blog.dennyroger.com.br

Por Denny Roger

O terror dos administradores/gestores de segurança da informação acaba de chegar a sua empresa. Trata-se do iPhone 3G. Esta inovação da Apple agora conecta com o Exchange, suporta VPN IPSec da CISCO e WPA2 com autenticação 802.1X. Segure-se quem puder, é a geração Y atropelando a segurança da informação.

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

1 comentário »

Shalini Kesar, um cientista da Universidade de Utah (Estados Unidos), estudou alguns casos famosos de fraude no sistema de informática, catalogou os erros mais comuns e elaborou um plano eficiente de segurança dos sistemas. Primeiro, treine todos os executivos a respeito de aspectos técnicos e sociais da segurança dos sistemas. Depois, de modo sutil, divulgue a novidade para todos os funcionários, principalmente os mais jovens. Funcionários representam uma ameaça maior aos sistemas que estranhos; funcionários jovens representam uma ameaça maior ainda, porque eles são ousados. Contudo, se um funcionário souber que todos os executivos passaram por treinamento, ele tende a pensar duas vezes antes de pôr um golpe em execução.

Fonte: Informática Hoje edição de 23 aniversário

Sem comentários »

Por Denny Roger

Esta semana circulou na Internet brasileira um e-mail falso envolvendo a Caixa Econômica Federal.

Antes de chegar ao Brasil a mensagem falsa passou pela Holanda, Inglaterra, Estados Unidos e Espanha.

A engenharia social solicitava o recadastramento no site do banco, conforme descrito abaixo.

“Veja como é simples efetuar o recadastramento no novo internet banking caixa em poucos minutos você estará por dentro de tudo que mudou: www.caixa.gov.br/atualizacao/recadastro.”

Você pode observar que o endereço na mensagem falsa não existe no site verdadeiro do banco. Porém, quando a vitima clica no link é automaticamente redirecionada a conexão para um servidor nos Estados Unidos. É realizado o download do arquivo “recadastro.exe”.

O arquivo foi submetido a testes através do site www.virustotal.com. Dos 36 programas de antivírus testados, apenas 6 detectaram o código malicioso, tais como: AntiVir, CAT-QuickHeal, Ikarus, Rising, VirusBuster e Webwasher-Gateway.

Vejam só que interessante! Todos os programas de antivírus que detectaram a praga são desconhecidos pelas empresas e usuários em geral. Por que estes programas desconhecidos detectaram a praga? Por que os antivírus mais tradicionais e utilizados do mercado (TrendMicro, McAfee, Kaspersky, F-Secure, AVG, Avast, Panda e Symantec) não detectaram o código malicioso? Esta é a pergunta que não quer calar.

Conversando com o meu colega e um dos principais especialistas em segurança da informação do Brasil, Andre Pitkowski, chegamos à conclusão que as empresas devem utilizar mais de uma solução de antivírus. Pitkowski comentou que o ideal é ter uma “marca” de antivírus no gateway da rede, outra marca no antispam, outra marca nas estações de trabalho, outra marca nos servidores, etc. Concordo 100% com a idéia do Pitkowski.

Os antivírus passam falsa sensação de segurança. Isso ocorre porque não existe “vacina” para novas pragas virtuais. Os fabricantes de antivírus precisam de uma amostra da praga para que possam desenvolver a vacina. Enquanto a vacina não fica pronta e o ambiente computacional não é atualizado, a praga consegue agir de forma rápida. Às vezes tão rápida que os administradores de rede e segurança não sabem que o ambiente computacional foi infectado.

Existe também o caso das empresas que utilizam Linux em seus servidores. Alguns administradores desses servidores acreditam que dificilmente um vírus irá atacar o sistema Linux e simplesmente não instalam o programa de antivírus. A maioria das empresas em que realizei uma auditoria, os servidores Linux estavam sem antivírus. Estou falando de servidores essenciais ao bom funcionamento da rede. Por exemplo, DNS, correio eletrônico, servidor web e servidor de arquivos.

Agora, voltando ao e-mail falso que circulou esta semana no Brasil, o interessante é que os Crackers estão cada vez mais utilizando redes distribuídas em outros países. Tudo isso para dificultar a preservação das provas “eletrônicas” e rastreabilidade. Isso acontece porque são necessárias ações judiciais nos países utilizados pelos Crackers para reunir todas as evidencias.

Com a chegada do final de semana a situação esquenta na Internet. São os dias preferidos dos Crackers.

Bom final de semana a todos!

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Sem comentários »

Este artigo é uma idéia fantástica, que tem o nome de Alberto Afonso, um dos primeiros profissionais no Brasil a apresentar publicamente a ação dos bancos contra os Crackers. Atuando há mais de 6 anos na área de auditoria de um grande Banco multinacional, Alberto Afonso respira e vive estratégias de segurança da informação e auditoria.

Saiba como uma poderosa ferramenta de baixo custo pode ajudar a auditoria interna da sua empresa.

Por Alberto Afonso

Introdução / Objetivo

A auditoria continua consiste em uma técnica moderna de auditoria através de testes utilizando bases de dados informatizadas, mediante ferramentas de extração, análise e mineração de dados, baseada na avaliação de riscos e controles internos.

Atualmente este tema desperta grande interesse entre os Auditores Internos, conforme resultados de diversas pesquisas realizadas por grandes firmas e órgãos de classe. Isso ocorre devido ao potencial de atender à demanda atual por maior eficiência e eficácia nas auditorias, ou seja, maior cobertura com menos recursos.

O conceito de auditoria convencional “uma vez ao ano”, isoladamente, já não atende as necessidades das empresas. A velocidade em que os negócios são realizados, milhões de transações criadas e constantes mudanças nos processos, exige das Auditorias a mesma velocidade para realizar sua função, de auxiliar a organização a alcançar seus objetivos executando trabalhos de avaliação baseadas na avaliação de risco e controles.

A Auditoria Continua não invalida ou substituí a auditoria convencional, porém complementa e auxilia na definição do plano de auditoria, aumenta a presença da Auditoria Interna junto aos auditados, melhorando o nível de controles.

Aspectos Gerais

O papel da auditoria continua é realizar uma avaliação mais freqüente e temporal da qualidade dos controles e de gerenciamento de riscos, resultando na identificação de tendências, oportunidades, deficiência de controles e pode ser utilizada como ferramenta de gestão.

Alguns dos maiores benefícios da Auditoria Contínua são:

- Aumento da eficiência da Auditoria (custos)
- Aumento do escopo e cobertura da auditoria
- Detecção e Reporte dos pontos com maior velocidade (pro atividade)
- Aumento das chance de mitigar riscos
- Aumento da assertividade das conclusões de Auditoria
- Aumento na detecção de erros, falhas e fraudes financeiras e operacionais
- Criação de testes de auditoria automáticos
- Suporte à áreas de controles, como Risco Operacional, Controles Internos e Compliance.

Auditoria continua é qualquer método utilizado para realizar auditoria em bases de dados contínuas para avaliações de risco e controle, sendo uma das melhores práticas de análise de dados (população, não apenas amostras) com foco preventivo e de detecção.

Para realização dos testes de Auditoria Continua é necessário obter acesso à ferramentas de tecnologia adequadas e às base de dados objetos da avaliação.

As duas formas de atuação (testes de auditoria) são:

- baseada em controle - Consiste em avaliar se os controles estão funcionando adequadamente.
- baseada em risco - Identifica e avalia os riscos através de Indicadores de Riscos (KRI´s).

O reporte dos pontos de auditoria (“findings”), a partir dos testes de Auditoria Continua, são similares a uma monitoração através de alertas e notificações com os desvios identificados, e devem ser realizados de forma tempestiva. Estes relatórios são direcionados sempre para a gerência responsável pelo processo, ou um nível acima, que pode adotar planos de ação imediatos e evitar perdas financeiras e mitigar outros riscos, sejam eles de fraudes, abusos ou de imagem.

As tendências, riscos e deficiências de controles podem ser notadas a partir da consolidação periódica dos desvios em relação ao universo testado (os resultados dos testes podem ser mantidos em papéis de trabalho eletrônicos), sendo também reportado de forma consolidada através de relatórios de posicionamento.

Premissas

Para utilização desta metodologia algumas premissa devem ser observadas e respeitadas a fim de que que seja tomada a decisão de implementar ou não Auditoria Continua.

- A empresa deve ter seus processos e transações (ou pelo menos àqueles mais críticos ao negócio) suportados por sistemas de tecnologia da informação.

- Deve haver envolvimento direto do CAE (Chief Audit Executive) que será o motivador da implementação e deve buscar o apoio do corpo gerencial / executivo, divulgando os benefícios e importância da Auditoria Continua.

- Ter independência para o acesso às informações do negócio.

- Tecnologia para acesso (leitura), tratamento e análise das informações (bases de dados).

Desenvolvimento

Ao contrário do que possa parecer, a implementação desta metodologia de trabalho de auditoria não pode, nem deve, ser dispendiosa como, por exemplo, o desenvolvimento de um sistema de monitoração ou criação de sistemas de auditoria continua.

Atualmente as Auditorias Internas já mantém prática de acessos à base de dados através de CAATS (Computer Assisted Audit Techniques), sendo possível associar as mesmas práticas para a implementação de Auditoria Contínua.

O fluxograma e os dez passos a seguir resumem os pontos principais da implementação da Auditoria Continua.

Fluxograma da Auditoria Continua

1 – Estabelecer um programa de auditoria, objetivos e prioridades de testes

A Auditoria deve concentrar os esforços nos riscos de maior relevância e nos controles mais sensíveis, principalmente aqueles cujo nível de monitoração pela gerência seja inexistente, fraco ou ineficiente.

Uma matriz de risco deve ser preparada, onde todos os riscos inerentes aos processos / transações que serão testados devem ser mapeados, classificados e documentados no programa de auditoria. Os Controles mitigantes, como por exemplo, controles SOXA, segregação de função, alçadas, monitorações e etc, também devem ser mapeados e documentados em um programa de auditoria continua.

Os testes de auditoria devem ser documentados nos papéis de trabalho do programa da Auditoria Continua e devem conter o escopo e o critério de cada teste. As conclusões dos testes e desvios encontrados devem ser documentados nestes papeis.

O conceito de “Low Hanging Fruit” deve ser aplicado, ou seja, os testes mais fáceis devem ser implementados mais rápido.

2 – Apoio e suporte do nível executivo

A implementação da Auditoria Continua deve ser realizada com o apoio das áreas de negócios que tenham interesse nestes resultados. A metodologia deve ser apresentada para a gerência e parcerias devem ser feitas.

Reuniões com os gerentes de produtos, processos e operações.

3 – Averiguar o grau em que cada área gerencial está exercendo seu papel na monitoração dos controles

Quando há processos de monitoração, estes devem ser considerados na realização dos testes, pois quanto maior a cobertura do processo de monitoração, menor será o esforço despendido da Auditoria Continua, que poderá efetuar testes sobre o processo de monitoração, se necessário.

4 – Selecionar as soluções tecnológicas apropriadas e treinar a equipe

As ferramentas utilizadas na Auditoria Continua devem ser selecionadas de acordo com as tecnologias utilizadas na empresa.

Partindo da premissa que a Auditoria tem acesso às bases de dados, seria necessário obter ferramentas de análise de dados, estatística, “queries”, “miner”, como pro exemplo ACL, SAS, BO, Access, ou similares.

Devem ser identificados os profissionais adequados e estes devem receber o treinamento necessário para operar as ferramentas selecionadas.

5 – Construir Audit Data warehouse (identificação, fonte, aprendizado, acesso e coleta)

As bases de dados que serão testadas devem ser identificadas em conjunto com as áreas de negócio envolvidas, estas bases devem ser compreendidas. Antes de obter a liberação de acesso deve ser garantida a integridade das informações disponibilizadas à Auditoria.

O acesso às bases deve ser restrito somente às pessoas que farão a manipulação dos dados e construção do Data Warehouse.

O Data Warehouse para a AC (AUDITORIA CONTINUA) pode ser um espaço em disco de um servidor, um servidor dedicado ou até um Desktop, desde que tenha capacidade e segurança necessária para a realização do trabalho.

Há casos de bases que podem ser mapeadas a partir do local de origem pelas ferramentas de extração de dados. Nestes casos somente os resultados, logs, leiautes e scripts devem ser armazenados no Data Warehouse.

6 – Testes de auditoria freqüentes

Os testes da AC (AUDITORIA CONTINUA) devem ser realizados com a freqüência adequada à necessidade de cada controle objeto destes testes. Estas freqüências podem ser de diárias a anuais ou pontuais.

Os testes podem ser baseados em controles ou em riscos. Os testes de controle geralmente demonstram se o controle funciona adequadamente ou em conformidade. Para testes baseados em risco, os resultados demonstram a exposição e o apetite de risco do negócio, como por exemplo, despesas ou gastos acima do aceitável, abusos e etc.

É importante o alinhamento junto às áreas de negócio quanto ao “apetite de risco”, pois os critérios dos testes podem ser baseados nesta informação.

Os testes de AC (AUDITORIA CONTINUA) são na maioria dinâmicos e podem ser modificadas de acordo com a evolução do trabalho, alterações nos processos e controles. Uma análise continua sobre a efetividade e resultados dos testes deve ser realizada para adaptação, continuidade ou maior abrangência dos testes.

7 – Relatórios oportunos e temporais

Os relatórios com os desvios devem ser enviados aos responsáveis de acordo com a freqüência dos testes com o objetivo de mitigar perdas, fraudes e outros riscos.

As pessoas chaves, responsáveis em mitigar estes riscos, devem ser identificadas e estas estar informadas sobre os procedimentos e funcionamento da Auditoria Continua. Casos mais relevantes ou que necessitam ações imediatas devem ser formalmente reportados a níveis superiores (ex: Diretoria) identificados e informados. O reporte pode ser feito via correio eletrônico, no momento da identificação do problema.

8 – Consolidações dos resultados e identificação das deficiências de controle

Os desvios, conclusões e resultados devem ser armazenados e, periodicamente, consolidados e analisados.

A partir desta consolidação podem ser identificadas tendências, deficiências de controles, riscos e etc, que devem ser reportados à alta gerência, através de um relatório de posicionamento da AC.

9 – Recomendações de melhorias nos controles

Recomendações sobre melhorias operacionais, deficiências de controles e riscos podem ser direcionadas nestes relatórios e ações da gerência propostas e discutidas.

10 – Acompanhar as ações da gerência

As ações das gerências, para os casos em que os planos de ação não forem executados, devem ser monitoradas pela auditoria até a conclusão.

Conclusão

A Auditoria Continua é uma ferramenta bastante poderosa e de fácil implantação, quando existe o apoio do CAE (Chief Audit Executive) e da alta administração e com resultados imediatos.

Os problemas podem ser rapidamente identificados e as soluções propostas tomadas a seguir.

O fator psicológico sobre os envolvidos no processo também é um componente de controle bastante eficiente e que se destaca rapidamente após o surgimento da Auditoria Continua.

É possível que seja implementado com um custo razoavelmente baixo, aproveitando-se em alguns casos os recursos já disponíveis na empresa e na própria Auditoria Interna.

Alberto Afonso, CIA, CCSA, QA, CPA-20, SAP
Responsável pela implantação de Auditoria Continua em um Grande Banco multinacional, utilizando a metodologia descrita acima e com baixo investimento.

Contato: auditoria_continua@yahoogrupos.com.br
Grupo de discussão: http://br.groups.yahoo.com/group/auditoria_continua

Sem comentários »

Por Denny Roger

Hoje (24/09) foi o último dia do CNASI em São Paulo. Devido ao rodízio de veículos em São Paulo, não participei de toda programação.

A palestra “Monitoração de Uso de Aplicações: Como Parar a Fraude Interna - Antes que ela pare voce!” parecia ser interessante. Porém, o que todos perceberam é como pode ser fácil ministrar uma palestra de segurança. O palestrante copiou diversas noticias que foram divulgas na mídia, colou no power point e ficou lendo cada uma das noticias para o público presente. Ao final da apresentação, o palestrante convidou a todos para a próxima palestra onde ele iria demonstrar uma ferramenta que teoricamente pode resolver as questões apresentadas nas noticias que estavam no power point.

Infelizmente as empresas que patrocinam os eventos tem direito as principais palestras, ocupando o horário onde um profissional do mercado de segurança da informação poderia estar apresentando alguma coisa realmente importante para a comunidade.

As pessoas estão percebendo tudo isso e estão deixando de participar dos eventos de segurança da informação.

Diversos profissionais premiados recentemente estavam entre os congressistas do evento. Por exemplo, Everardo do BicBanco, profissional premiado recentemente, estava comentando conosco sobre a implementação da campanha de segurança da informação. As técnicas apresentadas por ele agregavam mais valor aos profissionais de segurança do que a palestra do keynote Speaker do dia de hoje. Foi muito mais interessante a nossa conversa no corredor do evento do que a palestra principal do dia.

A salvação do dia

Após o almoço assistimos (eu, Ricardo Giorgi, Everardo, Pierre e Alisson Bertozo) a melhor palestra do evento. Entraram em ação três profissionais para apresentar “Formação Profissional – Geração Y”.

O primeiro palestrante foi o meu amigo Fernando Marinho. É sempre interessante ouvir os comentários e o ponto de vista do Fernando. Inclusive ele tratou de um assunto que estávamos conversando durante o evento: a migração das empresas para dentro de um datacenter. A apresentação tratou da certificação IAEM (International Association Emergency Managers) e do futuro do profissional de segurança da informação. Simplesmente espetacular o que ouvimos durante a apresentação.

O segundo palestrante foi Ronaldo Castro De Vasconcellos. O desafio da apresentação foi descrever a carreira do Security Officer. Este foi outro assunto que estávamos conversando durante o evento. As pessoas sempre me perguntam como eu comecei na área de segurança. Eu sempre faço a mesma pergunta para outros profissionais de segurança. É impressionante! Cada um começou de um jeito. Ou seja, não existe um padrão. Cada um tem um tipo de certificação. Alguns tem formação acadêmica, outros não. Ronaldo comentou que “algumas pessoas caem de paraquedas na área e desenvolvem a carreira com sucesso”. Concordo 100% com todos os comentários de Ronaldo durante sua palestra. Ele também apresentou os requisitos absurdos que algumas empresas solicitam para determinadas oportunidades de trabalho.

O terceiro palestrante foi Cezar Taurion. Apesar do palestrante não atuar na área de segurança da informação, sua apresentação foi excelente. Cezar explicou como a geração X está trabalhando com a geração Y. Ele comentou que o e-mail será “aposentando” em breve. Isso ocorre porque a geração Y utiliza outras ferramentas para trocar informações ou simplesmente conversar. Por exemplo, em vez do seu amigo enviar lhe um e-mail convidando para uma festa, ele deixa um recado no seu Orkut. Fantástico o ponto de vista do Cezar.

Durante os três dias, o evento teve seus altos e baixos. Eu acredito que a organização deveria selecionar melhor os palestrantes e os temas abordados. Eu sei que a organização depende dos patrocinadores para viabilizar o evento. Porém, os requisitos para que um patrocinador realize uma palestra devem ser mais criteriosos.

Durante os três dias de evento, em algumas salas as caixas de som ficaram enfrente da tela de projeção. Os projetores ficavam sobre uma mesa, prejudicando os palestrantes que sempre passavam na frente da projeção. Algumas pessoas criticaram o coffe-break e a falta de água para beber. No meu ponto de vista o coffe-break estava bom. A organização resolveu o problema da água disponibilizando um galão de 20 litros. As cadeiras não estavam bem posicionadas, prejudicando alguns congressistas.

No final de tudo o que valeu mesmo foi reencontrar os colegas da área de segurança e participar das apresentações da Camilla (Opiceblum), Alexandre (Pão de Açúcar), Fernando Marinho (Epoka), Ronaldo (ISSA) e Cezar (IBM).

Hora de voltar a rotina de trabalho e começar a pesquisar sobre segurança em sistemas biométricos e hyperjacking.

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Sem comentários »

Por Denny Roger

Mais um dia de evento em São Paulo. O CNASI começou o dia com três cursos interessantes:

- Aspectos Legais da Resposta a Incidentes de Segurança da Informação – como fazer a coleta adequada das provas eletrônicas com Patricia Peck.

- Metodologia OCTAVE no suporte à Gestão de Riscos com Andre Pitkowski.

- Insegurança em sistemas biométricos com André Ligieri Straccialano.

Participei do treinamento sobre insegurança em sistemas biométricos e não pude prestigiar as apresentações dos meus outros dois colegas da área de segurança.

O meu objetivo durante o treinamento foi questionar sobre ataques aos bancos de dados que armazenam os modelos das impressões digitais. Por exemplo, um determinado banco implementa um sistema de biometria nos caixas eletrônicos. O banco de dados que armazena as informações da digital do cliente está bem protegido. Porém, algumas locadoras de vídeo implementaram o sistema de biometria para identificar o cliente e alugar o filme. A idéia do ataque é invadir o banco de dados da locadora de vídeo, por exemplo, e utilizar as informações que estão neste banco de dados para burlar o sistema de biometria do caixa eletrônico.

Outras questões referentes a outros ataques foram comentados durante a apresentação. André Ligieri, instrutor deste curso, demonstrou muito interesse nas discussões sobre o assunto e todos participaram ativamente dos debates. Vale comentar que este curso foi baseado em um artigo sobre biometria. Mas valeu a iniciativa de falar sobre o assunto em um evento de segurança.

Verdadeiros profissionais em ação

Ao contrário do que aconteceu durante algumas palestras ontem (22/09) no CNASI, as apresentações de hoje foram ministradas por excelentes profissionais da área de segurança.

Fiquei muito feliz em encontrar com a Patricia Peck, André Pitkowski, Andrea Thome e Alexandre Lima. Estes são profissionais conhecidos na área e que agregaram muito valor ao evento e ao conhecimento das pessoas presentes em suas palestras e cursos.

Na minha opinião, o destaque foi a palestra de Alexandre Lima. Ele apresentou algumas questões interessantes em relação ao RFID (Identificação por Rádio Freqüência). Por exemplo, um determinado produto do supermercado recebe uma etiqueta RFID. O cliente pode consultar, através de um terminal, diversas informações sobre o produto. Uma das questões apresentadas é quando o cliente está com o produto adquirido em sua casa e alguém (Cracker) que está na rua, por exemplo, utiliza uma base transmissora para identificar os produtos. Ou seja, dessa forma o atacante pode obter informações dos produtos que estão na residência contendo uma etiqueta com RFID. Invasão de privacidade! O tema é excelente e despertou a curiosidade de todos durante a apresentação.

O Alexandre utilizou como referencia um documento disponibilizado pelo NIST. Para mais informações, acesse:

http://csrc.nist.gov/publications/nistpubs/800-98/SP800-98_RFID-2007.pdf

“Viajaram na maionese”

Não sabemos o por que, mas a organização do CNASI abriu espaço como Keynote Speaker para Sergio Amaral. O problema é que o palestrante tratou de assuntos, tais como: biodiesel, soja, assuntos ambientais, etc. O tema e conteúdo da palestra não discutiam assuntos relacionados a segurança da informação. Aos poucos as pessoas foram deixando a palestra. O palestrante ainda tentou explicar capitulo por capitulo do livro que ele estava vendendo durante o evento. Para finalizar, a organização do CNASI ainda abriu um espaço para uma “tarde de autógrafos”.

A organização do CNASI provavelmente esqueceu que o evento é sobre segurança da informação. O evento não é o local mais apropriado para palestrarem sobre biodiesel e tentarem vender um livro sobre sustentabilidade ambiental. Foi uma total perda de tempo para os congressistas e convidados do CNASI.

A conseqüência dessa sequencia de erros por parte da organização poderá prejudicar o evento no próximo ano.

Pontos fortes

Em conversa com Ricardo Frois, trocamos algumas idéias sobre o mercado de segurança e ele explicou uma vulnerabilidade encontrada no iPhone. Inclusive, as conversas durante o almoço e intervalos estavam ricas em informações sobre segurança da informação. Eu, Andrea Thome, Cleber Marques, Luciana e Eliana, aproveitamos para trocar idéias sobre a atuação do Comitê da ABNT sobre os assuntos de segurança da informação no Brasil.

O almoço de hoje foi uma mistura de tendências da área de segurança com aulas de ski e snowboard. Ricardo Giorgi, Marcelo (ISACA), Alexandre Lima e eu tratamos de assuntos relacionados a construção do mega datacenter do Google e as mudanças na área de segurança da informação. Este almoço poderia virar um podcast.

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Sem comentários »

Por Denny Roger

Um dos eventos mais tradicionais no calendário dos profissionais da área de segurança da informação e auditoria teve inicio hoje (22/09), em São Paulo. O XVII CNASI e o II CLASI contou com a presença do Senador Eduardo Azeredo, que discursou durante a abertura oficial do evento.

A advogada Camilla do Vale Jimene apresentou um mini curso sobre os riscos legais e a segurança da informação. O ponto forte da apresentação foram os casos atendidos pela advogada envolvendo processos trabalhistas relacionados ao uso indevido dos recursos da empresa e a política de segurança da informação.

Participei também da apresentação sobre segurança em ambientes virtualizados do meu colega Cleber Marques. Durante a palestra, Cleber explicou sobre uma ameaça preocupante para os servidores/sistemas que estão virtualizados, o Hyperjacking. Para mais informações sobre este ataque, acesse:

https://www.blackhat.com/presentations/bh-usa-07/Ptacek_Goldsmith_and_Lawson/Presentation/bh-usa-07-ptacek_goldsmith_and_lawson.pdf

http://apcmag.com/hyperjacking__the_latest_threat_to_servers.htm

Na minha opinião, a melhor palestra do dia foi da Luciana Talmelli Cavenaghi. Ela explicou como o Banco Santander do Brasil foi escolhido como Centro de Competência em Formação e Conscientização para as empresas do Santander a nível mundial. Ou seja, todo o material de conscientização, treinamento e educação do Banco Santander, mundialmente falando, é produzido no Brasil. Luciana comentou que a metodologia de trabalho do Centro de Competência em Formação e Conscientização do Banco Santander é baseada no guia produzido pelo NIST. Acesse:

http://csrc.nist.gov/groups/SMA/ate/index.html

Pontos fracos do CNASI

O evento não está agradando a maior parte dos profissionais de segurança da informação e auditores presentes.

Primeiramente, algumas palestras são muito básicas para o público presente. Um dos palestrantes focou a apresentação nos conceitos de segurança. Só que ele esqueceu que as pessoas presentes são gestores e analistas de segurança da informação. Outro palestrante ministrou uma palestra usando basicamente termos técnicos e explicando ataques que não funcionam mais desde 2005. Ou seja, ficou claro para todos os presentes que o palestrante não possui experiência prática no assunto. Muitas pessoas comentaram sobre isso.

A maioria dos palestrantes estão falando da ISO 17799. Só que esses palestrantes esqueceram que no dia 01 de julho de 2007 a norma mudou o nome para ISO 27002. É inaceitável este erro por parte dos palestrantes. A norma mudou de nome há mais de um ano e os “especialistas em segurança da informação” que estão palestrando não sabem disso.

Alguns palestrantes estão fazendo pré-venda dos seus produtos. O tema de suas palestras não estão adequadas ao conteúdo. O público presente percebeu essa ação de alguns palestrantes e simplesmente abandonam as palestras nos primeiros minutos da apresentação.

Entre os palestrantes que não foram felizes no primeiro dia do evento, podemos destacar Kelson Côrte, João Sal Miret, Carlos Affonso e Joel Corrêa.

O que podemos perceber é que alguns palestrantes pagaram para estar ministrando a palestra e que a comissão organizadora e julgadora do CNASI não avaliou ou assistiu as palestras antes do evento. Ouvi diversas críticas negativas ao evento. O baixo nível de algumas palestras e a falta de conforto está prejudicando um dos principais eventos no Brasil.

A organização do CNASI não conseguiu acertar na posição das cadeiras. As telas de projeção estão posicionadas de forma incorreta, prejudicando a visualização das projeções. O ar-condicionado não está agradando a todos.

Em uma das palestras, o palestrante falou 87 “ahhhh”. Por exemplo, “a vulnerabilidade.. ahh… do sistema.. ahhh… tem que ser descoberta… ahhhh…. antes que.. ahhhh”. Foi hilário, além de irritante, todos estavam comentando sobre a baixa qualidade das informações apresentadas pelo palestrante e sobre os 87 “ahhh”.

Pontos fortes

O ponto forte do evento foi reencontrar os colegas da área de segurança. Estavam presentes o mestre Ricardo Giogi, Andre Frutuoso, Pierre, Silmara, Luciana, a turma do Comitê Brasileiro sobre as normas de gestão de segurança da informação, da série 27000, o pessoal do ISSA, da Aker, etc. Infelizmente não consegui conversar durante muito tempo com todos, mas foi uma excelente oportunidade de reencontrar os amigos e conversarmos sobre as tendências da área de segurança.

Amanhã tem mais!!!!

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Sem comentários »

Por Denny Roger

A partir de amanhã (21/09) começa em São Paulo o XVII CNASI Congresso Nacional de Auditoria de Sistemas, Segurança da Informação e Governança e o II CLASI Congresso Latino-Americano de Auditoria de Sistemas, Segurança da Informação e Governança.

Este evento é uma excelente oportunidade para encontrar os principais profissionais da área de segurança da informação de diversos países. No ano passado, ministrei uma palestra sobre fraudes na internet em conjunto com o Paulo Quintiliano da Polícia Federal.

O meu objetivo este ano é conferir alguns dos cursos oferecidos pelo evento, como por exemplo, “Insegurança para sistemas biométricos” e “Segurança da Informação e Riscos Legais: A Empresa como Vítima de Seus Sistemas”.

Durante as minhas palestras apresento as vulnerabilidades das soluções de biometria mais utilizadas atualmente (identificação de impressão digital, reconhecimento de íris e a palm vain). Esta é a primeira vez que participo de um curso abordando o tema. É sempre interessante conhecer o ponto de vista e as técnicas utilizadas por outros profissionais da área.

Para mais informações sobre o evento e a agenda completa das palestras e cursos, acesse http://www.cnasi.com.br.

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Sem comentários »

Por Denny Roger

Está chegando mais um final de semana. A hora de lazer dos Crackers.

Atualmente muitas empresas estão trabalhando aos finais de semana, principalmente as financeiras. Lembre-se que são aos finais de semana que ocorrem os “feirões” de carros com super financiamentos, por exemplo. Conseqüência disso são DBAs trabalhando aos finais de semana para garantir que o banco de dados não irá parar, equipes de suporte técnico fazendo plantões para eventuais emergências na rede ou sistema, gerentes de departamentos trabalhando remotamente para conferir a meta dos trabalhos durante os finais de semana.

Opa! Quer dizer que todos estão remotos? Isso mesmo, toda a equipe de tecnologia da informação e gestores dos departamentos estão acessando a rede de forma remota. Ou seja, através de uma conexão VPN.

Graças a evolução dos programas espiões (Trojan/cavalo de Tróia), as conexões VPN tornaram-se uma excelente porta de entrada para os Crackers. Na prática, após instalado um programa espião, remotamente o Cracker conecta ao computador infectado e utiliza a conexão VPN já estabelecida entre este computador e a rede da empresa para acessar as informações corporativas.

Muitas empresas estão sofrendo ataques combinando engenharia social + pen drive + programa espião. O Cracker infecta um pen drive com o programa espião e entrega de presente a algum funcionário de uma empresa ou simplesmente deixa o dispositivo jogado na calçada no momento em que as pessoas estão chegando para trabalhar. Quando o pen drive é conectado ao computador, o programa espião é instalado na máquina.

Outra forma é “mascarar” um determinado arquivo. Escrevi um artigo há algum tempo tratando sobre o assunto. Acesse http://blog.dennyroger.com.br/2007/06/05/tecnicas-para-ocultar-informacoes-e-identificar-ataques-no-windows/. A técnica consiste em transformar dois arquivos em um só. Por exemplo, podemos adicionar um programa espião a um arquivo de música. Quando executada a música, automaticamente é instalado o programa espião.

Mas vamos voltar a questão das VPNs. Caso você seja administrador da sua rede ou você seja responsável pela segurança da informação da sua empresa pense no seguinte:

Você tem relatórios de quais usuários acessaram a rede através da VPN?

Por quanto tempo cada um dos usuários ficaram conectados a rede?

Qual foi o tráfego na VPN de cada usuário?

Quais foram os sistemas, arquivos, etc, acessados por cada usuário através da VPN?

Será que o pessoal do suporte técnico deixou a conexão da VPN ativa e foi para a balada? Inclusive, será que deixaram a conexão VPN ativa e também o eMule, por exemplo, baixando música da Internet?

Poderia escrever dezenas de perguntas sobre o assunto. Acredite, é muito provável que algum Cracker esteja pegando uma carona na sua VPN.

Caso o tráfego seja muito grande, é muito provável que alguém esteja copiando algumas informações da sua rede. Existe também a possibilidade de ser algum vírus sendo disseminado pela conexão VPN.

Considere a utilização de algum sistema para correlação de logs. Escolha um dos finais de semana e faça uma auditoria na sua conexão VPN. Como sempre digo, quem procura acha.

Abraços e bom final de semana,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Sem comentários »

Hoje recebi um e-mail de um colega que está fora do Brasil. Ele comentou comigo que não era possível identificar o país de origem da mensagem.

É relativamente simples rastrear e-mails na internet. Faça você mesmo um teste. Acesse o site http://www.emailtrackerpro.com/index.html e realize o download do software eMailTrackerPro.

Este software irá fornecer diversas informações sobre a origem do e-mail. Toda a análise é realizada através das informações do cabeçalho do e-mail. Existe uma opção “Advanced trace” que detalha o caminho percorrido pelo e-mail.

O software também informa todos os contatos da rede origem do e-mail, incluindo o nome da empresa, contato de e-mail para envio de denúncias, telefone e endereço.

O eMailTrackerPro não é gratuito. Porém, você poderá testar o software durante 15 dias.

Abraços,

Denny Roger
www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Sem comentários »