Páginas

março 31, 2008

[Segurança] As frases que deixam os profissionais de segurança apavorados

No ano passado foi publicado um artigo bem divertido e interessante na ComputerWorld, chamado "As 10 frases que deixam profissionais de segurança apavorados", sobre as frases que normalmente ouvimos em várias empresas e, de cara, nos fazem ver que teremos problemas pela frente. Como aquele usuário que aparece com o micro pipocando pop-up de propaganda pornô, mas ele jura que nunca acessou nenhum site "estranho"... (e o pior é que, em alguns casos raros, ele não tinha feito nada aparentemente suspeito mesmo).

As frases que achei mais interessantes neste artigo foram:
  • "A segurança de TI é a segurança da informação": Muito corajoso deles levantarem este tópico... é muitíssimo comum ver a segurança da informação nascer dentro da área de TI, com alguém tomando para si uma preocupação inerente a infra-estrutura de TI, mas poucas empresas tem uma área de segurança isolada de TI, com foco interdepartamental, estratégico e inserida no negócio. A área de TI deve sempre estar comprometida com a segurança, e tem papel muito importante nisso, mas jamais deve ser a única a abraçar a causa.
  • "Isso não se aplica ao chefe": hahahahhaha.... esse realmente é um dos grandes desafios da área de Segurança - fazer com que todos sigam as regras e que as excessões somente sejam válidas mediante uma necessidade válida de negócio, não por causa de uma "carteirada".
  • "Nossos executivos tem cópias de todas as senhas": Realmente, um dos grandes desafios de se implantar uma política de senhas é conscientizar todos os funcionários de que eles não devem compartilhar suas senhas de acesso com seus colegas - muito menos com seus chefes ou, pior ainda, com seus subordinados. Qualquer pessoa, mal intencionada, pode utilizar a credencial de acesso de um colega para cometer fraudes sem ser descoberto. E a pessoa que divulgou sua senha só vai descobrir isso quando for tarde demais.
  • "Ei, de onde veio isso?": por mais que criemos padrões de configuração, controles de acesso e normas de segurança específicas, os usuários "mais espertinhos" adoram encontrar novos sofwares ou ferramentas na Internet e insistem em querer instalá-los nos computadores da empresa. Pode ser um dicionário Alemão-Francês, um software que emula uma calculadora científica ou um toolbar (barra de ferramentas) nova para seu Internet Explorer. A criatividade dos usuários não tem limite. Porém, estes softwares "não homologados" podem trazer transtorno para o usuário e para a empresa, se não forem devidamente licenciados (software pirata é crime !!!) ou se causarem problemas no computador do usuário (e, neste caso, coitado do Help Desk que vai receber um chamado de alguém reclamando de um software que eles não sabem o que é, como funciona e para que serve - e, que a propósito, nem deveria estar lá).

Eles esqueceram de citar duas frases muito comuns, que também assombram os profissionais de segurança há anos...
  • "Para que serve esse servidor?": Não tem nada que me cause maiores arrepios na espinha do que descobrir um servidor em produção que ninguém sabe o que roda, para que serve nem quem é a pessoa ou área responsável por ele. Isto pode acontecer facilmente em empresas grandes, onde um servidor de testes é esquecido para sempre em ambiente de produção (o teste acaba mas esquecem de desligar o equipamento) ou quando a pressão por resultados, com prazos curtos, faz que uma determiada área coloque um serviço no ar mas não tenha tempo para documentar isso e envolver as demais áreas de suporte.
  • "O Firewall está barrando meu acesso": Não importa o que esteja acontecendo: a partir do momento em que as pessoas sabem que existem um tal equipamento mágico chamado "firewall" e que este serve para bloquear os acessos que sejam em desacordo com a política de segurança, qualquer problema ne rede ou nas aplicações passam a ser atribuídos a ele. O Servidor parou? O e-mail está fora do ar? Não consegue acessar um website? A rede está lenta? Mesmo que o tipo de acesso não passe por um equipamento de firewall, o usuário vai questionar o administrador de segurança.

Mas, justiça seja feita: não há como concordar com a frase "A marca X é o nosso padrão" indicada no artigo da ComputerWorld. A padronização do parque de TI, principalmente dos servidores, desktops e notebooks permite uma maior agilidade para a equipe de suporte em TI e a equipe de segurança, que pode contar com procedimentos totalmente padronizados para atender os problemas. Dar suporte um equipamento de TI não é coisa simples. Um parque diversificado, com equipamentos de diversas marcas obriga os profissionais a conhecerem toda a gama de hardwares, serem obrigados a manter e suportar diversas versões e configurações de softwares e terem muito mais transtorno para se manterem atualizados.

março 19, 2008

[Segurança] Nova revista eletrônica da ISSA Brasil

O capítulo Brasil/SP da ISSA acaba de lançar ua nova revista eletrônica bimestral, chamada Antebellum, repleta de artigos interessantes e atuais, colunas, entrevistas e informações do mercado com foco exclusivo em nossa indústria.

Esta primeira edição está disponibilizada abertamente a toda a comunidade de segurança, entretanto os próximos números serão restritos aos associados ativos do capítulo.

Eu convido todos a desfrutá-la, pois tentamos realmente criar um material bom e de leitura agradável, com artigos internacionais e nacionais.

A revista está disponível online no website da ISSA Brasil/SP - ela pode ser acessada na opção "Antebellum" do menu do site ou vocês podem fazer download do PDF diretamente neste link.

março 18, 2008

[Segurança] ISSA Day - Março / 2008

No próximo dia 25/03 (terça-feira) a ISSA Capítulo Brasil/SP realizará mais uma edição do ISSA Day, patrocinado pela Companhia de Sistemas.

Nesta edição do encontro contaremos com a presença do especialista em Segurança da informação Breno Silva, da Alcatel-Lucent, que irá falar sobre novas técnicas de detecção de worms 0day.

Segue a agenda do evento:
19:00 ~ 19:15 - Apresentação da ISSA
19:15 ~ 20:15 - Apresentação Companhia de Sistemas
20:15 ~ 20:45 - Coffee-break
20:45 ~ 22:00 - Breno Silva - Detecção de worms 0day

O encontro será no Sonesta Ibirapuera (Av. Ibirapuera, 2534, Moema - São Paulo - SP) e as inscrições são gratuitas, e devem ser realizadas através do site da ISSA Brasil.

março 17, 2008

[Segurança] Inclusão digital e Segurança

Hoje vi duas notícias que me deram vontade de comentar...

Baseado em uma pesquisa do NIC.br, o portal Convergência Digital publicou a notícia que "Desconhecimento afasta brasileiro do acesso à Internet". Segundo o excelente estudo "TIC Domicílios 2007", realizado pela terceira vez pelo NIC.br, podemos perceber como a maiorida da população brasileira ainda está fora do mundo Internet (59% dos entrevistados nunca acessaram a Internet - de 17 mil pessoas, de todas as classes sociais e em todo o país). A pesquisa pode ser visializada no site do CETIC.br.

Ésta é uma realidade no mundo virtual que condiz com o que vemos no mundo real, e pode ser resumida na frase publicada nesta notícia, do Sr. Rogério Santanna (Secretário do Ministério do Planejamento e membro do Comitê Gestor da Internet):
"Fica claro que há, sim, uma ligação entre a exclusão social e a exclusão digital"


A maioria de nós, profissionais de TI e de SI, esquecemos que existem "dois Brazis" - o rico, educado, que acessa a Internet e o pobre, desinformado, sujo e que passa fome. Também esquecemos, da mesma forma, que existem outros dois tipos de pessoas: os que conhecem tecnologia e os que não conhecem. No alto de nossa arrogância, chamamos usuários de burros ou incapazes, como se todos fossem obrigados a conhecer informática desde o nascimento. Há algum tempo circulou na Internet um vídeo muito interessante, publicado no YouTube, chamado "Fala Sonia".


Ao mesmo tempo que ele mosra como o simples ato de falar a URL do site YouTube ("www - ponto - you - tube - ponto - com") pode ser difícil para uma pessoa com menor nível de educação (ou seja, a maioria da população brasileira), mostra também como os profissionais de TI e SI, são míopes ao tratar isso como piada ou uma aberração (como vi vários fazendo). Isto inclui também pessoas com um nível educacional melhor ou com maior contato com a tecnologia.

É combatendo esta ótica que se surgem os esforços em tornar a computação mais amigável (softares com interface amigável e maior usabilidade) e a se criar programas de treinamento e conscientização (tem um post muito interesante sobre isso no blog securosis).

Outro ponto interessante, para finalizar, é que a pesquisa do NIC.BR aponta como os esforços de inclusão digital e barateamento da informática tem conseguido levar o acesso Internet as camadas mais baixas da população.

Por outro lado, outro artigo do mesmo portal, a notícia de que "Segurança da Informação movimentou US$ 370 milhões no Brasil", baseado em dados do IDC, mostra como as empresas estão preocupadas em se proteger e direcionar seus investimentos em segurança. É muito interessante ver que, mundialmente, 37% dos gestores de segurança consideram prioritário o combate à ação de organizações criminosas e à espionagem industrial. Isso para mim é uma boa novidade: mostra que os executivos estão antenados com a principal tendência do mundo inderground: as atividades "hacker" migrando para o ganho financeiro. Também faz parte da preocupação, como sempre, o controle de acesso ao e-mail, os dispositivos móveis (smartphones, PDAs, pen drives, modens USB e os IPhones - a coqueluxe atual) e o combate aos vírus, trojans, spams e spywares.

março 12, 2008

[Segurança] Dispositivos cardíacos vulneráveis a ataques !!!

Hoje saiu uma notícia assustadora no New York Times: "A Heart Device Is Found Vulnerable to Hacker Attacks" (Dispositivos cardíacos são vulneráveis a ataques de hacker).

Segundo a reportagem, pesquisadores descobriram que, teoricamente, é possível obter acesso, via wireless, a modernos dispositivos cardíacos. É possível reprogramá-los para desligar ou causar descargas elétricas potencialmente fatais !!!

O lado bom da notícia é que, por enquanto, é muito difícil reproduzir esta ameaça no mindo real: demanda equipamentos caros, conhecimento específico e uma proximidade muito gtande (2 polegadas) do alvo.

Entretando, já vimos esta história se repetir muitas vezes: a comunidade hacker e cracker rapidamente consegue desenvolver novas formas e ferramentas de ataques quando lhe convém. As limitações que os pesquisadores colocam não são suficientes para evitar que esta ameaça saia do mundo teórico e se torne real. Esta ameaça pode interessar muito a grupos terroristas: várias pessoas importantes, potenciais alvos de grupos terroristas ou extremistas, podem ser usuárias destes dispositivos (como autoridades e chefes de estado - a reportagem cita ninguém menos que o vice-presidente americano Dick Cheney).

A história se repete: diversos aparatos tecnológicos surgem diariamente, em sua maioria o fabricante teve pouca (ou nenhuma) preocupação com a segurança vulnerabilidade do equipamento, tornando fácil a vida dos hackers e crackers de plantão (e trazendo dor de cabeça para os profissionais de segurança).

março 07, 2008

[Segurança] Cartilha Diálogo Virtual

Eu sou um apaixonado por material de conscientização em segurança de qualidade.

Por isso fiquei contente quando vi a cartilha "Diálogo Virtual", criada pelos alunos do Curso Hackerteen e pela equipe da SaferNet Brasil com o objetivo de orientar os jovens, seus pais e educadores para o uso correto e seguro da Internet. A cartilha está escrita em uma linguagem acessível, simples e direta, apontando os pontos positivos, negativos e dicas para vários aspectos da vida online.

A SaferNet também mantém o excelente site www.denunciar.org.br, onde podemos encontrar muita informação sobre como denunciar e combater diversos crimes na Internet.

A SaferNet Brasil surgiu como resposta aos graves problemas relacionados ao uso indevido da Internet no Brasil para a prática de crimes e violações contra os Direitos Humanos (como o aliciamento, a produção e difusão em larga escala de imagens pedofilia e pornografia infantil). Também combate crimes cibernéticos contra os Direitos Humanos e Fundamentais (como o racismo, neonazismo, intolerância religiosa, homofobia e apologia e incitação a crimes contra a vida), que tem afetado principalmente os jovens internautas brasileiros.