blog.dennyroger.com.br

Ontem (19/06) eu estava lendo uma notícia com o seguinte título: Crise contribui para aumento nas falhas dos projetos. Na mesma hora eu lembrei de algumas empresas que estão contratando consultorias para desenvolverem projetos críticos para seus negócio. Porém, estão escolhendo o fornecedor pelo menor preço.

O que está acontecendo é que estou ouvindo reclamações de implementações fracas de sistemas de segurança e projetos sendo executados por profissionais não qualificados.

A notícia ainda comenta que “A queda dos orçamentos de TI e as demissões provocadas pela crise contribuíram para uma redução na taxa média de sucesso dos projetos conduzidos pela área de tecnologia da informação das organizações.” Ous seja, as empresas que estão contratando pelo menor preço e depois estão pagando para outra consultoria (mais experiente) corrigir todos os pontos fracos do projeto que foi implementado.

Quando eu trabalhei em instituições financeiras (nos bancos), por exemplo, recebia 3 propostas comerciais de diferentes fornecedores. O investimento da primeira proposta era de R$ 100.000,00, por exemplo. A segunda proposta estava com R$ 93.000,00. A terceira proposta estava com o valor de R$ 37.000,00. A alta direção do banco quase que automaticamente descartava a terceira proposta porque a diferença de preço para as outras era muito grande. Ou seja, existe a probabilidade de ter algo “estranho” neste fornecedor.

Pense nisso na hora de contratar uma consultoria!

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

Para quem busca por novidades na área de segurança da informação, acontece neste sábado (20/06), em São Paulo, o GTS.

A programação do evento é a seguinte:

09:00 - 09:40 Ataques contra o SMTP - Como as botnets enviam spam
Miguel Di Ciurcio Filho, Unicamp

09:40 - 10:20 Malware Patrol - Os desafios de coletar e monitorar URLs que apontam para Malwares
Andre Correa, Malware Patrol

10:50 - 11:30 O Crime Cibernético contra as Leis: o cenário da América Latina
Anchises M. G. de Paula, VeriSign Brasil

11:30 - 12:10 Honeynets: Automatizando a restauração de Honeypots de alta interatividade
Luiz Otávio Duarte, Renato Yuzo Madokoro e Ricardo Makino, CTI / MCT

14:00 - 14:40 Desafios na criação de um CSIRT distribuído
Karina M. Queiroz, TIVIT

14:40 - 15:20 O que interessa não é o Servidor Web
Luiz Eduardo Dos Santos, Imperva, Inc.

15:20 - 16:00 Processo de Gestão de Identidades com uso de biometria por impressão digital
Jorilson Rodrigues, DPF / Ministério da Justiça

16:30 - 17:10 GATI - Tratamento de Incidentes de Segurança no MJ e DPF
Ivo de Carvalho Peixinho e Jorilson da Silva Rodrigues, Departamento de Polícia Federal

17:10 - 17:50 Um ano do Catálogo de Fraudes RNP - Números, tendências e próximos passos
Ronaldo Castro de Vasconcellos, CAIS / RNP

O evento é gratuito e as inscrições podem ser realizadas no próprio local.

Av. Roque Petroni Junior, 1000 - Brooklin - São Paulo

Confira o site do evento, acesse http://gts.nic.br/reunioes/gts-13.

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

Um dos recursos de segurança que sempre indico para quem tem aplicações WEB é o Web Application Firewall (WAF).

Hoje li um artigo sobre como fazer um “bypass” no WAF utilizando HPP. Para mais informações, acesse http://milw0rm.com/papers/340.

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

Conheça técnicas de espionagem online e saiba como garantir sua privacidade. Por Denny Roger

Nós últimos anos, é cada vez mais freqüente nos depararmos com manchetes como “Um terço dos funcionários roubaria dados das empresas” e “FBI usa spyware para capturar acusado de extorquir operadoras nos EUA”.

Muitos brasileiros passaram a acreditar que o melhor negócio é investir na privacidade das suas informações. Se você é um deles, observe as técnicas abaixo de espionagem na rede.

Interceptação de seus dados cadastrais
Vamos imaginar a seguinte situação: Você ou a sua empresa recebeu um e-mail ameaçador. É necessário identificar a pessoa responsável pelas ameaças.

O primeiro passo é conseguir junto à empresa de telecomunicações e ao provedor do e-mail, os dados cadastrais do autor da mensagem. Por exemplo, nome completo do assinante, endereço, telefone etc.

Escuta telefônica
Infelizmente, a atitude maldosa de algumas pessoas faz com que a justiça solicite a execução da escuta telefônica. Nestes casos, a polícia solicita às empresas de telefonia móvel e fixa o desvio de todas as ligações para um número fixo determinado por eles. Sendo assim, a pessoa investigada recebe ou faz chamadas normalmente, porém, uma equipe da polícia está ouvindo e gravando todas as conversas.

Grampo virtual de e-mails e sites
As empresas de telecomunicações, que oferecem o serviço/link de acesso à internet, possuem tecnologia para monitorar todos os seus acessos a e-mails e sites, em desktops, celulares ou smartphones. Isso permite realizar uma cópia de todos os seus e-mails enviados e recebidos, registrar as páginas que você acessou na internet (por exemplo, sites pornôs, jogos online etc.) e gravar evidências dos downloads realizados.

O grampo virtual das informações de uma determinada pessoa pode ser realizado mediante solicitação da justiça. Porém, nada impede a empresa de telecomunicações de utilizar este tipo de recurso para “mapear o perfil dos seus clientes”, gerar estatísticas dos acessos realizados pelos usuários, entre outras situações.

As operadoras possuem a tecnologia para capturar até mesmo as senhas de acesso - a infra-estrutura física e lógica é toda controlada por essas empresas. Sendo assim, é muito simples conseguir as senhas dos clientes que utilizam a internet de suas casas, empresas, celulares e modems, por exemplo.

Localização de uma pessoa pelo celular
Outro detalhe importante no mundo da espionagem na rede é conseguirmos identificar fisicamente o local onde uma determinada pessoa está. Isso é possível através do rastreamento do chip do seu aparelho celular. Desta forma, a empresa de telecomunicações identifica em qual antena o aparelho celular está conectado e identifica a localização de uma pessoa.

Proteção
As pessoas estão procurando cada vez mais investir em tecnologias que ajudam a garantir a sua privacidade no mundo virtual. Tecnologias que permitem a criptografia dos arquivos pessoais e dados corporativos são cada vez mais comuns.

A autenticação segura está crescendo no mundo todo. As pessoas estão considerando a implementação de um segundo fator de autenticação, o token (camada extra de identificação na forma de chave de segurança, cartão de segurança, tabela de senhas, dispositivo de senhas eletrônicas etc). Sendo assim, não adianta capturarem a sua senha porque será necessário ter acesso físico ao token.

Muitas pessoas estão comprando celulares que suportam aplicações de criptografia para evitar a escuta telefônica e algumas empresas investem em tecnologias que criptografam os seus e-mails e links entre filiais e escritórios remotos. Dessa forma, as operadoras de telecomunicações não conseguem monitorar o tráfego de informações que está passando pelo link ou ter acesso ao conteúdo dos e-mails.

Neste tempo onde quase tudo foi migrado para o mundo virtual é recomendável que consumidores e empresas apostem na criptografia para não serem vítimas da espionagem virtual.

Denny Roger é especialista em segurança da SafeNet, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@dennyroger.com.br

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2009-05-31.0726614576/

Sem comentários »