Zeus e as fraudes financeiras

No final de setembro de 2010, autoridades norte-americanas detonaram parte de uma organização que pratica, com bastante sucesso, crimes utilizando computadores. 92 duas pessoas estão sendo processadas nos Estados Unidos e outras 20 no Reino Unido.


Mesmo tendo causado uma grande baixa ao grupo, não se sabe se um dia será possível capturar os cabeças das operações.


O grupo costuma atacar consumidores, pequenas empresas e suas instituições financeiras. Estima-se que em 04 anos o grupo roubou mais de U$ 200 milhões.


Alguns membros do grupo já estavam respondendo processo por outros crimes semelhantes.


As prisões fazem parte de um esforço internacional que tem como objetivo elimiar o Trojan Zeus.


Esse trojan apareceu em 2006, sua operação é totalmente descentralizada, distribuída pelos 04 cantos da Internet (hum! como se a Internet tivesse canto). Vide a página do ZeuS Tracker que rastreou alguns dos servidores do Zeus.


Dan Guido, que trabalhava com resposta à incidentes em uma agência federal, disse que lutar contra o Zeus fazia parte do seu dia. "90% do meu tempo era dedicado aos Trojans que visam capturar informações dos clientes de instituições financeiras que utilizam Windows. Provavelmente 75% desse tempo era dedicado ao Zeus", comentou Guido.


As vitimas são atacadas quando os autores do Zeus, os enganam ao visitar sites maliciosos. Se o browser ou um de seus plug-ins estiver desatualizado, a vítima é infectada.


Os antivírus não são muito eficazes com o Zeus, porque seus desenvolvedores são proativos e estão sempre reajustando seu código para dificultar sua detecção.

Esse tipo de ferramenta não é novidade. Lembro da época do Back Orifice, do SubSeven, … . Lembro de alguns estudos que costumávamos fazer com amigos e de alguns testes que capturavam os dados referentes ao nome do banco, agência, conta e senha.

Como disse não sei quem “Que Deus me proteja dos bandidos do mundo virtual, que os do mundo real cuido eu”.

Na minha opinião o internauta precisa:

Manter seu sistema operacional atualizados

Evitar utilizar sistemas operacionais sabidamente furados

Manter seus browsers atualizados.

Evitar utilizar browser sabidamente furados

Ter um bom antivírus sempre atualizado

Não acessar sites de origens suspeitas

Não permitir que crianças utilizem o computador utilizado para acesso às instituições financeiras

Não realizar transações financeiras em computadores de terceiros (lan-house, trabalho, casa de amigo, ...)

Colaboração:
Matheus P.F. Gomes


Fontes:
http://www.computerworld.com/s/article/9189019/Feds_hit_Zeus_group_but_the_brains_remain_overseas?taxonomyId=17
https://zeustracker.abuse.ch/faq.php
https://zeustracker.abuse.ch/
https://zeustracker.abuse.ch/statistic.php

Fico por aqui!


Qualquer coisa http://twitter.com/robramos


Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br


Tenhamos todos um final de semana repleto de saúde e paz.

Ataques aos EUA

Esse post é baseado no artigo " Defending a New Domain - The Pentagon's Cyberstrategy ", de William J. Lynn III. Segue um resumo do mesmo:

O artigo começa com um resumo muito interessante que diz: Neste exato momento, mais de 100 organizações de inteligência estrangeira, estão tentando invadir as redes das operações das forças armadas dos Estados Unidos. O Pentágono reconhece a ameaça catastrófica e está trabalhando em conjunto com governos aliados e empresas privadas para se preparar.

Em 2008, o Departamento de Defesa Americano sofreu um ataque significativo que comprometeu uma de suas importantes redes de computadores. Tudo começou quando um flash drive (pendrive) infectado foi inserido em um laptop militar em uma base. A partir daí, ele se espalhou por diversos sistemas classificados e não-classificados e se conectou a servidores de terceiros para enviar informações às mãos dos adversários.

Esta série de eventos culminou no mais grave incidente de segurança da história nos computadores militares dos EUA. Após o ocorrido, o Governo Americano, através do Pentágono, iniciou o Operation Buckshot Yankee que marcou início de uma nova era, com uma estratégia para Cyberdefense.

Nos úlitmos 10 anos, a frequência e a sofisticação das intrusões nas redes militares norte americanas cresceram exponencialmente. Todos os dias as redes militares e civis são sondadas milhares de vezes e escaneadas milhões de vezes. A intrusão de 2208 que levou o Governo a lançar a Operation Buckshot Yankee não foi a única bem sucedida. Adversários já adquiriram milhares de arquivos das redes americanas, das redes dos aliados, de indústrias parceiras, incluindo esquemas de armas, planos, relatórios.

--x--

À medida em que as empresas aumentam o uso da tecnologia no intuíto de melhorar seus resultados, precisam investir proporcionalmente na segurança para garantir a Confidencialidade, Disponibilidade e Integridade de suas informações.

A espionagem industrial não é nada novo e o que antes dependia de uma cópia de um documento (ou uma foto de um projeto, como nos filmes) hoje pode ser enviado por e-mail ou copiado em um pendrive e entregue na concorrência.

Se faz cada vez mais urgente a blindagem da rede e o monitoramento de tudo o que acontece. Em alguns casos será inevitável, mas ainda assim será possível mapear os fatos, a origem dos vazamentos e eliminar essas falhas com mais eficácia.

É isso. Vou para mais uma reunião com um empresa que acordou agora, mas não sabe se vai investir em segurança ou se pode deixar para depois do almoço.

Qualquer coisa tô no http://twitter.com/rodbramos

Simmm. Esse texto tv a colaboração de Gabi.

t+

saúde e paz

Novos campos de batalha

Dessa vez escrevo sobre as ações que se utilizam da Internet como campo de batalha.

É interessante como as coisas acontecem, como a informação é importante e precisa ser disponibilizada para todos.

Obs:

Em tempos de WikiLeaks, preciso dizer que não sou a favor da disponibilização de informações que possam gerar risco de vida. Não concordo com a divulgação de planos de segurança, por exemplo.

Lembro que bem no começo dos anos 90 meu pai contratou um serviço de TV por assinatura, lá pra casa. Quase 20 anos depois, eu lembro de um programa onde um tenente-coronel da cavalaria marítima americana, já dizia que num futuro próximo as guerras seriam cibernéticas. Sobre como seria possível paralisar alguns recursos sem a necessidade de disparar um tiro.

Ainda ontem comentei com um amigo que alguns canais de TV deveriam ser abertos para toda a população. O Discovery Channel é um deles. Como seria legal se as pessoas pudessem escolher entre algum programa que ensina à preparar um prato muito barato com bacalhau e um outro programa sobre, por exemplo, os caçadores da Arca de Noé. Hahaha É isso mesmo! Esta semana enquanto eu me preparava para umas partidas de tenis, eu vi parte de um documentário sobre a Arca de Noé.

Nesses últimos meses, temos visto os ataques aos sistemas das plantas das usinas nucleares do Irã e aos que não estão "de acordo” com o WikiLeaks. Sem falar em muitos outros que não chegam à mídia.

Tem uns 2 meses que uma empresa muito conhecida no Brasil nos ligou pedindo uma força com o firewall, onde eles achavam que havia algum problema de configuração ou de hardware. Depois de analisar os logs, descobrimos que eles estavam sofrendo um ataque que visava causar indisponibilidade do link (DDOS). Até a Embratel entrou na luta. Mas infelizmente eles não entenderam o que poderiam fazer para colaborar. O ataque durou quase 24 horas. A origem dos disparos era 100% distribuída, geograficamente falando, mas nós conseguimos segurar a onda, com algumas técnicas afro-ninjas.

Imagino quantas empresas passam pela mesma situação sem saber o que está acontecendo. Tipo “Alguém anotou a placa do caminhão? Como assim? Estamos num avião.”

Uma coisa interessante dessa nova guerra envolvendo o Wikileaks é a coordenação da operação via Twitter e IRC e a divulgação de vídeos com mensagens diversas via Youtube. Outra coisa interessante é que algumas ferramentas (armas virtuais com efeitos reais) foram disponibilizadas pelos links via Twitter. Essas ferramentas já devem estar nas mão de “crianças” que inadvertidamente farão testes contra endereços IPs só para ver o que acontece e depois se auto-classificar como hacker.

Tentar rastrear esses caras é uma verdadeira missão porque eles nunca estão onde parecem estar. Viva o Projeto Tor.

Meu amigo, sócio e personal Jesus Christ, Alejandro Mick Jagger Flores, baixou algumas dessas ferramentas. Disse ele que vai tirar a Lua de sua órbita ainda esta semana. Vamos fazer alguns testes em nosso ambiente controlado. Depois eu posto os resultados aqui.

Esses eventos todos são muito interessantes porque eles têm um alcance mundial. Quando a Internet chegar a outros planetas, o alcance será interplanetário.

Bom, é isso aí. Tenho um excelente final de semana.

Para quem gosta, amanhã as 18:30, no Sportv 2, tem Guga X Agassi.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Qualquer coisa tô no Twitter

#FreeWikiLeaks

Estamos no meio de um dos eventos mais interessantes da história recente da Internet.

Muitos governos, empresas, pessoas estão interessados em acabar com a possibilidade de divulgação de informações confidenciais que por algum motivo vazaram e caíram nas mãos de terceiros e agora estão na Web.

Aparentemente, hoje, o alvo dessa turma é uma organização chama WikiLeaks. Neste exato momento o Fundados do WikiLeaks, Julian Assange, está sendo acusado de ter praticado crimes sexuais contra duas mulheres na Suécia, em agosto deste ano. Ele nega as acusações.

O trecho abaixo foi retirado do site da Veja
Reponsável por um verdadeiro terremoto diplomático - provocado pela recente divulgação de dezenas de milhares de documentos sigilosos da diplomacia americana –, Assange negociou uma rendição à polícia britânica. Segundo o advogado, a "reunião" com a polícia foi "muito cordial", pois "queriam apenas verificar sua identidade. Queriam saber se ele era o verdadeiro Julian Assange e agora estamos preparados para ir ao tribunal”. 

Novos documentos - Pouco depois do anúncio da prisão de Assange, um porta-voz do WikiLeaks, Kristinn Hrafnsson, disse que a prisão de Assange significa um ataque à liberdade de imprensa e não vai impedir os planos do site de divulgar mais documentos secretos. Através do Twitter, o WikiLeaks reiterou que divulgará mais documentos secretos da diplomacia dos Estados Unidos - e prometeu levar a público uma nova leva de papéis já na noite desta terça-feira.

Pelo visto esse pessoal se abstraiu do fato de que é impossível impedir a disponibilização de informações na Internet. A Grande Rede foi criada para isso. Havia a necessidade de ter uma rede que não ficasse indisponível em caso de uma grande guerra.


Se a rede não fica indisponível sempre haverá uma forma de disponibilizarmos informações para os outros.


Como disse Zack de la Rocha "All hell can't stop us now!"


A frase "If you got secret information now's the time to share it" cai muito bem nesse contexto.




Tô no http://twitter.com/rodbramos


t+
saúde e paz

A experiência faz muita diferença

Já falei sobre esse tema algumas vezes, mas como algumas empresas têm me ligado para falar sobre suas dificuldades em configurar alguns appliances, eu me senti na obrigação de comentar aqui.

Nunca adquira um sistema indicado por alguém ou por alguma campanha de marketing sem se preocupar com o seu gerenciamento. Essa regra se aplica para qualquer sistema.

A Triforsec têm grandes parceiros com soluções de classe mundial, porém nós não indicamos uma solução para um cliente que a gente não domine.

Algumas pessoas me dizem que isso é perda de negócios e eu digo que é responsabilidade.

Instalar uma ferramenta pressionando NEXT, NEXT, NEXT e implementar uma configuração básica é muito prático e simples.

Implementar uma configuração ideal e resolver problemas rapidamente é que é o pulo do gato. É o que as empresas precisam.

Por outro lado, algumas empresas gostam de não valorizar o serviço de quem é rápido e eficaz.

As vezes eu preciso "explicar" a um empresário que fatura milhões por mês que nós resolvemos o problema rapidamente porque somos bons, temos muita experiência na área. Sempre fico chateado quando tenho que passar por isso, porque sei que aquela pessoa não é um idiota. Ninguém que fatura milhões por mês é um idiota.

Bom, é isso. Nunca adquiram uma solução sem se preocupar com a gestão da mesma.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Também tô no http://twitter.com/rodbramos

t+
saúde e paz

Jornada "Em busca dos clientes"

Há pouco mais de um mês nós iniciamos aqui na Triforsec uma nova jornada visando melhorar a nossa área comercial. Como toda área comercial, seu maior objetivo é vender. No nosso caso, vender os serviços voltados à Segurança da Informação.

Na semana passada tivemos uma pequena reunião sobre as possíveis ferrametas de marketing que nós podemos utilizar para divulgar a empresa. Ainda precisaremos ter outras para conseguir um resultado satisfatório.

O fluxo de trabalho definido para essa jornada é basicamente o seguinte:

1 – Mapear empresas;

2 – Cadastrar seus Gestores de TI (Nem sempre o caminho ideal);

3 – Enviar um email com uma breve descrição da Triforsec;

4 – Agendar uma apresentação com os interessados;

....

Essa é a primeira vez em que nós estamos fazendo um trabalho tão focado na captação de novos clientes. Nossa empresa sempre atuou de forma reativa junto ao mercado. Praticamente todos os nossos clientes chegaram a partir de indicações. Eles já chegam com a demanda praticamente definida e o nosso trabalho é apenas elaborar e executar um projeto específico.

Hoje nós atuamos basicamente em 03 áreas:

1 - Suporte e Gestão de servidores

2 - Análise de vulnerabilidades

3 - Gestão de logs e eventos

Com a nossa saída em busca dos novos clientes, estamos percebendo que muitos gestores ainda não entendem o papel da segurança da informação nas empresas. Existe uma enorme distância entre as empresas que nos procuram preocupadas com suas possíveis vulnerabilidades e as empresas que ainda não estão cientes dos possíveis prejuízos que suas, as vezes, desconhecidas vulnerabilidades podem gerar.

Outra coisa que temos percebido é que o assunto Segurança da Informação = [(disponibilidade+integridade+confidencialidade) da informação] está cada dia mais perto dos Diretores da empresas, dos donos das empresas. Na realidade, eles entendem este assunto como investimento na diminuição de prejuízos causados pela perda de Disponibilidade, por exemplo.

Bom, é isso! Vou continuar passando para vocês alguns de nossas experiências na joranada “Em Busca dos Clientes”.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Também tô no http://twitter.com/rodbramos

Tenhamos todos uma grande semana de sucesso!

t+

saúde e paz

Os Sistemas de Segurança não são mágicos

Algumas empresas acreditam que o simples fato de comprar ou baixar um software ou appliance para realizar funções de segurança é o passo definitivo para ter um ambiente seguro. Isso é falta de conhecimento ou resultado de uma fraca consultoria.

Em primeiro lugar, é necessário criar uma Política de  Segurança, que englobará todas as áreas da empresa e a forma com que elas  criam, acessam, tratam, transformam, encaminham, ... as informações. 

Com essa política em mãos, uma empresa especializada em Segurança da Informação, especificará os requisitos técnicos necessários para as ferramentas onde essas políticas serão implementadas, nas diferentes camadas da infraestrutura da empresa.

Alguns exemplos de políticas:

- Política de acesso à rede

- Política de acesso à rede por pessoas externas

- Política de acesso à Internet

- Política de acesso à Web

Em muitos casos as políticas precisam ser proibitivas, onde o que não estiver explicito é proibido.

Além das políticas e ferramentas, é extremamente importante um forte trabalho de conscientização dos funcionários.

Bom, é isso aí.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Tô no http://twitter.com/rodbramos

t+

saúde e paz

Tempo de resposta

Hoje em dia existe solução de TI para tudo no mundo. Voltando lá para 2003-2004, nós entrávamos nas empresas só porque tinhamos soluções, principalmente do mundo Open Source.

Hoje, deve existir pelo menos duas dúzia de softwares para a mesma demanda.

Quando um cliente me chama para questionar uma solução que nós implementamos, o meu discurso é quase sempre o mesmo.

A escolha deve ser baseada nos requisitos funcionais e de gerenciabilidade.

Tão importante quanto achar uma solução para  um problema, é conseguir e saber gerenciar a solução para impedir que ela faça parte do problema em algum momento.

Não é sempre que uma solução é gerenciável.

Como diz um amigo "O bom no bom é muito bom. Quero ver o bom no ruim". Traduzindo: Uma solução precisa ser boa em momentos de estabilidade e de instabilidade.

Na minha opinião, para ser completa, a solução deve ser capaz de  diminuir o tempo de resposta na resolução dos problemas. É lógico que essa capacidade não é mágica. Ter boa experiência em gestão de configuração, de incidentes, mudança, .... são requisitos básicos para alcançar o Menor Tempo de Resposta possível.

Vamos para um exemplo:

Todo serviço de email envia e recebe emails. Quando ele para de funcionar, em quanto tempo é possível descobrir porque ele parou? Será que ele fala abertamente onde está o problema? Quem for tratar o problema poderá precisar ter experiência com o serviço, com o sistema operacional, logs, TCP/IP, ....

Bom, é isso aí.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Também tô no http://twitter.com/rodbramos

t+

saúde e paz

Política de acesso ao servidor via Internet

Em meus sonhos, eu passo várias horas do mês varrendo a Internet para fazer uma breve avaliação da segurança das redes. É um sonho maluco, que já dura um pouco mais de 10 anos. Espero um dia dormir a noite inteira sem sonhar com isso.

Bom, algumas coisas simplesmente não mudam quando estou nas redes brasileiras. Senhas padrão em roteadores e em alguns sistemas são alguns exemplos.

Mas se tem uma coisa que acho uma grande loucura e que vejo com muita frequência, são os serviços de terminal (Terminal Service = TS ) com a cara na Internet. 

Sei que muitas vezes esses servidores estão na rede interna (não em uma DMZ), que não há sistemas, nem procedimentos para blindar o servidor ainda durante sua instalação e configuração, assim como sei que ninguém monitora os logs para saber se tem algum "hacker" tentando quebrar a senha do serviço para acessá-lo. Ou seja, o servidor está protegido pelo divino espírito santo.

Muitas vezes, quando conheço as empresas (mesmo em meus sonhos), pergunto o porquê, mas as respostas são as mais loucas possíveis.

Não sei qual a dificuldade de se implementar uma VPN para esses casos.

Uma VPN (Virtual Private Network - Rede Privada Virtual) possibilita conexões criprografadas entre o cliente e o servidor. 

O ideal é que o cliente se conecte na VPN e só depois seja direcionado para se autenticar no serviço de terminal.

Utilizando esse caminho, todo o tráfego entre o cliente e a empresa será criptografado e o serviço de terminal não precisará estar disponível na Internet para qualquer outro sonhador ficar tentando quebrar a senha ou se utilizar de algum furo não corrigido no serviço de terminal para acessar algum sistema da empresa.

O cenário ainda pode piorar se o "hacker" conseguir acessar o servidor e em seguida tiver acesso livre a outros servidores e informações na rede. Os sonhos de uns podem ser pesadelos de outros.

É isso aí gente, vamos criar Políticas de Segurança e deixar os arquitetos da segurança trabalhar....Ah simmmmm...liberem recursos.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Qq coisa tô no twitter http://twitter.com/rodbramos

t+

saúde e paz

Correlacionar é preciso

Já não é mais possível ficar tentando entender os problemas sem consultar o que dizem os roteadores, switches, servidores, sistemas operacionais, serviços e aplicações. Isso é fato.

As empresas que hoje têm uma estrutura para centralizar os logs dos sistemas (roteadores, switches, servidores, sistemas operacionais, serviços e aplicações) conseguem ser mais eficazes que as outras.

Alguns motivos:

- Conseguem identificar "pré problemas";

- Suas áreas de suporte à infraestrutura conseguem ser proativas;

- Conseguem rastrear problemas com maior facilidade;

- Eventos relacionados que ocorrem em diferentes sistemas podem ser detectados e analisados facilmente;

- Conseguem facilmente eliminar as pontos que não possuem relação com os problemas;

- Além das análises manuais, alertas podem ser enviados quando gatilhos forem disparados.

...Bom, tenho que correr para um reunião de última hora.

Vou falar mais sobre esse tema focando mais na segurança da informação.

Abração,

t+
saúde paz

A ignorância é maravilhosa e perigosa

....Como disse Cypher, em Matrix, "A ignorância é maravilhosa". No âmbito da Segurança da Informação, eu diria que a ignorância é maravilhosa e causa um falso senso de segurança.

Nos últimos tempos, temos executado com maior frequência nossos serviços de Gestão de Logs e Eventos. Esse trabalho consiste basicamente em monitorar em tempo real os eventos maliciosos que ocorrem nos sistemas das empresas.

Entenda que uma coisa é definir políticas de acesso à Internet e de acesso à rede interna, por exemplo, e configurar mecanismos de segurança, que controlarão quem vai para onde. Esse é mais ou menos o papel dos seguranças nas entradas das empresas, nas portarias dos edifícios, ...

Outra coisa completamente diferente é saber se o que está passando pelos mecanismos de segurança carregam consigo uma intenção maliciosa ou não.

Garanto que na grande maioria das empresas, uma vez que você recebe o direito de entrar, os seus passos dentro das instalações não são monitorados.

No mundo virtual a realidade não é muito diferente.

Só para vocês terem uma idéia, no último mês fizemos uma trabalho em um cliente que chamamos de "Degustação de monitoramento de eventos maliciosos". A única diferença entre essa degustação e o serviço contratado pelos clientes é que a análise não é obrigatoriamente executada em tempo real.

Bom, em 5 dias de coleta dos logs do Firewall e de alguns servidores de aplicação nós registramos mais de 16000 eventos classificados como maliciosos.

Esses eventos tinham diferentes objetivos, entre eles: Estudo do firewall, do sistema operacional dos servidores, das portas abertas nos servidores, dos serviços, das aplicações, do banco de dados.

As tentativas de furar as aplicações foram muitas. Os "hackers", de forma não coordenada, fizeram uma verdadeira análise da infraestrutura de servidores da empresa.

Os IPs de origem vinham de lugares geograficamente distantes.

Após assistir a apresentação do relatório, o CIO da  empresa ficou meio sem chão. Ficou tão preocupado que decidiu fazer uma análise para saber se todos os servidores ainda estavam sob a administração deles. Para ele, era fato que, com tanta gente atacando os servidores, alguém já poderia estar coadministrando algum servidor.

A imensa maioria dos Gestores de TI ainda imagina que se um servidor está funcionando bem é porque ele está seguro e ninguém o invadiu.

Quando um "hacker" tirar um servidor do ar, ou ele errou feio, ou é "menino" ou é ciberterrorista.

Quando um dos bons entra num servidor, ele, muitas vezes, procura torná-lo mais seguro. Para impedir que mais alguém invada e tenta ficar oculto o maior tempo possível.

No final das contas, fica cada vez mais claro que as empresas não fazem nem idéia de quantas vezes elas são atacadas, se estão seguras,  se alguém já conseguiu invadir algum servidor, ..... A ignorânia é maravilhosa e perigosa.

Fico por aqui.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Tô no twitter, tuitando sobre tudo http://twitter.com/rodbramos

t+

saúde e paz

É o "Cyberterrorism" chegando mais forte

Cyberterrorismo não é nada muito novo e o nome já diz do que se trata. Decidi escrever esse post depois de ler o artigo Iran struggling to contain 'foreing-made' 'Stuxnet'computer virus, por Thomas Erdbrink and Ellen Nakashima,

publicado no Washingtonpost, em 27/09/2010.

Vou traduzir alguns trechos, fazer alguns comentários e deixar nossas imaginações trabalharem.

TEHRAN - O Iran suspeita que uma nação ou organização estrangeira criou o  "Stuxnet," um worm mutante que ataca computadores e que se infiltrou nos sistemas de computadores industriais na República Islâmica, disse um oficial de alto escalão.

"Nós imaginávamos que poderiamos remover um vírus com um ou dois meses," disse Hamid Alipour, diretor do Iran's Information Technology Co., que faz parte do Ministério das Comunicações e Tecnologia da Informação, à Islamic Republic News Agency. "Mas o vírus não é estável e quando começamos o processo de remoção três novas versões apareceram e se espalharam," disse Hamid Alipour.

Ninguém assumiu a responsabilidade pelo worm e nenhuma entidade ou país foi definitivamente identificado como a origem.

É o primeiro caso conhecido de um malware criado para sabotar um sistema de controle industrial. "Nunca vimos nada assim antes,"disse Liam O'Murchu, da Symantec "Ele é muito perigoso".

Experts internacionais em segurança computacional dizem que o Stuxnet foi criado para atacar sistemas de controle produzidos pela Siemens, uma fabricante de equipamentos alemã. Os produtos da Siemens são muito utilizados nas plantas/instalações elétricas do Iran, em sistemas de comunicação e na 1a planta de energia elétrica do país, perto da cidade de Bushehr, que deve começar a produção em Outubro.

Uma vez dentro do sistema, o worm é capaz de reprogramar o software que controla funções críticas. Os pesquisadores ainda não sabem o que aconteceu exatamente ou qual seria a sabotagem e em que sistemas.

O worm foi descoberto em junho e os pesquisadores descobriram algo em torno de 45000 computadores infectados em vários países, incluíndo Indonésia e Índia, mas a maioria dos casos de infecção ocorreu no Iran, o provavel alvo do worm, acreditam os analistas.

Oficiais Iranianos disseram no sábado que eles foram atacados por uma

"electronic warfare" e souberam que o worm havia infectado mais de 30000 compuadores, incluindo os computadores pessoais dos funcionários da usina nuclear, perto de Bushehr.

Ainda durante o final de semana, os oficiais disseram que os sistemas estavam fora de perigo e que o vírus estava sob controle. As notícias da segunda-feira não batiam com esse comunicado.

Devido a riqueza e complexidade do worm e o alto investimento necessário para escrever o código, Alipor disse achar que o vírus foi criado por uma organização estrangeira ou país."O autor teve acesso a informações industriais que não estão disponíveis para os experts em TI", entendendo que um grupo hacker qualquer não teria como criar o vírus.

Um expert iraniano em computação disse que a usina nuclear também deve estar infectada, se os computadores pessoais dos funcionários também foram infectados pelo Stuxnet. "O worm também pode ter sido criado por Israel, tentando roubar segredos nucleares ou causar problemas à usina, ou pela Índia, que possui o maior poder de programação privado do mundo", disse o expert, falando na condição de manter sua identidade secreta, devido a criticidade do assunto.

Uma pequena cyberwar (guerra envolvendo computadores) entre o Iran e o West se intensificou após a vitória do Presidente Mahmoud Ahmadinejad nas eleições do ano passado. Vários grupos de hackers iranianos alegaram que o Ministério da Inteligência tem atacado os Websites dos opositores. Em dezembro eles pararam temporariamente a rede do Twitter, que eles acusaram estar dando assistência ao movimento opositor.

Grupos hackers como o Iranian Cyber Army e o Ashiyaneh têm dito que eles tiraram do ar milhares de sites do Western no ano passado. Como resposta, centenas de sites iranianos também foram atacados.

Engenheiros baseados no Tehran, especializados em reparar computadores pessoais dizem não ter notado nenhum crescimento nos trabalhos devido a vírus. Computadores são muito usados na sociedade iraniana, com a Internet sendo um importante meio de distribuir notícias da oposição que são censuradas pelo estado.

Alipour disse que o worm se tornou ativo a um ano. "É diferente de qualquer outro vírus", ele disse. "O Stuxnet é extremamente perigoso e medidas sérias devem ser tomadas para eliminá-lo".

Mais informações sobre "Cyberterrorism" podem ser facilmente encontradas no Google. Alguns estudiosos do assunto falam que muitas das próximas guerras acontecerão através do mundo virtual. Eu sigo essa mesma linha de pensamento.

Fico por aqui.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Também tô no http://twitter.com/rodbramos

t+

saúde e paz

...capacitado para receber mais conhecimento

Tenho visto que algumas empresas estão preocupadas em capacitar suas equipes. Acho esse tipo de preocupação muito saudável e importante. Importante porque as organizações precisam de pessoas capacitadas e os funcionários gostam de trabalhar em locais onde há esse tipo de visão.

Eu gosto muito de capacitar as pessoas. Sinto-me bem  transmitindo um pouco do que eu sei para quem quer aprender.

Por outro lado, já vi casos interessantes, onde o responsável por um sistema esconde a tela para que ninguém aprenda como resolver um problema. Certa vez, uma pessoa me ensinou os passos errados para efetuar alguns procedimentos em uma empresa onde eu era recém contratado. A bronca foi grande porque esses procedimentos eram referentes ao pagamentos da empresa. Ainda bem que Dona Ana (Minha Tia) entendeu quando eu expliquei que a recém demitida me ensinou tudo errado.

(Lembro que uma vez eu disse que ela (D Ana) estava muito nervosa e precisava se acalmar para não passar mal. Meu tio (Braz) olhou pra mim e disse "Nunca diga que ela está nervosa...Isso piora tudo")....bons tempos.

Agora uma coisa é certa. A partir de um certo ponto, você precisa ter uma bagagem para conseguir entender outras coisas. Por exemplo, eu nunca entendi como funciona o capacitor de fluxo, inventado pelo Dr. Emmett Brown, no filme De volta para o Futuro. Só sei que ele possibilita a viagem no tempo.

Depois de apresentar os relatórios de alguns serviços, alguma empresas sempre perguntam se podemos capacitar suas equipes, nas ferramentas que usamos aqui na Triforsec.

Eu nunca vejo problema na idéia de capacitar. O problema é que as vezes o pessoal não têm a base necessária para entender tudo,  não têm tempo para estudar e acaba não alcançando o nível desejado.

Tive uma reunião, agora pela manhã, focada em relatórios baseados em logs de firewall, sistema operacional e servidores diversos (aplicação, banco de dados, ....). Não há como capacitar uma pessoa sem base alguma para fazer o que nós fazemos aqui.

O serviço em sí já é bem trabalhoso. Resumidamente falando, a gente centraliza os logs de várias origens em um único lugar e passa o dia fazendo  correlações e análises buscando eventos maliciosos, gerados pelos "hackers".

Uma empresa pode nos contratar para ajudarmos a manter uma aplicação web integra. Em alguns casos ela já pode ter firewall, IPS e outros mecanismos de segurança e ainda assim o nosso serviço será necessário para monitorar os logs do servidor, da aplicação e do banco de dados. 

Para realizar esse trabalho é necessário, entre outras coisas,  conhecer bem os formatos dos  logs de cada sistema monitorado, TCP/IP, as formas de ataques, ser paciente, observador, ter T no trabalho (achar que ser Nerd é o que há de mais pós-depois) e ainda falar sobre isso na hora do almoço e no final de semana com os amigos da área.

Por tudo isso acho que o profissional precisa estar capacitado para receber mais conhecimento e ter o perfil adequado para assumir outras funções. Não é fácil ser um Nerd multiplataforma, e se não for Nerd nem queira ser capacitado nessas coisas. Não funciona.

Fico por aqui.

Continuem mandando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Também tô no @rodbramos

t+

saúde e paz

Qual a diferença entre Plano de Continuidade e Plano de Recuperação de Desastre?

Toda e qualquer organização necessita desses dois planos, porém são poucas as que realmente entendem seus benefícios e fazem os investimentos necessários.

Um Plano de Continuidade de Continuidade de Negócios (PCN) descreve os processos e procedimentos que as organizações devem executar para garantir que suas funções criticas continuarão sendo executadas durante e depois de um desastre qualquer.

Um Plano de Recuperação de Desastre (PRD) descreve os passos  necessários para reativar as operações afetadas após um desastre.

Por que ter os dois planos?

Vamos para a ficção.... Uma empresa tem em sua unidade principal um grande datacenter e um segundo datacenter espelho do outro, em uma filial.

Um belo dia um incêndio paralisa o datacenter na unidade principal. As operações seguem normalmente já que existe o datacenter espelho. Com isso ficamos sabendo que o PCN funcionou 100% como planejado e já testado.

Ao mesmo tempo o PRD já estará em execução para restaurar o que for necessário para recolocar o datacenter paralizado em produção novamente.

Muitas vezes a guerra para manter os preços mais competitivos torna inviável esse tipo de investimento, porém a conta que precisa ser feita é outra. Quanto custa a hora da empresa parada? 

Após descobrir esse valor, é interessante chamar os responsáveis pelas áreas para saber em quanto tempo a empresa consegue voltar a produzir e faturar após o banco de dados (servidor ou storage) e o  servidor de aplicação  (físico ou virtual) terem parado de funcionar por algum motivo que  justifique  a compra de outros equipamentos.

Sem sombra de dúvidas a resposta será assustadora.

Boa semana para todos.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Link relacionado http://searchdisasterrecovery.techtarget.com/generic/0,295582,sid190_gci1363965,00.html

http://twitter.com/rodbramos

Software livre e seus benefícios

O software livre gera muitos, muitos benefícios em várias áreas. A idéia desse post é contar algumas histórias de minha experiência e alguns pontos de vista.

Acho que o S.O. (sistema operacional) Linux é o maior exemplo de um projeto de software livre bem sucedido. Seu modelo de desenvolvimento distribuído e compartilhado é impressionante.

Existem milhares de pessoas pelo mundo trabalhando no desenvolvendo de partes deste sistema operacional e em seus aplicativos. O desenvolvimento de muitos desses aplicativos seguem esse mesmo modelo compartilhado.

O processo é mais ou menos assim: Uma pessoa identifica uma necessidade e começa a trabalhar em um software que possa atender tal necessidade. Se for o caso, ela pode hospedar seu projeto em um site como o Freasmeat, onde vai disponibilizar o código e sua documentação. Caso alguém tenha a mesma necessidade pode fazer uma busca e encontrar o projeto no Freasmeat. Esta pessoa pode fazer várias coisa, entre elas: baixa e usar, reportar bugs, divulgar, colaborar no desenvolvimento do código, colocando a mão na massa, assim como também pode pegar o mesmo código e colocá-lo em outra solução. Caso este programa esteja sob alguma licença open source, ele terá que seguir os critérios do licenciamento para utilizá-lo.

Bom, o legal dessa coisa toda é a possibilidade de você poder usar, estudar, transformar, .... ser feliz usando um software que uma ou muitas pessoas espalhadas pelo planeta desenvolvem sem te cobrar nada por isso.

Existe uma briga por parte de algumas pessoas que afirmam que o software livre é melhor ou pior que o software proprietário. Que o Windows é melhor que o Linux. Isso é bobagem.

É lógico que para algumas funções uma solução livre pode ser melhor que a paga e vice-versa, mas no geral, para o dia-dia, eu acredito que o pulo do gato está na capacidade técnica de quem configura um ou outro. Vamos deixar esse papo para lá... No final das contas não chegaremos em lugar algum.


Ainda hoje, conversando com um estagiário, durante visita a um cliente, que está estudando redes de computadores na faculdade, eu sugeri que ele desse uma olhada no linux e em suas soluções. Esse foi o meu caminho e tem sido muito bom.

Vou tentar explicar porque segui este caminho e porque foi importante para mim.

Quando fui trabalhar num provedor de Internet, no final dos anos 90, conheci Alejandro Mick Jagger Flores e Afonso Bione. Esses camaradas já usavam linux e diziam que era a melhor solução para se ter no provedor de Internet. Lógicamente segui os caras.

Pouco antes de instalar o Red Hat (uma distribuição/tipo de Linux) na minha estação de trabalho, eu tinha muitos problemas com o Windows. Esses problemas ocorriam porque eu vivia instalando ferramentas na minha máquina para analisar tráfego de rede e estudar os protocolos. Além disso eu fazia visitas constantes aos sites de "hackers" para baixar suas ferramentas e ler suas histórias. Em alguns casos bastava acessar um site que a máquina pirava. Era uma onda. Eu adorava clicar nos gifs animados que diziam "Não clique aqui". Era clicar e ser infeliz e feliz ao mesmo tempo.

Comecei a blindar minha máquina contra os efeitos dessas visitas, mas o que eu sempre tinha que fazer era reinstalar o Windows 95/98 e tudo mais. Perdia um dia todo nesse processo.

Lembro que quem me apresentou esses sites e algumas ferramentas foi Luciano Moreira, que ainda hoje deve trabalhar lá na Emprel. Lembro que eu chegava lá as 8:00 e ficava até umas 22:00. Luciano, que era desenvolvedor, chegava para trabalhar no meio ou final da tarde. Ele gostava de trabalhar à noite. Caba bom. Não tenho notícias dele faz tempo.

Aos poucos fui vendo que Alejandro e Afonso não passavam pelo problema de ficar reinstalando a máquina.

Ainda no Windows conheci com o outro Luciano, o SubSeven. Era um caválo de tróia maravilhoso. Ele fazia de tudo com suas máquinas servidoras. O que eu fazia era procurar máquinas infectadas na Internet para estudar e infernizar a vida dos usuários, abrindo o drive de cd, virando a tela 90 graus, movendo o mouse, ... enfim, eu era o dono da máquina.

Certa vez descobrimos ( Luciano Mauro e eu) que  algumas máquinas na Emprel estavam infectadas, e depois de estudar de que forma os servidores estavam configurados descobrimos que eles estavam capturando as informações de agência, conta e senha dos bancos, dos usuários das máquinas infectadas. Logicamente fizemos uma reunião e contamos o ocorrido para os nossos chefes.

Depois daí mergulhei no Linux. Instalei na minha estação de trabalho e até hoje sou um usuário feliz pra barai.

Nesse mergulho, eu conheci maravilhosas ferramentas para estudar protocolos, criar pacotes de rede, controlar e monitorar o tráfego, .... enfim, meus computadores se tornaram verdadeiras caixas de ferramentas maravilhosas. Ferramentas como Ethereal, Snort, TCPDump, me ajudaram e ajudam muito. O melhor de tudo é que elas são Free, estão sob a GNU General Public License.

Muito provavelmente se não fosse por eu ter migrado para Linux, eu não teria a mesma visão sobre redes e sistemas operacionais. Isso porque eu não teria grana para ter ferramentas tão boas quanto as que eu citei ao meu dispor.

Instalar essas ferramentas era outra viagem interessante, porque não era possível clicar duas vezes sobre um ícone. O Linux era bem pé duro e isso possibilitava um profundo mergulho em algumas funções de um sistema operacional.

Essa necessidade de mergulhar no S.O. para fazer as coisas foram me dando muita bagagem.

Nessa mesma linha de fazer as coisas sem os simples cliques, eu tive um curso de Webdesign com Ronaldo Castro, lá na Emprel. Putz! Ele colocou a turma para montar, mapear uma área clicavel em uma figura, na mão, sem utilizar os recursos do Front Page, muito utilizada à época para criar home pages (termo utilizado nos anos 90). Esse Post poderia se chamar "Clicar otimiza, mas não te deixa mergulhar".

Por último....

As empresas com as quais trabalho hoje vivem basicamente do software livre. Nosso faturamento é sobre os serviços, que executamos utilizando softwares livres. O que nós fazemos é estudar ferramentas para utilizá-las nos projetos dos clientes e oferecemos nossos serviços de suporte ou gerencenciamento para manter tudo funcionado. Não sabemos o que é pirataria e nem escondemos os nomes das ferramentas ou de seus autores.

Viva o software livre!!!!

Vou me organizar para escrever sobre software livre e os modelos de negócio que ele gerou.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

tô no http://twitter.com/rodbramos

t+
saúde e paz

Por que avaliar a segurança?

Na imensa maioria das empresas os investimentos na área de TI crescem muito mais lentamente que em outras áreas da empresa.

Se o produto final da empresa deriva de TI, a área de produção recebe grandes investimentos. Uma empresa de projetos de engenharia ou arquitetura pode ter o melhor plotter do mundo, mas isso não quer dizer que ela terá um bom servidor de arquivos ou um switch gerenciável.

Conheço grandes empresas onde todo o investimento é dividido entre a área de produção e a área comercial. A meta é produzir e faturar. É lógico!

Muitos empresários ainda não descobriram que para isso acontecer (produzir e faturar) a área de TI tem que suportar toda a operação.

Como a TI nunca recebe investimentos reais (ou em U$ hahah) ela vai crescendo como pode e com a meta de fazer as coisas funcionarem pelo maior tempo possível, sob a benção do divíno e espírito santo.

Com o passar do tempo essas empresas acumulam tantas vulnerabilidades que o resultado de uma análise pode deixar o dono da empresa de queixo caído. Isso se ele não descobrir antes pelo caminho mais complicado.

Ainda no mês passado, durante uma análise interna, tivemos acesso aos dados (agência, conta) temporários (e senha) do banco de um cliente.

É lógico que eu entendo que investir não é fácil quando se tem que pagar os maiores impostos cobrados no mundo. Nesse cenário, a cabeça do empreendedor só diz que ele deve melhorar seus produtos e serviços para ter melhores margens de lucros.

Esse pensamento é natural, mas gera enormes problemas futuros, na medida em que sua empresa cresce.

As respostas para as perguntas abaixo são motivos para avaliar a segurança da rede em uma empresa que infelizmente não investiu em segurança com o passar do tempo:

1 - Até onde um "hacker" pode ir caso ele decida invadir sua empresa?

2 - Até onde um funcionário, parceiro, colaborador, ... pode ir caso ele decida virar um "hacker", sabotador ou vendedor de informações?

3 - Em algum momento você fez algum investimento para ter respostas não-assustadoras para as perguntas acima?


Conhecer os pontos fracos/vulneráveis de uma rede é sem dúvida um ponto crucial quando se pensa em segurança.

Certa vez alguém disse "Uma falso senso de segurança é pior que insegurança"

Seja lá o que você for fazer depois de ler este texto, tenha certeza de que alguém já sondou algum sistema seu na Internet hoje.

Fico por aqui!

Mande suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Tô em http://twitter.com/rodbramos

t+
saúde e paz

A segurança ainda no planejamento

Na medida em que as empresas vão descobrindo o valor da tecnologia da informação para seus negócios, mais e mais recursos vão sendo destinados para melhorar os processos utilizando TI.

A inovação é um componente importante para ganhar mercado, mas uma empresa não precisa necessariamente criar um novo produto para sair na frente dos concorrentes, ela pode com a ajuda da tecnologia da informação, inovar seus processos resultando em produtos e serviços melhores para seus clientes.

São poucas as empresas que estão levando a segurança da informação como requisito básico para qualquer novo projeto.

Muita gente ainda tem uma visão errada, que pensa que segurança gera mais trabalho e que acaba complicando os processos que deveriam ser super simples. Não é bem assim.

Ainda hoje eu recebi uma ligação de uma empresa que quer disponibilizar algumas informações aos seus funcionários e clientes através da Internet.

O processo é basicamente o seguinte:

O cliente vai até lá, faz um exame, um médico a partir de qualquer lugar vai acessar o resultado, preencher lá alguns campos (entre eles o do  diagnóstico) e o sistema enviará o resultado para o paciente.

A idéia é excelente. Vai otimizar o processo todo, diminuindo  fluxo de pessoas no hospital, diminuindo as reclamações pela falta de estacionamento, eliminando a necessidade de ter um médido  presente para fazer o que ele pode fazer de qualquer lugar do planeta, .... Muitos serão os benefícios.

Nunca faço apostas com premiação em dinheiro. Mas eu poderia apostar um mês de suco de laranja como a empresa que está apresentando este sistema não faz muitos comentários sobre a segurança dessas informações, que estarão acessíveis pela Internet.

Podemos facilmente identificar algumas camadas de segurança necessárias:

Segurança física dos equipamentos no datacenter;
Segurança no banco de dados;
Segurança na aplicação;
Segurança na rede;
Segurança nos computadores (laptops, ...) dos médicos;

Com toda certeza do mundo esta empresa fez a coisa certa quando me ligou convidando para participar de uma reunião onde o fornecedor estará apresentando esta solução, que  como já disse estará proporcionando uma grande inovação para seus clientes internos e externos.

Bom, é isso aí.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

sigam @rodbramos

t+
Saúde e paz

Economia X falta de esclarecimento

Tenho observado que cada vez mais e mais empresas se preocupam com a segurança de suas informações. Segurança num sentido bem amplo. Elas estão preocupadas em manter a Confidencialidade, Integridade e a Disponibilidade de suas informações e sistemas.

Essa é uma boa e importante preocupação para todas as empresas, não importando área de atuação, tempo de mercado, faturamento, ....

Um dos problemas que essas empresas encontram é a mão de obra especializada. Não existem muitas empresas com know-how suficiente para montar e executar projetos dessa natureza. O pessoal de dentro de casa normalmente não têm tempo para tocar um projeto desses com a dedicação e a bagagem necessária.

Eles precisam ser capacitados participando da elaboração e execução do projeto, para continuar na luta diária para manter a CID (Confidencialidade, Integridade e a Disponibilidade) das informações.

Essa preocupação das empresas é o resultado do cresciemento da economia (mesmo que medíocre) e da maturidade que elas estão alcançando. Sem $$$$ e maturidade é difícil alcançar as metas de crescimento de uma empresa.

Vamos lá....

Trabalho em uma empresa e conheço outras que têm grande know-how em soluções para ajudar a manter a CID das informações dos clientes. Muitas vezes visito empresas que não querem mais parar, mas que não querem investir o necessário para alcançar tal objetivo.

Quando digo que não querem é porque eu faço idéia dos seus faturamentos e orçamentos para suas áreas. A área de TI tem sempre pequenos orçamentos.

Algumas vezes elaboramos e executamos projetos onde ferramentas para monitorar a infra de TI (monitorar serviços, aplicações, bancos de dados, rede, memória RAM, espaço em disco e CPU) do cliente são implementadas. 

A partir do momento em que uma solução dessas é implementada o cliente passa a ter acesso a informações que jamais sonhou em ter, e muitas vezes com certa antecedência. É possível saber, por exemplo, quando uma CPU está sobre carregada, quando um link está sobre carregado ou quando o espaço livre de um HD está para acabar.

Todas essas informações são armazendas em banco de dados para possibilitar consultas do tipo. Qual o índice de disponibilidade do meu sistema de gestão da empresa no período de uma ano? Como andam os consumos de CPU e memória RAM de todos os servidores espalhados pelo Brasil?

Agora, me diga, quantas empresas no Brasil têm esse tipo de informação em tempo real? Eu não sei. 

O empresário quer saber o status do seu estoque, quer saber como anda a produtividade de sua área comercial. Mas não está preocupado em facilitar a vida da área de TI quando ela está tentando descobrir o por que de uma aplicação está lenta e fica mais lenta todos os dias a partir das 10:30.

O tempo gasto pela área deTI custa dinheiro e a lentidão custa mais ainda.

Bom, em alguns casos, mesmo quando implementamos esse tipo de solução em um cliente, ele decide não nos contratar para ajudar a manter a solução funcionando e a ajudar no monitoramento. Ele prefere "economizar" solicitando uma capacitação de 05 ou 06 dias para sua equipe.

Vê bem, será que com 05 ou 06 dias alguém consegue dominar todos os recursos de um editor de textos, por exemplo? Alguma solução para planilhas eletrônicas pode ser dominada em 05 ou 06 dias, por um leigo?

Capacitação é investimento. "Ah eu já investi e o camarada foi embora para outra empresa". Melhore os salários. Procure gerar incentivos para não perder sua equipe.

Se tem medo de investir no seu time parta para o Outsourcing também. É legal compartilhar serviços e responsabilidades. Com uma boa integração o time interno e o time externo funcionam bem de mais.

Essa integração as vezes é difícil. Outro dia tive problemas com um funcionário de um cliente. Pense num camarada mal educado. Na minha opinião a falta de educação intencional é uma das piores coisas do mundo.

Deixa isso pra lá.

Voltando ...

Já tivemos um cliente que após instalar um sistema de monitoramento  descobriu a solução para um problema que já durava meses em menos de 24 horas. O mais interessante foi que ele não nos contratou para manter o sistema e ajudar no monitoramento. Ele decidiu economizar e capacitou um técnico dele que já era sobre carregado e abandonou a solução. Para completar pediu demissão faz alguns meses e nesse exato momento eles voltaram no tempo para a era do Achismo. Sim...o gerente que nos contratou também não está mais no cliente. Nós continuamos lá com outros serviços.

Mandem suas críticas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+

saúde e paz

Posts em outro Blog (Muqueca)

Eu tinha esquecido de apresentar aqui dois outros Posts que foram publicados no Blog da Fishy . O Muqueca é uma superprodução da Fishy.

Os posts são:

Telefonia IP

Colaboração é a nova onda


Simmmmmm......aproveitem o passeio para conhecer o site da Fishy. Uma empresa composta por pessoas da melhor qualidade e com grande capacidade técnica para transformar suas idéias em negócios. (Espero ganhar um almoço depois dessa).

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
Saúde e paz

Internet condominial

Durante o final de semana batendo um papo com amigos, observei que alguns deles usam a Internet do condomínio. Esse é uma forma de acesso normal para muita gente em muitos condomínios residenciais e comerciais. Nada melhor do que dividir uma conta com várias pessoas ou empresas.

O problema é que muitas vezes a infraestrutura não oferece nenhuma segurança para os dados dos clientes/usuários e isso não é informado em momento algum por quem provê o serviço de Internet.

Ainda na fase do projeto, o condomínio precisa especificar que o fornecedor da solução deve implementar mecanismos para garantir a mesma largura de banda para todos os clientes e que um computador do condomínio não deve enxergar, ter acesso ao outro.

Com essas duas medidas um vizinho que goste de baixar filmes e músicas não consumirá toda a banda. Outro vizinho, mais "espertão", deixará de xeretar os computadores dos outros vizinhos.

Compartilhar uma conta é legal. Compartilhar um link Internet pode ser perigoso.

Fico por aqui.

Mandem suas críticas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+

saúde e paz

Qual a melhor solução de segurança?

Quase sempre alguém me pergunta "Qual a melhor solução de segurança?".

Na grande maioria dos casos as pessoas que fazem essa pergunta estão pensando em um firewall.

Firewall = Solução que fica entre a rede da empresa e a Internet. É nele que podemos implementar as políticas de acesso à Internet, à Web, à rede interna, à DMZ, .... dizendo tudo o que pode passar por ele.

Sempre explico que um firewall é como a portaria de um edifício que pra funcionar precisa ter um porteiro. Não adianta você construir um bela portaria e não ter um porteiro bem preparado e com estrutura para trabalhar.

No caso do firewall não adianta você comprar a solução mais cara do mundo e não ter alguém para administrá-lo. Como todos nós sabemos o computador não faz nada sozinho, sem uma programação prévia.

Já visitei várias empresas que possuem grandes e bonitos appliances, com interfaces coloridas, luzes piscando, com capacidade de emitir sons em algumas situações, porém em alguns casos, elas não investiram nos profissionais que fazem a gestão da ferramenta e nem na infra necessária para o trabalho.

Outro ponto importante é que quando falamos em segurança da rede ou segurança da informação (que são coisas bem diferentes) não podemos pensar que a segurança se resume ao firewall.

Existem várias camadas de segurança que precisam ser implementadas.

Por exemplo:
O usuário precisa estar instruído para não receber um email qualquer e clicar em um executável.

Na máquina deste mesmo usuário precisa existir um bom antivírus corporativo, configurado e administrado por um profissional.

Não adianta ter um antivírus desatualizado.

Imagine as camadas de segurança que podem existir entre o usuário em uma empresa até o cliente que pode estar na Internet.

Em todas essas possíveis camadas é 100% necessário uma equipe focada em mantê-las funcionando da melhor forma possível.


Fico por aqui!

Mandem suas críticas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
saúde e paz

O alinhamento com a TI

Uma coisa que vejo dia sim dia também, são empresas que continuam tomando suas decisões planejadas ou não, sem o alinhamento necessário com a àrea de TI.

Esse caminho simplesmente não funciona.

Em alguns casos essa metodologia pode parecer que funciona porque a empresa está faturando muito bem e com isso as fragilidades não aparecem com tanta nitidez.

Na grande maioria das empresas do mundo, a área de TI é um dos principais suportes às outras áreas. Sendo assim, como não ter a TI alinhada com todas as outras áreas da empresa?

Como planejar o crescimento de um segmento da empresa sem a participação da TI ainda durante o planejamento?

Por exemplo, muitos diretores comerciais estão acostumados a escolher sistemas sem antes levar em consideração a opinião do seu time de TI.

Já acompanhei um projeto onde o vendedor de um sistema de gestão disse ao cliente que o sistema dele rodava em qualquer máquina, com qualquer sistema operacional linux. Para o nosso cliente, que já tinha um contrato de suporte conosco e já tinha servidores linux, essa foi uma grande informação que valeu vários pontos para o vendedor lá.

Quando entrei no processo mostrei que o vendedor era doido,  ainda durante a leitura dos requisitos do sistema (aplicação + banco Oracle) dele.

Não tenham dúvidas. A TI precisa estar alinhada com os objetivos dos próximos 02 anos de cada setor de uma empresa.

Se não houver o alinhamento/planejamento, mas $$$$ não for problema, todos os obstáculos serão vencidos, mas a bomba continuará acesa. Na primeria crise ela explode e leva o pobre o CIO pro inferno.

Uma boa semana para todos nós.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
saúde e paz

Tor - Um pouco de privacidade

É interessante ver como a privacidade está acabando. A eterna busca pela segurança e sua fiel aliada,  a tecnologia, estão matando a privacidade.

Existem centenas de formas de se perder a privacidade. Isso pode ocorrer de forma ativa ou passiva.

As câmeras de segurança estão em quase todos os lugares nas grandes cidades; Nas ruas, condomínios, praças, clubes, escolas, elevadores, estacionamentos, shopping centers, aeroportos, portos, rodoviárias, supermercados, .....

Alguns estacionamentos, por exemplo, já podem incluir o cpf do cliente no cupom fiscal. Como tá tudo online, é possível que alguém em algum lugar possa saber quantas vezes você foi ao Shopping X no mês de janeiro.

Existem também os sites de relacionamento e as mídias sociais onde nós mesmos divulgamos informações do nosso dia-a-dia.

Na Internet todos os passos são registrados em vários lugares por onde passamos.

Por outro lado existem projetos como o Tor,  que busca prover uma forma de impedir que outras pessoas ou entidades consigam facilmente rastrear outras pessoas na grande rede.

Como o próprio site explica....

Tor é uma rede de túneis virtuais  que permite que pessoas e grupos tenham privacidade e segurança na Internet.

Ele pode ser usada por desenvolvedores de softwares para a criação de novas ferramentas de comunicação com funcionalidades e características nativas de privacidade.

Uma pessoa pode usar o Projeto Tor para impedir que websites consigam rastreá-lo, ou para conectar em sites, serviços de mensagem instantânea, ..., mesmo quando os mesmos são bloqueados pelo provedor de Internet.

Através do Tor's hidden services, websites, por exemplo, podem ser publicados sem a necessidade de revelar a localização exata do site.

Como explica o site o Projeto Tor

Um jornalista pode usar o Tor para se comunicar, de forma mais segura, com suas fontes.

Grupos ativistas como o Electronic Frontier Foundation (EFF) recomendam a utilização do Tor como um mecanismo para manter a liberdade civil online.

Bom, vale conferir o Projeto.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+

Saúde e paz

Virtualização e os Planos de Continuidade das Operações

Não faz muito tempo que a Virtualização chegou às empresas. Acredito que o grande boom começou a partir dos últimos 3 ou 4 anos.

É uma tecnologia maravilhosa e veio realmente para ficar, ajudando na difícil tarefa de manter a disponibilidade dos sistemas e informações das empresas.

Por outro lado, muitas empresas contratam soluções de virtualização acreditando que chegarão ao paraíso da alta disponibilidade e que nunca mais vão parar.


Não sei onde está a falha, mas sei que tem muita empresa comprando gato por lebre.

Essa compra pode ocorrer porque a empresa está mal assessorada, porque ficou impressionada com a apresentação malaravilhosa de algum fornecedor ou não sabe o que quer e acaba no gato por lebre.


As soluções de virtualização como VMware ou Xen, por exemplo, devem fazer parte de um Plano de Continuidade das Operações.

Não adianta investir meio milhão de reais em uma estrutura que pode parar em caso de um incêncio, e deixar todo mundo sem saber o que fazer para continuar com as operações "normais" o mais breve possível.

É preciso saber viver e saber o que fazer em caso de problemas.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
saúde e paz

Encomendando uma Aplicação Web

A idéia desse Post não é listar várias sugestões de requisitos necessários para a especificação de uma Aplicação Web.

Com base na minha experiência na área de segurança da informação, achei que seria legal citar um dos pontos importantes que deve ser levado em consideração quando pensamos em um software, seja ele desenvolvido em casa, encomendado ou comprado pronto.

Esse ponto é a Segurança da solução como um todo. Vamos levar em consideração que há uma aplicação que fala com um banco de dados. Este é um cenário super-hipper-ultra comum.

Normalmente quando idealizamos uma solução nos concentramos nas questões visuais e funcionais.

O Cliente -
"Precisamos uma aplicação que será usada para .......e deve fazer o seguinte: ...,....,....,....,...,  é necessário seguir a identidade visual da empresa...Detalhe: Preciso disso para ontem. Tô passando para seu email os requisitos funcionais"

O Fornecedor -
"Tudo bem. Podemos fazer sim. Sem problemas. O pessoal pediu x dias, levantou algumas sugestões de melhorias e custará R$...."

Bom, com certeza a solução sairá do email. Depois de alguns ajustes o cliente ficará satisfeito (se tinha certeza do que queria) e o fornecedor também (se sabia fazer).

Em algum lugar o cliente achou que o fornecedor estava ciente dos requisitos de segurança, assim como o fornecedor atende aos requisitos funcionais achando que estava tudo bem.

Se sua aplicação for gerar algum tipo de premiação (o que está cada vez mais comum na Web) a "rapaziada" vai fazer de tudo para ganhar o maior número de prêmios possível.

Mesmo se não valer nada ainda haverá o risco de um ou outro camarada decidir "avacalhar" o seu trabalho.

Acompanhando os trabalhos de análise de vulnerabilidades em aplicações, tenho visto todo tipo de furo antigão passando despercebido pelos desenvolvedores.

Um dos principais furos é a falta de validação dos parâmtros.

Grandes sistemas de grandes empresas também podem conter furos. Errar é humano....esquecer também.


That's All Folks

http://twitter.com/rodbramos

t+
saúde e paz