agosto 31, 2005

[Pensamento] Certificação

Neste final de semana (27/08) fiz a prova de certificação do CISSP (Certified Information Systems Security Professional). Eu poderia ficar aqui divagando horas e horas sobre este assunto, mas em vez disso quero registrar para a posteridade cybernética alguns pontos:

Sobre a prova:

  • A prova é muito extensa e cansativa: 250 questões em 6hs de exame. Terminei a prova em aproximadamente 5h30;
  • A prova faz jus a fama que possui: questões muito diversificadas, abrangendo praticamente todos os assuntos, com respostas muito parecidas, que demandam muita interpretação misturada com um pouco de experiência e uma pitada de decoreba;
  • Achei a prova cansativa principalmente por demandar muita interpretação das perguntas e respostas. Muitas questões, a primeira vista, possuiam 2 ou 3 respostas certas, e devemos julgar qual é a resposta "mais certa";
  • Pela extensão e complexidade, não dá para ter a menor noção se fui bem ou mal na prova. Como disse, a resposta certa depende da interpretação do candidato versus a interpretação do avaliador.

Sobre o processo de estudo, eu certamente não consegui estudar tudo o que queria. Porém:

  • Acredito que as questões que não consegui fazer são referentes a algumas decorebas específicas que, francamente, não teria estudado ou me lembrado mesmo. As que devo ter errado por interpretação, bem, o estudo não influenciaria nisso;
  • O Grupo de Estudos CISSP que montamos aqui em SP ajudou muito. Ajudou a trocar conhecimento, experiência e, bem ou mal, a ter um ritmo de estudos constante. Fora os excelentes amigos que fiz :)
  • O estudo para o CISSP agregou bastente ao meu conhecimento. A maioria dos conceitos eu já possuo, porém o grupo permitiu juntá-los de forma ordenada e me obrigou a estudar um pouquinho mais afundo alguns assuntos que eu só ouvia falar (principalmente modelos de Bell Lapadula e correlatos e o assunto de segurança física).

Sobre certificações em geral, não posso deixar de dizer que nunca fui um entusiasta das certificações.

  • Acredito que essa é uma característica das profissões técnicas, principalmente forte no mercado de TI;
  • Sou um ferrenho defensor da formação acadêmica sólida (faculdade + pós/MBA) versus certificação;
  • A certificação é muito restrita: prova um conhecimento momentâneo em uma determinada tecnologia ou fabricante (exceto nas certificações "vendor-neutral", cujo foco é um assunto/tema específico);
  • Para mim, a faculdade representa a formação da pessoa como indivíduo e profissional, um conhecimento que levamos para a vida toda. A certificação é um conhecimento volátil, que vale por um determinado tempo e assunto;
  • Os certificados servem para facilitar a vida dos analistas de RH;
  • A certificação é "medalha, medalha, medalha", como diria o cachorrinho Mutley.

Enfim, atuo na área de segurança há 10 anos e só agora resolvi tirar este certificado, justamente por acreditar que hoje o título CISSP tornou-se um diferencial de mercado quase obrigatório. Foi um processo muito gratificante, que culminou em uma prova cansativa.

agosto 30, 2005

[Site] World of Windows Networking

O site World of Windows Networking possui muita informação sobre o mundo Windows (dicas, trobleshooting, etc).

Gostei :)

[Redes] Authentication Protocols

Achei esta página da CISCO quando estava pesquisando sobre servidores RADIUS. Ela tem muita informação sobre os protocolos de autenticação Kerberos, TACACS+ e Radius:

http://www.cisco.com/en/US/tech/tk59/tsd_technology_support_protocol_home.html

Especificamente sobre RADIUS, também tem um documento legal da CISCO, pequeno, chamado "How does RADIUS Work?".

Também achei uma página da Microsoft específica sobre o produto deles de servidor de autenticação chamado "Internet Authentication Service" - esta página também tem bastante informação sobre isto.

agosto 24, 2005

[Segurança] Port Knocking

Putz, essa eu não posso deixar de comentar...

Visitando o Blog do Wagner vi uma referência a um artigo do Augusto Paes de Barros sobre Vazamento de Informações em seu site.

Quando cheguei lá, o primeiro comentário era sobre um artigo na InfoWorld falando de uma técnica muito doida chamada "Port Knocking" (algo tipo "batendo na porta").

Por coincidência, no ano passado o meu amigo Daniel Romio havia me comentado sobre isso e, a algum tempinho atrás eu comprei na banca uma revista dessas tipo "Hackers" cuja matéria de capa era sobre isso e havia a indicação de um site sobre esta técnica: http://www.portknocking.org/.

agosto 22, 2005

agosto 10, 2005

HijackThis Quick Start - TomCoyote

Uma ferramenta bem poderosa, e gratuita, para identificarmos o que roda em nosso micro é a HijackThis. Simples de usar e é de grande valia na caça a spywares e outros bichos.

agosto 09, 2005

[Segurança] Cyber Security Tips

Site do CERT com vários materiais sobre dicas de segurança:
http://www.us-cert.gov/cas/tips/index.html

[Segurança] Métricas de Segurança

Ao desenvolver um projeto dentro de uma empresa, é necessário definir claramente os objetivos a serem alcançados, baseado na situação atual (onde estamos) e nos meios a serem utilizados (como). O objetivo corresponde ao "aonde queremos chegar".
Várias são as metodologias para acompanhamento de um projeto, indicando o quanto estamos perto ou longe de nossos objetivos. Do ponto de vista de um gestor, estas informações tem que ser simples, claras, objetivas e verossímeis.
Em projetos de segurança não é diferente. Precisamos saber o quanto seguro nossa empresa está, e medir o quanto podemos melhorar. A medida de evolução de um projeto de segurança pode ser associado ao próprio aumento no nível de segurança da empresa.
Mas, como medir esta segurança? Como saber se podemos ser atacados com maior ou menor chance de sucesso?
Algumas métricas existem. O CSI criou uma metodologia chamada IPAK. O ISECOM (Institute for Security and Open Methodologies), criadores do excelente OSSTMM - Open Source Security Testing Methodology Manual, possuem a RAVs (Risk Assessment Values).

Em novembro de 2003, devido a uma necessidade em um cliente, eu escrevi um artigo para a revista Security Magazine onde apresentei um questionário de avaliação, baseado nos principais pontos da ISO/IEC 17799. Colocados em uma planilha, geram uma pontuação que pode ser utilizada como referência. Me baseei na norma e em idéias obtidas no IPAK, no COBIT e em um questionário utilizado em levatamento para o ITIL.

O artigo, meio velhinho, está em PDF em www.diff.com.br/biblio/artigo_secmag_nov03_autoavaliacao.pdf.
A planilha, em formato do MS Excel, está em www.diff.com.br/biblio/selfassessment-security.zip.
Todas estas ferramentas nos ajudam a medir, de uma forma padronizada, numérica e "palpável", o quanto estamos seguros em um determinado momento, frente a um conjunto de parâmetros (baselines).

agosto 08, 2005

[Dica] Copyright x Creative Commons

Uma forma muito legal de garantir a autoria e distribuição de um material na Internet (e qualquer outro meio) é a licença chamada "Creative Common" (cc), que surgiu como alternativa ao famoso "Copyright" e "CopyLeft" (este último eu vi pela primeira vez sendo utilizado pela "Free Software Fundation").

A idéia é garantir os direitos do autor ao mesmo tempo em que disponibilizamos nossa obra para o público, com direito de reprodução e alteração do material. Mais informações podem ser obtidas na página http://creativecommons.org/licenses/by-nc-sa/2.0/br/deed.pt.

No site deles há alguns filmes muito legais que explicam o conceito por trás do Creative Commons: http://mirrors.creativecommons.org/

[Segurança] 10a pesquisa de segurança FBI/CSI



Desde 14 de julho está disponível a 10a Pesquisa de Segurança e Computer Crime do FBI/CSI ("10th annual Computer Crime and Security Survey"). É um excelente material de referência, apontando a cada ano as principais ameaças e contra-medidas tomadas pelas principais empresas americanas. Obviamente, como as empresas recebem um questionário onde optam por respondê-lo ou não, os números representam uma tendência geral do mercado. Poucas são as empresas que respondem a este tipo de questionário, de forma que não podemos considerar estes dados como sendo absolutos.

Os principais pontos levantados neste ano foram:


  • Os prejuízos decorridos de falhas de segurança está caindo: uma média de $204,000 neste ano contra $526,000 no ano passado.
  • Os ataques de Virus continuam sendo a maior fonte de perdas financeiras (32% do total).
  • Acesso não autorizado é a segunda maior causa de prejuízos por crimes computacionais (24% do total), mais do que ataques DoS (que era o segundo colocado no ano passado).
  • Da mesma forma, os prejuízos por causa de roubo informação proprietária mais do que dobraram desde o ano passado.
  • Continua a tendência das empresas não reportarem invasões, devido ao receio de publicidade negativa sobre o fato.

A pesquisa pode ser obtida diretamente no site do CSI (Computer Security Institute), e é uma excelente referência sobre o assunto: www.goCSI.com

agosto 04, 2005

[Nerd] The Klingon Language Institute

Putz, precisa dizer mais?

The Klingon Language Institute: ""

(link colocado pelo Willian Caprino em uma lista de discussão que participamos)

[Nerd] Trecos muito legais


Olha só quanta coisa legal a gente acha para comprar na Internet... Ainda vou ter pelo menos um de cada. :)

agosto 03, 2005

[Pocket PC] Site legal


Hoje, para alegria do meu Pocket PC, descobri o site WinCE Br@sil, que é um portal recheado de informações sobre Windows CE e Pocket PC's.
Tem artigos, links de softwares para download, etc.

agosto 01, 2005

[Segurança] Lutando contra SPYWARES

A CA tem um whitepaper muito legal sobre o combate aos SpyWares: "How to Eliminate Spyware to Protect Your Business".
Este guia traz informações sobre o que são os spywares, como se defender e como eliminá-los. Muito legal.

Uma conseqüência da ação deles pode ser vista na reportagem que passou no Fantástico deste Domingo (31/07), e está no site do Fantástico. Ela falou sobre casos de golpes realizados pela Internet, onde os fraudadores estão utilizando os dados rooubados de correntistas para pagar contas de terceiros pela Internet - o que seria (supostamente) mais difícil de rastrear.

Ah, tem mais informações sobre spywares no site http://www.spywareinfo.com/.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.