blog.dennyroger.com.br

Termina o segundo dia do CNASI

Por Denny Roger

Mais um dia de evento em São Paulo. O CNASI começou o dia com três cursos interessantes:

- Aspectos Legais da Resposta a Incidentes de Segurança da Informação – como fazer a coleta adequada das provas eletrônicas com Patricia Peck.

- Metodologia OCTAVE no suporte à Gestão de Riscos com Andre Pitkowski.

- Insegurança em sistemas biométricos com André Ligieri Straccialano.

Participei do treinamento sobre insegurança em sistemas biométricos e não pude prestigiar as apresentações dos meus outros dois colegas da área de segurança.

O meu objetivo durante o treinamento foi questionar sobre ataques aos bancos de dados que armazenam os modelos das impressões digitais. Por exemplo, um determinado banco implementa um sistema de biometria nos caixas eletrônicos. O banco de dados que armazena as informações da digital do cliente está bem protegido. Porém, algumas locadoras de vídeo implementaram o sistema de biometria para identificar o cliente e alugar o filme. A idéia do ataque é invadir o banco de dados da locadora de vídeo, por exemplo, e utilizar as informações que estão neste banco de dados para burlar o sistema de biometria do caixa eletrônico.

Outras questões referentes a outros ataques foram comentados durante a apresentação. André Ligieri, instrutor deste curso, demonstrou muito interesse nas discussões sobre o assunto e todos participaram ativamente dos debates. Vale comentar que este curso foi baseado em um artigo sobre biometria. Mas valeu a iniciativa de falar sobre o assunto em um evento de segurança.

Verdadeiros profissionais em ação

Ao contrário do que aconteceu durante algumas palestras ontem (22/09) no CNASI, as apresentações de hoje foram ministradas por excelentes profissionais da área de segurança.

Fiquei muito feliz em encontrar com a Patricia Peck, André Pitkowski, Andrea Thome e Alexandre Lima. Estes são profissionais conhecidos na área e que agregaram muito valor ao evento e ao conhecimento das pessoas presentes em suas palestras e cursos.

Na minha opinião, o destaque foi a palestra de Alexandre Lima. Ele apresentou algumas questões interessantes em relação ao RFID (Identificação por Rádio Freqüência). Por exemplo, um determinado produto do supermercado recebe uma etiqueta RFID. O cliente pode consultar, através de um terminal, diversas informações sobre o produto. Uma das questões apresentadas é quando o cliente está com o produto adquirido em sua casa e alguém (Cracker) que está na rua, por exemplo, utiliza uma base transmissora para identificar os produtos. Ou seja, dessa forma o atacante pode obter informações dos produtos que estão na residência contendo uma etiqueta com RFID. Invasão de privacidade! O tema é excelente e despertou a curiosidade de todos durante a apresentação.

O Alexandre utilizou como referencia um documento disponibilizado pelo NIST. Para mais informações, acesse:

http://csrc.nist.gov/publications/nistpubs/800-98/SP800-98_RFID-2007.pdf

“Viajaram na maionese”

Não sabemos o por que, mas a organização do CNASI abriu espaço como Keynote Speaker para Sergio Amaral. O problema é que o palestrante tratou de assuntos, tais como: biodiesel, soja, assuntos ambientais, etc. O tema e conteúdo da palestra não discutiam assuntos relacionados a segurança da informação. Aos poucos as pessoas foram deixando a palestra. O palestrante ainda tentou explicar capitulo por capitulo do livro que ele estava vendendo durante o evento. Para finalizar, a organização do CNASI ainda abriu um espaço para uma “tarde de autógrafos”.

A organização do CNASI provavelmente esqueceu que o evento é sobre segurança da informação. O evento não é o local mais apropriado para palestrarem sobre biodiesel e tentarem vender um livro sobre sustentabilidade ambiental. Foi uma total perda de tempo para os congressistas e convidados do CNASI.

A conseqüência dessa sequencia de erros por parte da organização poderá prejudicar o evento no próximo ano.

Pontos fortes

Em conversa com Ricardo Frois, trocamos algumas idéias sobre o mercado de segurança e ele explicou uma vulnerabilidade encontrada no iPhone. Inclusive, as conversas durante o almoço e intervalos estavam ricas em informações sobre segurança da informação. Eu, Andrea Thome, Cleber Marques, Luciana e Eliana, aproveitamos para trocar idéias sobre a atuação do Comitê da ABNT sobre os assuntos de segurança da informação no Brasil.

O almoço de hoje foi uma mistura de tendências da área de segurança com aulas de ski e snowboard. Ricardo Giorgi, Marcelo (ISACA), Alexandre Lima e eu tratamos de assuntos relacionados a construção do mega datacenter do Google e as mudanças na área de segurança da informação. Este almoço poderia virar um podcast.

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.