Arquivo

Archive for novembro \30\UTC 2009

Gestão de incidentes, integração e o ‘Risco Apagão’

30 . novembro . 2009 2 comentários

Introdução

Após muita especulação sobre o apagão, a única certeza que temos é que existe risco de novo apagão no futuro.

Gerenciar incidentes significa, contornar a situação (reduzindo ou eliminando o impacto), notificar as partes interessadas e determinar a sua causa. Em parte, é como realizar uma autópsia. Um dos objetivos é descobrir a causa do incidente para evitar que ele aconteça novamente. E assim como uma autópsia, dependendo do incidente, uma perícia, ou investigação, pode ser necessária para identificar o responsável pelo evento. Seja como for, o ideal é saber a causa e, se for o caso, gerar uma recomendação para que não se repita.

Há uma reportagem bem interessante, no site da Folha Online, que explica o sistema elétrico brasileiro e o impacto da falta de energia elétrica no país. Há também uma matéria, do G1, que tenta entender o que o investidor estrangeiro pode estar achando desse incidente. Há uma preocupação com os investimentos, assim como questionei no meu post sobre a matéria da revista inglesa The Economist.

Vamos ao que interessa

Em entrevista recente ao G1, Raphael Mandarino Jr., diretor-geral do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional (GSI) da Presidência da República, nos presenteou com as seguintes frases:

“Nosso atraso tecnológico ajuda. Nossos sistemas de estrutura não estão interligados. Ficam fora da internet”, diz Mandarino. “Um hacker habilidoso pode entrar no local e fazer alguma coisa, mas pela internet acho muito improvável.” Ele disse ainda: “Não temos nenhuma notícia de um ataque mais sério além da pichação (alteração de página por criminosos) no site do ONS (Operador Nacional do Sistema Elétrico), que remete a uma fragilidade da rede a que o gestor não estava atento”. Quanto à pichação do site do ONS, Mandarino disse ainda: “A maioria dessas pichações são vulnerabilidades cujas correções são conhecidas, mas não foram aplicadas. É desagradável para a imagem do órgão invadido. Mostra uma fragilidade do gestor daquela rede”.

Concordo que a rede operacional deve estar completamente isolada da Internet. A RSFN (Rede do Sistema Financeiro Nacional) possui um domínio público mas conta com uma série de controles que restringem quem pode se conectar. Apesar do isolamento deve haver canais de comunicação internos, privados e seguros, para permitir o gerenciamento e monitoração dos sistemas. Afinal, se ataques às redes operacionais das instituições não fossem possíveis ou se elas fossem todas completamente isoladas, guerras cibernéticas ainda seriam ficção.

Depois de ler essa entrevista e sabendo que 1.195 sites do governo foram invadidos neste ano, fiquei com a seguinte sensação (torço para estar errado):

Conclusão

Estamos entre a cruz e a espada. Se os sistemas de tecnologia da informação não estão interligados, o gerenciamento e a monitoração se tornam mais difíceis. Se os sistemas estão interligados, corremos o risco de invasão por falta de gestão adequada de Segurança da Informação. O mesmo ocorre com o sistema elétrico: o sistema, que atualmente está interligado, falhou e derrubou o fornecimento de energia em 10 estados brasileiros.

Podemos dizer que a mesma integração que acelera processos e reduz custos também pode trazer prejuízos e acelerar os ataques e vazamentos de informação, por exemplo. É justamente aí que entra a (in)Segurança da Informação. Fazendo uma analogia, seria o mesmo que uma organização utilizar um único login e senha para um usuário acessar seu e-mail, a rede corporativa, a intranet, faça acesso remoto, etc. Parece ótimo. No entanto, se este usuário utilizar uma senha fraca ou de fácil dedução, um hacker ou usuário mal intencionado poderá ter acesso a todas essas informações após descobrir uma única senha. Em outro exemplo, é muito mais fácil roubar terabytes de informação de uma biblioteca virtual do que tentar sair pela porta da frente com toneladas de livros.

Para finalizar: a minha maior preocupação é estarmos no meio da reta acima. O meio me parece uma área de interseção, onde há uma integração meia boca junto com uma segurança inadequada. Esse é o pior dos dois mundos.

Anúncios

OWASP Top 10 2010 RC1

27 . novembro . 2009 Deixe um comentário

O OWASP (Open Web Application Security Project) é uma comunidade focada em estudar, melhorar e divulgar a segurança de aplicações. Todos os materiais são livres e disponíveis através de licença de software aberto.

Neste mês de novembro foi lançado o Release Candidate 1 da versão 2010 do OWASP Top 10, documento que aponta os 10 maiores riscos de segurança em aplicações web. O documento é construído em cima de um consenso de especialistas em segurança de todo o mundo e qualquer um pode participar.

Além desse documento, existe também o OWASP Developer’s Guide, que traz centenas de vulnerabilidades de segurança em aplicações web. Orientação sobre como encontrar vulnerabilidades em aplicações é fornecida nos guias OWASP Testing Guide e OWASP Code Review Guide.

Para conferir o OWASP Top 10 2010 RC1, que deve ter sua versão final lançada em janeiro de 2010, clique aqui.

Comunicado do Registro.br

26 . novembro . 2009 1 comentário

Aproveitando o comentário do Francis no post Circulando: Phishing Scam bradesco.info, estou publicando na íntegra um e-mail que recebi do Registro.br há poucos dias, sobre as tentativas de fraude com boletos falsos enviados para as organizações.

Prezado(a) Usuário(a),

Em razão de continuadas tentativas de iludir a boa-fé dos usuários do
Registro brasileiro, vimos alertar para que prestem atenção aos
boletos recebidos que não sejam provenientes de seu provedor habitual
de serviços DNS ou do próprio Registro brasileiro, sediado no NIC.br.

Ressaltamos que nosso boleto bancário para pagamento de registro e/ou
manutenção de domínio tem o valor baseado em períodos anuais. [1]

Os boletos emitidos pelo NIC .br possuem os seguintes dados:

Cedente: NIC.br – CNPJ: 05.506.560/0001-36
Banco: Santander Banespa no. 033-7
Agência: 0105
Conta: 1303201-4

O NIC .br está totalmente empenhado para que estas atividades sejam
interrompidas. Todas as medidas legais possíveis de serem utilizadas
até o momento estão sendo adotadas contra a(s) entidade(s) que vem
efetuando estes abusos.

Caso necessitem de mais informações, a nossa equipe de atendimento
está a sua disposição. [2]

Agradecemos a atenção,

Registro.br
http://registro.br/

[1] http://registro.br/info/valor.html
[2] http://registro.br/contate.html

Teste (físico) de penetração

26 . novembro . 2009 1 comentário

O Teste de Penetração (Penetration Test) é uma atividade de consultoria para verificar as vulnerabilidades de uma rede ou ativo de tecnologia. Um consultor, no papel de um hacker, usa ferramentas de ataque e tenta invadir o cliente. Depois, relata seus achados em um relatório, sugerindo medidas de correção. É claro que, tudo isso é feito com o consentimento do cliente, por escrito, com uma série de regras para a execução dos testes.

Pois bem. Um casal americano executou um teste físico de penetração na Casa Branca, e obteve sucesso. Sim, meus amigos. Na casa do Tio Sam.

Tareq e Michaele Salahi não estavam na lista de convidados do jantar oferecido nesta terça-feira ao primeiro-ministro da Índia, Manmohan Singh, mas conseguiram passar pela filtragem do Serviço Secreto, entraram na festa e posaram para fotógrafos. Imagino que o sucesso do ‘teste’ esteja na Engenharia Social (algo como a arte de enganar os outros, obter informações sensíveis e fazer as pessoas se sentirem úteis te ajudando).

Vejam aqui a matéria na BBC Brasil (em português). O vídeo com os penetras posando para fotos pode ser visto aqui. Eu fiquei curioso com o vídeo, porque eles são até anunciados na entrada como “Mr. and Mrs. Salahi”.

A matéria fala que o serviço secreto revistou o casal, e que eles não ofereciam perigo ao presidente Obama. Se isso for verdade, ótimo. Significa que pelo menos a revista está funcionando. Já a lista de convidados…

Apagão: Recordar é viver

26 . novembro . 2009 2 comentários

Apagão da Telefônica em julho de 2008.

Em tempo de apagão, é sempre bom recordar. Afinal, de apagão em apagão… o Brasil perde milhões de reais.

Sabotando o sistema

24 . novembro . 2009 2 comentários

Um dia desses recebi um e-mail com um link para um vídeo no YouTube. É uma parte do programa “6o Minutes”, da CBS, que fala sobre cyberwars (guerras cibernéticas). No fim do primeiro bloco, o apresentador diz que algumas pessoas acham que é mais fácil a próxima guerra começar com um blackout do que com uma explosão.

Um trecho do programa trata justamente disso. Em um momento o presidente Barack Obama menciona ataques direcionados à rede elétrica de outros países. Ele não diz quais países, mas fontes militares do programa afirmam que ele se refere ao Brasil, mais especificamente sobre os apagões de 2005 e 2007 no Rio de Janeiro e no Espirito Santo, respectivamente. O programa fala também sobre ataques sofridos pelo governo dos Estados Unidos, principalmente agências hi-tech e militares, e que terabytes de informações foram roubados em ataques bem sucedidos. Mas é claro que, nessa época de apagão, o que mais chama a nossa atenção são os termos blackout e energy.

O vídeo está em inglês, sem legendas.

Esse assunto do apagão não é um “caso encerrado” e espero que o governo, pelo menos internamente, não veja dessa forma. Não se trata apenas de uma questão política. Estamos falando de risco aos negócios e à segurança do Brasil.

Circulando: Phishing Scam bradesco.info

23 . novembro . 2009 4 comentários

Recebi este Phishing Scam hoje. Reparem nos trechos que marquei em vermelho. Não é necessário fazer muito esforço para perceber que é um phishing. Ao clicar em “show details” as informações mostradas já são suficientes. No final do e-mail havia um link para um site processodeseguranca.com, que não acessei, é claro.

Raramente recebo e-mails desse tipo. Resolvi postar esse porque chega a ser engraçado que quem criou só se deu ao trabalho de usar o corretor ortográfico do Word. Se eu for colocar todos os e-mails falsos que estão circulando por aí, vou ter que escrever um catálogo de loja de departamentos. 🙂

Detalhe: ao consultar o registro.br recebi a informação abaixo:

info.com.br
Domínio não disponível para registro.
Motivo: Palavra reservada pelo CG

%d blogueiros gostam disto: