 |
 |
|
|
||||||||||||||||||||
| ||
| Este é o primeiro número da revista SEGURANÇA DIGITAL e traz, com certeza, informações que vão acrescentar muito à sua bagagem. Portanto, prepare-se para embarcar nesta viagem que vai levá-lo ao mundo digital, com tutoriais de como você pode implantar controles de segurança. Outra parada de nossa viagem e tônica maior desta edição: o Hacker e o Cracker, quem são estes personagens do mundo virtual? Ainda neste tema fazemos uma análise de uma profissão que deve se tornar uma das mais importantes, o Security Officer, um personagem que, através do seu conhecimento, vai proteger e testar constantemente as redes corporativas. Nesta viagem não podia faltar “a bola da vez”, você sabe o que é a ISO 17799? Conheça o código de prática para a gestão da Segurança da Informação. Esta viagem não acaba aqui. Vamos nos dedicar aos assuntos que você, leitor, tem mais interesse e que possam ajudá-lo a viabilizar novos negócios. Aproveite esta viagem e aguarde a próxima! Autor: Denny Roger | ||
| TOPO | ||
| ||
| No mundo da informática Hacker é um termo digno. Hacker seria "fuçador" e o verbo to hack, "fuçar". Devemos antes de tudo informar que um Hacker é uma pessoa que possui conhecimentos surpreendentes. Justamente por possuir uma grande facilidade de análise, assimilação e compreensão ele tem condições de fazer o que quiser (literalmente) com um computador. Naturalmente curioso, o Hacker testa seus conhecimentos invandindo sistemas alheios. Muitas de suas façanhas podem ser discutidas ao nível social, mas o verdadeiro hacker não costuma estragar nada, subtrair programas ou sequer roubar informações. O hacker é, acima de tudo, um intelectual informatizado. Um cracker, este sim, é o que utiliza suas habilidades em proveito próprio, não importando quantos ou quais prejuízos cause. Este é um elemento perigoso, que muitas vezes acaba por se autodestruir. Normalmente coloca vírus em computadores, descobre senhas para vender às empresas, destrói informações, corrompe sistemas, entre outras coisas. Algumas pessoas definem os hackers como desordeiros e pessoas más. Na verdade os verdadeiros hackers são anjos, não invandem os sistemas, causando danos ou espionando as informações. O termo cracker foi criado pela comunidade hacker para identificar aqueles que utilizam computradores para violar leis, furtar e prejudicar terceiros. Mas foi em vão, pois a imprensa foi incapaz de distinguir em cada artigo cracker de hackers e, a cada dia que passa, a fronteira ética que separa um do outro é ignorada. Autor: Denny Roger | ||
| TOPO | ||
| ||
| Uma das áreas mais quentes no mercado de Tecnologia da atualidade é a área de Segurança. E como em qualquer área, existe um profissional que é especializado no assunto, o Security Officer. O Security Officer é o responsável pela gestão de Segurança da Informação. Suas atribuições compreendem planejar os investimentos para segurança, elaborar plano estratégico de segurança, criar políticas de segurança, análise de risco, realizar auditoria de segurança nos sistemas, investigar incidentes de segurança, conhecer firewall, detecção de intrusos, proteção antivírus, gerenciamento de vulnerabilidades, ambiente Unix, Windows, entre outras tecnologias. O perfil do especialista em segurança sofreu algumas modificações importantes nos últimos anos. Se antes as empresas valorizavam mais os generalistas, que entendiam um pouco de firewall, criptografia ou afins, hoje o mercado aposta em profissionais cada vez mais especializados, cujo requisito principal é dominar uma ferramenta por completo. No dias atuais as empresas buscam feras em criptografia, ou em firewall, ou em detecção de invasões. É indispensável que o profissional conheça uma determinada tecnologia a fundo. Mas será que é fácil encontrar esse profissional no mercado de trabalho? E quando encontramos, qual o salário desse profissional? Não podemos esquecer que o Security Officer deve também manter-se atento sobre novas ameaças de vírus e sobre vulnerabilidades que vão sendo descobertas. Além disso, precisa conhecer infra-estrutura, principalmente no que diz respeito a sistemas operacionais e redes corporativas. O Security Officer é “um peixe raro” nesse “mar” de Tecnologia. Geralmente seu salário varia entre R$ 3.000,00 a R$ 8.000,00 e o mais impressionante é a sua idade média, 26 anos. Esse assunto não acaba por aqui. Na próxima edição vamos discutir sobre a sua posição na empresa, ou seja, o Security Officer deve reportar-se à Gerência de Tecnologia, ou à Diretoria de Tecnologia, ou ao Executivo? O assunto é polêmico e não podemos deixar de lado o que acontece nas grandes empresas. Aguardem nossa próxima edição! Autor: Denny Roger | ||
| TOPO | ||
| ||
| Hoje ouvimos falar muito da ISO 17799 mas sabemos para que realmente serve esta norma? E por que as empresas precisam buscar a certificação ISO 17799? Estaremos discutindo sobre “a bola da vez” nesta página e mostrando a verdadeira “face” da ISO 17799. A ISO 17799 é uma versão internacional do BS 7799, resultante de diversas sugestões e alterações, que existe desde 10 de dezembro de 2000. A norma BS 7799 é considerada o mais completo padrão para gerenciamento da Segurança da Informação. A ISO 17799 estabelece uma base comum para o desenvolvimento de normas e das práticas efetivas da gestão da segurança. Quando adquiri a norma acreditava que estaria com um manual rico em novidades sobre gestão da segurança da informação e poderia também estar analisando os possíveis erros que poderíamos estar cometendo. Tive uma grande surpresa na verdade. Pude perceber lendo a norma que nos últimos 5 anos de trabalhos desenvolvidos não tiveram novidades, ou seja, tudo que está na norma é o que está sendo feito a 5 anos. Inacreditável!!! Agora, vamos pensar em uma empresa do segmento financeiro, um banco por exemplo. Um banco é composto por uma matriz e várias agências bancárias. Cada localidade, na maioria dos casos, é um outro segmento de rede da matriz. O banco certifica a rede de sua matriz com a ISO 17799 mas as suas agências não. O que acontece nestes casos é que a empresa certificada divulga no mercado o “título” que recebeu, ISO 17799, onde a empresa segue “a risca” todo o código de prática para a gestão da segurança da informação, ou em outras palavras, todas as informações dos clientes estão seguras. Mas e quando as informações são transmitidas para a agência bancária que não é certificada ISO 17799? Vou citar um exemplo melhor, vamos imaginar que na matriz, certificada ISO 17799, um funcionário imprima as informações de um cliente. Imaginem aonde este papel pode chegar! Algumas pessoas podem até dizer que na ISO 17799 existe a “Política da mesa limpa”, mas será que o executivo, que geralmente viaja muito, não irá levar alguns documentos para ler ou assinar durante a viagem? Pense bem antes de investir o seu dinheiro em uma certificação, seja ela qual for. Acredito que um trabalho de consultoria especializada em Segurança da Informação para elaborar as políticas, normas e procedimentos baseando-se na ISO 17799 já é o suficiente pois a certificação ainda é cara e podemos dizer que hoje ela é “a bola da vez” mas e amanhã, qual será “a bola da vez”? Autor: Denny Roger | ||
| TOPO | ||
| ||
| Você alguma vez fez um “passeio” pela sua empresa depois do expediente? É um bom começo você verificar se as portas estão trancadas, se os armários estão trancados, se os computadores estão todos desligados (menos o servidor na maioria dos casos), verificar se todos os disquetes e cds estão guardados em local seguro, ou seja, verificar se todas as informações da sua empresa estão seguras. Devemos realizar esta vistoria para garantirmos a proteção das informações ou programas sensíveis ao negócio para que as informações não sejam reveladas, destruídas ou modificadas. Garanto que você irá pensar no mínimo dez vezes antes de montar seu negócio ao lado de um posto de gasolina, por exemplo. Imagine se ocorrer um vazamento, explosão ou incêndio, sua empresa irá perder serviços como conseqüência desse desastre, ou até mesmo vidas. Na nova era surgiram novas ameaças, além das descritas acima. Nos dias atuais com a dependência cada vez maior das empresas pela tecnologia, é fundamental que sejam considerados não apenas ameaças ligadas à própria tecnologia, como hackers, crackers e vírus, mas também ameaças ligadas a segurança física da empresa como acesso não autorizado, falta de energia, erro humano, etc. Atualmente as empresas estão instalando circuito de TV fechado em elevadores, escadas, recepção, contratando serviço especializado de ronda externa, instalando iluminação abrangente afim de desencorajar ladrões, cercas eletrificadas, etc, tudo para evitar o acesso não autorizado. Alguns hackers ganharam fama mundial não por causa de seus conhecimentos em tecnologia, mas sim porque conseguiram o acesso às informações da empresa revirando, literalmente, o lixo. O lixo é rico em informações, sempre dizem que se você quer conhecer os hábitos de uma pessoa é só analisar seu lixo. Você irá descobrir o que ela come, se usa remédios, qual o nome do jornal que a pessoa assina, entre outras informações. No lixo das empresas podemos encontrar senhas de usuários, lista de telefones, nome das pessoas que trabalham na empresa, nome dos clientes, extratos bancários, projetos, etc. Recomendo o filme Panic Room – “Quarto do Pânico”, onde podemos analisar a tendência da segurança física tanto em casa quanto nas empresas. Autor: Denny Roger | ||
| TOPO | ||
| ||
| Na era digital , em que cada vez mais o mundo real é substituído pelo mundo da Internet, o poder está se transferindo de mãos. Ele está, aos poucos, indo parar na mão daqueles que dominam os mecanismos da rede. Mas será que todos os administradores de rede estão preparados para proteger as informações armazenadas nos computadores? Até onde pode chegar, para os responsáveis pela rede, o nível de conhecimento sobre o assunto Segurança da Informação? O grande número de ataques bem sucedidos, divulgado pela empresa de segurança mi2g, não se deve apenas a um problema econômico, conforme comentado na matéria publicada na Folha On-Line, 29/01/2003. No ciberespaço existem muitos jovens em busca de conhecimento e notoriedade. E o conhecimento, quando ainda não totalmente dominado, tende sempre para o lado negativo. Nos tempos atuais as empresas estão esquecendo-se de um tópico importantíssimo, Classificação da Informação. Segundo pesquisas do FBI, 80% dos entrevistados sofreram algum tipo de prejuízo decorrentes de brechas de segurança em seus sistemas. A informação é propriedade da companhia e deve ser protegida contra acesso, modificação, divulgação e destruição indevida. A classificação da informação é o processo de identificar e definir níveis e critérios de proteção adequados para as informações que garantam a sua confidencialidade, integridade e disponibilidade de acordo com a importância para a companhia. Os entrevistados da pesquisa realizada pelo FBI, quantificaram suas perdas em US$ 6,5 milhões em informações valiosas para a companhia, enquanto as fraudes financeiras somaram US$ 4,6 milhões. Mas, as organizações financeiras sempre preocuparam-se em proteger as informações “confidenciais” de seus clientes. Porém, os demais segmentos, industrial, comercial, agrícola, etc, não preocuparam-se em “como” proteger suas informações. Hoje a segurança corporativa não é luxo e sim uma necessidade. Porém, enquanto as empresas não “aprenderem” a classificar a informação como Confidencial, Restrita, Interna ou Pública, dificilmente a informação não será roubada por funcionários, ou até mesmos, Hackers. Vamos para um exemplo prático: imagine todo o projeto de um carro novo armazenado no mesmo computador que possua o serviço de envio e recebimento de e-mails. Esse computador é de fácil acesso, virtualmente falando, porque qualquer pessoa que possua uma conta de e-mail poderá acessar esse computador. Hoje, sempre encontro servidores com informações confidencias e públicas armazenadas no mesmo local. Para o administrador de uma rede, a informação que é de livre acesso a todos os funcionários, por exemplo, não necessita de mecanismos de segurança tão sofisticados. Dessa forma, o acesso não autorizado é realizado de forma mais rápida e simples a informação. O cibercrime irá aumentar, mais ainda, caso as organizações continuem deixando de lado a classificação de suas informações. Não podemos esquecer que o número de jovens buscando conhecimento prático aumenta a cada dia, ou seja, a empresa de segurança mi2g está certa em sua afirmação, o número de incidentes hackers bem-sucedidos irá continuar batendo recordes a cada mês. Autor: Denny Roger | ||
| TOPO | ||
| ||
| Matéria publicada no site www.batori.com.br em Outubro/2002 Por: Wanderley J. Abreu Jr.(*) Há algumas semanas a primeira operadora de celulares GSM (Global System for Mobiles) entrou em operação em 16 estados brasileiros tendo como um de seus apelos principais ser a solução definitiva em segurança para celulares. Este artigo objetiva descrever em pontos, problemas prementes de segurança encontrados nos padrões GSM e GPRS (Global Packet Radio System, seu sucessor da 2,5G). O leitor será encorajado ao longo do artigo a navegar através da Internet a fim de conhecer a realidade sobre alguns pontos do “underground” da tecnologia de segurança em celulares GSM e avaliar por si, a segurança real a que é submetido. 1º. O Sistema de Segurança GSM: Para podermos começar a avaliar o sistema de segurança GSM é preciso entender o modelo utilizado no mercado, vejamos: Existem três níveis de segurança empregados quando se conecta a uma rede GSM, o primeiro é realizado para provar que o aparelho tentando se conectar pertence a um usuário válido e registrado. Para isso é guardado no smart card da empresa, o SIM Card (Subscriber Identity Module), que contem todas as informações do usuário, uma chave secreta (S/Key) e a empresa mantém uma cópia exata dessa chave no Authentication Center (AC). Durante a autenticação o CA gera um número aleatório e o envia para o aperelho de celular. Ambos, o aparelho e o AC, usam esse número em conjunção com a chave secreta (S/Key) e um algoritmo criptográfico chamado de A3 para gerar um número X. Se o número que o aparelho enviar para o AC for o mesmo calculado por ele, o assinante é autenticado. O número calculado acima é usado, em conjunto com número um de pacote semelhante ao TDMA (isso mesmo! TDMA, o mesmo usado na banda B de telefonia celular aqui no Brasil. O protocolo GSM foi baseado neste protocolo) e um outro algoritmo criptográfico chamado de A5, para encriptar os dados que são enviados e recebidos durante uma ligação. O último nível de segurança utilizado no aparelho de celular é o IMEI (International Mobile Equipment Identity) um número único dado a cada celular no mundo. Uma list de IMEIs validos na rede é guardado no Equipment Identity Register (EIR). Este então da ao aparelho um dos seguintes status: Whitelisted (Tudo OK) o O aparelho pode conectar-se à rede. Greylisted (Atenção) o Sob observação: Normalmente este status é dado a celulares sob suspeita de clonagem ou falta de pagamento Blacklisted (Não Aprovado) o O terminal foi roubado, ou problema qualquer. O que impede o celular de conectar-se à rede. Trataremos mais tarde da questão do IMEI, este número pode ser mudado com certa facilidade nos celulares, facilitando muito enganar este sistema no caso de celulares roubados. Para saber mais sobre o sistema GSM, acesse o site http://www.howstuffworks.com/question537.htm. 2º. Clonagem de celulares GSM: Ao contrário do que está se divulgando no Brasil, um grupo de pesquisadores da Universidade da Califórnia Berkeley conseguiu clonar sim aparelhos GSM com base na engenharia reversa de seu algoritmo (COMP128), uma derivada de um algoritimo chamado A5/1. Para você que é especialista em criptografia, é interessante dar uma olhada no trabalho em http://www.isaac.cs.berkeley.edu/isaac/gsm.html e http://www.isaac.cs.berkeley.edu/isaac/gsm-faq.html. Por razões óbvias, não foi possível ter acessoao algoritmo que está sendo utilizado no Brasil, mas já que essa falha foi descoberta há algum tempo, acredito que já possam ter sido corrigidos aspectos da tecnologia adquirida aqui (estuda-se mudar o padrão de criptografia mundial para o chamado A5/3, semelhante ao original mas sem o problema que leva a possibilidade de quebra-lo). Pelo sim pelo não, fica aqui a denúncia de que já houveram casos de clonagem e é bem possível que o celular GSM nacional possa ser clonado. Esta técnica exije essencialmente que haja a possibilidade de se obter o cartão SIM a ser clonado, embora, em tese, pode-se também ser praticada pelo ar, neste caso, o custo da aparelhagem é bem superior aos custos de clonagem de um celular nos padrões mais utilizados no Brasil hoje em dia (TDMA e CDMA). Ficaria em torno de R$ 30.000,00. Outro dado ineteressante é que o PIN (Personal Identification Number) é igual a todos os celulares OI (primeira operadora GSM brasileira) quando saem da loja, 8888. Embora o PIN possa ser alterado, é muito mais fácil ter o acesso primário ao SIM card e ao celular. 3º. Outras técnicas de fraude: Um artigo publicado pelo finlandês Jukka Hynninen da Helsinki University of Technology, explica diversas formas diferentes de fraude de celulares e como são perpetradas. Normalmente pensa-se que só há a clonagem, mas note, existem diversas formas diferentes e mais ainda, com utilizações das mais variadas. Nem sempre o objetivo é não pagar a conta. Especificamente do GSM, usa-se a mudança de IMEI para evitar o rastreamento do celular, uma vez que se torna mais difícil rastreá-lo, pois é possível se pensar que estão sendo usados diferentes aparelhos. Continuar a escuta e a localização dos aparelhos ainda é factível, mas isso exigiria uma busca por assinatura de rádio frequência, coisa que a polícia brasileira não está acostumada a fazer. Sendo ex-membro do Ministério Público, específicamente da parte de Investigações Eletrônicas, pude observar por vezes as técnicas de rastreamento de celular utilizadas pela polícia carioca, estas, certamente não funcionarão no caso de fraudes como as que podem ser perpetradas através de celulares GSM. Vale a pena conferir o artigo em: http://www.niksula.cs.hut.fi/~jthynnin/mobfra.html 4º. SIM Lock: Estive na Europa ano passado por conta da HAL2001 (Conferência de segurança que acontece de 4 em 4 anos na Holanda). Lá adquiri um celular da e-Plus, uma operadora alemã que trabalha em GSM. Quando fui à loja da OI habilitá-lo aqui no Brasil, qual não foi minha surpresa ao descobrir que não podia fazê-lo, pois, embora o sistema seja o mesmo, o aparelho de celular foi atrelado àquela operadora através de uma senha de reconhecimento de SIM Card. Procurei um pouco pela Mãe das Redes à caça de informações sobre esse procedimento, descobri que esta é uma prática muito comum em aparelhos GSM e é conhecida como "SIM LOCK". Como não tinha tempo a perder, pois, exatamente por questões de clonagem, meu celular com a telefônica está desligado e estou em litígio tentando obter outro. Comprei um NOKIA 3310 da própria OI. Não fiquei supreso em descobrir que o mesmo acontece nos celulares vendidos aqui no Brasil pela OI, para descobrir essa infeliz semelhança entre as empresas Européia e a Brasileira, coloquei o SIM Card Alemão no celular brasileiro a mensagem foi contudente: "Cartão BLOQUEADO" e ficou, como seu similar alemão, pedindo o código para desbloqueio. Interessante dizer que quem comprou o celular OI e mais tarde quiser mudar para TIM ou outra operadora aqui ou lá fora, não poderá fazê-lo. Não obstante, descobri que há lojas especilizadas em vender "kits" para desbloquear os celulares. Virtualmente todos os modelos podem ser desbloqueados, inclusive os meus. Já tratei de adquirir esse Kit que entre outras coisas me dá o direito de Mudar as configurações do celular, como ícones e transferir toques personalizados, os quais podem ser baixados pela Internet, ou mesmo alterar o IMEI do aparelho. Dois sites que julgo interessantes são o http://www.commshop.co.uk/acatalog/index.html, site ingles onde adquiri meu KIT de Unlock e o http://gsmzone.a4.pl/english/index.html site com FAQs sobre a tecnologia GSM e seu lado undeground. 5º. Conclusão: Embora indubitavelmente a solução GSM seja a mais utilizada em todo mundo, e, comparativamente as outras, possa ser considerada mais segura, esta longe ainda da utopia apregoada por seus operadores brasileiros. Exige, outrossim, atenção redobrada, mais ainda em se falando do país onde o tráfico é comandado de dentro das cadeias e sequestros são anunciados através de celulares. Esta ferramenta de comunicação moderna exige também dos seus usuários uma responsábilidade maior em seu uso. Como o cartão de crédito ou mesmo a conta de Internet, deve ser usado sim, mas sempre com conhecimento dos perigos inerentes a ela. Não se pode privar a sociedade do conhecimento necessário à sua própria segurança. Não se pode manter os usuários dos aparelhos GSM nas trevas da ignorância, ou esta nova solução, como outras vindas e vindouras poderá se tornar mais uma arma na mão de criminosos. (*) O Autor foi Chefe da Cordenadoria de Investigações Eletrônicas do MPRJ (*) Atualmente é Diretor de Negócios de Segurança da Saga Sistemas e Computadores S/A. Autor: Wanderley Abreu Jr | ||
| TOPO | ||
| ||
| • Wanderley J. Abreu Jr. “E todo o dinheiro que fizeram, jamais comprará de volta suas almas.” Bob Dylan Estava demorando. Na sexta-feira, dia 7 de fevereiro, os arautos do apocalipse do Washington Times – mesmo jornal que publicara um artigo em que o presidente Luiz Inácio Lula da Silva era acusado de ter formação guerrilheira e planejar a liderança de um novo “eixo do mal” na América Latina – anunciaram os planos do pentágono de criar uma força-tarefa cibernética para se engajar na luta contra o Iraque. O artigo sobre a ordem de formar essa força-tarefa e criar as diretivas para uma “cyberwar” pode ser encontrado no próprio site do jornal http://www.washingtonpost.com/ wp-dyn/articles/A38110-2003Feb6.html. Nenhuma novidade até aí. Mas corre à boca pequena da scene hacker que, por conta disso, estão sendo organizados no mundo inteiro concursos de técnicas de sabotagem eletrônica para selecionar os membros dessa força-tarefa. Quando um destes concursos sai de controle, o caos impera, e foi o que aconteceu no caso dos três worms que assolaram a Internet no fim do mês de janeiro. A questão é a clássica “até onde os fins justificam os meios?” Meu pai, oficial do exército, costuma dizer que “O inimigo é solerte e insidioso”. Não por coincidência discutimos bastante este assunto. Ele, que é considerado um dos maiores especialistas em guerra e contra-guerra eletrônica do Brasil, tem uma opinião bastante fatalista sobre o assunto: “De todas as armas, a que mais destrói é a de efeito moral e não há nada mais desmoralizante que a ignorância e a cegueira no “front”. A falta de comunicação traz conseqüências trágicas para um exército no campo de batalha. Divisões inteiras foram dizimadas por propaganda, fome, sede e saudade. É aí que a guerra eletrônica começa, na desinformação.” Numa guerra convencional, temos fronteiras e campo de batalha relativamente bem definidos. As Convenções de Genebra, quatro no total, os chama de Áreas de Desastre de Guerra e definem as regras do jogo no que tange aos civis em zona de guerra. Diz a IV Convenção de Genebra, de 1949, em sua ata final: “Distinguir entre os objetivos militares e os civis. Somente podem ser atacados os objetivos militares; Respeitar os civis e seus bens; Não causar sofrimentos ou danos excessivos.” Ocorre que os danos maiores a serem causados nas batalhas eletrônicas são aqueles de cunho civil, como busca e destruição de sistemas em instalações elétricas, gás, água, malha de transporte e até sistemas médico-hospitalares. Quando extrapolamos as possibilidades para a Internet, uma guerra virtual pode alcançar proporções holocáusticas, uma vez que o dano colateral tomará dimensões mundiais. A Internet tornou-se símbolo da colaboração mundial, da globalização, da aldeia global, um sem fim de informações fluindo livremente desconhecendo fronteiras. Seria um bonito fim para o que começou sendo uma rede com propósitos bélicos. Mas, como diria Edward Murphy Jr., meu filósofo favorito: “Tudo que começa mal, termina ainda pior.” O governo Inglês utilizou a Mãe das Redes como fonte de pesquisa para um suposto dossiê preparado pelo MI6, serviço secreto inglês. Como era coisa para inglês ver, afinal o documento era apenas para ser apresentado ao parlamento inglês, os James Bond digitais recorreram a uma rápida “googlada”: encontraram um trabalho de um professor de pós-graduação e o copiaram descaradamente quase na íntegra. O dossiê britânico pode ser encontrado em http://www.number-10.gov.uk/output/Page7111.asp e o trabalho em http://meria.idc.ac.il/journal/2002/issue3/jv6n3a1.html, confira e compare. Mas não só as grandes potências bélicas podem iniciar os horrores de uma cyberguerra. Em um livro intitulado “Unrestricted Warfare”, ou Guerra Irrestrita, dois estrategistas militares chineses, Qiao Liang e Wang Xiangsui, ambos coronéis do exército vermelho, incorporam o espírito de Sun Tsu e escrevem um tratado sobre como países em desenvolvimento, especificamente a China, podem equilibrar suas desvantagens frente uma eventual guerra contra uma superpotência militar, em especial os Estados Unidos. O livro na íntegra pode ser lido em formato acrobat (.pdf) no endereço http://www.c4i.org/unrestricted.pdf. A essência deste compêndio é exatamente a questão da ausência de regras para embates no ciberespaço, o que, na prática, legitima um ataque desmedido a qualquer tipo de instalação inimiga, quer seja ela civil ou não. Tenho razões de sobra para ficar feliz com uma guerra no Iraque. Uma das poucas áreas que floresce com a guerra é, obviamente, a segurança, ainda mais se é travada em meios virtuais. A instabilidade nos mercados financeiros por conta da TPG (Tensão Pré-Guerra) ia ter um fim, não viveríamos apreensivos, sempre esperando um pronunciamento dos inspetores de armas ou um novo dossiê dos pistoleiros anglo-saxões e, a bem da verdade, seu Sadam não é flor que se cheire. Mas não há como regozijar-se num mundo a beira de um colapso nervoso e econômico. Enquanto os Senhores de Todas as Guerras tramam seus complexos estratagemas geopolíticos para controlar o petróleo mundial, o dinheiro, a produção e a alma dos miseráveis do Terceiro Mundo, despeço-me esta semana com uma célebre frase do cientista e diplomata Benjamin Franklin: “Nunca houve uma guerra boa ou uma paz ruim”. • Wanderley J. Abreu Jr. é Diretor de Negócios de Segurança da SAGA Sistemas e Computadores S/A e Ex-Chefe da Coordenadoria de Investigações Eletrônicas do Ministério Público do Estado do Rio de Janeiro. Autor: Wanderley Abreu Jr | ||
| TOPO | ||
| ||
| Síndrome do Lobo Mal Já dizia minha vó, “Seguro morreu de velho!”. Há duas semanas começou mais um concurso promovido pela ONG Privacy Internacional. Focada em promover discussões sobre os exageros na segurança cometidos por governos, instituições e indivíduos, o novo concurso visa descobrir até onde pode chegar a paranóia com a segurança. A organização já promove há alguns anos o famoso prêmio Big Brother. Nas versões norte-americana e inglesa, premia o indivíduo e a corporação que mais ofendeu a privacidade alheia durante o ano. Agora a Privacy International lança o Stupid Security, para nomear a medida de segurança mais intrusiva e inútil já concebida e implementada pela mente de um ser humano. Como todos conhecemos pelo menos uma estupidez de segurança, conclamo-vos a escreverem suas experiências no campo do surrealismo seguro e enviá-las para stupidsecurity@privacy.org até 15 de março. As regras para o concurso podem ser encontradas em http://www.privacyinternational.org/activities/stupidsecurity. Já inscrevi a minha. Fui obrigado a despachar uma faquinha de passar manteiga – aquela redonda e sem fio - por se tratar de “Arma Branca” segundo a segurança do aeroporto de Curitiba. A concorrência foi acirrada com o recente “Alerta Laranja” convocado pelas autoridades dos EUA. Orwell ficaria orgulhoso de Bush Filho e Ashcroft, talvez até rebatizasse seu trabalho mais famoso para 2004. Depois do Ataque de Ansiedade, a neurose do momento é o que chamo de Síndrome do Lobo Mal, aliás, os três supracitados sabem explorá-la muito bem. Os meios de comunicação ultimamente dão conta de histórias de cidadãos norte-americanos construindo bunkers, cobrindo suas casas suburbanas com plástico e estocando os mais diversos antibióticos. Ok, se tivesse o fantasma do World Trade Center e o mais ectoplásmico dos terroristas, o Osama, rondando minha cabeça, talvez me sentisse como estes pobres diabos atormentados. Enquanto a caça às bruxas corre solta pelas paragens do Tio Sam, por aqui, algumas consultorias tupiniquins utilizam-se da Síndrome do Lobo Mal para difundir a idéia de que todas as redes estão prestes a irromper em chamas. Achando que com isso ampliarão o mercado, tornam a segurança da informação uma cortina de fumaça e promovem as soluções mais exageradas e caras possíveis, mesmo que o cliente não tenha a menor necessidade de metade dos procedimentos listados. Nas Terras de Cabral seguro morreu de velho, pobre e louco. Algumas empresas de segurança assemelham-se em muito aos mecânicos de automóvel inescrupulosos. Normalmente as pessoas de boa fé são facilmente enganadas com diagnósticos apocalípticos sobre o que pode acontecer se não trocar essa ou aquela peça e o mesmo ocorre em TI. Por inexperiência dos administradores da rede e com um pouco de pirotecnia, qualquer consultor de segurança pode achar as mais variadas falhas de sistemas, a maioria sem maiores conseqüências, e dar a impressão de que esta se lidando com um queijo suíço. A verdade é que a maioria das falhas descobertas está bem documentada e poderia ser corrigida apenas com uma política de updates períodicos estruturada. As ocorrências de invasão no Brasil hoje, são, em sua maioria, fruto da falta de cuidado dos administradores de sistema e não propriamente mérito do brilhantismo e sagacidade dos jovens e adolecentes que as perpetram. Nem sempre onde há fumaça, há fogo. Outro dia fui chamado às pressas por um cliente, que já tinha consultado outros prestadores de serviços de segurança da informação, para dar o diagnóstico final sobre alguns pacotes estranhos sendo propagados em sua rede interna. Os prognósticos dados foram os mais diversos, desde uma virose de proporções catastróficas causada por um vírus ainda não documentado, até um espião industrial supostamente contratado para roubar segredos da corporação. Fui para lá esperando o pior. No entanto, nada mais era que um tráfego excessivo de requisições broadcast por nomes netbios, muito comum quando uma rede microsoft não tem um cache de nomes, como um servidor WINS. Em pouco mais de 10 minutos resolvemos o problema. A boa segurança reduz ao máximo as chances de danos causados por problemas com a Tecnologia da Informação a um custo de 3,5% a 5% do valor do bem protegido. Saber que foi invadido é tão importante quanto tomar as medidas para prevenir a invasão. Acostumar-se com a idéia de que possívelmente isso um dia acontecerá, independentemente do quão esmerado você for em sua política de segurança, é uma boa meta para um PDS, Plano Diretor de Segurança. Em geral, quando a sensação de segurança é lúcida, pouco mais precisa ser feito. Com tantos terroristas internacionais e domésticos, com tantos fernandinhos, andinhos e outros “inhos” presos e à solta, tendemos a levar essa insegurança para nosso mundo virtual. Mas saibam, as coisas por aqui são sempre mais simples e diretas, a ciência da computação ainda é considerada uma ciência exata, sempre é válido pedir uma segunda opinião quando alguém apresentar a coisa mais feia do que realmente parece por que normalmente ela não é. Afinal, quem tem medo do Lobo Mal?! Autor: Wanderley Abreu Jr | ||
| TOPO |