Attention / Atenção


This blog represents my own view points and not of my employer, Amazon Web Services

Este blog representa meus próprios pontos de vista e não do meu empregador, Amazon Web Services

terça-feira, janeiro 31, 2006

RFID

Fantástico o Cartoon sobre RFID. Em novembro li uma reportagem na SUPER INTERESSANTE sobre as "etiquetas inteligentes" e os testes já em andamento em SP com RFID (Carros, medição de deslocamento, trânsito, entre outras). Aproveitando o assunto esse site é demais RFIDANALYSIS, vídeos com experimentos de "quebra" de segurança em dispositivos de RFID (Chaves de carros, postos de gasolina etc etc). É bom ficar atento... novas tecnologias... novos problemas...

domingo, janeiro 29, 2006

RootKit em produtos comerciais.

Depois do escândalo da Sony, o drama continua, mais um post muito bom de Mark da sysinternals, falando sobre rootkits em produtos da Symantec. Ai vai uma questão, até que ponto podemos confiar em produtos suportados por grandes empresas? O grande irmão está de olho em vc ? :)

sábado, janeiro 28, 2006

Agora é Oficial

Acabei de receber um e-mail da instituição (ISC)2 confirmando minha aprovação no CISSP, essa foi uma conquista importante, galgada com muito esforço, paciência, estudo e apoio de meus amigos e minha namorada que teve que aguentar vários finais de semana sem sair de casa já que eu estava "enterrado" nos livros. Pri te amo muito.

Para os amigos e leitores que tem interesse na certificação e também estão trilhando o caminho do sucesso segue a trajetória por mim adotada.

1. Planejamento.
Faça um planejamento de estudos, essa fase é importante (no meu caso 2 horas diárias durante a semana, 4 horas as sábados e domingo é da família OK).

2. Persistência e Disciplina
Seja persistente e disciplinado não desanime, o estudo mais do que obter a certificação agrega conhecimentos valiosos para o profissional de segurança da informação.

Obs: Aproveitando o tópico persistência e disciplina, muitas vezes me perguntam, qual o conselho que eu daria para uma pessoa que está interessada em iniciar uma carreira em segurança da informação, então aproveitando o ensejo segue alguns que acho importante.

1- Aprenda a aprender.
2- Estude sempre, faça disso uma rotina prazerosa.
3- Ame o que você faz.
4- Saiba questionar e ouvir.
5- Seja humilde, é impossível saber e conhecer tudo.
Como diria Sócrates: “Só sei que nada sei”.
6- Saiba discutir idéias e ouvir a opinião dos outros.
7- Persistência e Disciplina SEMPRE.
8-Trace os objetivos a curto, médio e longo prazo para a sua carreira.

3. “Não à DECOREBA”. É lógico que algumas coisas não têm como escapar da “decoreba”, como os protocolos de criptografia simétricos (DES, 3DES, AES...) , assimétricos (DH, RSA ...), extintores para incêndio (tipo A, B, C, D, K...) entre outras coisas. Mas na grande maioria dos domínios entender é fundamental, decorar apenas não ajuda para a prova e MUITO MENOS PARA O DIA-A-DIA de um profissional, em muitas questões da prova é necessário escolher a “melhor resposta” e para isso é necessário senso crítico e conhecimento do assunto.

4. Braindump NEM PENSAR.
Se você acha que apenas estudar por questões vai resolver, como em algumas provas de fabricantes de produtos você está completamente enganado. O mais próximo da prova (pois você não vai encontrar questões do tipo ahhhhhhhhh essa eu vi no Braindump x, y ou z) é a prova on-line oferecida pelo (ISC)2 a um custo de U$50,00 ( no momento de publicação desse artigo) , bem como as questões do simulado aplicado no final do seminário Oficial, no Brasil representado pela Módulo Security Solutions. As questões do CCURE podem ser utilizadas para avaliar conhecimentos nos 10 domínios, mas não representam à realidade da prova.



5. Literatura.
Concentra-se em um ou dois livros apenas, não use muitas literaturas para não se perder, vou transcrever aqui o que eu utilizei para meu estudo:

1. (ISC)2 Guide to the CISSP Exam. (Guia Oficial do ISC2)
2. CISSP All-in-One Exam Guide (a parte de criptografia é bem mais didática). – Shon Harris
3. Material do Curso Oficial (Oferecido no Brasil pela Módulo Security Solutions, recomendo fortemente).


6. No meu caso após definir a estratégia de estudo, tempo para a preparação, e executar o plano, fiz uma revisão (o treinamento oficial) 15 dias antes da prova e nas 2 semanas subseqüentes fiz uma revisão geral apenas uma recapitulada utilizando meus resumos e também alguns simulados.

7. Durante a prova mantenha a calma, o inglês afiado é PRIMORDIAL, leve um bom dicionário inglês – português (que é permitido e pode ajudar muito). Ai é só colocar os conhecimentos adquiridos em prática e como me disse o mestre
Augusto Quadros Paes de Barros na véspera da prova:
“Divirta-se durante a prova”

E como diria o Anderson Ramos:
“Sucesso, pois para quem está preparado devemos desejar Sucesso não Sorte”.

Bom é isso espero que tenhamos muitos mais CISSPs nos próximos anos.

Que venha agora o PMP e o CISA (espero no fim do ano trazer dicas também).

terça-feira, janeiro 24, 2006

Trojan para celulares.

Desde a descoberta do primeiro vírus para celular em 14 de junho de 2004, o Worm batizado por Cabir que comprometia celulares com o sistema operacional Symbian (suporte a plataforma Série 60) e se propagava via Bluetooth, nem muita coisa mudou, abaixo uma notícia publicada pela SYMANTEC sobre Trojans, ISSO MESMO, Trojans para celulares, apesar de considerados pouco "automatizados"e de baixo risco é importante ficarmos de antena ligada, afinal a sua empresa já está preparada para tratar esse tipo de problema, ou pior você sabe quem atualmente usa e armazena informações da sua empresa em dispositivos móveis e celulares?

http://enterprisesecurity.symantec.com/content.cfm?articleid=6369

O vírus Cabir não causava muito estrago, basicamente se replicava através do recurso de Bluetooth se “alojando” na caixa de entrada de mensagens do celular como um arquivo .sis, quando o usuário clicava na “mensagem” e escolhia a instalação ele infectava o dispositivo e iniciava a procura por outros dispositivos Bluetooth para sua propagação. Apesar de não causar muito estrago o vírus Cabir comprovou que os celulares e dispositivos móveis estão vulneráveis a vírus assim como a plataforma de PC’s.

Com a convergência da tecnologia móvel, transformando o celular em um poderoso dispositivo de armazenamento de dados e processamento de informações, sendo utilizado para visualizar e-mails, processar textos, planilhas, executando dessa forma muitos aplicativos além é claro da conectividade disponibilizada entre dispositivos, o risco de problemas relacionados à segurança aumenta consideravelmente.

Recomendações básicas como a utilização de um bom antivírus e sistemas de Firewall devem ser consideradas, principalmente no caso de telefones celulares e ou Smartphones que são utilizados para efetuar acesso direto à Internet, em alguns casos até mesmo ganhando um endereço válido na Internet. Alguém em sã consciência utilizaria um PC diretamente conectado na Internet sem no mínimo um antivírus e um bom Firewall instalado? Esse mesmo pensamento deve ser considerado para os celulares.

Outras recomendações como não abrir e-mails desconhecidos, documentos anexos duvidosos e mensagens de procedência desconhecida são importantes. Será uma missão fácil conscientizar usuários quanto a utilização de celulares de forma segura? Se no cenário atual conscientizar quanto a utilização segura de PC's já é muito difícil, imagino quanto a dispositivos móveis.Vale lembrar que recursos como Wireless e Bluetooth mal configurados podem também expor o dispositivo móvel a acessos indevidos e ações maliciosas. (velho problema das configurações Default).

Não podemos também nos esquecer que dispositivos móveis estão mais suceptíveis a roubo, ou seja, se informações são armazenadas nos mesmos, elas devem ser adequadamente protegidas, atendendo às necessidades do negócio e até mesmo requisitos definidos em uma política de utilização de dispositivos móveis (soluções de criptografia de dados podem ser consideradas).
Resumidamente, todos os problemas de segurança conhecidos no mundo dos PCs podem e com certeza deverão migrar ( e acho que em um curto espaço de tempo) para os dispositivos móveis celulares, em vista disso devemos considerar um “Kit de proteção” BÁSICO.

- Utilização de um bom Antivírus.

- Utilização de um Firewall principalmente em celulares que são utilizados para acesso a Internet, já que qualquer dispositivo diretamente conectado à Internet tem um risco de acesso indevido e ou invasão potencializado em virtude da conectividade com a rede mundial de computadores.

- Cuidados operacionais na utilização de e-mails, internet e serviços públicos (Internet).

- Verificação periódica por atualizações e correções de sistemas e aplicativos utilizados nos celulares.

- Armazenamento seguro de informações utilizando se o nível de criticidade exigir até mesmo soluções de criptografia de dados.

- Quem sabe num futuro próximo até mesmo Anti-Spywares e IDS e ou IPS... ...

Será que em breve deveremos nos preocupar com "Patch Management" para dispositivos móveis? Phising ? Key Loggers? Esse com certeza é um assunto para outro artigo.

Apenas mais uma observação:

vale lembrar - SOMENTE INSTALAR QUALQUER SOLUÇÃO NÃO RESOLVE PROBLEMAS RELACIONADOS À SEGURANÇA, É COMUM O MERCADO DAR NOME DE PRODUTOS PARA A SOLUÇÃO DE TUDO MAS É PRECISO INSTALAR, CONFIGURAR, GERENCIAR E MONITORAR ADEQUADAMENTE SEMPRE, ADEQUANDO PROCESSOS, TREINANDO E PREPARANDO PESSOAS.

segunda-feira, janeiro 23, 2006

Formula 1: McLaren debuts 2006 MP4-21

A Mclaren mudando o seu estilo no mínimo interessante.
http://www.autoblog.com/2006/01/23/formula-1-mclaren-debuts-2006-mp4-21/

Iniciando as publicações / Inauguração

Bom finalmente resolvi criar meu blog e disponibilizar aqui informações de meu interesse como Segurança da Informação, Automodelismo, Carros (tuning), tecnologia entre outras coisas.

A muiiiiiiitoooooo tempo venho prometendo que criaria um espaço até mesmo para concentrar as informações para meus alunos e demais afins dos assuntos acima relacionados e aqui está.

Espero que isso venha a contribuir de forma positiva para todas as pessoas que acessarem esse espaço.