Black Hat USA 2008 e Defcon

Сomentários

Transcrição

Black Hat USA 2008 e Defcon
Edição 004
setembro/outubro de 2008
Revista da ISSA Brasil
Amigo Russo, Amiga Romena
(Друг русский,română prieten)
Os Perigos da Sensação de
Segurança
Análisando redes Wireless com
o Network Monitor
Application Security é Mais Do
Que Conformidade
Prevenção de Incidentes
de Segurança e Crimes de
Informática
Cloud Computing é Invenção,
ou Existe Mesmo?
Segurança no Protocolo 802.11
BlackHat e Defcon: Melhores
conferências de segurança do
mundo ?
GRC Meeting
Black Hat USA 2008
e Defcon:
A cobertura dos eventos
pela ISSA Brasil
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Carta do Presidente
Anchises M. G. de Paula
E
stamos a 200 por hora!!! Não consigo pensar em outra forma de definir o atual ritmo da nova gestão. Em pouco mais de
um mês de atividade, já realizamos o ISSA Day de Agosto junto com a Future Security, planejamos os eventos de Setembro
e Outubro, apoiamos o GRC Meeting, lançamos o primeiro ISSA Brasil Awards, preparamos nossa participação no CNASI e
mantivemos o ritmo da Antebellum, que chega agora nas suas mãos de uma forma inédita.
Mas esta quarta edição da Antebellum é diferente. Seria por causa dos artigos? Eles continuam de excelente qualidade (arrisco a
dizer que estão cada vez melhores) e são resultado da contribuição de diversos profissionais experientes do mercado. As coberturas
especiais? Assim como fizemos com a RSA Conference em nossa segunda edição, agora estamos publicando uma cobertura da
Black Hat e Defcon, pelo Rodrigo Montoro, e uma do GRC Meeting. As colunas? Estamos lançando duas colunas novas: uma sobre
direito eletrônico (“Cyber Law”) e outra, que chamamos de “Logoff”, sobre as diversas atividades que nós podemos fazer em nosso
(pouco) horário de lazer.
Isso tudo é ótimo, mas o que realmente me orgulha nesta edição é que decidimos enfrentar mais um desafio: lançarmos esta revista
no CNASI. E, melhor, porque não lançar uma edição impressa? Corremos, tivemos coragem e perseverança. Fizemos uma parceria
inovadora com a NOKIA (que patrocinou a impressão da revista) e, graças a um forte apoio de última hora da Certisign (que realizou
a editoração e a arte final), conseguimos: pela primeira vez estamos lançando uma edição especial, impressa, da Antebellum. Uma
edição super especial para o CNASI. Uma edição que foi fruto da coragem de uma associação em inovar, em dar um passo além,
e resultado da confiança depositada pelas empresas que assumiram este risco conosco, duas empresas conhecidas e respeitadas
por todos nós, a NOKIA e a Certisign.
Este pique todo não surgiu do nada. Estamos dando continuidade ao trabalho iniciado há dois anos atrás, quando assumimos a ISSA
preocupados em trazer mais benefícios e tornar a associação parte do cotidiano dos profissionais de SI. Estes resultados, conquistados
a custa de muito suor, nos fazem acreditar que estamos no caminho certo. Ainda temos muito pela frente, mas queremos caminhar
muito. Queremos ouvir e ser ouvidos. Queremos que todos vejam a ISSA como a verdadeira Voz da Segurança da Informação.
Anchises M. G. de Paula
Presidente ISSA Brasil
página 3
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Nesta edição
Edição 004 • setembro/outubro de 2008
Carta do Presidente 3
Amigo Russo, Amiga Romena (Друг русский,română prieten) 5
Os perigos da sensação de segurança 7
Analisando redes wireless com o Networw Monitor 3 9
Application Security é mais do que conformidade 11
Prevenção de incidentes de segurança e crimes de informática 13
Cloud Computing é invenção, ou existe mesmo? 16
Segurança no Protocolo 802.11 20
BlackHat e Defcon: Melhores conferências de segurança do mundo? 22
GRC Meeting 25
Atividades ISSA 27
LogOff: o lado off line da segurnaça da informação 29
Colunas Antebellum: Cyber Law 30
Worst Cases: O lado divertido da segurança 30
Revista ISSA Brasil
Antebellum, Edição 004, Setembro/Outubro de 2008
Expediente
• Editor: Eduardo V. C. Neves
• Revisão: Anchises Moraes e Fernando Fonseca
• Jornalista Responsável: Cristina Turnes, MTb DF 4341/83.
• Contatos pelo site www.ctcom.com.br
• Contato: [email protected]
Submissão de Material
A Revista ISSA Brasil convida os membros do Capítulo a contribuir com a comunidade de Segurança da Informação submetendo artigos, tutoriais ou estudos de caso para publicação.
O material deverá ser inédito e o autor deve assumir o compromisso de manter a publicação restrita a Antebellum pelo
período de 90 dias, após o qual poderá disponibilizar para o
público em geral. Os interessados deverão enviar o material
seguindo os padrões descritos em nosso web site para o e-mail
[email protected]
página 4
Disclaimer
As informações apresentadas nos artigos, tutoriais e outras
instruções publicadas nesta revista não foram submetidas a
um teste formal e não devem ser interpretados como soluções.
As opiniões expressas não refletem a opinião da ISSA ou ISSA
Capítulo Brasil. Os nomes de produtos e marcas registradas são
de propriedade de seus respectivos donos.
Todas as fotos são de arquivo pessoal dos autores, quando não
especificado em contrário.
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Amigo Russo, Amiga Romena (Друг русский,română prieten)
Fernando Amatte
S
ua empresa tem um site na Web? Sabe qual a semelhança entre sua empresa, a NASA ou um Banco? Todos eles
tem a porta 80 aberta para a internet. O que isso significa? Que todos estão sujeitos as mesmas ameaças e ataques!
As novas tecnologias web estão tornando a internet uma mídia
mais popular, mais fácil e atrativa. Dando mais opções de interação com usuários sempre mais participativos. Junto com
essas novas tecnologias, temos também uma maior tendência
de ataques e fraudes via web.
dam logs, pessoas que os apagam, pessoas que analisam log e
pessoas que nem sabem que os logs existem.
Pense na seguinte situação: Junto com o lançamento de um
novo produto, você solicitou um novo layout e novas funcionalidades para o seu site. Mais interação com os clientes, consultas e respostas dinâmicas, gráficos, respostas rápidas, etc.
Tudo pronto.
A análise desses logs de acesso, é semelhante a uma partida do
jogo War. Vemos acessos vindos de vários lugares do mundo.
Quantos acessos temos de cada região? O que eles fizeram
ou tentaram fazer? Mantemos relações comerciais ou fazemos
negócios com essas regiões? Seriam esses acessos válidos, vindos de pessoas interessadas em nossos produtos?
Mídia informada, campanhas em jornais, revistas, rádio, TV
e outdoors. Agora vamos medir a audiência para saber se a
campanha deu certo. A equipe de marketing está vibrando,
as expectativas foram superadas. Mais de 100 mil acessos por
dia. Além dos acessos do público alvo, Brasil, temos acessos do
mundo inteiro, incluindo EUA, Rússia, China, Polônia, Romênia,
Argentina, Letônia, Moldávia, Hungria e Bulgária. A internet é
realmente é uma mídia mundial, sem fronteiras, concluem.
O que essas “pessoas” estavam visitando e/ou procurando em
seu website? Somente a análise dos logs de acesso, poderá responder essas perguntas e garantir se sua campanha foi um sucesso ou não. Desde o início da internet, como a conhecemos
hoje, logs de acesso a websites são importantes dados para a
análise e geração de estatísticas.
Quando bem analisados, esses dados podem nos mostrar o
perfil de nossos visitantes, assim como as áreas mais e menos
visitadas em um site. Desde que reais, os dados estatísticos podem nos ajudar a tirar diversas conclusões e planejar reformulações. Por exemplo, quantos clicks eu necessito para encontrar
a informação que eu quero? Quais são os links ou figuras mais
clicados? Nos serviços de busca, dificilmente o usuário chega
na terceira página de resultados. (como eles sabem disso?)
O valor comercial de um website muitas vezes se dá pela quantidade de visitantes que recebe em um determinado período.
Essas informações (logs) são de grande importância estratégica
e comercial para as empresas. Eu conheço pessoas que guar-
Se você não sabe para que eles servem, tenho dois conselhos:
aprender para que servem e trabalhá-los e deletá-los. Sim deletá-los, para que guardar uma coisa que você não sabe para
que serve? Mesmo com o valor das mídias de armazenamento
caindo, ainda é caro manter alguma coisa que não se sabe para
que serve.
Eu não tenho preconceito. Para falar a verdade gostaria muito de
ter acessos vindos de todas as partes do mundo, porém com páginas escritas em português e conteúdo direcionado para o público
brasileiro, não tenho a ilusão de ter mais de uma dúzia de acessos vindos de entusiastas e admiradores do Brasil que moram em
outros países. Eu não tenho amigos russos ou amigas romenas
que poderiam estar gerando esses acessos. Talvez eu não seja tão
sociável assim, ou talvez meu conteúdo interesse a poucos.
Começamos aqui a pensar em segurança
Com o advento das botnets pode-se comprar acessos, comprar
clicks, sendo assim quem pode garantir que os seus acessos
são legítimos?
Quantas vezes seu site foi testado contra as últimas vulnerabilidades no último mês? (Você autorizou?) Quantas vezes seu site
foi invadido? Se a resposta for não sei, essa é a diferença entre
deletar (ou arquivar) logs e realmente analisá-los.
Vasculhando os logs, podemos identificar scripts tentando
explorar vulnerabilidades em nossas páginas, talvez em uma
página específica, talvez em quaisquer páginas, estáticas ou
dinâmicas nenhuma escapa. Scripts feitos simplesmente para
coletar informações e não para serem precisos ou objetivos.
Se ganha pelo volume, no estilo ataque de força bruta. Porém
como a maioria dos campos dos log http podem ser forjados,
scripts melhores escritos deixam de ter a aparência dos mesmos e passam a ter a aparência de acessos reais.
página 5
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Aparência sim, comportamento não.
Com a análise de logs podemos identificar inclusive alguns tipos
de ataques de phishing. Os problemas são muitos, dentre eles:
Hoje não existe mais a escolha de alvos, todos podem ser vítimas. Muitos dos exemplos citados também podem ser evitados por técnicos e desenvolvedores preparados.
•
Minha conclusão é que necessitamos de ferramentas e de profissionais (das diversas áreas) aptos a entender e tratar esse
desafio que não é novo. Ferramentas especializadas em não
somente mostrar as estatísticas, mas em analisar os dados.
Técnicos esses especializados em configurações seguras de
servidores e análise de logs.
•
•
•
•
•
•
•
•
•
Injeção de códigos maliciosos, onde suas páginas podem
ser modificadas enviando malwares para seus visitantes;
Execução de códigos remotos onde permitiria a um atacante manipular suas páginas e/ou seu servidor;
Força bruta de autenticação, tem alguém tentando acesso
sem saber a senha;
Robôs de busca não respeitando as restrições impostas no
arquivo robots.txt;
Arquivos confidenciais expostos, sim isso acontece com
todo o tipo e tamanho de organização;
Ataques nas estatísticas;
Bypass de autenticação, alguém tendo acesso as informações sem o uso de senha ou credencias válidas;
Seu website poderá ser utilizado como ponte (proxy) para
conexões irregulares ou ilegais;
Se seu website contém figuras, como por exemplo outras
pessoas podem utilizar elas? Porque hospedar as figuras
se eu posso simplesmente fazer links para imagens de outros? Quem esta pagando o tráfego? Você;
Novos tipos de ataque.
A lista das principais ameaças e vulnerabilidades em aplicações
web e detalhes das mesmas pode ser encontrada na página do
OWASP em www.owasp.org.
Todos os exemplos expostos acima podem ser verificados com
a análise de logs. Porém nem tudo é simples. Para isso, e para
maior produtividade, você deve entender o comportamento
do seu site e conseqüentemente dos seus logs.
Valeria a pena bloquear o tráfego por países ou regiões geográficas, liberando o acesso somente para os que mantemos
relações comerciais diretas? Talvez manter páginas diferentes
para regiões geográficas diferentes? Talvez usar o conceito de
configuração de firewalls, onde bloqueamos tudo e liberamos
somente o necessário? Seria essa uma decisão comercial focada em negócios ou focada em riscos para o negócio?
Muito se pode fazer antes de tomar esse tipo de decisão.
Agora, como analisar alguma coisa que você não tem? Existem
diversos provedores de hospedagem de sites que oferecem
seus serviços sem o fornecimento de logs ou estatísticas.
Muitos vão dizer “porque eu seria uma potencial vítima, eu
não fiz nada de errado ou não sou tão interessante quanto outras empresas”.
página 6
Programadores especializados em programação segura (existem
poucas iniciativas e/ou cursos específicos de programação segura), vendedores especializados em vender esses serviços para
quem os necessita. Como mostrado, os desafios e as ameaças
são muitas, porém nada pode ser feito se você não tem logs.
Afinal, quem lê ou se interessa por logs? Alguém possui amigos
russos ou romenos para me apresentar?
Sobre o Autor
Fernando P. Amatte, é coordenador da equipe de monitoração de
eventos de segurança de um grande banco multinacional, possui
experiência em análise de riscos, testes de vulnerabilidade, análise de
binários e resposta a incidentes. Formado em Redes de Computadores,
pós-graduado em Segurança da Informação pelo IBTA, tem mais
de 15 anos de experiência em Segurança da Informação, possui as
certificações CISSP, GCIH, SSP-MPA e MCSO.
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Os perigos da sensação de segurança
Alexandre Cagnoni
D
urante uma visita a um cliente em São Paulo, junto com
um colega de trabalho, retornamos ao estacionamento aonde ele destrancou o seu Pajero Sport e jogou as
chaves em cima do banco, para concluir uma ligação no seu
celular. Fechou a porta e, após alguns minutos, notou que o
carro havia sido trancado com as chaves lá dentro.
Chamando um chaveiro, que confirmou que a fechadura da
Pajero era especialíssima, com códigos especiais, ele cobrou
um bom preço para tentar destravar a porta. Após um tempo
como um verdadeiro ator, fingindo inúmeras tentativas, sacou
uma ferramenta que, ao inserir e girar na fechadura, abriu o
carro em 2 segundos.
A partir daí ele entendeu que a fechadura não era tão segura
quanto achava. E, conseqüentemente, passou a deixar a sua
Pajero em lugares mais seguros, por medo de roubo.
Essa história é uma analogia ao que ocorre diariamente na vida
de um profissional da segurança da informação. A percepção
da segurança é algo incrivelmente perigoso. Ao temos a certeza de estarmos seguros, podemos criar uma situação na qual
estaremos inconscientemente vulneráveis.
Durante toda a década de 90 uma lei norte-americana impedia que os produtos desenvolvidos nos Estados Unidos fossem
importados com criptografia forte. Na época, os fabricantes
de software eram obrigados a ter uma versão americana, com
criptografia forte, e uma versão internacional, com chaves criptográficas que não passavam de 40 bits. Havia algumas exceções, como por exemplo as instituições financeiras.
Aos bancos era permitido instalar servidores web com criptografia forte, de 128 bits. Porém os clientes que acessavam
o Internet Banking possuiam em seus PCs os browsers com
criptografia fraca, de 40 bits. O resultado era que a conexão
se baseava na maior criptografia possível entre os 2 pontos, ou
seja, 40 bits.
Em outros casos, os softwares eram exportados com criptografia forte, mas com key escrow, ou seja, as chaves primárias eram
armazenadas de tal forma que o Governo Norte-Americano
poderia ter acesso a informações criptografadas a qualquer
momento, mas não era possível que qualquer um conseguisse
quebrar essa criptografia.
Algumas empresas utilizaram subterfúgios interessantes para
tentar contentar seus clientes mais exigentes. Criaram centros
de desenvolvimento fora dos Estados Unidos para tentar fugir
dessa lei de exportação.
Em um outro caso polêmico da década de 90, a antiga Lotus
começou a fornecer o Lotus Notes com criptografia de 64 bits,
o que deu uma maior sensação de segurança aos seus clientes, pois chaves deste tamanho eram inquebráveis. O que não
tinha ficado claro para muitos, é que destes 64 bits, 24 eram
conhecidos pelo Governo Norte-Americano. Apenas os demais
40 bits eram gerados no cliente. Era a fechadura da Pajero.
Também nessa época, os israelenses começaram a ficar famosos como desenvolvedores de softwares e sistemas de segurança. Com a popularização de diversos softwares de segurança israelenses no mercado, começaram a surgir boatos de que
a força militar israelense exigia dos fabricantes que fossem inseridos backdoors nos códigos dos softwares. Isso causou uma
discussão imensa.
Na época eu trabalhava em um fornecedor de soluções de segurança, sendo que um de nossos produtos era um firewall israelense. Fomos obrigados a ter inúmeras reuniões com clientes e solicitar documentação do fabricante, afirmando que o
software fornecido não continha backdoors que permitiriam
invasão de terceiros.
Com o boom da Internet brasileira, na segunda metade dos
anos 90, e a popularização das conexões à Internet independentes da rede acadêmica. Os firewalls começaram a ser vendidos que nem água. Era o guarda na frente da empresa. Algo
extremamente necessário e que solucionava o problema do
acesso controlado à rede local. Solucionava?
Em inúmeras palestras, não cansava de citar que o firewall era
um ferramenta essencial; porém, desde que corretamente utilizada. Imaginem uma casa, com porta de aço, vários tipos de
fechaduras e trancas, mas com uma porta dos fundos para um
beco, com uma fechadura simples.
A falsa sensação de segurança era um risco enorme. Prestava
consultoria na análise das regras de segurança dos firewalls, e
posso dizer que 99% das empresas para as quais prestei consultoria possuíam algumas vulnerabilidades graves na configu-
página 7
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
ração de seu firewall. As empresas compravam e instalavam os
firewalls.
tura ficção e realidade, e acaba sentindo-se o mocinho de uma
história; passa a andar com uma arma no carro, suspeita de
qualquer um, e adora fazer auditorias.
Praticamente nenhuma possuía pessoal especializado. Os firewalls eram instalados por equipes de rede e infra-estrutura. Configurados como roteadores, e não como dispositivos
de segurança.
Exatamente a mesma situação, talvez não com a mesma gravidade, ocorre com as redes wireless. Pontos de acesso wireless
são instalados com configurações default. Basta ligar o notebook e sair pela rua procurando um ponto de acesso desprotegido. Em menos de 10 minutos você encontra. E é um problema grave, imagine uma grande empresa, com toda a segurança
física, controle de acesso ao prédio, seguranças na porta.
Pelo descuido de um administrador de rede, ou mesmo um
funcionário que leva um ponto de acesso wireless para ter
mais conforto na sua área, a rede fica desprotegida. Essa situação pode parecer absurda, mas já vi ocorrer mais de uma
vez. O funcionário leva o equipamento de casa, pluga na rede,
e expõe a rede da empresa sem saber.
Estas situações criaram espécies interessantes de profissionais
da segurança da informação. O “Neuro-Security Officer”, com
certeza você já viu um. É aquele profissional extremamente
neurótico, o oposto da sensação de segurança. Para ele, sempre falta algo; está sempre imaginando formas de burlar o que
ele mesmo construiu; possui tendências fortes a desenvolver
uma síndrome do pânico.
Outra espécie que se populariza é o “James Security Officer
Bond”. Com o crescimento das organizações criminosas que
visam os ataques eletrônicos, e principalmente as fraudes eletrônicas, o profissional de tecnologia se vê envolvido em um
ambiente de crimes sem sangue, lembrando seus jogos de
computador ou playstation. Esse profissional muitas vezes mis-
página 8
O fato é que hoje existem muitos cursos voltados à segurança da informação, porém o aspecto psicológico do profissional é chave primordial para o sucesso dentro da empresa. A
sensação de segurança é perigosíssima, não se deve nunca se
conformar com o que já foi implementado. Os riscos devem
ser conhecidos e mitigados. Nem todos os riscos podem ser
evitados; e é função do profissional de segurança saber até que
ponto as correções e investimentos são viáveis.
Ele deve saber identificar os principais problemas da empresa,
utilizar sempre que possível consultorias externas, com uma
visão independente, para ajudar a identificar possíveis problemas e criar procedimentos de segurança que minimizem os
riscos futuros. Nunca confiar apenas nos seus conhecimentos.
Estabelecer de forma coerente as regras de segurança face às
necessidades do negócio, sem engessar nem prejudicar os processos da empresa. Implementar uma política de segurança
sem extrapolar os limites da usabilidade e do bom senso.
Há uma frase de Nietzsche, que bem poderia estar pendurada em um quadro na sala de todo profissional da segurança
da informação: “As convicções são inimigas mais poderosas da
verdade do que as mentiras”.
Sobre o Autor
Alexandre Cagnoni é formado em Engenharia da Computação pela
USP e possui 12 anos de experiência em Segurança da Informação,
tendo passado pela Network Associates e RSA Security. Atualmente, é
sócio-fundador e Diretor de Tecnologia da UserID e BRToken. Pode ser
contatado pelo e-mail: [email protected]
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Analisando redes wireless com o Networw Monitor 3
Fernando Fonseca
S
ou usuário do Network Monitor desde o tempo do NT 4,
mais precisamente na época em que ministrava os cursos
de TCP/IP e Enterprise Technologies. No curso utilizávamos a versão que vinha com o SMS, porque ele colocava a interface Ethernet em modo promíscuo para capturar e analisar
pacotes, ao contrário da versão que vinha com o NT que só
analisava pacotes da máquina local. De lá para cá o Netmon
foi perdendo espaço para o Ethereal, que além de gratuito era
multiplataforma e trazia muitas novas funções.
O Tempo passou, o Ethereal virou Wireshark e a Microsoft resolveu atualizar completamente o netmon e lançou a versão 3
gratuitamente para download e com várias novidades. Colocou
nela a opção de monitorar redes Wireless, mesmo em modo
promíscuo. Eu venho testando o netmon desde o Beta da versão 3.0, mas a versão que mais me agradou foi a recente 3.2
(ainda em Beta). Ela foi a primeira a colocar minha interface
Wireless Intel 3945 em modo promíscuo.
Uma coisa interessante no modo promíscuo é entender o que
se passa em seu “espaço aéreo”. Trabalhando normalmente
você consegue ver todos os broadcasts no seu canal, mas em
modo promíscuo o Netmon alterna de 1 em 1 segundo o canal,
o que me fez descobrir que os canais 6 e 9 estão um pouco
“carregados”, conforme a figura1.
Na figura 2 podemos ver muitas das features do Netmon. Note
na caixa vermelha que os pacotes são separados pelas aplicações que os originaram, ele separa o tráfego pelo PID (Process
ID) que o gerou. Por coincidência peguei um momento em que
uma aplicação travou e o Windows (processo Werfault.exe)
tentou buscar informações sobre o erro no site watson.microsoft.com (Meu Deus, Dr. Watson não morreu!).
Para separar o tráfego que realmente nos interessa, qualquer
bom analisador possui um filtro de captura (somente guarda
os pacotes que atenderem à condição) e um de exibição (só
mostra os pacotes que atenderem ao filtro). No network monitor existe um espaço
para se colocar uma expressão de filtro, que
pode ser baseada em um pacote capturado
ou simplesmente o nome de um protocolo,
como no exemplo abaixo. Na figura 3 vemos
um filtro aplicado para o protocolo POP3 e
uma senha capturada.
figura 1
figura 2
figura 3
página 9
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Uma vez que capturamos o pacote, podemos realizar uma análise em toda sua estrutura, desde o payload (conteúdo que se
envia pela rede) até o cabeçalho ethernet. A figura 4 mostra
um pacote capturado. Neste caso um pacote pop3. Note que o
programa “traduz” os bits e bytes para uma forma bem didática, tornando o produto uma excelente ferramenta de ensino
de TCP/IP, sem termos que fazer cálculos de posição ou valor
dos bits. Uma explicação melhor sobre o conteúdo de cada
campo pode ser encontrado no guia da SANS e nas RFC´s de
Ethernet , IP e TCP . O Payload é uma simples solicitação de login em uma mailbox POP3. O próximo pacote contém a senha,
e não será motivo de estudo neste artigo :-)
figura 5
Blog do Network Monitor encontramos várias dicas sobre captura
e análise de tráfego, inclusive com links para vídeos didáticos.
O Network Monitor é uma importante ferramenta de diagnóstico, mas que como qualquer outro recurso de análise de rede
pode ser usado para um ataque passivo de captura de senhas
e de outros dados. Na realidade existem ferramentas exclusivamente de ataque, mas a maioria das ferramentas de diagnóstico podem ser usada em algum estágio de um ataque.
Minha intenção com este artigo é, além de demonstrar os
avanços do Netmon, alertar para o fato de que com uma ferramenta simples e amplamente divulgada pela própria Microsoft
qualquer pessoa pode capturar tudo que se passa pelo ar “nas
horas de folga”, sem conhecimentos sobre ferramentas complexas ou distribuições especiais para isso.
figura 4
A captura do tráfego Wireless pode ser feita com várias intenções, boas ou más. No meu caso estava estudando as ofertas
de redes “estranhas” que estava vendo em um prédio de escritórios. Foi aí que conheci o Karma, um software para linux
(vem na distribuição Back Track) que emula um access point,
captura a procura automática de redes vindas das estações e
simula ser o Access Point destas redes.
Veja na figura 5 que tenho vários SSID broadcasts de várias redes diferentes vindo da mesma interface. Pesquisei mais sobre o
Karma e no futuro talvez escreva um artigo só sobre ele. Essa é
apenas a ponta do iceberg, o Network Monitor possui diversas
outras características interessantes como a sua compatibilidade
com o padrão Pcap e sua API, que permite que qualquer programador possa criar sua própria aplicação de captura e análise. No
página 10
Espero ter fornecido material suficiente para incentivar uso de
criptografia forte em qualquer rede Wireless, e provocar uma
reflexão maior sobre qual risco estamos nos expondo em redes
abertas, sejam elas nossas ou de Hot Spots, aeroportos, hotéis,
etc. Lugares estes onde fica mais fácil ainda tomar um café e
capturar a vontade.
Links Relacionados
• www.sans.org/resources/tcpip.pdf
• blogs.technet.com/netmon/
Sobre o Autor
Fernando Fonseca, Diretor de Comunicação do Capítulo Brasil-SP da
ISSA e secretário do grupo de CSO’s Infosec Council. Consultor de segurança da informação certificado CISSP, Security +, MCSO, MCT e MCSE
Security. Atualmente ministra treinamentos nos cursos MSCO e aulas
em faculdades, realiza palestras e projetos de segurança, e é também
o responsável pelo conteúdo da Academia Microsoft de Segurança da
Informação e do Technet Security Experience.
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Application Security é mais do que conformidade
Wagner Elias
O
s inúmeros incidentes causados por falhas de segurança em aplicações não foram suficientes para conscientizar os gestores de segurança da informação e
principalmente os profissionais envolvidos diretamente com
desenvolvimento de software. Agora todos nós temos uma
nova chance. A cada dia os orgãos que regulamentam ou determinam práticas para setores específicos estão incluindo a
necessidade de análise e revisão periódica de segurança de
aplicações como requisito. Talvez a que tenha deixado isto
mais claro é o padrão estabelecido pelo PCI Council.
Este padrão além de de exigências como, desenvolver um processo de Análise de Vulnerabilidades que indiretamente atende a segurança de aplicação, estabelece uma exigência especifica para segurança de aplicações.
A exigência 6 do padrão de segurança do PCI (Payment Card
IndustrY) determina os seguintes pontos de controle:
Desenvolva e mantenha sistemas e aplicativos seguros
Indivíduos inescrupulosos usam as vulnerabilidades de segurança para obter acesso privilegiado aos sistemas. Muitas
destas vulnerabilidades são resolvidas através de patches de
segurança1 fornecidos pelo prestador de serviço. Todos os sistemas devem ter os patches de software mais atualizados e
apropriados para se proteger contra o abuso por parte dos funcionários, hackers externos e vírus.
6.1 Assegure-se de que todos os componentes do sistema
e software possuem instalados os mais recentes patches de segurança fornecidos pelo prestador de serviço. Instale os patches de segurança em até um mês
após o lançamento.
6.2 Estabeleça um processo para identificar as vulnerabilidades de segurança recém descobertas (por exemplo,
assinatura de serviços de alerta disponíveis gratuitamente na Internet). Atualize os padrões para fazer face
às novas modalidades de vulnerabilidade.
1 Patches de sofware apropriados são aqueles que foram suficientemente
avaliados e testados de modo a determinar que os mesmos não entrem
em conflito com as configurações de segurança existentes. Para os aplicativos desenvolvidos in-house, inúmeras vulnerabilidades podem ser evitadas
através do uso de processos de desenvolvimento de sistemas e técnicas de
codificação seguras.
6.3 Desenvolva software e aplicativos baseados nas melhores práticas da indústria e inclua a segurança da informação ao longo de todo o ciclo de vida do desenvolvimento do programa.
6.3.1 Teste de todos os patches de segurança e mudanças
das configurações do sistema e software antes da
implantação
6.3.2 Ambientes de desenvolvimento, teste e produção
separados
6.3.3 Separação dos ambientes e tarefas de desenvolvimento, teste e produção
6.3.4 Produção de dados (PANs reais) não devem ser usados
para teste ou desenvolvimento
6.3.5 Remoção dos dados de teste e contas antes que os sistemas de produção se tornem ativos
6.3.6 Remoção das contas personalizadas, nome do usuário
e senhas antes que os aplicativos se tornem ativos ou
sejam liberados para os clientes.
6.3.7 Revisão dos códigos customizados antes da liberação
para a produção ou clientes, objetivando a identificação de qualquer vulnerabilidade potencial do código
6.4 Acompanhe as mudanças nos procedimentos de controle de todo o sistema e mudanças na configuração do
software. Os procedimentos devem incluir o seguinte:
6.4.1 Documentação do impacto
6.4.2 Administração do “sign-off” para as partes apropriadas
6.4.3 Teste da funcionalidade operacional
6.4.4 Procedimentos de back-out.
6.5 Desenvolva todos os aplicativos de web baseados
em diretrizes de codificação seguras tais como as diretrizes do Open Web Application Security Project.
Revise o código dos aplicativos customizados para
identificar as vulnerabilidades do código. Verifique
a prevenção das vulnerabilidades mais comuns no
processo de desenvolvimento dos códigos dos softwares para incluir o seguinte:
6.5.1 Input não validado
6.5.2 Quebra do controle de acesso (por exemplo, uso desonesto dos IDs dos usuários)
6.5.3 Quebra da administração de autenticação/sessão (uso
das credenciais da conta e cookies da sessão)
6.5.4 Ataques ao cross-site scripting (XSS)
6.5.5 Overflow do buffer
página 11
Antebellum, a Revista Eletrônica da ISSA Brasil
6.5.6 Defeitos de injection (por exemplo, structured query
language injection (SQL)
6.5.7 Administração incorreta dos erros
6.5.8 Armazenagem insegura
6.5.9 Recusa de serviço
6.5.10 Administração de configuração insegura.
6.6 Assegurar-se de que todos os aplicativos que funcionam por meio da web estejam protegidos contra ataques conhecidos através dos seguintes métodos:
•Ter todos os códigos de aplicativos customizados revisados para vulnerabilidades comuns através de uma organização que se especialize em segurança de aplicativo;
• Instalar uma camada de aplicativos (application layer) de
firewall na frente dos aplicativos voltados para a web;
A necessidade de estar em conformidade com o padrão pode
trazer um nível maior de conscientização sobre o tema, mas
por outro lado desencadearemos uma nova disputa, profissionais de segurança contra profissionais de desenvolvimento. É
neste momento que se faz necessários argumentos mais sólidos que a necessidade de conformidade. Alguns pontos podem diminuir as distâncias entre os profissionais de segurança
e os de desenvolvimento de software:
página 12
Edição 004 • setembro/outubro de 2008
• Realizar um estudo identificando os impactos/prejuízos
que foram desencadeados devido a falhas de segurança
de software;
•Desenvolver iniciativas que envolvam os profissionais
de desenvolvimento em questões associadas a segurança da informação
•Treinar todo o time em técnicas de segurança da informação no ambiente de desenvolvimento de software;
Simples iniciativas podem transformar este enorme desafio
em mais uma atividade das muitas que profissionais de desenvolvimento de software gostam de desenvolver, tornando o
processo de segurança em desenvolvimento de software uma
coisa natural e prazerosa para todos.
Sobre o Autor
Wagner Elias, CBCP, SANS GIAC GHTQ, atua na área de Tecnologia
da Informação há mais de 10 anos, com experiência internacional e especialização em Segurança da Informação. É Gerente de
Pesquisa e Desenvolvimento da Conviso IT Security. Responsável
pela fundação do capítulo Brasil do OWASP e diretor de eventos
do capítulo São Paulo da ISSA. Pode ser contatado pelo e-mail
[email protected]
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Prevenção de incidentes de segurança e crimes de informática
Karina Morato Queiroz
I
mplementar projetos e processos de prevenção e tratamento
de incidentes de segurança têm como principal objetivo mitigar riscos de ameaças e tornar os ambientes mais seguros,
evitando portanto crimes de informática. Ferramentas, processos, fluxogramas, matrizes de responsabilidades, estratégias de
comunicação, código de conduta profissional, entre vários documentos necessários para cada área de negócio, são com certeza
componentes de um trabalho complexo e exigente.
O escopo é um dos itens mais importantes e deve ser eleito
para proteger as necessidades de continuidade do negócio da
empresa. As definições de ACs (Ativos Críticos, o que inclui tecnologia e pessoas) como escopo, são de extrema importância
para o entendimento correto dos tipos de incidentes e vulnerabilidades associadas. Entre os pontos mais importantes podemos destacar:
• Sistemas em DMZ: Comum a Webservers e portais Web
(Internos ou Externos à corporação).
• Grau de importância para continuidade do negócio:
Sistemas que não podem ficar inoperantes para manter
a continuidade do negócio. É de grande importância que
para esses sistemas exista um processo definido de continuidade de negócios com testes periódicos de disaster
recovery. De qualquer forma são sistemas críticos e devem
ser considerados no escopo.
• Risco de impacto em potencial: Sistemas visados e potencialmente conhecidos por suas vulnerabilidades e explorações. Ambientes obsoletos e mantidos por necessidade do negócio, controles de acesso deficientes, como
por exemplo: FTP Server para transferência de dados com
Mainframes, Correios eletrônicos gratuitos, os quais possuem acesso legítimo e também nocivos.
No organograma apresentado neste artigo descrevo um modelo de estrutura organizacional para a gestão dos incidentes e
vulnerabilidades que acredito atender à gestão de ambientes,
sejam eles websites institucionais, lojas virtuais, serviços de
transferência de dados, portais interativos, processamento de
cartões de crédito, entre outros.
Para as caixas apresentadas, existem definições comuns à
maior parte dos cenários possíveis:
• Ferramentas: Sistemas de detecção de eventos de segurança, sistemas de armazenamento e correlação de logs,
sistemas de antivírus e anti-spam, ferramentas de auxílio
•
•
•
•
na análise do incidente de segurança e ferramentas de auxílio na coleta e armazenamento de evidências.
Prevenção: Os processos de Gestão de Vulnerabilidades e
Gestão de Patches.
Resposta a Incidentes: As etapas de Triagem, Análise,
Tratamento, Resposta e Relatório Técnico.
Forense: O Tratamento de Incidentes de Segurança, que
após a análise podem ser definidos como crimes de
informática.
Estratégia: As etapas de desenvolvimento de procedimentos técnicos, desenvolvimento de bases de conhecimento
atualizadas constantemente, definições de processos, políticas, códigos e normas e gestão dos processos e controles estatísticos.
Os incidentes de segurança
Para tratar, analisar e definir estratégias os incidentes devem
ser devidamente classificados, mesmo que ao final da investigação. Uma proposta de classificação de incidentes de segurança corporativo que é aceita na maior parte dos casos é
composta por:
•
•
•
•
•
•
•
•
•
•
•
•
Acesso indevido lógico
Acesso indevido físico
Defacements, poisoning, hijacking
Destruição ou adulteração de informação
E-mail (E-mail bombing, poisoning, spoofing, SPAM)
Falsa identidade
Furto ou dano material
Furto ou vazamento de informação
Malware (Vírus, Worm, Trojans, Bots)
Negação de Serviço – DoS ou DDoS
Scan, Sniffing, brute-force
Uso indevido de ativos
página 13
Antebellum, a Revista Eletrônica da ISSA Brasil
Planos de Ação e Sanções Disciplinares
Nota-se que os incidentes de segurança além de serem causados por “hackers” têm origens em problemas antes não
questionados, como por exemplo, colaboradores insatisfeitos,
ferramentas e servidores comprometidos por analistas responsáveis pela manutenção que possuem acessos privilegiados.
Sendo assim, é importante definir sanções disciplinares que
reflitam os direitos e deveres de colaboradores e da empresa.
A CLT consolida as leis trabalhistas e estabelece sanções disciplinares que devem ser aplicadas no desvio de conduta que
deve ser divulgada para o colaborador. As sanções podem ser
aplicadas na forma de Advertências Verbal e Escrita, Suspensão
ou Demissão por Justa Causa.
É fato que o colaborador tem inúmeras regras estabelecidas na
CLT, porém ao cometer um crime de informática estará incorrendo em infrações previstas pela legislação nacional ou internacional como por exemplo:
• Código de Defesa do Consumidor
• Código Penal
• Código Civil
• Lei do Direito Autoral (LEI 9.610/1998 de 1988)
Durante a investigação de um incidente de segurança, a preocupação em fazer a análise, o tratamento e o Relatório Pericial
é muito importante, também para a correta aplicação de sanção definida na organização. Proposta de análise:
• Gravidade do Incidente – A gravidade está diretamente relacionada com o impacto causado no ambiente afetado.
• Atuação (Autor ou co-autor): Autor é aquele que participa
ativamente do crime, bem como aquele que decide sobre
o ato; e Co-autor é o agente que, em colaboração com outrem, comete a infração penal. Quem de qualquer modo
concorre para o crime incide nas penas a este cominadas.
Entretanto, à vista da individualização, podem ser distintas, quando aplicadas in concreto, embora respeitados os
limites da cominação.
• Aceites de códigos e políticas da organização e de
clientes.
A conscientização da organização é necessária como parte do trabalho de prevenção de incidentes internos e igualmente importante para evitar ações trabalhistas ou penais infundadas. Programas
de treinamento que ajudam a esclarecer conceitos de segurança,
normas e políticas servem de base para demonstrar a preocupação da organização em relação à segurança da informação:
• Apresentação de Normas internas - Palestra inicial para ingresso do colaborador na empresa com normas e políticas
de segurança.
página 14
Edição 004 • setembro/outubro de 2008
•
•
•
•
Palestra anual de segurança da informação - Informar e
atualizar colaboradores sobre normas e políticas internas
assim como treinar em conceitos de segurança.
Assinatura anual de Código de Conduta
Assinatura anual de Política de Segurança
Treinamentos presenciais envolvendo áreas administrativas como Jurídico, Recursos Humanos e Financeira.
Políticas e Normas Internas
As Políticas de Segurança e o Códigos de Conduta devem possuir diretrizes de comportamento, de uso aceitável dos ativos,
conduta de comunicação interna e externa, classificação das
informações para evitar envio ou o uso indevido de informações internas e/ou sensíveis, diretrizes jurídicas e comerciais
para desenvolvimento de propostas e contratos, assim como
relacionamento com clientes, fornecedores, prestadores de
serviços e parceiros.
Crimes de Informática
Os incidentes de segurança acontecem e precisam ser resolvidos naturalmente com rapidez, porém após o restabelecimento do ambiente afetado, grande parte das atividades
acontecem no pós-mortem do incidente, que são chamados
de planos de ação (Action Plans). Políticas e procedimentos
de Resposta a Incidentes de Segurança internos devem necessariamente direcionar investigações para a correta definição, coleta e armazenamento de evidências com código
de conduta específico para os profissionais que fazem o trabalho de perícia.
Incidentes em âmbito corporativo são relacionados à infrações de normas corporativas, leis e códigos vigentes na legislação brasileira. Sendo assim, sentenças judiciais estão sendo
aplicadas sob a mesma ótica. Alguns exemplos de tipificação
de crimes no Código Penal Brasileiro são:
• Crime de ameaça – Art. 147
• Crime de calúnia – Art. 138
• Crime de difamação – Art. 139
• Crime de injúria – Art. 140
• Crime de estelionato – Art. 171
• Crime de falsa identidade – Art. 307
• Crime de fraude na entrega de coisa – Art. 171 – IV
• Crime de fraude no comércio – Art. 175
• Crime de violação do direito Autoral – Art. 184
Grandes revisões e projetos de lei estão em trâmite na câmara
e no senado brasileiro para definições de leis específicas para
crimes cometidos na Internet ou através da rede de computadores e/ou dispositivos eletrônicos.
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Conclusão
Ao assumir o tratamento de um incidente de segurança é importante ressaltar que todo incidente causa dano a alguém
ou a alguma coisa e essa definição é conhecida como infração, para o direito penal, CLT e Código do consumidor. Logo, é
inevitável que sanções internas tenham que ser definidas embasadas nas leis vigentes para evitar sentenças judiciais que
acabem por desconfigurar um crime por falta de processos,
normas e políticas internas.
Referências
• Associação Brasileira de Criminalística – Evento ocorrido
em Belém/Pará – Agosto/2008 – Perícias em crimes de informática, disponível em www.abcperitosoficiais.org.br
• CERT.br em www.cert.br
• Código Penal - DECRETO-LEI No 2.848, DE 7 DE DEZEMBRO
DE 1940 disponível em www.planalto.gov.br/ccivil_03/
Decreto-Lei/Del2848compilado.htm
• Presidência da República Federativa em www.presidencia.
gov.br/legislacao/
O fato é que crimes de informática estão sendo julgados
com base nas leis vigentes e, portanto, empresas precisam
desenvolver na organização a comunicação entre setores
como Departamento Pessoal, Recursos Humanos, Jurídico,
Financeiro, Contábil e a área de TI. Crimes de Informática são
analisados por peritos oficiais, representantes do país, portanto as organizações precisam estar preparadas para atender a
demanda de crimes cometidos nos meios digitais.
Sobre a Autora
Karina Queiroz, formada em Engenharia de Redes e Sistemas de
Telecomunicações pelo INATEL, Certificada CISCO Information
Security Specialist, com 10 anos de experiência em redes de backbones, é Especialista em Segurança da Informação na TIVIT e coordena
a gestão de prevenção e resposta à incidentes de segurança. Participa
do Grupo de desenvolvimento de Norma Forense na ABNT. Realiza palestras e projetos de segurança na organização e em escolas de ensino
médio. Pode ser contatada em [email protected]
página 15
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Cloud Computing é invenção, ou existe mesmo?
Antônio Murr
A
ssim que vi a grade de palestras da Interop deste ano
observei que o Keynote seria sobre Cloud Computing,
apresentado pelo Nicholas Carr – do já famoso artigo e
livro “Does IT Matter ”. Xii, pensei, lá vem hype de novo. Vou
gostar mesmo é de rever os amigos no coquetel de lança-mento da (ISC)² no Brasil, e ganhar o brinde para os primeiros 200
CISSPs brasileiros.
Como CSO de uma corporação, eu já tive muitas visitas e apresentações sobre a “nova bala da prata”, geralmente um produto maravilhoso (e caro) que resolverá todos os problemas. Mas
sou mais pé no chão e quero ver soluções de mercado implementadas antes de investir meu orçamento – afinal, arriscar
em segurança é um contra-senso, não é? Devo ser honesto
com vocês, o cara me fez pensar. E não foi só isso, na seqüência
assisti a apresentação da SalesForce.com com Peter Coffee e
da Segurança em SOA com Don Adams, CSO da Tibco.
A ficha começou a cair. Coincidência ou não, na semana seguinte fiz uma apresentação na aula do MBA da Universidade
de Pittsburg/USA, a convite do professor Dennis F. Galletta,
e discutimos a real função econômica e técnica dessa grande Cloud Computing. Este artigo é para compartilhar com
vocês minha opinião sobre isso que aprendi na Interop/
SecurityWeek 2008. É um pouco técnico e um pouco gerencial, como um bom CISSP.
Mas afinal, o que é mesmo esse tal de Cloud Computing?
Tem tanta definição por aí que vou em frente fazer a minha.
Cloud Computing não é computação em grid, virtualização,
clusterização, software-como-serviço, utility computing, nem
“isso que está aí na internet”. Vejo Cloud Computing como um
sistema onde usuários podem conectar-se e usar uma vasta
rede de programas, de capacidade computacional (cálculos/
operações) e de dados que ficam fora de seu alcance e controle – geralmente na Internet – ao invés de em seu HD, rede local
ou WAN corporativa.
O provedor é quem armazena e protege programas e dados, você instala apenas um browser. Nessa definição, Cloud
Computing engloba partes das várias tecnologias citadas e
mais outras. Mas em si é uma arquitetura integrada, é um modelo de trabalho que está aí para resolver problemas de negócio, e não de TI .
O usuário simplesmente usa esses recursos como se fossem
locais, mesmo que seja de um mini-laptop ou smartphone.
Tá bom. Mas isso é sonho, invenção, ou existe mesmo?
Existe sim. Empresas instalaram Datacenters de alta capacidade, com dezenas de milhares de servidores em cada um e largas
conexões com a internet para prover serviços. Exemplos clássicos são o Google, que tem 3 Data Centers (DCs) nos Estados
Unidos, 1 na Ásia e 1 na Europa. Carr mostrou a foto de um
enorme DC à beira do gelado rio Columbia no Oregon.
A Amazon e SalesForce.com também tem seus DCs gigantes em
vários locais. A Microsoft, além dos que já tem, está construindo outros em Chicago/USA, Dublin/Irlanda e Sibéria/Rússia
aproveitando água gelada (o que economiza na refrigeração) e
os grandes nexos de fibras óticas próximos. HP e IBM também
estão planejando ou já instalaram seus novos DCs gigantes.
O Google, como todos sabemos, usa essa infra-estrutura para
fornecer serviços de qualidade para os usuários, geralmente
gratuitos. Serviços como busca, Gmail, YouTube e Orkut que
você simplesmente usa. Conecta-se na Internet (de banda larga) e usa. Deixa seus dados lá, e você sabe que estes estarão
disponíveis quando você precisar.
A Amazon também criou um ambiente proprietário para prover o serviço de livraria. Depois foi uma loja geral, loja para
parceiros, loja para usuários, leitura de livros e também busca
(o A3). Recentemente liberou o serviço Elastic Compute Cloud
(EC2) onde você contrata uma capacidade de operação, uma
máquina virtual. Você instala e configura como quer, usa quando precisa, com capacidade de processamento que quiser e
paga apenas pelo que usou. E o serviço Simple Storage Service
(S3) que você armazena quantos dados quiser. Os preços são
simples e diretos: U$0,15 ao mês por GB armazenado, U$0,10
por hora de processamento.
E tem empresas como a BlueLock LLC que aproveitaram as grandes capacidades instaladas no boom da Internet para fornecer
serviços de virtualização. Bem, todos conhecem isso. Mas eles
criam “datacenters virtuais” completos para você. Tem os servidores, storage, banco de dados, e também backup, gateway,
proxy, firewall, switch, router, VLAN, DMZ e monitoramento.
O bacana é que eles prestam serviços de vários níveis, desde
página 16
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
apenas alugar o espaço/ processamento/ banda, criar a rede,
instalar serviços, eliminar malwares, monitorar por componente e geral, garantir uptime. Vantagem: lembra aquele “site de
backup” caríssimo que a diretoria não aprovou no PCN? É só
subir seu “datacenter virtual” inteiro no site alternativo deles,
a 2200 km de distância, e pronto.
monitoramento, site alternativo completo (é igual) e distante
(1000+ km), tratamento e correção de incidentes, correlação
de logs e manutenção de estrutura de operação completa –
rede, segurança e aplicação (NOC, SOC, AOC). Permitem escalabilidade quase imediata, pois o hardware já existe (eles fazem previsão de carga, planejamento de compras, etc) e você
diminui a necessidade de treinamento de sua equipe a cada
novo upgrade.
Aliás, essas são algumas das vantagens do Cloud Computing: a
gestão de operação, monitoramento, balanceamento de carga,
backup e, especialmente, recuperação de desastres, estão todas a cargo do fornecedor. Você apenas usa o sistema.
Que é esse tal de mash up?
Mash up é o nome bonitinho para a habilidade de juntar num
só lugar pedaços de aplicações para resolver um mesmo problema – você usa o mais adequado para o caso.
Na verdade já estamos usando recursos de Cloud Computing
na vida pessoal há algum tempo. Quando você usa seu e-mail
do Hotmail, blog do BlogSpot, Google News, calendário no
Elefante, links no de.li.ci.ous, perfil no Linkedin ou Orkut, etc,
você está acessando uma vasta rede computacional na nuvem
da Internet, onde estão alguns de seus dados mais preciosos,
como se fossem locais. E você faz isso do desktop, Nokia N95
ou Blackberry, não é?
Um belo exemplo dessa integração (mash up) é um blog multimídia. Você cria seu blog no BlogSpot, publica seus textos
e recebe comentários ali. Publica fotos no Flickr e inclui um
componente rotativo com as 5 fotos mais acessadas no blog.
Publica um filme da praia no YouTube e inclui visualização direto no seu post de blog.
Mais, você faz isso em um dia, com uma máquina fotográfica,
um computador e um acesso banda-larga – sem entender de
programação, ou siglas como html, css, e ainda de graça.
E nas empresas, o uso já está aí. Blogs corporativos na intranet,
ou como comunicação com clientes, atendimento on-line de
texto (chat) ou voz (Skype), enquetes, workflow interativo, reuniões via WebEx, controle de vendas SalesForce.com, etc.
E a segurança, como fica?
Boas e más noticias, pessoal. Os fornecedores, claro, contam
as maravilhas da arquitetura. Basicamente dizem que você
contrata o serviço de uma empresa e não precisa mais se
preocupar com infra-estrutura e tudo que decorre disso. Eles
garantem a disponibilidade, tanto uptime, balanceamento,
clustering, como backup de dados e configurações e rápida
recuperação em caso de desastre (subir no site alternativo).
Estabelecem políticas de segurança, filtros, IDS/IPS, firewall,
Se você chegar à situação de ter um “datacenter virtual” completo com o fornecedor, e ainda mudar todo parque de desktops
para thin-clients, acabou-se a dor de cabeça de instalação em
desktops (por você ou pelos usuários – um rombo de segurança). Com esse tipo de uso via web, mesmos os dados individuais
que antes estavam no disco local, agora ficam na nuvem. Desta
forma podem ser gerenciados, ter backup, regras, filtros.
Outra dor de cabeça que está sendo endereçada é o desenvolvimento seguro nesses ambientes. As três novidades que
vi são: (1) Um ambiente de desenvolvimento com framework
completo, IDE Eclipse, linguagem 90% similar a Java, tudo web.
O próprio framework e IDE obrigam o uso das políticas de segurança. (2) Na palestra Arquitetura Orientada a Serviços e
Segurança em um Ambiente SOA a noticia foi que os grandes
players estão trabalhando juntos num Enterprise Services Bus
(ESB) Backbone agnóstico e padrão (um mínimo comum que
todos concordem).
Também estão saindo versões de protocolos de criptografia
e assinatura para mensagens XML usadas no SOA. E discussões de uma solução igual ou similar para AJAX. A Check
Point, por exemplo, acredita nesse mercado. Lançou uma
versão virtualizável do festejado firewall VPN-1 Appliance, o
VPN-1 Virtual Edition (VE).
Infelizmente, como bem sabemos, não existe segurança 100%.
Vários pontos ainda não foram esclarecidos totalmente na arquitetura de Cloud Computing (mas acredito que serão), e outros
são de dar cabelos brancos para o CSO. É uma mudança de paradigma tão grande que impacta diretamente nas boas práticas
estabelecidas há anos no mercado (vide ISO 27002), como:
• Mantenha controles mais rigorosos e faça auditoria nos
ativos mais críticos para o negócio. Como, se não tenho
acesso aos ativos?
• Estabeleça política de classificação de informação e, para
as informações estratégicas (secretas) implemente controles de confidencialidade, como criptografia e assinatura,
de distribuição e de descarte específicas, geralmente tecnológicos. Como fazer isso, se não há integração de classificação, muito menos de controles sobre envio de dados?
página 17
Antebellum, a Revista Eletrônica da ISSA Brasil
•
•
•
•
•
•
Terceiros devem ter nível de acesso menor que funcionários. Como, se meus funcionários apenas usam o sistema e
terceiros são os que programam, mantém, operam, fazem
backup e DR?
Faça que todas as áreas relevantes participem das análises de risco, bem como da criação e testes dos Planos de
Continuidade de Negócio. Como, se eles trabalham noutro
lado do mundo, em rodízio e sou apenas um cliente entre
milhares (ou milhões)?
Garanta que os controles Administrativos, Lógicos e Físicos
estejam implantados através de métricas e auditoria (no
mínimo semestral). Como, se não tenho nenhum acesso físico, quase nenhum conhecimento do ambiente lógico e nenhuma força para determinar procedimentos
administrativos?
Mantenha um grupo de resposta a incidente com pessoal
de gestão, comunicação e de todas as áreas técnicas. Deve
ter uma lista de contatos para acesso 24x7 e escalonamento. Como, pois compro um serviço e não detalhes de implementação e operação?
Atenda a todas as normas legais pertinentes. Será que eles
farão análise de fraude para mim? E resposta a pedidos
judiciais de logs, perícia forense, coleta de evidencias seguindo as leis do Brasil?
Estabeleça um controle de acesso sobre todos os ativos,
mantendo uma credencial única para cada pessoa, gestão
de perfil e direitos de acesso aprovados pelo superior e
“dono da informação”, regras de autenticação e autorização conforme políticas da empresa, remoção da credencial
e/ou dos direitos no desligamento e mudança de função.
Além de histórico de acesso para acompanhamento (auditoria, análise e resposta a incidente). Como fazer isso, se
não existem nem processos nem padrões de indústria?
Depois de pesquisar sobre o assunto, mudei de percepção.
Como vêem, Cloud Computing vai resolver alguns problemas
de segurança e criar outros. Repito, é uma mudança de paradigma muito grande por que a maioria das atuais arquiteturas
de segurança são baseadas em proteções de perímetro, seja de
rede, de acesso físico ou de autoridade administrativa única.
Sugiro que cabe a nós, profissionais de Segurança da
Informação, colocar as mãos-a-obra e evoluir nossas boas práticas para atender a estes desafios – desafios que vem do negócio. Vejam algumas idéias para gerar discussão e iniciar esse
trabalho, segundo as áreas de conhecimento do CBK :
• Gestão de Risco e Segurança da Informação: Gestão de
risco delegado, SLA, análise de risco rápida, contratos
de transferência de risco, métricas, checklists para ambientes externos.
• Controle de Acesso: Para mim é o mais urgente de ser
página 18
Edição 004 • setembro/outubro de 2008
•
•
•
•
•
•
•
•
resolvido. O melhor candidato é Federation (e confesso
que até agora, para mim, esse era outro hype com pouca
aplicação).
Criptografia: Fundamental para garantir confidencialidade
dos dados secretos, do uso via web, do vazamento de informações em storage e backups, etc.
Segurança Física: Algum tipo de auditoria e/ou certificação que o fornecedor obtenha, provavelmente baseado
na Common Criteria (ISO/IEC 15408).
Projeto e Arquitetura de Segurança: Implementar segurança em SOA, AJAX, e estudo de vulnerabilidades dessa
nova arquitetura.
Plano de Continuidade de Negócios e Recuperação de
Desastres: DR eu acho que eles ajudam bastante, porém
precisa definir o objetivo de tempo de recuperação (RTO).
Garantir continuidade se fornecedor falir/desistir do serviço. Simplificar PCNs pedidos pelas auditorias.
Telecomunicações e Segurança de Rede: Criar métricas do
que aceitar por contrato e o que controlar diretamente.
Aumentar a redundância de redes externas, pois passam a
ser recurso crítico do negócio (pois os dados e funções estarão lá na nuvem) – questão muito pertinente vide a recente
indisponibilidade da Internet em São Paulo, que se repetiu
por motivos diferentes em Brasília, Maranhão e Piauí.
Segurança de Aplicação: Padronizar “mash up” com uma camada de segurança. Talvez usar algum modelo como BIBA?
Segurança de Operações: Criar métricas de SLA, SLM, escalar problemas. Automação de chamados (trouble ticket).
Resposta a incidente compartilhada, definida em contrato.
Legislação, Regulamentos, Conformidade e Investigação:
Normas e legislação que definam claramente os direitos
e deveres nessa relação de serviço – a base jurídica. NDA,
padrões de controles e/ou certificações aceitas para auditorias como ISO 27001, PCI, SOX, etc. Treinar equipes de
investigação conjuntas ou criar empresas especializadas
em investigação de fraude.
Afora as questões psicológicas – as empresas têm medo de
perder o controle sobre seus dados e as pessoas de perder
seus empregos – o primeiro item a ser resolvido é Controle de
Acesso. Para a gestão de risco, análise de vulnerabilidade, controles administrativos, SLA, conformidade, auditoria, etc acredito que precisamos desenvolver uma solução mais simples e
prática, menos burocrática e mais automática para atender o
negócio na nuvem, usando a nuvem, sob pena de a segurança
ser novamente menosprezada – até um grande incidente.
Notem como, usando as práticas do passado, a segurança na
nuvem fica complicada rapidamente. Precisamos empacotar
essa arquitetura em práticas e soluções modulares.
Antebellum, a Revista Eletrônica da ISSA Brasil
Por que prestar atenção?
Posso contar o que tirou meu conforto. É simples. Dinheiro.
TI é muito caro ! E é caro por que você precisa criar tudo dentro
de casa, comprando montes de módulos e pagando pela sua
integração, gerenciamento, manutenção e troca.
Esses módulos incluem infra-estrutura e aplicações, hardware e
software, e também desktops, notebooks, rede, proxy, firewall,
routers, switches, monitoramento, ips/ids, gestão de usuários,
ldap, smtp/pop, change management, aplicações in-house, aplicações compradas do mercado, projetos contratados, etc. Cada
módulo gera outros problemas e “compra-se TI para resolver
problemas de TI” (apresentação IssaDay 28/Ago/2008).
Seria muito mais barato manter apenas uma rede de browsers
do que todos os servidores, aplicações e desktops. Manter
desktops é caro, trabalhoso e ainda gasta mais dinheiro para
tirar as funções dos desktops, como USB, CD, instalação automática, por medo de perdas de dados e invasões de malwares.
Contudo, nenhuma empresa hoje pode se dar ao luxo de NÃO
investir em TI, pois fica fora do mercado, perde competitividade e perde inovação.
A abundância de capacidade de processamento (Lei de
Moore) e, atualmente, de banda larga (Lei de Grove) favorecem o Cloud Computing. Permite que empresas comprem
e gerenciem um grande hardware e o revendam como uma
tecnologia genérica para qualquer cliente. Ora, assim que for
minimamente possível reduzir esse custo, os CEOs vão fazêlo, liberando dinheiro para investir nos produtos da empresa,
na entrega, atendimento a cliente, etc.
Não vamos nos iludir, TI e Segurança são áreas de apoio. Quem
define “mínimo” é o Board. O que eles olham? Se a tecnologia
tem maturidade, se existem casos de sucesso, se concorrentes
diretos estão usando, se gera alguma vantagem competitiva e
se é mais barato que a alternativa proposta por TI.
1. Mostrei acima que Cloud Computing já tem certa maturidade e está crescendo.
2. Vejam empresas como IBM, Dell, Microsoft que usam
SalesForce.com, Bolsa Nasdaq, jornal The New York Times,
SmugMug e Second Life que usam Amazon e tantos outros
exemplos. Gartner estima que chegue a 25% em 2011 contra 5% em 2005.
Edição 004 • setembro/outubro de 2008
3. Sistema de RH (Employease), sistema de transporte
(LeanLogistics), planejamento estratégico online (Oco),
ERP online (NetSuite, MySAP, Oracle), projeto de “datacenter virtual” com arrasta-e-solta (3Tera), etc.
4. Não tem custos recorrentes de TI, licença, upgrades, manutenção, backup, peças de emergência, treinamento de
equipe, e documentação é bem menor.
A vida como ela é
As empresas vêem Cloud Computing com receio, pois perdem
o controle sobre os ativos e temem pelo vazamento de informação, manipulação ou fraude nos dados, e paradas na produção se fornecedor parar ou falir (confidencialidade, integridade
e disponibilidade). Depois de pesquisar sobre o assunto, mudei de percepção. Não é que “Cloud Computing” vá resolver
os problemas de segurança (na verdade cria problemas), mas
acredito que é inevitável. Melhor saber o que é, suas vantagens e seus riscos.
Comece pequeno, com soluções híbridas, testando as águas.
Use o mix que melhor lhe aprouver, integrando com mash up.
É um erro imaginar que terá provedor único. Teste novas políticas e SLAs para estes primeiros projetos. Encontre uma solução
de controle de acesso que funcione para sua organização ou
avalie Gestão de Identidade e/ou Federation.
E finalmente, divida com a comunidade de segurança o que
aprendeu. Precisamos de novas técnicas de análise de vulnerabilidade, gestão de risco delegado, e em especial, busca de
novos Best Practices. Vamos lembrar que a ISO 27.002 é uma
lista de recomendações para ambientes empresariais conforme eram conhecidos na época. Nós da comunidade de segurança teremos que inovar e criar novas formas de gerenciar os
riscos dessa arquitetura altamente distribuída, onde o “owner”
nem sempre terá real controle sobre os ativos. Ou seja, a vida
na nuvem é híbrida, e cheia de novidades.
Sobre o Autor
Antônio A. Murr, CISSP, MCSO, PMP, trabalha há 12 com Internet, atuando em e-commerce, desenvolvimento seguro, criptografia e análise de risco. Experiência como CSO do Terra Brasil, GIM na Alemanha.
Atualmente é consultor e professor de Pós-Graduação em SI. Pode ser
contatado em [email protected]
página 19
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Segurança no Protocolo 802.11
Luiz Cezar Quaquio
W
i-Fi, WiFi, Wi-fi ou até mesmo wifi é a abreviação
de Wireless Fidelity ou Wireless é um conjunto de
especificações para redes locais sem fio (WLAN Wireless Local Area Network) baseado no padrão 802.11 instituído pelo Institute of Electrical and Electronics Engineers
(IEEE). Com o Wi-Fi é possível criar redes de computadores e
outros periféricos que utilizam esta tecnologia como telefones
celulares e impressoras, entre outros, desde que estejam dentro do limite de alcance do sinal de radiofreqüência. Com esta
flexibilidade que a rede sem fio nos dá é possível montar redes
com acesso à internet nos mais diversos lugares.
Por isso, já é possível encontrar disponibilidade desses acessos
em hotéis, shoppings, restaurantes e até mesmo em cidades,
como é o caso de Manchester na Inglaterra e também na cidade de Sud Mennuci no interior de São Paulo, onde a conexão
é gratuita para toda a cidade. Apesar de muitas vantagens que
a rede sem fio possui, ela também tem as suas desvantagens,
que hoje é a velocidade de transmissão, que não é tão eficiente
quanto à cabeada e também a questão da segurança das informações por ela transmitida.
WEP
Em 1999 criou-se o protocolo WEP (Wired Equivalent Privacy)
com a intenção de “igualar” a segurança da rede cabeada. A
norma IEEE 802.11 estabelece dois tipos de autenticação WEP
que são: Aberto (Open System Authentication), onde a transmissão é feita sem criptografia e permite que qualquer dispositivo entre na rede e a Chave Pré-Compartilhada (Pre-Shared
Key Authentication), que é usado o método de desafio-resposta (senha) para entrar na rede.
No protocolo WEP existem algumas vulnerabilidades conhecidas e exploradas, como a quebra da senha através do ataque
de força bruta, devido ao poder computacional das máquinas
atuais. O IV (Vetor de Inicialização) faz parte da chave inicial
que codifica e decodifica o pacote e é transmitido sem criptografia, abrindo a possibilidade de ataques como o FMS, que é
um algoritmo probabilístico que descobrirá a senha WEP.
A utilização desse ataque pode ser feita re-injetando pacotes na
rede, aumentando o tráfego e diminuindo o tempo do ataque.
Pelo fato do IV ser 24 bits dá uma possibilidade de aproximadamente 16,7 milhões de vetores diferentes. Esta quantidade de
página 20
possibilidades é pequena se levarmos em conta a quantidade
de tráfego gerado, com isso os IVs se repetirão e consequentemente as chaves geradas pelo RC4 também, abrindo caminho
para o atacante que após capturar pacotes consegue descobrir
a senha WEP. O CRC-32, que é a função usada para detectar
erros nos pacotes, é um algoritmo linear que não foi projetado
pensando em segurança. O atacante pode alterar o conteúdo
do pacote e fazer com que o ele pareça autêntico. A exploração
dessa falha é chamada de Chopchop, que decodifica o pacote
sem saber a senha WEP.
WPA
Devido algumas vulnerabilidades com o protocolo existente até
então (o WEP), surgiu o protocolo TKIP (Temporal Key Integrity
Protocol), com o objetivo de prover maior segurança, mas que
ainda seja possível sua utilização nos hardwares existentes.
Então em 2003 a Wi-Fi Alliance apresentou o padrão baseado
no IEEE 802.11i chamado Wi-Fi Protected Access, conhecido
como WPA.
O WPA usa dois métodos de autenticação, o Pessoal que é usada uma senha compartilhada (WPA-Pre Shared Key ou WPAPSK) entre o Ponto de Acesso e os clientes e o Coorporativo
que é usado um servidor de autenticação, por exemplo, o servidor Radius. As credenciais para autenticação pode ser biometria, certificados digitais, binômio usuário/senha, etc..
O WPA também possui vulnerabilidades e uma delas é ser suscetível a ataques de dicionário, que são derivações de palavras
pertencentes a um dicionário previamente construído. Este
tipo de ataque geralmente é bem sucedido porque as pessoas
têm o costume de utilizar palavras fáceis de lembrar e que normalmente pertencem a sua língua nativa.
Para ataques de força bruta existe uma proteção, mas que
pode acarretar em um DoS (Negação de Serviço) , quando dois
erros no algoritmo de criptografia MIC acontecem em menos
de um minuto e o Ponto de Acesso altera a chave de integridade, então com uma simples injeção de pacotes mal formados é
possível fazer esse tipo de ataque.
WPA2
O WPA corrigiu vários erros do WEP, porém seu desempenho
teve uma queda significativa em termos de estabilidade, por
isso, surgiu o WPA2 com a promessa de ser a solução definitiva
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
de segurança e estabilidade para as redes sem-fio do padrão
Wi-Fi. A principal mudança entre o WPA2 e o WPA é o método
criptográfico utilizado.
Referências na Internet
• www.unibratec.com.br/jornadacientifica/diretorio/
UFPEAGL.pdf
• www.teleco.com.br/tutoriais/tutorialredeswlanII/
pagina_3.asp
• www.warchalking.com.br/cgi-bin/base/tutoriais2.444?22
• www.lprad.ufpa.br/~margalho/wdeec/wlaca.pdf
• www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/srsf1/apresentacao.pdf
• mvmr.wordpress.com/2007/06/08/redes-wireless-wepwpa-wpa2-qual-a-melhor-solucao-de-seguranca/
• www.meiobit.com/comment/105155/Re-WPA-WEP-WPA2
• pt.wikipedia.org/wiki/WPA
• www.infosecwriters.com/
• informatica.hsw.uol.com.br/rede-wifi.htm
• www.notebooks-site.com/dicas/wifi-hotspot.html
• www.infowester.com/wifi.php
Enquanto o WPA utiliza o TKIP com o RC4, o WPA2 utiliza o
Advanced Encyptation Standart (AES) em conjunto com o TKIP
com chave de 256 bits, que é um método muito mais poderoso. A AES permite a utilização de chaves de 128, 192 e 256 bits,
constituindo assim uma ferramenta poderosa de criptografia.
A utilização de chave de 256 bits no WPA2 é padrão. Com a utilização do AES, introduziu-se também a necessidade de novo
hardware, aumentando os custos, que seja capaz de realizar
o processamento criptográfico, havendo uma ligeira queda na
velocidade de transmissão de dados. Uma vulnerabilidade do
WPA2 é também ser suscetível a ataques de força-bruta.
Conclusão
Para uso doméstico o uso do WPA-PSK é recomendado, pela
facilidade de configuração, já que é necessário definir apenas
uma senha para o acesso e ser mais seguro que o WEP. Para
empresas o recomendado é o WPA com servidor de autenticação. Sua configuração é mais trabalhosa, mas fornece um alto
nível de segurança.
Sobre o Autor
Luiz Cezar Quaquio trabalha como Analista de Segurança Jr. em
um grande banco de varejo. É formado em Ciência da Computação
pela UNIP com especialização em Redes de Computadores pelo
Herzing College e está cursando a Pós-Graduação em Segurança da
Informação no IBTA. É membro do OWASP Brasil e certificado LPI101 Colaboraram no artigo os profissionais Flavio Malfatti Sartorato,
Juliano Forster e Wellington Fonseca Leal.
página 21
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
BlackHat e Defcon: Melhores conferências de segurança do mundo?
Rodrigo Montoro
A
ntes de iniciar meus comentários sobre essa aventura,
primeiramente gostaria de explicar as duas conferências para quem ainda não as conhecem:
Abertura do BlackHat USA 2008
BlackHat
É um congresso mais profissional (acontece no luxuoso hotel
e cassino Ceasars Palace), com diversas empresas patrocinadoras, estandes e logicamente com taxas de inscrição mais
elevadas, de U$1295 no início até U$1995 para quem compra
na hora para os 2 dias de briefings. Freqüentam por volta de
5.000 participantes. Ela também possui os treinamentos, que
acontecem 4 dias antes com preços variados.
Visão geral do público na Defcon 2008
Defcon
É uma conferência considerada mais underground, sem apoio
de muitas empresas, crachás anônimos (ninguém é identificado, nem mesmo quando se inscreve) e com preço simbólico
de U$120,00 pelos 3 dias. Nesse ano aproximadamente 9.000
pessoas freqüentaram o evento.
página 22
As duas conferências são “irmãs”, ambas foram criadas por
Jeff Moss, e os participantes da BlackHat automaticamente
ganham a entrada para a Defcon. Sempre ouvi muitos comentários entusiasmados das duas conferências e há anos já gostaria de ter participado, mas por diferentes motivos nunca tive a
oportunidade concreta de comparecer a elas. Nesse ano tive a
felicidade de participar dos briefings da BlackHat e da Defcon
e apresento neste depoimento meus comentários sobre as palestras que mais me interessaram.
Scanning the internet
O Fyodor dispensa apresentações: ele é criador do famoso nmap.
Ele fez uma apresentação demonstrando as melhorias que estão
desenvolvendo para o nmap baseado em um scan real em grandes ranges da internet, por isso o nome da palestra.
As melhorias demonstradas são realmente muito interessantes
(no total a versão 4.68 teve 125 “modificações”), não só pela
maior velocidade dos scans (em especial UDP), bem como na
quantidade de hosts ativos encontrados. A palestra completa
com mais informações sobre os testes pode ser acessada em
http://insecure.org/presentations/BHDC08
System Management Mode(SMM) Rootkits
Das palestras que assisti, esta realmente foi a que me chamou
mais a atenção, pelo tipo da falha explorada com o novo modelo de rootkit. Eles simularam o SMM rootkit e este não foi
detectado pelo firewall do XP, pelo Zone Alarm e nem por um
scanner de malware.
O rootkit enviava os dados via udp para o gerenciador master.
Comentei com eles se não tinha como detectar por meio de
análise comportamental, mas eles disseram que podem gerar
tráfego randômico com diferentes tamanhos e portas, em intervalos diferentes também. Comentaram também que, com
mais estudos e mudanças, poderiam tentar colocar o tráfego
das informações em SSL, mas isso variaria de acordo com o
tamanho da memória do dispositivo.
Client Side Security
Palestra de mais um figura conhecida, o dono do site
GNUcitizen. Como já é bem comentado atualmente os sistemas operacionais estão ficando cada vez mais “seguros” e os
atacantes estão procurando novos alvos como pdf, flash e logicamente explorando as pessoas.
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Ele fez algumas simulações de exploração de flash e pdf . Site
do palestrante http://www.gnucitizen.org
Beholder Wireless
Palestra sobre o projeto Beholder Wireless com os brasileiros
Nelson “Air” Murilo e Luiz Eduardo. O projeto beholder é um wifi
IDS que detecta Rogue Access Points e queda de access points
válidos, entre outras funcionalidades. Um ponto que eles tocaram na palestra é que tradicionais IDS’s de Wifi nunca se preocupam em detectar queda de AP’s válidos. O projeto, além de
tudo, é opensource e o site é http://www.beholderwireless.org.
Network Flow Analysis
Palestra do Bruce Potter do Shmoo Group. Como ele mesmo
comentou, este é um assunto velho, mas que as empresas
geralmente não utilizam para análise da rede. Ele mostrou algumas vantagens do netflow versus IDS, como por exemplo a
maior quantidade de recursos utilizados pelo IDS visto a necessidade de acesso ao payload e de espaço em disco para
armazenamento.
Na palestra citou o projeto para análise de netflow que desenvolvem no modelo opensource e que pode ser encontrado em
http://psyche.pontetec.com/ .
MSF Post Exploitation
Excelente palestra do Valsmith, desenvolvedor do metasploit
framework e criador do offensivecomputing (site com milhares de malwares para download). Na palestra ele demonstrou
técnicas Post exploitation, ou seja, após ter o primeiro acesso.
Foram apresentadas algumas ferramentas do framework MSF
bem como algumas mudanças que foram sugeridas para maior
dificuldade de detecção.
Active HTTPS cookie Hijack
Nessa palestra, o Mike Perry demonstrou um ponto interessante de falha nos cookies. Geralmente os sites não diferem os
acessos em http e https, ou seja, por mais que você esteja em
um site autenticado com https e navegando em https, caso seja
redirecionado para o mesmo domínio com http, o seu cookie
https será enviado em plain text.
Ele também lançou uma ferramenta para fazer injection em
conexões (http://code.google.com/p/surfjack), mas você com
simples engenharia social pode direcionar a pessoa para um site
http do mesmo domínio que tem interesse em fazer o hijack.
Nelson “AIR” Murilo e Luiz Eduardo
Snort Plugin Development - Dando novas funcionalidades
para o velho porco
Sou suspeito para falar do snort, visto que sou um fã de carteirinha do projeto, bem como trabalho com ele maioria do
meu tempo, mas a palestra foi bem interessante pois demonstrou que com um pouco de interesse e necessidade, você
pode desenvolver novas funcionalidades para o snort (préprocessadores).
O snort já tem bastante granularidade na criação de regras,
mas além disso, pode-se criar pré-processadores para colaborar com o mesmo.
Secure the Planet! New Strategic Initiatives from Microsoft
to Rock Your World
Palestra bem interessante da equipe da Microsoft comentando
sobre as medidas que tem tomado para aprimorar segurança
dos softwares da MS bem como softwares terceiros que fazem
parte do produto. Destacaram algumas mudanças, melhorias e
gráficos com resultados do investimento que tem feito.
O que me chamou atenção foi um novo modelo no qual eles
distribuirão mais informações sobre as falhas de seus produtos
para empresas que desenvolvem ferramentas de proteção (para
equipes com softwares de pentest e similares não terão acesso,
pelo menos não na prática). Não sei realmente se isso será totalmente seguro e viável, mas com certeza ajudará se as empresas
de segurança tiverem mais informações sobre as falhas.
Mais presença brasileira: Wendel falando sobre WAF
página 23
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Entre outras palestra que assisti, destaco: No More 0-Days
(or Code-Based Intrusion Detection by Korset), No More
Signatures: Defending Web Applications from 0-Day Attacks
with ModProfiler UsingTraffic Profiling, Playing with Web
Application Firewall, From bug to 0day, Sensepost - Pushing a
Camel through the eye of the needle.
Além do mais, a apresentação de tendências durante a conferência continua excelente. Notei um grande foco para
Virtualização, Forensics e ataques a Hardware. Segurança em
aplicações, Wi-Fi e ataques em ambiente Web ainda são assuntos com bastante novidades.
Outras Atividades da Defcon
• Lockpicking
Área muito interessante com demonstrações de diversas
técnicas para aberturas de diferentes fechaduras e cadeados. Possui um concurso específico para premiar quem
consegue abrir mais fechaduras em menos tempo.
•
•
I Hack Charities
Projeto do Johnny Long, que tem dois objetivos, primeiramente ajudar pessoas pobres, fazer caridade, e depois
ser uma carta de referência ou forma de iniciar os futuros
profissionais na área de segurança. O site do projeto é
http://www.hackersforcharity.org
Wall of the sheep
Telão que fica mostrando as senhas que algumas pessoas
utilizam na rede hostil da Defcon sem o mínimo cuidado.
Com certeza vale a pena o investimento para as duas conferências, e como todos os eventos, existem palestras excelentes e
fracas, mas o networking (em especial nos coquetéis e festa de
patrocinadores) é algo realmente válido.
Conheci muitas pessoas com as quais converso virtualmente,
fui apresentado a outras e isso como dizem “Não tem preço”.
Tivemos 2 palestras nacionais na Defcon, o que mostra o potencial do nosso país. Melhores do mundo? Realmente não sei
se são, mas com certeza são excelentes.
Sobre o Autor
Rodrigo “Sp0oKeR” Montoro possui 10 anos de experiência em sistemas
opensource em especial ferramentas de segurança (Firewall, IDS, IPS,
HIDS). Certificado LPI, RHCE, SnortCP e MCSO. Coordenador e evangelizador do snort no Brasil (Comunidade Snort-BR -http://www.snort.org.br) ,
Diretor de Comitês do ISSA Brasil, OWASP Capítulo Brasil , Slackware-BR
entre outros grupos. Trabalha como Analista de Segurança na CLM com
Intrusion Prevention/Detection e Análise de logs, e coordena um projeto
para criar uma categoria de regras do snort para malwares brasileiros.
Wall of the sheep funcionando
Dois pontos me chamaram bastante a atenção:
1. Profissionais de todas as idades conversando, assistindo
e discutindo as mesmas palestras, digo desde estudantes, consultores, gerentes, diretores, CTO, CSO no mesmo
evento, algo que é um pouco diferente no Brasil.
2. A falta dos famosos 0-Days, acredito que isso muito se
deve muito a empresas como ZDI comprarem 0-days - as
vezes por pequenas fortunas, o que certamente faz as
descobertas serem vendidas ao invés de serem publicadas
como novidade como acontecia em edições anteriores.
página 24
Inscrições Abertas
O OWASP Chapter Brazil está recebendo
inscrições para compor a grade de treinamentos
e patrocinadores para o OWASP EU Summit 2008.
Participe de um evento internacional de
renome, saiba mais entrando em contato com
[email protected]
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
GRC Meeting
Equipe Editorial Antebellum
A
pós 5 anos organizando o CSO Meeting, reconhecido encontro anual dos profissionais de Segurança da
Informação e Gestão de Riscos, o evento chega a sua sexta edição e assumiu neste ano uma nova identidade, passando a
se chamar GRC Meeting. A Modulo Education ampliou o escopo
para englobar as iniciativas e os novos desafios relacionados a
Governança, Riscos e Conformidade de negócios. Assim esta edição ganhou um enfoque maior, o que pode ser percebido pela
maior diversidade de funções e cargos no público presente.
Durante os quatro dias do evento, de 14 a 17 de agosto, especialistas das áreas de Segurança da Informação, Gestão de Riscos,
Governança e Compliance assistiram diversas palestras e debateram temas relativos ao futuro dos negócios na Era GRC.
A programação incluiu workshops e palestras de importantes
especialistas internacionais. Durante as apresentações, divididas de forma que cada dia foram focadas em um dos pilares
do GRC, foram abordadas as melhores práticas em segurança,
a evolução das exigências relacionadas a governança, gestão
de riscos e conformidade para as empresas e seus executivos.
Também foram apresentados vários cases reais por profissionais do mercado.
Wall of the sheep funcionando
O evento possui um formato diferenciado, que favorece a integração entre os presentes e um maior relacionamento com as
empresas expositoras. Além das palestras e painéis de elevado
nível durante todo o dia, os congressistas são incentivados a interagir com os patrocinadores, visitando suas business suítes.
O evento tinha 8 business suites, cada uma ocupando uma casa
onde todas estavam dispostas em volta de uma área gramada
com uma pequena piscina, onde os expositores apresentaram
diariamente palestras focadas em seus produtos. A grade de
assuntos e de expositores é bem diversificada, atendendo a
todos os gostos.
Neste ano o GRC Meeting pretendeu trazer quatro nomes
internacionais para falar sobre as tendências na era GRC, alinhados com os principais padrões e normas internacionais.
No primeiro dia do evento, Carole Switzer, Presidente do Open
Compliance and Ethics Group (OCEG), abordou a evolução das
exigências relacionadas a governança, gestão de riscos e conformidade para as empresas dos mais diversos setores.
O OCEG (www.oceg.org) fornece normas objetivas, diretrizes
e recursos online para ajudar organizações na obtenção de
Principled Performance (Desempenho com Princípios) através
da integração de processos de governança, gerenciamento de
riscos, compliance (GRC) e ética. Eles criaram o Framework do
OCEG, que inclui um modelo de maturidade do processo de
GRC, conhecido como o OCEG Red Book.
No segundo dia, Val Rahmani, Diretora Geral da IBM Internet
Security Systems, discutiu sobre as novas exigências da área de
segurança de negócios e decretou que as soluções tradicionais
de segurança não estão mais conseguindo acompanhar os negócios, que estamos acumulando tantas soluções distintas que
acabamos por sufocar as empresas.
O tema do PCI (Payment Card Industry Data Security Standard)
seria apresentado por Bob Russo, gerente geral do PCI Security
Standards Council, porém ele teve dificuldade na obtenção do
seu visto e foi substituído por um painel improvisado, formado por alguns especialistas presentes na platéia e comandado
pelo Alexandre Vargas, da própria Modulo. Essa improvisação
se mostrou excelente, pois o painel foi bem conduzido e apresentou a visão nacional sobre o PCI, com cases locais.
No último dia, a inglesa Lynn Lawton, diretora da KPMG no
Reino Unido, presidente internacional do ISACA (Information
Systems Audit and Control Association) e do Information
Technology Governance Institute (ITGI), apresentou as tendências em governança e mostou as principais atividades que a
ISACA tem desenvolvido neste sentido.
Também merecem destaques as palestras e painéis onde participaram o Alberto Bastos, sócio-fundador da Módulo, o painel
página 25
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
sobre carreiras, onde vários profissionais passaram suas experiências e contaram como desenvolveram sua carreira na área,
e Hugo Köncke, Diretor de TI do INAC – Instituto Nacional de
Carnes do Uruguai, que apresentou um case de adoção de governança e de controles aplicados a regulamentação e a atender os produtores locais.
O evento, que aconteceu no Hotel do Frade, em Angra dos
Reis (Rio de Janeiro), contou com o apoio da ISSA Capítulo
Brasil e da ISACA, e teve o patrocínio da Aker, Cisco, CLM,
Companhia de Sistemas, Compugraf, Iron Port, Leadcomm,
Montana, Secure Computing, Sun Microsystems, Techbiz /
Aurus Software, Trendmicro e True Access. A Modulo já
anunciou que GRC Meeting 2009 também acontecerá no
Hotel do Frade. Para informações adicionais, acesse o site
www.grcmeeting.com.br.
Participantes do GRC Meeting no Hotel do Frade
página 26
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
Atividades ISSA
Equipe editorial Antibellum
ISSA Day
Em Agosto realizamos o ISSA Day com um público recorde de
aproximadamente 70 pessoas. Esta edição teve o apoio da
Future Security, que excepcionalmente nos trouxe duas palestras muito interessantes.
as melhores metodologias para proteger suas empresa de maneira eficaz, em um evento organizado pelo Gabriel Lourenço,
Consultor de Segurança pela OpenSOC e que contou com o
apoio da ISSA Capítulo Brasil/SP. O evento foi realizado em
Boituva, no CETEB.
O evento foi aberto com um convidado internacional, o Sr.
David Goodman, da Tufin Technologies, que em sua palestra
“Como otimizar e tornar gerenciável as regras de Firewall”,
apresentou a necessidade de gestão de mudanças e de auditoria na operação de Firewalls como motivação para o uso das
suas ferramentas SecureTrack e SecureChange. Em seguida,
Andre Diamand, Diretor Geral da Future Security, discutiu as
mudanças e novos paradigmas das soluções de segurança e
de gestão de segurança (SOC,s NOCs e AOCs) na sua palestra
“Segurança com Inteligência”.
Numa linguagem simples e informativa, foram abordados temas
como as ameaças vindas da internet, responsabilidade legal, o
que fazer no caso de um incidente de segurança, e como está o
cenário atual de segurança nas empresas. Para que as empresas possam se proteger adequadamente é importante entender
contra o que elas estão se protegendo e isso pode ser feito de
forma simples com uma linguagem adequada. Com um conteúdo extremamente informativo foram abordados ainda meios
eficazes e de custo reduzido para proteger as empresas.
A ISSA Brasil apresentou, pelo terceiro ano consecutivo, quais
foram as principais novidades que abalaram o mundo da segurança na recente edição das conferências Black Hat e Defcon
XVI, que ocorreram no início de agosto em Las Vegas. A palestra foi apresentada pelo Rodrigo Montoro (Sp0oKeR), diretor
de comitês da ISSA, e pelo Wendel Guglielmetti Henrique. Um
breve resumo das palestras mais interessantes e as principais
novidades estão descritas no artigo de capa publicado nesta
edição da Antebellum.
O Gabriel Lourenço trabalha há quase dez anos na área de TI
como Consultor de Segurança e já palestrou por duas vezes no
ISSA Day, falando sobre implementação e métricas de um SOC,
baseado em sua experiência desenvolvendo ambientes com
ferramentas OpenSource, utilizando modelos de referência e
uma metodologia de implementação baseada em melhores
práticas de mercado.
Desconto e participação no CNASI SP
Através de parceria firmada entre o IDETI e o capítulo brasileiro
da ISSA, disponibilizamos para você, associado, um desconto especial de 10% no valor da inscrição para sua participação integral
no melhor evento nacional de Auditoria de Sistemas, Segurança
da Informação e Governança, a 17ª Edição do CNASI.
Inscreva-se e tenha a sua disposição mais de 70 atividades especialmente selecionadas e preparadas para compor a grade
temária do congresso, comandadas pelos principais especialistas do mercado, incluindo 3 keynotes speakers, 20 tutoriais
(14 diurnos e 06 noturnos), mais de 40 Palestras Técnicas e
13 Casos de Sucesso, além de um painel interessante sobre
Formação Profissional e a Geração Y.
Participantes do ISSA Day de agosto
SSA Brasil apoiou o evento “Segurança para quem precisa!”
em Boituva
No dia 28 de Agosto, das 19:00 às 21:30, diversos empresários
locais puderam conhecer o cenário atual de ameaças virtuais e
A ISSA estará presente no evento apresentando duas palestras:
no dia 22/09 o Fernando Fonseca, Diretor de Comunicação da
ISSA Brasil irá falar sobre “Personal Branding em Segurança da
Informação” (no Painel de Casos de Sucesso, das 17:30 as 18:30)
e no dia 24/09, das 14:00 as 16:30, o Ronaldo Vasconcelos irá
apresentar a palestra sobre a “Carreira do Security Officer”.
página 27
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
O CNASI ocorrerá de 22 a 24 de setembro no Shopping Frei
Caneca, em São Paulo. Mais informações estão disponíveis no
site www.cnasi.com.br
Associados: desconto exclusivo no 3º Global Risk Meeting
O Global Risk Meeting está em sua 3ª edição, e neste ano com
o tema: Governança de Risco Estratégico. O evento contou com
alguns cases inéditos, como por exemplo, o case da H2ocean,
uma empresa brasileira que está utilizando a nanotecnologia
para transformar água do mar em potável, e com muito mais
minerais do que a água comum.
O Global Risk Meeting é organizado pela Daryus e aconteceu
no dia 11 de setembro. O evento conta com o apoio do capítulo
brasileiro da ISSA, mas também são patrocinadores e apoiadores do evento a Microsoft, PPP Advogados, Grupo Impacta, FIT
– Faculdade Impacta de Tecnologia, Góoc, Morphus e a ISACA.
•
•
•
Os associados ativos da ISSA Brasil tiveram direito a um desconto de 30% e puderam concorrer ao sorteio de 05 passes
VIP. Para mais informações sobre este evento acesse o site do
Global Risk Meeting: www.globalriskmeeting.com.br
ISSA Brasil Awards 2008
Através de uma parceria inédita, a ISSA Capítulo Brasil/SP, com
o apoio da Daryus, está lançando a premiação ISSA BRASIL
AWARDS 2008, com objetivo de contribuir com o desenvolvimento do setor e promover as melhores iniciativas relacionadas ao mercado de Gerenciamento de Risco e de Segurança da
Informação, aquelas que mais contribuíram para a comunidade e para a sociedade em geral no ano de 2007.
O ISSA Brasil Awards é inspirado no ISSA Awards, uma premiação oferecida anualmente pela ISSA Internacional desde 1998.
Esta é uma forma que encontramos para fortalecer o nome da
ISSA junto ao mercado de Segurança da Informação, ao mesmo
tempo que promovemos a valorização das ações que contribuem para o crescimento do mercado e incentivamos a troca
de experiências entre os profissionais da área.
A Daryus forneceu o apoio logístico para a primeira edição do
ISSA Brasil Awards, além de ceder um espaço no Global Risk
Meeting 2008 para realizarmos a premiação.
O ISSA BRASIL AWARDS premiou os profissionais, empresas
e ações que se destacaram durante o ano de 2007 nas seguintes categorias:
•
Profissional do Ano
Profissional de SI que mais se destacou na profissão no ano
de 2007, seja por sua liderança, por prestar uma contribui-
página 28
ção significativa ao mercado, por participar da criação de
um novo produto, conceito ou tecnologia, por executar
uma campanha ou ação de divulgação bem sucedida, colaborar com associações ligadas a segurança ou por atuar
em treinamento, ensino ou pesquisa, entre outros.
Organização do Ano
Entidade ou Empresa de Tecnologia, consultoria ou serviços
que mais se destacou com ações para a comunidade de segurança da Informação em 2007, contribuindo para o desenvolvimento sustentável do mercado e a valorização da profissão.
Publicação do Ano
Qualquer tipo de publicação sobre Segurança da Informação,
incluindo livros, trabalhos acadêmicos, Blog, ou artigo que
tenha, de forma inédita, se destacado e agregado valor à
comunidade de Segurança da Informação em 2007.
Contribuição à Sociedade
Melhor ação na área de Segurança da Informação que
resultou em contribuição à comunidade brasileira de segurança da informação ou à comunidade em geral. Dessa
categoria participam trabalhos não técnicos como portais,
listas e grupos além de ações para valorizar o profissional
de segurança, a ética profissional ou a proteção e conscientização da sociedade como um todo.
A avaliação dos candidatos foi realizada por uma comissão
julgadora formada pelos officers da ISSA e representantes da
ISACA, ISC2 e Daryus. A divulgação dos vencedores e a cerimônia de premiação ocorreu durante o evento Global Risk
Meeting 2008, no dia 11 de setembro.
Os finalistas na categoria Profissional do Ano foram Marcos
Sêmola (Shell) e Thiago Galvão (Grupo Gerdau) e na categoria Contribuição a Sociedade foram o Adriano Mauro Cansian
(UNESP), Andre Correa (responsável pelo projeto Malware
Block List - www.malware.com.br) e Fernando Nicolau Freitas
Ferreira (que desenvolveu um curso completo sobre SI).
Como Publicação do Ano concorreram o Edson Fontes (que lançou seu blog) e Alfredo Luiz dos Santos Junior (que publicou o
livro “Gerenciamento de Identidades” pela editora Brasport).
Como Organização do Ano, concorreu a OWASP Capítulo Brasil.
Os ganhadores do primeiro prêmio ISSA Brasil Awards foram:
•
•
•
•
Profissional do Ano: Marcos Sêmola
Contribuição a Sociedade: Adriano Mauro Cansian
Publicação do Ano: Edson Fontes
Organização do Ano: OWASP-BR
Veja mais informações sobre a premiação no site www.globalriskmeeting.com.br/issa
Antebellum, a Revista Eletrônica da ISSA Brasil
Edição 004 • setembro/outubro de 2008
LogOff: o lado off line da segurnaça da informação
Anchises M. G. de Paula
Q
ueríamos começar uma coluna que falasse sobre a
vida fora do escritório, sobre os prazeres longe do
computador, em um mundo sem Firewalls nem PCN. E
não pensamos em nada mais óbvio para inaugurar esta coluna
do que falar um pouco sobre o universo dos vinhos.
Os vinhos têm uma complexidade e sofisticação que apaixonam os iniciantes e os aficionados, mas faz o resto da
população pensar que eles são um bando de doidos. O
tipo de fabricação, as variedades de uva e as variáveis
que entram no cultivo da uva (tipo de solo, temperatura
e condições climáticas, por exemplo, que os especialistas
chamam genericamente de terroir) e a diversidade de regiões vinícolas e de fabricantes fazem com que cada garrafa
tenha um sabor e um aroma únicos. E é justamente essa
diversidade e o desafio de achar o vinho perfeito para cada
ocasião que encanta a todos.
Eu não sou um expert no assunto, mas gostaria de compartilhar algumas dicas básicas para aqueles que, assim como eu,
também estão apreendendo a apreciar esta bebida.
Os vinhos podem ser divididos em vinhos do Velho Mundo
(Europa) e do Novo Mundo (as novas regiões vinícolas que
tem alcançado destaque mundial nos últimos 20 anos, principalmente os Estados Unidos, Argentina, Chile, África do Sul,
Nova Zelândia e Austrália). A maior diferença, no primeiro
momento, é que os vinhos do Velho Mundo são referenciados pela região em que são cultivados (como os vinhos de
Bordeaux, Piemonte, os vinhos do Porto, e por aí vai). Isto
porque, neste caso, o mais importante é o tipo de local (ou
terroir) que vai influenciar na formação das videiras e os tipos de uva que os vinicultores estão acostumados a plantar
naquela região, além do processo de produção do vinho naquele lugar específico.
As vinícolas do Novo Mundo, até mesmo por serem mais recentes, se caracterizam pelo uso muito mais intenso da tecnologia e, pela falta de uma tradição secular, se especializaram
em produzir alguns tipos específicos de videiras, que se adaptaram melhor em cada região. Isso tornou mais fácil a vida dos
leigos, pois neste caso podemos escolher os vinhos pelo tipo
da uva e, além do mais, fica mais fácil comparar os vinhos de
regiões ou produtores diferentes.
Cada um desses países se especializaram em algumas uvas específicas, assim uma boa forma de começar a escolher um bom
vinho é prestar atenção em qual é a uva de maior destaque em
cada país:
•
•
•
•
•
•
África do Sul: Pinotage
Argentina: Malbec
Australia: Shiraz
Chile: Carmenère
Estados Unidos (Califórnia): Zinfandel
Nova Zelândia: Sauvignon Blanc
A arte de combinar vinhos com os alimentos é o que os especialistas chamam de “harmonização”. A harmonia perfeita entre o vinho e o prato a ser servido deve garantir que um não vai
se sobressair ao outro, e que ambos vão ter suas características
valorizadas. É uma arte complexa e com muitas variáveis.
Como uma regra geral, e bem simplificada, lembre-se que
os vinhos brancos, por serem leves e frutados, combinam
melhor com peixes, carnes brancas como peito de frango
ou peru e carnes vermelhas somente se forem assadas ou
grelhadas, e devem ser servidos levemente gelados (aproximadamente 11 graus).
Os vinhos brancos ou os espumantes também podem ser servidos na entrada (como aperitivo ou para acompanhar uma
salada). Os vinhos tintos harmonizam com carnes vermelhas,
massas e aves - e devem ser servidos em uma temperatura um
pouco maior, cerca de 18 graus.
A dica para quem não tem uma adega climatizada é guardar o
seu vinho branco na geladeira e retirá-lo uns 15min antes de
servir e, quando for degustar um vinho tinto, colocá-lo na porta da geladeira uns 15 minutos antes para refrescá-lo.
Como diz o site Winexperts.com.br, “O aprendizado do vinho
estimula a conversa inteligente, faz novos amigos e melhora a
auto estima”. Por isso mesmo, não há nada tão agradável como
reunir uma roda de amigos em torno de algumas garrafas de
vinho e todos irem degustando um pouco de cada uma, para
sentirem a diferença no aroma e no sabor de cada garrafa.
página 29
Antebellum, a Revista Eletrônica da ISSA Brasil
Colunas Antebellum: Cyber Law
Edição 004 • setembro/outubro de 2008
Worst Cases: O lado divertido da segurança
Por Rony Vainzof e Hugo Fernando Salles
Por Anchises M. G. de Paula
Os Crimes Tecnológicos e o PLS 76/00
Por não ser de essência dinâmica o Direito deve se amoldar
com as exigências sociais, que emergem dos usos e costumes
vividos pelo ser humano em cada período. Resta-nos, no entanto, a argüição se o ordenamento jurídico atual, mais especificamente de natureza penal, é suficiente para manutenção da
ordem social em razão do surgimento de um novo bem jurídico
que nasce com o avanço das novas tecnologias, qual seja, a
Segurança da Informação.
Práticas Bestas: A tela azul da morte
Em 26 de Fevereiro 2007, Oscar, um professor de informática
de 29 anos, estava dirigindo na Highway 99, próximo a cidade
de Yuba, nos Estados Unidos, quando seu Honda Accord cruzou a faixa e colidiu com um Hummer. Os policiais da California
Highway Patrol encontraram o laptop de Oscar ainda em uso.
Com a aprovação pelo Senado da proposta do Senador Eduardo
Azeredo (PSDB/MG), que visa regular as condutas delitivas cometidas com a utilização das novas tecnologias ou contra estas, um importante passo adiante nessa toada foi obtido, pois
em suma, busca-se criminalizar condutas de grande potencial
lesivo, ainda não tipificadas por nossa legislação penal.
A proposta representa um grande avanço brasileiro na prevenção e punição dos crimes tecnológicos, pois tipifica condutas
como o acesso não autorizado a sistemas informatizados, inserção ou difusão de códigos maliciosos, obtenção ou transferência de informações não autorizadas, destruição, inutilização ou deterioração de dado eletrônico, dentre outros, além
de prever especificamente a responsabilidade dos provedores
para preservação dos registros eletrônicos aptos à identificação dos criminosos (números IP, datas e horários GMT), responsabilidade esta, em caso de descumprimento, passível de
multa e ressarcimento pelos danos causados.
Referido PLS apresenta-se em consonância com as diretrizes
da Convenção do Conselho da Europa sobre Cibercrimes, celebrada há sete anos em Budapeste, que dispõe sobre a adoção
de medidas dos países signatários para combater a criminalidade tecnológica. Se o Projeto for definitivamente aprovado e
sancionado, nosso país poderá ser signatário desta Convenção,
sem muitas restrições, em conjunto com outros 44 países.
Portanto, ainda que dificilmente a Legislação atual acompanhe
os avanços tecnológicos, precisamos, no mínimo, afastar uma
defasagem muito ampla, com a aprovação do Substitutivo supra, de modo que os operadores do Direito, como um todo,
tenham instrumentos suficientes para continuar a combater os
crimes tecnológicos.
(Colaboração especial na coluna de Luana de Freitas Polastri)
página 30
Oscar não está sozinho. Em um ano 510 motoristas da Califórnia
foram acusados de condução imprudente ao usar um aparelho
de TV ou monitor de computador enquanto dirigiam. “Dirigir não
é o momento ideal para praticar suas habilidades multitarefa”,
comentou o portavoz da California Highway Patrol, Tom Marshall.
Este é um caso real, relatado no site “Darwin Awards” (http://darwinawards.com/darwin/darwin2007-12.html). Criado em homenagem a Charles Darwin, o pai da evolução, o site celebra aqueles
que ajudam a melhorar o nosso patrimônio genético, através da
remoção de si mesmos.
Bookmark: Indices Now! do IDG NOW!
O IDG NOW! mantém uma sessão de seu site com números, pesquisas e estatísticas do mercado de TI. Há alguns dados relacionados à Segurança, que podem ser muito úteis:
http://idgnow.uol.com.br/indices?section=seguranca
Segurança da Informação em Filmes
Site com uma ótima e bem compilada relação de filmes cuja
estória, ou alguma cena específica está relacionada direta ou
indiretamente com SI: http://hfwerneck.spaces.live.com/lists/
cns!A5471764A99BCEC0!149/
The Hacker Test
Você se acha um “hacker”? Quer testar seus conhecimentos?
A Internet está cheia de sites com testes de conhecimento, dos
mais “bobinhos” até os que tentam ser sérios.Você quer tentar
esse, de 1989? http://www.armory.com/tests/hacker.html
Frases
“R2D2, você sabe muito bem que não deve confiar em computadores estranhos.” C3PO, no Império Contra-ataca
Foto.log
A famosa imagem do nmap no filme primeiro do Matrix. Pode
ser encontrada no próprio site do nmap, em http://nmap.org/
movies.html.

Documentos relacionados