Arquivo

Archive for the ‘GRC’ Category

CQC: Matéria sobre o hacking no Brasil, entrevista com o LulzSec


Comentário:

Hoje, 05.07.2011, é possível ainda encontrar o arquivo ui.txt dentro do site da prefeitura de Corumbataí. O arquivo foi modificado (talvez por outro hacker) e agora contém a informação “porra Marcelo, jogou fora o relatorio do Esqueleto? larga essa bichice de Twilight e arruma logo essa merda”. O link para o arquivo é http://www.corumbatai.sp.gov.br/ui.txt.

Pelo que disse o integrante do LulzSec Brasil, dá a impressão de que eles querem fazer algo parecido com o que faz o WikiLeaks, divulgando informações que eles acreditam que deve ser do conhecimento da população. O problema é que isso está mais para vandalismo do que para protesto, já que nos sites onde eles não conseguiram entrar, eles tiraram do ar usando ataque de DDoS. Independentemente do que parece, é crime.

É sabido que os órgãos do governo não estão capacitados para tratar segurança da informação com a seriedade que o assunto necessita, no entanto acredito que o grupo poderia fazer como os pesquisadores de segurança fazem no mundo inteiro: descobrem a falha, alertam os responsáveis, combinam um período para que o problema seja resolvido e depois divulgam a falha ao público levando o crédito pela descoberta (e muitas vezes pela correção também).

Segurança da informação é construída com processos, ferramentas e pessoas. É necessário ter as ferramentas adequadas e pessoas capacitadas para usar essas ferramentas. Em muitos casos o maior problema é a ausência de um processo de gestão que periodicamente avalie as necessidades do negócio, identifique ameaças e vulnerabilidades e determine ações corretivas para o tratamento dos riscos identificados como não aceitáveis. No caso do governo, com a agilidade necessária para proteger as informações do governo (que envolvem segurança e soberania) e a privacidade dos cidadãos.

Atualização das 19h44: Agora ao tentar acessar o link, o servidor web retorna a mensagem: “You don’t have permission to access /ui.txt on this server.” O arquivo não está mais disponível. Fica a dúvida com relação à vulnerabilidade.

Japão alertou usinas nucleares em 2008

A IAEA (Agência Internacional de Energia Atômica) alertou o Japão em dezembro de 2008, em reunião do grupo Nuclear Safety and Security do G8, em Tokyo, sobre o risco de usinas nucleares não estarem preparadas para grandes terremotos. O alerta informava que as usinas possuíam controles de segurança desatualizados e que somente suportariam tremores de magnitude 7.0 e não de 9.0 como ocorreu no dia 11 de março.

É possível que uma decisão executiva tenha tomado o lugar de uma decisão técnica, ou que os controles de segurança não tenham sido implantados em tempo. É também possível que nem todas as ameaças tenham sido consideradas, já que os reatores (parcialmente) resistiram aos terremotos e ao tsunami, mas ficaram sem refrigeração devido à entrada de água na infraestrutura.

De qualquer forma, a próxima avaliação da IAEA será muito importante para definir o que pode ser feito no Japão e também para guiar outros países, incluindo aí o Reino Unido, que planejam grandes expansões na geração de energia a partir de usinas nucleares.

De acordo com a matéria do jornal inglês The Telegraph, telegramas da Embaixada americana vazados pelo WikiLeaks demonstram que o especialista da IAEA explicou que os controles de segurança sísmica só foram atualizados 3 vezes em 35 anos.

Geralmente encontramos “especialistas” que falam o óbvio depois do acontecido, algo que deveria ou não poderia ter sido feito. Neste caso, o especialista lançou o alerta antes. Resta saber ainda se as medidas que o governo japonês informou ter implantado após o alerta seriam suficientes ou se este caso foi realmente uma fatalidade. O Japão é o terceiro maior usuário de energia nuclear com 53 reatores.

Gmail restaura contas de usuários

O Google informou hoje que recuperou de fitas de backup as mensagens de 40.000 contas de e-mail, ou 0.02% da base (antes o percentual era 0.08). No final do dia 28.02 uma pane apagou milhares de contas e os detalhes sobre o problema podem ser visualizados no blog do Gmail em http://gmailblog.blogspot.com/2011/02/gmail-back-soon-for-everyone.html.

Esta não é a primeira vez que o Gmail sofre de indisponibilidade temporária. Em incidentes ocorridos nos últimos anos, o Gmail ficou indisponível para alguns usuários que não conseguiam acessar o site do serviço. Dessa vez, pequena parte dos usuários foi afetada, recebendo a tela inicial de criação de conta ao tentar fazer logon. Ou seja, a conta estava vazia.

Para reduzir o risco de indisponibilidade, o usuário pode baixar suas mensagens para o computador local. Isso evita apenas que o usuário fique temporariamente sem uma informação necessária (se estiver com acesso ao computador onde as mensagens estão armazenadas), no entanto, dependendo do problema, pode não conseguir enviar e-mails. Qualquer programa de e-mail que suporte conexões criptografadas (SSL) pode ser usado.

Hora do Recreio: Grandma proof

26 . fevereiro . 2010 1 comentário

Da série “Mantenha seu laptop longe da sua avó” ou “Testando a Gestão da Continuidade de Negócios com o Lenovo Pizzapad“.

Natal inseguro ao redor do globo

27 . dezembro . 2009 Deixe um comentário

Não foi só no Brasil que um Natal inseguro (ou indisponível) trouxe problemas. Alguns incidentes de insegurança física em outras partes do mundo foram notícia durante o fim de semana do Natal.

No Vaticano

Vossa Santidade foi derrubada por uma mulher que furou o cordão de segurança durante a Missa do Galo na noite do dia 24.

O porta-voz do Vaticano afirmou que o Papa não correu riscos porque a mulher, Susanna Maiolo, de 25 anos, não estava armada. Isso é um grande engano. Provavelmente o porta-voz não deve estar familiarizado com termos de gestão de riscos. O correto seria dizer que o Papa correu riscos mas que o incidente teve impacto baixo porque a italiana não estava armada, ou seja, o risco de morte ou ferimentos graves não se materializou. No entanto, o incidente teve impacto, já que o cardeal francês Roger Etchegaray, de 87 anos, também foi ao chão e teve o fêmur quebrado. Ele foi levado para o hospital para ser submetido a uma cirurgia.

De acordo com o Vaticano, Susanna já havia atentado contra a segurança do Pontífice, em 2008. Na ocasião, no entanto, a mulher foi contida pelos seguranças antes de alcançar o Papa. Ainda segundo o porta-voz do Vaticano, Federico Lombardi, “é impossível blindar o Papa”. Ele explicou que é difícil evitar esse tipo de incidente, já que o Papa vive em contato direto com seus fiéis. Ou seja, podemos dizer que é um risco inerente da atividade do Papa, como podemos dizer que todo técnico de futebol corre o risco de perder uma partida. É um risco que faz parte da atividade ou negócio e, apesar das tentativas de redução de risco, sempre haverá um risco residual a ser aceito.

Na França

BBC: Segundo documentos do serviço antiterror da França, a nova arma da Al-Qaeda é o supositório-bomba. Essa “novidade” aumenta o risco em aviões já que explosivos ingeridos, ou melhor, introduzidos como um supositório, são indetectáveis, diz a nota oficial francesa enviada ao ministro do Interior, Brice Hortefeux, e revelada pelo jornal Le Figaro.

Nos Estados Unidos

BBC: Um passageiro nigeriano está sendo acusado de detonar explosivos em um vôo de Amsterdam para Detroit. “De acordo com a rede de televisão ABC, o suspeito teria dito às autoridades que tinha explosivo em pó colado com fita adesiva à sua perna, e que teria usado uma seringa com uma mistura química para causar a explosão.”

Promessas de 100% de segurança (ou Risco Zero)

26 . dezembro . 2009 Deixe um comentário

Nesta véspera de Natal, os sistemas da Redecard ficaram indisponíveis por algumas horas, prejudicando milhares de compradores de última hora que pretendiam adquirir ou trocar presentes, como foi informado pelo G1.

O curioso é que ultimamente a Redecard tem alardeado possuir um “sistema que não cai”, que traz “segurança para o lojista e para o seu cliente”.

Dessa vez a Redecard trouxe prejuízo “para o lojista e para o seu cliente”.

Essas promessas de 100% de segurança nunca dão certo. Primeiro, porque não existe 100% de segurança ou Risco Zero. Segundo, porque sempre que uma empresa anuncia que seus produtos são 100% seguros (ainda que elas saibam que isso é historinha), esse tipo de anuncio cola um alvo bem grande nas costas da empresa e chama a atenção de milhares de hackers em todo o mundo prontos para provar o contrário.

Foi exatamente o que aconteceu nesta década com a Oracle. Depois de Larry Elisson, CEO da empresa, afirmar em 2001 que o servidor de banco de dados Oracle 9i era “inquebrável” (unbreakable, no original em inglês), os especialistas em segurança se esforçaram pra provar o contrário. Em 2002 o pesquisador britânico David Litchfield apresentou, durante uma conferência Black Hat, uma séria falha de segurança que permitia que hackers controlassem remotamente o servidor de banco de dados. De acordo com a CNET, em 2005 novas apresentações mostraram que o Oracle não era “inquebrável”, apesar das tentativas posteriores da Oracle de se descolar desse termo infeliz.

Há um detalhe em toda essa história: ainda hoje, com grande avanço no uso da Internet para compras e operações financeiras, sabemos que muitas pessoas ainda não usam a Internet para estes fins por não considerá-la segura. São pessoas que, apesar de lerem que um site é 100% seguro, preferem não enviar os dados de seu cartão de crédito pela Internet ou usar o Internet banking para pagamento de contas. É claro que além da segurança do site em questão, o computador do usuário também precisa ser seguro. Imagine agora se os sites de compra e operações financeiras na Internet começassem a se entitular “99% seguros”… Por outro lado, acredito que uma afirmação de “100% de segurança” ou “100% de disponibilidade” seguida de um incidente desse tipo seja passível de ação na justiça.

Alerta Global

19 . dezembro . 2009 Deixe um comentário

Em GRC (sigla em inglês para Governança, Gestão de Riscos e Conformidade) um dos assuntos que tratamos é a capacidade de sobrevivência de uma organização. Para ampliar suas chances de sobrevivência no caso de um desastre ou incidente que afete seriamente o seu negócio e/ou sua operação, uma organização precisa ter suas contra-medidas preparadas. Melhor ainda, precisa conhecer e reduzir os seus riscos a um nível aceitável para os seus negócios e sua sobrevivência.

Aproveitando as últimas e tristes notícias sobre o acordo de comadres que está sendo costurado na Conferência do Clima das Nações Unidas (COP-15) na Dinamarca, hoje vamos falar de algo mais importante do que a sobrevivência do negócio. Vamos falar sobre sobrevivência, apenas.

Lançado em 2006, o filme An Inconvenient Truth (Uma verdade inconveniente), é um documentário sobre o aquecimento global. Al Gore, que “costumava ser o próximo presidente americano”, traz um punhado de dados científicos e tenta convencer o mundo de que o nosso tempo está passando. Apesar de ser um tema frequente na mídia, o aquecimento global não consegue ser solucionado porque alguns executivos (aqueles que estão à frente das empresas que mais poluem) e alguns governantes (os que estão à frente dos países que mais poluem, é óbvio), insistem em questionar os dados ou simplesmente alegam que não têm condições de reduzir a emissão de CO² devido ao impacto na economia.

Lamentavelmente não foi neste ano que o mundo conseguiu dar mais um passo na direção da solução para esta questão que é a mais séria que a humanidade já enfrentou. Esse é um documentário que vai fazer você pensar sobre o assunto e querer acompanhar as novas tentativas de acordo em 2010.

“Nossa capacidade de sobreviver está em jogo”.

A natureza vai ficar bem sem nós. E nós? Vamos ficar bem sem a natureza?

Categorias:GRC Tags:
%d blogueiros gostam disto: