sexta-feira, 15 de abril de 2011

Segurança em Aplicações Web I

Colocar uma Aplicação na Web é a melhor forma de se tornar accessível em qualquer lugar do planeta.

Pensar na Segurança dessa Aplicação é uma forma de garantir o retorno do investimento nela, garantir o sucesso de sua ideia, que com toda certeza tem como objetivo gerar resultados positivos.

A segurança da aplicação deve ser levada em consideração ainda no início do seu desenvolvimento.

Caso isso não seja possível, porque a aplicação já está pronta, o ideal é que ela seja auditada antes de ser colocada na rede.

Caso ela já tenha sido desenvolvida e já esteja na rede sendo acessada via Internet, o ideal é contratar os serviço de alguma empresa para fazer o monitoramento dela.

O objetivo desse monitoramento, que deve sempre existir, é saber se existe algum engraçadinho tentando furar a aplicação para inserir, alterar ou excluir dados ou burlar política de uso da mesma.

Não seguir essas sugestões é como jogar $$$$$ fora.

Bom, é isso!

Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br 

Qualquer coisa também tô no @rodbramos

sexta-feira, 8 de abril de 2011

Verdade ou Ficção?

Nasce uma criança a partir de pais com alguns problemas de saúde. Sua mãe sofre de algum distúrbio mental e ele acaba sendo encaminhado à adoção.

A criança segue sua evolução física natural, mas por algum motivo se torna uma criança com um comportamento que tende a se isolar das outras pessoas. Na escola ela não faz amigos com facilidade e na rua onde mora ela pouco fala com os vizinhos.

Paralelamente a Al-Qaeda realiza o ataque de 11 de setembro de 2001. O mundo se transforma. A vida dos terroristas e de seus mentores fica mais complicada.

Os paraísos fiscais rapidamente deixam de ser os mesmos, passam a ser monitorados e circular com dinheiro deixa de ser um processo simples. As regras para circulação de dinheiro no mundo sofrem fortes alterações. As instituições financeiras em países como o Brasil são pressionadas a monitorar de forma mais ativa as transações financeiras de seus clientes. Novos sistemas são implantados para acompanhar mudanças nos perfis dos clientes.

Na mesma época estoura a guerra contra o terror no Iraque e no Afeganistão.

Os mentores das ideias e das ações terroristas começam a procurar novos lugares no mundo onde não há investimento e nem políticas ante-terroristas, países com baixíssimo investimento em saúde, educação e segurança, com tanta corrupção que um terrorista passaria despercebido.

Em países assim os terroristas nativos desviam o dinheiro que deveria ir para saúde, educação e segurança e criam leis para não serem pegos.

O menino segue crescendo de forma estranha, demonstrando sofrer de alguma patologia, talvez cerebral. Sua forma de pensar e suas ações o tornam cada vez mais uma pessoa isolada da família, dos vizinhos, das outras crianças da escola, do mundo a sua volta. Pra piorar, a turma da escola ainda trata ele como um garoto esquisito que não merece atenção. A direção da instituição, por sua vez, não teve condições de identificar e ajudá-lo.

Nesse meio tempo, o garoto descobre um mundo onde ele pode perguntar o que quiser e falar o que quiser. Ele descobre a Internet. Nesse novo mundo ele consegue direcionar suas perguntas para o lado negro da força, conhece outras pessoas como ele e acaba se tornando um alvo de um grupo terrorista.

Dia após dia ele vai se envolvendo cada vez mais em suas pesquisas apoiado por “amigos” virtuais que o aceitam e fazem questão de “entender” todos os seus problemas e revoltas com o mundo real. Aos poucos eles vão ganhando a confiança do, agora, jovem rapaz.

O tempo vai passando e o jovem agora já está trabalhando, mas ainda com o mesmo comportamento isolado e as vezes agressivo com os companheiros.

Seus pais morrem e depois de algum tempo morando com os irmãos ele acaba indo morar sozinho. Nessa nova residência ele se isola ainda mais do mundo a sua volta, deixa a barba crescer (no estilo BinLaden) e mergulha de vez nas “amizades” virtuais que acabam dedicando bastante tempo em sua nova “educação”.

Essa nova “educação” era baseada em uma mistura de religião, treinamentos militares e ideais completamente loucos. O processo todo era muito complexo, uma constante lavagem cerebral, que tinha como único objetivo formar um terrorista.

Nas mãos das pessoas erradas, em pouco tempo o jovem rapaz passou de uma simples pessoa com alguns distúrbios para um terrorista capaz de receber instruções com frequência diária, com duras rotinas de treinamentos com armas e infinitas leituras de textos que apoiavam sua forma de pensar sobre os objetivos dos terroristas.

Nesse meio tempo uma revista de grande circulação no Brasil, publica em uma de suas edições de 2011, que o Brasil se tornou um centro para formação de terroristas que são encaminhados para o resto do mundo.

Duas semanas depois, seguindo orientações, o jovem terrorista destrói quase todas as provas que ligam sua pessoa aos seus mentores, escreve uma carta de adeus e segue para executar seu plano terrorista.

Ele entra em uma escola, destrói a vida de várias famílias e se mata após ser baleado por um herói.

Depois de algum tempo investigando o computador capturado na casa do jovem morto, a polícia decide convocar técnicos em análise forense computacional e descobre que o terrorista utilizou várias técnicas para apagar provas e qualquer rastro de suas conversas. Tudo isso mostra sim que o jovem recebeu treinamentos diversos, mas para evitar pânico, a conclusão do caso não chega ao público.

terça-feira, 5 de abril de 2011

As soluções chegam para todos (Monitoramento do ambiente de TI)

Acredito que durante muito tempo a imensa maioria das soluções de TI foram criadas especificamente para as grandes empresas, com seus ambientes gigantescos. Quando uma empresa menor precisava de uma dessas soluções, ela precisava investir como as grandes.

Já vi isso acontecer com os ativos de rede, sistemas de gestão e em vários outros segmentos. Um dia desses alguém falou sobre o “SAPinho”. Depois fiquei sabendo que é uma versão do SAP para empresas menores. Para quem não sabe, a SAP é líder mundial é software de gestão empresarial.

Bom, essa introdução foi para chegarmos em mais uma dessas soluções. O NOC (Network Operations Center – Centro de Operações de Rede), tem como objetivo viabilizar o monitoramento de uma rede, de forma centralizada.

Esse monitoramento possibilita o acompanhamento em tempo real do status de cada componente (roteadores, switches, servidores,...) do ambiente de TI da rede da empresa.

As empresas que montam ou contratam serviços de NOC deixam de ter uma operação do time de TI quase sempre reativa e passam a sentir os benefícios de uma operação pró-ativa.

Muitos desses benefícios serão utilizados como índice pelo time de suporte ao negócio.

Com o serviço implementado é possível, entre outras coisas:
  • Verificar se o nível de serviço de cada item monitorado corresponde ao desejado (índice de disponibilidade);
  • Conhecer o histórico (tempo ligado, reboots) de cada sistema operacional de cada servidor;
  • Conhecer o histórico (tempo rodando, quantas vezes foi reiniciado, quantas vezes caiu) de cada serviço/aplicação que roda em cada servidor;
  • Conhecer o consumo dos recursos (CPU, RAM, HD, REDE) de cada item monitorado em tempo real;
  • Conhecer o histórico do consumo dos recursos de cada item monitorado;
  • Disparar alertas quando um item monitorado estiver sendo consumido além do desejado/esperado;
  • Criar procedimentos para correlacionar eventos e/ou atividades;
  • Criar procedimentos para execução de ferramentas de diagnóstico e substituição de cada item monitorado;

Todas essas informações são extremamente importantes, uma vez que as empresas rodam sobre a TI. Nada mais inteligente do que monitorar os recursos de TI.

Uma coisa é pedir a troca de um servidor. Outra coisa é justificar a troca de um servidor apresentando números que mostram que seus recursos não serão suficientes dentro dos próximos 06 meses, de acordo com as novas demandas que ele precisará atender, com a chegada dos novos módulos do sistema de gestão empresarial ou do novo banco de dados que será criado/migrado para ele.

Uma coisa é não saber a origem de um problema de performance e precisar dizer algo sobre o mesmo. Outra coisa é poder consultar os relatórios referentes ao tráfego de rede entre o cliente (reclamante) e o servidor, analisar o status do litchi, o consumo de CPU e memória RAM do servidor e depois dizer alguma coisa.

Nos momento de crise, ter uma informação correta, que possa direcionar os próximos passos faz toda diferença.

Bom, é isso! O Sol brilha para todos, assim como as soluções chegam para todos.


t+
saúde e paz


Sim...Qualquer coisa tô no email rodrigo.ramos@triforsec.com.br e no Twitter http://twitter.com/rodbramos