quinta-feira, 30 de setembro de 2010

É o "Cyberterrorism" chegando mais forte

Cyberterrorismo não é nada muito novo e o nome já diz do que se trata. Decidi escrever esse post depois de ler o artigo Iran struggling to contain 'foreing-made' 'Stuxnet'computer virus, por Thomas Erdbrink and Ellen Nakashima,
publicado no Washingtonpost, em 27/09/2010.

Vou traduzir alguns trechos, fazer alguns comentários e deixar nossas imaginações trabalharem.

TEHRAN - O Iran suspeita que uma nação ou organização estrangeira criou o  "Stuxnet," um worm mutante que ataca computadores e que se infiltrou nos sistemas de computadores industriais na República Islâmica, disse um oficial de alto escalão.

"Nós imaginávamos que poderiamos remover um vírus com um ou dois meses," disse Hamid Alipour, diretor do Iran's Information Technology Co., que faz parte do Ministério das Comunicações e Tecnologia da Informação, à Islamic Republic News Agency. "Mas o vírus não é estável e quando começamos o processo de remoção três novas versões apareceram e se espalharam," disse Hamid Alipour.

Ninguém assumiu a responsabilidade pelo worm e nenhuma entidade ou país foi definitivamente identificado como a origem.

É o primeiro caso conhecido de um malware criado para sabotar um sistema de controle industrial. "Nunca vimos nada assim antes,"disse Liam O'Murchu, da Symantec "Ele é muito perigoso".

Experts internacionais em segurança computacional dizem que o Stuxnet foi criado para atacar sistemas de controle produzidos pela Siemens, uma fabricante de equipamentos alemã. Os produtos da Siemens são muito utilizados nas plantas/instalações elétricas do Iran, em sistemas de comunicação e na 1a planta de energia elétrica do país, perto da cidade de Bushehr, que deve começar a produção em Outubro.

Uma vez dentro do sistema, o worm é capaz de reprogramar o software que controla funções críticas. Os pesquisadores ainda não sabem o que aconteceu exatamente ou qual seria a sabotagem e em que sistemas.

O worm foi descoberto em junho e os pesquisadores descobriram algo em torno de 45000 computadores infectados em vários países, incluíndo Indonésia e Índia, mas a maioria dos casos de infecção ocorreu no Iran, o provavel alvo do worm, acreditam os analistas.

Oficiais Iranianos disseram no sábado que eles foram atacados por uma
"electronic warfare" e souberam que o worm havia infectado mais de 30000 compuadores, incluindo os computadores pessoais dos funcionários da usina nuclear, perto de Bushehr.

Ainda durante o final de semana, os oficiais disseram que os sistemas estavam fora de perigo e que o vírus estava sob controle. As notícias da segunda-feira não batiam com esse comunicado.

Devido a riqueza e complexidade do worm e o alto investimento necessário para escrever o código, Alipor disse achar que o vírus foi criado por uma organização estrangeira ou país."O autor teve acesso a informações industriais que não estão disponíveis para os experts em TI", entendendo que um grupo hacker qualquer não teria como criar o vírus.

Um expert iraniano em computação disse que a usina nuclear também deve estar infectada, se os computadores pessoais dos funcionários também foram infectados pelo Stuxnet. "O worm também pode ter sido criado por Israel, tentando roubar segredos nucleares ou causar problemas à usina, ou pela Índia, que possui o maior poder de programação privado do mundo", disse o expert, falando na condição de manter sua identidade secreta, devido a criticidade do assunto.

Uma pequena cyberwar (guerra envolvendo computadores) entre o Iran e o West se intensificou após a vitória do Presidente Mahmoud Ahmadinejad nas eleições do ano passado. Vários grupos de hackers iranianos alegaram que o Ministério da Inteligência tem atacado os Websites dos opositores. Em dezembro eles pararam temporariamente a rede do Twitter, que eles acusaram estar dando assistência ao movimento opositor.

Grupos hackers como o Iranian Cyber Army e o Ashiyaneh têm dito que eles tiraram do ar milhares de sites do Western no ano passado. Como resposta, centenas de sites iranianos também foram atacados.

Engenheiros baseados no Tehran, especializados em reparar computadores pessoais dizem não ter notado nenhum crescimento nos trabalhos devido a vírus. Computadores são muito usados na sociedade iraniana, com a Internet sendo um importante meio de distribuir notícias da oposição que são censuradas pelo estado.

Alipour disse que o worm se tornou ativo a um ano. "É diferente de qualquer outro vírus", ele disse. "O Stuxnet é extremamente perigoso e medidas sérias devem ser tomadas para eliminá-lo".

Mais informações sobre "Cyberterrorism" podem ser facilmente encontradas no Google. Alguns estudiosos do assunto falam que muitas das próximas guerras acontecerão através do mundo virtual. Eu sigo essa mesma linha de pensamento.

Fico por aqui.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br


t+
saúde e paz

quarta-feira, 29 de setembro de 2010

...capacitado para receber mais conhecimento

Tenho visto que algumas empresas estão preocupadas em capacitar suas equipes. Acho esse tipo de preocupação muito saudável e importante. Importante porque as organizações precisam de pessoas capacitadas e os funcionários gostam de trabalhar em locais onde há esse tipo de visão.

Eu gosto muito de capacitar as pessoas. Sinto-me bem  transmitindo um pouco do que eu sei para quem quer aprender.

Por outro lado, já vi casos interessantes, onde o responsável por um sistema esconde a tela para que ninguém aprenda como resolver um problema. Certa vez, uma pessoa me ensinou os passos errados para efetuar alguns procedimentos em uma empresa onde eu era recém contratado. A bronca foi grande porque esses procedimentos eram referentes ao pagamentos da empresa. Ainda bem que Dona Ana (Minha Tia) entendeu quando eu expliquei que a recém demitida me ensinou tudo errado.

(Lembro que uma vez eu disse que ela (D Ana) estava muito nervosa e precisava se acalmar para não passar mal. Meu tio (Braz) olhou pra mim e disse "Nunca diga que ela está nervosa...Isso piora tudo")....bons tempos.

Agora uma coisa é certa. A partir de um certo ponto, você precisa ter uma bagagem para conseguir entender outras coisas. Por exemplo, eu nunca entendi como funciona o capacitor de fluxo, inventado pelo Dr. Emmett Brown, no filme De volta para o Futuro. Só sei que ele possibilita a viagem no tempo.

Depois de apresentar os relatórios de alguns serviços, alguma empresas sempre perguntam se podemos capacitar suas equipes, nas ferramentas que usamos aqui na Triforsec.

Eu nunca vejo problema na idéia de capacitar. O problema é que as vezes o pessoal não têm a base necessária para entender tudo,  não têm tempo para estudar e acaba não alcançando o nível desejado.

Tive uma reunião, agora pela manhã, focada em relatórios baseados em logs de firewall, sistema operacional e servidores diversos (aplicação, banco de dados, ....). Não há como capacitar uma pessoa sem base alguma para fazer o que nós fazemos aqui.

O serviço em sí já é bem trabalhoso. Resumidamente falando, a gente centraliza os logs de várias origens em um único lugar e passa o dia fazendo  correlações e análises buscando eventos maliciosos, gerados pelos "hackers".

Uma empresa pode nos contratar para ajudarmos a manter uma aplicação web integra. Em alguns casos ela já pode ter firewall, IPS e outros mecanismos de segurança e ainda assim o nosso serviço será necessário para monitorar os logs do servidor, da aplicação e do banco de dados. 

Para realizar esse trabalho é necessário, entre outras coisas,  conhecer bem os formatos dos  logs de cada sistema monitorado, TCP/IP, as formas de ataques, ser paciente, observador, ter T no trabalho (achar que ser Nerd é o que há de mais pós-depois) e ainda falar sobre isso na hora do almoço e no final de semana com os amigos da área.

Por tudo isso acho que o profissional precisa estar capacitado para receber mais conhecimento e ter o perfil adequado para assumir outras funções. Não é fácil ser um Nerd multiplataforma, e se não for Nerd nem queira ser capacitado nessas coisas. Não funciona.

Fico por aqui.

Continuem mandando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Também tô no @rodbramos

t+
saúde e paz

segunda-feira, 27 de setembro de 2010

Qual a diferença entre Plano de Continuidade e Plano de Recuperação de Desastre?

Toda e qualquer organização necessita desses dois planos, porém são poucas as que realmente entendem seus benefícios e fazem os investimentos necessários.
Um Plano de Continuidade de Continuidade de Negócios (PCN) descreve os processos e procedimentos que as organizações devem executar para garantir que suas funções criticas continuarão sendo executadas durante e depois de um desastre qualquer.

Um Plano de Recuperação de Desastre (PRD) descreve os passos  necessários para reativar as operações afetadas após um desastre.

Por que ter os dois planos?

Vamos para a ficção.... Uma empresa tem em sua unidade principal um grande datacenter e um segundo datacenter espelho do outro, em uma filial.

Um belo dia um incêndio paralisa o datacenter na unidade principal. As operações seguem normalmente já que existe o datacenter espelho. Com isso ficamos sabendo que o PCN funcionou 100% como planejado e já testado.

Ao mesmo tempo o PRD já estará em execução para restaurar o que for necessário para recolocar o datacenter paralizado em produção novamente.

Muitas vezes a guerra para manter os preços mais competitivos torna inviável esse tipo de investimento, porém a conta que precisa ser feita é outra. Quanto custa a hora da empresa parada? 

Após descobrir esse valor, é interessante chamar os responsáveis pelas áreas para saber em quanto tempo a empresa consegue voltar a produzir e faturar após o banco de dados (servidor ou storage) e o  servidor de aplicação  (físico ou virtual) terem parado de funcionar por algum motivo que  justifique  a compra de outros equipamentos.

Sem sombra de dúvidas a resposta será assustadora.

Boa semana para todos.

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

quinta-feira, 23 de setembro de 2010

Software livre e seus benefícios

O software livre gera muitos, muitos benefícios em várias áreas. A idéia desse post é contar algumas histórias de minha experiência e alguns pontos de vista.

Acho que o S.O. (sistema operacional) Linux é o maior exemplo de um projeto de software livre bem sucedido. Seu modelo de desenvolvimento distribuído e compartilhado é impressionante.

Existem milhares de pessoas pelo mundo trabalhando no desenvolvendo de partes deste sistema operacional e em seus aplicativos. O desenvolvimento de muitos desses aplicativos seguem esse mesmo modelo compartilhado.

O processo é mais ou menos assim: Uma pessoa identifica uma necessidade e começa a trabalhar em um software que possa atender tal necessidade. Se for o caso, ela pode hospedar seu projeto em um site como o Freasmeat, onde vai disponibilizar o código e sua documentação. Caso alguém tenha a mesma necessidade pode fazer uma busca e encontrar o projeto no Freasmeat. Esta pessoa pode fazer várias coisa, entre elas: baixa e usar, reportar bugs, divulgar, colaborar no desenvolvimento do código, colocando a mão na massa, assim como também pode pegar o mesmo código e colocá-lo em outra solução. Caso este programa esteja sob alguma licença open source, ele terá que seguir os critérios do licenciamento para utilizá-lo.

Bom, o legal dessa coisa toda é a possibilidade de você poder usar, estudar, transformar, .... ser feliz usando um software que uma ou muitas pessoas espalhadas pelo planeta desenvolvem sem te cobrar nada por isso.

Existe uma briga por parte de algumas pessoas que afirmam que o software livre é melhor ou pior que o software proprietário. Que o Windows é melhor que o Linux. Isso é bobagem.

É lógico que para algumas funções uma solução livre pode ser melhor que a paga e vice-versa, mas no geral, para o dia-dia, eu acredito que o pulo do gato está na capacidade técnica de quem configura um ou outro. Vamos deixar esse papo para lá... No final das contas não chegaremos em lugar algum.


Ainda hoje, conversando com um estagiário, durante visita a um cliente, que está estudando redes de computadores na faculdade, eu sugeri que ele desse uma olhada no linux e em suas soluções. Esse foi o meu caminho e tem sido muito bom.

Vou tentar explicar porque segui este caminho e porque foi importante para mim.

Quando fui trabalhar num provedor de Internet, no final dos anos 90, conheci Alejandro Mick Jagger Flores e Afonso Bione. Esses camaradas já usavam linux e diziam que era a melhor solução para se ter no provedor de Internet. Lógicamente segui os caras.

Pouco antes de instalar o Red Hat (uma distribuição/tipo de Linux) na minha estação de trabalho, eu tinha muitos problemas com o Windows. Esses problemas ocorriam porque eu vivia instalando ferramentas na minha máquina para analisar tráfego de rede e estudar os protocolos. Além disso eu fazia visitas constantes aos sites de "hackers" para baixar suas ferramentas e ler suas histórias. Em alguns casos bastava acessar um site que a máquina pirava. Era uma onda. Eu adorava clicar nos gifs animados que diziam "Não clique aqui". Era clicar e ser infeliz e feliz ao mesmo tempo.

Comecei a blindar minha máquina contra os efeitos dessas visitas, mas o que eu sempre tinha que fazer era reinstalar o Windows 95/98 e tudo mais. Perdia um dia todo nesse processo.

Lembro que quem me apresentou esses sites e algumas ferramentas foi Luciano Moreira, que ainda hoje deve trabalhar lá na Emprel. Lembro que eu chegava lá as 8:00 e ficava até umas 22:00. Luciano, que era desenvolvedor, chegava para trabalhar no meio ou final da tarde. Ele gostava de trabalhar à noite. Caba bom. Não tenho notícias dele faz tempo.

Aos poucos fui vendo que Alejandro e Afonso não passavam pelo problema de ficar reinstalando a máquina.

Ainda no Windows conheci com o outro Luciano, o SubSeven. Era um caválo de tróia maravilhoso. Ele fazia de tudo com suas máquinas servidoras. O que eu fazia era procurar máquinas infectadas na Internet para estudar e infernizar a vida dos usuários, abrindo o drive de cd, virando a tela 90 graus, movendo o mouse, ... enfim, eu era o dono da máquina.

Certa vez descobrimos ( Luciano Mauro e eu) que  algumas máquinas na Emprel estavam infectadas, e depois de estudar de que forma os servidores estavam configurados descobrimos que eles estavam capturando as informações de agência, conta e senha dos bancos, dos usuários das máquinas infectadas. Logicamente fizemos uma reunião e contamos o ocorrido para os nossos chefes.

Depois daí mergulhei no Linux. Instalei na minha estação de trabalho e até hoje sou um usuário feliz pra barai.

Nesse mergulho, eu conheci maravilhosas ferramentas para estudar protocolos, criar pacotes de rede, controlar e monitorar o tráfego, .... enfim, meus computadores se tornaram verdadeiras caixas de ferramentas maravilhosas. Ferramentas como Ethereal, Snort, TCPDump, me ajudaram e ajudam muito. O melhor de tudo é que elas são Free, estão sob a GNU General Public License.

Muito provavelmente se não fosse por eu ter migrado para Linux, eu não teria a mesma visão sobre redes e sistemas operacionais. Isso porque eu não teria grana para ter ferramentas tão boas quanto as que eu citei ao meu dispor.

Instalar essas ferramentas era outra viagem interessante, porque não era possível clicar duas vezes sobre um ícone. O Linux era bem pé duro e isso possibilitava um profundo mergulho em algumas funções de um sistema operacional.

Essa necessidade de mergulhar no S.O. para fazer as coisas foram me dando muita bagagem.

Nessa mesma linha de fazer as coisas sem os simples cliques, eu tive um curso de Webdesign com Ronaldo Castro, lá na Emprel. Putz! Ele colocou a turma para montar, mapear uma área clicavel em uma figura, na mão, sem utilizar os recursos do Front Page, muito utilizada à época para criar home pages (termo utilizado nos anos 90). Esse Post poderia se chamar "Clicar otimiza, mas não te deixa mergulhar".

Por último....

As empresas com as quais trabalho hoje vivem basicamente do software livre. Nosso faturamento é sobre os serviços, que executamos utilizando softwares livres. O que nós fazemos é estudar ferramentas para utilizá-las nos projetos dos clientes e oferecemos nossos serviços de suporte ou gerencenciamento para manter tudo funcionado. Não sabemos o que é pirataria e nem escondemos os nomes das ferramentas ou de seus autores.

Viva o software livre!!!!

Vou me organizar para escrever sobre software livre e os modelos de negócio que ele gerou.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

tô no http://twitter.com/rodbramos

t+
saúde e paz

quarta-feira, 22 de setembro de 2010

Por que avaliar a segurança?

Na imensa maioria das empresas os investimentos na área de TI crescem muito mais lentamente que em outras áreas da empresa.

Se o produto final da empresa deriva de TI, a área de produção recebe grandes investimentos. Uma empresa de projetos de engenharia ou arquitetura pode ter o melhor plotter do mundo, mas isso não quer dizer que ela terá um bom servidor de arquivos ou um switch gerenciável.

Conheço grandes empresas onde todo o investimento é dividido entre a área de produção e a área comercial. A meta é produzir e faturar. É lógico!

Muitos empresários ainda não descobriram que para isso acontecer (produzir e faturar) a área de TI tem que suportar toda a operação.

Como a TI nunca recebe investimentos reais (ou em U$ hahah) ela vai crescendo como pode e com a meta de fazer as coisas funcionarem pelo maior tempo possível, sob a benção do divíno e espírito santo.

Com o passar do tempo essas empresas acumulam tantas vulnerabilidades que o resultado de uma análise pode deixar o dono da empresa de queixo caído. Isso se ele não descobrir antes pelo caminho mais complicado.

Ainda no mês passado, durante uma análise interna, tivemos acesso aos dados (agência, conta) temporários (e senha) do banco de um cliente.

É lógico que eu entendo que investir não é fácil quando se tem que pagar os maiores impostos cobrados no mundo. Nesse cenário, a cabeça do empreendedor só diz que ele deve melhorar seus produtos e serviços para ter melhores margens de lucros.

Esse pensamento é natural, mas gera enormes problemas futuros, na medida em que sua empresa cresce.

As respostas para as perguntas abaixo são motivos para avaliar a segurança da rede em uma empresa que infelizmente não investiu em segurança com o passar do tempo:

1 - Até onde um "hacker" pode ir caso ele decida invadir sua empresa?

2 - Até onde um funcionário, parceiro, colaborador, ... pode ir caso ele decida virar um "hacker", sabotador ou vendedor de informações?

3 - Em algum momento você fez algum investimento para ter respostas não-assustadoras para as perguntas acima?


Conhecer os pontos fracos/vulneráveis de uma rede é sem dúvida um ponto crucial quando se pensa em segurança.

Certa vez alguém disse "Uma falso senso de segurança é pior que insegurança"

Seja lá o que você for fazer depois de ler este texto, tenha certeza de que alguém já sondou algum sistema seu na Internet hoje.

Fico por aqui!

Mande suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Tô em http://twitter.com/rodbramos

t+
saúde e paz

terça-feira, 21 de setembro de 2010

A segurança ainda no planejamento

Na medida em que as empresas vão descobrindo o valor da tecnologia da informação para seus negócios, mais e mais recursos vão sendo destinados para melhorar os processos utilizando TI.

A inovação é um componente importante para ganhar mercado, mas uma empresa não precisa necessariamente criar um novo produto para sair na frente dos concorrentes, ela pode com a ajuda da tecnologia da informação, inovar seus processos resultando em produtos e serviços melhores para seus clientes.

São poucas as empresas que estão levando a segurança da informação como requisito básico para qualquer novo projeto.

Muita gente ainda tem uma visão errada, que pensa que segurança gera mais trabalho e que acaba complicando os processos que deveriam ser super simples. Não é bem assim.

Ainda hoje eu recebi uma ligação de uma empresa que quer disponibilizar algumas informações aos seus funcionários e clientes através da Internet.

O processo é basicamente o seguinte:
O cliente vai até lá, faz um exame, um médico a partir de qualquer lugar vai acessar o resultado, preencher lá alguns campos (entre eles o do  diagnóstico) e o sistema enviará o resultado para o paciente.

A idéia é excelente. Vai otimizar o processo todo, diminuindo  fluxo de pessoas no hospital, diminuindo as reclamações pela falta de estacionamento, eliminando a necessidade de ter um médido  presente para fazer o que ele pode fazer de qualquer lugar do planeta, .... Muitos serão os benefícios.

Nunca faço apostas com premiação em dinheiro. Mas eu poderia apostar um mês de suco de laranja como a empresa que está apresentando este sistema não faz muitos comentários sobre a segurança dessas informações, que estarão acessíveis pela Internet.

Podemos facilmente identificar algumas camadas de segurança necessárias:

Segurança física dos equipamentos no datacenter;
Segurança no banco de dados;
Segurança na aplicação;
Segurança na rede;
Segurança nos computadores (laptops, ...) dos médicos;

Com toda certeza do mundo esta empresa fez a coisa certa quando me ligou convidando para participar de uma reunião onde o fornecedor estará apresentando esta solução, que  como já disse estará proporcionando uma grande inovação para seus clientes internos e externos.

Bom, é isso aí.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

sigam @rodbramos

t+
Saúde e paz

quinta-feira, 16 de setembro de 2010

Economia X falta de esclarecimento

Tenho observado que cada vez mais e mais empresas se preocupam com a segurança de suas informações. Segurança num sentido bem amplo. Elas estão preocupadas em manter a Confidencialidade, Integridade e a Disponibilidade de suas informações e sistemas.

Essa é uma boa e importante preocupação para todas as empresas, não importando área de atuação, tempo de mercado, faturamento, ....

Um dos problemas que essas empresas encontram é a mão de obra especializada. Não existem muitas empresas com know-how suficiente para montar e executar projetos dessa natureza. O pessoal de dentro de casa normalmente não têm tempo para tocar um projeto desses com a dedicação e a bagagem necessária.

Eles precisam ser capacitados participando da elaboração e execução do projeto, para continuar na luta diária para manter a CID (Confidencialidade, Integridade e a Disponibilidade) das informações.

Essa preocupação das empresas é o resultado do cresciemento da economia (mesmo que medíocre) e da maturidade que elas estão alcançando. Sem $$$$ e maturidade é difícil alcançar as metas de crescimento de uma empresa.

Vamos lá....

Trabalho em uma empresa e conheço outras que têm grande know-how em soluções para ajudar a manter a CID das informações dos clientes. Muitas vezes visito empresas que não querem mais parar, mas que não querem investir o necessário para alcançar tal objetivo.

Quando digo que não querem é porque eu faço idéia dos seus faturamentos e orçamentos para suas áreas. A área de TI tem sempre pequenos orçamentos.

Algumas vezes elaboramos e executamos projetos onde ferramentas para monitorar a infra de TI (monitorar serviços, aplicações, bancos de dados, rede, memória RAM, espaço em disco e CPU) do cliente são implementadas. 

A partir do momento em que uma solução dessas é implementada o cliente passa a ter acesso a informações que jamais sonhou em ter, e muitas vezes com certa antecedência. É possível saber, por exemplo, quando uma CPU está sobre carregada, quando um link está sobre carregado ou quando o espaço livre de um HD está para acabar.

Todas essas informações são armazendas em banco de dados para possibilitar consultas do tipo. Qual o índice de disponibilidade do meu sistema de gestão da empresa no período de uma ano? Como andam os consumos de CPU e memória RAM de todos os servidores espalhados pelo Brasil?

Agora, me diga, quantas empresas no Brasil têm esse tipo de informação em tempo real? Eu não sei. 

O empresário quer saber o status do seu estoque, quer saber como anda a produtividade de sua área comercial. Mas não está preocupado em facilitar a vida da área de TI quando ela está tentando descobrir o por que de uma aplicação está lenta e fica mais lenta todos os dias a partir das 10:30.

O tempo gasto pela área deTI custa dinheiro e a lentidão custa mais ainda.

Bom, em alguns casos, mesmo quando implementamos esse tipo de solução em um cliente, ele decide não nos contratar para ajudar a manter a solução funcionando e a ajudar no monitoramento. Ele prefere "economizar" solicitando uma capacitação de 05 ou 06 dias para sua equipe.

Vê bem, será que com 05 ou 06 dias alguém consegue dominar todos os recursos de um editor de textos, por exemplo? Alguma solução para planilhas eletrônicas pode ser dominada em 05 ou 06 dias, por um leigo?

Capacitação é investimento. "Ah eu já investi e o camarada foi embora para outra empresa". Melhore os salários. Procure gerar incentivos para não perder sua equipe.

Se tem medo de investir no seu time parta para o Outsourcing também. É legal compartilhar serviços e responsabilidades. Com uma boa integração o time interno e o time externo funcionam bem de mais.

Essa integração as vezes é difícil. Outro dia tive problemas com um funcionário de um cliente. Pense num camarada mal educado. Na minha opinião a falta de educação intencional é uma das piores coisas do mundo.

Deixa isso pra lá.

Voltando ...

Já tivemos um cliente que após instalar um sistema de monitoramento  descobriu a solução para um problema que já durava meses em menos de 24 horas. O mais interessante foi que ele não nos contratou para manter o sistema e ajudar no monitoramento. Ele decidiu economizar e capacitou um técnico dele que já era sobre carregado e abandonou a solução. Para completar pediu demissão faz alguns meses e nesse exato momento eles voltaram no tempo para a era do Achismo. Sim...o gerente que nos contratou também não está mais no cliente. Nós continuamos lá com outros serviços.

Mandem suas críticas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
saúde e paz

quarta-feira, 15 de setembro de 2010

Posts em outro Blog (Muqueca)

Eu tinha esquecido de apresentar aqui dois outros Posts que foram publicados no Blog da Fishy . O Muqueca é uma superprodução da Fishy.

Os posts são:

Telefonia IP

Colaboração é a nova onda


Simmmmmm......aproveitem o passeio para conhecer o site da Fishy. Uma empresa composta por pessoas da melhor qualidade e com grande capacidade técnica para transformar suas idéias em negócios. (Espero ganhar um almoço depois dessa).

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
Saúde e paz

Internet condominial

Durante o final de semana batendo um papo com amigos, observei que alguns deles usam a Internet do condomínio. Esse é uma forma de acesso normal para muita gente em muitos condomínios residenciais e comerciais. Nada melhor do que dividir uma conta com várias pessoas ou empresas.

O problema é que muitas vezes a infraestrutura não oferece nenhuma segurança para os dados dos clientes/usuários e isso não é informado em momento algum por quem provê o serviço de Internet.

Ainda na fase do projeto, o condomínio precisa especificar que o fornecedor da solução deve implementar mecanismos para garantir a mesma largura de banda para todos os clientes e que um computador do condomínio não deve enxergar, ter acesso ao outro.

Com essas duas medidas um vizinho que goste de baixar filmes e músicas não consumirá toda a banda. Outro vizinho, mais "espertão", deixará de xeretar os computadores dos outros vizinhos.

Compartilhar uma conta é legal. Compartilhar um link Internet pode ser perigoso.

Fico por aqui.

Mandem suas críticas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
saúde e paz

terça-feira, 14 de setembro de 2010

Qual a melhor solução de segurança?

Quase sempre alguém me pergunta "Qual a melhor solução de segurança?".

Na grande maioria dos casos as pessoas que fazem essa pergunta estão pensando em um firewall.

Firewall = Solução que fica entre a rede da empresa e a Internet. É nele que podemos implementar as políticas de acesso à Internet, à Web, à rede interna, à DMZ, .... dizendo tudo o que pode passar por ele.

Sempre explico que um firewall é como a portaria de um edifício que pra funcionar precisa ter um porteiro. Não adianta você construir um bela portaria e não ter um porteiro bem preparado e com estrutura para trabalhar.

No caso do firewall não adianta você comprar a solução mais cara do mundo e não ter alguém para administrá-lo. Como todos nós sabemos o computador não faz nada sozinho, sem uma programação prévia.

Já visitei várias empresas que possuem grandes e bonitos appliances, com interfaces coloridas, luzes piscando, com capacidade de emitir sons em algumas situações, porém em alguns casos, elas não investiram nos profissionais que fazem a gestão da ferramenta e nem na infra necessária para o trabalho.

Outro ponto importante é que quando falamos em segurança da rede ou segurança da informação (que são coisas bem diferentes) não podemos pensar que a segurança se resume ao firewall.

Existem várias camadas de segurança que precisam ser implementadas.

Por exemplo:
O usuário precisa estar instruído para não receber um email qualquer e clicar em um executável.

Na máquina deste mesmo usuário precisa existir um bom antivírus corporativo, configurado e administrado por um profissional.

Não adianta ter um antivírus desatualizado.

Imagine as camadas de segurança que podem existir entre o usuário em uma empresa até o cliente que pode estar na Internet.

Em todas essas possíveis camadas é 100% necessário uma equipe focada em mantê-las funcionando da melhor forma possível.


Fico por aqui!

Mandem suas críticas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
saúde e paz

segunda-feira, 13 de setembro de 2010

O alinhamento com a TI

Uma coisa que vejo dia sim dia também, são empresas que continuam tomando suas decisões planejadas ou não, sem o alinhamento necessário com a àrea de TI.

Esse caminho simplesmente não funciona.

Em alguns casos essa metodologia pode parecer que funciona porque a empresa está faturando muito bem e com isso as fragilidades não aparecem com tanta nitidez.

Na grande maioria das empresas do mundo, a área de TI é um dos principais suportes às outras áreas. Sendo assim, como não ter a TI alinhada com todas as outras áreas da empresa?

Como planejar o crescimento de um segmento da empresa sem a participação da TI ainda durante o planejamento?

Por exemplo, muitos diretores comerciais estão acostumados a escolher sistemas sem antes levar em consideração a opinião do seu time de TI.

Já acompanhei um projeto onde o vendedor de um sistema de gestão disse ao cliente que o sistema dele rodava em qualquer máquina, com qualquer sistema operacional linux. Para o nosso cliente, que já tinha um contrato de suporte conosco e já tinha servidores linux, essa foi uma grande informação que valeu vários pontos para o vendedor lá.

Quando entrei no processo mostrei que o vendedor era doido,  ainda durante a leitura dos requisitos do sistema (aplicação + banco Oracle) dele.

Não tenham dúvidas. A TI precisa estar alinhada com os objetivos dos próximos 02 anos de cada setor de uma empresa.

Se não houver o alinhamento/planejamento, mas $$$$ não for problema, todos os obstáculos serão vencidos, mas a bomba continuará acesa. Na primeria crise ela explode e leva o pobre o CIO pro inferno.

Uma boa semana para todos nós.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
saúde e paz

sexta-feira, 10 de setembro de 2010

Tor - Um pouco de privacidade

É interessante ver como a privacidade está acabando. A eterna busca pela segurança e sua fiel aliada,  a tecnologia, estão matando a privacidade.

Existem centenas de formas de se perder a privacidade. Isso pode ocorrer de forma ativa ou passiva.
As câmeras de segurança estão em quase todos os lugares nas grandes cidades; Nas ruas, condomínios, praças, clubes, escolas, elevadores, estacionamentos, shopping centers, aeroportos, portos, rodoviárias, supermercados, .....

Alguns estacionamentos, por exemplo, já podem incluir o cpf do cliente no cupom fiscal. Como tá tudo online, é possível que alguém em algum lugar possa saber quantas vezes você foi ao Shopping X no mês de janeiro.

Existem também os sites de relacionamento e as mídias sociais onde nós mesmos divulgamos informações do nosso dia-a-dia.

Na Internet todos os passos são registrados em vários lugares por onde passamos.

Por outro lado existem projetos como o Tor,  que busca prover uma forma de impedir que outras pessoas ou entidades consigam facilmente rastrear outras pessoas na grande rede.

Como o próprio site explica....

Tor é uma rede de túneis virtuais  que permite que pessoas e grupos tenham privacidade e segurança na Internet.

Ele pode ser usada por desenvolvedores de softwares para a criação de novas ferramentas de comunicação com funcionalidades e características nativas de privacidade.

Uma pessoa pode usar o Projeto Tor para impedir que websites consigam rastreá-lo, ou para conectar em sites, serviços de mensagem instantânea, ..., mesmo quando os mesmos são bloqueados pelo provedor de Internet.

Através do Tor's hidden services, websites, por exemplo, podem ser publicados sem a necessidade de revelar a localização exata do site.

Como explica o site o Projeto Tor

Um jornalista pode usar o Tor para se comunicar, de forma mais segura, com suas fontes.

Grupos ativistas como o Electronic Frontier Foundation (EFF) recomendam a utilização do Tor como um mecanismo para manter a liberdade civil online.

Bom, vale conferir o Projeto.
Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br
http://twitter.com/rodbramos
t+
Saúde e paz

quinta-feira, 9 de setembro de 2010

Virtualização e os Planos de Continuidade das Operações

Não faz muito tempo que a Virtualização chegou às empresas. Acredito que o grande boom começou a partir dos últimos 3 ou 4 anos.

É uma tecnologia maravilhosa e veio realmente para ficar, ajudando na difícil tarefa de manter a disponibilidade dos sistemas e informações das empresas.

Por outro lado, muitas empresas contratam soluções de virtualização acreditando que chegarão ao paraíso da alta disponibilidade e que nunca mais vão parar.


Não sei onde está a falha, mas sei que tem muita empresa comprando gato por lebre.

Essa compra pode ocorrer porque a empresa está mal assessorada, porque ficou impressionada com a apresentação malaravilhosa de algum fornecedor ou não sabe o que quer e acaba no gato por lebre.


As soluções de virtualização como VMware ou Xen, por exemplo, devem fazer parte de um Plano de Continuidade das Operações.

Não adianta investir meio milhão de reais em uma estrutura que pode parar em caso de um incêncio, e deixar todo mundo sem saber o que fazer para continuar com as operações "normais" o mais breve possível.

É preciso saber viver e saber o que fazer em caso de problemas.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

http://twitter.com/rodbramos

t+
saúde e paz

quarta-feira, 8 de setembro de 2010

Encomendando uma Aplicação Web

A idéia desse Post não é listar várias sugestões de requisitos necessários para a especificação de uma Aplicação Web.

Com base na minha experiência na área de segurança da informação, achei que seria legal citar um dos pontos importantes que deve ser levado em consideração quando pensamos em um software, seja ele desenvolvido em casa, encomendado ou comprado pronto.

Esse ponto é a Segurança da solução como um todo. Vamos levar em consideração que há uma aplicação que fala com um banco de dados. Este é um cenário super-hipper-ultra comum.

Normalmente quando idealizamos uma solução nos concentramos nas questões visuais e funcionais.

O Cliente -
"Precisamos uma aplicação que será usada para .......e deve fazer o seguinte: ...,....,....,....,...,  é necessário seguir a identidade visual da empresa...Detalhe: Preciso disso para ontem. Tô passando para seu email os requisitos funcionais"

O Fornecedor -
"Tudo bem. Podemos fazer sim. Sem problemas. O pessoal pediu x dias, levantou algumas sugestões de melhorias e custará R$...."

Bom, com certeza a solução sairá do email. Depois de alguns ajustes o cliente ficará satisfeito (se tinha certeza do que queria) e o fornecedor também (se sabia fazer).

Em algum lugar o cliente achou que o fornecedor estava ciente dos requisitos de segurança, assim como o fornecedor atende aos requisitos funcionais achando que estava tudo bem.

Se sua aplicação for gerar algum tipo de premiação (o que está cada vez mais comum na Web) a "rapaziada" vai fazer de tudo para ganhar o maior número de prêmios possível.

Mesmo se não valer nada ainda haverá o risco de um ou outro camarada decidir "avacalhar" o seu trabalho.

Acompanhando os trabalhos de análise de vulnerabilidades em aplicações, tenho visto todo tipo de furo antigão passando despercebido pelos desenvolvedores.

Um dos principais furos é a falta de validação dos parâmtros.

Grandes sistemas de grandes empresas também podem conter furos. Errar é humano....esquecer também.


That's All Folks

http://twitter.com/rodbramos

t+
saúde e paz

sexta-feira, 3 de setembro de 2010

Não pergunte o que o seu país pode fazer por você, mas o que você pode fazer pelo seu país

A frase "Não pergunte o que o seu país pode fazer por você, mas o que você pode fazer pelo seu país" de John Kennedy, poderia ser dita por algum governo brasileiro nos últimos 10 ou nos próximos 10 anos.

Não tô aqui pra falar do antigo, atual ou do próximo governo do Brasil, de seus estados e cidades. Até já gostei de acompanhar a política. Hoje em dia gosto mais de estudar o comportamento dessa coisa toda, dessa bagunça aos olhos de muitos, chamada política brasileira.

Entendo que um governo paternalista não é o melhor caminho para nenhum país, mas o brasileiro esteve ou estará em condições de pensar assim?

Para muitos de nós que temos acesso a este texto é muito fácil pensar que sim.

Em praticamente todas as empresas ou lugares que vou, faço questão de quando possível falar um pouco com as pessoas de origem mais humilde. Tento guiar o conversa por um caminho que eu possa entender em um curto espaço de tempo como é a vida dessas pessoas.

Na maioria das vezes saio impressionado com a forma com que elas encaram os problemas dessa vida. Problemas esses que muitas vezes não existem em outros países.

Bom, voltando aos meus diálogos, sempre que posso bato um papo com Seu Jorge, um brasileiro de origem humilde, bom de memória, de coração, mas que infelizmente não teve grandes oportunidades, pelo menos não as mesmas que os meus pais puderam me oferecer.

Ele tá com algum problema nos olhos e sempre diz que tá ficando com a visão cada vez mais embaçada. Eu já vi ele sair para o médico várias vezes, mas nunca conseguiu ser atendido realmente. Em uma das vezes a "Dra" nem olhou para ele direito, numa sala repleta de outros pacientes que provavelmente continuam doentes em algum alugar, esperando um bom atendimento.

Hoje (03/09/10) ele chegou P da vida. Disse que depois de sair de casa as 4:00 AM e esperar horas num fila, a atendente informou que precisava (mais uma vez) remarcar a consulta dele, dessa vez para outubro.

O interessante é que ele nem é muito religioso, mas depois de falar por alguns instantes ele parou e penou alto "Dizem que papai do céu ajuda quem precisa. Chegou a hora de ver se ele vai poder me ajudar, porque não aguento mais o desrespeito com o pobre. Nesses postos e clínicas eu vejo centenas de pessoas na mesma situação que eu"

A coisa é tão complicada que ele não tá mais nem reclamando da visão e sim da falta de respeito com o pobre.

Esse mesmo Jorge, que poderia ser João, Pedro, Tadeu, Antônio, Rodrigo, vai se distrair domingo vendo o time dele jogar lá no Mundão do Arruda. Ainda bem que existe o futebol, a tal Pátria em chuteiras. Nelson Rodrigues deve ter refletido muito sobre isso.

Observando histórias como essas eu vejo que nem de longe podemos pensar em pensar que o Brasil não deve ser paternalista. O Brasil tá longe de ser paternalista. Essas bolsas não são paternalismo. Têm outro nome que não vem ao caso.

O governo ainda tem muito o que fazer pelo nosso Povo. Povo de uma forma geral, porque quando se fala em falta de saúde, educação, segurança, respeito, dignidade, ... para a parte mais carente, os respingos dessas omissões alcançam todas as classes sociais.

Bom, é isso. 

Bom final de semana

Saúde e paz

http://twitter.com/rodbramos

quinta-feira, 2 de setembro de 2010

A importância da organização

Sou uma pessoa que adora caminhar.

Comecei com meu pai na Praia de Boa Viagem, em Recife. Ainda lembro da 1a vez que fui com ele até a Praia do Pina e voltei. Esse percurso, segundo o Google maps, tem um pouco mais que 10 km.

Depois disso não parei mais.

Um pouco depois também comecei a caminhar com os amigos na Mata de Dois Irmãos. Fica alí pertinho do Zoológico e dava para entrar lá sem precisar pagar. Com não tinhamos que pular cercas ou muros, não considero falha nossa.

Já nessa época eu não levava nada para uma caminhada que durava umas 03 ou 04 horas.

O tempo foi passando e o percurso pela praia cresceu. Comecei indo de Boa Viagem até o final deCandeias. Um percurso de mais ou menos uns 20km.

O tempo foi passando, os percursos das caminhas crecendo e decidimos ir até Porto de Galinhas..Um percurso de uns 110km pela práia.

Até essa data a gente já tinha feito várias caminhadas pelo litoral, alí na areia da praia mesmo. Em todas elas eu ia só com uma bermuda, uma sandália de praia, uma camiseta, um boné (nem sempre) e ajudava a carregar a bolsa com água e algum lanche.

Na turma também tinha Clif e Cezar.

Clif seguia o mesmo estilo que eu. A diferença é que ele preparava o sanduba natural com galinha desfiada. Todo mundo rachava a conta.

Cezar já era mais Organizado (Precisa ver ele montando um cachorro-quente...tudo simetricamente organizado dentro do pão). Além da sandália, bermuda, camisa, chapéu, ele sempre levava uma bolsa com coisas que eu não sabia para que.

Bom, chegou o dia de da tal caminhada até Porto de Galinhas e lá fomos nós. "Falou Zé, vou fazer uma caminhada e volto mais tarde" disse ao meu Pai.

Como estávamos acostumados a superar qualquer dificuldade, ninguém pesquisou nada (Não existia Google maps em 2000).

Saímos andando, "alugamos" um barco para atravessar o rio até a Praia do Paiva e andamos, andamos, andamos, paramos para comer e beber água algumas vezes e andamos, andamos.

Lá pelas tantas chegamos na Praia de Gaibú, um lugar bonitão, cheio de rochedos, de onde se tem uma bela vista. Paramos lá na antiga Casa do faroleiro, batemos mais um rango e seguimos.

Passamos por mais uma pequena praia chamada Paraíso e chegamos na Praia de Suape. Lá no final da praia tem um Grande Hotel, se não me engano um Blue Tree.

Chegando lá na pontinha da praia, falamos com um funcionário do hotel que estava guardando pequenos barcos, boias, coisas do gênero, que nos informou que não dava para atravessar a gente porque tava tarde e ia complicar o lado dele.

Foi aí que ele avistou um jangadeiro saíndo do rio, vindo em direção da praia e falou que o ideal era ver se o jangadeiro poderia nos ajudar.

Bom, saímos correndo para chamar o pescador.

Segue diálogo:

"Boa tarde amigo (da onça), tamo indo numa caminhada até Porto de Galinhas e descobrimos agora que não tem como atravessar esse rio. O Sr pode nos ajudar?"

"Cobro R$ 50,00 para deixar vocês LÁ do outro lado"



"O Sr não faz por R$ 20,00 não?"

Silêncio!

Uma cara estranha

Um bico

"ééééh da sim..subam"

Lá fomos nós. Todo mundo alegre, feliz. O Sol já tinha baixado, o que deixava a caminhada menos cancerígena.

Chegando lá do outro lado, descemos da jangada e saímos andando. Logo avistamos o Porto de Suape.

"Nossa! Parece visual de filme estilo Mad Max"

Depois de andar alguns minutos, descobrimos que estávamos numa ilha. Clicando em ilha você verá onde fica o Estaleiro Atlântico Sul. Tirando um pouco do zoom, você vai ver a tal ilha onde passamos a noite inteira.

Bom, foi aí que descobri que a bagagem organizada de Cezar era super importante. Bom, ele tinha repelente para compartilhar, um lençol e um cobertor e acho que ainda alguma roupa seca.

Naquele lugar existem mosquitos que não tão nem aí pra repelentes de uso residencial e com aproximadamente 50cm de ferrões, bicos, estre outras armas quase mortais para os desorgnizados.

Acho que a única hora que Cezar acordou foi quando Clif se lavantou e saiu para a água correndo doido e gritando palavras do tipo PQP! Barai! Eu me rendo! Me leve Sr.  Em seguida ouvimos o som do mergulho. Ele passou o resto da noite dentro na água. No outro dia ele disse que foi mais fácil espantar os tubarões.

Simmm. Todo o tempo passado lá foi repleto de dúvidas. Ninguém sabia se o jangadeiro nos deixou numa ilha porque não pagamos o que ele pediu inicialmente ou se ele queria voltar para uma caçada.

Bom, no mínimo ele soltou os mosquitos Nível 10 lá.

Depois disso nunca mais fizemos uma caminhada sem montar um projeto para organizar tudo.

Sim...no dia seguinte conseguimos sair da ilha com a ajuda de um outro jangadeiro e voltamos para Recife.


Abração pessoal!


tô no http://twitter.com/rodbramos

t+

saúde e paz

quarta-feira, 1 de setembro de 2010

A insegurança no mundo virtual é para todos

Trabalho na Triforsec, onde atendemos empresas de vários estados, em diferentes segmentos, com serviços de suporte e gerenciamento de servidores, análise de vulnerabilidades, gerenciamento de logs e eventos, entre outros.

Por estar atuando nessa área desde o final da década de 90, tenho uma visão mais profunda dessa questão. Acredito que um policial deve ter a mesma profundidade quando o assunto são os crimes no mundo real.

É assustador o que vemos quando estamos analisando logs de um firewall, IDS/IPS, roteador, de um servidor de aplicação, em fim, de qualquer sistema que esteja na Internet.

São muitas as investidas dos "hackers" e/ou dos robôs para invasão ou mesmo para sondagens dos possíveis alvos.

Outro dia paramos para analisar os logs de uma central telefônica IP e identificamos diversas tentativas de autenticação para efetuar ligações telefônicas. O mundo das centrais telefônicas IP é novo para a grande maioria das pessoas.

Empresas como Awaya, Siemens, entre outros grandes players, já têm excelentes soluções no mercado. Se sua empresa ainda não tem, saiba que ela terá uma.

Imagine receber uma ou mais faturas com ligações para o mundo todo, no valor de R$ $$$$$$$$.

Bom, mas vamos lá ....

No começo dos meus estudos eu pensava que o legal seria revidar todos os ataques mais agressivos, mas depois de um tempo eu descobri que seria impossível pela quantidade e as diferentes origens dos badguys. Sem falar que muitas vezes um sistema é atacado por um sistema que já foi invadido e pra complicar você não fala Russo, Grego ou Mandarim para explicar ao dono do sistema o que está acontecendo.

No mundo real a gente sempre ouve falar quando os bandidos de um Estado estão atuando em outros estados. Algo do tipo "Foi presa uma quadrilha de São Paulo que efetuava asssaltos à carros-fortes em Pernambuco".

Para a mídia, informar a origem dos assaltantes é parte importante da notícia. Faz total sentido trazer a notícia com este tipo de detalhe.

No mundo real a disposição geográfica das coisas é quase sempre um fator importante.

Já no mundo virtual o buraco é mais embaixo. Geografia é uma coisa que praticamente não se aplica. Quando se publica um site na Internet, não há porque se pensar de onde virão os acessos, se não por uma questão de marketing, por exemplo.

Uma máquina na Internet pode ser "acessada" por qualquer pessoa de qualquer lugar do mundo.

O negócio é tão "maluco" que lugares sabidamente seguros como a Suécia ou Suíça, estão no mesmo patamar de insegurança virtual que qualquer outro lugar do planeta (até termos Internet em outros planetas).

O CERT.br trás sempre algumas estatísticas de incidentes reportados no Brasil. É claro que nem tudo é reportado. Na grande maioria das vezes os donos dos sistemas nem sabem que o sistema já tem outro dono. Um "hacker" pode invadir um sistema e ficar lá dentro por meses sem ninguém saber.

Bom, estando no site do CERT.br aproveitem para conhecer tudo o que eles oferecem. Vale conferir.

Mandem suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br

Também tô no http://twitter.com/rodbramos

t+
saúde e paz