Dei uma entrevista pra rádio CBN sobre privacidade individual e os riscos do armazenamento desenfreado de informações pessoais. O tema é similar ao da entrevista que eu dei pro Jornal das Dez da Globo News, só que ao invés de dois minutos eles colocaram no ar quase meia hora de bate-papo, o que permitiu um aprofundamento maior no tema. Falei também sobre minhas posições em relação a chamada Lei Azeredo. Qual sua opinião? Ando aprofundando um pouco as pesquisas no tema e gostaria de trocar informações com pessoas (des)preocupadas com o assunto. Ouça!

Click to read more ...

Sempre tive um interesse muito grande pelo design de uma maneira geral. Por conta disso, sempre me incomodou muito o fato da segurança* caminhar muito longe desta disciplina. Embora existam algumas poucas áreas de interação, podemos dizer que quando você pensa em um design de qualidade, dificilmente você verá a segurança bem integrada dentro da coisa toda. Pense num móvel de design assinado e pense depois num fragmentador de papel e você vai ter uma idéia do que eu estou querendo dizer. Ou então pense num prédio bonito, e depois lembre daquelas câmeras estilo Santa Efigência/Uruguaiana/Feira do Paraguai, com aquelas gambiarras toscas na fiação, e o resultado será o mesmo. Por isso, sempre que eu vejo um objeto de segurança deliberadamente desenhado levando em consideração aspectos referentes ao uso, técnicas de produção, aparência estética, etc. eu acho que é um fato a ser noticiado. Nesta semana eu recebi através de um site bem interessante, o Yanko Design, as imagens de um fragmentador de papel inovador e bacanudo. Se você já era um fragmentador de papéis compulsivo, agora é que você não vai mais querer voltar pra tua cadeira no escritório. Dá uma olhada no Paper2Dust:

O fragmentador além de ser particularmente simpático, ainda é extremamente seguro, pois transforma o papel em pó, ao invés de transformá-lo em pedaços. Isso evita qualquer tentativa de tentar remontar os documentos. Além disso, o usuário vê o resultado da fragmentação, o que tangibiliza o processo todo um pouco mais (além de torná-lo mais viciante ;-) Por hora, é apenas um conceito. O produto ainda não existe, mas sinaliza para um futuro interessante.

* Quando eu disse que o design está longe da segurança, eu me referia a security e não a safety, já que este último incluiria as preocupações de segurança com o uso de produtos e serviços em geral.

Click to read more ...

Os espanhóis inventaram as tapas e os cofres com uma propensão a clonagem de cartões de crédito. Eu já tinha visto essa engenhoca aí em hotéis de diversos países. Essa semana foi num hotel que eu estou aqui no Panamá. O princípio é bem intencionado: para simplificar o fechamento do cofre, sem criar com problemas de esquecimento de senhas, a porta abre e fecha com o cartão de crédito do hóspede. O avanço científico é fabricado por uma empresa de Zaragoza chamada BVT. A idéia é, obviamente, idiota. Um funcionário da manutenção pode colocar um clonador no cofre, contando ainda com a opção de selecionar os quartos mais luxuosos, pegando assim os cartões com os limites mais gordos. O dispositivo passaria despercebido pela operadora do cartão, já que o sistema do cofre é off-line e (provavelmente) não autorizado por ela

Click to read more ...

O CCC (Chaos Computer Club), um grupo de hackers alemães, resolveu publicar as impressões digitais de Wolfgang Schauble, Ministro do Interior da Alemanha, como forma de protesto contra as iniciativas do governo alemão de armazenar informações biométricas em passaportes eletrônicos. Um simpatizante do grupo capturou as impressões digitais a partir de um copo usado pelo ministro em um painel de discussões. A notícia, bem como uma explicação do método utilizado para a coleta, foram divulgadas na última edição da revista Die Datenschleuder, a principal publicação do CCC. Quatro mil edições da revista foram impressas contendo um filme plástico para ser colocado sobre os dedos dos leitores, para que estes possam se passar pelo ministro. O CCC é uma organização hacker fundada em Berlin no ano de 1981, o que a torna um dos mais antigos (e influentes) grupos da atualidade. Segundo o Wikipedia, a organização conta hoje com 1800 membros. O CCC é muitas vezes classificado com um grupo gray hat, tendo um comportamento que o coloca no limite entre o legal e o ilegal e que já lhes causou uma série de problemas. Eles são responsáveis pelo Chaos Communication Congress, um evento que seria o equivalente europeu da DEF CON, o maior evento hacker existente. A porta voz do primeiro ministro informou que nenhum tipo de ação legal será tomada contra o grupo, provavelmente por medo de dar visibilidade aos seus questionamentos que são totalmente pertinentes, embora o método possa ser condenável. A coleta indiscriminada de informações biométricas é uma prática que certamente gerará muitos problemas no futuro e os seus defensores e financiadores não estão dando a devida atenção ao problema. Via Gizmodo.

Click to read more ...

Hoje faz exatamente três meses que este blog está no ar. Certamente um período curto de tempo, mas que me deixa muito feliz por conta do resultado alcançado. Para compartilhar um pouco dessa realização com os leitores, resolvi fazer aqui um resumo de quais foram os artigos, posts e seções que foram os campeões de audiência do trimestre. Os três artigos mais acessados (e comentados) foram: Guia de Certificações em Segurança da Informação - Parte 1 - Essa série, que ainda está sendo publicada, junta em uma única fonte a maior quantidade possível de informações sobre as certificações profissionais existentes na área de segurança da informação (SI), além de fornecer dicas de preparação. A Parte 2A deste artigo também foi publicada e está disponível aqui. Resoluções de Ano Novo - Como Fazer o que Você Ama - O segundo colocado é um texto que não é de minha autoria. Ele foi traduzido a partir de um original do Paul Graham (autor do livro Hackers and Painters) e é o texto mais inspirador que eu já li sobre como dar um rumo a sua carreira profissional. Como não implementar medidas de segurança - Parte 1 - Essa série também está em publicação. Nela eu comentei alguns aspectos sobre a postura dos profissionais de SI que podem influenciar na resistência que ele enfrentará dentro da organização onde trabalha. A Parte 2 já está disponível e explica na prática como proceder com as negociações durante o processo de definição controles, também com o objetivo de diminuir resistências. Na última parte eu falarei sobre como conscientizar os usuários a respeito dos controles mas, enquanto ela não sai, há também um artigo disponível aqui sobre o assunto. Já os três posts mais acessados, com títulos auto-explicativos, foram: Explicando um deadlock com imagens de trânsito (ISC)² publica guia sobre como contratar profissionais de SI Como se preparar para o CISM Por fim, as seções mais acessadas do blog são: Livros publicados - Trabalhei como autor e organizador de três livros sobre segurança da informação, mas infelizmente os dois mais populares estão esgotados. Há planos para a publicação de uma nova edição mas, por hora, a única forma de conseguir os dois volumes do Security Officer - Guia Oficial para Formação de Gestores em Segurança da Informação é comprando de segunda mão. Uma boa dica é tentar em listas de discussão especializadas como a CISSP BR. O outro livro no qual eu trabalhei (Information Security Management Handbook) foi publicado nos EUA e pode ser encontrada nas livrarias de lá, ou em qualquer livraria especializada por aqui, como a Livraria Cultura. Artigos - Todos os artigos disponíveis no blog estão nesta seção. Você também pode usar a barra de categorias lateral para filtrar tanto artigos como posts de acordo com o tema de sua preferência. Palestras - Aqui estão todas as principais palestras que eu ministrei nos últimos dez anos. Se você gostaria de ter visto algum e perdeu, ela provavelmente deve estar aqui. Aproveito esta mensagem para agradecer as mensagens e os comentários freqüentes dos leitores e colegas que têm contribuído para enriquecer todo o conteúdo que eu publico por aqui. Grande abraço!

Click to read more ...