Quem sou no Google

Fazendo minhas pesquisas de rotina no Google (afinal é sempre bom saber que a Internet tem a dizer sobre você) acabei descobrindo esse artigo, me lembro que o entrevistador na ocasião entrou em contato comigo, respondi a algumas perguntas mas nunca soube se os comentários tinham sido aproveitados, na verdade ele publicou uma pequena citação minha, assunto esse que a pouco tempo inclusive abordei no blog no artigo "Trojan para Celulares".

Computação Forense

Na semana passada estive juntamente com meu amigo Alexandre Domingos no Primeiro Workshop de Computação Forense promovido pela Faculdade de Jaguariúna. Fui convidado por um grande ex-professor Dr. Peter Jandl.

No dia 25 ministramos uma palestra intitulada: Resposta a Incidentes de Segurança: Você está preparado?

O objetivo principal da palestra foi apresentar aos alunos do Curso de Ciências de Computação as boas práticas e fases recomendadas para efetuar uma Resposta a Incidente de Segurança, desde as ações "Pré-incidente" com a preparação do ambiente tecnológico, criação de processos e interação com outras áreas para a criação de um Time-de-Resposta a incidentes até boas práticas para a fase de resposta propriamente dita, contemplando-se a coleta de evidências, análise e também os aspectos jurídicos.

Esse encontro foi muito interessante uma vez que possibilitou aos futuros profissionais de diferentes cursos a integração e discussão sobre um assunto atual e importante para a sociedade como um todo.

No dia 26 tive o privilégio de participar de uma mesa redonda, onde foram tratados diversos assuntos relacionados a incidentes de segurança e análise forense. Novamente com a participação de membros dos cursos de Direito e Ciência da Computação da Faculdade de Jaguariúna. Entre outros temas abordados posso destacar:

- Crimes mais comuns na Internet.
- Como garantir integração entre técnicos e juristas para tratamento de incidentes de segurança de diferentes magnitudes.
- Como a diminuição da maioridade poderia inibir crimes informáticos.
- A responsabilidade e importância da educação e conscientização de várias camadas da sociedade com o objetivo de diminuir os riscos de segurança para o usuário final.
- Trojan / Phising a responsabilidade deveria ser compartilhada entre bancos e usuários? (Esse tema não poderia faltar).
- A inclusão digital pode aumentar a margem de risco, em virtude da entrada de muitos usuários na rede sem o mínimo conhecimento dos aspectos de segurança e riscos da grande rede ?

A apresentação de diferentes cenários foi bem interessante, garantindo boas discussões entre os advogados e técnicos. Gostaria de agradecer novamente ao Prof. Peter pelo convite e a oportunidade de discutir idéias e diversos aspectos de segurança da informação e reposta a incidentes.

Revista Exame e a Segurança

A revista Exame dessa semana apresenta uma reportagem interessante sobre a monitoração de funcionários quanto a utilização de e-mail e Internet na empresa, o título da reportagem é "O Big Brother nas Empresas".

Nenhuma novidade para os profissionais de segurança, mas achei interessante as dicas da revista no rodapé da reportagem, principalmente a dica número 1 - Ficar de olho no código interno.

Dessa forma a revista ressalta a importância do funcionário conhecer a política de segurança da empresa para não ser pego de surpresa. Ponto positivo para a segurança da informação, afinal levar a necessidade de conhecer a política de segurança da empresa para fora do âmbito do trabalho, popularizando o assunto em uma revista de grande circulação é uma excelente iniciativa, tornando o assunto mais pessoal, ultrapassando as fronteiras do trabalho e do escritório.

Estou recomendando a alguns amigos e clientes que utilizem essa "notícia" como meio de comunicação para os usuários da importância de se conhecer a política de segurança da empresa.

Trojan para celulares?????

Com a convergência de dados, voz, banking e derivados cada vez mais os dispositivos móveis se tornam alvo de ataques, sem levar em consideração ainda a quantidade de informações que esses dispositivos podem armazenar e a "facilidade" dos usuários baixarem e-mails, dados e informações diversas.

Nas conversas de "botequim" tenho comentado com meus amigos a preocupação com a convergência de dados / voz em um único dispositivo, principalmente pelo fato do usuário ( mesmo o já conscientizado sobre a necessidade de segurança em seu PC) não ter nem ídéia que o celular e dispositivos móveis portáteis necessitam de segurança, talvez por acharem que os celulares não estão suceptíveis a problemas de "vírus"e o que dirá "trojans".

Pois para esses usuários recomendo um "olhadela" no aumento considerável da quantidade de vírus para celulares, mais de 500% em pouco mais de um ano, além disso como se não bastasse o primeiro trojan para celular ( Trojan Comercial) já foi criado ( isso me lembra o Back Orifice).

O Trojan para celulares é o FlexiSpy, se você deseja dar uma olhada nas mensagens de sua "namorada" vá em frente (é bom deixar claro que o princíprio da privacidade será comprometido). Agora o que impede então de termos um software para monitorar acessos bancários ? Phishing para celulares? Será?

É bom ficar de antena ligada. Talvez o que ainda dificulte a propagação dos vírus é o fato dos fabricantes em muitos modelos optarem por sistemas proprietários como Symbian entre outros, mas vale ressaltar que o cenário tende a mudar com Windows Pocket, Windows Mobile e acreditem LINUX.

Vale dar uma olhada em http://www.mvista.com/, como será a configuração de serviços desses brinquedinhos hein ? Ahhhhh só para lembrar celulares com EVDO, 1XRTT, GPRS, EDGE tem IP válido na Internet OK, alguém imagina o que poderia acontecer ?

Estou me aprofundando no assunto e alguns testes, acho que em breve postarei novidades.

Eleições Eletrônicas

As vésperas das Eleições no Brasil, um teste em urnas eletrônicas americanas literalmente assusta. Será que as urnas no Brasil são do mesmo modelo ou tem a mesma versão de software?

Dados em celulares

Esse artigo do mestre Schneier mostra como os usuários de tecnologias móveis estão preocupados com a segurança dos dados neles armazenados.

Quebra de Paradigma.

Não sou um fã número um da TV, mas hoje tive a oportunidade de presenciar um comercial do Banco Itaú, alertando a todos os seus clientes sobre os "ladrões virtuais". Muitas vezes as instituições financeiras não se sentem confortáveis em tratar "publicamente" assuntos de fraudes virtuais.

Com exceção das reportagens do Jornal Nacional, Fantástico e derivados, com conotação "pós os incidentes", ou seja, com o objetivo de mostrar que crimes virtuais são punidos SIM com cadeia,(ação de terrorismo com os fraudadores) não me lembro de campanhas pró-ativas como essa.

Parabéns ao Itaú que teve a sutileza e habilidade de tratar o assunto de forma educativa, alertando de forma simples os usuários para os perigos existentes, não adotando a posição de "OBSCURIDADE".

Pontos para a Segurança da Informação.

Vazamento de Informação - PCC

É impressionamente perceber um caso de vazamento de informação tão simples porém tão grave, proporcionando o planejamento de uma ação coordenada por parte do PCC.

Será que ninguém imaginou que a conversa poderia ser gravada e usada indevidamente ? Ninguém monitorou a entrada e saída de pessoas como os técnicos de som ? Quem garante que esse CD amanhã não estará na Internet / E-mule etc . Será que outras conversas não foram gravadas anteriormente e já vendidas porém sem o "nosso conhecimento" favorecendo empresas, políticos, advogados e outras pessoas ?

Esse caso de vazamento de informação pode e deve ser lembrado por nós profissionais de segurança da informação como um exemplo a não ser seguido.

PCC e a Tecnologia

Em virtude dos atos de violência promovidos pelo PCC no Estado de São Paulo, muito tem se falado em bloqueio de celulares em presídios com o objetivo de "impedir" a ação organizada de bandidos da organização criminosa, utilizando para isso equipamentos de bloqueio de sinal ou até mesmo intervenção por parte das operadoras de telefonia bloqueando o sinal na região dos presídios.

Vamos imaginar o cenário:
As operadoras ou o governo do estado compram os equipamentos necessários ou tomam as devidas providências para o bloqueio do sinal.

Problema resolvido? Será? O que impedirá os bandidos de utilizarem redes Wi-Fi para se comunicar usando VOIP? E pior como isso será monitorado? VOIP + Criptografia não tornará a escuta PRATICAMENTE IMPOSSÍVEL? E quanto ao Wi-Max, como será controlar o acesso desses indivíduos a essas tecnologias? Ou alguém tem dúvida que ao invés de utilizarem os celulares os bandidos começarão a utilizar VOIP Phones, Pockets, Palms etc. Aliás quem duvida que eles já não estão utilizando dessas tecnologias ?

Não seria mais eficiente e eficaz UTILIZAR detectores de metais nos presídios? Ontem ouvi um promotor de justiça fazer a seguinte comparação:

"Um usuário comum consegue entrar em um banco com um celular? Então como os bandidos conseguem receber celulares dentro das cadeias?"

Como os celulares entram nas cadeias, corrupção, negligência na revista dos visitantes? Como controlar a conivência dentro dos presídios?

Um princípio interessante é o da rotatividade de pessoas, será que o fato de um agente carcerário ficar 2,3 4 anos no mesmo presídio não aumenta a incidência ou até mesmo a pressão para ele se corromper?

O objetivo desse simples "artigo" é incitar as pessoas a pensarem que a aquisição de uma tecnologia de bloqueio nesse caso pode dar uma falsa sensação de segurança, e não me causaria espanto ver daqui 1 ano ou até menos os "cabeças" do PCC utilizando VOIP phone, Access Points específicos, entre outras tecnologias.

Nesse caso qual será a “explicação” das autoridades ? Evolução tecnológica? Não deveria se avaliar os benefícios da implementação de qualquer tecnologia ante as demais possibilidades, ainda mais em se tratando de segurança pública?

Não acho que bloquear o sinal de celulares não seja uma boa alternativa, mas seria importante juntamente com essa ação programar mudanças PROCESSUAIS que possibilitassem maior controle sobre o que entra e sai dos presídios.

Adquirir tecnologia como panacéia sem acompanhamento de um processo seguro não resolve adequadamente os problemas de segurança.

Comentários são bem vindos.

Abuso de poder ??

Todo mundo sempre houve comentários e especulações sobre a "monitoração" da NSA, e a "quebra de sigilo"e privacidade que a agência supostamente promoveria com o objetivo de monitorar ações terroristas. Agora virou notícia oficial, até onde as agências podem passar por cima do direito de privacidade para monitorar com a justificativa de garantir o "bem comum"? Quem guarda os guardiões ?

Obs: Sei que pouquíssimas pessoas acessam e disfrutam das poucas informações e idéias aqui postadas. Mas para os "gatos pingados" que acessam devo me desculpar pois fiquei mais de um mês sem postar nada em virtude de outros trabalhos, mas agora estou retomando a atividade.

Impressões do Filme Firewall

Bom para quem trabalha com segurança da Informação o início do filme é empolgante (e acho até que para quem não trabalha ainda mais empolgante) já que o Security Officer Jack Stanfield (Harrison Ford) do Landrock Pacific Bank mora em uma belíssima casa e possui nada mais nada menos que um Cadilac (me parece ser isso) da série V - Hummmmmmmm ganha bem esse Security Officer hein ?

No início do filme já aparece um "pessoal" vasculhando o lixo e consequentemente obtendo informações sobre a vida do Security Officer, técnica conhecida como DumpsterDiving - caramba esse Security Office é bem descuidado hein, não destruir informações pessoais sensíveis - "Casa de ferreiro espeto de pau ? - Isso não é um comportamento de um profisisonal de seguança".

Roubo de identidade também foi abordado logo no início, afinal o Stanfield aparece com uma dívida de U$ 95.000 em jogatina (tudo armação da quadrilha).Também no início do filme um dos analistas de segurança chama o Security Officer e mostra a tentativa de acessos indevidos a diversas contas (Brute Force), o que me chamou a atenção é que ele acessou uma máquina LINUX e cria listas de acesso com o que me pareceu ser o Zebra ou quagga, agora cá entre nós, um banco utilizaria um roteador LINUX para controlar acesso a um aplicativo crítico como um Bank-line, bloqueando o acesso a determinados IPs da Ásia (conforme mencionado no filme), será que não seria mais sensato criar uma regra no Firewall Statefull?

O que me deixou espantado... ... como um cara com conhecimento de segurança, security officer, desenvolvedor de sistemas de segurança, deixa a sua máquina ser "tomada" ? O cara simplesmente tinha o controle total da máquina do Security Officer, e pior, se a quadrilha tinha controle total da máquina do Security Officer será que eles realmente precisavam sequestar a família do Stanfield?

Um ponto alto do filme é a clonagem de um chip GSM .... ... ... The best.

Outra observação importante, a DELL deve ter "bancado" boa parte do filme, afinal na sala de servidores só dava DELL.

O Security Officer deve ter feito um intensivão com o Magaiver, afinal desmontar um FAX, e montar um reconhecedor de caracteres com armazenamento de dados usando o IPOD, fala sério hein e vou mais além o cara entra na sala de servidores com essa parafernália toda e ninguém fala nada ?

O Bill Cox (bandidão que de informática não manja nada, se bobear nem sabe ligar o micro), acompanha o Stanfield o tempo todo, inclusive entra no Datacenter e sai sem passar o seu crachá, agora onde estava o controle de Piggyback? E as câmeras de monitoração na sala, pior e o segurança não viu nada???

O Jack Stanfield tinha acesso a tudo, inclusive ao sistema de transações financeiras - será que ele precisava realmente de acesso aos sistemas de transações para realizar a sua função, tudo bem que ele desenvolveu o sistema de proteção, mas... ... quem vigia a segurança ? Cade a segregação de funções ???

Na sala de monitoração de CFTV o Stanfield apaga todos os arquivos de vídeo, agora ninguém avisou o bandido e o operador que se o Stanfield não fez Wipe de disco da pra recuperar a informação, resta saber se isso foi proposital ou não (e o filme não nos responde essa incógnita), de repente poderia mandar um e-mail para o altor do filme quem sabe.

Se a moda pega todo profissional de segurança, especialmente os Security Officers necessitarão de um Guarda-Costa, afinal como mencionado no próprio filme, manipulação de dinheiro virtual é a menina dos olhos dos fraudadores.

É claro que Hollywood manipula situações para garantir o entretenimento, afinal esse é o objetivo, o filme é legal, bom compromisso para um domingo à tarde, mas para quem é da área de segurança vale ir além do entretenimento e assistindo o filme e identificar coisas do nosso dia-a-dia.

Bom essas são as impressões iniciais que tive, já que assisti somente uma vez. Comentários, críticas e novas observações são bem vindas.

Só mais uma coisa será que esse Security Officer era CISSP? Huahuahauhauahuahuahua.

Testes RFID

Um artigo com testes realizados em RFID por ninguém mais que Adi Shamir e Yossi Oren, vale a pena ler. Trata-se do primeiro teste "remoto" sem necessidade de de contato físico com o dispositivo durante o ataque.

Caller ID seguro ???

Ótimo artigo do mestre Scheneir, mostrando a fragilidade de sistemas de identificação de chamadas e como sempre colocando muito bem as palavras:

"O que é pior do que um sistema de autenticação inseguro? Um sistema de autenticação inseguro que as pessoas aprenderam a confiar."

Rodando IE em modo "limitado".

Os problemas com Malware são cada vez maiores e crescem de forma assutadora, esse artigo publicado na sysinternal mostra uma maneira eficiente de diminuir os problemas rodando o Internet Explorer com menor privilégio (mesmo que o usuário esteja com perfil administrador na máquina). Usando o psexec (da sysinternals) é possível executar o IE com privilégios "controlados".

Sebek 3

Ferramenta indispensável para a criação de uma Honeynet, dois artigos sobre a implementação do Sebek ( Artigo1 e Artigo2 ). Trata-se de uma ferramenta que pode até ser utilizada como "Big Brother" da segurança, afinal o que os administradores estão fazendo em sua rede hein ?

Usuários se importam mas não entendem.

Ta ai um experimento interessante? Será que o usuário está "preparado" e conscientizado o suficiente ou colocaria um CD "bonitinho" no drive só pra ver "rapidinho" o que é ? Mesmo conscientizado será que a força do exemplo também não deve ser levada em consideração? Artigo no blog do Bruce Schneier.

Como encontrar o equilíbrio?

Até parece que já vi essa "novela", o mercado pressiona e necessida de novas tecnologias, os players e fabricantes corretam atrás de uma solução rápida e "rentável", mas advinhem só ... ... E a segurança ????? Se ela precisar ser comprometida para sair na frente isso ocorrerá ? Como encontrar o equilíbrio entre sair à frente e conseguir lançar um produto seguro ? Economia de tempo e recurso ($$$$$) na hora de deselvolver soluções pode impactar em problemas de segurança a médio e até mesmo curto prazo.

No Caso de RFID o mercado pressiona, os fabricantes se "movimentam" mas... ...olha a segurança sendo deixada de lado (comentário do criptógrafo Adi Shamir no Security Focus ).

No mínimo será engraçado ... ... implementação de segurança em RFID? Correções? Qual o impacto para os produtos que estiverem com as etiquetas vulneráveis ?? Perda financeira direta ? Indireta?

Spam

Um cartoon bem interessante sobre Spam. Um problema de segurança e até mesmo de produtividade que cotinua sendo explorado, afinal ainda existem usuários que "clicam" nos e-mails indesejados. Se o "recurso" de Spam continua sendo utilizado, com certeza ele ainda dá "lucros". Fica comprovado que as "caixinhas" não resolvem esses problemas definitivamente, a educação e conscientização de usuários deve ser uma estratégia complementar.

RFID

Fantástico o Cartoon sobre RFID. Em novembro li uma reportagem na SUPER INTERESSANTE sobre as "etiquetas inteligentes" e os testes já em andamento em SP com RFID (Carros, medição de deslocamento, trânsito, entre outras). Aproveitando o assunto esse site é demais RFIDANALYSIS, vídeos com experimentos de "quebra" de segurança em dispositivos de RFID (Chaves de carros, postos de gasolina etc etc). É bom ficar atento... novas tecnologias... novos problemas...

RootKit em produtos comerciais.

Depois do escândalo da Sony, o drama continua, mais um post muito bom de Mark da sysinternals, falando sobre rootkits em produtos da Symantec. Ai vai uma questão, até que ponto podemos confiar em produtos suportados por grandes empresas? O grande irmão está de olho em vc ? :)

Agora é Oficial

Acabei de receber um e-mail da instituição (ISC)2 confirmando minha aprovação no CISSP, essa foi uma conquista importante, galgada com muito esforço, paciência, estudo e apoio de meus amigos e minha namorada que teve que aguentar vários finais de semana sem sair de casa já que eu estava "enterrado" nos livros. Pri te amo muito.

Para os amigos e leitores que tem interesse na certificação e também estão trilhando o caminho do sucesso segue a trajetória por mim adotada.

1. Planejamento.
Faça um planejamento de estudos, essa fase é importante (no meu caso 2 horas diárias durante a semana, 4 horas as sábados e domingo é da família OK).

2. Persistência e Disciplina
Seja persistente e disciplinado não desanime, o estudo mais do que obter a certificação agrega conhecimentos valiosos para o profissional de segurança da informação.

Obs: Aproveitando o tópico persistência e disciplina, muitas vezes me perguntam, qual o conselho que eu daria para uma pessoa que está interessada em iniciar uma carreira em segurança da informação, então aproveitando o ensejo segue alguns que acho importante.

1- Aprenda a aprender.
2- Estude sempre, faça disso uma rotina prazerosa.
3- Ame o que você faz.
4- Saiba questionar e ouvir.
5- Seja humilde, é impossível saber e conhecer tudo.
Como diria Sócrates: “Só sei que nada sei”.
6- Saiba discutir idéias e ouvir a opinião dos outros.
7- Persistência e Disciplina SEMPRE.
8-Trace os objetivos a curto, médio e longo prazo para a sua carreira.

3. “Não à DECOREBA”. É lógico que algumas coisas não têm como escapar da “decoreba”, como os protocolos de criptografia simétricos (DES, 3DES, AES...) , assimétricos (DH, RSA ...), extintores para incêndio (tipo A, B, C, D, K...) entre outras coisas. Mas na grande maioria dos domínios entender é fundamental, decorar apenas não ajuda para a prova e MUITO MENOS PARA O DIA-A-DIA de um profissional, em muitas questões da prova é necessário escolher a “melhor resposta” e para isso é necessário senso crítico e conhecimento do assunto.

4. Braindump NEM PENSAR.
Se você acha que apenas estudar por questões vai resolver, como em algumas provas de fabricantes de produtos você está completamente enganado. O mais próximo da prova (pois você não vai encontrar questões do tipo ahhhhhhhhh essa eu vi no Braindump x, y ou z) é a prova on-line oferecida pelo (ISC)2 a um custo de U$50,00 ( no momento de publicação desse artigo) , bem como as questões do simulado aplicado no final do seminário Oficial, no Brasil representado pela Módulo Security Solutions. As questões do CCURE podem ser utilizadas para avaliar conhecimentos nos 10 domínios, mas não representam à realidade da prova.



5. Literatura.
Concentra-se em um ou dois livros apenas, não use muitas literaturas para não se perder, vou transcrever aqui o que eu utilizei para meu estudo:

1. (ISC)2 Guide to the CISSP Exam. (Guia Oficial do ISC2)
2. CISSP All-in-One Exam Guide (a parte de criptografia é bem mais didática). – Shon Harris
3. Material do Curso Oficial (Oferecido no Brasil pela Módulo Security Solutions, recomendo fortemente).


6. No meu caso após definir a estratégia de estudo, tempo para a preparação, e executar o plano, fiz uma revisão (o treinamento oficial) 15 dias antes da prova e nas 2 semanas subseqüentes fiz uma revisão geral apenas uma recapitulada utilizando meus resumos e também alguns simulados.

7. Durante a prova mantenha a calma, o inglês afiado é PRIMORDIAL, leve um bom dicionário inglês – português (que é permitido e pode ajudar muito). Ai é só colocar os conhecimentos adquiridos em prática e como me disse o mestre
Augusto Quadros Paes de Barros na véspera da prova:
“Divirta-se durante a prova”

E como diria o Anderson Ramos:
“Sucesso, pois para quem está preparado devemos desejar Sucesso não Sorte”.

Bom é isso espero que tenhamos muitos mais CISSPs nos próximos anos.

Que venha agora o PMP e o CISA (espero no fim do ano trazer dicas também).

Trojan para celulares.

Desde a descoberta do primeiro vírus para celular em 14 de junho de 2004, o Worm batizado por Cabir que comprometia celulares com o sistema operacional Symbian (suporte a plataforma Série 60) e se propagava via Bluetooth, nem muita coisa mudou, abaixo uma notícia publicada pela SYMANTEC sobre Trojans, ISSO MESMO, Trojans para celulares, apesar de considerados pouco "automatizados"e de baixo risco é importante ficarmos de antena ligada, afinal a sua empresa já está preparada para tratar esse tipo de problema, ou pior você sabe quem atualmente usa e armazena informações da sua empresa em dispositivos móveis e celulares?

http://enterprisesecurity.symantec.com/content.cfm?articleid=6369

O vírus Cabir não causava muito estrago, basicamente se replicava através do recurso de Bluetooth se “alojando” na caixa de entrada de mensagens do celular como um arquivo .sis, quando o usuário clicava na “mensagem” e escolhia a instalação ele infectava o dispositivo e iniciava a procura por outros dispositivos Bluetooth para sua propagação. Apesar de não causar muito estrago o vírus Cabir comprovou que os celulares e dispositivos móveis estão vulneráveis a vírus assim como a plataforma de PC’s.

Com a convergência da tecnologia móvel, transformando o celular em um poderoso dispositivo de armazenamento de dados e processamento de informações, sendo utilizado para visualizar e-mails, processar textos, planilhas, executando dessa forma muitos aplicativos além é claro da conectividade disponibilizada entre dispositivos, o risco de problemas relacionados à segurança aumenta consideravelmente.

Recomendações básicas como a utilização de um bom antivírus e sistemas de Firewall devem ser consideradas, principalmente no caso de telefones celulares e ou Smartphones que são utilizados para efetuar acesso direto à Internet, em alguns casos até mesmo ganhando um endereço válido na Internet. Alguém em sã consciência utilizaria um PC diretamente conectado na Internet sem no mínimo um antivírus e um bom Firewall instalado? Esse mesmo pensamento deve ser considerado para os celulares.

Outras recomendações como não abrir e-mails desconhecidos, documentos anexos duvidosos e mensagens de procedência desconhecida são importantes. Será uma missão fácil conscientizar usuários quanto a utilização de celulares de forma segura? Se no cenário atual conscientizar quanto a utilização segura de PC's já é muito difícil, imagino quanto a dispositivos móveis.Vale lembrar que recursos como Wireless e Bluetooth mal configurados podem também expor o dispositivo móvel a acessos indevidos e ações maliciosas. (velho problema das configurações Default).

Não podemos também nos esquecer que dispositivos móveis estão mais suceptíveis a roubo, ou seja, se informações são armazenadas nos mesmos, elas devem ser adequadamente protegidas, atendendo às necessidades do negócio e até mesmo requisitos definidos em uma política de utilização de dispositivos móveis (soluções de criptografia de dados podem ser consideradas).
Resumidamente, todos os problemas de segurança conhecidos no mundo dos PCs podem e com certeza deverão migrar ( e acho que em um curto espaço de tempo) para os dispositivos móveis celulares, em vista disso devemos considerar um “Kit de proteção” BÁSICO.

- Utilização de um bom Antivírus.

- Utilização de um Firewall principalmente em celulares que são utilizados para acesso a Internet, já que qualquer dispositivo diretamente conectado à Internet tem um risco de acesso indevido e ou invasão potencializado em virtude da conectividade com a rede mundial de computadores.

- Cuidados operacionais na utilização de e-mails, internet e serviços públicos (Internet).

- Verificação periódica por atualizações e correções de sistemas e aplicativos utilizados nos celulares.

- Armazenamento seguro de informações utilizando se o nível de criticidade exigir até mesmo soluções de criptografia de dados.

- Quem sabe num futuro próximo até mesmo Anti-Spywares e IDS e ou IPS... ...

Será que em breve deveremos nos preocupar com "Patch Management" para dispositivos móveis? Phising ? Key Loggers? Esse com certeza é um assunto para outro artigo.

Apenas mais uma observação:

vale lembrar - SOMENTE INSTALAR QUALQUER SOLUÇÃO NÃO RESOLVE PROBLEMAS RELACIONADOS À SEGURANÇA, É COMUM O MERCADO DAR NOME DE PRODUTOS PARA A SOLUÇÃO DE TUDO MAS É PRECISO INSTALAR, CONFIGURAR, GERENCIAR E MONITORAR ADEQUADAMENTE SEMPRE, ADEQUANDO PROCESSOS, TREINANDO E PREPARANDO PESSOAS.

Formula 1: McLaren debuts 2006 MP4-21

A Mclaren mudando o seu estilo no mínimo interessante.
http://www.autoblog.com/2006/01/23/formula-1-mclaren-debuts-2006-mp4-21/

Iniciando as publicações / Inauguração

Bom finalmente resolvi criar meu blog e disponibilizar aqui informações de meu interesse como Segurança da Informação, Automodelismo, Carros (tuning), tecnologia entre outras coisas.

A muiiiiiiitoooooo tempo venho prometendo que criaria um espaço até mesmo para concentrar as informações para meus alunos e demais afins dos assuntos acima relacionados e aqui está.

Espero que isso venha a contribuir de forma positiva para todas as pessoas que acessarem esse espaço.