março 22, 2011

[Segurança] CNASI-RJ e Guerra cibernética

Nos dias 28 e 29 de Março/2011 será realizado o CNASI Rio de Janeiro, edição carioca do tradicional Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança (CNASI). O evento terá dois dias de palestras, mini-cursos, alguns debates e uma área com diversos expositores.



No dia 29 de março eu terei a grata oportunidade de participar do painel "Monitoração com foco na prevenção de fraudes eletrônicas" e também irei apresentar a palestra "Prepare-se para a Guerra cibernética!", que será uma versão atualizada do material que apresentei no CNASI-SP em 2010. Estou particularmente empolgado pois, nesta nova versão da palestra, eu reduzi alguns slides para ter mais tempo para comentar um pouco mais sobre o Stuxnet e para dar uma visão melhor de como os países estão se preparando para a guerra cibernética.

A 14ª Edição do CNASI Rio de Janeiro é organizada pelo IDETI e será realizada no Hotel JW Marriott, localizado na Av. Atlântica, 2600 em Copacabana (Rio de Janeiro/RJ). Para mais informações sobre o evento, visite o site do CNASI Rio.

Aproveitando, para maiores informações sobre os principais eventos de Segurança no primeiro semestre deste ano, visite o post que eu publiquei aqui.

março 17, 2011

[Cyber Cultura] Quando Hackers e Geeks ajudam

Após sofrer uma terrível calamidade devido ao terremoto seguido por um tsunami devastador, que ainda por cima trouxe ao país o risco de um acidente nuclear, o povo japonês agora está tentando se recuperar do desastre, achar e enterrar seus mortos e reconstruir suas cidades. Mas ainda há um enorme caminho pela frente. Muitas cidades sofrem não só pela devastação, mas também pelo racionamento de energia e pela falta de abastecimento (comida, combustível e muito mais).

Mas hoje eu vi uma notícia muito legal vindo do Hackerspace no Japão, que mostra como a comunidade "geek" pode colaborar em um momento triste como este.

O hackerspace de Tóquio já começou a traçar planos para criar e alavancar alguns projetos que podem ajudar o povo do Japão, utilizando as habilidades técnicas, a criatividade e os recursos de seus membros. Os projetos propostos, que são muito interessantes, incluem:
  • Lanternas de LED movidas a energia solar: O grupo juntou peças necessárias para montar 150 lanternas de LED que funcionam a base de energia solar. Essas lanternas fornecem luz suficiente para que as pessoas possam se sentir seguras a noite, caminhar no escuro e manter o senso de comunidade. As lanternas se recarregam durante o dia através do sol, e funcionam por oito horas cada noite.
  • Contadores Geiger: O pessoal também pretende utilizar contadores Geiger e vários tubos de Geiger para criar sensores comunitários, a fim de ajudar a manter o público informado sobre os riscos de contaminação.
  • Outros projetos interessantes em discussão incluem construir estações de recarregamento para telefones celulares usando energia solar, equipamentos de cozinha que usem baixa quantidade de energia e empréstimo de acesso internet, wi-fi e laptops.


Um lembrete importante é que as pessoas que tenham interesse em ajudar através de doações, que procurem apenas instituições de caridade conhecidas e respeitáveis, como a UNICEF, os Médicos Sem Fronteiras, a Cruz Vermelha (no caso, há a Cruz Vermelha Brasileira, a Cruz Vermelha Americana e a Japonesa), etc. O site do Consulado do Japão em São Paulo também possui uma página sobre o atendimento relacionado às doações para as vítimas do terremoto.

março 11, 2011

[Segurança] Impactos do Tsunami no Japão e do Godzilla no Twitter

Recentemente o Japão foi atingido por um grande terremoto de 8.9 graus na escala Richter, e várias cidades foram varridas por um tsunami com ondas gigantes que atingiram até 10 metros de altura. Imagens assustadoras divulgadas no momento do desastre mostraram grandes casas, barcos e dezenas de carros sendo arrastados pelas enchentes. O tremor do dia 11 de Março foi tão forte que cientistas estimam que o terremoto pode ter deslocado o eixo de rotação da Terra em quase 10 centímetros e deslocado a ilha 4 metros em direção aos EUA.



Enquanto as notícias corriam o mundo, o Twitter registrou as palavras #prayforjapan, #tsunami, #japon e #Godzilla no Trend Topics global, mostrando que a comunidade online estava acompanhando de perto as notícias sobre esta terrível calamidade. Mas, espera aí, Godzilla? Diversos internautas, de vários países, trocaram posts fazendo piadas ou reclamando das piadas relacionando o lendário monstro Godzilla ao terremoto e ao tsunami (na verdade, a maioria das mensagens sobre Godzilla era de pessoas comentando que a palavra estava no Trend Topics ou reclamando porque estavam fazendo piada sobre o assunto - as piadas, em si, eram as minorias das mensagens).

O terremoto no Chile no ano passado, que atingiu 8.8 graus, e o recente desastre natural no Japão nos mostraram como uma situação dessas pode afetar as empresas e a infra-estrutura de um país.
  • Antes de mais nada, um desastre dessa proporção causa danos imediatos na infra-estrutura crítica do país, afetando as redes elétricas, de telecomunicação (Internet e telefonia), no transporte e até mesmo na distribuição de água e esgoto.
  • Milhares de casas e de empresas ficaram sem energia elétrica no Japão, e mesmo cidades que não foram afetadas diretamente pelo tsunami estão sofrendo por conta do racionamento de energia. No caso de empresas, dependendo do ramo de negócio, vale a pena investir em sistemas próprios de energia, como no-breaks e equipamentos de geração de energia.
    • Há ainda o risco de desastre em cidades e empresas que estejam próximos a usinas elétricas - sejam usinas nucleares ou hidroelétricas.
    • Algumas usinas nucleares no Japão foram seriamente afetadas pelo terremoto e pelo tsunami, com risco de vazamento de material radioativo. Um acidente deste tipo pode afetar toda uma cidade ou região, obrigando o evacuamento de pessoas (isto é, clientes e funcionários) por tempo indeterminado, além de problemas ambientais e de saúde pública a médio e longo prazo.

  • Um desastre natural como o sofrido pelo Chile e pelo Japão afeta a infra-estrutura de telecomunicação do país, danificando equipamentos e rompendo cabos de comunicação. Mesmo em uma sociedade altamente conectada como no Japão, as operadoras locais reportaram problemas com disponibilidade dos serviços de comunicações, tanto na telefonia fixa quanto na celular. As operadoras de telefonia móvel tiveram seus serviços interrompidos em várias regiões do Japão devido aos danos na infra-estrutura, além de enfrentar congestionamento causado pela grande demanda de usuários. Embora o terremoto no Japão não tenha interrompido a comunicação com a Internet, alguns cabos submarinos foram afetados.
    • Os serviços de Internet na Ásia já foram interrompidos anteriormente devido a terremotos na região. Em 2009 um terremoto em Taiwan e deslizamentos submarinos causados ​​por um tufão cortaram os cabos de comunicação entre Taiwan e a China continental. Um terremoto em Taiwan em 2010 também danificou quatro cabos submarinos, interrompendo o acesso Internet por dois dias.
    • O Twitter, novamente, cumpriu um papel importante ao ajudar as pessoas a trocarem notícias sobre o terremoto e o tsunami. Assim como aconteceu no terremoto no Chile em 2010, a ferramenta se tornou uma poderosa aliada para ajudar as pessoas a encontrarem familiares desaparecidos e amigos, e obter o apoio das autoridades e da mídia.

  • Problemas com os funcionários: Um problema desta proporção afeta a disponibilidade de mão de obra para a indústria local. Diversos funcionários podem ser afetados direta ou indiretamente, seja pela falta de transporte, por problemas de saúde, ou mesmo por eventual morte.
    • Devido a devastação causada pelo terremoto e pelo tsunami no Japão, a população local tem sofrido pela falta de comida, combustível e de bens de primeira necessidade.
    • Além de tudo, há o fator psicológico: possivelmente a grande maioria dos empregados estão passando por diversos problemas pessoais, seja por perda de suas casas ou bens, ou mesmo problemas com familiares ou amigos. Isto impacta a motivação e a disposição para trabalhar.


No Chile, o terremoto em fevereiro de 2010 causou impacto em várias as empresas locais, principalmente a indústria (cuja atividade diminui 17,4% nos primeiros meses após o desastre), de geração de eletricidade (que caiu 10,5%) e de distribuição de energia eléctrica (que caiu 10,3%). Por outro lado, a atividade comercial cresceu: as vendas no varejo subiram 12,3% (um recorde nunca visto desde que o índice começou a ser medido, em 2004), e as vendas de supermercados subiram 9,3%.

Porém, o Japão é um país com economia muito mais relevante no mercado mundial do que o Chile (o país é a terceira maior economia mundial), o que torna mais significativo o impacto dos recentes desastres em sua economia. Por exemplo...
  • No primeiro dia de negócios após terremoto, a bolsa de Tóquio sofreu queda de 6,18%.
  • O terremoto de magnitude 8,9 que atingiu o Japão no dia 11/03 fez com que diversas fábricas de produtos de tecnologia fechassem suas portas ou paralisassem a produção. A Sony interrompeu a fabricação de seu console PlayStation 3 e do portátil PSP. A produtora dos games da série "Final Fantasy", Square Enix, teve seus servidores desligados por conta do racionamento de energia anunciado pela Tokyo Electric Power Company.
  • Os efeitos do terremoto e do tsunami no Japão poderão ser sentidos na indústria de telecomunicações nos próximos meses, pois o país possui alguns dos maiores fornecedores mundiais de silício, microchips e monitores. Além de potenciais danos às instalações de fábricas de eletrônicos, o fornecimento de energia e o transporte foram fortemente impactados. Consequentemente, o mercado mundial poderá sofrer a escassez e o aumento dos preços de componentes eletrônicos, como memórias, microcontroladores e peças de monitores.
  • Vários portos sofreram graves danos em consequência do terremoto e do tsunami e devem passar meses ou até anos inoperantes, o que deve causar prejuízos na ordem de US$ 3,4 bilhões por dia, devido ao cancelamento de embarques.


Empresas que possuem um plano de contingência ou de continuidade de negócios tem maiores chances de sobreviverem a uma situação crítica como um desastre natural, ou mesmo a problemas mais simples, como a falta temporária de energia elétrica. Um plano de continuidade de negócios (ou BCP, sigla para Business Continuity Plan) deve considerar as estratégias da empresa, os seus processos de negócio, sua organização e suas necessidades. Para ser efetivo, as empresas devem necessariamente testar e auditar o BCP periodicamente. É a melhor maneira de identificar os pontos críticos a serem cobertos, os prazos necessários para recuperação e quem são as pessoas-chave responsáveis pela recuperação da empresa em caso de emergência.

Para saber mais:

[cyber Cultura] Mapa Global da Internet

A empresa TeleGeography lançou recentemente a nova edição do seu Mapa Global da Internet (Global Internet Map), que mostra as redes de comunicação internacionais que ligam a Internet através das cinco grandes regiões do mundo.



O mapa mostra, por exemplo, a dissiparidade existente no tráfego golbal de dados. Enquanto o volume de dados trafegado através do conjunto de links de comunicação que conectam a América do Sul com o resto do mundo (3.567 Gbps de dados) representa quase um terço dos links de comunicação com os Estados Unidos e Canadá, ele também significa metade dos links com a Ásia e quase dez vezes o volume de dados trafegado para a África.

março 04, 2011

[Segurança] BCP, Moonageddon e Zoombies

Quais tipos "incomuns" de potenciais ameaças à segurança uma organização deve considerar quando for criar ou revisar o seu Plano de Continuidade de Negócios (ou BCP, de Business Continuity Plan)?

Há pouco tempo atrás, várias empresas tiveram que criar medidas emergenciais para evitar um impacto severo em seus negócios e manter suas atividades operacionais devido à gripe aviária e a gripe suína. As empresas estavam preocupadas com o fato de que seus funcionários não estariam disponíveis para trabalhar, devido à infecção por gripe - ou, na pior das hipóteses, se as empresas tivessem que substituir os trabalhadores que eventualmente morressem devido a essas doenças. No entanto, uma pandemia não afeta apenas os funcionários da empresa - ela pode ter um impacto em todo o país e na economia como um todo. Os parceiros de negócio e os clientes também podem não ser capazes de trabalhar ou de consumir, devido à doença ou, em um caso ainda pior, se as autoridades solicitarem que toda a população não deixe suas casas em um esforço dramático para evitar a proliferação da doença. O governo do México fez isso durante a crise da gripe suína.

Como uma empresa poderia estar preparada para trabalhar em uma situação em que sua força de trabalho, seus parceiros comerciais e seus clientes simplesmente desapareceram? E se o seu administrador de sistemas foi mordido por um lobisomem ou se ele se transformou em um zumbi? Será que a sua empresa também tem que ter um Plano de Contingência contra Lobisomem ou um Plano de Contingência contra Zumbis?

E com relação as catástrofes naturais? Tenho certeza que a maioria das empresas a nossa volta tem um plano para lidar com inundações, terremotos, tornados e assim por diante, dependendo das ameaças específicas existentes na região geográfica em que atuam. Mas como as empresas devem se preparar contra ameaças estranhas como um "Moonageddon" (talvez eu deva traduzir isso como "Luagedon") ? A sua empresa está preparada para enfrentar uma possível catástrofe natural causada pelo simples fato de que a Lua estará mais próxima da Terra do que o habitual?

Vamos lá, na maioria das vezes, todas essas histórias estranhas cairão nas categorias de ameaça que a empresa já deveria ter incluído em seu BCP. Gripe Suína e ataque de lobisomem cai no mesmo tipo de risco: uma ameaça externa que afeta o mercado de trabalho ou a disponibilidade das pessoas para fazer negócios. Um terremoto ou um "Moonageddon" afeta a disponibilidade do país, de suas infra-estruturas críticas (como transporte, água, luz, etc). Um plano de contingência maduro vai ajudar sua empresa a continuar seus negócios mesmo com todos esses cenários possíveis (ou impossíveis).

março 02, 2011

[Segurança] Cadê o Klaus?

Este vídeo de conscientização, chamado Where's Klaus, mostra, de uma forma muito criativa, como seria se os amigos virtuais dos seus filhos visitassem a sua casa. A idéia é questionar porque os pais não devem proteger os seus filhos quando eles estão online da mesma forma que tentam protegê-los no mundo real. Cabe aos pais orientar seus filhos sobre os perigos que podem existir ao se relacionarem com estranhos no mundo virtual, como quando eles visitam sites de redes sociais ou bate-papos na Internet.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.