Páginas

fevereiro 26, 2010

[Segurança] Segurança em Cloud Computing


Na semana que vem, o IDETI vai realizar a 2ª edição do Seminário de Cloud Computing em São Paulo. O evento vai acontecer no dia 02 de março e contará com palestras de diversos profissionais da área, eu inclusive.

Nesta edição eu irei apresentar uma nova versão do meu material sobre riscos e estratégias de mitigação relacionados a tecnologia de Cloud Computing. Desta vez eu quero da um enfoque maior aos riscos que eu considero serem exclusivos dessa tecnologia. Ou seja, dos diversos tipos de ameaças ou problemas potenciais que a idéia de Cloud Computing pode apresentar, alguns deles já estão presentes no dia-a-dia das empresas (por exemplo, o risco de vazamento de dados por causa de um controle de acesso mal feito ou uma senha fraca), e portanto os profissinais já devem estar acostumados a identificá-los e a lidar com essas ameaças.

Porém, da mesma forma que Cloud Computing agrega conceitos e tecnologias existentes para criar um modelo de negócio totalmente novo para a área de TI, ele também traz alguns riscos e ameaças totalmente novos, que provavelmente muitas empresas sequer conseguiriam identificar. Por exemplo, poucas empresas jamais precisariam se preocupar com a localicação geográfica de seus dados antes de adotar uma solução baseada na nuvem. Quando a empresa começa a utilizar um serviço oferecido por um provedor no modelo Cloud Computing, a aplicação e seus dados estão sob responsabilidade desta empresa, que pode ter seus sistemas localizados, fisicamente, em qualquer lugar do mundo. Assim, a empresa passa a ser susceptível a legislações de outros países ou até mesmo a ameaças locais dominantes em determinados países. Por exemplo, vários países são mais susceptíveis a ataques de Distributed Deny of Service (DDoS) do que o Brasil. Estados Unidos, alguns países Europeus e Asiáticos sofrem com este tipo de ataque em uma frequencia muito maior que nós, brasileiros. E este é só um pequeno exemplo.

fevereiro 25, 2010

[Cyber cultura] A Internet em Números

Este é um vídeo excelente que mostra de uma forma agradável quais são os principais números da Internet, como a quantidade de domínios e bloggers, emails e mensagens de spam enviados, informações sobre as principais redes sociais e um mapeamento das redes sociais mais utilizadas por país.


JESS3 / AIGA Baltimore lecture from Jesse Thomas on Vimeo.

Além disso, o site Pingdom publicou em janeiro uma relação atualizada com os principais dados estatísticos da Internet em 2009. A maioria dos dados são semelhantes aos do vídeo acima, mas de qualquer forma esta é uma ótima referência e uma lista bem interessante. Abaixo, eu destaco alguns desses números:
  • 90 trillion – The number of emails sent on the Internet in 2009.
  • 247 billion – Average number of email messages per day.
  • 81% – The percentage of emails that were spam.
  • 1.73 billion – Internet users worldwide (September 2009).
  • 234 million – The number of websites as of December 2009.
  • 81.8 million – .COM domain names at the end of 2009.
  • 126 million – The number of blogs on the Internet (as tracked by BlogPulse).
  • 1 billion – The total number of videos YouTube serves in one day.
  • 148,000 – New zombie computers created per day (used in botnets for sending spam, etc.)

Faltou mencionar, dentre todos estes dados, que o Facebook já atingiu a incrível marca de 400 milhões de usuários ativos, uma quantidade de pessoas maior que a população americana, o terceiro maior país do mundo.



Algumas destes dados sobre redes sociais eu costumo mencionar em minha apresentação sobre Aspectos de Segurança em Redes Sociais.

fevereiro 24, 2010

[Segurança] Vídeo mostra dispositivo para roubar cartões

A rede Record exibiu recentemente uma reportagem que mostra como uma gang conseguia roubar cartões de débito de clientes em um caixa eletrônico em São Paulo. O vídeo mostra o dispositivo colocado na leitora de um caixa eletrônico, que prendia os cartões dos clientes. O equipamento, com um pequeno saco, "engolia" os cartões em um caixa eletrônico de uma agência bancária na Lapa. Segundo a reportagem, o aparelho dos criminosos também registrava as senhas digitadas pelos clientes. Além disso, os bandidos conectaram um celular ao aparelho telefônico localizado dentro do caixa para obter mais dados dos clientes que tentassem falar com o banco.

Com os cartões roubados e os dados capturados, os bandidos poderiam facilmente sacar dinheiro das vítimas. Segundo estimativas de uma empresa do setor, a clonagem de cartões e outros tipos de golpes causaram um prejuízo de pelo menos R$ 39 milhões ao mercado de cartões no Brasil durante 2009. Por isso, devemos tomar muito cuidado ao utilizar o cartão de débito em caixas eletrônicos.

O vídeo da reportagem (abaixo) é curto e mostra muito bem como estes dispositivos funcionavam.





As principais dicas para que as pessoas evitem se tornar vítimas de golpes contra seus cartões são bem conhecidas, mas não custa repetir:
  • Antes de utilizar os caixas eletrônicos, observe atentamente se eles aparentam estar funcionando normalmente. Desconfie se´a maioria dos equipamentos estiver desligada ou em manutenção e apenas um deles estiver operando normalmente.
  • Veja também se todos os equipamentos são semelhantes e se todas as peças parecem estar devidamente conectadas.
  • Desconfie se o equipamento do banco pedir suas informações em uma uma ordem diferente da normalmente solicitada para realizar as operações (por exemplo, solicitando diversos dados que normalmente não pede).
  • Quando for digitar suas senhas no teclado do caixa eletrônico, tente tampar a sua mão com algum papel ou mesmo com a carteira, para evitar que alguém descubra sua senha vendo (ou filmando) as teclas que está pressionando.
  • Jamais aceite ajuda de estranhos para realizar as transações no caixa eletrônico. Eu sou paranóico: Desconfie até mesmo de funcionários ou policiais uniformizados que estejam andando próximo aos caixas. Se precisar de ajuda, entre na agência e procure um funcionário


O mais importante é que normalmente os criminosos estão próximos do local do crime, prontos para retirar seus dispositivos com os dados roubados. Logo, se você identificar um dispositivo estranho em um caixa eletrônico, saia imediatamente do local e ligue para a polícia quando estiver longe. Não tente bancar o herói.

Nota: texto atualizado as 6:30pm para incluir a estatística de fraudes e as dicas.

fevereiro 23, 2010

[Cybercultura] Quando o Carnaval esvazia a Internet

Na semana passada os internautas brasileiros perceberam uma grande lentidão na madrugada do dia 18 (quinta-feira) para o dia 19 (sexta), causada pela falha em um cabo submarino que interliga uma parte da Internet brasileira com o mundo. Mais especificamente, a falha foi em um cabo que liga o backbone da RNP (Rede Nacional de Pesquisas) em São Paulo até Miami. Uma notícia da Info Online mostrou os dados de tráfego obtidos de um monitor online disponível no site da RNP, que mostra o momento em que a conexão fornecida pela Global Crossing enfrentou uma queda abrupta que durou, aproximadamente, das 22h até as 6:00 da manhã do dia seguinte.

Mas, na minha opinião, o mais interessante foi analisar as estatísticas disponíveis no site da RNP e perceber que há uma grande queda no tráfego internet durante o período do Carnaval, o que mostra que mesmo os internautas não resistem e dão uma pausa no feriado.

O gráfico abaixo foi retirado hoje do site da RNP, que mostra o tráfego de dados mensal do link com Miami. Nele, é possível ver a quantidade de dados trafegado nas últimas quatro semanas. Como a maior quantidade de dados trafegados pela Internet ocorre durante o dia, de segunda a sexta, é fácil identificar os dias da semana no gráfico (e os sábados e domingos são marcados por um volume muito menor de dados). Claramente, cada "morrinho" no gráfico corresponde a um dia da semana, com 5 picos que representam o volume de dados trafegado nesse link Internet de segunda a sexta, durante o dia. Assim, se olharmos bem, podemos achar facilmente o tráfego de dados na semana do Carnaval.

Marcado como "Week 7", a semana do Carnaval começa com um volume de tráfego na segunda e terça equivalente ao período de sábado e domingo (o período com quatro pequenos picos de tráfego aparece claramente no quadro), seguido por um volume de dados um pouco maior na quarta-feira de cinzas. O link Internet volta ao normal na quinta e sexta-feiras após o Carnaval, representado por dois picos mais altos que antecedem dois picos baixos, do final de semana seguinte.

Não há como negar, o Brasil realmente para durante o Carnaval. Seja no mundo físico ou no virtual; seja nas ruas, nas lojas ou na Internet.

fevereiro 19, 2010

[Segurança] Reportagem sobre segurança na rede WiFi doméstica

Fiquei contente ao ver que o Jornal da Globo fez uma reportagem muito caprichada sobre a importância das empresas e dos usuários domésticos tomarem cuidado com a segurança de suas redes wireless.

A reportagem "Aprenda como se proteger dos hackers", que foi ao ar nesta quinta-feira, dia 18/02, mostrou como as redes wireless são vulneráveis e deu dicas sobre o que um usuário, que tenha uma rede sem fio em casa, pode fazer para se proteger de invasões.

"Quem mora em apartamento sabe muito bem: dá para pegar uma caroninha na internet sem-fio do vizinho sem pagar nada. Redes abertas ou que usam padrões de segurança antigos são um perigo".


A reportagem explica o que é uma rede wireless (WiFi) e, para ilustrar o risco de invasão, usa como exemplo a rede de uma pequena farmácia em Agudos, no interior de São Paulo. Em menos de 5 minutos, o meu colega Filipe Balestra (um dos organizadores da H2HC) consegue entrar na rede da farmácia. A equipe da TV Globo consultou colegas experientes no mercado. Além do Filipe, em seguida a reportagem entrevistou o Ghassan e o Daniel Garcia, ambos da CISCO, que falam um pouco sobre como funciona a segurança em redes sem fio. Para finalizar, ninguém menos que o Dr. Mariano, delegado da 4ª Delegacia de Crimes por Meios Eletrônicos de São Paulo, lembra que o Brasil ainda não possui uma legislação específica que auxilie no combate a crimes por meios eletrônicos.

De uma forma geral, a reportagem concentra a dica no uso do protocolo WPA2 pela rede wireless. Isto deve ser configurado no roteador (access-point) e no micro do usuário. Também devo lembrar que uma dica simples e fundamental consiste em manter sempre todos os sistemas atualizados, incluindo os computadores e até mesmo os roteadores wireless que o usuário possuir (neste caso, envolve a atualização do firmware do dispositivo, o que infelizmente não é algo tão simples para o usuário final quanto é utilizar o "Windows Update" em seu computador, por exemplo).

Uma boa referência adicional para este assunto é a Cartilha de Segurança para Internet do Cert.br. Ela tem um capítulo específico com dicas de segurança para redes de banda larga e redes sem fio.

fevereiro 12, 2010

[Segurança] As carreiras na área de Segurança

O portal My Information Security Job publicou recentemente um artigo listando as 10 carreiras que considerou como sendo as mais legais na área de segurança da informação ("The 10 Coolest Information Security Careers").

A lista é a seguinte (segundo o site, da menos legal para a mais "cool"):
  • Information Security Analyst
  • Incident Responder
  • Network Security Engineer
  • Chief Information Security Officer (CISO)
  • Information Security Architect
  • Forensic Analyst
  • System, Network and Web Penetration Tester (também chamado de white-hat hacking, ethical hacking e pentesting)
  • Information Security Forensics Expert
  • Malware Analyst
  • Computer Crime Investigator (essa merece um link para o Blog do Delegado Mariano)

Além dessa lista ser interessante por si só, ela também mostra como a carreira em Segurança de Infomação pode ser tão diversificada e rica. Ela comporta diversos perfis diferentes de profissionais, as vezes extremamente distintos (por exemplo, o Pentester tem que ter um conhecimento técnico extremamente aprofundado, enquanto um CISO precisa ter um cohecimento maior em gestão de projetos, equipes e estratégias). E, ao meu ver, isso não faz por desmerecer nenhuma das possíveis carreiras dentro de nossa área. Elas são complementares. Ao mesmo tempo, esta lista serve para ajudar o profissional a planejar sua carreira, pois ele pode direcionar seus esforços para uma determinada área de atuação que mais se adeque aos seus interesses e ao mercado local.

De fato, a área de segurança da Informação exige que o profissional se torne altamente especializado em determinado tipo de função, ou em determinada tecnologia. As carreiras listadas acima são apenas algumas das principais áreas de trabalho, mas ainda existem diversas outras áreas de trabalho (como, por exemplo, Auditor, Advogado especialista em Crimes Cibernéticos, Especialista em Desenvolvimento de Código Seguro, etc), além de existir especializações dentro delas (ex: Analista forense para sistemas Linux). Cada uma destas carreiras possívels exige um tipo de conhecimento técnico ou profissinal diferente, que normalmente é obtido com muito estudo, muita prática e alguns cursos e certificações específicas.

(Atualizado) A propósito, o site My Information Security Job é muito interessante e vale a pena a visita. Lá existem artigos sobre a carreira na área de segurança que merecem ser lidos, como o "7 Things Every Security Professional Should Know" e o excelente "How To Answer Tough Interview Questions?", entre outros.

fevereiro 04, 2010

[Redes] Contador de Esgotamento do IPv4

A empresa IntecNetCore, Inc. disponibiliza um widget interessante chamado "IPv4 Exhaustion Counter" ("Contador de Esgotamento do IPv4") que mostra o status da exaustão do IPv4, ou seja, quanto tempo ainda falta para que todos os endereços de rede IPv4 sejam utilizados até o esgotamento completo dos endereços globais fornecidos pela IANA. Quando isto acontecer, ninguém mais poderá alocar um endereço IP público e a Internet terá alcançado o número máximo possível de endereços IP.