Attention / Atenção


This blog represents my own view points and not of my employer, Amazon Web Services

Este blog representa meus próprios pontos de vista e não do meu empregador, Amazon Web Services

sábado, dezembro 20, 2008

Para corredores

Para não misturarmos os assuntos, inicia-se hoje a SAGA Maratona 2009. Para quem já me conhece um pouco sabe que amo a corrida e no blog estarei publicando artigos e comentários sobre a trajetória.

Então para os amantes da Segurança, Tecnologia e Corrida sejam bem vindos.

Até os próximos Posts.

sexta-feira, outubro 31, 2008

A história se repete

Os pronunciamentos de Nicolas Sarkozy e de Dominique Strauss-Khahn nos permite inferir sobre o que nos aguarda (talvez muito mais rápido que possamos imaginar).

Talvez os leitores se recordem das empresas Enron, Tyco International, Adelphia, Peregrine Systems e lógico não poderíamos deixar de mencionar a WorldCom. As empresas em questão foram responsáveis por um escândalo que custou bilhões de dólares aos investidores americanos. Essa CRISE praticamente obrigou as autoridades americanas a criarem a SOX com o objetivo principal de regulamentar e recuperar a confiança dos investidores do mercado americano.

Se fizermos um paralelo com as notícias mencionadas e pensarmos na quebradeira (efeito dominó) dos Bancos, outras instituições financeiras e outros setores, é praticamente impossível não concluírmos que teremos novas regulamentações e todos os desdobramentos conhecidos (mais controles).

Agora acho importante ressaltar que a existência de regulamentações e boas práticas não garante o funcinamento da "máquina". A recente quebradeira de bancos americanos nos mostra isso.

Os bancos americanos estavam trabalhando com um índice de alavancagem muito maior que o recomendado pelo Banco Central Americano, mas pergunto, se a recomendação existia como o Banco Central americano demorou tanto tempo para reconhecer o risco, não estava monitorando adequadamente? Ou será que simplesmente aceitou o risco ou pior que isso omitiu esse risco literalmente rezando para que a coisa mudasse.

E como se não bastasse a "coincidência" de fatos, como ficam as auditorias independentes realizadas? Vale recordar que a Arthur Andersen simplesmente sumiu do mapa após os escândalos detectados.No caso dos Bancos as auditorias não perceberam nada antes? Quem auditava o Lehman Brothers por exemplo?


Onde há crise há oportunidade. Com a crise mundial podemos afirmar que teremos novos desafios para adequação as novas regulamentações, normas e alterações na forma de conduzir os negócios, trazendo consequentemente oportunidades para implementação de melhorias, integração, otimização orientada a Risco e atendimento aos objetivos estratégicos definidos, premissas essas totalmente aderentes ao conceito de GRC.

Será que a onda veio mais rápido que esperávamos, ou será um Tsunami?

domingo, setembro 21, 2008

A caminhada.

Gostaria hoje de compartilhar com os leitores do Blog a alegria que tive no dia de ontem (20 de setembro) ao voltar à Universidade São Francisco onde me formei em Engenharia de Computação em 2001.

Foi muito importante ter voltado onde praticamente se iniciou minha carreira(6 anos antes em 1995) podendo falar da minha profissão para os alunos da Graduação.

Adoro esse contato com as Universidades, a sagacidade dos alunos por conhecimento me faz sentir cada dia mais jovem, forte, disposto e motivado a continuar, literalmente me "recarrega as baterias".

Ontem me recordei de uma citação do professor Randy Pausch, pessoa que não tive a oportunidade de conhecer (infelizmente) mas que lendo seu livro e procurando um pouco de informações de sua vida é fácil descobrir um ser humano simplesmente fantástico, um exemplo de vida.

O professor Randy menciona em seu livro que ele sentia nas aulas e palestras que ministrava uma prazer enorme ao saber que nas aulas tinha a oportunidade de ajudar outros estudantes a obter conhecimento e se tornarem pessoas melhores (prova viva de doação).

Quando ministro aulas realmente tenho um prazer enorme em trocar conhecimento e saber que posso ajudar outras pessoas a refletir sobre segurança da informação ou sobre a própria vida. Sinceramente acredito que a reflexão seja um caminho curto para o equilíbrio e felicidade.

Ontem durante a palestra de 1 hora e meia, falei sobre a evolução da Área de Segurança da Informação, o cenário atual e as perspectivas de carreira. Achei importante destacar que quando eu fiz Universidade o assunto não era tão "abortado", ou seja, é fundamental aproveitar esse momento, muitas coisas que aprendi na área necessitaram de horas e horas e horas de auto estudo e dedicação (não que isso ainda não seja necessário), mas hoje o assunto está mais presente na vida "universitária" dos alunos, basta verificar a existência de matérias de segurança na própria graduação.

O tema por sí só já é muito interessante, e os alunos participaram ativamente com perguntas, realmente foi muito prazerozo e diria também que divertido.

No final da palestra fiz questão de enfatizar a emoção de estar na Universidade (detalhe na sala onde tive várias aulas de cálculo, física entre outras matérias), para trazer conhecimento, podendo assim me tornar também fornecedor de conteúdo e experiências para os alunos da gradução.

Será um momento a ser lembrado, andando pelos corredores vi um filme muito rápido passar pela minha cabeça com várias cenas, dificuldades superadas, desafios vencidos até chegar aqui nesse momento.

Isso só me da mais energia, permitindo saber que ainda existem muitos desafios a vencer mas que quando chegar lá, poderei olhar para trás com orgulho da caminhada.

Certa vez ouvi um provérbio (acho que chinês) que dizia mais ou menos assim... (Eu acho - rsrs).

"O mais importante não é chegar no topo, mas aproveitar toda a caminhada até lá".

Acho que é isso.

Mais um momento muito bacana, simples, mas inesquecível.

quarta-feira, setembro 10, 2008

Será o fim do mundo???

Realizou-se hoje a primeira tentativa para circular um feixe de partículas no LHC - Large Hadron Collider - que algumas pessoas tem chamado de "a máquina do fim do mundo".

Vale Conferir AO VIVO.

Mais informações.

sexta-feira, agosto 15, 2008

Fraudes em Cheques

Do Portal G1.

Fraudadores estão aplicando novo golpe utilizando-se de forno microondas para remover a tinta de cheques preenchidos por máquinas. As vezes (ou quase sempre) as vulnerabilidades são mais triviais do que parecem, já diria Albert Einstein, as coisas deveriam se tornar mais simples e não mais simplificadas.

quarta-feira, julho 09, 2008

O mundo é plano ... ... e a Segurança da Informação com isso???

Recentemete li o livro - O Mundo é Plano de Thomas L. Friedman - e o mesmo trata inicialmente do processo de Globalização e as alterações econômicas, sociais, educacionais e culturais que aconteceram e ainda acontecerão em virtude desse processo.

Sempre que leio um livro que não tem como assunto principal Segurança da Informação (e tenho feito isso com mais frequência) tento entender se os aspectos abordados podem gerar impacto na área de Segurança da Informação (minha paixão como profissão, assim como a corrida como esporte). Para minha surpresa apesar do livro não tratar diretamente do assunto Segurança da Informação em vários momentos o autor reflete direta ou indiretamente sobre o tema.

Apenas para exemplificar, o autor menciona em vários momentos os desafios de uma empresa para se globalizar e advinhe qual é um grande desafio ??? Se adequar as normas e regulamentações dos países alvo do "pouso" sem engessar o negócio, ou seja, as vezes será preciso abrir a torneira e as vezes fechar. Além disso com a Globalização e também com o avanço tecnológico, cada vez mais o vazamento de informações é fato e vira um incidente de segurança corriqueiro.

Essa semana a revista Exame publicou uma matéria sobre Vazamento de Informações e formas de mitigar esse risco. Para nós profissionais de segurança a matéria pode não trazer novidade alguma, mas me atrai o fato de uma publicação que não é da área de Segurança tratar desse tema, ainda mais uma publicação que trata de negócios e fala a linguagem do gestor, será que Segurança da Informação está entrando mesmo na pauta da Alta Gestão? Tenho CERTEZA que sim.

Em um mundo Globalizado a Segurança da Informação é primordial para o sucesso de uma empreitada Global, seja atendendo a várias regulamentações em diferentes países, analisando os riscos de segurança para o negócio ou ainda garantindo um braço forte para a Governança Corporativa.

Opa ... ... me parece que nesse momento estamos falando de GRC (Governança, Risco e Compliance), e estamos mesmo. Risco para nós profissionais de Segurança não parece ser grande novidade, Compliance pode não parecer também muito distante de nossa realidade, mas Governança Corporativa é muito mais amplo e importante, falar a linguagem dos negócios é primordial para nossa área e nada melhor do que entender os conceitos de Governança e avaliar onde e como a Segurança da Ínformação pode contribuir para esse cenário, de Globalização, Regulamentação, Controles, Riscos e Governança Corporativa.

Recomendo a Leitura desses dois Livros para pensar sobre o tema:
- O Mundo é Plano - Thomas L. Friedman.
- Uma década de Governança Corporativa - IBGC

Como já li os 2 livros em breve estarei publicando em parceria com um amigo artigo mais profundo sobre o tema.

Até o próximo.

O grande irmão.

Se a moda pega (aliás acho que já pegou por aqui faz tempo) a polícia vai instalar Spywares para monitorar suspeitos, e cá entre nós acho que está mais que certo mesmo, se usuários mal intencionados usam desse recurso a polícia tem o direito e dever de usar desses "recursos" tecnológicos para monitorar e obter as informações necessárias para as suas investigações.

segunda-feira, maio 19, 2008

Análise de Código

É fato que por mais que se implemente as medidas de segurança em um ambiente de TI, com Firewalls, Sistemas de Detecção e Prevenção de Intrusão, monitoração, NAC, NAP, anti isso, anti aquilo entre outros, um código com BUGS pode expor o ambiente de forma desastrosa.

Sendo assim a implementação de boas práticas de desenvolvimento e elaboração de um processo de desenvolvimento e codificação segura é primordial.

Para auxiliar nesse trabalho uma ferramenta de análise de código pode automatizar a verificação de BUGS(mas mesmo com uma ferramenta dessas acho que ainda nada substitui o bom e velho teste de segurança da aplicação).

Ainda assim esse comparativo de ferramentas do NIST pode ser um bom começo para realizar testes de segurança em aplicações de diversas naturezas.

sexta-feira, maio 16, 2008

Relatório Interpol

O relatório de análise forense foi publicado na íntegra, vale a pena conferir, após minha leitura vou publicar os comentários.

Boa leitura.

RELATÓRIO INTERPOL

sábado, janeiro 26, 2008

Ferramenta Indispensável.

Para os profissionais de segurança que alguma vez já precisaram efetuar análise comportamental de um Malware, com certeza já utilizaram as ferramentas do Sr. Mark Russinovich. Confesso que depois da aquisição da Sysinternals pela Microsoft, fiquei "preocupado" com o futuro das ferramentas, mas é ótimo perceber que as ferramentas evoluíram muito e foram incorporadas já a algum tempo na plataforma de sistemas operacionais da Microsoft.

Essa semana tive que utilizar o Process Monitor e resolvi testar a nova versão, achei simplesmente fantástico, facilita muito a análise de binários.

Aqui o link link para a ferramenta Process Monitor e demais ferramentas.


Adicionalmente recomendo assistirem ao vídeo do próprio Sr. Mark.

Bons testes (rs).

quarta-feira, janeiro 23, 2008

Nova roupagem para velhos conhecidos

Enquanto "velhos" atores e artistas são ressuscitados através de filmes e documentários trazendo nova roupagem para velhos conhecidos (Rocky Balboa, Rambo4, Indiana Jones, Jackson 5 entre outros) vejo que também na área de segurança velhas vulnerabilidades trazem novo problemas.


Uma notícia do Computer World me fez lembrar dos primeiros ataques direcionados aos usuários (PHISING) que tinham como objetivo alterar as configurações de DNS da estação ou o arquivo hosts do Windows direcionando o usuário para um site fake.

Agora o ataque é praticamente o mesmo porém direcionado para outro "ativo", nesse caso o roteador Wireless.

O chamado "drive-by pharming" compromete os roteadores Wireless que usam o antigo VENENO usuário e senha padrão.

Está ai, velhos truques com novas roupagens.

sexta-feira, janeiro 18, 2008

A insegurança em locais inimagináveis

A cada vez que vejo uma notícia como essa de um garoto que consegue ocasionar um estrago real usando vulnerabilidades tecnológicas simples, tenho a certeza que o futuro "promete", afinal tecnologia e conectividade estão presentes em literalmente tudo (imagino uma geladeira IP sendo comprometida -rs), chego até a pensar que o filme Duro de Matar 4 pode não estar exagerando tando assim (mas pensando bem invadir um satélite usando um Nokia Communicator com Symbian é D+ pra mim).

Todos os dias novas tecnologias surgem e dai a necessidade de novas preocupações com segurança, novas especificações, novos padrões, e antes mesmo de implementarmos novas tecnologias SEGURAS, aparecem outras, depois outras e sucessivamente, realmente vira uma corrida contra o tempo (me lembro sempre da imagem de um cachorro correndo atrás do rabo).

Com isso vão se criando legados muito rapidamente e esses consequentemente vão ficando praticamente esquecidos, até que um profissional totalmente paranóico de segurança da informação (afinal ser paranóico às vezes é preciso, mas com sabedoria, mesmo que pareça difícil) lembre dela ou aconteça um evento como o anteriormente mencionado.

Gostei também da conclusão do Schneier.