dezembro 28, 2005

[Cultura] Documentário sobre a Rede Globo

Em 1993 foi produzido um documentário pela tv inglesa Channel Four chamado "Beyond Citizen Kane" ("Além do Cidadão Kane"), que conta a história da Rede Globo de Televisão e seu poder de manipulação das notícias e fatos.

Este filme foi proibido no Brasil graças a uma ação judicial. Na época, entretanto, algumas cópias circulavam clandestinamente e eu assisti o filme no centro acadêmico da faculdade (nesta época eu participava do CAMAT - IME/USP) pois uma colega conseguiu uma cópia para fazermos 2 apresentações.

Hoje recebi um link através de um amigo (dum_dum) que conta a história deste documentário:
http://pt.wikipedia.org/wiki/Beyond_Citizen_Kane


Vale a pena dar uma olhada !!! Principalmente para as pessoas que acreditam em tudo o que vêem na mídia (TV, rádio, jornal, etc) ou acham que não somos manipulados diariamente.

dezembro 26, 2005

Feliz Natal !!!

Ok, ok... sei que o Natal foi ontem.

Mas não posso deixar passar a data sem fazer três comentários:

Veja Papai Noel voando na noite de Natal

O pessoal do Norad, o centro de vigilância aérea do governo Americano, monitora todo o vôo do Papai Noel a partir do momento que ele parte do polo Norte na noite de Natal. Acompanhe o vôo e veja os vídeos no site deles: http://www.noradsanta.org .
Isto é possível pois os satélites deles conseguem acompanhar o nariz vermelho da rena Rudolph.
Este site existe há vários anos (a primeira vez que vi acho que foi em 98), e esta iniciativa deles comemorou 50 anos (veja notícia no site do Norad).

Frase do Papa sobre o Natal

Neste ano o Papa disse uma frase que representa o que infelizmente acontece nesta data: "Na atual sociedade de consumo, este período sofre infelizmente uma espécie de 'contaminação' comercial que pode alterar seu autêntico espírito, caracterizado pelo recolhimento, pela sobriedade e por uma glória não exterior, mas íntima". (Fonte: UOL)

Papai Noel existe?

Eu vi este texto no portal Saúde Animal e vou transcrevê-lo aqui, pois ele passa a magia que é o Natal, uma época que deveríamos valorizar mais as pessoas, os amigos, a família, as boas ações, etc:

Virginia O'Hanlon Douglas, filha de um médico de Nova York, escreveu para o jornal The Sun (o grande jornal da época nos USA) perguntando: "Papai Noel Existe?" Isto foi em 1887. O jornal publicou a carta e a resposta do editorialista Francis Church. Ambas tornaram-se imediatamente famosas na imprensa mundial e o The Sun reproduziu-as anualmente, por ocasião do Natal, até o seu último número, em 1949. Depois, o texto acabou sendo publicado sob a forma de livro e batendo vários recordes de venda nos Estados Unidos. Abaixo, a carta e a resposta que comoveu milhões de pessoas.

Prezado Editor:
Tenho oito anos. Alguns de meus amiguinhos dizem que Papai Noel não existe. Papai sempre diz: "Se está no The Sun, é verdade". Por favor, conte-me a verdade: Papai Noel existe?

RESPOSTA:
Virgínia, seus amiguinhos estão errados. Foram contaminados pelo ceticismo de uma época cética. Só acreditam no que vêem. Eles pensam que não pode existir nada que não seja compreensível por seus pequenos cérebros.

Todas as mentes, Virgínia, de adultos ou de crianças, são estreitas. Nesse nosso enorme universo, o intelecto do homem é como o de uma formiga, tanto comparado ao mundo enorme e infinito que está acima dele, quanto diante da inteligência capaz de alcançar toda a verdade e conhecimento.

Sim, Virgínia, Papai Noel existe. Ele existe tão certamente quanto a generosidade, o amor e a devoção, e você sabe que há tudo isso em abundância, dando à vida as mais elevadas alegrias e belezas.

Ah! como seria triste o mundo se não houvesse Papai Noel. Seria tão triste quanto se não houvesse as Virginais.

Não haveria, então, a fé infantil, a poesia e o espírito de aventura que tornam a existência tolerável. Não teríamos prazer além dos sentidos. A luz eterna, com a qual inunda o mundo, estaria extinta.

Não acreditar em Papai Noel seria o mesmo que não acreditarem fadas. Você poderia fazer seu pai contratar homens para vigiar todas as chaminés e pegar Papai Noel na Noite de Natal. Mas,mesmo se eles não virem Papai Noel descendo, o que isso provaria? Ninguém vê Papai Noel, mas isso não quer dizer que Papai Noel não exista.

Alguma vez você já viu fadas dançando na grama? Naturalmente que não, mas isso não é uma prova de que elas não estejam lá. Ninguém pode conceber ou imaginar todas as maravilhas invisíveis e imperceptíveis do mundo. As coisas mais reais do mundo são aquelas que nem as crianças nem os adultos podem ver...

Você pode arrebentar em pedaços o guizo da boneca e ver o que faz o barulho lá dentro, mas há um véu cobrindo o mundo invisível que nem mesmo a força conjunta de todos os homens fortes que já viveram, poderia rasgar em pedaços, Virgínia.

Só a fé, a fantasia, a poesia, o amor, a aventura, podem abrir essa cortina, observar e descrever toda a beleza e a glória celestiais. Tudo isso é real? Ah, Virgínia, em todo este mundo não há nada mais real e duradouro.

Não existir Papai Noel! Graças a Deus ele vive e viverá para sempre. Daqui a mil anos, Virginía - não, dez vezes mil anos, ele continuará a fazer feliz o coração da infância.

dezembro 16, 2005

[Segurança] Teste da "mesa limpa"

Quando falamos em segurança para os usuários finais da empresa, um tópico que sempre é abordado é o que chamamos de "Mesa Limpa". Ou seja, o cuidado em se manter o ambiente de escritório organizado e, principalmente, que o funcionário não deixe documentos e materiais confidenciais e importantes em cima da mesa, de modo que possam ser facilmente vistos ou furtados por pessoas mal intencionadas (ex: disquetes, relatórios, documentos em geral).

Tem uma página muito legal, no site do CSO Online, que tem um teste chamado "The Clean Desk Test". Você pode ver exemplos de coisas que não devem ficar "jogadas" em cima da mesa e clicar nos ítens que tem na sua mesa de trabalho. Se sua mesa se parece com esta do teste, então você deve tomar mais cuidado !

[Segurança] Relatório "Internet Security Intelligence Briefing"

A VeriSign disponibiliza periodicamente um relatório chamado "Internet Security Intelligence Briefing", que é bem interessante pois contém um resumo dos principais fatos referente a Internet e Segurança ocorridos nos últimos meses.

dezembro 09, 2005

[Segurança] Animação com exemplo de ataque SQL

No site http://scoobygang.org/magicsql/ há uma animação bem legal sobre o uso de uma ferramenta de exploit chamada Automagic SQL Injector para invasão de um servidor de banco de dados.
O exemplo é bem legal e intuitivo. A página da ferramenta também.
Mostra claramente como o ataque contra servidores de banco de dados pode ser feito facilmente.
Recebi a dica dessa animação do Lindolfo. Obrigado !!!

[Segurança] Top 20 Vulnerabilidades


Saiu, recentemente, a mais nova relação do SANS/FBI com as 20 maiores vulnerabilidades de segurança.
O documento pode ser acessado pelo link http://www.sans.org/top20/.
Este material é muito importante, pois mostra as principais vulnerabilidades utilizadas nos ataques contra websites. Representa uma lista mínima de ataques contra os quais todos nós deveríamos estar protegidos.
A cada ano que passa este documento fica mais detalhado e mais completo.

dezembro 06, 2005

[Cybercultura] Piores Bugs de software da história

O artigo "History's Worst Software Bugs" publicado na Wired conta a história dos 10 piores problemas já causados por bugs de software até hoje. São casos de desastres, mortes ou problemas causados por falhas de programação (intencionais ou não).

O artigo é bem interessante !!!!

novembro 28, 2005

[Segurança] Computer Security Day

Dia 30/11 é celebrado internacionalmente como o "Computer Security Day" (ou, como o pessoal da RNP traduziu, "Dia internacional da segurança em informática").

Maiores informações sobre isso no site http://www.computersecurityday.org/. Lá também tem 2 posters free sobre o tema, para download.

O pessoal do CAIS/RNP estará fazendo um ciclo de palestras sobre segurança no dia 30 pela manhã. Veja a programação completa na página deles: http://www.rnp.br/eventos/disi2005.html

novembro 23, 2005

[Internet] Blog de amigo

Descobri hoje o Blog do Willian Caprino, onde ele fala sobre segurança, tecnologia e vários outros assuntos legais: http://mrbilly.blogspot.com

Parabéns, Willian !!!

[Segurança] CISSP - Dicas para o exame

Respondendo a um post na lista de discussão CISSP-BR, eu passei para o pessoal algumas dicas sobre a hora do exame para a certificação CISSP.

Esta prova é muito difícil, são 250 questões a serem respondidas em 6 horas, muitas delas que exigem interpretação do enunciado da questão.

Seguem abaixo minhas sugestões para o dia do exame:

1. Tente não ficar estressado. Relaxe. Mesmo que vc tenha pesadelos com a prova na véspera.

2. Se programe para ler a prova 2 ou 3 vezes:
1a. leitura: responda as questões que sabe e pule as que não sabe
2a. leitura: responda as que ficou na dúvida e as que não saiba (mesmo que tenha que chutar)
3a. leitura: passe as respostas para o gabarito

3. Não perca muito tempo com as questões. Marque a resposta das que você tem certeza e faça uma marca ao lado dela, para não precisar revisá-la depois(isso poupa tempo). Nas que você tem dúvida, marque as alternativas descartadas (que vc acha que estejam erradas) e tente fazer um "rank" das demais (indicando qual é mais provável, mais certa, menos errada). Deixe para revisar na segunda leitura da prova.

4. Lembre-se: muitas questões são de interpretação - elas tem várias alternativas corretas, ou nenhuma correta, dependendo da SUA interpretação. Não se desespere. Tente raciocinar e eliminar as alternativas que são "menos prováveis".

(por exemplo, para A ser verdadeiro, devo considerar que a empresa tem antivírus. Mas B tbém pode ser verdadeiro, mas neste caso, preciso considerar que tem antivírus e ele está atualizado === o exemplo é PÉSSIMO, mas eu acredito que as alternativas MAIS corretas são a que dependem de MENOS fatores que não foram detalhados no enunciado)

5. Não se desespere se, ao ler uma questão pela segunda vez, meia hora depois, você considerar que as alternativas que lhe pareciam certas estão erradas e a errada é a certa. Isso é doido assim mesmo.

6. Durante a prova, faça paradas para ir ao banheiro e comer algo. Mesmo que vc não esteja com vontade de ir ao banheiro ou comer ! Servem para esfriar a cuca e relaxar um pouco. Eu fiz 3 paradas: ao atingir a primeira metade da prova, ao término da primeira leitura e antes de começar a passar as respostas para o gabarito.

7. Mantenha a calma e a serenidade. Mesmo que você pule 10 questões pois não sabia ou estava em dúvida.

8. Lembre-se sempre que todo mundo fala que a prova é difícil e ninguém sai da prova sabendo se passou ou não. Com você não vai ser diferente.

9. Não tenha medo de tomar pau na prova. A prova é tão difícil que isso não é demérito para ninguém. Tenha auto confiança e enfrente a prova com a cabeça erguida.

novembro 17, 2005

[Segurança] Eventos GTER/GTS

Foi divulgado o programa para os eventos do Comitê Gestor dos grupos de Redes e Segurança: GTER 20 e GTS 02.05.

Os eventos são muito bons, de excelente conteúdo, gratuitos e acontecerão no início de dezembro:

http://eng.registro.br/gter20/prog.html

As inscrições já estão abertas !

novembro 16, 2005

[Segurança] Palestra na Fatec

Coloquei na página http://www.diff.com.br/biblio/Geral_fatec_nov2005.pdf o conteúdo da palestra sobre os principais assuntos referentes a segurança na Internet, que vou ministrar na Fatec hoje (16/11).

novembro 11, 2005

[Segurança] O Hash subiu no telhado...

Uma das apresentações do SSI que mais me assustaram foi a realizada pelo Paulo Barreto, da USP, sobre "A crise das funções de Hash", relatando os últimos resultados obtidos nas tentativas (e conquistas) e quebra das funções de hash.

Um artigo interessante que apresenta um resumo sobre esta questão está em http://software.newsforge.com/article.pl?sid=05/11/02/2056250&from=rss.

As conclusões finais do artigo são bem claras e corretas: "If you're developing something today, do it with SHA256. Better yet, implement your new application to be "algorithm agile," meaning plan for the reality that crypto algorithms have a relatively short lifespan and the algorithm you start with will likely become insecure before your application becomes obsolete. For existing systems the guidance was extended: If you have legacy systems running SHA1, start working on a strategy to change them out over the next few years. And if you still have systems running MD5, run for the hills, because the sky has already fallen."

novembro 01, 2005

[Segurança] 22 ways to foil credit card thieves

Esse é um artigo bem legal do site MSN Money, com dicas e cuidados úteis no dia-a-dia para reduzir a chance de ser vítima de fraude de cartão de crédito: "22 ways to foil credit card thieves".

Notem que as dicas não são relacionadas ao lado técnico - é um texto bem claro e simples voltado ao usuário final.

[Segurança] Windows XP Security Guide

Passeando pela página de desenvolvimento e segurança da Microsoft (MSDN), vi que eles atualizaram recentemente o guia "Windows XP Security Guide". Leitura recomendada.

Segundo a página de download, este guia serve para: "(...)provide specific recommendations about how to harden computers that run Windows XP with Service Pack 2 (SP2) in three distinct environments: Enterprise Client (..), Stand-Alone (...), Specialized Security - Limited Functionality (SSLF). Client computers in this environment are subject to extraordinary security concerns. These concerns are so great that a significant loss of functionality and manageability is acceptable."
"This guide is primarily intended for consultants, security specialists, systems architects, and IT planners who plan application or infrastructure development and the deployment of Windows XP workstations in an enterprise environment."
Ao fazer o download, vc receberá um arquivo zipado com um Readme, um release notes, um documento do Word contendo todo o guia em si e um arquivo instalável de ferramentas e templates.

Obs: olha que legal, o guia da Microsoft é distribuído usando a licença creative commons ("This work is licensed under the Creative Commons Attribution-NonCommercial License") !!!!

outubro 21, 2005

[Segurança] Pesquisa "The Global State of Information Security 2005"

Nas páginas a seguir, estão descritas uma pesquisa realizada pela revista CIO e pela PricewaterhouseCoopers com cerca de 8.200 CEO´s, CIO´s, CFO´s e CSO´s de 6 países:

outubro 20, 2005

[Eu] Religiosidade













You fit in with:
Humanism



Your ideals mostly resemble that of a Humanist. Although you do not have a lot of faith, you are devoted to making this world better, in the short time that you have to live. Humanists do not generally believe in an afterlife, and therefore, are committed to making the world a better place for themselves and future generations.


20% spiritual.
60% reason-oriented.















Take this quiz at QuizGalaxy.com

[Tecnologia] Frase do dia

Frase de traseira de caminhão para colocar no rodapé de seus e-mails:
"Unix is like an indian's tent: No gates, no windows, and apache inside."
Muito legal :)

outubro 17, 2005

[Cidadania] Combate a Pedofilia

Foi lançado recentemente um site que permite o envio de denúncias de pedofilia na Internet: www.denuncie.org.br.

Também tem guias de orientação, notícias sobre o assunto, artigos, pesquisas etc.

Denuncie e pornografia infantil - www.Denuncie.org.br

outubro 05, 2005

[Segurança] Cuidado com as mensagens que recebe !!!

Uma amiga me enviou, ontem, um e-mail que falava sobre um programa que promete gerar números para cartão de celular pré-pago, para se fazer ligações de graça.
GENTE, esse tipo de coisa NÃO existe !
Só para confirmar, eu abaixei o programa e testei no site Virustotal, que verifica online o arquivo enviado para eles utilizando 22 antivírus diferentes. O resultado é este que está na tela: 5 deles conseguiram identificar que esse falso programa de gerar códigos de celular (chamado gerador.exe) tinha um Trojan bancário - isto é, um programa específico para capturar senhas de Internet Banking.

Moral da história:
  • Nunca acredite em e-mails que prometem facilidades.
  • Nunca clique em links de mensagens de e-mail que te mandem abaixar e executar um programa (fácil de identificar pelo final .exe, .com ou .scr -> estes são os + comuns)
  • Cuidado pois existem centenas de mensagens falsas circulando por aí !
  • Nunca abaixe e instale programas da Internet.
  • Na dúvida se foi invadido, a primeira coisa que vc tem que fazer é ligar para seu banco e solicitar a troca da senha.

Outra coisa: Nunca confie 100% no seu antivírus, pois a variedade de vírus e programas espiões é tão grande que eles nem sempre conseguem se atualizar a tempo. Isto é especialmente verdade no caso de programas para capturar senha de banco (chamados também de "spywares" e que vem geralmente em mensagens de e-mail, chamadas de "phishing scam"). Estes programas são muito específicos, variando de acordo com a pessoa que o criou (varia a forma de captura, o site de internet banking "alvo", para onde os dados são enviados, etc, etc, etc), de forma que os antivírus normalmente falham em identificá-los, pois varrem os arquivos procurando por caracteríticas pré-determinadas (comandos, "padrões de comportamento", etc).

outubro 03, 2005

[Segurança] Convenção sobre Cybercrime

Em novembro de 2001 foi realizada na Europa a Convenção de Budapeste (chamada de "Convention on Cybercrime"), tratando especificamente do tratamento internacional dos crimes digitais, que incluiu os países da Europa além dos EUA, Canadá, Japão e África do Sul.

Para ver a página oficial sobre a convenção, incluindo o texto que foi definido pelos países presentes, e os seus signatários, clique AQUI.

Aqui no Brasil pouco tem se falado abertamente sobre esta iniciativa. Embora muitos discutam, critiquem e proponham a necessidade de leis que tratem especificamente do chamado crime eletrônico, poucos falam (ou sabem) que já existe uma iniciativa sobre isto de âmbito mundial e que o Brasil não participa dela.

[Segurança] Global Security Week (antestardedoquenunca)

[Segurança] Cryptool

Cryptool é uma ferramenta gratuita para Windows utilizada para ensinar os conceitos de criptografia e criptoanálise.

Vale a pena dar uma visita no site da ferramenta, fazer o download e fuçar nela.

Fiquei sabendo desta ferramenta em uma mensagem publicada no site CCCure.

[Segurança] Cartilha do e-consumidor


Mais um post da série "Cartilhas": a Câmara-e.net disponibiliza, em seu site, uma Cartilha do e-consumidor, com muitas dicas e orientações sobre como proceder em uma compra online com maior segurança, como analisar a confiabilidade da loja, etc.
A cartilha está disponível online em http://www.camara-e.net/e-consumidor/.

setembro 30, 2005

[Segurança] Cartilha sobre fraudes para lojistas

Da série "Cartilhas sobre Segurança": No site da Camara-e.net está disponibilizado um guia interessante intitulado "Guia de Prevenção à Fraudes eCommerce para Lojistas".
É um material bem interessante, que aborda os cuidados e contra-medidas que os sites de comércio eletrônico podem ter para minimizar o risco de fraudes. Bem didático e abrangente.

[Cybercultura] Crescimento do Mundo Virtual

Hoje estava procurando algumas estatísticas sobre o crescimento da Internet e do comércio Eletrônico, e achei algumas coisas Interessantes:

  • Segundo a Camara-e.net, o Varejo On-line atingiu faturamento de R$ 4,602 bilhões no primeiro semestre de 2005, o que deverá resultar em um crescimento projetado de 30,66% deste ano com relação a 2004.
  • Eles também tem um texto sobre o perfil do consumidor eletrônico, que corresponde a cerca de 12% dos 20 milhões de internautas brasileiros.

Fora isso, há algumas estatísticas interessantes sobre a internet no Brasil disponibilizadas no site do Comitê Gestor: http://www.nic.br/indicadores/index.htm.

setembro 27, 2005

[Cybercultura] Manual para Blogueiros e Dissidentes Online


A organização Repórteres Sem Fronteiras lançou um manual voltado para blogueiros e, principalmente, pessoas que utilizam os Blogs como meio de expressão e de envio de notícias em países que possuem controle rígido de censura.
O material é bem interessante e bem completo, com muitas dicas e orientações sobre como montar um blog, como divulgá-lo, o que colocar, etc.
A página do manual em inglês, chamado de "Handbook for bloggers and cyber-dissidents ", é http://www.rsf.org/rubrique.php3?id_rubrique=542

[Segurança] Cartilha sobre Monitoramento Eletrônico


O Conselho do Comércio Eletrônico da Federação do Comércio do Estado de São
Paulo lançou a Cartilha "Monitoramento Eletrônico - Sugestões para controle de e-mails e recursos tecnológicos". O material ficou muito bom, bem suscinto e objetivo. O download da cartilha, em PDF, pode ser feito direto no site da FEComércio, clicando aqui.

[Cybercultura] Imagens gratuitas na Web

Quer colcoar uma foto legal em seu site, apresentação ou trabalho?

Há alguns sites na net que disponibilizam fotos gratuitamente (isto é, livre de cobrança de direitos autorais e royalty):

Eu sempre utilizo fotos desses sites. Algumas são bem legais.

setembro 23, 2005

[Cybercultura] Mais um blog

Não resisti e acabei de criar mais um blog: o "Bastard Security Analyst from Hell".
Minha idéia é utilizar ele para publicar histórias engraçadas sobre nossa profissão. A maioria delas (ou talvez todas) serão baseadas em casos reais.
Boa sorte para mim :)

[Tecnologia] Blog The Bastard IT Analyst from Hell

Blog bem interessante:

http://bitah.blogspot.com/

setembro 19, 2005

[Segurança] Excelente Livro On-line gratuito


A primeira edição do livro "Firewalls and Internet Security: Repelling the Wily Hacker" está disponível online em "http://www.wilyhacker.com/1e/".

[Segurança] Recursos do SANS

No site do SANS tem uma página repleta de informações sobre segurança, chamada "Information and Computer Security Resources". Dentre as informações interessantes contidas ali, eu destaco:

[Segurança] Produto legal :)

Navegando no site da Linksys, vi que eles tem um produto chamado "USB VPN & Firewall Adapter", que parece ser bem legal.
Aparentemente, ele permite conectar o micro em uma rede ethernet a partir da USB, com o produto no meio do caminho fazendo as funções de firewall e VPN.

setembro 16, 2005

[Telecom] Sites interessantes

Hj fucei em dois sites legais sobre o mundo de Telecom:

[Administrativa] Licença de uso

Todas as informações colocadas neste blog estão protegidas pelas leis de direito autoral baseado na licença Creative Commons. Mais detalhes abaixo:



Licença Creative Commons

Esta obra está licenciada sob uma Licença Creative Commons.



setembro 13, 2005

[Fun] Refrigerante do Google

A Google colocou uma página no ar anunciando o "Google Gulp", seu novo refrigerante:
http://www.google.com/googlegulp/index.html

Ele vem em 4 deliciosos sabores: Beta Carroty, Sugar-Free Radical, Sero-Tonic Water e Glutamate Grape.

Isso é uma grande brincadeira, mas tem algumas sátiras realmente bem interessantes inclusas nos textos:

  • "DNA scanner embedded in the lip of your bottle reading all 3 gigabytes of your base pair genetic data in a fraction of a second"
  • "patented Auto-Drink technology"
  • "Gulp will send packets of data related to your usage of this product from a wireless transmitter embedded in the base of your Google Gulp bottle"
  • "GulpPlex™, a heavily guarded, massively parallel server farm whose location is known only to Eric Schmidt, who carries its GPS coordinates on a 64-bit-encrypted smart card locked in a stainless-steel briefcase handcuffed to his right wrist"
  • "No personally identifiable information of any kind (...) will ever be given, sold, bartered, auctioned off, tossed into a late-night poker pot, or otherwise transferred in any way to any untrustworthy third party, ever, we swear"

setembro 09, 2005

[Segurança] Cartilha de Segurança

O CERT.BR acabou de lançar uma atualização de sua cartilha de segurança. Em poucas palavras: o que já era muito bom ficou ainda melhor de bom !!!!

A cartilha completa está disponível online (HTML) e para download (pdf) em http://cartilha.cert.br/.

setembro 01, 2005

[Carreira] eu, CISSP

Chegou hoje:
"Dear Anchises:

Congratulations! We are pleased to inform you that you have passed the
Certified Information Systems Security Professional competency examination -
the first step in becoming certified as a CISSP."


OOOOba !!!! Tô virando CISSP :)

agosto 31, 2005

[Pensamento] Certificação

Neste final de semana (27/08) fiz a prova de certificação do CISSP (Certified Information Systems Security Professional). Eu poderia ficar aqui divagando horas e horas sobre este assunto, mas em vez disso quero registrar para a posteridade cybernética alguns pontos:

Sobre a prova:

  • A prova é muito extensa e cansativa: 250 questões em 6hs de exame. Terminei a prova em aproximadamente 5h30;
  • A prova faz jus a fama que possui: questões muito diversificadas, abrangendo praticamente todos os assuntos, com respostas muito parecidas, que demandam muita interpretação misturada com um pouco de experiência e uma pitada de decoreba;
  • Achei a prova cansativa principalmente por demandar muita interpretação das perguntas e respostas. Muitas questões, a primeira vista, possuiam 2 ou 3 respostas certas, e devemos julgar qual é a resposta "mais certa";
  • Pela extensão e complexidade, não dá para ter a menor noção se fui bem ou mal na prova. Como disse, a resposta certa depende da interpretação do candidato versus a interpretação do avaliador.

Sobre o processo de estudo, eu certamente não consegui estudar tudo o que queria. Porém:

  • Acredito que as questões que não consegui fazer são referentes a algumas decorebas específicas que, francamente, não teria estudado ou me lembrado mesmo. As que devo ter errado por interpretação, bem, o estudo não influenciaria nisso;
  • O Grupo de Estudos CISSP que montamos aqui em SP ajudou muito. Ajudou a trocar conhecimento, experiência e, bem ou mal, a ter um ritmo de estudos constante. Fora os excelentes amigos que fiz :)
  • O estudo para o CISSP agregou bastente ao meu conhecimento. A maioria dos conceitos eu já possuo, porém o grupo permitiu juntá-los de forma ordenada e me obrigou a estudar um pouquinho mais afundo alguns assuntos que eu só ouvia falar (principalmente modelos de Bell Lapadula e correlatos e o assunto de segurança física).

Sobre certificações em geral, não posso deixar de dizer que nunca fui um entusiasta das certificações.

  • Acredito que essa é uma característica das profissões técnicas, principalmente forte no mercado de TI;
  • Sou um ferrenho defensor da formação acadêmica sólida (faculdade + pós/MBA) versus certificação;
  • A certificação é muito restrita: prova um conhecimento momentâneo em uma determinada tecnologia ou fabricante (exceto nas certificações "vendor-neutral", cujo foco é um assunto/tema específico);
  • Para mim, a faculdade representa a formação da pessoa como indivíduo e profissional, um conhecimento que levamos para a vida toda. A certificação é um conhecimento volátil, que vale por um determinado tempo e assunto;
  • Os certificados servem para facilitar a vida dos analistas de RH;
  • A certificação é "medalha, medalha, medalha", como diria o cachorrinho Mutley.

Enfim, atuo na área de segurança há 10 anos e só agora resolvi tirar este certificado, justamente por acreditar que hoje o título CISSP tornou-se um diferencial de mercado quase obrigatório. Foi um processo muito gratificante, que culminou em uma prova cansativa.

agosto 30, 2005

[Site] World of Windows Networking

O site World of Windows Networking possui muita informação sobre o mundo Windows (dicas, trobleshooting, etc).

Gostei :)

[Redes] Authentication Protocols

Achei esta página da CISCO quando estava pesquisando sobre servidores RADIUS. Ela tem muita informação sobre os protocolos de autenticação Kerberos, TACACS+ e Radius:

http://www.cisco.com/en/US/tech/tk59/tsd_technology_support_protocol_home.html

Especificamente sobre RADIUS, também tem um documento legal da CISCO, pequeno, chamado "How does RADIUS Work?".

Também achei uma página da Microsoft específica sobre o produto deles de servidor de autenticação chamado "Internet Authentication Service" - esta página também tem bastante informação sobre isto.

agosto 24, 2005

[Segurança] Port Knocking

Putz, essa eu não posso deixar de comentar...

Visitando o Blog do Wagner vi uma referência a um artigo do Augusto Paes de Barros sobre Vazamento de Informações em seu site.

Quando cheguei lá, o primeiro comentário era sobre um artigo na InfoWorld falando de uma técnica muito doida chamada "Port Knocking" (algo tipo "batendo na porta").

Por coincidência, no ano passado o meu amigo Daniel Romio havia me comentado sobre isso e, a algum tempinho atrás eu comprei na banca uma revista dessas tipo "Hackers" cuja matéria de capa era sobre isso e havia a indicação de um site sobre esta técnica: http://www.portknocking.org/.

agosto 22, 2005

agosto 10, 2005

HijackThis Quick Start - TomCoyote

Uma ferramenta bem poderosa, e gratuita, para identificarmos o que roda em nosso micro é a HijackThis. Simples de usar e é de grande valia na caça a spywares e outros bichos.

agosto 09, 2005

[Segurança] Cyber Security Tips

Site do CERT com vários materiais sobre dicas de segurança:
http://www.us-cert.gov/cas/tips/index.html

[Segurança] Métricas de Segurança

Ao desenvolver um projeto dentro de uma empresa, é necessário definir claramente os objetivos a serem alcançados, baseado na situação atual (onde estamos) e nos meios a serem utilizados (como). O objetivo corresponde ao "aonde queremos chegar".
Várias são as metodologias para acompanhamento de um projeto, indicando o quanto estamos perto ou longe de nossos objetivos. Do ponto de vista de um gestor, estas informações tem que ser simples, claras, objetivas e verossímeis.
Em projetos de segurança não é diferente. Precisamos saber o quanto seguro nossa empresa está, e medir o quanto podemos melhorar. A medida de evolução de um projeto de segurança pode ser associado ao próprio aumento no nível de segurança da empresa.
Mas, como medir esta segurança? Como saber se podemos ser atacados com maior ou menor chance de sucesso?
Algumas métricas existem. O CSI criou uma metodologia chamada IPAK. O ISECOM (Institute for Security and Open Methodologies), criadores do excelente OSSTMM - Open Source Security Testing Methodology Manual, possuem a RAVs (Risk Assessment Values).

Em novembro de 2003, devido a uma necessidade em um cliente, eu escrevi um artigo para a revista Security Magazine onde apresentei um questionário de avaliação, baseado nos principais pontos da ISO/IEC 17799. Colocados em uma planilha, geram uma pontuação que pode ser utilizada como referência. Me baseei na norma e em idéias obtidas no IPAK, no COBIT e em um questionário utilizado em levatamento para o ITIL.

O artigo, meio velhinho, está em PDF em www.diff.com.br/biblio/artigo_secmag_nov03_autoavaliacao.pdf.
A planilha, em formato do MS Excel, está em www.diff.com.br/biblio/selfassessment-security.zip.
Todas estas ferramentas nos ajudam a medir, de uma forma padronizada, numérica e "palpável", o quanto estamos seguros em um determinado momento, frente a um conjunto de parâmetros (baselines).

agosto 08, 2005

[Dica] Copyright x Creative Commons

Uma forma muito legal de garantir a autoria e distribuição de um material na Internet (e qualquer outro meio) é a licença chamada "Creative Common" (cc), que surgiu como alternativa ao famoso "Copyright" e "CopyLeft" (este último eu vi pela primeira vez sendo utilizado pela "Free Software Fundation").

A idéia é garantir os direitos do autor ao mesmo tempo em que disponibilizamos nossa obra para o público, com direito de reprodução e alteração do material. Mais informações podem ser obtidas na página http://creativecommons.org/licenses/by-nc-sa/2.0/br/deed.pt.

No site deles há alguns filmes muito legais que explicam o conceito por trás do Creative Commons: http://mirrors.creativecommons.org/

[Segurança] 10a pesquisa de segurança FBI/CSI



Desde 14 de julho está disponível a 10a Pesquisa de Segurança e Computer Crime do FBI/CSI ("10th annual Computer Crime and Security Survey"). É um excelente material de referência, apontando a cada ano as principais ameaças e contra-medidas tomadas pelas principais empresas americanas. Obviamente, como as empresas recebem um questionário onde optam por respondê-lo ou não, os números representam uma tendência geral do mercado. Poucas são as empresas que respondem a este tipo de questionário, de forma que não podemos considerar estes dados como sendo absolutos.

Os principais pontos levantados neste ano foram:


  • Os prejuízos decorridos de falhas de segurança está caindo: uma média de $204,000 neste ano contra $526,000 no ano passado.
  • Os ataques de Virus continuam sendo a maior fonte de perdas financeiras (32% do total).
  • Acesso não autorizado é a segunda maior causa de prejuízos por crimes computacionais (24% do total), mais do que ataques DoS (que era o segundo colocado no ano passado).
  • Da mesma forma, os prejuízos por causa de roubo informação proprietária mais do que dobraram desde o ano passado.
  • Continua a tendência das empresas não reportarem invasões, devido ao receio de publicidade negativa sobre o fato.

A pesquisa pode ser obtida diretamente no site do CSI (Computer Security Institute), e é uma excelente referência sobre o assunto: www.goCSI.com

agosto 04, 2005

[Nerd] The Klingon Language Institute

Putz, precisa dizer mais?

The Klingon Language Institute: ""

(link colocado pelo Willian Caprino em uma lista de discussão que participamos)

[Nerd] Trecos muito legais


Olha só quanta coisa legal a gente acha para comprar na Internet... Ainda vou ter pelo menos um de cada. :)

agosto 03, 2005

[Pocket PC] Site legal


Hoje, para alegria do meu Pocket PC, descobri o site WinCE Br@sil, que é um portal recheado de informações sobre Windows CE e Pocket PC's.
Tem artigos, links de softwares para download, etc.

agosto 01, 2005

[Segurança] Lutando contra SPYWARES

A CA tem um whitepaper muito legal sobre o combate aos SpyWares: "How to Eliminate Spyware to Protect Your Business".
Este guia traz informações sobre o que são os spywares, como se defender e como eliminá-los. Muito legal.

Uma conseqüência da ação deles pode ser vista na reportagem que passou no Fantástico deste Domingo (31/07), e está no site do Fantástico. Ela falou sobre casos de golpes realizados pela Internet, onde os fraudadores estão utilizando os dados rooubados de correntistas para pagar contas de terceiros pela Internet - o que seria (supostamente) mais difícil de rastrear.

Ah, tem mais informações sobre spywares no site http://www.spywareinfo.com/.

julho 29, 2005

[Segurança] Montando a Política de Segurança da Empresa

Infelizmente, hoje existem várias formas simplificadas da empresa montar uma Poliítica de Segurança. Seja adquirindo uma política-de-segurança-de-prateleira (Vide "Information Security Policies Made Easy, Version 10"), ou tentando utilizar uma norma padrão (como a ISO 17799) cegamente.

Já vi empresas que contrataram "consultores de segurança" que lhes entregaram, simplesmente, uma cópia da BS traduzida (na época que ainda não tinha a NBR).

Já senti na pele que a melhor forma de criar uma política de segurança começa pela montagem de um comitê de segurança (com membros de todas as demais diretorias/áreas), que irá discutir e aprovar cada norma a ser estabelecida.

Na prática, um projeto de "how-to-make-your-super-mega-catchanga-security-policy"
seria, mais ou menos, formado pelo seguinte conjunto de passos:

1. Ter uma área que vai guiar todos trabalhos - ou seja, o Security Officer (ou CSO, CISO)
2. Ter o apoio e a bênçao do CEO/Presidente/Dono
3. Montagem do Comitê de Segurança
(em uma reunião com todos os C*O's, onde o Presidente põe todos p/ trabalhar)
4. O Security Officer agenda as reuniões do Comitê. A cada reunião:
  • O Security officer prepara um draft previamente
  • O Comitê discute a norma até o concenso (incluindo suas considerações, dúvidas, visões, etc)
  • O Security Officer prepara a versão final da norma

5. O Presidente aprova a Política de Segurança, suas Normas e Procedimentos
6. O Security Officer divulga (conscientiza), aplica os controles e monitora.

No processo de criação da política de segurança (=política+normas+procedimentos), o Security Officer deve montar apenas um "draft" (rascunho) delas, baseado no que ele conhece da empresa, para servir de base às discussões no comitê.

Os departamentos da empresa entram no Comitê de Segurança, com um (ou mais) representantes. Eles vão ajudar, e muito, a discutir, revisar e aprovar as normas. É nessa hora que conseguimos ter uma visão multidisciplinar da segurança, e o que é melhor: aplicado a realidade do negócio, do dia-a-dia. O Depto Jurídico, o de RH e o de Marketing tem papel fun-da-men-tal neste comitê. Inclusive, deles sempre recebi os melhores e mais apropriados feedbacks.

Ao incluir outras áreas (que não somente a de segurança e TI) no processo de criação da política de segurança, ganhamos como vantagem adicional um certo grau de comprometimento muito maior com o resultado.

Isso foi uma visão resumida, simplificada e rápida de todo o processo.

Dá para perceber que isso é um trabalho mais demorado e que demanda maior esforço do que contratar uma "consultoria" que te entrega pronto um CD com toda a sua política de segurança em 15 dias. É nesse momento que os "espertões" levam vantagem frente a um cliente mais leigo ou mal orientado.

Este Texto foi baseado em alguns posts recentes que fiz na lista de discussão CISSP-BR.

[Segurança] Artigo sobre Segurança de Perímetro

Eu acabei de colocar na Internet, direto do do fundo do baú, um artigo que publiquei
em agosto/03 na Security Magazine sobre Segurança de Perímetro:

http://www.diff.com.br/biblio/artigo_secmag_ago03_seg_perimetro_v1.pdf

Neste artigo, coloquei os conceitos básicos e dei exemplos de topologias de firewalls e DMZ (que, na hora de converter para PDF, melou).

Embora meio velhinho, ainda é bem útil e didático.

julho 26, 2005

[Segurança] Ferramentas essenciais - free

A SysInternals disponibiliza, gratuitamente, um conjunto grande de ferramentas para o ambiente windows:

http://www.sysinternals.com/Utilities.html

São ferramentas muito simples e ao mesmo tempo poderosas e extremamente úteis para os profissionais de TI, pois permitem acesso e monitoração de vários recursos do Windows.

Entre elas, destaco:

  • Filemon v7.0: This monitoring tool lets you see all file system activity in real-time.
  • PsTools v2.16: The PsTools suite includes command-line utilities for listing the processes running on local or remote computers, running processes remotely, rebooting computers, dumping event logs, and more.
  • TDIMon v1.01: TCP/IP monitor.
  • TCPView v2.4: See all open TCP and UDP endpoints. On Windows NT, 2000 and XP TCPView even displays the name of the process that owns each endpoint. Includes a command-line version, tcpvcon. (meu preferido - vide figura abaixo)
  • Filemon v7.0: This monitoring tool lets you see all file system activity in real-time.
  • Process Explorer v9.12: Find out what files, registry keys and other objects processes have open, which DLLs they have loaded, and more. This uniquely powerful utility will even show you who owns each process.

julho 25, 2005

[Segurança] Crimes na Internet & Tipos penais

No site da Polícia Civil do Rio, vi na seção "artigos" o texto abaixo, da Delegacia de Repressão aos Crimes de Informática (DRCI), que mostra de forma sintética as tipificações penais que podem ser aplicadas nos crimes eletrônicos:

http://www.policiacivil.rj.gov.br/artigos/ARTIGOS/drci.htm

Muito legal :)

julho 19, 2005

[fun] Vírgula grotesca

Uma simples vírgula pode fazer muita diferença... Vejam só a frase que ouvi hoje, de um amigo descrevendo uma terceira pessoa:

Versão 1: "Imagine algo grotesco, como você de cabelão enorme"
Versão 2: "Imagine algo grotesco como você, de cabelão enorme"

Poizé, as testemunhas presentes discordam sobre qual versão representou a intenção do interlocutor... E agora?

:)

[Segurança] Posters muito criativos

Visitando o excelente site do não-menos-excelente Marcus Ranum, vi uma página onde ele reproduziu um calendário sobre segurança, parecido com aqueles famosos "posters motivacionais". É um material bem criativo, e que pode servir de inspiração para campanhas de conscientização de usuários por aí.
Na verdade, o site todo vale uma bela visita. Dezenas de artigos e papers de qualidade.

[Dica] Busca por RFC's

Essa dica é pq eu sempre me esqueço desses sites, quando preciso...
As RFC's (Request for Comments) são os documentos que, oficialmente, padronizam os protocolos, conceitos, procedimentos e tudo o mais relativo a Internet.
Apesar de serem oficialmente mantidas pelo IETF (Internet Engineering Task Force), os sites abaixo são muito úteis:

julho 16, 2005

[Segurança] Denunciando Phishing Scam

No evento do Grupo de Engenharia e Operação de Redes e do Grupo de Segurança do Comitê Gestor e, em uma das apresentações, nos foi informado que as mensagens de Phishing Scam podem ser denunciadas para o CAIS, no e-mail phishing@cais.rnp.br .

Este serviço é novo, eles estão começando a centralizar isso agora.

julho 15, 2005

[Segurança] Sites com dicas básicas de segurança (Português)

A Febraban tem 1 site que fala várias coisas s/ segurança, incluindo um glossário, artigos e dicas de prevenção: http://www.febraban.com.br/seguranca_site/seguranca.asp

Há também um site interessante do Movimento Internet Segura: http://www.internetsegura.org/

[Segurança] Próximos eventos imperdíveis

Para o segundo semestre, teremos alguns eventos de segurança muito legais aqui em SP:

julho 08, 2005

[ferramenta] Muito doida !!!!!

No site http://earth.google.com/ tem uma ferramenta free MUUUUITO legal do Google: éla permite visualizar mapas de cidades obtidos a partir de imagem de satélites. E é possível "passear" pelo mapa (arrastando o mouse p/ ir p/ os lados).

Veja abaixo um exemplo de screenshot da ferramenta:



As imagens são estáticas, obtidas da junção de imagens de diversos satélites. Conforme navegamos na ferramenta, as imagens são recebidas por streamming. Mas é bem divertido e com um nível de detalhe surpreendente.

Na Europa e EUA tem mapa de quase tudo quanto é cidade. No Brasil, há mapas de SP, Rio e Brasília.

julho 06, 2005

[Site Legal] Números Aleatórios?

Você precisa de um gerador de números aleatórios?
Quer disputar par-ou-ímpar ou fazer um sorteio?

Então, o gerador de números aleatórios do site randon.org é a solução:

[Segurança & Internet] Sites do Comitê Gestor e Cert.br

Ha questão de poucos dias atrás a galera do Comitê Gestor mudou sua identidade visual e deu uma reformulada em seus sites.


  • Site do CERT.BR, antigo NBSO: Com várias informações básicas de segurança (ferramentas, links, notícias e apresentações);
  • Site do Registro.BR, onde podemos pesquisar no whois os donos domínios ou endereços IP.


Mais do que nunca, portanto, vale lembrar que uma visitinha periódica é obrigatória.

julho 04, 2005

[Frase do Dia] Programação Segura

Frase atribuída ao Bruce Schneier em uma apresentação feita no evento do GTS:
"Nós não precisaríamos gastar tanto tempo, dinheiro e esforço em segurança de redes se não tivéssemos uma segurança em software tão ruim"

junho 24, 2005

[Segurança] Phishing do dia

Segue um e-mail de "Phishing scam" que recebi hj, que nada mais é do que um afalsa mensagem se fazendo passar como se tivesse vindo do Ponto Frio, e que instiga o usuário a clicar em um link, que em vez de levar para o site da loja, o faz abrir em uma página "nada a ver" (no caso, http://www.freewillies.com/pontofrio.com/boletocobranca.php)

junho 22, 2005

[Segurança] Top 75 Security Tools

Vale a pena sempre visitar esta lista do Insecure.org para conferir as novidades e rever as ferramentas que todos nós devemos conhecer:

http://www.insecure.org/tools.html

(eu mesmo acabei de abaixar o ministumbler)

junho 21, 2005

Nerd Test

I am nerdier than 77% of all people. Are you nerdier? Click here to find out!

[Segurança] Senhas de acesso a roteadores Cisco

Por default, há dois níveis de controle de autorização de acesso em roteadores CISCO, cada um com autenticação distinta:

  • Level 1: corresponde ao acesso ready-only ("user mode")
  • Level 15: acesso privilegiado, ou read/write ("privileged mode")


É necessário ter acesso primeiro como "user mode" para, a seguir, obter acesso privilegiado (o famoso comando enable).

Para configurar a senha de acesso ao equipamento (user mode), deve-se:

  • Entrar no modo de configuração (comando config terminal - ou, por exemplo, conf t para os mais íntimos)
  • Especificar se vai definir a senha para acesso via console (comando line console 0) ou pelas portas AUX ou VTY (o comando ficaria, por exemplo, line AUX 0)
  • Habilitar o login com o comando logins
  • Definir a senha com o comando password


O acesso privilegiado pode ser definido aptravés de dois comandos: o "enable password" ou o "enable secret".

Por questões de segurança, é altamente recomendável que a senha de acesso privilegiado seja gravada com o comando "enable secret", pois desta forma ela será exibida encriptada, ao se visualizar a configuração do equipamento.

O comando "enable secret" tem precedência sobre o "enable passord". Desta forma, se ambos estiverem presentes, o sistema irá somente considerar a senha definida no comando "enable secret".

Todas as senhas definidas no equipamento são armazenadas em "clear text", exceto quando utilizado o comando "enable secret".

Uma forma de evitar que suas senhas sejam vistas por qualquer pessoa que tenha acesso a uma cópia da configuração de seu roteador CISCO, é utilizar o comando "service password-encryption". Isto fará com que todas as senhas apareçam encriptadas (utlizando a velha cifra de Vigenére) no comando "show run".

Ah, outra boa opção é utilizar um servidor de autenticação externo (ex: TACACS) para definir quais usuários/senhas terão acesso ao equipamento. E, claro, configurar o acesso remoto para ser feito via SSH, e não Telnet.

Fonte: Extraído do livro "Hardening Cisco Routers" (O'Reilly)

junho 15, 2005

[site] material online s/ Telefonia IP

IP Telephony Cookbook
http://www.informatik.uni-bremen.de/~prelle/terena/cookbook/main/

[Segurança] Material legal - OWASP

Esta é uma dica legal que foi enviada pelo Augusto Paes de Barros, na lista CISSP-BR:

Saiu uma primeira versão "beta" do guia OWASP 2.0. (Open Web Application Security Project)

P/ quem não sabe, o OWASP é um projeto aberto e sem fins lucrativos para promover a segurança de aplicações Web. Entre várias iniciativas eles produzem um guia, cuja versão 2.0 está saindo do forno. O material é de primeiríssima qualidade, fazia um bom tempo que eu não folheava algo tão rico em e bem fundamentado em termos de segurança. P/ o pessoal que está estudando para a prova, é uma boa fonte para Application Security, vale a pena incluir na lista de material de estudo.

O site do projeto é http://www.owasp.org

A nova versão do guia pode ser baixada de
http://sourceforge.net/project/showfiles.php?group_id=64424&package_id=62287&release_id=333866

junho 09, 2005

[fun]

Segue uma pequena foto da Boopie, que eu deixo de tela de fundo em meu celular :o)

Frase do dia

Dito por um dos palestrantes no "2o. fórum de gestão integrada de TI" (evento da CA, hoje de manhã): "Deus fez o mundo em 7 dias porque Ele não tinha ambiente legado".

junho 08, 2005

[Segurança] Ferramenta: Microsoft Security Risk Self-Assessment

Hoje brinquei um pouco com a ferramenta de auto-avaliação de riscos de segurança da M$: Microsoft Security Risk Self-Assessment Tool (MSRSATv1-6-1-1.zip encontrado em (http://www.securityguidance.com/).

Deve-se ter instalado o .net framework antes de instalar ela.

A ferramenta, em si, é fácil de usar: são várias perguntas (cerca de 10 a 15) de múltipla resposta sobre a (sua) empresa, na tela de "Business Profile", depois em quatro áreas de análise: "Infrastructure", "Applications", "Operations" e "People".

Ao final, a ferramenta gera um pequeno gráfico de resultado (de 0 a 100 para cada uma das 4 áreas acima).


(exemplo com respostas ficitícias)

Bem fácil de usar.

Ferramenta muito útil para fazer uma auto-avaliação (macro) dos riscos da empresa.

Ah, eu usei ele em inglês, mas existe a opção de utilizar em português (na instalação).

Site interessante (Segurança)

Achei mais um portal sobre segurança - este está em língua portuguesa (não-Brasil), e gostei da diagramação dele:

http://www.xsecurity.ws/portal/index.php

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.