[Segurança] Glossários de Segurança da Informação

Os glossários são ótimas referências quando precisamos validar alguma definição ou um conceito, mas também podem ser úteis como forma de aprendizagem.

Para quem trabalha na área de segurança, há alguns glossários que podem ser bem úteis:

• RFC 4949, Internet Security Glossary, Version 2 (substituiu a RFC 2828, que era a versão original deste glossário)
• O pessoal do NIST mantém um glossário bem extenso: Glossary (Versão em PDF)
• RFC 1208, A Glossary of Networking Terms
• Glossário da Cartilha de Segurança para Internet do Cert.br
• Glossário técnico da ICP-Brasil
• Glossário de Segurança da Microsoft
• Glossário: Segurança (TechNet)
• Glossário de segurança na Internet da Norton (Symantec)
• Glossário de Segurança da Informação (GSI) (Portaria GSI/PR Nº 93, de 18 de outubro de 2021)
• ISO/IEC 27000:2018 - Overview and vocabulary (online) (.zip)
• Glossário da Internet (Safernet)
• Glossário (Kaspersky)
• Glossary of Privacy Terms (IAPP)
• Glossary of Cybersecurity Terms (Bugcrowd)

Divirtam-se.

OBS: Post atualizado em 21/12/18 e nos dias 17/08 e 04/10 de 2022.

[Carreira] Venda Consultiva

Este é um ótimo vídeo, bem humorado, sobre como conduzir uma conversa com o cliente para fazer uma venda consultiva:




O vídeo mostra uma abordagem ao cliente chamada "venda consultiva", aonde o vendedor não apenas oferece um produto, mas discute com o cliente seus problemas e como resolvê-los. Na venda consultiva, o vendedor assume o papel de um especialista no assunto, que busca identificar as necessidades do cliente e, assim, consegue apresentar o seu produto ou serviço como a solução para o problema identificado. O vendedor não quer só vender, também quer ajudr o cliente e construir um relacionamento com base na confiança.


Neste vídeo, por exemplo, o vendedor faz diversas perguntas para o cliente (o Papai Noel) direcionando-o, de uma forma lógica, a ele mesmo deduzir quais são os seus problemas e dificuldades. Ou seja, o vendedor mostrou a situação atual do cliente, seguiu um roteiro mental para direcionar a conversa e desenhar os problemas do cliente, e fez o próprio cliente perceber que tinha problemas.

[Segurança] Chapa quente para os grandes varejistas nos EUA

As coisas não andam boas para as grandes lojas americanas: Além da Target e Neiman Marcus, especula-se que outras redes de lojas tenham sido invadidas recentemente.

Em dezembro/2013 a Target, uma das maiores redes de supermercados nos EUA, anunciou que teve sua rede invadida e foram roubados dados de cartões de crédito de mais de 40 milhões de clientes e dados pessoais de 70 milhões de clientes. Neste mês outra rede de lojas, a Neiman Marcus, também confirmou que foi invadida.

Comentário digno de nota: segundo o site Bank Info Security, enquanto a Target tem sido transparente e fez um grande esforço de comunicação para esclarecer os problemas causados pelo roubo de dados, o Neiman Marcus, por sua vez, pouco disse sobre o assunto e não deu nenhum detalhe sobre o incidente que sofreu.

Recentemente, surgiram rumores de que outras seis redes varejistas nos EUA também podem ter sofrido invasão e roubo de dados, provavelmente incluindo uma grande rede de hotéis e outra de restaurante.

Acidente? Negligência? É muito delicado apontar o dedo para alguém, mas não custa lembrar que há poucos anos atrás aconteceu um problema semelhante nos EUA: em 2007 uma gang liderada por Albert Gonzalez invadiu várias lojas e roubou milhões de dados de cartões de crédito, incluindo da TJX e, pasmem, da própria Target (de novo!?).

Minha avó dizia: "Errar é humano, mas persisir no erro é burrice". Será que este ditado ainda é válido na era da Internet?

[Segurança] O perigo está dentro de casa

Três notícias recentes mostram a evolução da computação para uso pessoal e doméstico e, ao mesmo tempo, o crescimento dos riscos que essas tecnologias trazem para todos nós:

• A Intel anunciou o Edison, um mini PC do tamanho de um cartão de memória SD, com um processador de 2 cores e comunicação Wi-Fi e Bluetooth integradas, que deve ser disponibilizado para venda em meados desse ano;
• O pesquisador britânico Jason Huntley descobriu que SmartTVs da LG espionavam os clientes, coletando dados de uso e enviando para a LG mesmo quando esta função estava desabilitada. Estas informações são utilizadas para exibir vídeos de anúncios aos donos de TV. Para piorar, estas informações são enviadas para a LG em texto claro (sem criptografia) toda vez que o usuário muda de canal;
• A empresa Proofpoint anunciou a descoberta de uma geladeira conectada a Internet que fazia parte de uma botnet e era utilizada para enviar SPAM. Esta botnet é formada por mais de 100 mil equipamentos infectados e incluía computadores, roteadores domésticos, media centers e Smart TVs - ou, como destacou a reportagem da BBC, era direcionada a equipamentos que fazem parte da "Internet das coisas". Em poucas semanas (entre 23/12/2013 e 06/01), a botnet enviou cerca de 750 mil mensagens, 25% das quais enviadas por dispositivos domésticos - equipamentos com processadores e servidores web embarcados - e mal configurados (incluindo senhas default).

Estas notícias mostram que a computação está invadindo o nosso dia-a-dia, através dos aparelhos domésticos e, em breve, de pequenos equipamentos que podem ser instalados em qualquer lugar. Mas, ao mesmo tempo que a tecnologia evolui e nos cerca cada vez mais, estas novas aplicações precisam ter uma preocupação de segurança por parte dos desenvolvedores e dos usuários finais, para evitar que elas sejam exploradas por usuários maliciosos ou comprometam nossa privacidade.

[Segurança] Eventos de Segurança no primeiro semestre de 2014

Segue abaixo uma pequena lista com os eventos de segurança que eu considero serem os principais e mais importantes, e que acontecerão no primeiro semestre deste ano.

A agenda de eventos deste ano promete ser bem apertada, principalmente por conta da Copa do Mundo. No primeiro semestre há um complicômetro a mais: o Carnaval será na 1a semana de Março, espremendo ainda mais a agenda do pessoal.

• Janeiro/2013
  
  • 27/01 a 02/02: Campus Party - Dentre as diversas trilhas temáticas do evento, que tem palestras o tempo todo, há uma trilha específica sobre segurança e redes (batizada de Arquimedes), que é organizada pelo pessoal do CERT.br e conta com palestras de diversos profissionais.
• Março/2013
  
  • 27/03: Security Leaders Forum - Versão "mini-me" do Security Leaders no Rio de Janeiro, que é a versão "fora de São Paulo" e com apenas um dia de duração. Segue o formato original do evento: uma série de debates moderados pela Graça Sermoud com muita gente no palco, pouco tempo para o pessoal falar e pouca interação da platéia. Inclui também uma pequena área de expositores;
• Abril/2013
  
  • 11 a 12/04: 9ª edição do Workshop SegInfo, no Rio de Janeiro. Com o tema Segurança Ofensiva, os ingressos desta edição serão disponibilizados apenas para clientes, colaboradores e convidados dos patrocinadores;
  • 11 a 12/04: CryptoRave - evento gratuito que é uma variação da CryptoParty, cujo foco principal é no uso de ferramentas básicas de segurança e na privacidade na rede. O evento será das 19h do dia 11/04 (sexta-feira) até a noite de 12/04 (Sábado) no Centro Cultural São Paulo. A CryptoParty foi bem legal, com palestras e oficinas bem interessantes e um público diversificado - por isso eu acredito que vale a pena dar uma passada na CryptoRave;
  • 13/04: Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) - Esta será a oitava edição da BSides São Paulo, uma mini-conferência sobre segurança da informação  e cultura hacker que acontecerá na véspera do You Sh0t the Sheriff. A conferência é gratuita, com diversas atividades programadas para acontecer simultaneamente: palestras, oficinas, competição de CTF, debate e o nosso "churrascker".
  • 14/04: You Shot the Sheriff (YSTS) - Um dos eventos de segurança mais importantes no Brasil, o YSTS é um evento que preza pela excelente qualidade das palestras e pelo clima descontraído, principalmente por conta do open-bar no período da tarde. A maioria dos convites são distribuídos pelos patrocinadores para um público restrito - mas os organizadores também colocam a venda uma pequena quantidade de ingressos.
• Maio/2013
  
  • 06/05: Security Leaders Forum - Versão "mini-me" do Security Leaders em Brasília. Segue o formato original do evento, com apenas um dia de duração: uma série de debates com uma pequena área de expositores;
  • 14 e 15/05: GTS-23 e GTER-37 - evento organizado pelo pessoal do Nic.br, que acontece duas vezes por ano. Tem foco técnico em gerência de redes (GTER) e Segurança (GTS), com palestras de bom nível. Esta esição será realizada em Itajaí-SC, na Univali, mas também será transmitida ao vivo pela Internet. Nesta edição, o GTS será apresentado somente na tarde do segundo dia do evento (15/05);
  • 19 e 20/05: CNASI Brasília - Edição regional do CNASI que ocorre em Brasília (DF). Possui duas trilhas de palestras com foco em auditoria, gestão e segurança, e inclui uma área com expositores;
  • 31/05: Tosconf - "desconferência" anual organizada pelo Laboratório Hacker de Campinas (LHC). É um evento que acontece na sede do LHC com palestras e oficinas. Não tem a pretensão de ser um grande evento, mas pela qualidade das palestras e pelo pessoal que frequenta, merece muito a nossa visita. Imperdível.
• Junho/2013
  
  • 04 a 06/06: CIAB - O CIAB é um evento focado na venda de soluções tecnológicas para o mercado financeiro, variando entre servidores, caixas aletrônicos, equipamentos para contagem de notas, segurança de agências, etc. Mas é um evento aonde as principais empresas de segurança também participam, com stands grandes e palestras para atrair clientes dentre os bancos brasileiros. Tem uma área de exposições enorme. Se você trabalha no setor financeiro ou em algum fornecedor de soluções de segurança, a presença é obrigatória;
  • 15/06: Co0L BSidesSP Edição #nãovaitercopa - edição especial da Co0L BSidesSP, com o objetivo de aproveitar um domingo de jogos da Copa do Mundo para nos reunirmos em torno de palestras e oficinas sobre segurança, além de jogos de tabuleiro e uma pequena "BSides 4 Kids".

Infelizmente já tivemos uma baixa este ano: a BHack Conference anunciou que não vai acontecer este ano por conta da Copa do Mundo. Eles normalmente realizam o evento em Junho, e nesta época do ano os custos já se mostraram proibitivos por conta da Copa.

Para ver uma lista mais completa com todos os eventos de TI (e segurança) no Brasil e os principais eventos no mundo, eu recomendo o site Agenda TI e o site Security Phresh. Além disso, o IDETI, que organiza o CNASI, mantém em seu site uma lista com todos os eventos que eles irão realizar este ano.

Se eu esqueci de algum evento brasileiro importante, me avisem.

Notas:

• Até o momento vários eventos que tradicionalmente acontecem no primeiro semestre ainda não divulgaram suas data para 2014: o GTS (estão buscando uma sede provavelmente o evento será entre 02 de abril e 17 de Maio), CNASI Rio de Janeiro e o CNASI Sul.
• Post atualizado em 28/03, 29/04 (com informações sobre a Tosconf), 02/05 (incluí o GTS-23 e GTER-37) e 13/6 (com informações póstumas sobre o CIAB e sobre a Co0L BSidesSP #nãovaitercopa).

[Segurança] Canais de vídeos sobre Segurança

Aproveitando um post no blog do Coruja de TI, segue uma pequena lista com os canais mais conhecidos com vídeos de segurança, a maioria no YouTube:

• SecurityTube – Provavelmente o canal mais conhecido de todos;
• J4vv4d - O meu favorito. Os vídeos são curtos e bem humorados;
• Defcon - Canal da Defcon, com as palestras do evento;
• CCC - Canal do Chaos Computer Club (CCC), com as palestras do Chaos Communication Congress;
• Site do Deviant: Diversos vídeos sobre Lockpicking;
• Secure Ninja TV - canal de uma empresa americana de treinamentos e consultoria, mas que mantém um canal com vídeos interessantes;
• Hak5;
• IBM Security - o canal da IBM, além de fazer propaganda da "big blue", tem vídeos interessantes sobre o mercado e algumas entrevistas com CSOs;
• 5 minutos de segurança - Único representante brasileiro nessa lista, o blog saiu do ar em Janeiro de 2012 :( Os vídeos curtos com dicas e notícias de segurança, entretanto, continuam disponíveis online. Mas os vídeos, na verdade, eram apenas gravações da voz do autor, sem imagens nem cenas de vídeo propriamente dito.

Os canais acima estão em Inglês, o que mostra como ainda é pobre a produção de conteúdo de qualidade em Português.

[Segurança] To Protect And Infect - 30c3

Durante a trigésima edição do Caos Communication Congress (CCC - ou, nesse caso, 30c3), que aconteceu no final de 2013 em Hamburgo, Alemanha, o Jacob Applebaum fez uma excelente apresentação sobre a máquina de espionagem montada pela NSA, chamada "To Protect And Infect - the militarization of the Internet - Part II" (os slides estão disponíveis aqui).




Ele disse várias coisas interessantes, como:

• A NSA está tentando "redefinir" o termo vigilância: para eles, a vigilância não ocorre quando capturam os dados das pessoas (que é o que nós normalmente entendemos por vigilância - ou espionagem). Na visão da NSA, ela só ocorre quando um analista acessa esses dados pessoalmente, depois que já foram coletados, armazenados e analizados por softwares-robôs;
• A lei para nós, cidadãos, não é a mesma que vale para a NSA: a NSA montou um grande esquema de captura global de dados, chamada Turmoil, que lhe permite capturar dados de praticamente todos os 7 bilhões de habitantes do planeta impunemente. Mas, por outro lado, se alguma pessoa tentasse fazer o mesmo, certamente seria condenada a prisão pelas leis americanas - mesmo que fizesse algum esquema de captura de dados para fins de pesquisa de segurança;
• Essa diferença de "balanço" (há algo que o governo pode fazer e o resto de nós não pode) é o que mostra que há algo de errado nessa história toda;
• Ele deu grande destaque a várias operações e programas da NSA focados em atacar, invadir e injetar informações nos alvos;
• Sobre as táticas de invasão da NSA, muitas vezes baseados em vulnerabilidades e backdoors em produtos, ou até mesmo hardwares especializados, Jacob chamou de um constante esforço em "sabotar até mesmo empresas americanas e a ingenuidade do povo americano";
• A NSA pode armazenar pelo menos 15 anos de informações, incluindo o contaúdo e metadados das comunicações interceptadas;
• Ele citou vários projetos da NSA usados para automatizar o ataque, coleta e análise de dados, incluindo o Turmoil (os sensores passivos de captura de dados), Turbine (o injetor de pacotes), o QFIRE (projeto que inclui os dois anteriores para invadir routers e outros equipamentos), e o sistema MARINA, um dos vários que mantém o conteúdo completo e o metadado das informações capturadas e análise dos contatos (alvos, amigos, contatos) e identificadores (os perfis e e-mails que você tem) - além da família QUANTUM (ex: QUANTUMTHEORY é como eles chamam o "arsenal" de zero-day exploits) e o SOMBERKNAVE, um implante de software que permite a NSA enviar pacotes pela interface de rede wireless do computador invadido, mesmo que ela esteja desabilitada;
• Jacob chamou isso tudo de "militarização da Internet", ou seja: estamos sob algum tipo de lei marcial, ditada pelo governo americano, fooi usada uma estratégia de enfraquecer as tecnologias de Internet para facilitar a vigilância, deixando a todos vulneráveis, e isso tudo foi feito pelo governo a nossa relevância, em nosso nome mas sem nosso consentimento (inclusive sem conhecimento dos congressistas americanos);
• A NSA tem mais poder do que qualquer governo no mundo;
• Ele apresentou um conjunto de implantes de software e hardware, utilizados pela NSA para invadir diversos equipamentos, como roteadores, firmware de hard drives SIM Cards e o iPhone, da Apple, além de conseguir gravar estes implantes na BIOS do computador ou no firmware de hard drives, algo que nós sequer temos ferramentas para detectar;
• Ele dá uma dica para detectar se uma rede foi comprometida por um malware da NSA: uma das formas de exfiltar os dados é enviá-los através de conexões UDP criptografadas pelo algoritmo RC6;
• O fato da NSA dizer que tem muita facilidade de invadir os iPhones (isto é, o iOS) mostra que eles não tem pudor em manter informações críticas (isto é, vulnerabilidades) e até mesmo sabotar o software de empresas americanas. A mesma crítica é deita pelo fato da NSA conseguir invadir servidores HP e DEL: em vez de orientar estas empresas a corrigir suas vulnerabilidades, a NSA prefere explorá-las em benefício próprio.

A apresentação do Jacob Applebaum abordou um "catálogo" interno da NSA que mostram as técnicas de invasão utilizadas para alguns produtos específicos, conforme denunciado originalmente pela revista Spiegel. O site Cryptome publicou alguns dos documentos que fazem parte deste catálogo, que segundo a imprensa, tem 50 páginas e foi criado pela divisão da NSA chamada "ANT" (Advanced Network Technology), especializada em obter acesso a produtos de mercado como smartphones, computadores, roteadores e firewalls (incluindo produtos da Juniper Networks, Cisco, Huawei, HP e Dell. Os agentes da NSA só precisam olhar nesse catálogo e solicitar a ferramenta (software ou dispositivo de hardware) para invadir o equipamento ou software que precisam ter acesso para suas interceptações.

Várias palestras do 30C3 abordaram o tema da espionagem governamental e a NSA (como esta, esta, esta e esta). Outro painel bem interessante do 30C3 foi do Jacob Applebaum com o Julian Assange (remotamente via Skype, mas não conseguiu falar muito por problema de conexão) e a Sarah Harrison (advogada do Wikileaks), chamado "Sysadmins of the world, unite!".

[Cidadania] Denúncias de fraudes no Sindpd em São Paulo

Todos os trabalhadores brasileiros tem que pagar uma taxa anual de contribuição sindical, que é uma taxa estabelecida por lei e que beneficia os sindicatos. Mas, em São Paulo, os profissionais de TI tem uma taxa adicional: todos que de alguma forma são afiliados ao Sindicato dos Trabalhadores em Processamento de Dados e Tecnologia da Informação de São Paulo (Sindpd) tem que pagar uma taxa de "contribuição assistencial", que é uma taxa mensal. Os descontos são feitos diretamente na folha de pagamento e o dinheiro deveria ser revertido em benefícios para os trabalhadores afiliados aos sindicatos.

Mas uma reportagem da TV Record feita no ano passado mostrou várias denúncias de como o dinheiro do Sindpd de São Paulo provavelmente é desviado pelos dirigentes do sindicato.


Para evitar essa taxa mensal de "contribuição assistencial", somos obrigados a assinar e entregar pessoalmente uma carta de oposição, uma verdadeira "via crucis" que repete todo ano.

Seguem as informações para a entrega da carta de oposição a contribuição de 2014:

• Notificação do Sindpd/SP direcionada aos empregadores que explica um pouquinho sobre esta contribuição
• Modelo da Carta de Oposição à Contribuição Assistencial de 2014
• Prazo para entrega: 06/01/14 a 15/01/14, de segunda a sábado, das 9h as 17h
• Local: R. Comendador Roberto Ugolini, 152, Moóca, São Paulo, SP (sim, novo endereço!)
• Para saber mais, visite o site do Sindpd/SP.

Atualização (16/01/2014): Através do Facebook, recebi uma mensagem do Sr. Emerson Morresi, que se identificou como secretário para Educação e Cultura do Sindpd-SP. Ele me passou a seguinte mensagem referente a matéria da Record postada aqui no blog: "Compreendo o primeiro impacto que ela deva causar nas pessoas, mas ressalto que ela foi completamente descreditada, estando hoje o Sindpd completamente limpo perante o Ministério Público Federal, Estadual, Polícia Federal e Polícia Civil, contudo a imagem é a parte mais difícil de construir e também limpar, por isso, ainda em 2014 vez ou outra essa matéria ressurge." Fiz uma pesquisa rápida no Google e não encontrei nenhuma notícia mais recente sobre este assunto, logo não tenho como saber qual lado tem a razão, a menos que eu tente ter acesso ao inquérito, algo que foge totalmente do propósito do meu blog (que não é nem pretende ser um blog jornalístico).

[Segurança] Engenharia reversa dos tokens de autenticação

Recentemente, o Thiago Valverde publicou um artigo em seu blog, chamado "Reverse engineering my bank's security token", em que descreve como ele fez a engenharia reversa nos tokens de autenticação utilizados para acesso ao Internet Banking do Bradesco. Rapidamente o artigo foi tirado do ar, mas é possível ver uma cópia dele no cache do Google.

Conforme descrito em seu artigo original, o Thiago descobriu como funciona a versão para celulares Android do token do Bradesco e, com base no algoritmo do token e em uma chave criptográfica armazenada nele, o conseguiu criar um clone de seu token utilizando um Arduino, como mostra o vídeo abaixo.



Existe um algoritmo padrão de mercado para criar os tokens OTP ( "One Time Password"), chamado OATH (sigla criada a partir de "Open Authentication") - que, inclusive, é um padrão que tem sua própria RFC. Desde que foi criado, muitos fabricantes adotaram este padrão, embora alguns fabricantes mais antigos e tradicionais de tokens (como RSA e Vasco) ainda utilizem seus algoritmos proprietários.

O padrão OATH utiliza um algoritmo aberto para geração das senhas, cuja especificação está disponível no próprio site do projeto: é, basicamente, um algoritmo que utiliza uma "semente" única (um valor único para cada token), uma espécie de contador (que pode ser baseado em tempo, isto é, utilizando um relógio para medir o tempo desde um momento inicial) e combina isso tudo utilizando um algoritmo de hash criptográfico (os mesmos utilizados para fazer assinaturas digitais), o HMAC-SHA-1.

Ou seja, não há nenhum mistério e, muito menos, nenhuma ciência oculta no funcionamento destes tokens, que são amplamente utilizados para redes privadas de empresas (VPNs) e acessos a sites de Internet Banking em todo o mundo. No final das contas, independente do algoritmo utilizado, o segredo e a segurança dos tokens segue o mesmo princípio dos algoritmos de criptografia: está na chave, ou seja, na semente única que serve de base para cada token funcionar.

[Cidadania] Você sabe com quem está falando?

Para começar o ano, nada melhor do que refletirmos sobre qual é o nosso papel no universo. E, para isso, há uma excelente (e curta) palestra do filósofo e pop-star, Mario Sergio Cortella, em que ele discute o nosso tamanho frente o universo inteiro.

Segundo estimativas da ciência:

• A ciência calcula que, em nosso universo, há cerca de 200 bilhões de galáxias (200.000.000.000);
• Uma delas é a nossa, a Via Láctea, com "apenas" 100 bilhões de estrelas;
• Uma dessas estrelas é a nossa, uma estrela anã que chamamos de Sol;
• Em volta dessa estrelinha, giram 8 planetas e um deles é o nosso, a Terra (já descontado o coitado do Plutão);
• Estima-se que no nosso planeta haja por volta de 30 milhões de espécies, mas apenas 3 bilhões de espécies foram classificadas até hoje;
• Uma dessas espécies somo nós, o Homo Sapiens, que em 2007 (data desse vídeo) tinha 6,4 bilhões de indivíduos (agora, em 2014, cerca de 7,2 bilhões de pessoas).

Resumindo: tu és um indivíduo dentre os outros 7 bilhões de indivíduos, membro de uma dentre as 30 bilhões de espécies que habitam um planetinha chamado Terra, que é um dos 8 planetas que giram em torno de uma estrelinha chamada Sol, que é uma dentre outras 100 bilhões de estrelas que compõe uma única dentre as 200 bilhões de galáxias dentre os universos possíveis.

Veja como somos importantes!!! E, mesmo assim, tem gente que acha que o universo gira em torno do umbigo dela!

Por isso, pense bem na próxima vez que você achar que o seu jeito de fazer as coisas é a única correta, que a sua cor de pele ou a sua religião é a única correta, que o mundo gira em torno das suas idéias e vontades.



O vídeo acima, em particular, é um pouco velho, de 2007, mas há vários outros vídeos desta mesma palestra no YouTube.