sábado, 17 de outubro de 2009

Pescaria



São vários e cada vez mais frequentes os crimes realizados através de meios eletrônicos. Os mais comuns são aqueles em que o bandido busca algum tipo de benefício financeiro, até porque demonstrar conhecimento invadindo e pichando um website, por exemplo, não é mais tão interessante. O interesse é realmente em ganhar dinheiro. E como os controles de proteção estão cada vez mais eficientes, a maneira mais fácil é atacar o elo mais fraco.
Dentre diversas ações, os estelionatários costumam enviar e-mails falsos forjando a identidade de instituições confiáveis, tais como bancos, operadoras de telecom, empresas de cartão de crédito, órgãos governamentais, militares etc. A intenção é de "pescar" informações confidenciais do usuário. Geralmente os e-mails vêm com link que leva o usuário a um site falso, sendo induzido a instalar um malware (trojan, vírus, ...) capaz de coletar dados sigilosos. Estamos falando do phishing.
O fato é que as pessoas estão cada vez mais conectadas, cada vez mais na rede e EM rede! Dessa forma, o phishing passou a ser bastante praticado via recados de orkut (e outras redes sociais), programas de mensagens instantaneas (MSN, por exemplo) e até via SMS, o que é um problema grave, já que os aparelhos de celular (smartphones - cada vez mais populares) são verdadeiros computadores, onde pode-se armazenar muita informação.
Outra modalidade de phishing via SMS ocorre quando o atacante envia mensagens ao celular da vítima dizendo, por exemplo: "Seu cartão de crédito foi clonado. Ligue para o número XXXX-ABCD. 'Seu Banco'." A vítima, então, liga para o telefone falso indicado e uma URA (atendimento automático) pede para que seja digitado os dados do cartão e demais informações pessoais. Os dados são capturados e o prejuízo vem depois.
O phishing mais antigo parece ser aquele feito oralmente (via telefone ou não), onde alguém tenta coletar informações confidenciais se passando por outra pessoa confiável. Mas com o tempo, as pessoas acabam aprendendo com seus erros e, além disso, controles de segurança vão surgindo para evitar que um desavisado caia em armadilha. Além dos anti-vírus mais inteligentes e automatizados, os navegadores possuem recursos anti-phishing que conseguem informar o usuário se o site que ele está acessando é suspeito e pode ser instrumento de um golpe (através de uma base de dados com a reputação da URL).
Mas a mente humana, criativa e maliciosa, é sempre inovadora! A sofisticação das artimanhas não param por aí. A bola da vez é o "web phishing" (se é que podemos chamar assim): O usuário acessa um site LEGÍTIMO de uma instituição confiável, como por exemplo, o portal de um provedor de internet e, ao tentar executar alguma atividade nesse portal, esse usuário é forçado a baixar um malware que se encarregará de coletar os dados sigilosos. Fazendo uso de um site verdadeiro, ninguém (e nem o navegador com seu recurso anti-phishing) vai desconfiar de algo. O que acontece é que o atacante invade e implanta arquivos maliciosos para serem distribuídos aos usuários (a partir do site verdadeiro, sem criar site falso e gerar desconfiança).
Um ataque muito similar e bastante comum é o apelidado de GUMBLAR que também consiste na exploração de vulnerabilidades em websites de empresas legítimas para embutir os malwares. A diferença é que os malwares embutidos redirecionam o usuário, através de cross-site scripting, para websites maliciosos. Como há um site forjado, a detecção disso não é tão complicada. A coisa fica mais difícil quando se usa somente o site realmente legítimo (como no "web phishing").
Fazer uso de sites legítimos não é uma técnica nova, o que assusta é que ela vem sendo usada massivamente com muita frequencia. Muitas vezes, a invasão nem é feita diretamente no servidor e sim através de computadores infectados dos administradores que fazem uploads de códigos maliciosos mascarados em meio aos códigos legítimos.
Segundo a ScanSafe , cerca de 2000 websites legítimos com baixa segurança já foram comprometidos nos últimos meses por esse tipo de ataque. Os estelionatários dificilmente possuem conhecimento técnico para isso e não trabalham sozinhos. Eles contratam grupos hackers que fazem parte do trabalho sujo de execução do ataque e preparação das armadilhas, pagando uma quantidade bastante inferior ao montante que conseguirão arecadar acessando as contas correntes das vítimas e tranferindo valores para contas de laranjas.
O Gartner estimou em 2007 que 3,6 milhões de pessoas adultas perderam cerca de US$ 3,2 bilhões através de phishing e esse número só tem aumentado. Mas por que o phishing funciona tão bem? Pincipalmente pelos 3 motivos abaixo:

1) Os atacantes fazem uso da confiança dos usuários nas instuições confiáveis e populares;
2) A Falta de conhecimento dos usuários em segurança;
3) Displicência quanto a questões de proteção.

Conclusão: Fique ligado, o grande alvo é você e seu dinheiro!

domingo, 23 de agosto de 2009

set [a lot of changes coming] mode on

Minha lista de assuntos para escrever no "to-do.txt" só aumenta. Mas tenho uma justificativa: a vida está uma correria só e o tempo livre está curto e só me deixa fazer posts... também curtos: http://twitter.com/cassio_menezes.
Muitas mudanças pela frente. E a melhor de todas é a relacionada a imagem aí em embaixo. É só o tipo de presente que tenho ganhado ultimamente e estou muito feliz por isso.





















Sim, vou ser papai!
See ya!

P.S.: Oh Minas Gerais! Sentirei muitas saudades das tuas lindas montanhas e geladas cascatas, da tua boa acolhida e do teu povo gentil. Quanta falta farão os amigos que fiz diante do teu Belo Horizonte!

segunda-feira, 29 de junho de 2009

Biometria X Privacidade

Já pararam para pensar como os controles de segurança e a privacidade podem estar "inversamente proporcionais"? Sim, é claro que a segurança nos traz a privacidade! Mas em muitos casos, ela pode tirar.

Imagine um sistema de controle de acesso biométrico capaz de verificar padrões cerebrais para identificar o usuário. Na Europa, já existe algo sendo desenvolvido nesse sentido. Já existem testes em controles biométricos capazes de efetuar uma autenticação através de monitoramento humano, usando indicadores biodinâmicos e análises comportamentais. Dessa maneira, difícil alguém furar o sistema, não é mesmo!?

De fato, a tendência é que os controles biométricos se tornem cada vez mais assertivos, diminuindo eventos de falso-positivo e falso-negativo e dando maior garantia de segurança. Muito justo! Mas até que ponto essas implementações podem se tornar algo intrusivo ao ser humano? Não sou médico, psiquiatra ou algo do gênero, mas imagino que através de verificações de padrões cerebrais e análises comportamentais, uma série de características sobre um ser humano podem ser deduzidas. Características que podem ir além de uma simples identificação e autenticação. É aí que surgem os questionamentos: Como esses dados são coletados? Eles são armazenados? Se sim, como (apenas um hash criptografado)? Quem tem acesso a isso?
Alguns sistemas biométricos mais comuns, como a verificação digital, não armazenam dados. Nesse caso, especificamente, apenas uma representação da digital fica registrada no sistema. Pelo menos é assim que deve ser, até por causa de implicações legais. Sobre a verificação da retina, por exemplo, que checa os padrões dos vasos sanguíneos no fundo dos olhos, existem algumas constatações que afirmam ser possível identificar algumas doenças através desse tipo de biometria ou até inferir se uma mulher está grávida.

A utilização de sistemas biométricos como fatores adicionais de autenticação, realmente trazem uma segurança a mais. Para a implantação desses sistemas, alguns pontos são extremamente avaliados: a ASSERTIVIDADE, o NÍVEL DE CONFORTO, a ACEITAÇÃO e o CUSTO. Mas eu diria que um ponto pouco lembrado nessas avaliações é a questão da PRIVACIDADE ou o quão intrusivo é o sistema de biometria.

É comum se pensar em segurança, mas olhar apenas para o próprio umbigo. Uma visão holística, de toda a cadeia é essencial para que todos os pontos necessários sejam devidamente endereçados.

quarta-feira, 27 de maio de 2009

Puxa o cabo!!!

(1)

Nessa semana, a mídia informou que o FBI e o US Marshalls foram acometidos por ataques de vírus (ainda desconhecido). Sabe qual foi a contramedida adotada para conter e remediar o problema? As agências se desconectarem da internet! Isso aí... "Puxaram o cabo!"

Já vimos vários casos com outros órgãos governamentais, como por exemplo, o caso do Pentágono que teve sua rede invadida e informações sigilosas foram comprometidas.

----

(2)

Semana passada, o zelador do meu prédio comentou comigo que tomou um susto tremendo ao abrir um powerpoint que recebeu por e-mail. O slide inicial pedia que ele procurasse pontos amarelos em diversas lindas imagens que apareceriam a seguir. Ele, prontamente, topou a brincadeira e foi avançando, avançando, avançando... até que, abruptamente, quem aparece? A menina do filme "Exorcista" (com aquele gritão: Uuuuááááá!!!!!)! O coitado se tremeu todo, ficou com tanto medo e adivinhe o que ele fez? Desligou o computador imediatamente. Isso aí... "Puxou o cabo!"

No dia seguinte, se deparou com o website do seu banco pedindo dados do cartão de crédito, senhas, números do cartão-token logo na página inicial. Acho que nem preciso terminar a história...

----

- Conclusão 1:
Do Pentágono ao Sr. Juquinha, ninguém está imune!

- Conclusão 2:
Nem sempre "puxar o cabo" resolve.





terça-feira, 12 de maio de 2009

Por falar em pandemia...

Agora não é força de expressão e nem estou utilizando a palavra no sentido conotativo! Segundo a Organização Mundial da Saúde estamos perto de uma Pandemia, já que a epidemia de Influenza A (Gripe Suína) iniciada no México já se encontra no nível de gravidade 5. O próximo nível caracteriza a pandemia.

Para entender mais sobre os níveis de gravidade definidos pela OMS e saber mais sobre a gripe suína acesse: http://g1.globo.com/Noticias/Ciencia/0,,MUL1101145-5603,00-TIRE+SUAS+DUVIDAS+SOBRE+O+RISCO+E+A+PREVENCAO+DA+GRIPE+SUINA.html

Mapeando o assunto para o mundo corporativo, podemos afirmar que doenças que se proliferam absurdamente com grande velocidade de contaminação, podem afetar seriamente a continuidade dos negócios devido ao absenteísmo em massa. Porém, não vejo motivo para entrar em pânico no caso da gripe suína. Acredito que realmente é uma ameaça que pode se tornar grave, porém vejo muito exagero e sensacionalismo da mídia em torno deste assunto.

O fato é que as organizações precisam se preparar para evitar problemas inesperados como o caso de uma real pandemia e o momento atual nos dá a oportunidade de lembrarmos e reforçamos o que precisamos fazer em situações como essa.

A análise de impacto aos negócios é uma ação essencial para definir uma série de questões como: Qual mão-de-obra é vital para a organização? Que áreas são sustentáveis em uma situação de absenteísmo generalizado? Qual o downtime máximo para a inatividade das áreas? Tenho pessoas treinadas e aptas para substituir as infectadas? Tenho planos de exames, de testes, de isolamento e de remediação para conter a proliferação entre os colaboradores? E por aí vai... A partir disso, considerar esses inputs no momento de traçar os planos estratégicos e de continuidade de negócios é uma boa pedida.

É bom lembrarmos que toda e qualquer ação não será bem sucedida se não houver um plano de comunicação e de conscientização bem elaborado e executado de forma que todos os colaboradores da organização se envolvam, conheçam e entendam os planos para gerir uma crise como essa, além de ser fundamental que todos pratiquem as recomendações dos órgãos de saúde para prevenir a infecção.

Mudando um pouco o "rumo da prosa", já notaram como é incrível a rapidez dos "espertinhos" que se aproveitam do grande interesse da sociedade por um determinado assunto e tentam ludibriar os mais desavisados? Refiro-me principalmente a grande quantidade de spams sobre a gripe suína que temos recebido diariamente em nossas caixas.

Inicialmente, era muito comum apenas emails com links para sites de remédios, de propagandas com aqueles zilhões de pop-ups e coisas do tipo. Atualmente, os simples spams tornaram-se phishings e ameaças mais graves a dados financeiros e roubo de informações sensíveis do seu PC. Em muitos casos, os spammers se passam por órgãos legais que "solicitam" dados pessoais para um suposto cadastro de infectados ou não-infectados (ou algo do tipo) com o objetivo real de ter acesso a informações pessoais e confidenciais. Outros desses falsos emails trazem links para vídeos e fotos de pacientes em fase terminal com a gripe suína e na verdade são atalhos para worms, como, por exemplo, o velho e conhecido "banker" (que rouba dados bancários).

Enfim, cuide-se para que nem você e nem suas informações sejam afetadas pela gripe suína.

Saúde!







quinta-feira, 12 de fevereiro de 2009

VAZAMENTO DE INFORMAÇÕES - A PANDEMIA

Notebooks roubados, dados militares em pen-drive, dados de cartões de crédito vazando, roubo e até sequestro de dados. Todos os dias, nos deparamos com notícias relacionadas a vazamento de informações sensíveis de empresas e de grandes organizações. É um problema aterrorizante e cada vez mais frequente que tem gerado não só grandes prejuízos financeiros, mas também sérios desgastes de imagem e de reputação.

Segundo estatísticas do Ponemon Institute (www.ponemon.org), o custo de cada registro de dado perdido nos EUA vem aumentando a cada ano e, em 2008, teve custo médio de US$ 202, sendo que quase 70% desse valor representam a perda de novas oportunidades de negócio. O Identity Theft Resource Center (ITRC - www.idtheftcenter.org) publicou que mais de 35 milhões de registros de dados foram vazados no ano passado só nos EUA. São bilhões em perdas financeiras. É realmente a “patologia corporativa” das mais incômodas atualmente, capaz de deixar em xeque a competitividade e a credibilidade de empresas perante clientes, parceiros, acionistas e investidores.

Mas o que fazer para evitar ou, pelo menos, minimizar os riscos? Podemos partir do princípio de que informações possuem um ciclo de vida que vai desde a criação, passando por manipulações, até o descarte. Também vamos considerar que durante todo esse ciclo, a informação terá que ser armazenada em algum lugar e terá também que trafegar por vários meios distintos, podendo ser de forma eletrônica ou não. Pronto! Então, basta fazer uma boa gerência desse ciclo de vida e controlar os meios em que a informação deve existir, seja meio de armazenamento ou de tráfego. Em outras palavras, é necessário ter conhecimento e controle de onde os dados sigilosos se encontram e de como estão sendo usados. Muito simples, certo? Errado! Isso envolve uma série de ações que permeiam pelos mais variados campos da Gestão da Segurança da Informação. Para ser mais específico, em todos aqueles onde o princípio da Confidencialidade (CID, lembra?) possui maior relevância. É um grande desafio!

O desafio torna-se maior ainda quando nos damos conta de que vivemos em uma época onde o compartilhamento de arquivos está extremamente facilitado em um cenário de total mobilidade computacional. Exatamente por isso, é quase que inexequível controlar a utilização de gadgets armazenadores de dados, até porque começaríamos a adentrar em uma paranóia pouco saudável (sim, existe paranóia saudável!) e comprometer o grande benefício desse mundo portátil e em rede: a praticidade.

Quer dizer que não precisamos nos preocupar em proibir o uso de pen-drives, celulares, câmeras digitais, CDs/DVDs e Cia? Exato! Esse bloqueio seria uma boa maneira de mitigar os riscos dos quais estamos falando. Porém, hoje em dia, na maioria dos casos precisaremos esquecer isso. É aí que se lança mão da tecnologia, utilizando soluções de DLP (Data Loss Prevention), por exemplo, que sejam capazes de proteger a informação em seus repositórios e controlar o seu uso direto na ponta (usuário), evitando e rastreando qualquer vazamento intencional ou não. Isso inclui proteger as informações confidenciais determinando se certo dado, ou parte dele, pode ser acessado, copiado, impresso, transmitido via rede ou enviado para qualquer meio de entrada e saída.

No entanto, como sabemos, tecnologia não é panacéia e, além disso, o ser humano torna-se extremamente criativo, sobretudo quando munido de intenções maquiavélicas. Por isso, contra o vazamento de informações, é INDISPENSÁVEL considerar todas as boas práticas de segurança relacionadas à gestão de pessoas, como, por exemplo, o estabelecimento de NDAs (Non-Disclosure Agreement) em contratos, desenvolvimento de programas de conscientização e educação, implantação e divulgação das políticas e normas vigentes, sem esquecer de outros detalhes importantíssimos como processos de segurança física, patrimonial e a (polêmica) classificação da informação. Ainda assim, é impossível garantir risco zero, portanto é fundamental que se tenha um processo reativo, a qualquer detecção de incidente, totalmente respaldado para evitar problemas legais e possibilitar, quando possível, a recuperação de perdas.

Nesse contexto, percebe-se que os controles para minimizar os riscos de vazamento de informações giram sempre em torno das duas fases desse tipo de incidente: o acesso ao dado e a transmissão dele para um ambiente fora de controle. Em cima disso, sendo intencional ou não, o vazamento possui uma enormidade de ramificações e pode ocorrer através de complexas ações de espionagem até simples conversas inocentes por e-mail, instant messengers, elevadores ou no café da esquina.

Fonte: http://www.websense.com/global/en/resourcecenter/leaksolutions/

Portanto, antes de adoecer dessa pand
emia, perder dados sensíveis e ter que amargar graves prejuízos, a melhor saída é agir proativamente e com foco em prevenção, vislumbrando controles de segurança adequadamente viáveis para cada contexto de negócio e aliados a cultura organizacional, fazendo valer aquela velha máxima: “antes prevenir, do que remediar”. De fato, não é uma constatação nova, mas você está preparado para isso?

domingo, 18 de janeiro de 2009

KICK OFF!

Olá pessoALL! Criei esse blog para falar de Segurança da Informação e assuntos correlatos, porém, eventualmente, publicarei textos de assuntos diversos e interessantes, como, por exemplo, o texto fantástico com o qual me identifiquei bastante. Créditos para o mestre Roberto Gattoni.

AÇÕES EM ALTA

"Dizem que estamos vivendo uma crise. Uma das grandes. Dizem que trata-se de uma crise “global”. Será mesmo?

Estão dizendo que muitas empresas vão quebrar, que as “bolsas estão caindo”, que as pessoas irão consumir menos, que todos ficaremos mais pobres, mais desolados, mais desamparados. Falam que tem uma tal de “recessão” vindo por aí, e que ela vai arrasar todo mundo consigo, como se fosse uma onda brava, raivosa. Será que é isso tudo mesmo?

Os jornais só falam desse assunto. A TV só dá notícia disso. “Gurus” prenunciam um “futuro do imponderável”, e alguns profetizam que “ninguém sabe como será daqui prá frente”...

Será que...
... então...
... estamos definitivamente perdidos, em meio a um caos súbito, infinito,
inexorável?...
Será que seremos tomados pela incerteza, pela insanidade, pela loucura,
pelo pânico?...
... ou que conseguiremos nos controlar ou que...
... alguém, de alguma maneira, inventará um antídoto para esta “moléstia”
de proporções “avassaladoras”?...
... não sei...
... não sei, não...

Fico pensando na minha vida até aqui...
... as coisas que vivi, que experimentei, que presenciei...
... lembro-me dos sorrisos que distribuí, das gargalhadas que arranquei,
das lágrimas que provoquei...
... lembro-me das paisagens que vislumbrei, das pessoas que avistei, das
músicas que escutei, dos sabores que provei, dos aromas e perfumes que
inalei...
.. lembro-me dos grandes e inomináveis erros que cometi, do juízo leviano
e das ofensas que, ingenuamente, produzi, e de como me arrependi...
... mas também dos elogios com os quais erigi, reconheci, construí...
... lembro-me das vitórias que conquistei, dos fracassos que logrei, das
certezas e convicções com as quais cresci...
... e das mentiras que combati, das verdades que defendi...
... lembro-me dos sonhos dourados que acalentei, das brincadeiras que
inventei, dos desejos ocultos que, em minha infância, secretamente,
realizei...
... lembro-me dos ensinamentos que aprendi, das lições que internalizei,
dos conhecimentos que absorvi, muitos com os quais me arrebatei...
... lembro-me dos seres importantes que, de perto de mim, para sempre, já
se foram...
... e daqueles com os quais, desajeitado, há tanto tempo não procuro, não
mais vejo, visito, percebo, convivo...
... das amizades que semeei, dos amores que cultivei, das paixões que
espalhei, dos prazeres que senti, das emoções que vivenciei...
... lembro-me de meu papai amigo, de minha mamãe querida, dos professores
que já tive, dos mestres com os quais convivi, dos cúmplices, colegas,
companheiros de estrada...
... lembro-me dos que estão muito juntinhos de mim...
... de meu amiguinho Jesus, minha única Luz, deitado em seu bercinho, humilde, sereno, sorrindo...
... num olhar singelo, diretamente voltado prá mim, acreditando em mim...
... confiando em mim...
... e em tudo que eu possa vir a fazer e a realizar todos dias, muitas
maravilhas, muitas delas...
... através de gestos simples...
... através das minhas mãos...
... de meu comportamento, minhas atitudes, meus exemplos...
... de meus pensamentos...
... orações...
... palavras...
... de minhas ações!

Sim!...
... ações que se farão perenes, eternas, efetivas, sonoras, presentes,
amigas...
... ações que crise nenhuma poderá derrubar...
... ações minhas...
... ações suas...
... ações nossas...
... ações que serão sempre, e para sempre serão...
... ações...
... em alta!"