CQC: Matéria sobre o hacking no Brasil, entrevista com o LulzSec

Comentário:

Hoje, 05.07.2011, é possível ainda encontrar o arquivo ui.txt dentro do site da prefeitura de Corumbataí. O arquivo foi modificado (talvez por outro hacker) e agora contém a informação “porra Marcelo, jogou fora o relatorio do Esqueleto? larga essa bichice de Twilight e arruma logo essa merda”. O link para o arquivo é http://www.corumbatai.sp.gov.br/ui.txt.

Pelo que disse o integrante do LulzSec Brasil, dá a impressão de que eles querem fazer algo parecido com o que faz o WikiLeaks, divulgando informações que eles acreditam que deve ser do conhecimento da população. O problema é que isso está mais para vandalismo do que para protesto, já que nos sites onde eles não conseguiram entrar, eles tiraram do ar usando ataque de DDoS. Independentemente do que parece, é crime.

É sabido que os órgãos do governo não estão capacitados para tratar segurança da informação com a seriedade que o assunto necessita, no entanto acredito que o grupo poderia fazer como os pesquisadores de segurança fazem no mundo inteiro: descobrem a falha, alertam os responsáveis, combinam um período para que o problema seja resolvido e depois divulgam a falha ao público levando o crédito pela descoberta (e muitas vezes pela correção também).

Segurança da informação é construída com processos, ferramentas e pessoas. É necessário ter as ferramentas adequadas e pessoas capacitadas para usar essas ferramentas. Em muitos casos o maior problema é a ausência de um processo de gestão que periodicamente avalie as necessidades do negócio, identifique ameaças e vulnerabilidades e determine ações corretivas para o tratamento dos riscos identificados como não aceitáveis. No caso do governo, com a agilidade necessária para proteger as informações do governo (que envolvem segurança e soberania) e a privacidade dos cidadãos.

Atualização das 19h44: Agora ao tentar acessar o link, o servidor web retorna a mensagem: “You don’t have permission to access /ui.txt on this server.” O arquivo não está mais disponível. Fica a dúvida com relação à vulnerabilidade.

Morre aos 78 anos Robert Morris, pioneiro da segurança

foto de Paul O. Boisvert, The New York Times (1991)

Morreu no último dia 26 o criptógrafo Robert Morris, pioneiro da segurança e pai do criador do primeiro worm que se espalhou pela Internet em 1988, quando a rede tinha apenas 50.000 computadores. De acordo com sua mulher, Robert morreu de complicações de demência.

Morris começou como pesquisador no AT&T Bell Labs na década de 60, desenvolvendo compiladores e outros programas. Na década de 70 foi um dos líderes no desenvolvimento do sistema operacional Unix, criando funções de segurança e criptografia. Na década de 80 trabalhou para a NSA, a agência nacional de segurança americana. Em uma ocasião ele revelou à imprensa que iria ajudar o FBI a decriptar evidências em um caso.

Robert Morris nasceu em Boston em 25.07.1932, filho de Walter W. Morris e Helen Kelly Morris. Ele era formado em Matemática (1957) e possuía um mestrado em Matemática Aplicada (1958), ambos por Harvard. Ele se aposentou em 1994 e vivia em Etna, New Hampshire.

As três regras de ouro para garantir a segurança são: não tenha um computador; não ligue-o; e não use-o.

–Robert Morris

Dilma determina fim do sigilo eterno de documentos

Presidente dá ordem para que base aprove lei de acesso a papéis secretos

Medida pode revelar o conteúdo de telegramas diplomáticos, relatórios da ditadura militar e até da Guerra do Paraguai

Fernando Rodrigues e Fernanda Odilla, Folha de S. Paulo

A presidente Dilma Rousseff determinou o fim do sigilo eterno dos documentos classificados como ultrassecretos. Ela ordenou que a base do governo acelere no Senado a aprovação do projeto de lei de direito de acesso a informações públicas, já aprovado na Câmara.

A ideia do Planalto é sancionar o texto no Dia Mundial de Liberdade de Imprensa, data celebrada anualmente em 3 de maio pela ONU.

Todo documento considerado sigiloso recebe um grau de classificação. Cabe à autoridade ou ao órgão que produziu o documento estabelecer o grau de sigilo.

No passado, o governo federal considerou sigilosos telegramas diplomáticos, documentos do período da ditadura e da Guerra do Paraguai, entre outros.

Hoje, documentos públicos classificados como ultrassecretos ficam em sigilo até 30 anos, mas esse prazo pode ser renovado indefinidamente. A política foi adotada pelos presidentes Fernando Henrique Cardoso (1995-2002) e Luiz Inácio Lula da Silva (2003-2010).

Assinante da Folha de S. Paulo pode ler a matéria completa em Dilma determina o fim do sigilo eterno de documentos

Declaração de IR 2011

Neste ano de 2011 a declaração do Imposto de Renda do Exercício de 2010 será exclusivamente entregue em formato eletrônico. Fica então algumas recomendações para aqueles que não estão habituados com a mordida online do Leão, que valem para todos que já faziam a declaração pela Internet:

• Não faça ou envie a declaração a partir de terminais públicos, como Lan Houses e Cybercafés. Muitos computadores e redes possuem trojans ou outros mecanismos de captura de senhas e outras informações pessoais. Se você não possui um computador, faça a partir do trabalho ou do computador de um amigo. Isso já reduz o risco de vazamento de informações pessoais.
• Para fazer o download, utilize o site da Receita Federal. Digite o endereço do site na barra de endereços do seu navegador, não clique em links de outros sites. O endereço é http://www.receita.fazenda.gov.br
• A Receita Federal não envia e-mails. Não clique em qualquer link contido em um suposto e-mail da Receita. Ele é falso.
• Utilize antivírus e mantenha o sistema operacional e o antivírus atualizados. É uma maneira simples e eficaz de reduzir o risco de código malicioso instalado na estação no momento em que você estiver digitando informações ou enviando para o site da Receita.
• Não utilize software pirata. Muitos dos softwares piratas disponíveis na Internet ou na rua estão contaminados com trojans.
• Grave em CD ou pendrive as declarações e recibos após o envio para a Receita.
• Para reduzir ainda mais o risco, o usuário pode considerar obter um certificado digital da ICP-Brasil, conhecido como e-CPF. Através do certificado digital, é possível garantir o não-repúdio, ou seja, o usuário garante que foi ele mesmo quem enviou a declaração, eliminando a oportunidade de outra pessoa fazer o envio em seu nome.

Alckmin afasta funcionário por vazamento de informações

O Governador de SP, Geraldo Alckmin, afastou nesta terça-feira o sociólogo Tulio Kahn por vazamento de informações sigilosas referentes à estatísticas de violência no Estado. De acordo com a matéria da Folha, o sociólogo vendia serviços de consultoria com informações vetadas “para não alarmar o público”. Entre as informações estaria o tipo de bens levados com maior frequência em assaltos a condomínios de São Paulo e os furtos mais comuns na região de Campinas. Não havia, no entanto, informações sobre ruas ou locais específicos.

O sociólogo nega o vazamento das informações.

A notícia é da Folha de São Paulo e pode ser lida em http://www1.folha.uol.com.br/cotidiano/882683-alckmin-afasta-funcionario-por-venda-de-dados-sigilosos.shtml.

Gmail restaura contas de usuários

O Google informou hoje que recuperou de fitas de backup as mensagens de 40.000 contas de e-mail, ou 0.02% da base (antes o percentual era 0.08). No final do dia 28.02 uma pane apagou milhares de contas e os detalhes sobre o problema podem ser visualizados no blog do Gmail em http://gmailblog.blogspot.com/2011/02/gmail-back-soon-for-everyone.html.

Esta não é a primeira vez que o Gmail sofre de indisponibilidade temporária. Em incidentes ocorridos nos últimos anos, o Gmail ficou indisponível para alguns usuários que não conseguiam acessar o site do serviço. Dessa vez, pequena parte dos usuários foi afetada, recebendo a tela inicial de criação de conta ao tentar fazer logon. Ou seja, a conta estava vazia.

Para reduzir o risco de indisponibilidade, o usuário pode baixar suas mensagens para o computador local. Isso evita apenas que o usuário fique temporariamente sem uma informação necessária (se estiver com acesso ao computador onde as mensagens estão armazenadas), no entanto, dependendo do problema, pode não conseguir enviar e-mails. Qualquer programa de e-mail que suporte conexões criptografadas (SSL) pode ser usado.

Hora do Recreio: Grandma proof

Da série “Mantenha seu laptop longe da sua avó” ou “Testando a Gestão da Continuidade de Negócios com o Lenovo Pizzapad“.

2010 CWE/SANS Top 25 Most Dangerous Programming Errors

O SANS, o Mitre e alguns fabricantes de software de segurança nos EUA e Europa se juntaram e criaram uma relação com as 25 maiores vulnerabilidades de aplicações, assim como o OWASP compila a relação Top Ten de vulnerabilidades (também de aplicações).

Para ler a relação das 25 maiores vulnerabilidades (em inglês), clique aqui.

Comentário meu:

Os desenvolvedores não são os únicos culpados pelas vulnerabilidades existentes nos ativos de informação, mas com certeza tem grande responsabilidade, já que cada vez mais as empresas precisam desenvolver ou customizar suas aplicações web internas e externas, por exemplo. Para comprovar isso basta verificar o número de vagas abertas para programadores nas principais linguagens e bancos de dados usados hoje em dia. Além disso, como há uma tendência crescente de exibição de conteúdo dinâmico em portais e intranets, cada vez mais utiliza-se acesso a bancos de dados e a outros sites para relacionar as informações.

Um dos problemas dessa história é que alguns recrutadores vêem os desenvolvedores como commodities, como sacas de café, por exemplo. Se precisam que uma aplicação seja desenvolvida, vão nos sites de vagas de TI e contratam um, sem levar em consideração o conhecimento em segurança da informação e segurança no desenvolvimento de aplicações (principalmente nas linguagens e bancos de dados que serão usados). Quero dizer que, contratar um serviço personalizado como esse, levando em consideração as regras de negócio (ou necessidades do cliente), as linguagens de programação que serão utilizadas, as particularidades da infraestrutura existente e ainda as vulnerabilidades intrínsecas da comunicação na Internet, não é a mesma coisa que comprar bananas no supermercado. Por outro lado, as empresas investem pouco na capacitação de seus colaboradores, deixando a cargo do indivíduo se manter atualizado no que tange tecnologia e ainda, antenado em relação à segurança da informação, que para a maioria das pessoas é um mundo completamente novo.

O processo de desenvolvimento também está mal formatado em muitos lugares. Deixam para pensar em segurança em uma determinada etapa do projeto, quando muitas vezes já não é mais possível corrigir as vulnerabilidades encontradas, pois seria necessário desconstruir um trabalho de meses. Quando chega nesse nível de complicação, o software acaba indo para a “prateleira” com alguns bugs (leia-se vulnerabilidades) que serão corrigidas no projeto que criará a versão seguinte. Para reduzir esse risco, segurança da informação tem que acompanhar o desenvolvimento em todas as suas etapas.

Guias como esse e o do OWASP servem para preencher essa lacuna de conhecimento, divulgar as vulnerabilidades e permitir a criação de checklists para verificação de código-fonte. Vale a pena conferir ambos os trabalhos!

OWASP retorna ao Brasil em 2010

Após o sucesso da conferência de 2009, em Brasília, que contou com mais de 200 participantes, o OWASP AppSec Brasil está organizando um novo evento. A conferência deve acontecer ainda este ano em Campinas, SP.

O anúncio foi feito esse mês no blog do grupo e também foi anunciada a intenção de executar um evento maior ainda, o OWASP AppSec Latin America 2011. Membros poderão propor locais para o evento, que ainda não está definido.

Veja aqui o texto (em inglês) no blog do OWASP.

Relatório sobre segurança no Mac OS X

Depois de tudo o que já foi dito sobre a segurança do Mac, é bom ficar atento.

Veja o post do blog WebAppSec, do capítulo Portugal do OWASP:

A Intego, uma empresa que comercializa um software chamado VirusBarrier, um dos melhores software anti-virus disponíveis para a plataforma Mac OS X (linha Mac e iPhone), disponibilizou o seu relatório anual de segurança em que fala das principais ameaças a que os dispositivos da marca da maçã estiveram sujeitos durante 2009.

Deste relatório é possível destacar o seguinte:

1. Que as ameaças continua ainda a ser muito limitadas, embora se note uma tendência para que as mesmas cresçam;
2. As principais ameaças resultam da instalação de software pirateado (iWork’09, Adobe CS4), ou resultam de fazer Jailbreak ao iPhone e instalar o OpenSSH;
3. Que apesar de tudo, grande parte destas ameaças necessitam de uma colaboração total por parte dos utilizadores dos dispositivos;
4. Apesar de tudo, começam já a existir software de segurança de qualidade que podem ajudar a detectar e corrigir estes mesmos problemas.

Apesar da plataforma Mac continuar a ser pouco visada pelos atacantes, a verdade é que esses mesmos ataques mostram uma tendência para crescer. Estes ataques parecem visar para já apenas software de terceiros, em que existe uma implantação mais alargada do mesmo, mas a verdadeira exposição poderá acontecer (se nada for feito) quando os ataques acontecerem ao nível do próprio sistema operativo.

O relatório pode ser visto diretamente no link http://blog.intego.com/images/yims2009.pdf.