Fernando Fonseca: Blog

Personal Branding em Segurança da Informação

Sat, 09 Aug 2008 12:23:39 GMT

Atribui-se a criação do conceito de “Personal Branding” ou Marca Pessoal a Tom Peters, que em 1997 publicou na revista “Fast Company” o artigo “The Brand Called You”, no qual desenhou os princípios do marketing pessoal, com frases fortes como: “Se você é realmente esperto, você cria uma mensagem e uma estratégia para promover a marca chamada você.”, “A partir de hoje, você é uma marca”.

Personal Branding pode ser descrito como uma série de ações estratégicas que tem por objetivo posicionar um indivíduo perante o mercado como uma marca, evidenciando aquilo que o diferencia dos demais, seja no âmbito pessoal ou profissional.

Identificam-se na atualidade dois tipos de uso para marcas pessoais, no primeiro vendem-se produtos, como nos casos do George Foreman Grill, onde se associa o lutador a um produto para fazer alimentos com menos gordura. O segundo tipo de marcas pessoais é aquele em que a excelência de seu criador torna-se um produto. Produtos desenhados por marcas como Armani, Chanel, Calvin Klein, tem como valor agregado a confiança do cliente ou consumidor na expertise de seu principal criador.

Nota-se também que uma vez que o criador de uma marca ou conceito se estabelece em um determinado segmento por uma abordagem diferenciada, este produto pode sobreviver à própria pessoa, ao exemplo de Walt Disney, que empresta seu nome e conceito aos estúdios dirigidos hoje por seus herdeiros. Na indústria de S.I. podemos analisar casos como o de Peter Norton, que ficou famoso com o Norton Antivírus nas décadas de 80/90 e continuou por anos emprestando sua imagem ao produto e do russo Kaspersky, que mesmo com um nome tão difícil para outras línguas já é reconhecido como excelência em antivírus.

A partir de hoje, você é uma marca

Uma marca construída consistentemente baseia-se na experiência e qualidade do trabalho de seu criador. Marcas pessoais podem tem como diferencial uma especialização em um nicho de mercado atendido com excelência ou uma característica marcante que um determinado profissional emprega em seus trabalhos, em ambos os casos diferenciando este profissional dos demais em seu segmento.

Segundo Peters [1] o primeiro passo é não pensar em você como um colaborador de uma empresa X ou Y. Associações do tipo “O Fernando da Microsoft” ou “O Fernando instrutor da Módulo” podem ser temporárias e não falam nada sobre sua experiência ou valor, servem apenas como um endosso, mostrando ao mercado que uma empresa acredita em você e que provavelmente você desempenha determinada função bem.

Associações da pessoa à sua obra como “O Fernando da Academia Latino-Americana de Segurança da Informação” são mais desejáveis quando se pensa em marca pessoal porque também te endossam e dizem algo a mais sobre seu trabalho. No entanto, associações como “o Criptógrafo Bruce Schneier, autor do Bluefish e Twofish” são as matadoras e, guardadas as proporções, são estas que devemos procurar.

O que te faz diferente

Acho que todos nós sabemos no íntimo o que nos diferencia dos demais, o que fazemos com tanta paixão que gostaríamos de ser lembrados por isso. Muitas vezes nos desviamos do que fazemos de melhor por buscar um cargo de destaque ou hierarquicamente superior, como no personagem de Jim Carrey em “O Todo Poderoso”, que queria ser âncora de um noticiário, mas tinha um talento sem igual para ser um repórter de rua e divertir as pessoas.

Acredito que as pessoas só se realizam executando o que realmente tem vocação e interesse. Pessoas que se condicionam a uma situação podem ser competentes e até bem sucedidas, mas raramente serão consideradas brilhantes.

Procure em sua carreira os momentos que se sentiu à vontade com algo que estivesse fazendo, procure os melhores resultados que obteve em um projeto e quando foi mais admirado por algo que fez. Ai você encontrará sua marca pessoal. Não tente melhorar o que você não é tão bom se isso estiver fora de seu foco, invista no que você faz de melhor e destaque-se dos demais por isso. Como ouvi certa vez: “Especialização é saber cada vez mais de cada vez menos”.

Credibilidade

A credibilidade não vem através de propaganda, não adianta fazer um site falando sobre o que você sabe fazer se ninguém avaliza isso. O reconhecimento de suas habilidades vem através das pessoas ou entidades que falam sobre você.

Em TI e SI as certificações de fornecedores (vendors) indicam como as empresas como Módulo, Microsoft, Cisco, Red Hat o qualificam em relação a seus produtos e as certificações de associações como a ISC2, ISACA, LPI o qualificam em relação ao conhecimento que elas consideram um diferencial para seus associados. Apesar das certificações terem este papel, os profissionais precisam corresponder às expectativas geradas por elas. Promover-se sem respaldo é pior do que o anonimato, é a exposição em larga escala de suas deficiências ao mundo.

Muitas pessoas criticam as certificações dizendo que estas não garantem que a pessoa certificada é um bom profissional. Tenho que concordar com isso, mas o que estas pessoas não percebem é que as certificações são uma oportunidade de ouro de ter um terceiro confiável falando algo sobre você, e que sem estas você terá que se apoiar em seus colegas e ex-colegas de trabalho para lhe promoverem ou abonarem qualquer referência a seu respeito.

Ética

Não basta ser bom técnica ou administrativamente, o profissional completo precisa manter sua imagem imaculada, longe de algo que o desqualifique para o mercado. As empresas confiam aos profissionais de S.I. seus ativos mais valiosos e algumas vezes a própria continuidade de suas operações. Qualquer pessoa que possa ser lembrado por uma ação antiética, ocorrida a qualquer tempo, enfrentará dificuldades em convencer uma organização a confiar seus ativos a ele.

Construir a marca

Para construir uma marca é preciso trabalhar! É necessário que mostremos ao mundo o conhecimento e o potencial que existe dentro de nós. Escrever artigos, criar um blog, ministrar palestras e treinamentos, participar de comunidades de relacionamento e participar ativamente de listas de discussão são apenas alguns exemplos de como construímos uma marca pessoal. Quando um profissional se relaciona com os demais debatendo assuntos relevantes à sua área de atuação ele demonstra não somente seu conhecimento, mas também sua capacidade de argumentação, diálogo, entendimento e também sua preocupação em dividir e expandir seus conhecimentos.

Demonstra também alguns traços de sua personalidade na medida em que as discussões ocorrem. Por este motivo os blogs e as participações em listas de discussão têm papel importante para a fixação do nome dos profissionais na mente de seus colegas. Não raramente reconheço colegas de lista em eventos e treinamentos simplesmente pelo nome, a partir daí fica fácil estreitamos nosso relacionamento e conhecermos um pouco mais de cada um.

Diga-me com quem tu andas...

As associações de profissionais como a ISSA e a ISACA tem a função de congregar pessoas com interesses e objetivos em comum e a partir daí buscar benefícios para seus associados. Ao se associar a uma entidade de profissionais você não está apenas “comprando” os benefícios que esta associação lhe oferece, está também demonstrando aos colegas sua afinidade com os ideais da associação e seu comprometimento em fazer com que a associação cresça e torne-se mais expressiva no mercado, podendo assim trazer mais benefícios aos associados. Por outro lado as associações devem promover o “networking” entre seus associados, gerando oportunidades de colaboração e crescimento dos mesmos.

Nunca almoce sozinho

Essa frase está na capa de um dos mais interessantes livros sobre networking do planeta. Ele retrata a importância de ser generoso e manter o relacionamento com as pessoas pelas quais você possui afinidades pessoais e/ou profissionais.

Troque idéias sobre suas aspirações e projetos, ouça seus colegas e ajude-os sempre que possível. Não se trata de ser falso ou dar telefonemas automáticos e apertos frios de mãos. Trata-se de lembrar-se das pessoas que o enriquecem de alguma forma e tirar um tempo para estar em contato elas, fazendo desses encontros uma troca. Ações como esta lhe manterá no mercado e revitalizará suas idéias e seus planos.

Conclusão

Não adianta só botar o ovo, tem que cacarejar! A demonstração de seus conhecimentos e resultados é benéfica para você e para a(s) empresa(s) com as quais você trabalha. Ter um profissional reconhecido no staff é positivo e desejável para as empresas, afinal de contas a prestação de serviços vive da imagem de seus profissionais e as demais empresas “pontuam” com seus acionistas ao depositarem seus ativos em mãos reconhecidamente capazes de protegê-los.

Comece hoje, pense grande e comece pequeno, faça um pequeno progresso a cada dia e no final talvez possa dizer algo como ouvi uma vez do Renato Russo: “Nós queríamos ser como os Beatles. Não deu, mas conseguimos ser a Legião”.

[1] Peters, Tom – The Brand Called You – Fast Company, consultada em 04/05/2008 – 22:15 http://www.fastcompany.com/node/28905/print

Videos da DEFCON 15

Fri, 25 Jul 2008 01:05:13 GMT

Hoje estava procurando por um assunto quando achei um vídeo da Defcon 15 (2007) no Google Videos. Revi alguns trechos de palestras que tive o prazer de assistir em Las Vegas e selecionei outras para uma visita posterior. Recomendo a todos procurarem por "DEFCON 15" no Google vídeos, mas vou recomendar algumas:

Pen Testing Wi-Fi

Windows Vista Log Forensics

Real Time Steganography With RTP (Voip)

Procurem pelo resto, tem muito mais :-)

A ISSA e o PLS 76 do senador Eduardo Azeredo

Tue, 15 Jul 2008 15:43:30 GMT

A primeira vez que ouvi falar do PLS 76 foi em outubro de 2005, em um evento de segurança da informação em Belo Horizonte no qual fui palestrante. No mesmo me chamou a atenção o fato que o senador Eduardo Azeredo palestraria sobre este projeto. Durante a palestra o assessor do senador abordou a convenção de Budapeste, ou “Convenção do Cibercrime”, e mostrou a necessidade de criação de leis no Brasil para que possamos ser signatários deste tratado de cooperação internacional. Percebendo “gap” jurídico existente, e claro que minha atenção se voltou para avaliar este projeto no ponto de vista da segurança da informação.

O projeto de lei do senado (PLS) 76 é bastante ambicioso por trazer alterações no Código Penal, Código Penal Militar, Código do processo penal, Estatuto da criança e do adolescente e o Código de defesa do consumidor, tipificando nestes os crimes digitais. Hoje é possível se deter ou condenar pessoas que se utilizam de computadores para praticar crimes, mas não existe na legislação crimes como criação de vírus ou destruição de dados. O criminoso é preso por algum dano causado por ele que se enquadre em outro crime comum.

Posteriormente tive outras oportunidades de acompanhar o desenvolvimento do projeto através de palestras do Senador e do Sr. José Henrique Portugal até que um dia, já como diretor de comunicação da ISSA, convidei-o para um debate com os nossos associados, convite que foi prontamente aceito e o debate realizado no dia 27 de novembro de 2006 com a presença também do Dr. Rony Vainzof, sócio da Ópice Blum Advogados Associados. Nesta ocasião algumas alterações do PLS foram sugeridas e acabara por incorporar a nova versão do documento. Dentre elas destaco:

1) Substituição do termo “vírus” por código malicioso, uma vez que um código malicioso pode não possuir nenhum mecanismo de reprodução mas causar danos incalculáveis a uma empresa.

2) Extensão da proteção para profissionais de S.I. realizando “testes de invasão” ou “Etical Hacking” na definição de defesa digital.

Obs: Posteriormente esta proteção foi retirada juntamente com toda a parte de defesa digital devido à pressão de alguns setores da sociedade.

3) No artigo 154B incluímos tipificar a manutenção de dados por tempo superior ao autorizado como obtenção ilícita

4) No artigo 154D sugerimos a inclusão do termo “utilizar” informações de banco de dados junto aos termos “comercializar” e “disponibilizar”, para evitar que uma empresa use informações coletadas para uma finalidade com outra finalidade.

A identificação de usuários e retenção de Logs

Um dos princípios mais marcantes da segurança da informação é o Triple A (Authentication, Authorization e Accountability), e sem que este princípio seja aplicado mesmo que parcialmente se torna impossível identificar inequivocamente qual usuário está acessou um recurso em um determinado momento onde um crime foi realizado.

A discussão sobre a obrigatoriedade da identificação de usuários da internet (note que o projeto não prevê monitoração, apenas prevê o registro do IP utilizado para fins de investigação) e a retenção destes registros (logs) por um período determinado de tempo nos chamou a atenção devido a alguns absurdos veiculados na mídia (Ex: o fim da privacidade na internet, o Big Brother da Internet, etc) sem nenhuma fundamentação no projeto ou na segurança da informação, e trouxe a ISSA para o debate, entendendo que o projeto lidava com aspectos extremamente relevantes para nossa categoria e que era nossa obrigação colaborar para a melhoria do mesmo.

A Defesa Digital

No dia 4 de junho de 2007 nos reunimos novamente com os associados para discutir entre outras coisas a Defesa Digital, que já havia sido citada no encontro anterior devido à nossa preocupação quanto à sua interpretação, mas não havíamos colaborado com o texto da mesma. Reproduzo um trecho do blog do Augusto Paes de Barros, nosso ex-presidente e atual diretor de comitês extremamente “didático” sobre o assunto:

“O assunto polêmico do momento é o termo "defesa digital". Do jeito que parece pelos comentários que andam fazendo, isso transformaria a Internet brasileira em um faroeste sem lei. Não é bem assim. O objetivo lá é, por exemplo, evitar que você seja preso por manipular um vírus ao criar uma assinatura para seu IDS, por exemplo. Lá está muito claro, "sem risco para terceiros". Nos parágrafos que citam que não há crime quando a ação é executada em defesa digital sempre há a expressão "excetuado o desvio de finalidade ou o excesso".
Vale comentar que um pedaço disso (defesa digital) foi inserido no projeto para evitar que a lei seguisse o mesmo caminho que o DMCA e similares nos EUA. Vários pesquisadores em Segurança por lá ficaram ameaçados de ter seu trabalho classificado como crime por conta da redação das leis sobre o assunto. O Niels Provos, por exemplo, tirou o site da ferramenta do honeyd do país por causa disso. Acho justo e adequado que alguém pense em evitar que isso aconteça aqui também”.

Após este segundo debate a ISSA ainda enviou algumas sugestões de melhoria para o texto, mas o “barulho” já havia sido feito, através de uma interpretação pouco acertada e bastante distorcida do texto apresentado. Desta forma, o tópico acabou sendo retirado pela emenda 02 do senador Flexa Ribeiro da CCJ (Comissão de constituição e justiça).

A ISSA e o PLS

Seguindo a orientação de nosso presidente mundial, a associação entende que deve participar no processo e contribuir em ações que tragam melhorias para a segurança da informação, mas por outro lado optamos por não apoiar, condenar ou realizar qualquer ação que possa ser interpretada como Lobby pela sociedade. Assim sendo, a ISSA e os associados presentes ficaram muito orgulhosos e agradecidos pela oportunidade de colaborar com a criação de uma lei, mas nossa participação se limitou a sugerir e prestar toda a assessoria solicitada para o aperfeiçoamento do projeto, mas sem defendê-lo ou condená-lo oficialmente. Não cabe a nós ajudar a aprovar ou vetar um projeto de lei, mas nos certificar que caso este seja aprovado, tenhamos uma lei mais adequada ao interesse maior de nossos associados, a segurança da informação.

Cada membro da associação possui sua opinião pessoal sobre o projeto e pode expressa-la em seus blogs ou qualquer outro meio como profissional de SI, e não como uma opinião da ISSA como um todo.

Cronologia dos debates da ISSA sobre o PLS 76 / 2000

27 de novembro de 2006 – Debate com o Assessor do senador Eduardo Azeredo, o Sr. José Henrique Portugal, contando com a presença também do Dr. Rony Vainzof, sócio da Ópice Blum Advogados Associados.

22 de Dezembro de 2006 – ISSA Day Belo Horizonte – Debate com associados e convidados da ISSA sobre o PLS 76 com a participação do Sr. José Henrique Portugal.

4 de junho de 2007 – Debate com os associados da ISSA com envio de sugestões para o PLS 76

Como a ética abandonou o mundo

Wed, 21 May 2008 02:57:44 GMT

Lendo alguns posts na CISSP-BR comecei a pensar em como a ética tem tido seu valor cada vez mais tratado como secundário no mundo (corporativo ou não) e como o mundo tende a chamar de vencedor quem conquista as coisas materiais (cargo, salário, bens, etc) e chama de pessoa especial ou iluminada (como se seu comportamento fosse impossível para os outros mortais) os que vivem na ética. O senso comum parece nos dizer que viver na ética é não fazer algo de errado, ou algo pelo qual possa ser preso ou processado. Estamos prestes a oficializar os pequenos trambiques como ferramenta de sobrevivência. Gostaria de colar um trecho do post do Anderson Ramos que li com muita felicidade:

"Muitos dos caras que às vezes aparecem aqui na lista pedindo o envio de cópias piratas de normas (pois elas são caras né? eles não têm dinheiro pra comprar senão não conseguem sobreviver) ou a classe média que usa antivírus pirata (muito caro né, se você gastar 90 reais no Norton não vai conseguir alimentar a família), se vivessem nas condições em que vive a periferia que foi aqui injustamente generalizada em algumas colocações, fariam muito pior do que esse bandido que aparece na notícia."

Os executivos dos grandes centros comerciais do Brasil que compram os CD's e DVD's piratas nos camelôs, ou compram recibos de médicos e dentistas para o IR parecem estar roubando de uma entidade inexistente, alguém que não precisa daquilo (no caso gravadora, empresas de software ou o governo), assim como o aprendiz de bandido "Fábio" da reportagem do rodapé do post. As pessoas não notam que o que está em jogo não é o outro lado, mas sim o que elas mesmo estão adotando como valor. Mais de 30 anos depois, a lei de Gerson ("para quem quer levar vantagem em tudo") parece ter sido enraizada na cabeça de nossa geração, e enquanto as pessoas não perceberem o valor de uma vida ética, ainda viveremos com uma noção inválida de sucesso.

Não me limito a falar apenas dos CD's e DVD's piratas, mas o que vejo na política e nas corporações parecem uma extensão da falta de ética das ruas, que se acostumou a chamar de "Jogo do Poder". Projetos (de lei ou não) sendo prejudicados por políticas e interesses pessoais, pessoas favorecendo outras por interesses duvidosos, pessoas prejudicando projetos necessários à sua empresa ou nação somente para prejudicar seus líderes, etc. Essa realidade está nos governos e nas empresas e são passados sem culpa dos pais para filhos, no entanto as pessoas se chocam ao ver um "Ladrão de Galinhas virtuais" com valores morais falhos (mas não tão falhos como alguns "ricaços") admitir que não acha errado roubar algumas dezenas de reais de quem pode ter um cartão de crédito.

Hacker brasileiro relata 'carreira' de crimes online: http://tecnologia.terra.com.br/interna/0,,OI2897760-EI4795,00-Hacker+brasileiro+relata+carreira+de+crimes+online.html

Controle de Conta de Usuário (UAC - User Account Control) e o Modo de Aprovação de Administradores (Admin Aproval Mode - AAM)

Sun, 25 Nov 2007 04:29:17 GMT

Um dos recursos mais interessantes do Windows Vista, e coincidentemente um dos que mais tem gerado reclamações quanto à usabilidade é o UAC (User Account Control), que foi inicialmente chamado de LUA (Limited User Access). Acho que o ponto inicial desta discussão seria entender porque a Microsoft adotou essa estratégia, e porque os usuários ainda não se acostumaram com a mesma.

Quando a Microsoft desenvolveu as primeiras versões do DOS, ela fez um sistema para uso pessoal em um computador pessoal, ou seja, nenhum requisito de segurança foi levado em consideração, um usuário ao iniciar um computador tinha plenos poderes sobre o mesmo pois teoricamente o computador era pessoal, pertencia ao usuário.

O produto Microsoft para empresas sempre foi a linha NT (Server e Workstation), os quais possuíam um controle de acesso, diferentes perfis de usuário e um sistema de arquivos com permissões DACL (Discritionary Access Control List). O Windows 95 trouxe um pouco deste mundo para o velho e surrado DOS, que até então estava apenas coberto com uma capa gráfica através de perfis de usuário e de um reference monitor, que mediava acesso ao hardware. Por isso tantos softwares do Windows 3.11 e DOS não funcionavam no Windows 95, e tantos usuários reclamaram da incompatibilidade de os "absurdos" 8 MB de RAM para rodar o sistema bem.

Nos últimos anos, mesmo os recursos do NT se mostraram insuficientes para manter a segurança em um mundo totalmente conectado, e a comunidade de TI e SI passou a desejar um sistema mais seguro, uma vez que as versões 2000 e XP apesar de trazerem melhoramentos não reviraram tão bruscamente o kernel a ponto de mudar o comportamento do sistema. O Vista trouxe esta mudança, e um ponto principal para isso era manter o usuário trabalhando sem "super poderes" sobre o sistema, mesmo que ele os tenha. Essa atitude visa a impedir que programas maliciosos se aproveitem de um lapso dos usuário para se utilizarem de seus "poderes".

A estratégia básica do UAC é separar o usuário padrão do usuário administrador, criando assim uma dupla identidade para o mesmo. Durante todo o tempo em que o usuário utiliza o Windows Vista, ele sempre trabalha com sua identidade padrão, sem permissões de administrador. Quando algum aplicativo solicita que uma tarefa que necessita de permissões administrativas seja executada, o sistema avisa ao usuário e pergunta se ele realmente deseja realizar aquela tarefa. Isso pode acontecer de 3 formas:

1) Elevação automática (Sem perguntar):

Funciona como nas versões anteriores do Windows, o usuário não é questionado quando à utilização de seus direitos de administrador e automaticamente o aplicativo recebe a permissão. Este modo parece ter sido criado somente para aqueles usuário que não aceitam uma janelinha na sua frente perguntando se ele autoriza ou não uma ação, mas agindo dessa forma o UAC não consegue agregar segurança ao processo. O mais incrível para mim e ver que muitos usuários (os mesmos que pediam por mais segurança) aprenderam a configurar suas máquinas dessa forma, e abrem mão de toda a segurança do UAC.

2) Pedir Consentimento (Padrão):

Neste modo o usuário é apenas consultado pelo sistema para elevar seu nível de privilégio ao maior disponível. A Cor da tarja superior da janela pode ser Azul (componente do Windows), Cinza (Programas com assinatura digital) e Laranja (programas não assinados digitalmete), conforme representado nas figuras abaixo:

3) Pedir credenciais:

Quando configurado desta forma, o UAC pede para que o usuário insira novamente a senha a cada vez que tiver que utilizar seus direitos administrativos, conforme exemplos abaixo:

O Comportamento do UAC pode ser facilmente configurado através do Snap-in "Diretiva de segurança local"

Na diretiva "Comportamento do prompt de elevação de administradores no Modo de Aprovação de Administrador" pode-se escolher entre: Elevar sem aviso, Pedir credenciais ou Pedir consentimento, conforme a figura abaixo:

Nos próximo post, vou abordar o Desktop seguro, aquela tela escurecida para tudo que o usuário está fazendo e deixa tudo mais escurecido. Veremos que trata-se de outro importante recurso de segurança do Vista ainda incompreendido pelos usuários.

PLS 76 e a Defesa Digital

Tue, 20 Nov 2007 00:21:04 GMT

"Leis são como salsichas, melhor não saber como são feitas"

A recente discussão sobre o PLS 76 do senador Eduardo Azeredo me levaram a identificar o real sentido desta frase, neste caso ela não pela forma como o texto é feito, mas pela forma como diversos setores da sociedade agem para desfazê-la.

Tendo acompanhado este projeto de Lei já há 2 anos e visto inúmeras barbaridades na forma como as informações tem sido manipuladas para que o mesmo se torne "impopular" e como o mesmo tem sido tratado por alguns grupos, que reproduzem em coro algo que não entendem, sem a preocupação em avaliar verdadeiramente o projeto.

O Projeto apresentado pelo senador Eduardo Azeredo modifica o Código Penal, Código Penal Militar, Código do Processo Penal e Código do Consumidor, visando tipificar condutas mediante uso de sistema eletrônico, o que hoje não existe em nossa lei. O PLS 76 estabelece penas para:

- Acesso indevido a sistemas;

- Roubo de dados;

- Quebra de confidencialidade (um dos pilares da segurança);

- Criação ou propagação de código malicioso;

- Falsificação de cartão de crédito, débito ou similar;

- Clonagem de telefones celulares ou meio de acesso a redes de computadores.

Além disso o projeto ainda cria um mecanismo de proteção ao consumidor, obrigando que o mesmo seja informado sobre a necessidade do uso de senhas ou similares, visando protegê-los de diversas ações maliciosas.

O Brasil necessita de uma lei que o possibilite tornar-se signatário da convenção sobre o Cibercrime, também chamada de Convenção de Budapest, celebrada em novembro de 2001, e este projeto tem sido considerado por muitos um dos mais avançados do mundo em termos de combate ao Cibercrime, mas toda vez que o mesmo é entregue à CCJ (Comissao de Constituição, Justiça e Cidadania) algum ítem é questionado e o projeto aparece como um vilão para a sociedade. Foi assim quando acusaram o projeto de tentar controlar a Internet e novamente quando o acusaram de dar "superpoderes" aos analistas de segurança da informação, duas insanidades que se não tivessem circulado pela mídia como um "hoax" circula pela Internet seriam somente uma piada ou prova de incapacidade de interpretação de quem os criou. Vejamos o foco dos dois ataques:

1) "A obrigatoriedade de se indentificar o usuário é uma invasão de privacidade e um atentado a um direito humano fundamental."

Não existe isso, o projeto só pede que o provedor possa identificar qual de seus usuários conectou-se em determinado momento, e qual IP lhe foi dado para navegar na Internet. Nenhum registro do uso da internet pelo usuário será criado. Na realidade o projeto só regulamenta uma prática comum entre os maiores provedores de banda larga. Por outro lado, sem esta identificação vários criminosos podem se esconder em continuar a cometer crimes não só de roubo, mas de calúnia, difamação, racismo, pedofilia, e até mesmo marcar encontros que culminam em agressões físicas ou assassinatos.

2) "A Retenção de logs por 3 anos aumenta o custo de operação e prejudica a inclusão digital"

Complementando o ítem anterior, é necessário que se identifique autores de crimes. Não se pode desprezar a segurança em função de custos, é irresponsabilidade sugerir algo em contrário a isso.

3) "A Defesa digital vai dar superpoderes aos analistas de rede"

Após debatermos sobre o PLS 76 e mais específicamente sobre a defesa digital em uma reunião da ISSA (International Systems Security Association) , os presentes chegaram à conclusão unânime que o artigo é fundamental para o exercício de nossa profissão amparados pela lei. Mas uma vez que este artigo recebeu muitas críticas de outros setores da sociedade, propusemos a seguinte alteração na definição de Defesa Digital:

O Conceito de Defesa Digital: A definição está adequada, retirando o “resposta a ataque”, substituindo o “proveito próprio ou de seu proponente” por “defesa própria, de seu proponente ou da sociedade” e substituindo “interceptação defensiva” por “monitoração defensiva”.

Note: O termo “da sociedade” protege as pessoas que estudam e apontam vulnerabilidades para os fabricantes ou o fazem em feiras sobre segurança da informação visando alertar os proprietários dos sistema sobre a existência da mesma.

Após a alteração, a nova definição ficaria assim:

IV – defesa digital: manipulação de código malicioso por agente técnico ou profissional habilitado, em defesa própria, de seu preponente ou da sociedade, e sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de custódia no curso dos procedimentos correlatos, a título de teste de vulnerabilidade, de frustração de invasão ou burla, de proteção do sistema, de monitoração defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação.

Infelizmente o coro de fantoches de alguns setores da sociedade mais uma vez fez com que a defesa digital, considerada por muitos um dos artigos mais avançados no mundo neste sentido fosse retirado do projeto.

O que mais me incomoda é que fica claro que todos os ataques gerados ao projeto miravam um ponto polêmico para impedir que o todo, sendo que na minha opinião o que incomoda é alguns setores da sociedade é o custo gerado pela segurança proporcionada pelo projeto. Custos em manter registros de conexão (extremamente indicado por qualquer profissional de segurança), avisar aos usuários sobre os riscos em não configurar seus equipamentos, etc.

Como sempre: Segurança é bom, desde que não tenha custo.

Aplicando a pirâmide de Maslow ao Business Continuity Plan

Sat, 16 Jun 2007 02:30:28 GMT

Conversando com a alguns profissionais de segurança da informação, você sempre poderá ouvir um histórias sobre um plano de continuidade que falhou ou teve que ser complementado por causa de um pequeno fator: “o ser humano”. Focamos grande parte de nossos esforços em imaginar como manter nossa organização funcionando, manter a alimentação de nossos computadores, manter a comunicação com o mundo exterior e outras considerações pertinentes ao ambiente, mas apenas depois de algumas experiências, começamos a pensar em nossos colaboradores com mais atenção.

Na criação de um BCP, temos que condiderar que nossos coleboradores podem ter coisas mais importantes a fazer em uma situação de desastre do que sustentar a operação da empresa. Não porque não são trabalhadores aplicados e responsáveis, mas porque trabalhamos com uma escala de prioridades, como qualquer outro organismos do mundo.

O objetivo deste artigo é fazer um breve estudo sobre porque e o que devemos ajudar aos nossos colaboradores em uma situação de desastre para que eles supram suas necessidades mais básicas coloquem nosso plano no topo de suas listas de ocupações.

Em 1943, Abraham Maslow escreveu um paper chamado “A Teoria da motivação humana” onde ele estabeleceu uma pirâmide de 5 níveis com uma hierarquia de necessidades humanas, que vão do nivel 1 (Physiológico) até o 5 (Atualização). Maslow defende que os níveis mais altos da pirâmide só ganham foco quando as necessidades de níveis inferiores são satisfeitas em sua maior parte ou totalmente, e cada nível depende da satisfação alcançada no nível inferior. Uma vez que você sempre trabalha com pessoas,e em um momento de crise é quando você mais depende deste pessoal, as teorias de Maslow podem ter papel fundamental na criação de um plano de continuidade de negócios bem sucedido.

Na base da pirâmide podemos encontrar necessidades fisiológicas como respirar, se aquecer, beber agua, se alimentar e dormir. Isso pode ser uma surpresa para alguns mas seu BCP pode ser comprometido se você não tiver pessoas operando o plano e suprir as necessidades basicas destas pessoas que trabalharão em situações extremas como um tornado ou tsunami.

A primeira vez que pensei sobre a relação de Maslow com um plano de continuidade de negócios bem sucedido foi durante uma apresentação do Gartner Group em que o palestrante nos falava sobre um banco que criou uma instalação bem protegida e abastecida para suportar tornados e outras condições extremas. Quando eles finalmente utilizaram o local, eles não conseguiram manter a operação porque seus funcionarios não tinham um local para comer, dormir e realizar outras necessidades humanas. Com uma cidade inteiramente destruida, eles não puderam manter as pessoas trabalhando, e elas foram para outras cidades, procurando por água potável, energia e comida.

Em situações como esta, necessidades fisiológicas podem controlar pensamentos e comportamentos, e as pessoas podem se sentir adoentados, com dor e disconfortáveis. Sob esta situação você pode ter uma evasão de sua força de trabalho, pessoas super estressadas trabalhando em uma situação delicada e um grande risco de novos desastres causados pelo estado físico e emocional the seus devotados mas cansados colaboradores que não abandonaram a companhia e o plano. No próximo ano este banco incorporou um centro de suporte de vida ao seu BCP. Mas então me pergunto: necessidades físicas é tudo com o que temos que nos preocupar?

No segundo nível da pirâmide podemos encontrar as necessidades de segurança. Segurança não é somente sobre proteção física contra violência, delinquencia e agreções. Temos neste nível as preocupações com a garantia dos empregos, receita, segurança moral e fisiológica, manutenção da saúde e segurança da família. Para suprir este nível, as coisas começam a ficar um pouco mais complicada porque você fazer com que seus colaboradores sintam-se seguros sobre sua própria saúde, a saúde da companhia, e a saúde de seus familiares. Como você pode convencer um empregado a continuar trabalhando quando sua família está tentando deixar a cidade para sobreviver? Como você pode convencer um trabalhador a continuar trabalhando duro, se ele pensa que sua empresa está falindo?

Claro que falamos de um plano muito forte, desenhado para situações extremas onde nada está funcionando e tudo depende de sua companhia. Nestes casos você precisa ter um plano de comunicação que traga segurança para empregados e você pode ser responsável por acomodar ou evacuar os familiares de uma área de desastre, e muitas vezes suprir suas necessidades essenciais ou protegê-los em sua própria estrutura.

A não ser que você esteja planejando uma base lunar ou ou uma instalação contra uma gerra nuclear ou quimica, onde as pessoas estarão por meses ou anos, você não precisará se preocupar com com outros aspectos da base da pirâmide como conforto para o corpo, exercícios, etc e com os níveis 2 a 5, amor, status e atualização respectivamente. Estas questões são importantes para o departamento de recursos humanos, e precisam ser tratados antes de um desastre para elevar a satisfação e consequantemente a fidelidade de seus trabalhadores, mas isso não é nada com que você tenha que se preocupar em uma situação de desastre.

Maslow não provê uma solução para todos os pontos do comportamento humano em uma situação de desastre, mas ele nos diz muito sobre o que temos que antecipar se não quisermos ver nosso pessoal abandonando suas posições de trabalho e correndo para manter suas vidas e a vida de seus familiares. Nenhum trabalho, carreira ou gratificação faz sentido se os níveis mais baixos da pirâmide não forem supridos.

Fernando Fonseca

Security Consultant

References:

http://en.wikipedia.org/wiki/Maslow's_hierarchy_of_needs

http://psychclassics.yorku.ca/Maslow/motivation.htm

Procedimentos de Segurança...

Tue, 29 May 2007 03:04:57 GMT

Algumas vezes me impressiono com os procedimentos de segurança adotados por algumas grandes empresas, e fico pensando qual a razão misteriosa para aquela atitude. Será que esse pessoal faltou a algumas aulas ou eu sou um cego e não vejo a beleza da lógica aplicada nos procedimentos? Como fui vítima de 3 destes procedimentos nas últimas 24 horas, resolvi fazer uma coletânea destas pérolas no formato de perguntas e respostas, quem sabe alguém me ajuda...

P1: O Cartão de chaves de segurança dados pelos bancos, faz a função de um segundo fator de autenticação para o Internet Banking. Nos caixas automáticos um banco começou a me pedir para usar este cartão também. Porque eu teria que ter 2 coisas diferentes + duas que sei (minha senha e as letrinhas) ?

R1: Uma funcionária do banco me confidenciou que seria útil no caso o cartão magnético seja clonado com um "Chupa Cabra".

P2: Fui ligar para reportar a perda de um catão de crédito, e o banco não aceita ligações de telefones públicos. Nem para o 0800 nem para o 4004-XXXX. Isso significa que tenho que chegar em casa para ligar? Quem paga a conta do uso enquanto eu não chego em casa e meu cartão é utilizado? E se eu estiver viajando? Seria isso para me forçar a fazer aquele seguro ridículo?

R2: <Espaço para reflexões>

P3: Um outro banco resolver gerar 3 letrinhas para que eu pudesse acessar minha conta, algo do tipo "WPY", e pediu que eu decorasse. Será que o criador deste mecanismo sabe que 95% das pessoas vão manter o papelzinho com a senha ou anotá-la em outro lugar? Seria muito difícil deixar o correntista trocar as "letrinhas"?

R3: <Mais reflexões>

P4: Eu compro uma linha telefônica por telefone, mas só cancelo enviando cópias dos meus documentos (que nem existem na operadora). Essa é uma medida de segurança ou para evitar a evasão de clientes?

R4:<Essa é fácil...>

P5: Eu assinei a TV a cabo pelo telefone, apenas passando os dados. Fui transferir para outra pessoa, mantendo o mesmo endereço e me solicitaram o envio de cópias dos documentos meus e do novo assinante por fax. Qual a finalidade disso?

R5:Quando morrer, e no além tiver acesso a todas as verdades do mundo eu cobrarei essas.

No fundo creio que existe excesso de boa vontade para desburocratizar os processos quando se trata de aumentar a receita. Neste ponto a análise de risco é sempre positiva, mas quando se trata de simplesmente simplificar a vida do cliente o risco se torna inaceitável.

Hakers e Gestores: Complementares

Thu, 01 Mar 2007 15:50:01 GMT

Ontem assisti à apresentação do Montanaro no ISSA Day na FIAP, e confesso que fiquei muito feliz com o tipo informações passadas no evento, algo bem técnico é muito bem explicado. Em determinados pontos me lembrei de uns artigos interessantes que traduzi em 2003 sobre como A Estrutura de Boot, Fazer um pequenoo sistema operacional, etc. Mas a lembrança mais importante foi o porque resolvi entrar na área de segurança da Informação.

Para não contar minha vida desde os 12 anos (o que alguns dizem que levaria séculos), basta dizer que em 3 meses o Basic de meu primeiro computador virou brinquedo, quis algo mais forte e passei para o Assembler Z-80 e finalmente meti o ferro de solda no meu MSX para fazer algumas coisas "espaciais". Quando comprei meu primeiro XT (U$ 2.500 sem HD) passei a lidar com linguagens mais elaboradas como Cobol e Clipper, e comecei a entender mais sobre a administração das empresas para analisar, programar entregar, treinar e dar suporte a meus pequenos sistemas. Afinal de contas havia decidido que viveria de Informática. A última aplicação que desenhei já foi usando Delphi 2 e MS-SQL 6.0 para rodar no recem lançado Windows 95, não precisa nem dizer porque passei para a área de redes, não é mesmo?

Agora lidando com as redes Novell 3.12 e posteriormente com NT 3.51 minha vida parecia feliz (exceto quando a faxineira varria o cabo coaxial), mas depois do Windows 2000 passei a lidar também com sistemas de gerencia de redes (CA-TNG, SMS, etc), onde implantei projetos fantásticos mas extremamente trabalhosos. A Vivência coordenando atividades em CPD´s e coordenando projetos de implantação de redes e ferramentas de gerência me fez parar para pensar: A Cada nova tecnologia começo todo o aprendizado de novo, onde posso aproveitar o conhecimento que acumulei em quase 20 anos?

A Minha resposta foi a segurança da informação. Você não precisa passar 20 anos fazendo de tudo para ser um bom profissional de SI, mas todo o conhecimento em gestão e TI que se tem é aproveitado. O conhecimento sobre análise e desenvolvimento me ajuda a entender as ameaças e o negócio da empresa, o de rede (Novell, Linux e Windows) a entender o fluxo dos dados e requisitos de disponibilidade, o de Gerência de Rede me ajuda com a parte de monitoração e toda a vivencia em projetos sobre como implantar um Sistema de Gestão de Segurança da Informação.

A segurança requer isso tudo, por mais que se tente bloquear tecnologicamente uma ação, como o Montanaro colocou muito bem ontem "quem chega primeiro tem vantagem", e ai entra a gestão da segurança para impedir que o invasor entre primeiro. De que adianta os melhores desenvolvedores do planeta criarem as melhores proteções se a área de gestão não garantir que a proteção chegue antes do ataque?

Existem Hackers (no sentido real da palavra) que tem aversão por gestores, e gestores com arrogância suficiente para tratar tudo como somente processos. Eu vejo sinceramente que estes dois profissionais devem conviver no mesmo ambiente, e se possível na mesma pessoa. É claro que não dá para ser o melhor em tudo, mas manter o foco em gestão pensando também tecnologicamente é extremamente valioso em uma organização, Da mesma forma um técnico que acha que tudo se resolve no código ou ferramentas fica eternamente correndo atrás do adversário, em uma atitude extremamente reativa, ao contrário do técnico que pensa no processo como um todo, e gera produtos melhores

Quem ataca não precisa atacar tudo, apenas o ponto fraco do sistema, Para atacar não se precisa de um gestor, mas para defender temos que ter uma visão de todas ameaças ao sistema, endereçá-las e agir sobre elas, e isso se faz sem um bom técnico que suporte essas ações.

Security Kernel x Patch Guard

Thu, 22 Feb 2007 02:51:10 GMT

Estava folheando o CISM prep guide quando vi a explicação de uma questão do livro sobre security kernel, o que me faz lembrar de todas as críticas que o Windows Vista 64 tem recebido. Segundo o livro, um "Security Kernel" implementa o conceito de "Reference Monitor", e deve ter as seguintes características: Precisa mediar todos os acessos, Precisa ser protegido quanto a modificações e Precisa ser verificado como correto

Embora o Patch Guard esteja presente nas versões 64 Bits do Windows XP e Windows 2003 após o SP1, e a Microsoft nunca tenha dado suporte a Patches de Kernel, o mercado vem tratando esta implementação como uma decisão arbitrária da Microsoft intencionada a dificultar a vida dos concorrentes na área de segurança de hosts, uma vez que a Microsoft entrou neste mercado. Mas analisando ponto a ponto, o que me parece é que o Patch Guard e outras tecnologias incorporadas ao Vista vem de encontro à implantação do "Reference Monitor", um amplamente aceito pelo mercado como parte do TCB (Trusted Computing Base), e imprescindível para uma certificação B2 (TCSEC). Vamos analisar as exigências do TCB:

1) Precisa mediar todos os acessos

Quem viu a mudança de Windows 3.11 para Windows 95 sabe que vários programas DOS, que chamavam funções da BIOS pararam de funcionar porque não podiam mais acessar as portas diretamente, etc. Hoje já nos acostumamos ao fato que o Kernel não pode permitir acesso direto a harware, ou até mesmo ao sistema de arquivos. Só para ilustrar o fato, na última Black Hat, a pesquisadora Joanna Rutkowska conseguiu alterar um driver em tempo de execução com um simples acesso ao Pagefile, o que obrigou a Microsoft a fazer alterações no Beta do Vista.

Para que as aplicações possam realizar funções de baixo nível como filtrar pacote, e/ou até mesmo modificá-los antes de saírem do host que existe as API's. No caso dos pacotes de rede o Vista possui a Windows Filtering Plataform (WFP), onde se baseia o próprio Windows Firewall. Outra implementação foi o "File System Filters" que permite que uma aplicação monitore tudo que entra e sai no sistema de arquivos.

2) Precisa ser protegido quanto a modificações

O Patch Guard protege o Kernel quanto a modificações (patches), modificações na "Interupt descriptor table", "global descriptor table", "system service tables" e evita que se use pilhas do kernel não alocadas por ele, mas a Microsoft pretende proteger outros recursos, ainda não especificados.

3) Precisa ser verificado como correto

Ai entra um recurso diferente o "Code Integrity". A cada vez que o Windows inicia, um hash de cada driver assinado e cada binário do sistema é criado e comparado com o hash criado na hora da instalação, isso garante que os arquivos não sejam alterados enquanto o sistema estiver desligado. O BitLocker também protege estes arquivos quando criptografa toda a partição de sistema.

Na minha opinião, lutar contra o Patch Guard é lutar contra a segurança no próprio sistema, para tentar acoplá-la depois como cada um quiser. Seria como tirar o airbag dos carros para que os fabricantes de almofadas pudessem vender almofadas com cores diferentes para os passageiros segurarem contra o peito. Mas o pessoal da Microsoft parece concordar comigo, e já declarou que vai tratar qualquer método de contornar o Patch Guard como uma falha de segurança e corrigí-la com um update.

A Segurança tem que estar no concepção, na criação, na manutenção e principalmente na alma do produto e neste ponto o Vista é uma evolução significativa e sem volta.

Direitos autorais na praia

Wed, 21 Feb 2007 00:40:54 GMT

Como normalmente não carrego o notebook para a praia, gravei em meu celular algumas considerações que fiz sobre a proteção de direitos autorais no Brasil, enquanto aguardava ansiosamente minha primeira cerveja do carnaval e uma porção de colesterol estratégicamente disfarçada de carne de sol e Aipim.

Nesta minha espera, dispenso educadamente o terceiro vendedor oferecendo CD's e DVD's (fora um estranhíssimo que vendia uma correntinha de ouro e um relógio). Mas enquanto este vendedor saia, foi inevitável ver em sua mão e ví um CD escrito "FUNK" em letras garrafais. No mesmo momento me passou um arrepio, seguido por calafrio e terminando em piedade e compaixão ao pensar aos danos neurológicos irreparáveis que a superexposição àquele produto poderia causar a uma mente quase saudável.

Após o susto me veio o questionamento se o governo poderia criar algum tipo de imposto sobretaxando este tipo de criação por danos sociais e ambientais, criando assim um tipo de fundo para recuperação das pobres mentes atormentadas por aquela gritaria sem fim. Eu sei que as pessoas escolhem livremente preencher o ambiente com este tipo de ruído, assim como escolhem encher seus pulmões e tudo em volta com nicotina, mas pelo menos o governo já sobretaxa o cigarro para tentar pagar parte do custo que tem no tratamento de câncer, enfisema, infarto e problemas circulatório com os seus dependentes.

Neste momento me veio à mente a beleza dos direitos autorais, como é lindo pensar que as pessoas não poderão entrar na loja e comprar essas "pérolas" por R$ 1,00 (pelo menos até encalharem como o "Bonde do Tigrão" e "O Tchan" estão hoje em dia). Por que será que ao invés de pegar um grupo como Skank e Capital Inicial ou uma cantora como Marisa Monte ou Maria Rita que levam meses produzindo um CD em stúdio, as gravadores pegam um grupo de desesperados, gravam um CD em uma ou 2 semanas, gastam merreca com stúdio (se não gravar ao vivo do boteco) e vendem o CD quase ao mesmo preço? Tai a sobretaxa, mas vai para o bolso dos produtores. Infelizmente este negócio se tornou lucrativo demais e vão nos enfiar todo tipo de lixo barato, criando a cada ano uma banda sensação nova.

Talvez a forma de eliminar este mal fosse aplicar o esquema de distribuição gratuita na Internet pelo seu valor real (nada), não teríamos tantos produtores empurrando estes "fenômenos" musicais para o domingão do Faustão ou programas similares e tentando convencer as mentes despreparadas que esse ruído é bom.

Por outro lado, me lembrei de minha tia inocentemente contando que um motorista de Taxi no Rio de Janeiro fez uma coletânea de clássicos nacionais e internacionais e exibia as músicas aos passageiros durante a viagem. Ao final oferecia cada um por R$ 10,00 ou os 6 por R$ 40,00, uma barganha! O Pelo nível das músicas eu acho que dificilmente uma gravadora conseguisse colocar tantos clássicos em 6 CD's por este preço, mas sei que o motorista confessou à minha tia que tem dias que ele está desanimado para sair com o Taxi mas sai mais pelo lucro dos CD's do que pela corrida, e está pagando a faculdade do filho só com este lucro. Isso sempre me impressiona no Brasileiro.

Particularmente acho que esquemas de venda de música e filmes pela Internet vão reduzir radicalmente o custo final dos produtos e terminar com este mercado paralelo pelo simples motivo de não ser mais lucrativo. Hoje o preço do produto "alternativo" já se aproxima muito do original, e com a escolha compras por faixas independentes as pessoas poderão fazer suas próprias seleções musicais, até mesmo de Funk, (eca!).

BitLocker and EFS Enhancements

Thu, 01 Feb 2007 14:20:24 GMT

Quando a Microsoft preparou as versões do Windows Vista, umas das diretivas era que os usuários da versão Ultimate teriam uma atenção especial durante o ciclo de vida do produto, colocando de tempos em tempos produtos opcionais para estes clientes. Além disso, criou um site especial para os usuários desta versão, chamado Windows Ultimate.

Ontem me deparei com algumas dessas atualizações em meu Windows Update, e uma delas em especial me chamou a atenção por sua relação com a segurança, o BitLocker and EFS Enhancementes.

Este extra do ultimate é focado em facilitar o manuseio de criptografia e a segurança do usuário doméstico, que ao contrário do usuário da versão Enterprise não tem o conhecimento técnico ou uma estrutura de Active Directory para manter cópias de segurança de suas chaves (EFS e BitLocker). Vejamos quais as funções destes extras:

Windows Bitlocker Drive Preparation Tool - Ajuda a preparar o drive do seu computador para o BitLocker.

Secure Online Key Backup - Trata-se de uma ferramenta que possibilita que o usuário faça um backup de uma forma super simples de suas chaves de criptografia do BitLocker e do EFS em seu Digital Locker, um espaço pessoal do Windows Marketplace, associado ao passport do usuário. Particularmente acho este extra uma opção importantíssima para a integridade dos dados do usuário e um alívio para o suporte técnico da Microsoft, pois sem estas chaves os usuários podem perder todos os dados criptografados de seu Hard Disk.

Além dessas atualizações a Microsoft colocou um simpático jogo de Poker chamado Hold´Em Poker, e o Windows DreamScene, que coloca vídeos em seu papel de parede. Mais do que prometer um diferencial, o importante é entregar. E parece que desta vez vai ;-)

O Bom é inimigo do ótimo, o ótimo é amigo da segurança

Fri, 19 Jan 2007 22:48:43 GMT

O recente acidente nas obras do metrô me fez pensar sobre a eterna redução de custos que as empresas vivem para ganhar as concorrências. Seria leviano acusar as empresas de algo sem a conclusão das investigações, mas na maioria das vezes se deseja aumentar o lucro, os acionistas ou a área financeira (que não entendem nada do negócio) reduzem o quadro técnico ou a qualidade do material e aumentam os esforços de venda de uma forma que varia de quase a totalmente irresponsável. Eles se esquecem que precisam entregar algo de qualidade, e na maioria das vezes quem se mata para garantir o mínimo de qualidade é a equipe técnica, que entende o tamanho do problema e não aceita fazer algo tão ruim. Se lembrarmos do ¨pequeno¨ erro de usar agua salobra areia do mar, no Palace II no Rio de Janeiro isso fica um pouco mais evidente: Ele caiu como um castelo de areia.

Uma frase que virou uma uma maldição dentro das empresas é a famosa "o ótimo é inimigo do bom", hoje qualquer um fala isso como que lhe ensinando uma grande lição de gerenciamento de projetos que vai mudar sua vida. Concordo que ficar escovando bit não é produtivo (a não ser quando é necessário), sei também que os 10% ou 20% que separam o bom do ótimo podem levar o mesmo tempo que os outros 80% a 90%, mas até onde o bom é realmente bom ? nós realmente ganhamos com isso?

Entramos em um ciclo negativo globalizado onde os profissionais trabalham por dois, impedindo a criação de novas vagas, mantendo o custo operacional, a satisfação dos acionistas, a competitividade das empresas, e em última instância os próprios empregos. As empresas precisam manter este custo baixo para oferecerem um custo inferior para os clientes, que são também funcionários de alguma empresa e colocam o preço na frente da qualidade por ganharem menos do que nunca.

Projetos que envolvem ativos valiosos como vida humana ou confidencialidade não podem ter erros, tem que ser ótimos, perfeitos! Temos que proteger toda a superfície de ataque, e esse percentual que separa o bom do ótimo é o suficiente para que uma falha de segurança aconteça. O diabo mora nos detalhes, e é nos detalhes que começam os desastres. O ônibus espacial Challenger explodiu por que o responsável não quis adiar o lançamento por causa de uma borracha ressecada. Isso poderia ser considerado um pequeno erro de avaliação de risco, mas para mim não existem pequenos erros, um erro é sempre tão grande quanto as conseqüências que ele trás.

O que podemos fazer é esperar que o mundo alimente este ciclo até que a qualidade dos produtos seja tão ruim a ponto das pessoas mudarem sua atitude, e que os lucros sejam insuficientes para todas as indenizações. Ai talvez algo aconteça.

Access Control x Awareness

Sat, 13 Jan 2007 15:36:14 GMT

Ao ir almoçar hoje com o Igor Pipolo (ABSEG) e mais duas pessoas de segurança patrimonial, uma cena comum não passou desapercebida: Um Crachá sobre a mesa "reservando lugar". Nós brincamos sobre a situação, mas logo comecei a pensar mais seriamente...

Particularmente eu acho uma falta de educação notória as pessoas "ocuparem" lugares com seus crachás enquanto outros ficam em pé esperando. Esta atitude aumenta o tempo de uso da mesa em pelo menos 50%, pois ela fica ocupada enquanto a pessoa se serve e enquanto come. Mas se as pessoas não tem nem mesmo essa consciência sobre o coletivo, como esperar a consciência sobre segurança?

Perto, ou até mesmo dentro de todo grande edifício empresarial existem restaurantes onde os funcionários de grandes empresas almoçam. A quase totalidade dos crachás pertencem a empresas que possuem um controle de acesso bem implementado, utilizando o mesmo crachá como fator de autenticação (algo que você possua). Isso nos leva a pensar que se alguém quiser visitar nossa empresa basta passear pelos restaurantes próximos à empresa e se servir no self-service de crachás. Raramente vemos uma bolsa sobre uma mesa, isso porque as pessoas consideram que suas bolsas e carteiras tem valor. Porque então as pessoas acham que seus crachás (que podem conter até mesmo smart cards) não tem valor?

Desta situação eu tirei duas lições quanto a fatores de autenticação:

1) Quando se trabalha com "algo que você possua" a autenticação com 2 fatores é cada vez mais desejada, mas pode causar gargalos. Se insistirmos em apenas um fator, temos que conscientizar e lembrar constantemente ao dono deste crachá sobre o seu valor.

2) Aquilo que você é, você nunca esquece e ninguém lhe tira.

Minha mãe costumava dizer que eu não esqueço a cabeça porque está grudada no pescoço, o mesmo serve para a Íris, retina, mãos, voz, etc. Se fosse desenhar um controle de acesso hoje consideraria com muito carinho uma solução biométrica, desde que seja rápida o suficiente para não gerar gargalo.

De qualquer forma um pouco de senso coletivo agilizaria o almoço de todos e garantiria um pouco menos de exposição das empresas.

DDOS no Laboratório (FUN MODE)

Sat, 13 Jan 2007 15:16:21 GMT

Sexta-feira, 12 de Janeiro de 2007.

Começo a escrever este post de dentro de um laboratório, aguardando que me chamem para tirar meu sangue (literalmente). De repente as coisas começam a aparecer na minha cabeça como uma visão do John Nash no filme "Uma Mente Brilhante". Isso significa que estou ficando inteligente, louco os os dois.

Voltando a meus devaneios, na hora de pegar a senha em uma maquininha você escolhe (analogamente um router de entrada do laboratório) entre cliente normal ou idoso e gestante. Eu peguei uma senha normal e constatei que tinham 18 pessoas na minha frente. Como tinha chegado às 6:30, poderia ficar lá até no máximo 7:30 e ainda chegar a tempo para a reunião do Infosec às 8:00. Ai começa meu drama...

Sentei-me perto da porta e vi uma senhora idosa chegando. Pouco depois ela vem com um papel na mão e comenta com a filha: Nossa, já chamou? Neste momento achei interessante este benefício ter funcionado, parecia que o controle de QOS do router funcionava bem e roteava os idosos para a bateria de atendentes (cluster de servidores) que digitavam a imensa lista de exames de cada um. Pouco depois entram duas cadeiras de rodas com idosos, e mais algumas cabeças grisalhas andando. Neste momento percebi que as 18 pessoas que estavam na minha frente na fila se multiplicariam rapidamente...

Nem com um load balancing bem implementado entre os atendentes eu não conseguia chegar até um deles. A cada senha (analogamente um pacote) normal processada era processadas de 1 a 5 de idosos Começei a olhar para o relógio e via que meu TTL estava expirando...

Quando alcançamos o final de meu horário limite, concluí que os idosos de toda São Paulo deviam ter planejado um ataque DDOS àquele laboratório. Eles vinham de todos os lados, passavam pelo roteador e causavam indisponibilidade quase total para os outros clientes. Sai sem exame a agora me preparo para mais uma noite de jejum, amanhã tento novamente.

Obs: A Fila prioritária é um avanço com o qual concordo e respeito, a intenção era rir de meu infortunio, porque rir da desgraça dos outros é pecado :-)

Uma imagem fala mais que 1000 palavras, um vídeo então...

Fri, 05 Jan 2007 03:33:49 GMT

Durante a 3a Fase da Academia Latino-Americana de Segurança da Informação eu utilizei alguns trechos de filmes para demonstrar alguns conceitos de segurança. À medida em que fui lembrando dessas situações fui extraindo estes trechos dos filmes e colocando os devidos créditos, para não violar a lei de direitos autorais, conforme trecho abaixo:

"Não constitui ofensa aos direitos autorais a reprodução de pequenos trechos de obras preexistentes, sempre que a reprodução em si não seja o objetivo principal da obra nova e que não prejudique a exploração normal da obra reproduzida nem cause um prejuízo injustificado aos legítimos interesses dos autores. É importante indicar corretamente no material o nome das obras reproduzidas e dos detentores dos respectivos direitos autorais"

Estou começando a lista agora, mas se alguém quiser conhecer minhas listas e baixar os vídeos, fique à vontade.

Se quiser comentar um trecho de filme que ache interessante, basta inserir um comentário no post que tento incluir o vídeo.

http://fernandofonseca.spaces.live.com/lists

A Paixão move o mundo virtual

Mon, 01 Jan 2007 18:41:08 GMT

É notório que os maiores feitos da humanidade são movidos pela paixão, o amor está na base da pirâmide das necessidades humanas (Segundo Maslow). Por este motivo eu escolhi o 1 de Janeiro, o dia mundial da paz para escrever um pequeno post "piegas" sobre como a paixão tornou possível eu escrever este texto e você o ler quase instantaneamente.

No início da década de 80 um casal de namorados chamados Leonard Bosak e Sandra Lerner trabalhavam em departamentos diferentes na universidade de Stanford, e seus computadores não se falavam. Neste contexto Bosak teve a feliz idéia de criar um aparelho que ele chamou de "router" para fazer com que seus e-mails chegassem até Sandra. Em 1984 os dois fundaram a Cisco Systems, nome também derivado de uma paixão, a linda cidade de San FranCISCO. Hoje Bosak é um rico ex-marido de Sandra, mas sua invenção continua encurtando distâncias e ajudando muitos casais e movimentando uma fortuna pelo mundo afora.

A verdade é que no fundo, a paixão por algo é o que nos tira da cama todos os dias. Faço votos que em 2007 nossa paixão nos leve mais longe, e que nossas realizações nos tragam muita felicidade (ou até mesmo uma fortuna, como o caso da Cisco).

Algoritmo para o ano novo (Coisas de nerd)

Tue, 26 Dec 2006 13:18:55 GMT

Hoje um amigo (da época em que eu programava em Clipper e Delphi) me enviou um algoritmo com seus votos para o ano novo. Após rir bastante eu comecei a lembrar das coisas mais nerds que já vi meus amigos fazerem, e que por incrível que pareça fazem todo o sentido para nós. Vou colocar algumas dessas atitudes por ordem de lembrança, mesmo porque é difícil achar a pior delas. Se alguém lembrar de algo mais é só comentar.

1) Levar notebook para o banheiro (adeus revistas)

2) Colocar as velinhas em binário no bolo de aniversário (Eu, em 2003, 2005 e provavelmente 2007)

3) Colocar o toque do celular com o som do R2D2 (Augusto)

4) Falar que alguém está indo para /dev/null quando está muito doente (Mansur)

5) Andar com um botom "Yoda Loves Me" no meio da Defcon (ops, eu de novo)

6) Usar relógio de pulso em binário (não lembro quam comprou, mas vende na thinkgeek)

7) Usar a camisa com a frase: "Existem 10 tipos de pessoas, as que entendem binário e as que não entendem"

8) Escrever um algoritmo de ano novo, conforme abaixo (Philipi):

While NOT Eof do begin

dinheiro := dinheiro * 2;

saude := saude * 3;

mulheres := dinheiro; // kkkkkkkkkk

felicidade := saude + mulheres;

Next;

end;

Feliz 2007 a todos ;-)

Riscos Offline

Tue, 19 Dec 2006 12:40:50 GMT

A Boeing, umas das maiores montadoras de aviões do mundo informou que um notebook portátil desapareceu. Na realidade foi o terceiro em 13 meses. Isso não seria um problema se o mesmo não contivesse nomes, número de previdência social, endereços, telefones e datas de nascimento de 382 mil funcionários e aposentados. A empresa prometeu fornecer um serviço de monitoração de crédito por 3 anos, tentando minimizar o impacto do vazamento de informações. Nesta ponto uma pergunta é inevitável: Qual o real valor deste notebook para a empresa?

O Custo de se perder um equipamento como este supera em centenas de vezes o custo do próprio hardware (que eventualmente pode ter até seguro), isso sem contar o dano feito à imagem da empresa e possíveis processos posteriores. O que impressiona é o porque de depois de 2 outros roubos a empresa ainda se manteve no risco, mas quanto a isso não tenho dados para julgar. De uma forma geral consigo ver 3 medidas que poderiam minimizar o impacto de um roubo de computadores:

Reavaliar: Os usuários destes notebooks precisam mesmo carregar uma base tão grande? Estes dados não poderiam ser consultados via VPN ou SSL?

EFS: O EFS criptografa arquivos em partições NTFS com uma chave forte desde o Windows 2000. O Elo mais fraco desta tecnologia é que se o usuário fizer logon o NTFS descriptografa os arquivos quando chamados para a memória. Se a estação não tiver uma boa política de segurança, quebrar uma senha de logon com acesso físico à estação pode ser apenas questão de tempo.

BitLocker: Apesar do Windows Vista estar saindo agora, seria aconselhável substituir as estações que possuam dados sensíveis por computadores com chip TPM 1.2 e Windows Vista. Acredito que existam tecnologias semelhantes ao BitLocker, que criptografa toda a partição de sistema e guarda a chave no chip TPM. No entanto, o Windows Vista possui uma série de novos recursos de segurança, o que justificaria a troca de pelo menos os notebooks mais críticas.

O Artigo sobre a Boeing está no site da Módulo:

http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=5157&pagecounter=0&idiom=0

Comprar fechadura de ladrão

Tue, 19 Dec 2006 04:04:08 GMT

Hoje li 2 reportagens bem interessantes e complementares, resolvi fazer uma breve análise da situação:

Na primeira notícia, o Instituto Ipsos levantou que 73% das pessoas que compraram um PC popular trocaram o Linux pelo Windows posteriormente, e aparentemente só 26% compraram o Windows (particularmente acho que este número é até menor). Nesta mesma matéria vi que o governo proibiu as empresas de venderem o PC popular o Windows Starter + Linux (dual boot), o que tira do usuário a possibilidade de ter um Windows original a baixo custo (O&M). Esta reportagem pode ser lida no link abaixo:

http://www.mundoinfo.com.br/informatica/noticias/noticias/principal?codnoticia=06-1412-02

Em outra reportagem, o IDC indica que 73% dos programas piratas possuem vírus, e que 43% dos sites que oferecem programas para download instalam programas espiões no micro do usuário. A reportagem pode ser lida no link abaixo:

http://www.mundoinfo.com.br/informatica/noticias/noticias/principal?codnoticia=061412-virus&princ=06-3011-androide

O que me chamou a atenção foi a comprovação de algo que sempre falo em palestras, programas piratas são extremamente inseguros, são como comprar fechadura de ladrão. Eu fico imaginando se alguém se arriscaria a ser preso somente para ser "bonzinho" e distribuir software comercial sem custos. Não seria mais fácil acreditar que esta pessoa tem uma segunda intenção?

Vejo estes dados com preocupação, pois a cada atitude anti-pirataria aparecem os cracks que tentam tornar o programa funcional, mas o usuário não vê que ele está confiando em alguém que faz algo ilegal para ajudá-lo a fazer algo ilegal. Que tipo de garantia há nisso? Caso este crack esteja infestado de spywares, para quem o usuário reclamaria?

Imagine que o chiquinho recebe um e-mail de uma pessoa que não conhece oferecendo um programa que supostamente gera créditos para celulares pré-pagos, será essa boa alma que mandou o e-mail se deu ao trabalho de mostrar para todo mundo seu programinha altamente ilegal? Por fim, o chiquinho acaba baixando o programa, infectando sua máquina e tendo uma boa dor de cabeça com seu banco e operadora de cartão de crádito.

Quando a esmola é grande, o santo desconfia. Este velho ditado poderia evitar muitas contaminações e muitos problemas, mas no final as pessoas acabam sendo vítimas de sua própria vontade de levar vantagem em tudo. Faz parte do golpe explorar as vulnerabilidades do ser humano, e essa infelizmente é uma das mais comuns.

Sem Balança...

Mon, 18 Dec 2006 18:13:25 GMT

Quase todos os dias vou ao mesmo restaurante e almoço enquanto assisto ao jornal. Hoje encontrei o restaurante sem energia elétrica, e após me conformar com a falta que faria a televisão eu me deparei com a balança desligada, assim sendo, tivemos que "chutar" um valor a ser pago. Na falta do noticiário comecei a pensar sobre como aquele episódio poderia ilustrar vários conceito de continuidade e BCP, usando a ameça "falta de energia" para nossa análise.

Se pensarmos nos processos do restaurante, temos a compra dos alimentos, a sua conservação, a preparação dos pratos, a manutenção dos pratos (temperatura e higiene), e finalmente a venda e o recebimento. Alguns destes processos merecem uma análise de impacto ou BIA (Business Impact Analisys):

Conservação dos alimentos e Manutenção dos pratos: A energia é necessária para manter os alimentos refrigerados, tanto no estoque quanto no balcão. A importância deste processo é alta, pois um alimento estragado pode acabar com o restaurante (danos legais e à imagem pública), mas existe um tempo para que a falta de energia comece a estragar o alimento impactar o negócio. Ai entra o conceito de MTD (Maximum Tolerable Downtime). Para analisarmos a necessidade de criar uma contingência para esta ameaça (um gerador por exemplo) precisamos de dados sobre o valor que pode ser perdido em cada ocorrência, a frequência destas paradas e a duração média das mesmas. Se a possibilidade de perdermos o alimento for pequena, podemos chegar à conclusão que sai mais barato comprar gelo quando necessário ou jogar fora o alimento (apesar de minha mãe me ensinar que é pecado).

Venda: Para se concretizar a venda é necessário pesar o alimento (no caso do self-service a kilo). Este processo é crítico, pois sem ele não dá para saber o quanto cobrar e ao mesmo tempo o MTD é mínimo, pois um cliente não fica mais do que alguns segundos esperando para ter seu prato pesado. Para se mensurar a perda neste caso, teríamos que analisar em média o quanto o faturamento caiu nos dias em que houve queda de energia. Uma contingência para este processo em especial poderia ser uma balança mecânica (e uma calculadora) ou um no-break "baratinho".

Recebimento: Se o processo de venda for informatizado, esse passa a ser um processo crítico e com MTD baixo pois ao chegar ao caixa o cliente apresentaria um número e o computador precisaria estar ligado para lhe apresentar o valor a pagar. Além disso alguns dispositivos podem precisar de energia elétrica para passar cartões, etc.

Notem que uma única ação (comprar um gerador) pode resolver vários problemas de continuidade e ao mesmo tempo não me privar de meu noticiário. Neste caso teríamos que somar toda a expectativa de perda anual ou ALE (Annualized Loss Expectancy), analisar o impacto na imagem e finalmente confrontar estes dados com o custo de aquisição do gerador, seu tempo de vida e o custo de combustível e manutenção.

Uma coisa é certa... Se a televisão estivesse ligada vocês não teriam que ler estes "devaneios" de quem passou o almoço olhando para o nada.

Ferfon, herança da Microsoft

Wed, 13 Dec 2006 17:22:44 GMT

Depois de muita luta, percebi que a maioria das pessoas tendem a me chamar de Ferfon, não sei se para me irritar ou porque talvez achem bonitinho esse apelido, mas resolvi contar a origem histórica desse problema...

Lembro-me do dia em que a Carol me mandou um e-mail com meu alias, ou seja, minha identificação na Microsoft (ferfon). Foi assim que algum engraçadinho da área de TI achou que deveria se resumir o nome "Fernando Fonseca". A Reação foi imediata, meu amigo Anchises e outros que recebiam meus e-mails começaram a me chamar de Ferfon, só para irritar!

Já fazem seis meses que me desliguei da Microsoft e assumi funções de consultoria (hoje trabalho apenas como fornecedor, coordenando e criando material para a academia de segurança e o Infosec Council), ministro aulas de pós-graduação e trabalho com a comunidade de segurança (ISSA). Mas mesmo assim o fantasma do e-mail ferfon@microsoft continua lá. eu encontro com pessoas no Brasil inteiro e ouço alguns sonoros "Ferfon's" pela frente, até a minha ex-gerente na Microsoft já me chama de Ferfon :-). Acho que daqui a uns 10 anos me acostumo...

Em todos casos reservei o domínio ferfon.com.br antes que alguém o faça, assim que puder vou transformá-lo em algo útil para a comunidade. Por enquanto fica apenas o relato do meu infortunio, rsrs. Quem sabe um dia vou gostar?

Abraços,

Fernando Fonseca (Ferfon?)

Estudo da Microsoft sobre softwares Maliciosos

Wed, 13 Dec 2006 16:36:07 GMT

Leitura altamente recomendada:

Estive lendo hoje um relatório feito pela Microsoft entre Janeiro e Junho de 2006 sobre as tendências dos malwares, baseando nas respostas automáricas do MSRT (Malicious Software Removal Tool), do One Care, e de centenas de milhões de usuários Windows. Apesar de ser um estudo focado nas soluções Microsoft, a classificação de catogorias de Malware e os dados estatísticos são um prato cheio para qualquer estudo nesta área.

Microsoft

Security Intelligence Report

---------------------------------------

"An in-depth perspective of trends in the malicious and potentially unwanted software landscape in the first half of 2006"
http://www.microsoft.com/downloads/details.aspx?FamilyId=1C443104-5B3F-4C3A-868E-36A553FE2A02&displaylang=en

Safe @ Saturday

Sat, 09 Dec 2006 19:55:00 GMT

Fizemos neste sábado o primeiro Safe @ Saturday. Evento com a intenção de falar sobre segurança em um sábado de manhã. Espero poder fazer parcerias em outras cidades para replicar este evento. Depois do evento recebemos muitos elogios, posteriormente vou colocar o material e o vídeo das apresentações na Web. Veja qual era a programação do evento:

09:00 – Abertura Senac / Instituto Online

09:30 – Parceria Internacional ISSA / Microsoft (Fernando Fonseca)

10:00 - Segurança em TCP/IP (Paulo Coelho – Instituto Online)

11:00 – Coffee Break

11:30 – Defesa em Profundidade: Melhores Práticas para Mensageria Segura (Ricardo Frois)

12:30 - Tecnologias de Integridade do Windows Vista (Fernando Fonseca)

13:30 – Encerramento

Piratas de Computador

Sat, 09 Dec 2006 19:48:17 GMT

Estava vendo um apresentador de noticiário falar sobre a prisão de uma quadrilha que roubavam senhas bancárias, na operação CTRL+ALT+DEL, através de Phishing, e pela primeira vez ouvi a imprensa se referir a esta quadrilha como "Piratas de Computador", e não como "Hackers", o que particularmente achei uma evolução.

Segundo a Wikipedia, o termo pirata (do grego peiratés, pelo latim e italiano pirata) é um marginal que, de forma autônoma ou organizado em grupos, cruza os mares só com o fito de promover saques a navios e a cidades. Considerando que uma pessoa ou grupo espalha seus programas para poder roubar a senha e saquear os usuários, acho que o termo fica muito mais coerente do que qualquer outro que já vi.

Infelizmente quando fui procurar a matéria escrita na Web, lá estava a imprensa chamando estes crimiosos, que mal precisam de conhecimento técnico avançado para cometer seus crimes de "Hackers", um termo que deveria se referir apenas à habilidade das pessoas, e não ao tipo de atividade que executam.

Se você tem dúvidas quanto ao real significado do termo, dê uma olhada na Wikipedia:

http://pt.wikipedia.org/wiki/Hacker

Pense em Segurança...

Mon, 27 Nov 2006 15:11:03 GMT

Outro dia, ao finalizar o meu PPT para o TechEd 2006, inclui um vídeo da Microsoft do Japão, que o Fernando Cima havia me indicado meses atrás. Trata-se de um vídeo feito para usuário final, mostrando alguns dos riscos que um usuário comum corre. Neste ponto alguém pode questionar: O Que este vídeo tem a ver com segurança em Windows Vista?

Ele nos lembra porque trabalhamos, e porque é importante falar sobre os recursos de segurança. A segurança não é algo criado somente para alcançar conformidade, é um processo que visa proteger pessoas, e no fundo todos nós trabalhamos para as outras pessoas. Então, quando falamos de recursos de segurança, de boas práticas e cuidados ao utilizar a Internet, não o fazemos para que as estações e redes fiquem mais seguras, fazemos para que as pessoas fiquem seguras.

Ver a garotinha chegando perto do monitor quando uma mão maliciosa a chama, nos lembra que todo nosso trabalho tem um benefício social, evitando que pessoas percam suas economias ou sejam vítimas de crimes. Se existe uma guerra na Internet, e os profissionais de segurança são os "Mocinhos", vale à pena lembrarmos quem estamos protegendo. Isso dá um significado maior a nosso trabalho.

Quem quiser ver o vídeo, pode dar uma olhada no You Tube.

http://www.youtube.com/watch?v=QGEjkU95hAI