[Geek] Imagens do espaço

Eu adoro ver imagens de missões espaciais, de planetas e, enfim, do espaço em geral. Acho que quase todo mundo é assim, né? Me fazem pensar na grande aventura que elas representam para toda a humanidade. E, afinal de contas, que criança nunca sonhou em ser um astronauta?

Para isso, nada se iguala às imagens disponibilizadas pela NASA. Recomendo visitar periodicamente a "Image of the Day Gallery" deles.


A partir deste site, é possível navegar por repositórios de centenas de imagens, dos mais variados temas (missões específicas, imagens de astros, da terra, etc).

Uma galeria com imagens muito interessantes é a GRIN - "Great Images in NASA", que contém fotos históricas e antigas - incluindo algumas do programa espacial russo, a famosa foto da "pegada" na lua tirada na missão Apolo 11, as duas fotos que coloquei neste post, etc.

[Segurança] MythBusters versus um fingerprint scanner

No YouTube há um vídeo muito legal, dos MythBusters tentando "hackear" um fingerprint scanner:



Provavelmente motivados pelos filmes de Hollywood (como "As Panteras"), neste episódio eles ficam tentando burlar um leitor biométrico, de uma forma bem divertida.
Infelizmente não há informações sobre o fabricante dos dispositivos testados nem como estavam configurados. Afinal, isto pode ter influenciado no resultado. Um leitor biométrico de baixa qualidade e/ou mal configurado pode aceitar praticamente qualquer coisa !
Houve, recentemente, uma bela discussão nos blogs do Fernando Cima e do André Fucs sobre esse assunto.

[Segurança] Material para Conscientização de Usuários

Em setembro deste ano aconteceu a "Global Security Week". Embora este evento não tenha sido muito divulgado no Brasil, seu propósito é representar uma oportunidade para as empresas e entidades promoverem discussões e campanhas de conscientização em Segurança.
Vale uma visita na página "Awareness materials", que contém várias apresentações para download gratuito. A maioria delas aborda o Roubo de Identidade. Embora tenha pouca variação no assunto, o material é interessante e pode ser utilizado em campanhas de conscientização - portanto vale a pena o seu download.
A "Global Security Week" ocorre anualmente, todo mês de setembro. Na página de FAQ deles está indicada a data em que ocorrerá nos próximos anos.

[Cyber Cultura] Os números da Internet

O portal Teleco mantém uma página com as principais estatísticas sobre quantidade de usuários de Internet, Domínios e Hosts no Brasil.

Por exemplo, alguns dados interessantes que constam nesta página são:

• Usuários de Internet no Brasil: 32,0 milhões (PNAD 2005)
• O Brasil tem 6 milhões de pessoas que acessam a internet exclusivamente de locais públicos pagos ou gratuitos (pesquisa “Internet Pública” Ibope/NetRatings realizada em julho de 2006)
• Em set/06 haviam 13.639.042 de usuários Internet ativos (IBOPE/Net ratings)
• Em out/06 haviam cerca de 1.006.000 domínios .br

Além dos números, possui links para alguns dos sites que fornecem esse tipo de informação.

[Segurança] Segurança Física

Pesquisando recentemente sobre segurança física, achei um documento muito interessante chamado "SITE SECURITY GUIDELINES FOR U.S. CHEMICAL INDUSTRY".

Além de conter muita informação sobre segurança física, também tem alguns exemplos de políticas de segurança.

Há também uma página interessante entitulada "Construction of Cryptographic Operation Site" da autoridade indiana para controle de autoridades certificadoras (CCA), que possui também muitas informações sobre segurança física. As autoridades certificadoras, em todo o mundo, devem estar hospedadas em um ambiente extremamente protegido como uma forma de garantir a segurança e confiabilidade nos serviços de certificação (e armazenamento de chaves). Por exemplo, um eventual comprometimento de uma chave raiz da AC iria permitir facilmente a criação de certificados digitais falsificados. Portanto, toda a confiabilidade em seu serviço seria comprometida.

[Internet] Internet Research Reports

Achei recentemente o site Security Space, que possui vários relatórios gratuitos e muito interessantes sobre o uso da Internet (fabricantes e tecnologias), tais como: tipos de servidores Web, fornecedores de certificados SSL, ferramentas de editoração para Web mais utilizadas, linguagens de programação em Websites, etc

Estes relatórios estão na página "Research Reports".

Estes relatórios são mensais, e podem ser muito úteis de vez em quando.

O site possui várias outras informações, notícias e serviços relacionados a Segurança. Mas, nada melhor do que obter algumas estatísticas gratuitamente !

[Segurança] Crimeware

O Anti-Phishing Working Group (APWG) lançou recentemente, em conjunto com o "US Department of Homeland Security", um relatório muito interessante sobre o que é o "Crimeware", quais são as técnicas e as tendências, chamado "The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond".

"Crimeware" é um termo utilizado pra designar qualquer atividade ilegal realizada através de softwares, com objetivo de obter ganhos financeiros para o distribuidor do software. Isto inclui os "keyloggers" (e os "screenloggers"), os trojans, os rootkits e vários outros. O relatório fala sobre o que eles são, como se propagam, se instalam, como são usados e passa algumas dicas de como prevení-los.

[Segurança] Cartilha de Segurança para Internet

O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), com o apoio do Comitê Gestor da Internet publicou recentemente a versão 3.1 da Cartilha de Segurança para Internet, que agora passou a ser editada também em um formato de livro.

A cartilha está disponível gratuitamente no site http://cartilha.cert.br/ e tem um conteúdo excelente, completo, maduro, de grande valia para os profissionais de segurança e usuários em geral. É uma boa opção para uso em treinamentos e atividades de conscientização de usuários.

O CERT.br tem feito um trabalho excelente com a cartilha. Ela foi criada em 2000, e desde então tem evoluído bastante, em seu conteúdo e apresentação. No site

[segurança] Carreira em Segurança

O amigo Sérgio Dias publicou há um tempo atrás um texto muito completo em seu Blog sobre Carreira do Profissional de Segurança.

Em seu texto, ele aborda o mercado brasileiro de segurança, comenta sobre as principais certificações existentes (e quais são mais valorizadas) e dá dicas de como se manter atualizado (sites, livros, etc). O texto está bem feito e consistente.

Parabéns, amigo.

[segurança] Conscientização de Usuários

Um dos aspectos mais importantes de um programa de segurança corporativo é, justamente, obter a conscientização e comprometimento dos usuários. Os usuários finais são os alvos mais fáceis de ataques, devido a pouca informação que normalmente possuem sobre tecnologia e os riscos de segurança existentes.

Atualmente existem várias empresas e ferramentas que auxiliam na elaboração e implantação de um plano de conscientização (em inglês, "security awareness"). Isto deve envolver treinamentos, palestras e campanhas periódicas, porém com o cuidado de não serem repetitivas nem perderem o descrédito junto aos usuários.

Nesse segmento, há algumas companias e soluções que acredito que merecem um destaque, tais como:

• Existe um screensaver gratuito, bem simples, mas que pode ser customizado em www.code.ae/projects/scr (vi essa dica no blog do amigo Wagner Elias)
  
• No site da empresa Security Awareness Inc. também tem muito material de conscientização bem feito. Embora seja em inglês, acho que vale a pena dar uma olhada no screensaver demo deles ("free demo version") e nos modelos de posters e banners (como o utilizado aqui) como fonte de inspiração. Visite também a página com os ítens gratuitos ("freebies").
  
• Uma opção nacional de screensaver de segurança é o safeboard
  
• Eu mesmo já utilizei o gibi de segurança da "Qualidade em Quadrinhos"

Além das citadas acima, existem várias ferramentas que podem ser utilizadas para manter uma comunicação e conscientização com os usuários, tais como:

• Intranet de Segurança (acho importante como repositório de informações e para consulta)
  
• pop-ups na Intranet para chamar a atenção para campanhas
  
• banners na intranet
  
• bulletin boards, para permitir a troca de idéias e informações
  
• blogs
  
• mailing interno, periódico, divulgando novidades, cuidados e notícias
  
• meio de canal (e-mail ou formulário web) para receber reclamações, dúvidas, etc
  
• padronizar fundo de tela e/ou screensavers dos computadores
  
• material de campanha tradicional, tal como posters, brindes, adesivos, mouse pad, etc

Também é comum ver empresas criando campanhas como "Dia da Segurança", "Dia do [Anti-]Vírus", etc.

O importante é saber que cada ferramenta de comunicação tem um enfoque diferente e nenhum deles deve ser usado em demasia, caso contrário o usuário passa a se aborrecer e ignorá-lo. O ideal é criar um planejamento estratégico das ações de conscientização e definir uma mensagem diferente para ser comunidada por cada meio, com um intervalo de um ou dois meses entre cada ação.

Por exemplo, num mês você divulga sua política por mailing e pop-up, noutro mês faz a campanha do dia internacional de segurança com banner na intranet, etc...

Há um material muito bom do NIST, de 2003, chamado "Building an Information Technology Security Awareness and Training Program" e deve servir de referência para quem deseja elaborar um plano de conscientização de segurança. Eles também possuem uma página específica sobre "Awareness, Training & Education" que vale a visita.