novembro 28, 2005

[Segurança] Computer Security Day

Dia 30/11 é celebrado internacionalmente como o "Computer Security Day" (ou, como o pessoal da RNP traduziu, "Dia internacional da segurança em informática").

Maiores informações sobre isso no site http://www.computersecurityday.org/. Lá também tem 2 posters free sobre o tema, para download.

O pessoal do CAIS/RNP estará fazendo um ciclo de palestras sobre segurança no dia 30 pela manhã. Veja a programação completa na página deles: http://www.rnp.br/eventos/disi2005.html

novembro 23, 2005

[Internet] Blog de amigo

Descobri hoje o Blog do Willian Caprino, onde ele fala sobre segurança, tecnologia e vários outros assuntos legais: http://mrbilly.blogspot.com

Parabéns, Willian !!!

[Segurança] CISSP - Dicas para o exame

Respondendo a um post na lista de discussão CISSP-BR, eu passei para o pessoal algumas dicas sobre a hora do exame para a certificação CISSP.

Esta prova é muito difícil, são 250 questões a serem respondidas em 6 horas, muitas delas que exigem interpretação do enunciado da questão.

Seguem abaixo minhas sugestões para o dia do exame:

1. Tente não ficar estressado. Relaxe. Mesmo que vc tenha pesadelos com a prova na véspera.

2. Se programe para ler a prova 2 ou 3 vezes:
1a. leitura: responda as questões que sabe e pule as que não sabe
2a. leitura: responda as que ficou na dúvida e as que não saiba (mesmo que tenha que chutar)
3a. leitura: passe as respostas para o gabarito

3. Não perca muito tempo com as questões. Marque a resposta das que você tem certeza e faça uma marca ao lado dela, para não precisar revisá-la depois(isso poupa tempo). Nas que você tem dúvida, marque as alternativas descartadas (que vc acha que estejam erradas) e tente fazer um "rank" das demais (indicando qual é mais provável, mais certa, menos errada). Deixe para revisar na segunda leitura da prova.

4. Lembre-se: muitas questões são de interpretação - elas tem várias alternativas corretas, ou nenhuma correta, dependendo da SUA interpretação. Não se desespere. Tente raciocinar e eliminar as alternativas que são "menos prováveis".

(por exemplo, para A ser verdadeiro, devo considerar que a empresa tem antivírus. Mas B tbém pode ser verdadeiro, mas neste caso, preciso considerar que tem antivírus e ele está atualizado === o exemplo é PÉSSIMO, mas eu acredito que as alternativas MAIS corretas são a que dependem de MENOS fatores que não foram detalhados no enunciado)

5. Não se desespere se, ao ler uma questão pela segunda vez, meia hora depois, você considerar que as alternativas que lhe pareciam certas estão erradas e a errada é a certa. Isso é doido assim mesmo.

6. Durante a prova, faça paradas para ir ao banheiro e comer algo. Mesmo que vc não esteja com vontade de ir ao banheiro ou comer ! Servem para esfriar a cuca e relaxar um pouco. Eu fiz 3 paradas: ao atingir a primeira metade da prova, ao término da primeira leitura e antes de começar a passar as respostas para o gabarito.

7. Mantenha a calma e a serenidade. Mesmo que você pule 10 questões pois não sabia ou estava em dúvida.

8. Lembre-se sempre que todo mundo fala que a prova é difícil e ninguém sai da prova sabendo se passou ou não. Com você não vai ser diferente.

9. Não tenha medo de tomar pau na prova. A prova é tão difícil que isso não é demérito para ninguém. Tenha auto confiança e enfrente a prova com a cabeça erguida.

novembro 17, 2005

[Segurança] Eventos GTER/GTS

Foi divulgado o programa para os eventos do Comitê Gestor dos grupos de Redes e Segurança: GTER 20 e GTS 02.05.

Os eventos são muito bons, de excelente conteúdo, gratuitos e acontecerão no início de dezembro:

http://eng.registro.br/gter20/prog.html

As inscrições já estão abertas !

novembro 16, 2005

[Segurança] Palestra na Fatec

Coloquei na página http://www.diff.com.br/biblio/Geral_fatec_nov2005.pdf o conteúdo da palestra sobre os principais assuntos referentes a segurança na Internet, que vou ministrar na Fatec hoje (16/11).

novembro 11, 2005

[Segurança] O Hash subiu no telhado...

Uma das apresentações do SSI que mais me assustaram foi a realizada pelo Paulo Barreto, da USP, sobre "A crise das funções de Hash", relatando os últimos resultados obtidos nas tentativas (e conquistas) e quebra das funções de hash.

Um artigo interessante que apresenta um resumo sobre esta questão está em http://software.newsforge.com/article.pl?sid=05/11/02/2056250&from=rss.

As conclusões finais do artigo são bem claras e corretas: "If you're developing something today, do it with SHA256. Better yet, implement your new application to be "algorithm agile," meaning plan for the reality that crypto algorithms have a relatively short lifespan and the algorithm you start with will likely become insecure before your application becomes obsolete. For existing systems the guidance was extended: If you have legacy systems running SHA1, start working on a strategy to change them out over the next few years. And if you still have systems running MD5, run for the hills, because the sky has already fallen."

novembro 01, 2005

[Segurança] 22 ways to foil credit card thieves

Esse é um artigo bem legal do site MSN Money, com dicas e cuidados úteis no dia-a-dia para reduzir a chance de ser vítima de fraude de cartão de crédito: "22 ways to foil credit card thieves".

Notem que as dicas não são relacionadas ao lado técnico - é um texto bem claro e simples voltado ao usuário final.

[Segurança] Windows XP Security Guide

Passeando pela página de desenvolvimento e segurança da Microsoft (MSDN), vi que eles atualizaram recentemente o guia "Windows XP Security Guide". Leitura recomendada.

Segundo a página de download, este guia serve para: "(...)provide specific recommendations about how to harden computers that run Windows XP with Service Pack 2 (SP2) in three distinct environments: Enterprise Client (..), Stand-Alone (...), Specialized Security - Limited Functionality (SSLF). Client computers in this environment are subject to extraordinary security concerns. These concerns are so great that a significant loss of functionality and manageability is acceptable."
"This guide is primarily intended for consultants, security specialists, systems architects, and IT planners who plan application or infrastructure development and the deployment of Windows XP workstations in an enterprise environment."
Ao fazer o download, vc receberá um arquivo zipado com um Readme, um release notes, um documento do Word contendo todo o guia em si e um arquivo instalável de ferramentas e templates.

Obs: olha que legal, o guia da Microsoft é distribuído usando a licença creative commons ("This work is licensed under the Creative Commons Attribution-NonCommercial License") !!!!
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.