dezembro 29, 2006

Vou reproduzir aqui uma mensagem de Feliz Ano novo bem humorada e totalmente politicamente correta (com uma pequena alteração), publicada pelo colega Pete Hillier an lista cisspforum:

Please accept with no obligation, implied or implicit, my best wishes for an environmentally conscious, socially responsible, low stress, non-addictive, gender neutral, celebration of the Winter solstice holiday, practiced within the most enjoyable traditions of the religious persuasion of your choice, with respect to the religious/secular persuasions and/or traditions of others, or their choice not to practice religious or secular traditions at all, and a successful, personally fulfilling, and medically uncomplicated recognition of the onset of the generally accepted calendar year 2007, but not without due respect for the calendars of choice of other great cultures whose contributions to society have helped make BRAZIL great (not to imply that BRAZIL is necessarily greater than any other country), and without regard to the race, creed, colour, age, physical ability, religious faith, choice of computer platform, or sexual preference of the wishee.


É isso aí ! Um Feliz 2007 para todos(as).

[Pessoal] O Submarino afundou meu Natal


Neste fim de ano fiz parte de minhas compras de Natal online. Porém a experiência não foi nada animadora.

No Domingo, dia 17/12, decidi comprar no Submarino o DVD "O Dia em que a Terra Parou" para o meu Amigo Secreto, um box da trilogia "Star Wars" para meu amigo Sérgio Dias e uma impressora nova para mim. O pedido foi aceito e, as 23hs do mesmo dia, foi encaminhado para a transportadora. Neste momento eu era um feliz consumidor online, uma vez que o prazo de entrega era de até 2 dias e a entrega de presentes para o amigo secreto da empresa seria no dia 19/12 (terça-feira).

Porém, infelizmente, o Submarino não entregou meu pedido a tempo. No dia 19 eu entreguei para meu amigo secreto um papel com a capa do DVD impresso e os dizeres "Vale um DVD / O Submarino não entregou a tempo".

No dia 20 (quarta-feira) a tarde entrei em contato com a central de atendimento. Após ficar mais de meia hora na fila de espera, a atendente me garantiu que o pedido seria entregue até as 20hs do mesmo dia. Não foi.

Na quinta-feira, dia 21, ligo de novo e o atendente me informa que estão com problema com a transportadora - mas o pedido será entregue até sexta-feira as 14hs. Recebo uma ligação de uma moça chamada Patrícia, da Central de Relacionamentos, que também me garante que o pedido será entregue até as 14hs da sexta-feira e diz que está destacando um carro especialmente para fazer minha entrega. A essa altura, esse meu pedido já tinha virado motivo de piada na empresa. O meu amigo secreto constantemente me perguntava aonde estava o presente dele. Por coincidência, ele comprou um DVD no Submarino na quarta e recebeu na 5a a noite.

Sexta-feira, dia 22/12, faziam 5 dias que eu havia feito o pedido e estava esperando a entrega há 3 dias. Ligo para a central de atendimento as 13h20. Sou atendido as 13h40. Aviso para a atendente que meu pedido não chegoou e que quero cancelá-lo. Ela me diz que a previsão de entrega é até as 14hs e eu respondo que "se eles não entregaram em 5 dias, eu duvido que vão conseguir fazer a entrega em 18 minutos"(eram 13h42). Depois ela me explica que não pode cancelar o pedido: uma vez que sai do estoque, o pedido não pode ser cancelado - a menos que a entrega seja recusada. Poizé... aí eu pergunto: "como recusar uma entrega se ela não chega?". Depois de muito discutir, deu 14hs e eu ainda estava com a atendente ao telefone e pude dizer: "Viu, eu sabia que não iriam entregar no prazo!".

A atendente nada pôde fazer além de registrar meu descontentamento e que eu iria me recusar a aceitar a entrega. Afinal, eu já havia decidido que compraria os DVDs em lojas convencionais, para poder entregar os presentes. em seguida liguei para a Patrícia e disse a mesma história: que o Submarino novamente não cumpriu o prazo, que precisava dos presentes e queria cancelar meu pedido. Depois de muito discutir, ela ligou para o entregador e cancelou a entrega. Estou aguardando agora o cancelamento do meu pedido por parte deles.

Comprei o box do Star Wars no hipermercado EXTRA perto de casa. O DVD "O Dia em que a Terra Parou" eu comprei na Livraria Cultura e a impressora em comprei na Americanas.com. Em todos fui bem atendido. A propósito, a Americanas me entregou em menos de 2 dias.

O meu amigo secreto recebeu o presente dia 26, uma semana atrasado. Eu iria entregar o Box do Sérgio na sexta dia 22, mas me atrasei pois fiquei no telefone com os atendentes do Submarino - ele também recebeu o presente na terça, dia 26.

dezembro 22, 2006

FELIZ NATAL !!!!!!

Feliz Natal para todos !!!






Esta foto é da Árvore de Natal montada no Parque do Ibirapuera (SP).

dezembro 21, 2006

[Segurança] Livro de Forensics



O Wietse Venema disponibilizou na Internet o conteúdo do livro "Forensic Discovery". Ele escreveu este livro em conjunto com o Dan Farmer e publicou pela Addison-Wesley. OOs capítulos podem pode ser visualizados individualmente em HTML, ou o conteúdo todo do livro pode ser abaixado em um .zip gratuitamente em seu site:

http://www.porcupine.org/forensics/forensic-discovery/


Nessa página também tem as erratas e um arquivo .tar com os softwares utilizados. Em respeito aos autores, quero reproduzir abaixo o comentário que eles colocaram na página:

We ask that you honor the authors' request and please do not resell, redistribute this work via any physical media (CDs, DVDs, and the like) or place it on other web sites. The copyright is still retained by Pearson Education, Inc.
We'd like to encourage people to still purchase the work if you think it of value, and send a signal to other publishers that freedom of information doesn't necessarily mean that you cannot make an honest buck from your efforts. We'd also like to again thank Addison-Wesley for their commitment to education and knowledge and allowing us to do this.


Essa é uma dica muito legal que o Eduardo Cabral deu na lista CISSP-BR.

dezembro 08, 2006

[Geek] Tabela ASCII

Hoje quase ninguém mais usa. Muito menos no dia-a-dia. O pessoal mais antigo da área de informática sabia parte dela de cor... Principalmente os caracteres de acentuação e sinais.

As vezes, tínhamos que apelar para o código ASCII para conseguir digitar um simples sinal de "?".

Se mesmo hoje em dia, por algum motivo, você precisar lembrar qual o código numérico ASCII ("American Standard Code for Information Interchange") que representa um determinado caracter, basta consultar uma tabela ASCII online em www.asciitable.com !!!

dezembro 01, 2006

[Sociedade] Dia Mundial de Luta contra a Aids


Support World AIDS Day

Em 1981, há 25 anos atrás, ocorreu o primeiro caso documentado de AIDS no mundo. Com a descoberta da epidemia e após vários casos famosos, em 1988 a Organização Mundial da Saúde criado o "World AIDS Day". Desde então, o dia 01 de dezembro é utilizado para conscientizar a sociedade sobre os problemas e riscos desta doença.

No site do governo brasileiro sobre DST-AIDS há uma matéria mostrando que hoje houve uma Mobilização em favor da luta contra a AIDS na Esplanada dos Ministérios, em Brasília.

Segundo estatísticas do site, o país acumulou cerca de 183 mil óbitos por AIDS até dezembro de 2005. No ano passado, 11.026 pessoas morreram no Brasil em decorrência da AIDS. No mundo inteiro, foram 2,9 milhões. Em 2004, uma pesquisa de abrangência nacional estimou que vivem cerca de 593 mil pessoas no Brasil, entre 15 a 49 anos de idade, com HIV (0,61%). Deste número, cerca de 1/3 (208 mil ou 0,42%) são mulheres e aproximadamente 2/3 são homens (385 mil ou 0,80%).

novembro 29, 2006

[Segurança] DISI2006 - Dia Internacional de Seguranca em Informatica


A Rede Nacional de Ensino e Pesquisa (RNP) através do Centro de Atendimento a Incidentes de Seguranca (CAIS) está organizando um evento para divulgar o dia 30 de Novembro - Dia Internacional de Segurança em Informática (DISI2006).

O evento, divulgado através da página www.rnp.br/eventos/disi/2006, visa disponibilizar informações sobre segurança de computadores e boas práticas com uma linguagem acessível e de forma gratuita. Para isto, estará promovendo um conjunto de atividades com o apoio de diversas instituições e profissionais de segurança:
  • 5 palestras ao vivo com especialistas em segurança da informação;
  • Divulgação de estatísticas sobre o trabalho do CAIS ao longo de seus
    9 anos de existência (há estatísticas disponíveis online no site do CAIS);
  • Divulgação de referências importantes na área de segurança;
  • Um breve quiz com questões relativas à segurança da informação, com
    direito a premiações às 100 primeiras respostas corretas;
  • Incentivo a atividades em comemoração a este dia nas instituições
    federais e centros de pesquisa de todo o país .


No website do evento estão disponíveis algumas informações interessantes, como Links, o Quiz citado acima e uma página com 53 dicas de como você pode apoiar este evento.

(O texto acima foi parcialmente retirado da mensagem de divulgação do evento)

novembro 17, 2006

[Geek] Imagens do espaço


Eu adoro ver imagens de missões espaciais, de planetas e, enfim, do espaço em geral. Acho que quase todo mundo é assim, né? Me fazem pensar na grande aventura que elas representam para toda a humanidade. E, afinal de contas, que criança nunca sonhou em ser um astronauta?

Para isso, nada se iguala às imagens disponibilizadas pela NASA. Recomendo visitar periodicamente a "Image of the Day Gallery" deles.


A partir deste site, é possível navegar por repositórios de centenas de imagens, dos mais variados temas (missões específicas, imagens de astros, da terra, etc).

Uma galeria com imagens muito interessantes é a GRIN - "Great Images in NASA", que contém fotos históricas e antigas - incluindo algumas do programa espacial russo, a famosa foto da "pegada" na lua tirada na missão Apolo 11, as duas fotos que coloquei neste post, etc.

novembro 10, 2006

[Segurança] MythBusters versus um fingerprint scanner

No YouTube há um vídeo muito legal, dos MythBusters tentando "hackear" um fingerprint scanner:



Provavelmente motivados pelos filmes de Hollywood (como "As Panteras"), neste episódio eles ficam tentando burlar um leitor biométrico, de uma forma bem divertida.
Infelizmente não há informações sobre o fabricante dos dispositivos testados nem como estavam configurados. Afinal, isto pode ter influenciado no resultado. Um leitor biométrico de baixa qualidade e/ou mal configurado pode aceitar praticamente qualquer coisa !
Houve, recentemente, uma bela discussão nos blogs do Fernando Cima e do André Fucs sobre esse assunto.

[Segurança] Material para Conscientização de Usuários


Em setembro deste ano aconteceu a "Global Security Week". Embora este evento não tenha sido muito divulgado no Brasil, seu propósito é representar uma oportunidade para as empresas e entidades promoverem discussões e campanhas de conscientização em Segurança.
Vale uma visita na página "Awareness materials", que contém várias apresentações para download gratuito. A maioria delas aborda o Roubo de Identidade. Embora tenha pouca variação no assunto, o material é interessante e pode ser utilizado em campanhas de conscientização - portanto vale a pena o seu download.
A "Global Security Week" ocorre anualmente, todo mês de setembro. Na página de FAQ deles está indicada a data em que ocorrerá nos próximos anos.

[Cyber Cultura] Os números da Internet

O portal Teleco mantém uma página com as principais estatísticas sobre quantidade de usuários de Internet, Domínios e Hosts no Brasil.

Por exemplo, alguns dados interessantes que constam nesta página são:
  • Usuários de Internet no Brasil: 32,0 milhões (PNAD 2005)
  • O Brasil tem 6 milhões de pessoas que acessam a internet exclusivamente de locais públicos pagos ou gratuitos (pesquisa “Internet Pública” Ibope/NetRatings realizada em julho de 2006)
  • Em set/06 haviam 13.639.042 de usuários Internet ativos (IBOPE/Net ratings)
  • Em out/06 haviam cerca de 1.006.000 domínios .br

Além dos números, possui links para alguns dos sites que fornecem esse tipo de informação.

novembro 08, 2006

[Segurança] Segurança Física

Pesquisando recentemente sobre segurança física, achei um documento muito interessante chamado "SITE SECURITY GUIDELINES FOR U.S. CHEMICAL INDUSTRY".

Além de conter muita informação sobre segurança física, também tem alguns exemplos de políticas de segurança.

Há também uma página interessante entitulada "Construction of Cryptographic Operation Site" da autoridade indiana para controle de autoridades certificadoras (CCA), que possui também muitas informações sobre segurança física. As autoridades certificadoras, em todo o mundo, devem estar hospedadas em um ambiente extremamente protegido como uma forma de garantir a segurança e confiabilidade nos serviços de certificação (e armazenamento de chaves). Por exemplo, um eventual comprometimento de uma chave raiz da AC iria permitir facilmente a criação de certificados digitais falsificados. Portanto, toda a confiabilidade em seu serviço seria comprometida.

[Internet] Internet Research Reports

Achei recentemente o site Security Space, que possui vários relatórios gratuitos e muito interessantes sobre o uso da Internet (fabricantes e tecnologias), tais como: tipos de servidores Web, fornecedores de certificados SSL, ferramentas de editoração para Web mais utilizadas, linguagens de programação em Websites, etc

Estes relatórios estão na página "Research Reports".

Estes relatórios são mensais, e podem ser muito úteis de vez em quando.

O site possui várias outras informações, notícias e serviços relacionados a Segurança. Mas, nada melhor do que obter algumas estatísticas gratuitamente !

outubro 31, 2006

[Segurança] Crimeware

O Anti-Phishing Working Group (APWG) lançou recentemente, em conjunto com o "US Department of Homeland Security", um relatório muito interessante sobre o que é o "Crimeware", quais são as técnicas e as tendências, chamado "The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond".

"Crimeware" é um termo utilizado pra designar qualquer atividade ilegal realizada através de softwares, com objetivo de obter ganhos financeiros para o distribuidor do software. Isto inclui os "keyloggers" (e os "screenloggers"), os trojans, os rootkits e vários outros. O relatório fala sobre o que eles são, como se propagam, se instalam, como são usados e passa algumas dicas de como prevení-los.

outubro 27, 2006

[Segurança] Cartilha de Segurança para Internet


O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), com o apoio do Comitê Gestor da Internet publicou recentemente a versão 3.1 da Cartilha de Segurança para Internet, que agora passou a ser editada também em um formato de livro.

A cartilha está disponível gratuitamente no site http://cartilha.cert.br/ e tem um conteúdo excelente, completo, maduro, de grande valia para os profissionais de segurança e usuários em geral. É uma boa opção para uso em treinamentos e atividades de conscientização de usuários.

O CERT.br tem feito um trabalho excelente com a cartilha. Ela foi criada em 2000, e desde então tem evoluído bastante, em seu conteúdo e apresentação. No site

[segurança] Carreira em Segurança

O amigo Sérgio Dias publicou há um tempo atrás um texto muito completo em seu Blog sobre Carreira do Profissional de Segurança.

Em seu texto, ele aborda o mercado brasileiro de segurança, comenta sobre as principais certificações existentes (e quais são mais valorizadas) e dá dicas de como se manter atualizado (sites, livros, etc). O texto está bem feito e consistente.

Parabéns, amigo.

outubro 26, 2006

[segurança] Conscientização de Usuários


Um dos aspectos mais importantes de um programa de segurança corporativo é, justamente, obter a conscientização e comprometimento dos usuários. Os usuários finais são os alvos mais fáceis de ataques, devido a pouca informação que normalmente possuem sobre tecnologia e os riscos de segurança existentes.

Atualmente existem várias empresas e ferramentas que auxiliam na elaboração e implantação de um plano de conscientização (em inglês, "security awareness"). Isto deve envolver treinamentos, palestras e campanhas periódicas, porém com o cuidado de não serem repetitivas nem perderem o descrédito junto aos usuários.

Nesse segmento, há algumas companias e soluções que acredito que merecem um destaque, tais como:
  • Existe um screensaver gratuito, bem simples, mas que pode ser customizado em www.code.ae/projects/scr (vi essa dica no blog do amigo Wagner Elias)
  • No site da empresa Security Awareness Inc. também tem muito material de conscientização bem feito. Embora seja em inglês, acho que vale a pena dar uma olhada no screensaver demo deles ("free demo version") e nos modelos de posters e banners (como o utilizado aqui) como fonte de inspiração. Visite também a página com os ítens gratuitos ("freebies").
  • Uma opção nacional de screensaver de segurança é o safeboard
  • Eu mesmo já utilizei o gibi de segurança da "Qualidade em Quadrinhos"


Além das citadas acima, existem várias ferramentas que podem ser utilizadas para manter uma comunicação e conscientização com os usuários, tais como:
  • Intranet de Segurança (acho importante como repositório de informações e para consulta)
  • pop-ups na Intranet para chamar a atenção para campanhas
  • banners na intranet
  • bulletin boards, para permitir a troca de idéias e informações
  • blogs
  • mailing interno, periódico, divulgando novidades, cuidados e notícias
  • meio de canal (e-mail ou formulário web) para receber reclamações, dúvidas, etc
  • padronizar fundo de tela e/ou screensavers dos computadores
  • material de campanha tradicional, tal como posters, brindes, adesivos, mouse pad, etc


Também é comum ver empresas criando campanhas como "Dia da Segurança", "Dia do [Anti-]Vírus", etc.

O importante é saber que cada ferramenta de comunicação tem um enfoque diferente e nenhum deles deve ser usado em demasia, caso contrário o usuário passa a se aborrecer e ignorá-lo. O ideal é criar um planejamento estratégico das ações de conscientização e definir uma mensagem diferente para ser comunidada por cada meio, com um intervalo de um ou dois meses entre cada ação.

Por exemplo, num mês você divulga sua política por mailing e pop-up, noutro mês faz a campanha do dia internacional de segurança com banner na intranet, etc...

Há um material muito bom do NIST, de 2003, chamado "Building an Information Technology Security Awareness and Training Program" e deve servir de referência para quem deseja elaborar um plano de conscientização de segurança. Eles também possuem uma página específica sobre "Awareness, Training & Education" que vale a visita.

outubro 17, 2006

[Segurança] Tarados e pedófilos em sites de relacionamento

Recebi essa notícia através do CISSP Fórum: O artigo "MySpace Predator Caught by Code" na Wired News é interessante.

Segue um breve resumo dele:

O bom e velho Kevin Poulsen criou um script em Perl (+ de 1000 linhas) para buscar perfis de "predadores sexuais" conhecidos no MySpace. Dos 385.932 "registered sex offenders", ele localizou 744 perfis (em 1/3 dos resultados encontrados, pois teve que fazer um refinamento manual, devido aos numerosos "falso positivos"). 407 deles tem histórico de interesse por crianças ! E a maioria dos profiles encontrados aparentam ser de uma pessoa com uma vida normal (e não de um tarado/pedófilo/etc).

E, no caso, ele encontrou os "predadores sexuais" conhecidos que se cadastraram no MySpace com seu nome real. Ou seja, que foram inocentes (ou amadores) o suficiente para não se cadastrarem com um nome fictício.

Dentre alguns exemplos de perfis encontrados, um ex-treinador de basket de 34 anos usa o MySpace para manter contato com seus ex-alunos. Em seu registro criminal consta que ele fazia os garotos (de até 13 anos) tirar as roupas em frente dele. Outro cara, de 33 anos que molestou uma criança menor de 13 anos em 1994, usa o slogan "Love knows not age" em seu perfil. (argh!)

Em seu artigo ele mostra que, através de sua investigação, Kevin ajudou a polícia a encontrar "Andrew Lubrano", que usava o MySpace para fazer amizade com menores. Segundo o artigo, no perfil de Lubrano constavam 93 amigos, incluindo 6 adolescentes que ele ele encontroou através do site.

Moral da história?
  • Os "predadores sexuais" estão a solta e agindo através das comunidades virtuais.
  • As crianças estão sendo abordadas por eles ! São vítimas fáceis !
  • A polícia e os sites de relacionamento (como o MySpace) ainda não sabem como evitar ou contra-atacar isso.
  • Apesar de parecer inviável, é possível buscar e identificar perfis suspeitos, que após um trabalho investigativo (manual) pode levar a prisão deste tipo de criminoso. É trabalhoso, claro, e depende de uma investigação e legislação eficientes.

outubro 16, 2006

[segurança] Open Vulnerability and Assessment Language

O Open Vulnerability and Assessment Language (OVAL™) é um esforço para criar um padrão internacional para documentação e troca de informações sobre segurança, principalmente vulverabilidades.

O projeto OVAL inclui uma especificação de linguagem usada para criar arquivos XML com a codificação do detalhamento de sistemas e vulnerabilidades: isso permite documentar, para uma determinada vulnerabilidade, que sistemas são afetados e como testar se o sistema está vulnerável. Assim, foi criada uma forma de documentar os três passos de um processo de avaliação de vulnerabilidade: representação do status do sistema a ser testado, análise do sistema e a apresentação do resultado da análise.

Isto forma uma base de informações que pode ser acessada e compartilhada pela comunidade. O principal repositório é chamado de "OVAL Repository" e fica hospedado no Mitre. Nesse site é possível buscar por vulnerabilidades e fazer o download da base de dados com todas as vulnerabilidades cadastradas (na página de database, é possível abaixar o repositório por sistema operacional). Essa base de dados nada mais é do que um "arquivão" .xml com a descrição, na linguagem OVAL, de todas as vulnerabilidades conhecidas.

Por exemplo, indo na página de "Latest Updates", o link "oval:org.mitre.oval:def:220" permite ir na página de descrição de uma vulnerabilidade recente no PowerPoint que permite ao atacante executar aplicativos através de arquivos mal-formados. Nessa página é possível abaixar o arquivo XML com a especificação técnica da vulnerabilidade e descrição dos sistemas afetados. Fuçando nesse arquivo, vemos que a tag "description" descreve a vulnerabilidade, a tag "tests" descreve os testes necessários para saber se o equipamento está vulnerável (se o Power Point estáinstalado e qual é a versão vulnerável). Na tag "objects" é especificado como verificar estas informações (no caso, quais chaves de registry consultar).

Essas informações podem ser tratadas por aplicativos compatíveis (aí depende do fabricante da ferramenta de segurança utilizar esse padrão ou não). No site do OVAL está disponibilizado um aplicativo muito simples para exemplificar o uso destas informações, chamado "OVAL Interpreter".

A versão Windows dele roda no prompt do DOS. Após fazer o download e copiar ele para algum diretório em sua máquina, copie o XML de definições para a plataforma Windows para a pasta e o renomeie este arquivo para "definitions.xml". Ao executar o comando "ovaldi -m", ele irá verificar se seus sistema possui alguma das vulnerabilidades cadastradas e vai gerar um XML com o resultado (e, aí, se vire para entender... heheheheh).

Também no site do projeto OVAL é possível ver quais são os programas e produtos compatíveis (na página "OVAL Compatibility").

[Cybercultura] Lindas fotos do Rio de Janeiro


Achei um "fotolog" muito bonito hospedado no Flickr, do Claudio Lara.

Neste fotolog há fotos lindas, de tirar o fôlego. A maioria delas são do Rio de Janeiro, mostrando locais turísticos, construções e paisagens em ângulos incríveis.

Depois de visitá-lo, fiquei com vontade de ver, ao vivo, a abóbada central da Igreja da Candelária !!!

outubro 09, 2006

[Segurança] Dia Internacional de Segurança em Informática 2006

Pelo segundo ano consecutivo, a RNP estará promovendo, no dia 30 de novembro, o Dia Internacional de Segurança em Informática.

O DISI 2006 (Dia Internacional de Segurança em Informática) tem como objetivo promover a segurança da informação para toda a sociedade, principalmente os usuários e os profissionais relacionados a Internet. Neste dia haverá um ciclo de palestras online (que, no ano passado, foi de excelente conteúdo) e o site do evento irá disponibilizar, em breve, alguns materiais de apoio para a discussão e divulgação da segurança.

É imperdível !!!!

Todos os profissionais de segurança devem divulgar, colaborar e comparecer no evento.

Site do evento: www.rnp.br/eventos/disi/2006/

outubro 05, 2006

[Cidadania] O Astronauta Brasileiro

Ontem, na Futurecom, tive a oportunidade de assistir uma palestra do astronauta e cosmonauta Marcos Pontes, o primeiro brasileiro a ir para o espaço. A palestra foi patrocinada pela Venturus.



A propósito, há uma piada correndo na Internet segundo a qual "foi só um brasileiro is para o espaço que sumiu um planeta" (Plutão).

Como (quase) todos nós já sonhamos um dia em ser astronauta, não foi surpresa ver a quantidade de pessoas que se amontoavam para assistir a apresentação e, depois, tirar fotos com ele.

A palestra dele foi excelente. Ele, em si, é uma pessoa cativante: simpático, simples e de origem humilde - chegou ao que é hoje através de muito esforço, estudo e dedicação. Ele falou sobre como foi sua formação, como foi sua escolha para ser o astronauta brasileiro e como foi todo o treinamento e preparativos para o vôo. Além de contar como foi o vôo em si e vários detalhes engraçados e/ou curiosos que ocorreram. Hoje ele ainda atua na Agência Espacial Brasileira.

Ele terminou sua apresentação com uma frase de Gandhi, que mostra muito bem a importância de pensarmos como comunidade, como um grupo, e não individualmente:
“Tudo que fizermos individualmente será insignificante, mas é muito importante que cada um de nós faça a sua parte!”

Essa foi, na minha opninão, a principal mensagem dele. Ao ver a Terra do espaço, pode-se ver o quanto somos pequenos, individualmente. Porém, somos especiais graças a soma de todos nós, e a nossa evolução através das gerações (daí a importância da educação, da preocupação com a formação das crianças e jovens - pois eles ditarão nosso futuro).

Ele tem um site em www.marcospontes.net.

setembro 29, 2006

[Cultura] Coexistência



Acabou recentemente uma exposição no Parque do Ibirapuera sobre o tema Coexistência.

Há mais informações sobre a exposição e este assunto no portal www.coexistencia.org.br

A palavra "Coexist", grafada com os símbolos do Islã, Judaísmo e Cristianismo, foi muito divulgada no show da bada U2 em sua última turnê, quando passou pelo Brasil. Possui um significado muito direto e simples: devemos coexistir, conviver e nos respeitar, indiferente da crença religiosa, da raça e qualquer outro tipo de diferença. Creio que este é o único caminho para um mundo melhor.

A exposição foi idealizada pelo Centro da Cultura Judaica, com o apoio da Secretaria do Verde e do Meio Ambiente da Prefeitura de São Paulo.

A imagem acima foi retirada de um pôster a venda no site do "Museum on The Seam".

setembro 18, 2006

[Internet] Mais de 100 milhões de domínios !!!

Vi essa notícia quando estava passeando no Blog sobre segurança "Tim Callan's SSL Blog".

A cada trimestre, a VeriSign (empresa responsável por operar od servidores de domínios .com e .net) publica um relatório entitulado "The Domain Name Industry Brief", que apresenta as estatísticas, a evolução e tendências no mercado de domínios da Internet. No último relatório publicado, recentemente em Agosto, consta que no final do segundo trimestre de 2006, haviam mais de 105 milhões de domínios registrados. Esta foi a primeira vez que o mundo passou a barreira dos 100 milhões !!!

O relatório traz alguns outros dados que considero interessantes:
  • Tirando os EUA, o Brasil é o décimo país em termos de domínios registrados: o nosso .br é o décimo ccTLD;
  • Um pouco mais da metade dos domínios registrados (57,5%) correspondem a domínios .com e .net , associados normalmente aos EUA e empresas/sites globais.
  • A VeriSign processou uma incrível média de 18 bilhões de consultas DNS a domínios .com e .net por dia;
  • 86% dos domínios .com e .net registrados resolvem para um Web site (60% do total são web sites ativos).

setembro 15, 2006

[Segurança] Painel de Vírus, Phishing e SPAM

No site do Message Labs, é possível visualizar um painel com gráficos sobre a evolução do número de mensagens de Phishing, Vírus e SPAM na página "Threat Statistics".

São gráficos interativos que mostram a evolução destas pragas de uma forma muito simples e legal, de onde podemos retirar algumas informações interessantes:
  • Os "Top 10" vírus correspondem a quase 50% dos ataques de vírus. Outros 49,1% está infectada por vírus que, sozinhos, correspondem a menos de 2% cada. Logo, há uma grande variedade de vírus espalhada pela Internet, que correspondem a uma parcela significativa das mensagens infectadas.
  • Nos últimos 12 meses, 57,78% das mensagens de correio eletrônico foram identificadas como SPAM !!!! Neste mesmo período, 0,22% delas correspondiam a ataque de Phishing e 1,88% continham vírus (com pico de 6,56% em dezembro).
  • Das notinhas: "Each day, MessageLabs processes more than 180 million emails worldwide, monitoring, tracking and combating email threats. Drawing on this vast knowledgebase, Threat Watch provides a range of information, analysis and data on global messaging security threats and trends. Threat Watch statistics focus on malicious content intercepted from email traffic destined to MessageLabs clients (...)"

[Cultura] Pica-Pau

Estava dando uma olhada em uma comunidade que participo no Orkut e achei um link para um site muito legal, do Walter Lantz, o criador do Pica-Pau:

"The Walter Lantz Cartune Encyclopedia!"




Me assustei em ver como os desenhos do Pica-Pau são antigos !!!

Há uma frase no final da página de FAQ que achei bem engraçada:

Any similarities between Woody and a real woodpecker is strictly coincidental!

setembro 11, 2006

[História] 11/9: 5 anos depois

"The images of two planes in a clear blue sky crashing into skyscrapers are as searing and incomprehensible today as they were five years ago."
CNN
Hoje fazem cinco anos que aconteceram os ataques de 11 de setembro contra os EUA, onde mais de 3000 pessoas foram mortas, principalmente no ataque às torres gêmeas do WTC.

Estava revendo um replay da cobertura da CNN naquele dia, e isso me fez relembrar os sentimentos que afloraram naquele dia, onde eu e alguns colegas acompanhamos o ocorrido ao vivo, pela Web.

Este ataque mudou o mundo. O mundo de hoje é, certamente, diferente do que naquela época imaginávamos que ele poderia ser. Algumas coisas acho importante listar:
  • O terrorismo passou a ser uma ameaça constante;
  • Nos EUA, sob desculpa de combate ao terrorismo, muitos direitos fundamentais (principalmente no tocante a privacidade) foram colocados de lado;
  • O Mundo Árabe, em especial os muçulmanos, começaram a ser encarados e tratados como os grandes inimigos da civilização (algo absolutamente injusto e que só piora a situação);
  • O mundo passou a viver em estado de Guerra (primeiro contra os talebans, depois contra o Saddan);
  • Viajar de avião deixou de ser um símbolo de status e passou a ser uma "atividade suspeita". Temos que provar que não somos terroristas toda vez que vamos colocar os pés em um avião.
Arrisco dizer que houveram alguns pontos positivos após isso tudo. Principalmente, ao meu ver, o terrorismo passou a ser uma atividade absolutamente repugnante do ponto de vista de nossa civilização. Virou sinônimo de barbárie. Usar o terrorismo como arma política, como acontecia antigamente com o ETA (Espanha) e o IRA (Inglaterra), passou a ser algo absolutamente inaceitável. E, desde então, não lembro de ter visto algum caso atribuído a eles (se houveram, foi numa quantidade e impacto muito menor do que acontecia antigamente).

Do ponto de vista da Segurança da Informação, hoje muito se discute sobre o direito a privacidade dos cidadões e o poder de monitoração e investigação dos governos. É uma disputa onde os dois lados tem seus motivos.

agosto 30, 2006

[segurança] Seguridad de la Información, Calidad, Gestión y más ...

Estava navegando no blog do Gustavo Bittencourt e vi um post onde ele contou sobre um excelente blog de segurança em espanhol:

Visitei o blog e realmente gostei.

[Segurança] Mais sobre a DefCon 14

O amigo Nelson Murilo colocou algumas fotos e comentários sobre a DefCon em um blog: http://fotosdefcon2006.blogspot.com/.

Recentemente também apresentei, junto com o Fernando Fonseca, uma pequena palestra sobre como foi o evento durante um ISSA DAY.

agosto 16, 2006

[segurança] DefCon 14

Neste ano tive a oportunidade de ir na DefCon 14, de 01 a 03 de agosto, em Las Vegas.

O evento é excelente, com várias palestras muito interessantes e um clima de descontração sem precedentes.

Coloquei algumas fotos que tirei do evento e de Las Vegas no meu álbum do Yahoo!. A cidade também é muito legal, uma verdadeira "Disneylândia para adultos". Dezenas de hotéis-cassinos, com suas salas de espetáculo, bares, restaurantes, atrações e lojinhas.

Aproveitei a oportunidade para assistir dois shows do Cirque du Soleil: "O" e "Love".

agosto 02, 2006

[Geek] A Força / Star Wars

Recebi do amigo Willian o link da página no WikiPedia chamado Force (Star Wars). É uma página bem legal, que fala sobre A Força e tem muitos links relacionados sobre o mundo da Guerra nas Estrelas (Star Wars).
Muito divertido.

julho 25, 2006

[Segurança] Security officer demitido !

O blog "A Day in the Life of an Information Security Investigator" publicou um artigo bem interessante, chamado "Security Geek Fired: For Doing His Job?" que conta um caso real, onde uma empresa americana mudou de sede mas não seguiu as recomendações para implantar controles de segurança física no novo prédio (preferiu gastar $100 mil em móveis do que $30 mil em segurança). Após serem assaltados em um fim de semana e ficarem 2 semanas sem conseguir operar, o CEO da empresa resolveu demitir o Security Officer como bode expiatório, embora o CEO foi quem decidiu não seguir as recomendações do CSO.
História triste, mas que parece ser bem real.
Mostra a dificuldade que é implantar controles de segurança, para o bem da empresa, quando a preocupação dos gestores não é esta. Segurança só é percebida quando as coisas dão errado.
De qualquer forma, eu acredito que o bom profissional de segurança não deve ser avaliado pela ocorrência ou não de ataques (pois, acredite, um dia, mais cedo ou mais tarde, nós seremos atacados), mas sim pela sua capacidade em se prevenir o máximo que lhe for permitido e sua capacidade em recuperar rapidamente (e com segurança) a operação normal após um ataque.

julho 21, 2006

[História] Homem na Lua

Ontem, 20 de julho, fizemos 37 anos que o homem colocou o pé na Lua !

Os astronautas da Apolo 11 pousaram na Lua no dia 20 de julho de 1969.

duas fotos muito legais no site da NASA comemorando a data.

julho 20, 2006

[Segurança] Grande Firewall da China

Recentemente recebi através da lista anti-hackers a notícia de que foi "Quebrada segurança do firewall que China usa para censurar a Internet". O título da matéria é sensacionalista, e a redação se enrola um pouco para explicar que pesquisadores de Cambridge (Inglaterra) publicaram um trabalho no qual avaliaram o comportamento dos acessos para sites chineses e deduzidam qual é o sistema de bloqueio utilizado pelo governo Chinês: é baseado no reset das conexões TCP (coisas que os IDS's fazem há anos para interromper ataques e que alguns produtos comerciais de monitoração de conteúdo também fazem).

Na verdade a novidade não é a tecnologia utilizada em si, mas sim o fato de que eles descobriram (deduziram) como o governo chinês faz o bloqueio. Há várias formas de fazer este bloqueio. É falsa a imagem do "Grande Firewall Chinês" (algo equivalente no mundo virtual à Grande Muralha da China). Isto está mais para "um grande IDS" ou "um grande simples filtro de conteúdo".

E o método usado para descobrir foi simples: uma vez que o controle é bidirecional, eles avaliaram o fluxo de pacotes referentes aos acessos que eles faziam. Quando envolvia alguma palavra que poderia ser bloqueada, eles recebiam pacotes forjados de "TCP Reset". Hum... Por que forjados? Simplesmente pq os pacotes de RST tinham um TTL diferente do que os pacotes originais (e, portanto, foram enviados de outro equipamento, localizado antes do site de destino).

Ou seja, se alguém tenta fazer algo "proibido", o "Grande Firewall" envia um reset para a conexão e ela não se finaliza: as duas partes (cliente e servidor) interrompem a comunicação pensando que a outra fez o reset.

Outro ponto sensacionalista da reportagem é que é fácil burlar a comunicação. Na verdade, os pesquisadores conseguiram recuperar os pacotes recebidos durante o reset da conexão (não tratando o pacote de TCP RST). Porém isto não significa que o controle caiu: do outro lado, certamente, o site (ou usuário) também recebeu o reset e, este sim, abortou a conexão. Ou seja, a comunicação inteira, completa, não pode ser mantida - somente é possível recuperar o restante dos pacotes sendo parcialmente transmitidos. Só é possível, neste caso, recuperar os dados recebidos na ponta onde você tem controle, referente aos dados recebidos do último request - porém o "lado chinês" vai inevitavelmente interromper o envio de dados.

A reportagem contém um link para o trabalho dos pesquisadores: "Ignoring the Great Firewall of China".

[Fun] Vídeos legais

Separei abaixo dois vídeos do YouTube que são legais:

O famoso vídeo do Vanucci bêbado... (quase dá p/ sentir o bafo dele saindo do vídeo)



A vida é uma caixinha de suspesas... As coisas sempre podem piorar...
(Parte de uma entrevista muito engraçada no programa do Jô)

julho 14, 2006

[Segurança] Evolução dos ataques de Phishing

Um exemplo do estágio atual de evolução dos ataques de Phishing pode ser observado nas reportagens publicadas no Blog Security Fix (entitulado "Citibank Phish Spoofs 2-Factor Authentication") e no jornal The Register ("Phishers rip into two-factor authentication"), referentes a um ataque de phising ao CitiBank, direcionado a seus clientes corpotativos (Citibusiness), que utilizam tokens para se autenticar online.

Os ataques de Phishing estão se sofisticando a ponto de que, hoje, já é viável construir trojans (local) ou sites (remoto) que permitam a execução de ataques "Man-in-the-middle". Neste cenário, mais do que simplesmente coletar informações dos usuários de internet banking através de páginas de cadastro falsas, o atacante consegue intermediar as conexões válidas entre o cliente e o Banco, injetando informações (ou transações) fraudulentas. Ou, mesmo, pegando dados confidenciais dos clientes de uma forma mais eficiente.

[Geek] Cyborg Namedecoder

Aqui está uma coisinha bem fresca: no Cyborg Namedecoder, você cria uma decodificação nerd para seu nome, com uma fotinha louca de robô.


[Segurança] Phishing Encyclopedia

Para os interessados em acompanhar o surgimento de ataques de Phishing, uma dica interessante é o Phishing Encyclopedia disponibilizado pela Trend Micro.

Para cada mensagem de Phising identificada, há uma página com a descrição do ataque e reprodução (screenshot) da mensagem que foi enviada ao usuário.

julho 12, 2006

[Segurança] Reportagens sobre segurança em vídeo

Navegando no site do programa Olhar Digital, achei alguns vídeos muito interessantes relacionados a segurança da informação. As reportagens são bem feitas, com uma linguagem muito acessível e, ao mesmo tempo, com excelente qualidade técnica. Vários profissionais de segurança conhecidos aparecem (Ricardo Theil, Patricia Peck, renato Opice Blum, Anderson Ramos, Sêmola, Giuliano Giova/Perito, Marcos Prado, Sefer_Zohar etc).

Abaixo tem algumas delas, que achei mais interessante, e mantive parte da descrição original do site:

Segurança na Internet - Cuidados necessários
Reportagem excelente e bem objetiva, sobre os principais riscos associados ao mundo virtual e dicas de proteção.

Profissões Digitais - Segurança de Rede
Na era digital, informação é um bem mais que precioso. As empresas precisam ter seus dados guardados a sete chaves e quem é o responsável por garantir esse sigilo é um profissional chamado de: segurança de redes. (...) Ainda não existem cursos de graduação em segurança de redes. Para se tornar um desses xerifes virtuais, existem cursos complementares, de especialização, para quem já tem uma faculdade na área.

Profissões Digitais - Advogado Digital
(...) existem aquelas profissões tradicionais, que nos tempos modernos estão adquirindo novas características. Um bom exemplo é da consagrada área do direito que ganha uma roupagem nova. É o advogado digital. A diferença do advogado digital é que ele acaba assumindo uma função estratégica, de orientação. (...)

Profissões Digitais - Perito Digital
O Sherlock Homes da era digital é o tema da série profissões da nova era. Ele é o perito digital e atual essencialmente em dois momentos: na perícia e no rastreamento de um computador com ordem judicial. Aí o perito digital começa a atuar, como um policial investigativo. E a primeira medida é preservar as evidências, como na cena de um crime. É necessário também adotar a metodologia adequada de investigação. (...)

Comportamento Hacker
(...) O Olhar Digital foi atrás do perfil de um hacker para descobrir como esses experts em informática se comportam longe do computador. (...)

O que é vírus?
Confira como funcionam essas terríveis pragas digitais.

O que são spywares?
Confira o que são os spywares, e os danos que essas pragas digitais podem causar.

Cavalo de Tróia
Os cavalos de tróia são verdadeiros presentes de grego para seu computador. Algumas vezes, pode ser difícil identificá-los logo que contaminam o computador, e eles podem fazer muito estrago na sua máquina. Para se livrar dessa praga digital, mantenha um programa antivírus sempre atualizado. (...)

Hackers deixam rastros?
[Um espectador] quer saber se um hacker deixa rastro ao invadir uma conta bancária e desviar dinheiro do correntista. (...)

Além destas, há várias outras reportagens relacionadas a segurança: uma sobre Firewall (da época do lançamento do filme do Harrison Ford), uma sobre o projeto Hacker Teen, uma muito boa sobre Roubo de notebooks e duas muuuuuito interessantes sobre Senhas: uma focada em senhas para sistemas bancários / Internet Banking (fala um pouco sobre cuidados com senhas e termina mostrando o uso de tokens por celular da EverySystems), e outra parecida, porém focada em apresentar dicas básicas do uso de senhas (muito útil para campanhas de conscientização).

A reportagem sobre dicas de uso de e-mail ("Abrindo e-mails") e a sobre Monitoramento de e-mails também podem ser utilizadas em campanhas de conscientização. Esta sobr monitoração aborda os Direitos e limites de empresas e funcionários (com o Dr. Renato Opice Blum).

julho 10, 2006

[Segurança] Métricas para as vulnerabilidades

No início deste ano, vários órgãos (CERT, NIST, FIRST, etc) e empresas criaram um novo padrão de métricas para dimensionar o impacto das vulnerabilidades de software de uma forma mais precisa e consistente, chamado Common Vulnerability Scoring System (CVSS). A capacidade de mensurar as vulnerabilidades é extremamente importante para o mundo profissional, pois fornece a base para um processo padrão de análise de riscos e de priorização das ações e respostas necessárias após a descoberta de novas ameaças. No CVSS as métricas foram divididas em três grupos, para um total de 12 atributos associados às vulnerabilidades. As métricas básicas (Base Metrics) contêm as qualidades que são intrínsecas a toda vulnerabilidade, uma característica que não muda com o tempo nem mesmo em ambientes diferentes. As métricas temporais (Temporal Metrics) contêm as características que evoluem de acordo com o ciclo de vida da vulnerabilidade, e as métricas ambientais (Environmental Metrics) representam aquelas características que são relacionadas a forma como o ambiente operacional está implantado. As sete métricas Básicas (Base Metrics), que representam as características mais fundamentais e imutáveis de uma vulnerabilidade são:
  • Access Vector: indica se uma vulnerabilidade é explorada localmente ou remotamente
  • Access Complexity: mede a complexidade requerida para que um atacante consiga explorar o sistema alvo
  • Authentication: indica se um atacante necessita ou não ser autenticado no sistema para conseguir explorar a vulnerabilidade
  • Confidentiality Impact: mede o impacto na confidencialidade (nenhum / parcial / completo)
  • Integrity Impact: indica o impacto na integridade
  • Availability Impact: impacto na disponibilidade
  • Impact Bias: permite atribuir maior impacto em um dos pilares da CIA sobre os demais
São três as características temporais (Temporal Metrics):
  • Exploitability : indica se é possível ou não explorar a vulnerabilidade, podendo ser: "Unproven" (não há um exploit conhecido); "Proof of Concept" (foi criado uma prova de conceito inicando que a ameaça existe); "Functional"(quando um expoit está disponibilizado) e "High" (quando a vulnerabilidade está sendo explorada por um código malicioso ou mesmo manualmente)
  • Remediation Level : informa se há uma solução conhecida: "Official Fix" quando o fabricante disponibilizou uma correção/patch; "Temporary Fix" (fornecida uma correção temporária pelo fabricante); "Workaround" e "Unavailable"
  • Report Confidence: representa o grau de confiança na existência da vulnerabilidade e na credibilidade de sua divulgação (Unconfirmed/Uncorroborated/Confirmed)
As métricas associadas ao ambiente (Environmental Metrics) são as únicas que são definidas de acordo com a realidade de cada empresa, e portanto podem ser manipuladas pelos gestores, consultores e auditores para representar a realidade em sua corporação. São duas:
  • Collateral Damage Potential: mede o potencial de dano, podendo representar o risco de perda do equipamento físico, os danos de propriedade ou a perda de vida.
  • Target Distribution: indica o tamanho relativo da quantidade de sistemas que são suscetíveis à vulnerabilidade (None; Low até 15%; Médio até 49% ou High - se acima de 50% dos sistemas são vulneráveis).
O processo de Scoring irá definir o valor final resultante da aplicação de todas as métricas, combinando todos os valores de acordo com fórmulas específicas. As Base Metrics são definidas pelo fabricante e não se espera que mudem. As Temporal Metrics também são calculadas pelos fabricantes e representa o nível de urgência existente naquele momento. As Environmental Metrics são calculadas pelas empresas em função de sua realidade. Da combinação destes três grupos obtêm-se o score final. Pode-se utilizar a calculadora online na página do NIST ("Common Vulnerability Scoring System Calculator") ou uma planilha excel construída pelo FIRST. Todo este sistema de métricas pode ser representado sinteticamente através de vetores ("CVSS vectors" ). As métricas base ficam da seguinte forma:
AV:[R,L]/AC:[H,L]/Au:[R,NR]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]/B:[N,C,I,A]
e as métricas temporais são anexadas ao final do vetor com a sintaxe a seguir:
/E:[U,P,F,H]/RL:[O,T,W,U]/RC:[U,Uc,C]
Esta sintaxe está descrito em uma página específica no site do NIST (http://nvd.nist.gov/cvss.cfm?vectorinfo). Exemplo:
A vulnerabilidade do Excel descoberta recentemente em 16/jun/06 (que permite a usuários remotos executarem códigos arbitrários), indicada no site do cert.org como TA06-167A, recebeu a Vulnerability Note VU#802324 e o CVE Name CVE-2006-3059 . Na página do National Vulnerability Database (NVD) do NIST há a descrição do problema pelo seu identificador CVE-2006-3059 e nele é apontado o score CVSS como sendo 5.6 (médio). O cálculo detalhado pode ser visto na página específica, acessada por um link colocado no resultado indicado como "CVSS Severity". Neste link as métricas são passadas como parâmetro ((AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N). Nesta página é possível alterar as medidas e obter um novo score de forma a representar a realidade da empresa.
Este novo padrão de métricas para as vulnerabilidades vem sendo adotado pela indústria. A principal vantagem é no auxílio para a padronização das atividades de análise de riscos, e consequentemente pode ajudar numa avaliação mais precisa dos riscos operacionais e na definição do nível de criticidade/urgência na tomada de decisões e ações.

Outras fontes: NIST; FIRST; FAQ; CVSS-Guide.

Veja também:

PS: Post atualizado em 21/07/2022.

[Segurança] 2006 Global Security Survey

Estava passeando no Blog do meu grande amigo Wagner Elias e vi que a Deloitte divulgou recentemente sua pesquisa anual de segurança, chamada "2006 Global Security Survey" e a mantém disponível no site deles, em formato PDF.

Segundo a pesquisa, 75% das empresas que responderam reportaram incidentes externos e 50% sofreram incidentes internos, e que a maioria dos ataques são relacionados a tentativa de obter ganho financeiro (indicando um aumento da atuação do crime organizado no cyber espaço).

Porém, ao vistar o site de pesquisas deles ("Deloitte Research"), descobri algumas outras pesquisas bem interessantes, que também valem a pena serem lidas:

julho 06, 2006

[Cybercultura] Blogs amigos

Fico muito feliz ao ver que excelentes amigos e profissionais aderiram recentemente ao mundo dos Blogs:

Também não posso deixar de lembrar dos blogs dos amigos Sérgio Dias, Wagner Elias, Willian Caprino e do mestre Jedi Augusto Paes de Barros (também presente no blog DeathStar), além dos sites dos profissionais Ronaldo C Vasconcellos, Eduardo V. C. Neves e Gustavo Bittencourt.

Acho que esqueci de algumas pessoas, mas depois atualizo este post :o)

É muito legal contar com toda essa galera online. São muitas fontes de aprendizagem, troca de informação, discussão e amadurecimento profissional.

julho 04, 2006

[Segurança] Cuidados no Datacenter

No site TechRepublic tem um artigo muito legal chamado "What not to do in a server room", olde foram colocadas várias fotos (aparentemente reais) de problemas encontrados em um datacenter.

Particularmente, já vi coisas muito piores do que isso, o que de qualquer forma não desmerece a iniciativa acima :)

julho 03, 2006

[Segurança] Passeio por sites da cultura Hacker

Estava dando uma olhada na página do Dum_dum e resolvi entrar no site Hackaholic.Org, onde comecei a dar uma passeada na página de links deles.

A partir de lá, acabei caindo na página do e-zine "The Bug Magazine", que lançou sua edição número 1 em março deste ano, com 10 artigos. (Por enquanto li só o sobre IDS, que ficou meio fraquinho, porém bem intencionado)

junho 29, 2006

[segurança] Eleições na ISSA

Ontem a noite foram realizadas as eleições na ISSA Capítulo Brasil-SP.

Foi legal pela oportunidade de ter encontrado vários amigos e colegas de profissão, que se deslocaram até a sede da ISSA para votar.br

A contagem foi logo após o prazo estipulado para a eleição, e o resultado foi anunciado em seguida: 07 votos para a Chapa 1, formada em sua maioria pelos membros da atual gestão, e 20 votos para a Chapa 2, formada por diversos profissionais da área que se organizaram para propor uma atuação maior da entidade, e que divulguei aqui em meu post anterior.

Fiquei muito contente em ver vários amigos interessados em votar, inclusive alguns que se inscreveram na associação (ou renovaram sua anuidade) dias antes da eleição. Isto signica que há vários profissionais interessados em ver uma ISSA atuante, forte e este vai ser o grande desafio desta gestão.

junho 27, 2006

[Segurança] Eleição na ISSA

Hoje o Augusto comunicou oficialmente o lançamento da chapa 2 para concorrer a eleição na ISSA capítulo Brasil-SP.

Tenho o prazer de participar do grupo que formou essa chapa. Todos nós acreditamos que a ISSA tem um papel de grande importância na formação e representação do profissional de segurança da informação. Também acreditamos, pelas opiniões que ouvimos de diversos colegas, que o capítulo Brasileiro não tem o mesmo nível de representatividade aqui do que o encontrado lá fora.

Nossa intenção é mudar este quadro, direcionando nossos esforços para consolidar e amadurecer a atuação da ISSA Brasil-SP. Isto pode ser percebido pelas nossas propostas, conforme transcrevo abaixo.


---------- Forwarded message ----------
From: Augusto Paes de Barros
Date: Jun 27, 2006 5:32 PM
Subject: [cisspBR] - Chapa 2
To: cisspbr@yahoogroups.com


Prezados colegas,

Muitos de vocês devem ser associados à ISSA - Information Systems Security Association, capítulo Brasil-SP. Nesta quarta-feira (28) será
realizada a eleição para os Officers do capítulo, e tenho o prazer de representar uma das chapas que concorrem, a Chapa 2. A composição da chapa é a seguinte:

  • Presidência: Augusto Q. Paes de Barros, CISSP-ISSAP, MCSO
  • Vice-Presidência: Willian Okuhara Caprino, CISSP, MCSO
  • Secretário Geral: Francisco Milagres, M.Sc., CISSP, MCSO
  • Diretor Financeiro: Dimitri Abreu, CISSP, MCSO
  • Diretor de Comunicações: Fernando Fonseca, CISSP, MCSO


Além destes, para as posições mínimas, também temos no grupo:

  • Anchises de Paula, CISSP, MCSO
  • Aylton Souza, CISSP
  • Luciano Barreto, CISSP
  • Luiz Firmino, CCNA, MCSO
  • Marlon Borba, CISSP
  • Sérgio Dias, CISSP, Microsoft MVP
  • Wagner Elias, CBCP


Gostariamos de expor aqui algumas de nossas idéias e intenções para o capítulo. Afinal, o que é a ISSA? De acordo com o site http://www.issa.org:

"The Information Systems Security Association (ISSA)(r) is a not-for-profit, international organization of information security professionals and practitioners. It provides educational forums, publications and peer interaction opportunities that enhance the knowledge, skill and professional growth of its members."

Nosso objetivo é justamente aplicarmos a definição da ISSA ao capítulo local. Prover discussões educacionais, oportunidades de publicação e interação com pares, além do crescimento profissional. Nosso grupo é formado por pessoas que nos últimos anos conduziram ou participarem de diversas atividades diretamente relacionadas a estes objetivos, como os grupos de estudo para o CISSP, iniciativas locais do OWASP e Think Security First, os encontros de integração, etc. Queremos utilizar estas experiências e tentar fazer o mesmo pela associação, que é reconhecida internacionalmente pela sua representatividade.

O texto abaixo é uma compilação de nossas propostas para a associação, conforme pode ser verificado no site (http://www.issabrasil.com.br). Um ponto que gostariamos de ressaltar de nossas intenções é tornar a associação com a ISSA uma vantagem real para o profissional. Por conta disso, estamos abertos às sugestões dos associados e daqueles que gostariam de se associar, mas ainda não viram valor suficiente para isso.

Pedimos aos associados que quiserem apoiar a nossa proposta que compareçam à votação na sede do capítulo (endereço no final da mensagem), entre as 19:30h e as 23h do dia 28. Infelizmente a única opção de voto a distância é a procuração com assinatura reconhecida em cartório.

Plano estratégico:

A Chapa 2 definiu alguns objetivos principais para sua atuação frente ao Capítulo Brasil-SP da ISSA:

  • Comunicação Editorial: Estimular a produção de conteúdo original sobre Segurança da Informação entre os associados.
  • Educação e ensino: Auxiliar entidades e iniciativas de ensino quanto a conscientização e aprendizagem em Segurança da Informação e impulsionar treinamentos, eventos especializados e orientações para certificações.
  • Setor Privado: Dar suporte ao setor privado em suas necessidades de entendimento dos desafios de segurança da informação, expandindo as atividades do capítulo para além da Grande São Paulo, incentivando iniciativas locais .
  • Setor público: Auxiliar Governo, órgãos públicos em geral e órgãos de pesquisa e ensino na construção da consciência em segurança da informação, da constituição de equipes e grupos de Segurança da Informação e da estruturação de uma estratégia de segurança condizente com as melhores práticas do mercado.
  • Sociedade: Auxiliar a sociedade em geral a se conscientizar sobre os riscos advindos do uso cada vez maior da tecnologia em seu dia-a-dia, através da parceria com os movimentos de democratização e de popularização da informática (Telecentros, PC Conectado e outros) e com os meios de comunicação em massa.
  • Associados: Aumentar os benefícios para os associados, incluindo parcerias para descontos na aquisição de livros especializados e treinamentos, a divulgação de oportunidades profissionais e a troca de experiências entre os associados em eventos periódicos, para integração social e profissional, dentre outros.


Para atingir tais objetivos, a Chapa 2 pretende executar as seguintes ações:

Atuar como consultoria para entidades de ensino. É notável a demanda do mercado por novos profissionais de segurança da informação, assim como o crescimento de oferta de cursos para formação dos mesmos. A ISSA deve ter papel ativo na formulação dos programas dos cursos, visando garantir que os requerimentos de ética e comportamento profissional, bem como a formação de um corpo mínimo de conhecimentos, entre outros, estão sendo tratados. Na Chapa 2 e em seu grupo de apoio estão diversos profissionais que atuam como docentes em instituições de ensino, o que deve facilitar a aproximação.

Também acreditamos que a ISSA deve oferecer apoio não-intrusivo, colocando-se a disposição de entidades de ensino na apresentação de seminários e palestras dentro das instituições para conscientizar os jovens profissionais sobre os conceitos de segurança, seus papéis e a importância na preservação da segurança da informação nas atividades profissionais.

Além do apoio às próprias entidades, a proximidade com o segmento acadêmico deve trazer as novas idéias que surgem no meio para o ambiente de mercado, auxiliando na criação de novos produtos nacionais e na valorização dos pesquisadores.

Ainda no tema "educação", o capítulo Brasil-SP da ISSA deverá apoiar as ações existentes para divulgação do conhecimento sério em segurança da informação, incluindo o surgimento de grupos de estudos e as iniciativas de trazer, para o Brasil, outras entidades relacionadas à segurança da informação, por exemplo, o OWASP (The Open Web Application Security Project), dentre outros.

Criação de grupo editorial e suporte a publicação para artigos escritos pelos membros da associação. Os membros da chapa entendem que há muito conteúdo de qualidade sendo produzido, porém há dificuldade em encontrar meios que estimulem sua divulgação, inclusive nas publicações internacionais (entre ela, o ISSA Journal). O grupo editorial deverá auxiliar na garantia de qualidade do conteúdo produzido, além de dar maior apoio àqueles que estão produzindo boas idéias mas que ainda não tem o hábito de escrever. Através de voluntários, também será dado acesso a serviços de tradução para os autores, viabilizando a publicação de artigos de autores brasileiros no exterior. De acordo com a quantidade e freqüência de material produzido, será produzida uma publicação própria do Capítulo Brasil-SP.

Uma das maiores preocupações da Chapa 2 é o seu envolvimento com o setor privado. Na formação da chapa, um cuidado especial foi tomado para evitar que seus componentes atuais possuam ligação com empresas que poderiam utilizar a entidade para seus próprios fins comerciais. Contudo, a chapa reconhece o valor e a necessidade de aproximação com este setor, responsável por uma grande parte das inovações e investimentos na área. Por conta disso, serão estudados modelos de apoio a empresas privadas, principalmente no âmbito de direcionamento estratégico de segurança, de formação e atualização profissional e questões de regulamentação e legislação.

No âmbito do setor público a ISSA Brasil-SP promoverá a aproximação do setor público com as iniciativas do setor empresarial, incluindo a troca de informações, o apoio em eventos de segurança e a busca pelas melhores práticas de mercado que possam ser aplicadas ao setor; incentivar a constituição e a formação de grupos de segurança da informação não restritos a resposta a incidentes, enfatizar a importância da visão holística da segurança da informação, não limitada a ações de certificação digital.

Finalmente, o grupo da Chapa 2 vê com grande preocupação o crescimento de ataques e fraudes visando o usuário comum de sistemas de informação, principalmente da Internet. Esforços já iniciados, como o "Pense em Segurança Primeiro", serão integrados e conduzidos de forma a gerar conteúdo de qualidade, consentâneo com a cultura e o comportamento do cidadão brasileiro, e de fácil acesso para os internautas brasileiros. Lembrando da existência de projetos de democratização da informática, como o PC Conectado e os Telecentros, será um dos focos desta iniciativa estabelecer contatos com os responsáveis pelos projetos e promover iniciativas conjuntas para levar os conceitos de segurança às camadas menos favorecidas da população.

Além dos pilares de atuação da chapa citados acima, algumas ações também foram identificadas como prioritárias para permitir um maior desenvolvimento da Associação no país:

  • Pleitear trilhas de conteúdo exclusivas para associados ISSA em grandes eventos tradicionais de segurança (ex: Security Week, CNASI, CSO Meeting, NIC.br GTS entre outros)
  • Regularização da associação como Pessoa Jurídica
  • Reformulação do ISSA Day, visando maior simplicidade e maior freqüência.
  • Desenvolvimento de atividades fora da região de São Paulo
  • Revisão do valor da taxa de associação específica do Capítulo


Tendo declarado estas iniciativas como sua linha mestra de atuação frente à ISSA Brasil-SP, é importante destacar que desde já nos declaramos abertos a negociações que objetivem suprir as expectativas e dar continuidade as atividades já iniciadas pelos membros da mesma.

A Chapa 2 também conta com o apoio do seguintes profissionais que colaboraram na elaboração desse plano estratégico:

ENDEREÇO DA SEDE DO CAPÍTULO:
TS – Instituto de Tecnologia de SW
Rua Doutor Astolfo de Araújo, 521 - Parque Ibirapuera - São Paulo - SP


Agradecemos desde já o apoio recebido.

[]s

--
Augusto Paes de Barros, CISSP-ISSAP(r)
http://www.paesdebarros.com.br/indexpb.html

maio 29, 2006

[Segurança] Scan anti-spy via web

A Trendmicro possui uma ferramenta online para você verificar se está infectado por algum spyware:

Trend Micro™ Anti-Spyware for the Web


É uma boa dica para verificar se o seu micro está infectado.

[Segurança] Asta la vista, Phrack!

Acho que fiquei hibernando muito tempo...

Só hoje vi a notícia que o pessoal da Phrack lançou a edição 63 na Defcon 13 (jul/2005) como sendo a última. Na introdução da edição 63, consta que a equipe editorial (phrackstaff) está parando, após atuarem por 5 anos (dos 20 que o e-zine durou, desde 1985). Segundo eles, uma próxima equipe irá editar o e-zine no futuro, e não há uma data definida para o próximo número (algo entre 2006 e 2007).

O site deles está "morto" (sem nenhum acabamento gráfico e só com links para download dos números anteriores), mas dizem também que que tem uma versão não oficial do site (e aparentemente sem novidades) em www.phrack.ru.

Para quem quiser saber mais, há um pouco da história do e-zine Phrack na Wikpedia, na URL http://en.wikipedia.org/wiki/Phrack.

Segundo o editorial do e-zine 63, "As long as there is technology, there will be hackers. As long as there are hackers, there will be PHRACK magazine. We look forward to the next 20 years."

maio 19, 2006

[Segurança] Orientações básicas para usuários finais

O Sérgio Dias deu uma indicação legal de um site feito para passar orientações básicas de segurança na Internet para usuários finais:

http://www.navegueprotegido.org/default.asp

O site é bem organizado, com linguagem simples e direta.

maio 03, 2006

[Geek] Frases da Filosofia Jedi

Pesquisando na Internet achei alguns sites com as principais frases proferidas pelo Mestre Yoda, além da famosa "Let the Force be with you":
  • "Try not. Do or do not, there is no try...."
  • "Ohhh! Great warrior! [laughs and shakes his head] Wars not make one great!" -The Empire Strikes Back
  • "You must unlearn what you have learned."
  • "Once you start down the dark path, forever will it dominate your destiny, consume you it will..."
  • "A Jedi uses the Force for knowledge and defense, never for attack."
  • "A Jedi's strength flows from the Force."
  • "Beware of the dark side. Anger...fear...aggression. The dark side of the Force are they. Easily they flow, quick to join you in a fight."
  • "A Jedi must have the deepest commitment, the most serious mind."
  • "Adventure. Heh! Excitement. Heh! A Jedi craves not these things."
  • "Always in motion is the future."
  • "If you choose the quick and easy path, you will become an agent of evil."
  • "Don't give into hate. That leads to the dark side."
  • "The dark side is not stronger. No. Quicker, easier, more seductive. You will know the good side from the bad when you are calm, at peace. Passive."
  • "You do not believe. That is why you fail."

Estas frases foram retiradas dos sites http://www.yodajeff.com/pages/biography/ e http://www.some-guy.com/quotes/starwars.html. Há mais frases legais no site http://www.garnersclassics.com/qstar5.htm, com referência ao episódio e contexto em que foram ditas.

São coisas que nenhum geek e nenhum padawan pode deixar de ler !!!!!

abril 28, 2006

[Segurança] Hacker preso caçando UFO!!!

Essa é uma história que permite uma leitura engraçada, conforme foi publicada no site da Computerworld: um "hacker" inglês foi preso pois, de 2000 até 2002, invadiu vários servidores da NASA, do Pentágono e outros sites militares a procura de informações sobre extra-terrestres.

"I was just hunting UFOs", ele disse :)

De qualquer forma, isso não é brincadeira: ele está aguardando sua extradição para os EUa onde vai ser julgado e pode pegar pena de 70 anos e multa de até $1.75 milhões !

abril 18, 2006

[Eu] Anchises, o Troiano


Vi hoje que a Wikipedia tem uma página que fala um pouquinho sobre a vida do personagem Anchises: http://en.wikipedia.org/wiki/Anchises
Em poucas palavras, Anchises foi um principe Troiano, pai de Enéas, um dos maiores guerreiros de Tróia. Anchises ficou famoso por causa de seu filho: primeiro, porque a mãe dele foi a deusa Afrodite. Segunso, pois, no incêndio de Tróia, Enéas preferiu salvar seu pai (Anchises) e seu filho, carregando-os nos ombros e braços, em vez de carregar seus pertences materiais (ouro, jóias, etc).
Há uma página muito legal, que descreve com grande riqueza de detalhes a biografia de Anchises e de muitos outros personagens mitológicos:

http://homepage.mac.com/cparada/GML/Anchises1.html

[Cidadania] Fora Pedofilia !!!

O amigo Marlon Borba me enviu esta mensagem pelo Orkut:

amigos,

como foi noticiado inúmeras vezes, o google decidiu cooperar com o governo brasileiro na investigação de crimes virtuais cometidos nas páginas do orkut. assim sendo, se tiverem contato com páginas de material ilícito, seja ele de que natureza for, denunciem-no imediatamente. a maneira mais rápida e simples de fazer isso é usar o item "falso - denuncie" do perfil do indivíduo ou da comunidade.

caso desejem fazer a denúncia às autoridades, uma página do uol dá os endereços de correio eletrônico. use e abuse (no bom sentido) desses serviços públicos e coopere para uma internet melhor (pelo menos nela, porque nas ruas há ainda muito o que fazer...).

http://www3.uol.com.br/servicos/campabra.htm


Essa página de denúncia do UOL realmente é bem legal. Facilita que qualquer caso de pedofilia seja rapidamente comunicado às autoridades competentes!!!!!

abril 11, 2006

[Segurança] Checklists

Os "checklists de segurança" nada mais são do que uma coletânea de recomendações e boas práticas na configuração de um determinado equipamento, produto ou tecnologia. Eles são muito úteis para padronizar a configuração de um conjunto de equipamentos, seguindo as necessidades de segurança da empresa. Também auxiliam na tarefa de auditar estes ativos, uma vez que basta verificar se a configuração ativa está condizente com o checklist respectivo.

Na Internet podemos encontrar diversos sites com checklists de segurança:

Para uma grande coleção de checklists, produzidos por alguns órgãos do governo americano para diversas plataformas:

Checklist nacional, voltado para administradores de rede:

Checklists e referências do CERT e SANS:

Checklists para servidores/aplicações Microsoft


Ah, não podemos nos esquecer que este montão de checklists servem como referência. O Ideal é cada um compilar um checklist que se adeque a necessidade de sua empresa. Usar um checklist genérico "as is" (na íntegra, do jeito que veio) não irá refletir sua real necessidade de segurança e sua aderência ao negócio.

abril 07, 2006

[Segurança] Guia de Segurança Digital

Navegando hoje na Web acabei caindo no site do "Guia de Segurança Digital" do IDG Now!

O site disponibiliza informações e dicas básicas sobre segurança, direcionados para o usuário leigo. Um punhadinho de informações, bem preparado e útil. Vale a visita :)

abril 03, 2006

[Segurança] O céu ficou mais seguro


Hoje fiquei chocado e entristecido com a notícia do falecimento do colega Giordani Rodrigues, jornalista e responsável pelo site Info Guerra (notícia que veio pela lista CISSP-BR e consta também no site ConJur).

O trabalho do Giordani no Info Guerra se tornou uma referência na área. Na semana passada ele recebeu o mais-que-merecido prêmio de profissional do ano na categoria "Contribuição Jornalística" do SecMasters 2005. No site deles também consta uma pequena biografia do Giordani.

O trabalho do Giordani sempre foi admirado pelos profissionais da área, que hoje estão em luto.

março 27, 2006

[Cidadania] Ética

A Veja dessa semana (que tem a capa com a foto da deputada dançarina Angela Guadagnin) tem uma reportagem muito legal sobre ética, entitulada "40 questões do dia-a-dia sobre o que é certo ou errado". Nesta reportagem eles fizeram um pequeno "FAQ" mostrando atarvés de exemplos e perguntas/respostas, o que é ou não ético nas atitudes que todos nós tomamos em nosso cotidiano (ex: passar no farol vermelho a noite, pagar médico sem recibo, etc).

Felizmente essa reportagem está disponível online. Essa reportagem veio em uma hora certa, pois hoje em dia somos constantemente bombardeados por notícias de corrupção, impunidade e injustiça.

A propósito, só para atualizar meu último post, mais dois deputados foram inocentados pela Câmara, embora o relatório do Conselho de Ética tenha recomendado a cassação de ambos: dos 10 acusados de participar do "mensalão" e receber dinheiro ilegal pelo "Valerioduto", 7 foram inocentados.

março 21, 2006

[Cidadania] Que país é esse ????

Não gosto de me manifestar sobre política, religião e futebol, pois estes assuntos são muito relacionados a opinião de cada um, e nunca haverá concenso. Porém, as coisas aqui neste país estão se tornando desesperadoras....

Vou concordar com o que disse Ziraldo, no programa Altas Horas do sábado passado (18/03):
Nesta eleição, não reeleja ninguém !

Assim como ele, acredito que esta é a melhor forma de protestarmos contra a situação atual deste país. Através do voto. Não votando em branco ou nulo. Não votando para manter o status-quo.

março 20, 2006

março 17, 2006

[Segurança] Enigma

Vi, ha um tempo atrás, um link muito legal na Wikipedia sobre a máquina Enigma no site do Codebreakers:

http://en.wikipedia.org/wiki/Enigma_machine

A máquina Enigma foi um dispositivo de criptografia que ficou famoso por ter sido utilizado pelo exército alemão durante a II Grande Guerra. A descoberta ("quebra") de seu funcionamento permitiu ao exército aliado decifrar as mensagens interceptadas entre o exército alemão e entre seus submarinos. Há alguns filmes holywwodianos que exploram isso, como o "U-571" (muito legal!) e o "Enigma".

Este site possui muitas imagens, muita explicação detalhada sobre o funcionamento e os modelos que foram criados, entre outras coisas.

março 16, 2006

[Profissional] Certificação ITIL

Ontem teve o jantar com o pessoal da VeriSign para comemorar que vários de nós obtivemos a certificação ITIL Foundation pela Quint. Recebemos nosso certificado e o PIN. (Medalha, medalha, medalha....) Eu estou lá no fundinho...



A Certificação ITIL é muito interessante. Aborda as melhores práticas para gestão da área de TI alinhada com as necessidades da empresa.

março 13, 2006

[geek] Calculadora IP online

Recebi esta dica do colega Renato Jr, na lista anti-hackers: O site www.subnetmask.info/ tem uma calculadora online para endereços IP e máscaras de rede. Muito útil para o profissional da área :)

março 09, 2006

[Cybercultura] Mais sobre Ser Hacker

Aproveitando a postagem anterior, quero complementá-la apresentando algumas fontes adicionais de informação sobre "ética hacker" ("Hacker etics"):


  • Há um verbete muito bem explicado sobre isso na Wikipedia
  • O livro The Hacker Ethic parece ser bem interessante
  • O projeto Gutenberg tem uma cópia parcial do livro "Hackers, Heroes of the Computer Revolution", do Steven Levy, que foi o cara que criou a idéia de ética hacker (capítulo 2) e a famoso conceito de que "toda informação deve ser livre". Este lívro pode ser comprado na Amazon.

Boa leitura para todos :)

março 08, 2006

[Cybercultura] Você é um hacker?

Se você se considera um hacker, então você deve usar este símbolo:


hacker emblem


Hacker é aquela pessoa fuçadora, nerd, geek, escovadora de bit, que sente prazer em fuçar e fazer coisas novas e diferentes com seu computador. Algo bem distante do que costumamos associar a imagem do criminoso virtual / digital (que, tecnicamente, é chamado de "cracker").

Na página de FAQ deste site tem alguns links interessantes, para os excelentes textos "How To Become A Hacker", "A Brief History of Hackerdom", e o "the Jargon File" do Eric S. Raymond.

Todo esse material vale a visita e a leitura. Muito legal !!!

março 02, 2006

[Segurança] Retorno de Investimento em Segurança - Parte II

Hoje postei uma mensagem na lista CISSP-BR sobre ROI (Retorno do Investimento) em segurança. Essa é uma discussão que nunca vai terminar, pois faz parte de nossa incansável busca por algo que consiga justificar para a empresa os investimentos em segurança (que, em sua maioria, representam quantias volumosas - pois nessa área tudo é caro !).

Vou transcrever abaixo uma versão mais completa do texto que mandei para a lista, pois costumo enviar mensagens bem condensadas para listas de discussões (afinal, nem todo mundo tem paciência de ficar lendo e-mail dos outros).

Em poucas palavras, eu acredito que não existe ROI para projetos de segurança.

Entendo a preocupação e sou solidário a todos os demais colegas que discutem este tema, pois faz parte da nossa incessável busca por métricas que justifiquem, ajudem a aprovar e consigam medir a eficiência de nossos projetos de segurança. E é realmente muito difícil mostrar que um investimento em segurança valeu a pena. Afinal, a segurança serve para evitar que coisas erradas aconteçam. Como provar para a empresa que nada aconteceu (nenhum vírus infectou os computadores ou nosso website não foi "hackeado") porque nossos controles foram eficientes ou porque não iriam acontecer mesmo?

Veja a área de TI da sua empresa: as pessoas só lembram de TI para reclamar quando tem algum problema. Ninguém liga para o help desk para agradecer que, nos últimos 2 meses, o micro dele não pifou ou que ele não perdeu nenhum arquivo do Word.... A mesma coisa acontece com segurança !!!

Eu acredito que o "retorno sobre o investimento" só se mede em algo que influencia o lucro da empresa (Sugiro uma leitura na definição de ROI na Wikipedia e no site Search CIO). Um investimento tem que gerar um aumento na receita ou redução no custo maior do que o valor investido. Deve ser algo ligado diretamente ao coração do negócio. Algo que faça o faturamento aumentar ou o custo cair. Caso contrário, será muito difícil criar uma medida baseada em ROI.

E, na minha visão, isso não se aplica a projetos de segurança de uma forma geral, exceto em casos específicos: algo que afete diretamente o negócio ou algo que esteja intimamente atrelado a outro projeto.

Pois, afinal, acredito que a Segurança faz parte da infra-estrutura básica da empresa. Assim como ar-condicionado, o papel higiênico, a rede local e o desktop do pessoal administrativo. Investir nessa infra-estrutura (ventilador, router, firewall, etc) não vai aumentar seu faturamento nem diminuir seu custo. É algo que você tem (e consegue trabalhar) ou não tem (e sua empresa não consegue operar de forma minimamente saudável e/ou competitiva). Já vi muitas discussões sobre ROI terminarem com as perguntas "Quanto sua empresa gasta com cafézinho?" e "Qual o ROI do papel higiênico?"

Assim, uma medida baseada no ROI somente se aplica em projetos de segurança nos poucos casos em que a segurança pode influenciar o custo operacional da empresa diretamente (ex: colocando uam ferramenta que reduz a navegação dos usuários em sites impróprios e causa uma redução de 20% na banda internet contratada).

Outra alternativa é atrelar a segurança como requisito (infra-estrutura) para algum projeto maior, que seja diretamente relacionado ao negócio. Neste caso, calculamos o ROI deste projeto específico e a segurança seria uma das linhas de custo/investimento necessários para o projeto. Por exemplo, se sua empresa pretende implantar uma loja virtual que lhe permita aumentar o faturamento em 30% (pois vai aumentar o volume de vendas a um custo reduzido). Neste caso, ela vai ter que investir em equipamentos e serviços, tais como um servidor web, um banco de dados, um firewall, licença de antivírus, etc. No final das contas, este projeto tem que ter um ROI que agrade a direção (a grosso modo, o investimento tem que ser menor que o faturamento planejado). Neste caso, a Segurança é só uma parte do projeto e influencia só uma parte do cálculo de ROI.

Um projeto específico de segurança (ex: novo firewall corporativo, criação de uma política de segurança, etc) não se justifica baseado em cálculos de ROI. Na prática, assim como o Fernando Cima citou nesta lista de discussão, a maioria dos projetos de segurança são aprovados após a ocorrência de um incidente. Ainda mais quando o problema envolve a diretoria (vírus, vazamento de informação, perda de dados, etc). É uma abordagem que ninguém gosta de seguir, mas infelizmente é a que, na prática, apresenta maior eficiência :(
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.