetura Corporativa e Métricas de Segurança demonstrando de que forma a implementação de um SOC pode ser usada como valor agregado em qualquer empresa. Através de um Framework, todas as fases de operação de um SOC são mapeadas e servem como um guia de referência para traçar o paralelo entre os resultados com foco no negócio da companhia e a tecnologia utilizada para manter sua estrutura de segurança.

O Gabriel Lourenço (CCSA/NCSA/MCP/NCMA) trabalha há mais de 8 anos na área de TI como Consultor de Segurança. Dedicou parte de sua carreira especializando-se em Security Operation Centers desenvolvendo ambientes com ferramentas OpenSource, SOC
Reference Model e metodologia de implementação baseada em melhores práticas de mercado. Já atuou em projetos de grande porte em instituições financeiras e atualmente é responsável pelo desenvolvimento de um Framework de SOC com aplicação voltada a Negócios e Métricas de Segurança pela empresa Y3 Tecnologia.

[Segurança] Campanha Anti-Spam

Hoje coloquei nesta página um pequeno banner da campanha anti-SPAM, promovida pelo Comitê Gestor da Internet no Brasil (CGI.br) através da Comissão de Trabalho Anti-Spam. Esta iniciativa foi criada para chamar a atenção e promover a ação e educação dos internautas e profissionais de TI contra o abuso no envio de e-mails não solicitados, os chamados SPAM.

O CGI.br criou é responsável pelo site antispam.br, que possui um conteúdo muito interessante, bem feito e útil para os profissionais e usuários finais apreenderem sobre como se proteger e combater os "SPAMmers".

Hoje já existem estatísticas que mostram um cenário desesperador: pelo menos 4 em cada 5 e-mails que circulam na Internet são mensagens de SPAM. Estas mensagens geralmente tratam de propaganda comercial não solicitada, e muitas vezes são utilizadas para o anúncio de produtos ilegais ou falsificados. Também são utilizados para o envio de trojans, vírus e mensagens de phishing.

maio 19, 2008

[Segurança] Reportagem da BBC sobre Cybercrime no Brasil

A BBC publicou hoje dois artigos muito interessantes sobre o crime cibernético (cyber crime) no Brasil. A reporter Misha Glenny, ao escrever um artigo sobre como o crime está crescendo organizadamente no mundo inteiro, utilizou o Brasil como um exemplo (real) de como funciona o crime cibernético.

O artigo "What makes a cyber criminal?" utiliza um exemplo real, do "hacker" Fabio (nome fictício), um garoto que vive na favela em SP e que aprendeu a cometer pequenos roubos pela Internet, através de gastos em cartões de crédito roubados.

No site do BBC Radio é possível ouvir a reportagem "How Crime Took on the World", onde a quarta parte é a respeito do cyber crime no Brasil, país que, segundo a reportagem, produz mais cyber criminosos do que qualquer outro lugar no mundo. A reportagem pode ser ouvida online é também é possível abaixar o mp3 dela.

maio 15, 2008

[Segurança] Blog sobre Direito Eletrônico

Achei um blog muito interessante sobre direito eletrônico, chamado Direito da Tecnologia da Informação.

Ele tem vários posts muito bons e de qualidade sobre esse assunto, que falam sobre os aspectos legais relacionados a tecnologia e segurança.

Para quem tem interesse nesse assunto, eu recomendo também os sites dos doutores Renato Opice Blum e Patricia Peck, os dois maiores expoentes sobre esse assunto.

maio 13, 2008

[Geek] Startups do Windows

Este vídeo é muito legal: chamado "Windows Sounds and logos- never before seen!", ele é uma montagem que mostra os logos e os sons utilizados no startup de diferentes versões do Windows.

maio 10, 2008

[Segurança] Caso muito curioso de recuperação de HDs

A Scientific American publicou um artigo muito interessante, sobre o trabalho realizado a partir de um HD recuperado do acidente com o ônibus espacial Columbia ("Hard Drive Recovered from Columbia Shuttle Solves Physics Problem").

O acidente ocorreu em fevereiro de 2003, quando o ônibus espacial Columbia explodiu durante sua reentrada na atmosfera após completar sua missão no espaço (veja uma reportagem sobre o acidente aqui). Para delírio dos aficionados por perícia forense, o HD foi identificado em meio aos destroços do acidente armazenados no Kennedy Space Center e enviado para uma empresa especializada em recuperação de dados (Ontrack Data Recovery). A empresa conseguiu recuperar 99% dos dados do HD, que eram referentes a uma das pesquisas científicas realizadas durante o último vôo do ônibus espacial. Os dados recuperados permitiram que a pesquisa fosse concluída.

O Columbia se desintegrou no retorno de seu último vôo espacial, matando todos os seus 7 ocupantes e espalhando destroços pelos estados do Texas e Luisiania. O HD, um Seagate de 400GB, foi recuperado 6 meses depois do acidente. Após a explosão da nave, ele "sobreviveu" a entrada na atmosfera, ao fogo, a queda e estava caído em um lago seco em meio aos destroços, cercado por metais retorcidos e derretidos.

Segundo uma reportagem bem detalhada da ComputerWorld, o HD estava quase irreconhecível. A controladora (uma placa de circuitos que fica na parte inferior do HD) estava queimada, com todos os seus componentes destruídos. Todas as peças de plástico tinham derretido, todos os chips eletrônicos estavam queimados e o selo de borracha que vedava o HD também havia derretido, deixando muita sujeira entrar. Os especialistas conseguiram limpar e recuperar os pratos do HD, montá-lo no chassis de um outro HD semelhante e, assim, ler cerca de 99% da informação que permanecia lá. O trabalho foi feito em 2 dias, mas a análise dos dados durou mais alguns anos.

[Cybercultura] Cartoons muito legais

O Randy Glasbergen mantém um site com centenas de charges muito legais, várias delas relacionadas a computadores e Internet. Mas várias outras sobre temas mais gerais, em sua maioria temas atuais.
As charges são bem feitas e muito engraçadas, eu recomendo a visita.

As charges são protegidas por copyright e o autor pede que enviem uma mensagem para ele para saber quanto custa usá-las.

maio 08, 2008

[Segurança] (ISC)2 Blog

A (ISC)2 anunciou oficialmente a criação de seu novo blog, chamado singelamente de (ISC)2 Blog.

Mais um blog de segurança? Talvez não.... como uma das mais respeitadas entidades do mundo da segurança, o (ISC)2 tem o propósito de criar um blog para permitir que seus próprios associados publiquem posts no blog da associação (e todos são profissionais experientes na área).

Em uma rápida olhada nos posts existentes, há alguns textos longos, no estilo "artigo", e pequenas notas - todos muito interessantes e de boa qualidade. Arrisco dizer que é um blog para se visitar periodicamente. Sucesso a eles !!!!!

maio 03, 2008

[Cultura] Frases de pessoas famosas

Acabei de incluir um recurso legal em meu Blog: no canto esquerdo agora tenho uma área que mostra a "frase do dia" ("Quote of the Day"). é um serviço interessante fornecido pelo site BrainyQuote.
Este site contém milhares de frases interessantes que foram ditas por pessoas famosas. É um recurso muito útil para enriquecer um texto (de seu trabalho ou faculdade), um artigo, seu site ou até mesmo para passar o tempo lendo!

maio 01, 2008

[Segurança] Enigma na RSA Conference 2008

Durante a RSA Conference de 2008 (realizada de 07 a 11 de abril, em São Francisco/EUA), tive a oportunidade de visitar o stand da NSA no pavilhão de exposições: um stand pequeno, fechado, onde nas duas portas de entrada ficavam seguranças que entregavam um crachá de visitante, sem o qual você não poderia entrar lá (e na saida o segurança, sorridente, dizia que o crachá era era um brinde). Lá dentro, a NSA (National Security Agency) mostrava o funcionamento do Enigma (a famosa máquina de criptografia utilizada pelo exército alemão na Segunda Grande Guerra). Livretos, demonstrações e uma máquina faziam parte do acervo. Veja o vídeo feito no stand da NSA durante a exposição:

abril 24, 2008

[Segurança] Futuro da área de segurança, segundo o Bruce Schneier

Foi divulgado, na CISSP-Forum, um artigo muito interessante publicado na TechDirt Daily, chamado "Security-As-A-Feature And The Economics of Abundance", onde o autor (Timothy Lee) faz análises em cima de algumas opiniões do guru Bruce Schneier. O que me chamou a atenção foi o trecho abaixo:
Security products are increasingly becoming commodities. Obviously the software ones - anti-virus tools, software firewalls, intrusion detection systems - have a marginal cost of zero, and even many of the hardware devices are built on commodity parts that get cheaper every month. What hasn't gotten cheaper is the expertise required to put the bewildering array of security tools together into a coherent system that's customized for a firm's particular business. Indeed, as security products have gotten more numerous and more complex, it has actually gotten harder to keep track of them all and know which security tools are the best ones to use in any given situation.

A cada dia, as soluções tradicionais de segurança começam a fazer parte da infra-estrutura operacional básica de uma empresa (ninguém imagina uma rede sem Firewall nem um computador sem anti-vírus). Ao mesmo tempo, as tecnologias tradicionais de segurança vão atingindo um grau cada vez maior de maturidade que torna-se difícil distinguir ferramentas de concorrentes distintos: todas cobrem as funcionalidades "básicas" e, quando alguma lança algum tipo de recurso "avançado", certamente os concorrentes o farão em um curto prazo. Assim, as tecnologias de segurança tornam-se "commodities", simples produtos de prateleira. Nessa hora é que entra a capacidade do profissional de segurança e indentificar, dentro de todo o leque possível de tecnologias, ferramentas e fornecedores, quais são as ferramentas de segurança que realmente agregam valor ao negócio.

Uma empresa não compra soluções de segurança porque quer. Compra porque precisa, porque sua infra-estrutura tecnológica, por si só, não é capaz de garantir a segurança necessária contra os riscos de negócio e contra os ataques e ameaças do dia-a-dia. As soluções de segurança funcionam como uma proteção preventiva: já que a rede não tem condições de se proteger sozinha, já que as aplicações tem bugs, vamos adicionar uma camada de proteção nelas. Outro trecho deste mesmo artigo mostra isso muito bem, do ponto de vista de negócio:
(...) non-security-focused software firms buying security firms to help bolster the security and reputation of their products. This may indicate that developers of other software products are recognizing that better security is one of the key features customers are demanding in their products.

A indústria tem se mostrado, historicamente, incapaz de fabricar um software seguro. Por outro lado, a empresa não quer comprar segurança: ela quer comprar o software, a aplicação que atende sua necessidade imediata de negócio (sua folha de pagamento, seu sistema contábil, seu site de comércio eletrônico). Uma solução dedicada de segurança existe justamente porque a empresa está buscando meios de trazer segurança ao seu negócio. Hoje a empresa tem que comprar dezenas de softwares e ferramentas de segurança (Firewall, IDS, IPD, anti-virus, personal firewall, criptografia, backup, etc) justamente porque a infra-estrutura de TI não consegue garantir sua disponibilidade, confidencialidade e integridade por si só.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.