novembro 30, 2010

[Segurança] Segurança da Computação em Nuvem em quatro slides

Hoje eu tive a oportunidade de participar de um painel sobre segurança de Cloud Computing durante o SICGov 2010, o IV Congresso de Segurança da Informação e Comunicações para Governo, realizado em Brasília/DF durante esta semana.

Como eu dividi o palco com mais dois painelistas, os senhores Cezar Taurion da IBM e Raimundo Nonato da Costa, da Microsoft, eu optei por preparar um material bem curto que sintetizasse os principais pontos que julgo serem os mais importantes quando consideramos as vantagens e os riscos de segurança relacionados a computação em nuvem. Por isso, eu acabei criando uma apresentação aonde destaquei os seguintes pontos:
  • A Computação em Nuvem nos oferece vários benefícios do ponto de vista de segurança da informação, na medida em que facilita a resolução de alguns problemas clássicos, como a disponibilidade das aplicações, atualização de versões e aplicação de patches (o que pode ser gerenciado pelo provedor de Cloud Computing), a segregação de ambientes (uma vez que fica fácil e barato levantar versões de testes e homologações de suas aplicações) e a implementação de um plano de recuperação de desastres (pois isto pode estar embutido na oferta de Cloud Computing ou a empresa pode utilizar a nuvem para hospedar versões de contigência para suas aplicações existentes, criando um "datacenter virtual").
  • A discussão sobre os riscos da Computação em Nuvem deve, necessariamente, começar com uma análise de riscos baseada nas necessidades de negócio, para que a empresa ou o órgão de governo identifique suas necessidades, riscos e controles de segurança que necessitará adotar ou exigir do provedor de Cloud Computing. Isto nada mais é do que um processo de análise de riscos que deveria ser natural para a empresa ou entidade, independente de tratarmos de Computação em Nuvem ou qualquer outro serviço ou tecnologia.
  • Embora a Computação em Nuvem herde vários riscos associados às tecnologias que utiliza e ao seu modelo de negócio (como, por exemplo, riscos associados ao controle de acesso, virtualização, modelo de terceirização, etc), ela também apresenta um conjunto específico de novos riscos que tornam a análise de riscos mais complexa, e diferente do que as empresas e entidades estão acostumados, como, por exemplo, os riscos associados as suas novas características e paradigmas.
  • Eu considerei importante exemplificar o que eu considero como sendo os "novos riscos" que a Computação em Nuvem traz para as empresas, e por isso utilizei o último slide da minha curta apresentação para listar apenas alguns deles, como por exemplo, a necessidade de preocupação com a localização geográfica de seus dados (para evitar que sua aplicação ne Nuvem e seus dados estejam, fisicamente, em um país com controles legais ou cenário de ameaças distinto do que a empresa esteja acostumada) e, o mais interessante, o fato de que a facilidade de contratação dos serviços de Cloud Computing representa um risco, uma vez que as áreas de negócio podem facilmente contratar uma nova aplicação de um fornecedor externo sem o conhecimento e a anuência das áreas de Tecnologia da Informação (TI) e de segurança da empresa.




O painel foi excelente, pois o Cezar Taurion apresentou os principais conceitos e os principais passos para adoção da computação em nuvem, enquanto o Raimundo Nonato destacou as estratégias e cuidados que os governos e órgãos públicos devem considerar ao utilizar o Cloud Computing. Ao final tivemos algumas perguntas interessantes da platéia, como a preocupação em como auditar um provedor de Cloud Computing e a existência de padrões e normas para tal (o que, a propósito, está sendo discutido na ABNT).

No decorrer do painel, surgiram vários comentários que eu considerei interessantes, como os pontos abaixo. Eu aproveitei e publiquei vários comentários no Twitter durante o painel, para permitir uma participação do público remoto.
  • Segundo o Cezar Taurion, a Computação em Nuvem representa uma mudança de visão e entendimento do que é TI atualmente, e daqui a 10 anos vai parecer algo natural. eu complementei este comentário lembrando que daqui a 10 anos, os principais executivos serão pessoas que, provavelmente, já nasceram no mundo Internet e conhecem tecnologia desde pequenos.
  • Gostei também de outra frase do Cezar Taurion: "nós superestimamos a adoção de Cloud Computing a curto prazo e subestimamos o seu impacto no longo prazo."
  • O Raimundo Nonato, da Microsoft, apresentou fotos do datacenter modular que é utilizado atualmente, que consiste em conjunto de equipamentos montado dentro de um container, e que pode ser facilmente adicionado a vários existentes para ampliar a capacidade total de processamento.
  • Foi concenso entre os painelistas que a adoção de Cloud Computing pelas empresas deve ser feita aos poucos e seguindo uma cuidadosa estratégia. Por exemplo, a empresa ou o órgão de governo deve começar escolhendo aplicações menos críticas.
  • Outro ponto interessante foi a questão da auditoria e confiabilidade no provedor. Neste ponto, ambos o Cezar Taurion e o Raimundo Nonato destacaram a importância em selecionar uma empresa grande e confiável para fornecer os serviços de Cloud Computing.
  • Ao final, eu destaquei que Cloud Computing representa uma ótima oportunidade para que as pequenas e médias empresas tenham acesso a tecnologia e a soluções de negócio sem a necessidade de grande investimentos. Ela também facilita o acesso dos usuários a tecnologia, mesmo nos casos de usuários ou escritórios remotos - o que pode ser crucial para uma empresa pequena ou de médio porte.

O SICGov 2010 foi organizado e realizado pelo Gabinete de Segurança Institucional da Presidência da República, por intermédio do Departamento de Segurança da Informação e Comunicações (DSIC).

novembro 23, 2010

[Segurança] Hackers to Hackers Conference 2010 (H2HC)

Entre os dias 25 e 30 de Novembro, São Paulo recebe a sétima edição da Hackers to Hackers Conference (H2HC), uma das mais tradicionais e importantes conferências de segurança do Brasil e da América Latina.

A H2HC reúne centenas de profissionais de segurança e pesquisadores, além de palestrantes internacionais e profissionais renomados. O evento é um grande disseminador da cultura de segurança da informação no Brasil e, principalmente, é um grande incentivador da pesquisa em segurança. O evento tem crescido muito em termos de infra-estrutura e de maturidade nos últimos anos. É uma oportunidade única para reunir os profissionais que atuam no mundo corporativo, os grupos de pesquisa em segurança e a comunidade underground.

A H2HC tem dois dias intensos de palestras, nos dias 27 e 28 de Novembro (Sábado e Domingo), além de quatro dias com treinamentos técnicos em diversos tópicos relacionados a segurança da informação. Eu terei a honra de apresentar uma palestra durante o evento, entitulada “Urgente: Hackers causaram a erupção do vulcão Eyjafjallajokull”, onde irei discutir alguns aspectos técnicos e não-técnicos da segurança de empresas no setor de infra-estrutura crítica e dos sistemas SCADA. Também irei apresentar um treinamento no dia 25/11 sobre Cyber Inteligência, um treinamento que nós, da equipe de inteligência da iDefense, estamos desenvolvendo e vamos apresentar pela primeira vez na H2HC.

Além das palestras e treinamentos, o evento também conta com um painel de debate no dia dia 24 de novembro, chamado de H2CSO (Hackers to CSO). O debate visa discutir com gestores a importância de promover pesquisas em segurança dentro das organizações. O H2CSO será realizado em parceria com a Decision Report, e por isso ele acontecerá dentro do evento Security Leaders e pode ser acompanhado ao vivo e gratuitamente pela Internet.

A H2HC conta com vários patrocinadores (como a iDefense) e várias entidades apoiando, como a ISSA Brasil e o capítulo brasileiro da Cloud Security Alliance (CSA BR).

A Hackers to Hackers Conference ocorrerá no auditório do Hotel Novotel Morumbi em São Paulo (na Rua Ministro Nelson Hungria, 450), nos dias 27 e 28 de novembro de 2010. Para maiores informações sobre a H2HC e inscrições, visite o site do evento: http://www.h2hc.com.br

[Cybercultura] Fatos interessantes sobre redes sociais

O site Social Media Today publicou recentemente uma lista com vários "fatos fascinantes" sobre as mídias sociais durante o ano de 2010 ("Fascinating Social Media Facts of Year 2010").
Segue abaixo alguns dos dados mais interessantes, na minha opinião:
  • Facebook, Blogspot e MySpace são os sites mais visitados por menores de 18 anos.
  • 24 dos 25 maiores jornais estão experimentando queda de circulação, pois a notícia chega primeiro aos usuários em outros formatos.
  • Em um levantamento por amostragem de 2.884 pessoas em 14 países, 90% dos participantes conhecem pelo menos um site de rede social e 72% estão ativos em pelo menos 1 site de relacionamento (os três países no topo foram o Brasil com 95%, os EUA com 84% e Portugal com 82%). Em média, os usuários fazem login duas vezes por dia em sites de redes sociais e tem cerca de 195 amigos.
  • O Facebook é a maior rede social do munco, com mais de 500 milhões de usuários. Se o Facebook fosse um país, seria o terceiro maior país do mundo, atrás apenas da China e Índia.
  • Em média, os usuários do Facebook estão ligados a 80 páginas de comunidades, grupos e eventos, e criam 90 peças de conteúdo a cada mês.
  • O YouTube recebe mais de 2 bilhões de espectadores a cada dia, sendo que a cada minuto os usuários publicam 24 horas de vídeos.
  • Os vídeos de música representam 20% de uploads no YouTube.
  • Para assistir todos os vídeos no YouTube atualmente, uma pessoa teria que viver por cerca de 1.000 anos.
  • Existem mais de 181 milhões de blogs.
  • Um em cada cinco blogueiros publicam atualizações de seus blogs diariamente (infelizmente eu não faço parte dessa estatística).
  • 80% das companhias usam o LinkedIn como uma ferramenta de recrutamento.
  • 73% dos usuários da Wikipedia editam o site porque querem compartilhar conhecimento, e 69% dos usuários o fazem para corrigir erros.
  • O mau tempo resulta normalmente em um maior número de atualizações na Wikipédia.

novembro 10, 2010

[Segurança] Cyber Crime no Brasil

Recentemente eu estava pesquisando algumas notícias sobre crimes cibernéticos e fraudes de cartão de crédito no Brasil e achei um artigo muito interessante no Jornal de Uberaba, entitulado "No Brasil, o crime compensa", onde o autor, Carlos Paiva, discute como funciona o crime cibernético no Brasil, além de questionar a eficiência das autoridades e discutir os motivos e falhas institucionais que fomentam o crime.

"O homem foi à lua, mas não consegue acabar com as fraudes bancárias envolvendo cartões."
Carlos Paiva


Em um determinado momento, o artigo descreve muito bem as principais características do crime cibernético no Brasil, que eu transcrevo abaixo, misturado com algumas observações e comentários meus:
  • Não existe lei específica para os crimes cibernéticos, e por isso o bandido sabe que o risco de ser preso é baixo e compensa, pois as penalidades também são insignificantes. Devido a falta de leis específicas, geralmente os criminosos cibernéticos são enquadrados com base em crimes tradicionais que sejam semelhantes, como furto ou estelionato. Isto acaba por complicar o processo de acusação e o julgamento, pois todo o processo fica dependendo da habilidade dos advogados em traçar o paralelo entre o crime real e o virtual, além de depender da correta interpretação do juiz.
  • O capital para iniciar no cyber crime é insignificante perto dos lucros. O autor dá um exemplo: o criminoso pode investir cerca de R$ 5 mil e no final do mesmo dia pode obter facilmente três vezes este valor, ou mais. Este é o custo médio de um equipamento chupa-cabra, utilizado para clonar cartões em caixas eletrônicos ou em lojas, que pode ser adquirido no mercado negro ou feito em casa. Este é um negócio onde o lucro é real, fácil e não existe risco nem impostos.
  • A descrição do perfil dos cyber criminosos que o autor apresenta é similar com a descrição apresentada pelas principais autoridades. Em sua maioria, os especialistas em fraude eletrônica são jovens, inteligentes, e muitas vezes de classe média. É comum a polícia divulgar fotos destes criminosos muito bem vestidos, com bebidas caras e veículos imponentes. Conforme descreve o autor, alguns cyber criminosos se apresentam como pequenos comerciantes, empresários ou como profissionais liberais, e em alguns casos usam negócios de fachada para lavar dinheiro.


O autor também discute como poderia ser fácil para a polícia identificar os criminosos virtuais devido ao alto movimento de dinheiro ilícito, e eventualmente condená-los ao menos por fraude fiscal e enriquecimento ilícito. O autor, em vários momentos, critica a ineficiência dos bancos e das autoridades policiais (tanto a polícia federal quanto as polícias estaduais), mas nesse ponto eu discordo totalmente do artigo. Na minha opinião, e pelo o que eu tenho acompanhado até hoje, os bancos e as autoridades policiais tem se esforçado muito em combater o crime virtual. Infelizmente, temos a impressão de que isso não acontece, e acredito que essa sensação de impotência e ineficiência é causada por vários fatores, dentre os quais eu destaco a ineficiência na condenação dos criminosos (principalmente devido ao nosso sistema legal falho, na minha opinião), a falta de unidades de polícia especializadas em crimes cibernéticos em vários estados e a grande quantidade de criminosos - afinal, é muito fácil entrar no cyber crime. Há notícias de criminosos e quadrilhas especializadas em fraudes eletrônicas presas pela polícia quase diariamente, em várias cidades do país. Recentemente, por exemplo, policiais prenderam dois membros de uma quadrilha especializada em fraude de cartão de crédito atuando no Acre, conforme mostra a reportagem abaixo:



Um ótimo exemplo do cenário atual é o caso do criminoso Rodines Miranda Peres, que foi preso recentemente. Ele, na verdade, é considerado o primeiro criminoso cibernético identificado no Sul do país, em 1999, e embora tenha sido preso e condenado (em 2004), continuava na ativa até hoje - 11 anos depois de começar sua carreira no crime. Segundo outra notícia, ele foi condenado a dois anos e oito meses de prisão por estelionato e tem outra condenação de sete anos de prisão, mas conseguiu o direito de responder em liberdade.

Atualização em 10/11/2010:

Após eu publicar este artigo, vi a notícia de que hoje a Polícia Federal realizou uma operação contra uma grande quadrilha especializada em crimes cibernéticos, que era baseada no Ceará. A operação, chamada "operação Firewall", incluía a execução de 15 mandados de prisão e 19 de busca e apreensão. As autoridades estimam que o grupo roubou cerca de R$ 3 milhões no período de aproximadamente um ano, através de Trojans bancários (os programas que espionam os computadores das vítimas para roubar as senhas e dados pessoais) distribuídos por e-mails de phishing. A operação é resultado de uma parceria firmada entre a Caixa Econômica Federal (CEF) e a PF, o que mostra o interesse claro dos bancos e das autoridades policiais em combater o cyber crime.

Além disso, o jornal Pantanal News, de Campo Grande, divulgou que 16 pessoas foram à Polícia denunciar golpes em caixas eletrônicos em um único dia, naquele estado. É um número assustador, que mostra a grande quantidade de crimes e de vítimas.

As fraudes eletrônicas (que inclui fraudes em contas de Internet Banking, caixas eletrônicos e clonagem de cartões de crédito e débito) estão espalhadas por todo o Brasil. Por isso, precisamos ter muito cuidado quando utilizamos a Internet ou realizamos pagamento com cartões.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.