Busca
Mídias Sociais
Navegação
Novidades

Entries in Segurança em Redes (18)

Quarta-feira
Abr012009

Entrevista para o Jornal das Dez da Globo News

Dei uma entrevista para o Jornal das Dez da Globo News, em uma matéria sobre redes sociais. O Ibope fez uma pesquisa e constatou o que todo mundo já sabe: a audiência das redes sociais está explodindo e os usuários, anos após o início do fenômeno, estão começando a se preocupar com a sua privacidade (finalmente). Conversei bastante com a jornalista mas, por razões óbvias, apenas um pequeno trecho foi publicado com uma dica para usuários em geral. Coincidentemente, estive na Colômbia semana retrasada e dei uma entrevista para a revista Diñero (que seria a nossa revista Exame), sobre o mesmo tema. Vai ser publicado lá neste final de semana, vou colocar aqui quando sair. Eu venho pesquisando bastante o tema e gostaria de soltar um artigo em breve (junto com as partes que estão faltando das outras séries que eu estou produzindo ;-) Porém, o tempo anda curto e eu tenho umas outras notícias interessantes para compartilhar: brevemente! Encaminhem pro cunhado que fica pedindo dicas no churrasco de família sobre como proteger o perfil do orkut dele...

Click to read more ...

Quarta-feira
Nov122008

Você conhece a seção de artigos deste blog?

Sabe como é, é só clicar no botão ali ao lado, escrito artigos, e você acessa ela ;-) Mas como muita gente assina o blog por e-mail ou RSS, acaba eventualmente não vendo todo o conteúdo disponível. Segue um apanhadão dos artigos mais acessados da história (do blog). A série sobre Certificações Profissionais em Segurança da Informação é a mais acessada de todas. Por hora já foram publicadas as Partes 1, 2A e 2B. Outra bastante acessada é série sobre como NÃO implementar medidas de segurança, não sei se pelo conteúdo ou pela explicação usando a séria House como exemplo ;-) Já estão disponíveis as Partes 1 e 2. Um recente que eu gosto bastante fala sobre a forma como Dan Kaminski conduziu o processo de revelar a séria vulnerabilidade que ele descobriu e que afetava a grande maioria dos servidores DNS existentes (a propósito, estima-se que 25% de todos os servidores DNS ativos ainda estejam vulneráveis, você já corrigiu o teu?). O artigo individual mais acessado de todos fala sobre carreira profissional e é na realidade uma tradução de um ensaio fabuloso do Paul Graham sobre como escolher sua profissão. Já o mais antigo de todos é o Conscientização de Usuários e Segurança da Informação, muito procurado por ter um resumão básico deste tipo fundamental de iniciativa.

Click to read more ...

Quarta-feira
Jul232008

Dan Kaminsky fez certo

dan2.jpg

Não seria um exagero dizer que a Internet inteira (ou pelo menos a parte que consegue entender o problema a seguir) não fala de outra coisa desde que Dan Kaminsky divulgou que havia descoberto uma séria vulnerabilidade estrutural no serviço de DNS. Na ocasião, ele informou que vinha trabalhando numa solução com os fabricantes de software e a comunidade DNS há meses e implorou para que todos atualizassem seus servidores em caráter de urgência. Em virtude da criticidade do problema, ele decidiu só revelar detalhes durante uma palestra que faria no próximo Black Hat. Ele queria que os administradores tivessem um prazo adequado para aplicar a correção. Além disso, escolheu o próximo evento de destaque onde falaria para colher a merecida publicidade como retorno pelo seu trabalho. Apesar da boataria que começou a rolar especulando sobre qual seria o problema, apenas ontem, por conta de um vazamento teoricamente acidental pelo pessoal da Matasano, é que ele se tornou oficialmente público. Os detalhes técnicos apenas enaltecem a conduta de Dan. O caso é uma séria vulnerabilidade estrutural que permite ataques de DNS cache poisoning, afetando a maioria dos servidores existentes. Fica difícil imaginar a quantidade de dinheiro que seria possível roubar com uma vulnerabilidade dessas, mas uma coisa é fato: seria possível vendê-la por muito, muito dinheiro. O próprio blog que vazou os detalhes estimava centenas de milhares de dólares. Após o comunicado oficial sobre o assunto, Dan foi atacado de todos os lados. Alguns o acusavam de estar tendo este tipo de conduta apenas para se promover. Outros argumentavam que gostariam de conhecer os detalhes do problema antes de aplicar a correção. Muitos tentaram desqualificar a descoberta, argumentando que ela não passava de problemas estruturais conhecidos há pelo menos uma década. Ao descobrir a vulnerabilidade, Dan entrou em contato de maneira extremamente reservada com os fabricantes e a comunidade que, desde então, vinham trabalhando na surdina para resolver o problema o mais rapidamente possível. Após o lançamento dos patches, Dan recusou-se a se vangloriar dos detalhes técnicos em primeira mão, priorizando o benefício de muitas pessoas que sequer o conhecem. Para vencer o ceticismo e angariar mais vozes na campanha do "atualize já", ele explicou pessoalmente os detalhes do problema para alguns especialistas, e foi justamente um deles que publicou "sem querer" os detalhes em seu blog (uma cópia do descritivo do problema está aqui), numa história difícil de colar, que lembra o e-mail enviado por engano por um funcionário da Casa Civil ao senador Álvaro Dias. Em épocas de democracia digital, onde a Internet permite que todos tenham voz, as discussões freqüentemente caminham para o relativismo, onde fica difícil defender qualquer tipo de posição em virtude de todas as perspectivas possíveis pelas quais podemos olhar para uma dada questão. E é precisamente por este motivo que o que Dan fez será lembrando por muitos anos, pois ele fez o certo. A pesquisa de vulnerabilidades tem uma importância inestimável para nossa indústria. Muitos a fazem, e pelas mais diversas razões, sejam elas nobres ou não. Alguns fazem porque gostam, outros porque, além de gostar, precisam da publicidade que as descobertas geram. Em outras palavras, gastam dinheiro em pesquisa ao invés de gastá-lo em marketing ou publicidade. Outros fazem por pura vaidade, e quando a publicidade espontânea não é compatível com o tamanho do ego e do sentimento de inferioridade do pesquisador, eles divulgam o problema antes que haja patches disponíveis, normalmente reclamando que "o fabricante foi notificado há dois dias e até agora não tinha feito nada". Alguns outros pesquisam as vulnerabilidades para vendê-las, seja para aqueles que as utilizam na produção de ferramentas destinadas ao crime em geral, seja para empresas idôneas que pagam por elas para notificar seus clientes em primeira mão. Neste ano eu jantei com Eli Jellenc da i-Defense, que é um dos maiores defensores, e foi um dos precursores, da política de pagar por vulnerabilidades. Eu sou favorável a este tipo de iniciativa, mas ela possui um componente perverso. Pode-se considerar, implicitamente, que a pessoa que pesquisa vulnerabilidades não se importa com uso que será feito delas e apenas com o dinheiro que ela vai receber. É quase a mesma suposição por trás da idéia de que pobreza leva a criminalidade, sem que o pobre tenha o livre arbítrio para decidir o que fazer, por mais que haja forças sociais que o empurrem para a marginalidade. Acho que os fabricantes devem pagar por vulnerabilidades descobertas por terceiros simplesmente porque é economicamente eficiente e saudável para nosso mercado. É muito barato eliminar vulnerabilidades através de um outsourcing da pesquisa. Faço, entretanto uma ressalva, pois essa abordagem pode sujeitar os fabricantes à chantagem e à extorsão: "se vocês não pagarem 10 mil dólares pela minha vulnerabilidade eu vou entregá-la para a quadrilha X, pois eles me pagam 8 mil". E aí é que está o cerne da questão. Dan poderia ter vendido a vulnerabilidade, poderia ter publicado os detalhes técnicos antes que um patch estivesse pronto, obtendo milhares de vezes mais atenção do que vem obtendo agora, e mesmo assim ele não o fez. Aos que argumentavam que queriam conhecer os detalhes antes da aplicação, sintam-se realizados, eles estão disponíveis e, neste exato, momento muitos servidores DNS já foram comprometidos e muitos ainda serão. O argumento de que a comunidade underground já tinha matado a charada poucos dias depois que os primeiros patches foram publicados, pois fizeram engenharia reversa, não se sustenta. Não temos que (e talvez nem mesmo devamos) evitar que a comunidade faça engenharia reversa dos patchs ou analise as mudanças no código fonte de aplicações abertas para entender o problema, mas o sujeito precisa ter um QI muito baixo para argumentar que o impacto trazido por isso é o mesmo que o que virá agora que o problema é amplamente conhecido e ferramentas vão permitir que até minha mãe consiga redirecionar usuários desatentos para um site falso de banco. Em épocas onde todo mundo pode falar qualquer coisa e ser atacado e acusado por todos os lados, nunca foi tão importante agir de maneira coerente com os valores nos quais você acredita. Questionado pelo Threat Level da Wired se ele estava puto com o vazamento teoricamente acidental (e, conseqüentemente, com a traição daqueles nos quais ele confiou detalhes do problema), Dan teve uma postura simples e correta: disse que isso não era importante, e que o importante mesmo era que tudo isso sirva como um alerta para que as pessoas atualizem os seus servidores DNS. Ou seja, ele foi coerente do começo ao fim. Enquanto muitos estão apenas preocupados em aparecer e matar a charada, entrando para a história como o cara que divulgou a falha, Dan está preocupado com o impacto que a Internet possivelmente vai sofrer. E ele estava desde o começo quando resolveu não divulgar a falha e trabalhar por meses junto aos fabricantes para que o problema fosse corrigido. Em tempo, você pode testar se o servidor DNS que você está usando está vulnerável no próprio site do Dan Kaminsky. Na dúvida (ou em caráter de emergência), é uma ótima oportunidade para você conhecer o OpenDNS e apontar sua estação pra lá.

Click to read more ...

Terça-feira
Jul152008

O melhor dos livros ficou melhor ainda

engineering.jpg

Há 7 anos um livro capturou as atenções do mercado de segurança da informação. O livro recebeu diversas premiações e caiu até nos gostos do Rob Slade, um famoso revisor de livros que só gostou de uns 5 livros em toda a sua vida, dos 500 que ele já leu ;-) O material em questão é o Security Engineering, escrito por Ross Anderson, muitas vezes chamado de "Bruce Schneier" inglês. Ross é considerado a maior autoridade no assunto, além de ser um profissional de reconhecimento internacional. Ele é professor na Universidade de Cambridge e foi responsável pelo desenvolvimento do Serpent, um algorítimo criptográfico que ficou em segundo lugar no concurso internacional que escolheu o Rijndael como sucessor do DES.

Passado todo esse tempo, eu recebi nesta semana a segunda edição, que está disponível também em encadernação de capa dura. Eu teria tantas coisas importantes para falar que vou me resumir a mais importante de todas: LEIA! Todo profissional de segurança que tem um compromisso com seu próprio conhecimento deveria fazê-lo.

As informações que ele possui têm valor inestimável e eu posso lhe garantir que não existe nenhum outro livro ou sítio onde você vai encontrá-las de maneira tão precisa e concisa. O material é porta de entrada para um verdadeiro mundo de informações, contendo referências para mais de 1000 outros livros e trabalhos acadêmicos que servem de referência para um estudo mais profundo.

Para aqueles que estão se preparando para o CISSP, eu costumo recomendar este livro como leitura obrigatória. Porém, o conteúdo é muito mais abrangente do que é demandado no exame, então é necessário por um pouco de foco. Entretanto, se você tiver tempo para ler tudo, cada linha de conhecimento lhe será útil, seja no exame ou no trabalho. A princípio, o material pode assustar um pouco por sua notação científica mas, passado o período de adaptação para aqueles que não estão familiarizados, a leitura flui bem.

Confira você mesmo, alguns capítulos estão disponíveis gratuitamente no sítio do autor, além de toda a primeira edição, agora já um pouco desatualizada, mas ainda de grande valia.

Click to read more ...

Terça-feira
Abr012008

Artigos mais acessados de 2008

Compact Card Calendar por Joe Lanman

Hoje faz exatamente três meses que este blog está no ar. Certamente um período curto de tempo, mas que me deixa muito feliz por conta do resultado alcançado. Para compartilhar um pouco dessa realização com os leitores, resolvi fazer aqui um resumo de quais foram os artigos, posts e seções que foram os campeões de audiência do trimestre. Os três artigos mais acessados (e comentados) foram: Guia de Certificações em Segurança da Informação - Parte 1 - Essa série, que ainda está sendo publicada, junta em uma única fonte a maior quantidade possível de informações sobre as certificações profissionais existentes na área de segurança da informação (SI), além de fornecer dicas de preparação. A Parte 2A deste artigo também foi publicada e está disponível aqui. Resoluções de Ano Novo - Como Fazer o que Você Ama - O segundo colocado é um texto que não é de minha autoria. Ele foi traduzido a partir de um original do Paul Graham (autor do livro Hackers and Painters) e é o texto mais inspirador que eu já li sobre como dar um rumo a sua carreira profissional. Como não implementar medidas de segurança - Parte 1 - Essa série também está em publicação. Nela eu comentei alguns aspectos sobre a postura dos profissionais de SI que podem influenciar na resistência que ele enfrentará dentro da organização onde trabalha. A Parte 2 já está disponível e explica na prática como proceder com as negociações durante o processo de definição controles, também com o objetivo de diminuir resistências. Na última parte eu falarei sobre como conscientizar os usuários a respeito dos controles mas, enquanto ela não sai, há também um artigo disponível aqui sobre o assunto. Já os três posts mais acessados, com títulos auto-explicativos, foram: Explicando um deadlock com imagens de trânsito (ISC)² publica guia sobre como contratar profissionais de SI Como se preparar para o CISM Por fim, as seções mais acessadas do blog são: Livros publicados - Trabalhei como autor e organizador de três livros sobre segurança da informação, mas infelizmente os dois mais populares estão esgotados. Há planos para a publicação de uma nova edição mas, por hora, a única forma de conseguir os dois volumes do Security Officer - Guia Oficial para Formação de Gestores em Segurança da Informação é comprando de segunda mão. Uma boa dica é tentar em listas de discussão especializadas como a CISSP BR. O outro livro no qual eu trabalhei (Information Security Management Handbook) foi publicado nos EUA e pode ser encontrada nas livrarias de lá, ou em qualquer livraria especializada por aqui, como a Livraria Cultura. Artigos - Todos os artigos disponíveis no blog estão nesta seção. Você também pode usar a barra de categorias lateral para filtrar tanto artigos como posts de acordo com o tema de sua preferência. Palestras - Aqui estão todas as principais palestras que eu ministrei nos últimos dez anos. Se você gostaria de ter visto algum e perdeu, ela provavelmente deve estar aqui. Aproveito esta mensagem para agradecer as mensagens e os comentários freqüentes dos leitores e colegas que têm contribuído para enriquecer todo o conteúdo que eu publico por aqui. Grande abraço!

Click to read more ...