outubro 30, 2007

[Mundo Corporativo] Frase do Dia

Essa eu acabei de ouvir e adorei:

"Se o cliente não pediu, não ofereça."



Ou seja, se você estiver desenvolvendo um produto e oferecer ao cliente uma funcionalidade que ele não pediu (ou sequer imaginou), ele vai exigir isso de você e não vai querer pagar a mais.

Na verdade, a melhor forma de encantar um cliente é apresentar uma funcionalidade nova quando ela já estiver pronta, entregando-lhe um produto final que vai além do que ele tinha como expectativa. Alimentar a expectativa do cliente com algo que você não tem e que vai ser custoso não é uma boa estratégia :o)

outubro 29, 2007

[Segurança] "Spear Phishing Attack"

Hoje vi que a família dos malwares (códigos maliciosos) ganhou há não muito tempo atrás um membro que eu desconhecia: o "Spear Phishing Attack".

Até agora pouco já tínhamos uma família bem numerosa, formada pelos famosos vírus, pelos vermes ("worms"), trojans (ou "cavalos de tróia"), keyloggers (os softwares de captura de teclado), rootkits (que atacam o sistema operacional para perpertuar e esconder uma invasão), os bots (ferramentas de ataque que misturam o pelhor - ou pior - dos trojans, keyloggers e rootkits, mais a acapacidade de efetuar ataques contra terceiros) e os ataques de "phishing".

Os ataques de "Spear Phishing" são ataques de e-mail, baseados no mesmo princípio do "phishing scam" (mensagens falsas que te induzem a repassar alguma informação ou fazer o download de algum arquivo), porém altamente direcionados para um determinado grupo de pessoas ou membros de um departamento de uma determinada empresa.

Da mesma forma que o termo "phishing" remete a imagem da "pescaria" de senhas, o "spear phishing" é a pesca mais especializada (na tradução literal, poderia ser a pesca com arpão).

Este tipo de ataque usa, por exemplo, características visuais que o fazem parecer com uma mensagem interna ou um e-mail corporativo. Poderia ser uma falsa comunicação corporativa pedindo dados pessoais ou solicitando que o usuário faça o download de um arquivo e/ou software. Ou uma mensagem aparentemente enviada por um colega de trabalho.

"Spear-phishing is a distilled and potentially more potent version of phishing." (NYT)

Geralmente este tipo de ataque, por ser bem direcionado, é difícil de ser detectado e é realizado por grupos "hackers" organizados, em busca de ganhos financeiros, roubo de dados e espionagem industrial ou militar.

Pesquisando na Internet achei algumas referências interessantes:



Na página da Microsoft há algumas dicas sobre como se prevenir contra estes ataques. Basicamente, são as mesmas dicas válidas para se proteger dos tradicionais ataques de phishing e dos Spams: nunca acredite em nada que você receba por e-mail. suspeite de tudo e, principalmente, sempre tenha muito cuidado ao abrir arquivos anexados ou clicar em links. Sempre verifique muito bem a origem das mensagens que você recebe.

E desconfie de tudo que pareça minimamente suspeito.

outubro 27, 2007

[Segurança] ISSA Day - outubro

No próximo dia 31 de outubro (quarta-feira) o Capítulo Brasil/SP da ISSA realizará mais uma edição do ISSA Day, o encontro mensal aberto a todos os associados e profissionais interessados. Neste mês o evento será patrocinado e acontecerá nas dependências da Microsoft e contaremos com a uma palestra sobre Tendências em Fraudes de Henrique Takaki, Gerente de Segurança de Dados da Visanet.

As inscrições devem ser feitas no site da ISSA Brasil.

No mês passado, setembro, também realizamos um evento focado em fraudes, onde apresentamos as novas tendências de códigos maliciosos e as principais formas de defesa disponível. Nesta ocasião, contamos com um palestrante internacional: o Ralph Thomas, gerente do time de pesquisa de códigod maliciosos da VeriSign, apresentou com exclusividade para a ISSA as pesquisas que ele apresentou no ICCyber 2007 e ganhou o prêmio de melhor trabalho da conferência. em setembro contamos com o apoio da Daryus, que nos cedeu a infra-estrutura para o encontro.

[Segurança] DefCon XV - Novidades e Tendências


Em agosto deste ano aconteceu em Las Vegas a XV edição da Defcon, a maior e mais tradicional conferência de "hackers". Eu, e mais um grupo numeroso de brasileiros, tivemos a oportunidade de participar do evento e conhecer as principais novidades na área de segurança.

Os temas que dominaram a maioria das palestras e, portanto na minha opinião representam as principais tendências da área de segurança, são as seguintes:

  • Information Warfare: A Guerra eletrônica, com nações combatendo e se espionando pela Internet, hoje já é realidade. Acontece na Guerra do Iraque (assisti uma palestra que falou superficialmente sobre os objetivos de uma divisão da Marinha americana especialista em guerra eletrônica) e neste ano ficou famoso o caso da Estônia, que teve seus sistemas governamentais on-line atacados por, aparentemente, grupos russos;
  • O Mercado de Malware e bots está a pleno vapor: já existe todo um comércio underground de bots, que movimenta muito dinheiro e faz com que seja muito fácil cometer crimes eletrônicos;
  • Ataques a/entre servidores virtuais: no momento em que o principal assunto da área de TI é a virtualização como forma de racionalizar os recursos das empresas, a comunidade hacker está atenta e estudando as principais brechas de segurança nas ferramentas de virtualização. E elas existem;
  • Invasão através dos browsers: o foco principal agora é o ataque direto na camada de aplicação, no browser, afetando diretamente o usuário. Isto ocorre através de técnica de "SideJacking", do uso de arquivos de midia como vetor de infecção e, até mesmo, usando os recursos de "gadgets" (comuns no sidebar do Vista, igoogle, yahoo, etc) para criar pequenos trojans;
  • A fragilidade das redes sociais: além de serem conhecidas como fonte de informação valiosa para Engenharia Social e alvo de recentes vírus e phishing scams, existe hoje diversas linhas de pesquisa onde estão buscando vulnerabilidades nestes sites. Já é fácil capturar senhas e roubar a seção de um usuário em alguns destes sites.

Em agosto promovemos um ISSA DAY na BRConnection onde eu, o Ferfon e o Willian apresentamos um rápido sumário das principais palestras do evento e discutimos estes pontos com a audiência.

[Administrativa] Longas Férias

Cometi o maior pecado que pode ocorrer no mundo on-line: fiquei meses sem atualizar este blog !!!
Peço desculpas aos meus visitantes (assíduos e esporádicos, curiosos e amigos).
Se é possível justificar o injustificável, então digo que a principal causa deste crime foi um período de férias em Julho, seguido de um ritmo incessante de viagens a trabalho (incluindo a DefCon em Las Vegas, visitas a clientes no México, Peru e Chile, e a Futurecom, na linda Floripa, no começo de outubro).
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.