Attention / Atenção
This blog represents my own view points and not of my employer, Amazon Web Services
Este blog representa meus próprios pontos de vista e não do meu empregador, Amazon Web Services
segunda-feira, outubro 30, 2006
Quem sou no Google
Computação Forense
No dia 25 ministramos uma palestra intitulada: Resposta a Incidentes de Segurança: Você está preparado?
O objetivo principal da palestra foi apresentar aos alunos do Curso de Ciências de Computação as boas práticas e fases recomendadas para efetuar uma Resposta a Incidente de Segurança, desde as ações "Pré-incidente" com a preparação do ambiente tecnológico, criação de processos e interação com outras áreas para a criação de um Time-de-Resposta a incidentes até boas práticas para a fase de resposta propriamente dita, contemplando-se a coleta de evidências, análise e também os aspectos jurídicos.
Esse encontro foi muito interessante uma vez que possibilitou aos futuros profissionais de diferentes cursos a integração e discussão sobre um assunto atual e importante para a sociedade como um todo.
No dia 26 tive o privilégio de participar de uma mesa redonda, onde foram tratados diversos assuntos relacionados a incidentes de segurança e análise forense. Novamente com a participação de membros dos cursos de Direito e Ciência da Computação da Faculdade de Jaguariúna. Entre outros temas abordados posso destacar:
- Crimes mais comuns na Internet.
- Como garantir integração entre técnicos e juristas para tratamento de incidentes de segurança de diferentes magnitudes.
- Como a diminuição da maioridade poderia inibir crimes informáticos.
- A responsabilidade e importância da educação e conscientização de várias camadas da sociedade com o objetivo de diminuir os riscos de segurança para o usuário final.
- Trojan / Phising a responsabilidade deveria ser compartilhada entre bancos e usuários? (Esse tema não poderia faltar).
- A inclusão digital pode aumentar a margem de risco, em virtude da entrada de muitos usuários na rede sem o mínimo conhecimento dos aspectos de segurança e riscos da grande rede ?
A apresentação de diferentes cenários foi bem interessante, garantindo boas discussões entre os advogados e técnicos. Gostaria de agradecer novamente ao Prof. Peter pelo convite e a oportunidade de discutir idéias e diversos aspectos de segurança da informação e reposta a incidentes.
quinta-feira, outubro 12, 2006
Revista Exame e a Segurança
Nenhuma novidade para os profissionais de segurança, mas achei interessante as dicas da revista no rodapé da reportagem, principalmente a dica número 1 - Ficar de olho no código interno.
Dessa forma a revista ressalta a importância do funcionário conhecer a política de segurança da empresa para não ser pego de surpresa. Ponto positivo para a segurança da informação, afinal levar a necessidade de conhecer a política de segurança da empresa para fora do âmbito do trabalho, popularizando o assunto em uma revista de grande circulação é uma excelente iniciativa, tornando o assunto mais pessoal, ultrapassando as fronteiras do trabalho e do escritório.
Estou recomendando a alguns amigos e clientes que utilizem essa "notícia" como meio de comunicação para os usuários da importância de se conhecer a política de segurança da empresa.
sexta-feira, setembro 15, 2006
Trojan para celulares?????
Nas conversas de "botequim" tenho comentado com meus amigos a preocupação com a convergência de dados / voz em um único dispositivo, principalmente pelo fato do usuário ( mesmo o já conscientizado sobre a necessidade de segurança em seu PC) não ter nem ídéia que o celular e dispositivos móveis portáteis necessitam de segurança, talvez por acharem que os celulares não estão suceptíveis a problemas de "vírus"e o que dirá "trojans".
Pois para esses usuários recomendo um "olhadela" no aumento considerável da quantidade de vírus para celulares, mais de 500% em pouco mais de um ano, além disso como se não bastasse o primeiro trojan para celular ( Trojan Comercial) já foi criado ( isso me lembra o Back Orifice).
O Trojan para celulares é o FlexiSpy, se você deseja dar uma olhada nas mensagens de sua "namorada" vá em frente (é bom deixar claro que o princíprio da privacidade será comprometido). Agora o que impede então de termos um software para monitorar acessos bancários ? Phishing para celulares? Será?
É bom ficar de antena ligada. Talvez o que ainda dificulte a propagação dos vírus é o fato dos fabricantes em muitos modelos optarem por sistemas proprietários como Symbian entre outros, mas vale ressaltar que o cenário tende a mudar com Windows Pocket, Windows Mobile e acreditem LINUX.
Vale dar uma olhada em http://www.mvista.com/, como será a configuração de serviços desses brinquedinhos hein ? Ahhhhh só para lembrar celulares com EVDO, 1XRTT, GPRS, EDGE tem IP válido na Internet OK, alguém imagina o que poderia acontecer ?
Estou me aprofundando no assunto e alguns testes, acho que em breve postarei novidades.
Eleições Eletrônicas
quarta-feira, setembro 06, 2006
Dados em celulares
quarta-feira, julho 26, 2006
Quebra de Paradigma.
Com exceção das reportagens do Jornal Nacional, Fantástico e derivados, com conotação "pós os incidentes", ou seja, com o objetivo de mostrar que crimes virtuais são punidos SIM com cadeia,(ação de terrorismo com os fraudadores) não me lembro de campanhas pró-ativas como essa.
Parabéns ao Itaú que teve a sutileza e habilidade de tratar o assunto de forma educativa, alertando de forma simples os usuários para os perigos existentes, não adotando a posição de "OBSCURIDADE".
Pontos para a Segurança da Informação.
quinta-feira, maio 18, 2006
Vazamento de Informação - PCC
Será que ninguém imaginou que a conversa poderia ser gravada e usada indevidamente ? Ninguém monitorou a entrada e saída de pessoas como os técnicos de som ? Quem garante que esse CD amanhã não estará na Internet / E-mule etc . Será que outras conversas não foram gravadas anteriormente e já vendidas porém sem o "nosso conhecimento" favorecendo empresas, políticos, advogados e outras pessoas ?
Esse caso de vazamento de informação pode e deve ser lembrado por nós profissionais de segurança da informação como um exemplo a não ser seguido.
terça-feira, maio 16, 2006
PCC e a Tecnologia
Vamos imaginar o cenário:
As operadoras ou o governo do estado compram os equipamentos necessários ou tomam as devidas providências para o bloqueio do sinal.
Problema resolvido? Será? O que impedirá os bandidos de utilizarem redes Wi-Fi para se comunicar usando VOIP? E pior como isso será monitorado? VOIP + Criptografia não tornará a escuta PRATICAMENTE IMPOSSÍVEL? E quanto ao Wi-Max, como será controlar o acesso desses indivíduos a essas tecnologias? Ou alguém tem dúvida que ao invés de utilizarem os celulares os bandidos começarão a utilizar VOIP Phones, Pockets, Palms etc. Aliás quem duvida que eles já não estão utilizando dessas tecnologias ?
Não seria mais eficiente e eficaz UTILIZAR detectores de metais nos presídios? Ontem ouvi um promotor de justiça fazer a seguinte comparação:
"Um usuário comum consegue entrar em um banco com um celular? Então como os bandidos conseguem receber celulares dentro das cadeias?"
Como os celulares entram nas cadeias, corrupção, negligência na revista dos visitantes? Como controlar a conivência dentro dos presídios?
Um princípio interessante é o da rotatividade de pessoas, será que o fato de um agente carcerário ficar 2,3 4 anos no mesmo presídio não aumenta a incidência ou até mesmo a pressão para ele se corromper?
O objetivo desse simples "artigo" é incitar as pessoas a pensarem que a aquisição de uma tecnologia de bloqueio nesse caso pode dar uma falsa sensação de segurança, e não me causaria espanto ver daqui 1 ano ou até menos os "cabeças" do PCC utilizando VOIP phone, Access Points específicos, entre outras tecnologias.
Nesse caso qual será a “explicação” das autoridades ? Evolução tecnológica? Não deveria se avaliar os benefícios da implementação de qualquer tecnologia ante as demais possibilidades, ainda mais em se tratando de segurança pública?
Não acho que bloquear o sinal de celulares não seja uma boa alternativa, mas seria importante juntamente com essa ação programar mudanças PROCESSUAIS que possibilitassem maior controle sobre o que entra e sai dos presídios.
Adquirir tecnologia como panacéia sem acompanhamento de um processo seguro não resolve adequadamente os problemas de segurança.
Comentários são bem vindos.
sexta-feira, maio 12, 2006
Abuso de poder ??
Obs: Sei que pouquíssimas pessoas acessam e disfrutam das poucas informações e idéias aqui postadas. Mas para os "gatos pingados" que acessam devo me desculpar pois fiquei mais de um mês sem postar nada em virtude de outros trabalhos, mas agora estou retomando a atividade.
quinta-feira, março 23, 2006
Impressões do Filme Firewall
No início do filme já aparece um "pessoal" vasculhando o lixo e consequentemente obtendo informações sobre a vida do Security Officer, técnica conhecida como DumpsterDiving - caramba esse Security Office é bem descuidado hein, não destruir informações pessoais sensíveis - "Casa de ferreiro espeto de pau ? - Isso não é um comportamento de um profisisonal de seguança".
Roubo de identidade também foi abordado logo no início, afinal o Stanfield aparece com uma dívida de U$ 95.000 em jogatina (tudo armação da quadrilha).Também no início do filme um dos analistas de segurança chama o Security Officer e mostra a tentativa de acessos indevidos a diversas contas (Brute Force), o que me chamou a atenção é que ele acessou uma máquina LINUX e cria listas de acesso com o que me pareceu ser o Zebra ou quagga, agora cá entre nós, um banco utilizaria um roteador LINUX para controlar acesso a um aplicativo crítico como um Bank-line, bloqueando o acesso a determinados IPs da Ásia (conforme mencionado no filme), será que não seria mais sensato criar uma regra no Firewall Statefull?
O que me deixou espantado... ... como um cara com conhecimento de segurança, security officer, desenvolvedor de sistemas de segurança, deixa a sua máquina ser "tomada" ? O cara simplesmente tinha o controle total da máquina do Security Officer, e pior, se a quadrilha tinha controle total da máquina do Security Officer será que eles realmente precisavam sequestar a família do Stanfield?
Um ponto alto do filme é a clonagem de um chip GSM .... ... ... The best.
Outra observação importante, a DELL deve ter "bancado" boa parte do filme, afinal na sala de servidores só dava DELL.
O Security Officer deve ter feito um intensivão com o Magaiver, afinal desmontar um FAX, e montar um reconhecedor de caracteres com armazenamento de dados usando o IPOD, fala sério hein e vou mais além o cara entra na sala de servidores com essa parafernália toda e ninguém fala nada ?
O Bill Cox (bandidão que de informática não manja nada, se bobear nem sabe ligar o micro), acompanha o Stanfield o tempo todo, inclusive entra no Datacenter e sai sem passar o seu crachá, agora onde estava o controle de Piggyback? E as câmeras de monitoração na sala, pior e o segurança não viu nada???
O Jack Stanfield tinha acesso a tudo, inclusive ao sistema de transações financeiras - será que ele precisava realmente de acesso aos sistemas de transações para realizar a sua função, tudo bem que ele desenvolveu o sistema de proteção, mas... ... quem vigia a segurança ? Cade a segregação de funções ???
Na sala de monitoração de CFTV o Stanfield apaga todos os arquivos de vídeo, agora ninguém avisou o bandido e o operador que se o Stanfield não fez Wipe de disco da pra recuperar a informação, resta saber se isso foi proposital ou não (e o filme não nos responde essa incógnita), de repente poderia mandar um e-mail para o altor do filme quem sabe.
Se a moda pega todo profissional de segurança, especialmente os Security Officers necessitarão de um Guarda-Costa, afinal como mencionado no próprio filme, manipulação de dinheiro virtual é a menina dos olhos dos fraudadores.
É claro que Hollywood manipula situações para garantir o entretenimento, afinal esse é o objetivo, o filme é legal, bom compromisso para um domingo à tarde, mas para quem é da área de segurança vale ir além do entretenimento e assistindo o filme e identificar coisas do nosso dia-a-dia.
Bom essas são as impressões iniciais que tive, já que assisti somente uma vez. Comentários, críticas e novas observações são bem vindas.
Só mais uma coisa será que esse Security Officer era CISSP? Huahuahauhauahuahuahua.
domingo, março 19, 2006
Testes RFID
domingo, março 05, 2006
Caller ID seguro ???
"O que é pior do que um sistema de autenticação inseguro? Um sistema de autenticação inseguro que as pessoas aprenderam a confiar."
Rodando IE em modo "limitado".
terça-feira, fevereiro 21, 2006
Sebek 3
Usuários se importam mas não entendem.
quinta-feira, fevereiro 16, 2006
Como encontrar o equilíbrio?
No Caso de RFID o mercado pressiona, os fabricantes se "movimentam" mas... ...olha a segurança sendo deixada de lado (comentário do criptógrafo Adi Shamir no Security Focus ).
No mínimo será engraçado ... ... implementação de segurança em RFID? Correções? Qual o impacto para os produtos que estiverem com as etiquetas vulneráveis ?? Perda financeira direta ? Indireta?
sábado, fevereiro 04, 2006
Spam
terça-feira, janeiro 31, 2006
RFID
domingo, janeiro 29, 2006
RootKit em produtos comerciais.
sábado, janeiro 28, 2006
Agora é Oficial
Acabei de receber um e-mail da instituição (ISC)2 confirmando minha aprovação no CISSP, essa foi uma conquista importante, galgada com muito esforço, paciência, estudo e apoio de meus amigos e minha namorada que teve que aguentar vários finais de semana sem sair de casa já que eu estava "enterrado" nos livros. Pri te amo muito.
Para os amigos e leitores que tem interesse na certificação e também estão trilhando o caminho do sucesso segue a trajetória por mim adotada.
1. Planejamento.
Faça um planejamento de estudos, essa fase é importante (no meu caso 2 horas diárias durante a semana, 4 horas as sábados e domingo é da família OK).
2. Persistência e Disciplina
Seja persistente e disciplinado não desanime, o estudo mais do que obter a certificação agrega conhecimentos valiosos para o profissional de segurança da informação.
Obs: Aproveitando o tópico persistência e disciplina, muitas vezes me perguntam, qual o conselho que eu daria para uma pessoa que está interessada em iniciar uma carreira em segurança da informação, então aproveitando o ensejo segue alguns que acho importante.
1- Aprenda a aprender.
2- Estude sempre, faça disso uma rotina prazerosa.
3- Ame o que você faz.
4- Saiba questionar e ouvir.
5- Seja humilde, é impossível saber e conhecer tudo.
Como diria Sócrates: “Só sei que nada sei”.
6- Saiba discutir idéias e ouvir a opinião dos outros.
7- Persistência e Disciplina SEMPRE.
8-Trace os objetivos a curto, médio e longo prazo para a sua carreira.
3. “Não à DECOREBA”. É lógico que algumas coisas não têm como escapar da “decoreba”, como os protocolos de criptografia simétricos (DES, 3DES, AES...) , assimétricos (DH, RSA ...), extintores para incêndio (tipo A, B, C, D, K...) entre outras coisas. Mas na grande maioria dos domínios entender é fundamental, decorar apenas não ajuda para a prova e MUITO MENOS PARA O DIA-A-DIA de um profissional, em muitas questões da prova é necessário escolher a “melhor resposta” e para isso é necessário senso crítico e conhecimento do assunto.
4. Braindump NEM PENSAR.
Se você acha que apenas estudar por questões vai resolver, como em algumas provas de fabricantes de produtos você está completamente enganado. O mais próximo da prova (pois você não vai encontrar questões do tipo ahhhhhhhhh essa eu vi no Braindump x, y ou z) é a prova on-line oferecida pelo (ISC)2 a um custo de U$50,00 ( no momento de publicação desse artigo) , bem como as questões do simulado aplicado no final do seminário Oficial, no Brasil representado pela Módulo Security Solutions. As questões do CCURE podem ser utilizadas para avaliar conhecimentos nos 10 domínios, mas não representam à realidade da prova.
5. Literatura.
Concentra-se em um ou dois livros apenas, não use muitas literaturas para não se perder, vou transcrever aqui o que eu utilizei para meu estudo:
1. (ISC)2 Guide to the CISSP Exam. (Guia Oficial do ISC2)
2. CISSP All-in-One Exam Guide (a parte de criptografia é bem mais didática). – Shon Harris
3. Material do Curso Oficial (Oferecido no Brasil pela Módulo Security Solutions, recomendo fortemente).
6. No meu caso após definir a estratégia de estudo, tempo para a preparação, e executar o plano, fiz uma revisão (o treinamento oficial) 15 dias antes da prova e nas 2 semanas subseqüentes fiz uma revisão geral apenas uma recapitulada utilizando meus resumos e também alguns simulados.
7. Durante a prova mantenha a calma, o inglês afiado é PRIMORDIAL, leve um bom dicionário inglês – português (que é permitido e pode ajudar muito). Ai é só colocar os conhecimentos adquiridos em prática e como me disse o mestre
Augusto Quadros Paes de Barros na véspera da prova:
“Divirta-se durante a prova”
E como diria o Anderson Ramos:
“Sucesso, pois para quem está preparado devemos desejar Sucesso não Sorte”.
Bom é isso espero que tenhamos muitos mais CISSPs nos próximos anos.
Que venha agora o PMP e o CISA (espero no fim do ano trazer dicas também).
terça-feira, janeiro 24, 2006
Trojan para celulares.
http://enterprisesecurity.symantec.com/content.cfm?articleid=6369
O vírus Cabir não causava muito estrago, basicamente se replicava através do recurso de Bluetooth se “alojando” na caixa de entrada de mensagens do celular como um arquivo .sis, quando o usuário clicava na “mensagem” e escolhia a instalação ele infectava o dispositivo e iniciava a procura por outros dispositivos Bluetooth para sua propagação. Apesar de não causar muito estrago o vírus Cabir comprovou que os celulares e dispositivos móveis estão vulneráveis a vírus assim como a plataforma de PC’s.
Com a convergência da tecnologia móvel, transformando o celular em um poderoso dispositivo de armazenamento de dados e processamento de informações, sendo utilizado para visualizar e-mails, processar textos, planilhas, executando dessa forma muitos aplicativos além é claro da conectividade disponibilizada entre dispositivos, o risco de problemas relacionados à segurança aumenta consideravelmente.
Recomendações básicas como a utilização de um bom antivírus e sistemas de Firewall devem ser consideradas, principalmente no caso de telefones celulares e ou Smartphones que são utilizados para efetuar acesso direto à Internet, em alguns casos até mesmo ganhando um endereço válido na Internet. Alguém em sã consciência utilizaria um PC diretamente conectado na Internet sem no mínimo um antivírus e um bom Firewall instalado? Esse mesmo pensamento deve ser considerado para os celulares.
Outras recomendações como não abrir e-mails desconhecidos, documentos anexos duvidosos e mensagens de procedência desconhecida são importantes. Será uma missão fácil conscientizar usuários quanto a utilização de celulares de forma segura? Se no cenário atual conscientizar quanto a utilização segura de PC's já é muito difícil, imagino quanto a dispositivos móveis.Vale lembrar que recursos como Wireless e Bluetooth mal configurados podem também expor o dispositivo móvel a acessos indevidos e ações maliciosas. (velho problema das configurações Default).
Não podemos também nos esquecer que dispositivos móveis estão mais suceptíveis a roubo, ou seja, se informações são armazenadas nos mesmos, elas devem ser adequadamente protegidas, atendendo às necessidades do negócio e até mesmo requisitos definidos em uma política de utilização de dispositivos móveis (soluções de criptografia de dados podem ser consideradas).
Resumidamente, todos os problemas de segurança conhecidos no mundo dos PCs podem e com certeza deverão migrar ( e acho que em um curto espaço de tempo) para os dispositivos móveis celulares, em vista disso devemos considerar um “Kit de proteção” BÁSICO.
- Utilização de um bom Antivírus.
- Utilização de um Firewall principalmente em celulares que são utilizados para acesso a Internet, já que qualquer dispositivo diretamente conectado à Internet tem um risco de acesso indevido e ou invasão potencializado em virtude da conectividade com a rede mundial de computadores.
- Cuidados operacionais na utilização de e-mails, internet e serviços públicos (Internet).
- Verificação periódica por atualizações e correções de sistemas e aplicativos utilizados nos celulares.
- Armazenamento seguro de informações utilizando se o nível de criticidade exigir até mesmo soluções de criptografia de dados.
- Quem sabe num futuro próximo até mesmo Anti-Spywares e IDS e ou IPS... ...
Será que em breve deveremos nos preocupar com "Patch Management" para dispositivos móveis? Phising ? Key Loggers? Esse com certeza é um assunto para outro artigo.
Apenas mais uma observação:
vale lembrar - SOMENTE INSTALAR QUALQUER SOLUÇÃO NÃO RESOLVE PROBLEMAS RELACIONADOS À SEGURANÇA, É COMUM O MERCADO DAR NOME DE PRODUTOS PARA A SOLUÇÃO DE TUDO MAS É PRECISO INSTALAR, CONFIGURAR, GERENCIAR E MONITORAR ADEQUADAMENTE SEMPRE, ADEQUANDO PROCESSOS, TREINANDO E PREPARANDO PESSOAS.
segunda-feira, janeiro 23, 2006
Formula 1: McLaren debuts 2006 MP4-21
http://www.autoblog.com/2006/01/23/formula-1-mclaren-debuts-2006-mp4-21/
Iniciando as publicações / Inauguração
A muiiiiiiitoooooo tempo venho prometendo que criaria um espaço até mesmo para concentrar as informações para meus alunos e demais afins dos assuntos acima relacionados e aqui está.
Espero que isso venha a contribuir de forma positiva para todas as pessoas que acessarem esse espaço.