domingo, 2 de maio de 2010

REDES SOCIAIS E SEUS RISCOS

Será que as pessoas não se preocupam com seus posts nas redes sociais? Já vi de tudo! Desde foto intima no orkut, endereços, números de cartão de crédito divulgados publicamente e até diretor de empresa demitido por ter falado besteira no twitter. É realmente de assustar!

Se você parar um pouco e procurar, você consegue encontrar simplesmente tudo sobre qualquer um. Não precisa ser nenhum especialista em segurança ou hacker, basta navegar pelas redes e saber usar o google. Por isso, não é raro vermos notícias de sequestros, extorsões, pedofilia, bullying e outras ameaças relacionadas ao uso (ou mau uso) de redes sociais.

Não estou aqui querendo desmotivar o uso dessas redes. Não é isso! Minha intenção é motivar o uso consciente e seguro. Até porque não podemos ignorar os inúmeros benefícios dessas ferramentas: aproximação das pessoas, publicidade, oportunidades de negócio, divertimento, etc. Semana passada, em conversa com colegas de trabalho alguém nos contou um caso de uma pessoa que havia ficado presa no elevador e foi rapidamente resgatada graças ao seu post no twitter que foi visto por seus seguidores. Outro exemplo positivo são as inúmeras campanhas bem sucedides no twitter para doação de sangue.

Apesar dessas grandes vantagens, o fato é que a maioria das pessoas não tem a noção do perigo gerado pelo mau uso dessas ferramentas. Há quem poste exatamente todos os seus passos no twitter ou nas páginas de recado do orkut. E o pior: a maioria das pessoas não tem o mínimo de cuidado com suas senhas. Recentemente, li uma notícia sobre a venda de 1.5 milhões de contas roubadas por crackers do Facebook (uma das redes sociais mais populares do mundo).

Além disso, as pessoas sentem uma falsa sensação de seguraça na internet e não se deram conta de que os mesmos perigos que temos no mundo real, temos no "virtual". Não gosto muito desses dois termos (real e virtual) já que o dito "mundo virtual", de virtual não tem nada. O computador, as redes e a internet são simplesmente ferramentas do mundo real, tornando a vida mais prática.

Sou da opinião de que o uso consciente e seguro da internet deve ser levado a sério em nossas casas e principalmente com os nossos filhos, tornando-se disciplina obrigatória nas escolas. Prevenir com educação e conscientização! Eu apostaria nisso.

E quanto ao uso de redes sociais nas empresas? Bom, vamos deixar esse assunto para outro post.

segunda-feira, 29 de março de 2010

Nenhuma das Respostas Anteriores

Acompanhei em um forum uma discussão que questionava o seguinte:

Quais itens de segurança você considera os mais esquecidos em uma organização?

–Messaging

–Ports and Protocols

–Malware Worms

–Web Traffic

–Logs, Auditing and Preventative maintenance tracking

–Intrusion Detection

–Roles

–Operational Security

–Physical Security

–Continuity & Disaster Recovery

Nenhuma das alternativas condiz com a minha opinião. O item mais esquecido e talvez o mais difícil de tratar nem foi citado: PESSOAS! Foi interessante constatar que a maioria também pensava assim baseado na suas experiências individuais.

É aquela velha história: enquanto não existirem patches para seres humanos, o jeito é não negligenciar esse ativo tão importante e educar, treinar, conscientizar, conscientizar, conscientizar, ...

Política de SI - Fatos relevantes

A política de segurança da informação corporativa representa os fundamentos pelos quais se baseia a implementação de controles e mecanismos de proteção. No processo de criação e manutenção de uma política de segurança da informação, existem alguns erros crassos, porém bastante comuns, que podem prejudicar severamente os objetivos para os quais ela se propõe. Para não cair nessas armadilhas, vejamos algumas dicas:


1) Integração com o negócio

Parece clichê, mas essa precisava ser a primeira dica. Desconsiderar os objetivos de negócio na construção ou revisão de uma política de segurança é um problema tão grave quanto não possuir uma política. É preciso que todas as diretrizes e normas de segurança tenham aderência aos objetivos estratégicos da organização. Isso significa, por exemplo, considerar as normas e padrões regulatórios aos quais a empresa está submetida. Uma empresa que deseja comercializar suas ações na bolsa de Nova York precisa levar em conta na sua política de segurança a criticidade de seus sistemas contábeis e dos processos relacionadas às suas demonstrações financeiras. Se uma empresa deseja alavancar negócios incentivando a utilização livre de recursos da Internet por seus colaboradores, é necessário que sua política contemple medidas de proteção e mecanismos de rastreabilidade extremamente efetivos e eficazes. Por isso, a integração com o negócio, que possui estratégias dinâmicas, é um dos motivos pelos quais se faz uma revisão freqüente na política de segurança da informação.


2) Estrutura documental
É relevante entender as diferenças entre políticas, normas, procedimentos, instruções de trabalho e assim por diante. Pode parecer básico, mas é muito comum encontrar empresas que confundem esses diferentes tipos de documentos e acabam se perdendo no estabelecimento de suas regras. Esse entendimento é necessário para separar as definições estratégicas, as táticas e as operacionais. Em outras palavras, não misture diretrizes gerais, com normas específicas e com procedimentos da operação. Uma dica interessante é estabelecer primeiro os "o quês" de mais alto nível até os mais específicos, para depois entrar nos "comos" e em seus detalhes.

3) Cenário em conformidade com a política VS Política em conformidade com o cenário
Uma política estabelece normas que podem apoiar na elevação do nível de segurança de uma empresa. Para tanto, é importante que o cenário corporativo esteja em conformidade com a política. Entretanto, em muitos casos se vê uma inversão disso, ou seja, a política é forçada a entrar num estado de conformidade com o que está implementado. Adaptar a política de segurança ao cenário corporativo existente é o mesmo que baixar a barra para o atleta de salto em alturas, quando na verdade ele precisa saltar a altura determinada.

4) Política Proibitiva VS Política Permissiva
Toda política possui um modelo que pode ser proibitivo, onde tudo que não é expressamente permitido é proibido, ou permissivo, onde tudo que não é expressamente proibido é permitido. O segundo modelo é um tanto quanto traiçoeiro. Isso porque quase sempre o universo de coisas a se proibir é muito maior do que o grupo de itens a se permitir. Por isso, para a segurança da informação, na grande maioria dos casos vale a pena ser proibitivo, ou seja, descreva o que se quer permitir e o resto está vedado! É como num firewall: "deny all" por padrão e as "permit rules" devidamente documentadas.

5) Envolvimento da alta direção: Indispensável!
Na criação ou manutenção de qualquer política sem a plena participação e aprovação do alto nível executivo da empresa, nada feito! O comprometimento da alta direção durante todo o processo é essencial para não só garantir que a política seja elaborada de maneira a contemplar as estratégias de negócio, mas também para garantir o seu efetivo cumprimento em toda a cadeia operacional. Para isso, é importante instituir um comitê multi-disciplinar formado por membros estratégicos (de áreas de negócio, RH, Jurídico, entre outras) para participar das discussões de criação, revisão e aprovação das diretrizes e normas estabelecidas.

6) Publique, Divulgue e Conscientize

Elaborar a política de segurança e não fazer com que todos tenham o conhecimento com o devido aceite formal é quase o mesmo que não ter política. O aceite formal aliado a uma campanha de divulgação e conscientização sobre a política dá respaldo, por exemplo, para que a organização possa monitorar os acessos dos empregados sem gerar expectativa de privacidade. Portanto, faz-se necessário publicar, divulgar e conscientizar a organização por meio de programas contínuos de sensibilização, educação e treinamento. A integração da política ao contrato de trabalho também é indispensável, assim como garantir que a cada mudança, a política seja aceita formalmente e cumprida por todos.


Para terminar, dois lembretes importantes:

i) É preciso muita cautela na política de segurança da informação para que não sejam criadas regras impossíveis de serem cumpridas.
ii) Acreditar que se tem segurança apenas por estar em conformidade a política definitivamente não é uma boa idéia.

sábado, 17 de outubro de 2009

Pescaria



São vários e cada vez mais frequentes os crimes realizados através de meios eletrônicos. Os mais comuns são aqueles em que o bandido busca algum tipo de benefício financeiro, até porque demonstrar conhecimento invadindo e pichando um website, por exemplo, não é mais tão interessante. O interesse é realmente em ganhar dinheiro. E como os controles de proteção estão cada vez mais eficientes, a maneira mais fácil é atacar o elo mais fraco.
Dentre diversas ações, os estelionatários costumam enviar e-mails falsos forjando a identidade de instituições confiáveis, tais como bancos, operadoras de telecom, empresas de cartão de crédito, órgãos governamentais, militares etc. A intenção é de "pescar" informações confidenciais do usuário. Geralmente os e-mails vêm com link que leva o usuário a um site falso, sendo induzido a instalar um malware (trojan, vírus, ...) capaz de coletar dados sigilosos. Estamos falando do phishing.
O fato é que as pessoas estão cada vez mais conectadas, cada vez mais na rede e EM rede! Dessa forma, o phishing passou a ser bastante praticado via recados de orkut (e outras redes sociais), programas de mensagens instantaneas (MSN, por exemplo) e até via SMS, o que é um problema grave, já que os aparelhos de celular (smartphones - cada vez mais populares) são verdadeiros computadores, onde pode-se armazenar muita informação.
Outra modalidade de phishing via SMS ocorre quando o atacante envia mensagens ao celular da vítima dizendo, por exemplo: "Seu cartão de crédito foi clonado. Ligue para o número XXXX-ABCD. 'Seu Banco'." A vítima, então, liga para o telefone falso indicado e uma URA (atendimento automático) pede para que seja digitado os dados do cartão e demais informações pessoais. Os dados são capturados e o prejuízo vem depois.
O phishing mais antigo parece ser aquele feito oralmente (via telefone ou não), onde alguém tenta coletar informações confidenciais se passando por outra pessoa confiável. Mas com o tempo, as pessoas acabam aprendendo com seus erros e, além disso, controles de segurança vão surgindo para evitar que um desavisado caia em armadilha. Além dos anti-vírus mais inteligentes e automatizados, os navegadores possuem recursos anti-phishing que conseguem informar o usuário se o site que ele está acessando é suspeito e pode ser instrumento de um golpe (através de uma base de dados com a reputação da URL).
Mas a mente humana, criativa e maliciosa, é sempre inovadora! A sofisticação das artimanhas não param por aí. A bola da vez é o "web phishing" (se é que podemos chamar assim): O usuário acessa um site LEGÍTIMO de uma instituição confiável, como por exemplo, o portal de um provedor de internet e, ao tentar executar alguma atividade nesse portal, esse usuário é forçado a baixar um malware que se encarregará de coletar os dados sigilosos. Fazendo uso de um site verdadeiro, ninguém (e nem o navegador com seu recurso anti-phishing) vai desconfiar de algo. O que acontece é que o atacante invade e implanta arquivos maliciosos para serem distribuídos aos usuários (a partir do site verdadeiro, sem criar site falso e gerar desconfiança).
Um ataque muito similar e bastante comum é o apelidado de GUMBLAR que também consiste na exploração de vulnerabilidades em websites de empresas legítimas para embutir os malwares. A diferença é que os malwares embutidos redirecionam o usuário, através de cross-site scripting, para websites maliciosos. Como há um site forjado, a detecção disso não é tão complicada. A coisa fica mais difícil quando se usa somente o site realmente legítimo (como no "web phishing").
Fazer uso de sites legítimos não é uma técnica nova, o que assusta é que ela vem sendo usada massivamente com muita frequencia. Muitas vezes, a invasão nem é feita diretamente no servidor e sim através de computadores infectados dos administradores que fazem uploads de códigos maliciosos mascarados em meio aos códigos legítimos.
Segundo a ScanSafe , cerca de 2000 websites legítimos com baixa segurança já foram comprometidos nos últimos meses por esse tipo de ataque. Os estelionatários dificilmente possuem conhecimento técnico para isso e não trabalham sozinhos. Eles contratam grupos hackers que fazem parte do trabalho sujo de execução do ataque e preparação das armadilhas, pagando uma quantidade bastante inferior ao montante que conseguirão arecadar acessando as contas correntes das vítimas e tranferindo valores para contas de laranjas.
O Gartner estimou em 2007 que 3,6 milhões de pessoas adultas perderam cerca de US$ 3,2 bilhões através de phishing e esse número só tem aumentado. Mas por que o phishing funciona tão bem? Pincipalmente pelos 3 motivos abaixo:

1) Os atacantes fazem uso da confiança dos usuários nas instuições confiáveis e populares;
2) A Falta de conhecimento dos usuários em segurança;
3) Displicência quanto a questões de proteção.

Conclusão: Fique ligado, o grande alvo é você e seu dinheiro!

domingo, 23 de agosto de 2009

set [a lot of changes coming] mode on

Minha lista de assuntos para escrever no "to-do.txt" só aumenta. Mas tenho uma justificativa: a vida está uma correria só e o tempo livre está curto e só me deixa fazer posts... também curtos: http://twitter.com/cassio_menezes.
Muitas mudanças pela frente. E a melhor de todas é a relacionada a imagem aí em embaixo. É só o tipo de presente que tenho ganhado ultimamente e estou muito feliz por isso.





















Sim, vou ser papai!
See ya!

P.S.: Oh Minas Gerais! Sentirei muitas saudades das tuas lindas montanhas e geladas cascatas, da tua boa acolhida e do teu povo gentil. Quanta falta farão os amigos que fiz diante do teu Belo Horizonte!