Janeiro 2009
Arquivo Mensal
Como proteger sua rede em 2009
Publicado por Denny Roger em 26 Jan 2009 | sob: Artigos
Web Application Firewall, controle físico de acesso e vírus em dispositivos móveis. 2009 tem tudo para ser mais um ano de festa dos criminosos virtuais. Saiba como se proteger deles.
Já virou clichê colocar a segurança da informação como uma prioridade na lista de investimentos para a área de TI. Mas será que as empresas realmente sabem lidar com esta questão? Será que possuem equipes preparadas para combater pragas que surgem todos os dias? E, principalmente, quais são as maiores preocupações que as companhias devem ter em 2009 com relação a sua infraestrutura?
Receita definida não há. Depende de uma infinidade de fatores, como nicho de mercado, nível de exposição ao público, maturidade das soluções de segurança. Mas é possível apontar o caminho o qual as empresas devem escolher para manter suas redes e, consequentemente, seus negócios guardados em 2009.
As ameaças à segurança vêm apresentando um crescimento constante. Dados da Cisco, publicados no final do ano passado, mostram que os ataques estão cada vez mais direcionados e sofisticados na internet, vindos de uma economia criminosa online cada vez mais inteligente O número geral de vulnerabilidades anunciadas cresceu em 11,5% em relação a 2007. Só os ataques que se aproveitaram de brechas em tecnologias mais novas, como a virtualização, passaram de 35 para 103 este ano.
O principal problema continua sendo o spam. Cerca de 80% de todo o correio eletrônico que trafega no mundo é de mensagens indesejadas. Em números absolutos, são 200 bilhões de spams por dia. De acordo com Arthur Capella, presidente da Iron Port no Brasil, subsidiária de segurança da informação da Cisco, mais de 83% dos spams identificados pela empresa continham uma URL para um servidor web falso que frequentemente abrigava malwares.
“Uma saída é utilizar filtros de reputação. Eles identificam os servidores de onde as mensagens foram enviadas e a muitos spams saem URLs diferentes, porém dos mesmos servidores”, afirma Cappela. Segundo o executivo, outro problema clássico, mas que persiste, é o uso de computadores zumbis. Sem o usuário perceber, ele instala um software que permite utilizar seu PC como um grande distribuidor de spams.
Web Application Firewall (WAF)
Para o especialista em segurança da informação, Denny Roger, são três as tecnologias que devem estar na pauta das empresas em 2009. A primeira delas é a Web Application Firewall (WAF). Seu objetivo é proteger as aplicações web contra os ataques conhecidos como Cross Site Scripting e SQL Injection ambos não são detectados por sistemas de segurança mais convencionais.
“O Cross Site Scripting representa um ataque baseado em induzir o navegador do usuário a executar um script malicioso dentro do contexto de um site confiável, na forma de Javascript ou VBScript”, diz Roger. Isto permite ao criminoso a execução de um código arbitrário em um usuário desatento que tenha acesso permitido ao site escolhido como vítima.
Já o SQL Injection ataca algumas aplicações que não validam as entradas de usuários, permitindo que hackers executem comandos diretamente no banco de dados de uma aplicação. “O sucesso na exploração deste ataque poderia resultar no acesso não autorizado aos dados, manipulação de registro e no comprometimento geral do servidor”, diz o especialista.
Physical Access Control Systems (Pacs)
O nome pode ser rebuscado, mas nada mais é do que, num bom português, o controle de acesso físico dos da rede da empresa por meio de cartões e tokens. “As empresas implementaram tecnologias para evitar o acesso “lógico” a uma informação confidencial. Porém, deixaram de investir na segurança física”, afirma Roger.
O especialista lembra que, além do fator segurança, um smartcard pode ajudar a simplificar diferentes processos. Segundo ele, o cartão pode ser utilizado como crachá da empresa, para abrir a porta de um determinado departamento, como o data center, ou ainda para realizar o login na rede.
Outro problema evitado com o uso de smartcard ou tokens é o compartilhamento de senhas. Por exemplo, um diretor de uma empresa está atrasado para uma viagem, mas precisa enviar alguns e-mails. Passa o usuário e senha para sua secretária fazer isso e abre brechas de acesso a dados confidenciais. “Com cartão ou token este tipo de problema não existe porque ele não pode emprestá-lo, caso contrário ficará sem as suas informações quando precisar”, diz Roger.
Antivirus para dispositivos móveis
A inderção de celulares e smartphones como ferramenta de negócio aumentou muito a agilidade de decisões cruciais para as empresas. Por outro lado, abriu uma nova e atrativa porta para criminosos virtuais aproveitarem para roubar dados confidenciais.
Para Roger, é necessário que todos aparelhos tenham um sistema de antivirus instalado. Além do acesso por redes de telefonia e Wi-Fi, tecnologias como Bluetooth e infravermelho são portas de entrada para receber arquivos maliciosos.
“Hoje já existem milhares de vírus para celular. Não podemos esquecer que a primeira prova de conceito de um vírus para celular que consegue se replicar sozinho para outros aparelhos foi feito no Brasil, pelo desenvolvedor Marcos Velasco. Ou seja, os brasileiros são pioneiros no assunto”, diz.
O que mudar?
Para Roger, o problema da segurança começa em sua gestão. Segundo o especialista em segurança, as empresas precisam deixar que os profissionais da área de redes continuem gerenciando roteadores, switches e servidores, e que a área de segurança seja destinada a pessoas mais preparadas para lidar com ameaças.
Roger defende que profissionais de segurança precisam estar ligados a outras áreas além da TI de uma companhia, como a jurídica. Com isso, ele saberá quais informações devem ser guardadas com maior cuidado, quais precisam ser replicadas em algum local, o que deve estar totalmente bloqueado etc. “O profissional de redes, por exemplo, tem o costume de achar que só é necessário gerar logs daquilo que é bloqueado. Com isso, ele economiza espaço em disco, já que esses dados ocupam grande parte da estrutura de armazenamento”, afirma o especialista.
Roger explica, no entanto, que alguns processos não bloqueados, como é o caso de envio de e-mails com informações confidenciais e uso do internet banking, tornam-se impossíveis de serem rastreados sem a geração de logs.
Fonte: http://info.abril.com.br/professional/seguranca/como-proteger-sua-rede-em-2009.shtml
Os imortais e os mortais da segurança da informação
Publicado por Denny Roger em 23 Jan 2009 | sob: Artigos
Recebo diversos e-mails todos os dias solicitando indicações sobre cursos e certificações na área de segurança da informação. As minhas respostas via e-mail ou durante uma palestra são sempre polémicas, principalmente quando estou ministrando uma palestra para alguma instituição de ensino. Vamos entender melhor o que realmente acontece na prática.
Estive conversando com dois colegas em Angola sobre como conseguir um bom emprego. Um dos pontos discutidos foi sobre como o entrevistador consegue avaliar os conhecimentos do candidato. O assunto surgiu porque percebemos, em Angola, que muitos profissionais ocupam cargos na área de tecnologia da informação sem terem o perfil necessário para exercer a função. Ou seja, a culpa não é do profissional que está exercendo a função e sim da pessoa que contratou o “profissional”.
A pessoa que está recrutando o profissional não possui o conhecimento necessário para avaliar o perfil do profissional. Este fato ocorre no mundo todo. Porém, em Angola, o empregador avalia o conhecimento do candidato através das indicações e das certificações.
Primeiro, a indicação não funciona porque o candidato a vaga pode fornecer o contacto de um amigo ou parente como referência. É óbvio que o amigo ou parente irá fornecer boas referências. Isso ocorre com muita frequência em Angola e no Brasil.
Segundo, a sociedade exige que você tenha determinadas certificações. Caso você queira conseguir um emprego ou ganhar um aumento no salário, basta estudar e ser aprovado em algumas provas (por exemplo, CISSP).
Terceiro, muitos profissionais são certificados porque a empresa pagou a certificação ou exigiu que o funcionário tenha a certificação.
Existem diversos casos em Angola onde o profissional é certificado em uma determinada tecnologia mas actua em outra área. Por exemplo, um dos nossos colegas de trabalho conseguiu recentemente a certificação CCIE (Cisco Certified Internetwork Expert). Porém, este profissional actua com sistemas Windows. Ou seja, possui experiência em uma área mas é certificado em outra. Este colega só “buscou” a certificação porque a empresa solicitou.
Quarto, a certificação prova que a pessoa tem capacidade em aprender sobre algum assunto. A certificação não prova que uma pessoa está preparada para exercer uma determinada função na área de segurança da informação.
Quinto, a tecnologia evolui muito mais rápido que qualquer curso ou certificação. Na área de segurança da informação estamos aprendendo coisas novas todos os dias. Os cursos e certificações ficam ultrapassados muito rápido.
Sexto, o mais importante é a sua capacidade em resolver problemas e criar estratégias pró-activas contra as novas ameaças. As certificações não irão lhe ajudar no momento em que o seu ambiente computacional estiver sofrendo um novo tipo de ataque.
Conclusão
A área de recursos humanos ou até mesmo o entrevistador técnico precisa entender que existem os imortais e os mortais da segurança da informação e tecnologia da informação.
Os imortais são as pessoas que conseguem comprovar a sua experiência e são reconhecidos pela comunidade de segurança da informação ou tecnologia da informação. São pessoas que compartilham o seu conhecimento com os seus colegas de trabalho, ministram palestras, desenvolvem cursos, escrevem artigos, participam de grupos de discussão, etc.
Os mortais são as pessoas que tem como objectivo possuir algum tipo de certificação para tentar diferenciar-se no mercado de trabalho.
Denny Roger é director da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projectos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.
A família hacker
Publicado por Denny Roger em 13 Jan 2009 | sob: Artigos
Os hackers podem estar morando com você. Saiba como age a família hacker. Por Denny Roger
A espionagem eletrônica chegou até a sua família. Pais espionam os filhos, esposas investigam os e-mails dos maridos, namorados ciumentos gravam as conversas dos programas de mensagens instantâneas. Agora, os hackers moram com você.
O diário das meninas
Algumas pessoas lembram-se da época em que as meninas escreviam tudo o que acontecia em um diário. Elas colavam no diário o papel da bala que ganharam de um paquera, o convite de uma festa, a foto do namorado etc. O diário estava recheado de informações confidenciais.
Quando os pais queriam saber o que a filha estava fazendo, poderiam tentar ler o conteúdo do diário, indevidamente. A filha descobria que os pais estavam lendo suas confissões passava a escrever tudo em código.
Agora o diário é informatizado. Todas as informações confidenciais estão armazenadas no computador pessoal. O computador está protegido por senha. Sendo assim, não é mais necessária a utilização de códigos nos textos. As informações estão seguras. Mas será que isso é verdade?
Pais hackers
A curiosidade dos pais criou o “instinto hacker”. Ou seja, os pais aprenderam a descobrir a senha dos filhos, a monitorar o Orkut, a investigar o tipo de conteúdo (pornografia, fotos pessoais etc.) armazenado no computador pessoal do filho, entre outras coisas.
Alguns pais chegaram a evoluir no “instinto hacker” e aprenderam a recuperar os arquivos apagados do computador do filho.
Detetive virtual
O tempo médio de navegação na internet no Brasil é de 23 horas e 47 minutos. Isso significa que as pessoas estão cada vez mais utilizando o computador para pagar contas, baixar músicas, publicar fotos, marcar encontros etc.
A sua esposa quer saber o que você está fazendo tanto tempo no computador. O “instinto hacker” dela está mais vivo do que nunca.
São comercializados na internet programas capazes de copiar todos os e-mails recebidos e enviados, inclusive via webmail. O valor deste tipo de tecnologia é baixo - média de 250 reais.
Hackers ciumentos
O ciúme é um sentimento que despertou o “instinto hacker”. O desespero em descobrir com quem a namorada ou o namorado está conversando no programa de mensagens instantâneas criou a necessidade do monitoramento das conversas.
Muitas pessoas são paqueradas no mundo virtual. Possuem em sua lista de contatos alguns colegas de trabalho, ex-namorados e amigos com os quais compartilham assuntos pessoais e até íntimos.
Existem diversos programas disponíveis na internet para monitorar e gravar as conversas nesta “sala de bate-papo virtual”, que são bastante usados pelos mais ciumentos.
Curiosidade e prevenção
O fato dos brasileiros serem mais curiosos e utilizarem mais a internet, contribui para o aumento da invasão de privacidade e do roubo de senhas.
As técnicas desenvolvidas pela família hacker também são aplicadas no mundo corporativo. Algumas pessoas aplicam na empresa o que aprenderam em casa monitorando a família.
É importante observarmos que o monitoramento indevido e a coleta de informações são considerados crimes de acordo com a lei de interceptação de comunicações de informática (lei 9.279/96), com reclusão de dois a quatro anos e multa.
A necessidade de criptografarmos os nossos e-mails e arquivos confidenciais é cada vez maior. Crie senhas complexas e troque constantemente a sua senha e frase secreta. Prevenir é melhor do que remediar.
Denny Roger é diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.
Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2009-01-12.9670395614/
Luanda é a cidade mais cara do mundo
Publicado por Denny Roger em 09 Jan 2009 | sob: Notícias
Luanda, a capital de Angola, é a cidade mais cara do mundo para expatriados seguida de Tóquio, afirmou quarta-feira em Luanda a directora de relações públicas da empresa, com sede em Londres, ECA International.
Josephine Woolley baseou a sua afirmação num recente (4 de Dezembro de 2008) inquérito realizado pela ECA que compara um cabaz de 125 bens de consumo e serviços habitualmente adquiridos por expatriados em mais de 270 locais.
Woolley mencionou que os longos atrasos no porto de Luanda e infra-estruturas destruídas por três décadas anos de guerra continuam a inflacionar o preço dos bens de consumo e dos serviços.
“Luanda está ainda a sofrer dos efeitos da guerra. Continua perigosa, é difícil uma pessoa movimentar-se em segurança e é quase impossível obter bens de uma qualidade razoável devido à destruição de infra-estruturas”, disse.
E acrescentou que os factores mencionados, associados à inflação, fazem disparar o custo de vida, tornando a cidade cada vez mais cara para expatriados.
Não obstante uma recente queda acentuada dos preços dos produtos alimentares, um litro de leite importado custa 3 dólares e a renda de um pequeno apartamento de dois quartos pode atingir facilmente 7 mil dólares, numa cidade que foi construída para 500 mil pessoas e hoje tem cinco milhões.
Fonte: http://www.angoladigital.net/negocios/index.php?option=com_content&task=view&id=2039&Itemid=47
Dia de surf em Cabo Ledo
Publicado por Denny Roger em 02 Jan 2009 | sob: Curiosidades
Aproveitei o dia chuvoso em Angola para ir a praia de Cabo Ledo. Levei duas pranchas. Uma para ondas mais rápidas e outra para ondas pequenas e mais fracas. Como o mar estava calmo, surfei com a prancha do brasileiro Fernando.
O local onde quebram as ondas fica bem próximo ao morro. Voce consegue ir andando pelas pedras e pular no mar para pegar as ondas no “outside”. Como a maré está baixa, a areia do fundo “sumiu” e só tinham pedras (expostas para fora da água e no fundo). Cair da prancha durante o drop é prejuízo para a saúde. 
Hoje eu ganhei um arranhão no joelho de uma pedra que estava “escondida” entre as ondas.
Além de ficar esperto com as pedras, tinha uma rede de pesca que foi parar bem onde quebram as ondas. Ou seja, tinha que desviar das pedras no momento do drop e tomar muito cuidado para não enroscar na rede de pesca. Muita emoção para um dia de pequenas ondas.
Estas são as fotos das ondinhas que rolaram hoje a tarde em Cabo Ledo. Apesar da onda ser pequena, trata-se de uma esquerda quase que interminável. Após surfar uma onda, o ideal é sair do mar e voltar andando até o pico que fica enfrente as pedras.
Denny Roger surfando em Angola.
Abraços,
Denny Roger
denny@epsec.com.br
Janeiro de 2009: estatísticas sobre ataques, wardriving, podcast e road show.
Publicado por Denny Roger em 01 Jan 2009 | sob: Notícias
Ano novo e novo layout do blog.
O primeiro mês do ano será movimentado. Os crackers irão aproveitar o período de férias de alguns profissionais da área de Tecnologia da Informação e Segurança da Informação para a realização de ataques a algumas empresas.
Conheça agora um pouco da minha agenda para o mês de janeiro de 2009 e algumas novidades que serão publicadas no blog:
1 - Estatísticas de ataques virtuais durante a comemoração do ano novo.
2 - Wardriving em Angola.
3 – Podcast sobre segurança da informação no Brasil e Angola.
4 - Road Show sobre segurança da informação em Angola.
Abraços,
Denny Roger
denny@epsec.com.br