Author Archives:

Posts, Links e Tweets – Abril/2012

No mês de abril estes foram alguns dos artigos de SegInfo que achei interessantes:

  1. Gary McGraw on software security assurance: Build it in, build it right
  2. Accountability – Not Code Quality- Makes iOS Safer Than Android
  3. Emergency Operations Centers & Security Incident Management: A Correlation
  4. Apple takes innovative approach to Flashback malware removal
Projeto que vale a pena acompanhar de perto:

Artigo do mês em marcelosouza.com:

Dei vários RTs esse mês no meu Twitter (vejam @marcelo_sz). Os que merecem destaque:

Ótima iniciativa!!! || RT @lzanardo: “Mr. Log Marley (aka:@lzanardo) will be presenting his Anti-Babel Tower Log project at#ystscon

I like Building Security In (& Building Visibility In) as much as the Soft Sec guys, but net sec and sec ops will still be needed *forever*. Richard Bejtlich‏ @taosecurity

Técnicas de troubleshooting (ou “$%!t^* handling”)

Em homenagem ao dia de ontem (“Sexta-Feira 13”) vou falar sobre algo rotineiro na vida de quem trabalha com TI, não somente SegInfo: troubleshooting, também conhecido como “$%!t^* handling”. Às vezes um pequeno problema se torna uma $%!t^* federal, que cedo ou tarde acaba acontecendo (e adora acontecer no final das sextas-feiras…). Às vezes o problema nem é tão grande assim e acaba se resumindo numa intermitência de rede (sempre a culpa é do firewall…), falha de autenticação/autorização, falta de espaço em disco, etc, etc.

Reparem: não importa a qualidade de um sistema/ferramenta/equipamento/ambiente, a quantidade de esforço/recurso empregado ou o conhecimento da equipe responsável. Sempre algum problema vai acontecer. Nessas horas é de extrema importância manter a calma e seguir uma metodologia minimamente organizada de troubleshooting.  Vejamos alguns passos e técnicas que recomendo a todos:

Continue reading

“Por que os talentos deixam as empresas” aplicado a profissionais de SegInfo

Depois de algum tempo de marasmo no blog, resolvi voltar com um artigo um pouco menos tecnológico e mais sociológico. O foco aqui é no lado profissional de quem trabalha com afinco e dedicação no ramo de SegInfo.

Recentemente li um artigo da Forbes, intitulado “Why Top Talent Leaves: Top 10 Reasons Boiled Down to 1″. O artigo resume de forma direta o principal motivo dos talentos abandonarem empresas. Traduzindo livremente, da forma mais fiel possível: “Os melhores talentos saem de uma organização quando são mal gerenciados e a organização é confusa e não inspiradora”.

Meu objetivo nesse artigo de hoje é trazer isso para o mundo dos departamentos e empresas de SegInfo. Para adaptar melhor ao contexto, vamos mudar a conclusão acima para: “Bons profissionais de SegInfo vão embora quando há má gestão, confusão e consequentemente falta de motivação”. Assim, vou tentar responder à seguinte pergunta: quais seriam os indícios de má-gestão e confusão?

Na minha opinião, considero os fatores abaixo como os principais indícios de má gestão e confusão em SegInfo, que invariavelmente levam à desmotivação de profissionais que eventualmente passam por estas situações:

  • CSOs ao invés de Security Leaders: a liderança nata cada vez mais escassa abre margem ao surgimento de “ocupantes de cargos com siglas”. O que se espera de um verdadeiro gestor de SegInfo é a liderança de sua equipe, mostrando claramente quais são os objetivos da área, porque e como todos devem atuar para atingí-los. Sim, o verdadeiro líder convence sua equipe da importância de objetivos plausíveis por ele definidos e defendidos, sem precisar se basear unicamente em metas “top-down”.
  • “Casa de ferreiro, espeto de pau”: esse indício pode ser mais comum em empresas de consultoria de SegInfo. Vendem uma parafernalha tecnológica de ponta, mas nem mesmo o mais simples anti-vírus esta instalado nas estações. Claro que nem preciso dizer o risco disso (não que anti-vírus seja a solução para todos os males, nós bem sabemos…). E profissional de SegInfo se irrita demais com esse tipo de situação! Pior ainda é quando não estão disponíveis as ferramentas necessárias para o trabalho, aquelas que apoiam os processos (quando estes existem).
  • “Síndrome da barata-tonta”: em SegInfo é mais conhecida como “Oh meu Deus, fomos invadidos, e agora!”. A confusão impera por não existirem processos e procedimentos definidos formalmente, nem muito menos divulgação e treinamentos sobre os mesmos.
  • “Complexo de bombeiro”: muito comum em áreas mal estruturadas ou com pouca mão-de-obra qualificada (talentos!). Nestas, o dia-a-dia da equipe de SegInfo é apagar incêndios. Nunca há tempo ou incentivo para planos de adequação, prevenção ou preparação.
  • Relatórios “para-inglês-ver”: auto explicativo. Já se depararam com isso?

Essa lista certamente é não exaustiva. Vocês que trabalham na área devem estar imaginando várias outras situações e indícios de má gestão e confusão. Algum comentário?

Feliz Ano Novo… e a Velha “Lista de Previsões”

Mais um ano vem, outro ano vai, e para não perder o costume centenas de listas de previsões surgem na Internet com “new ultra super duper stuff” para o ano que vem, “tendências quentes” e afins.

Em SegInfo não é diferente. Mas a pergunta que fica: será que vale à pena segui-las? Na minha humilde opinião, não. Tais  previsões normalmente são extremamente enviesadas na tentativa de (des)favorecer tecnologias/soluções/fabricantes.

Como sei que estou chovendo no molhado, percebi pelo menos um bom proveito a ser tirado destas listas: diversão. Vamos tentar nos divertir um pouco?

Nomes típicos de listas de previsões em SegInfo

Alguns nomes comumente usados por autores destas listas:

  • Tendências de segurança para <insira o ano>: simples assim.
  • Top <insira o número de itens da lista> previsões em <insira seu tema preferido sobre SegInfo> para <insira o ano>: o autor tem muitas previsões a fazer, mas preferiu colocar só algumas.
  • Ameaças mais perigosas para <insira o ano>: cheiro de FUD no ar!
  • Qual será a maior ameaça ano que vem? : o autor não tem tanta certeza, então prefere dar uma lista.
  • Etc, etc…

Como dectar FUD em listas de previsões

Veja alguns indicativos de estratégia do “medo, incerteza e dúvida” nestas listas. E não se surpreenda se praticamente todas listas se basearem em variações de:

  • “A plataforma X será alvo de um grande número de ataques”
  • “Ausência de solução Y em dispositivos ABC fará com que estes sejam fortes vítimas neste novo ano”
  • “Surto na quantidade de cyber incidentes provenientes dos grupos Z”

Previsões criativas, pra não dizer o contrário

A criatividade não é necessariamente um ponto forte entre os autores destas listas. O óbvio impera, como podemos ver:

  • “Malware para plataformas móveis irá crescer”: com certeza, se algum sistema/dispositivo passa a ser mais adotado, essa é a tendência natural.
  • “Sistemas de automação industrial voltarão a ser alvo”: para compor a lista, basta usar algo que já ocorreu no passado e/ou ainda ocorre e colocar novamente como previsão.
  • “Sistemas e dispositivos de saúde serão alvos de ataques”: vamos pegar carona em outra norma, pois PCI e SOx deixaram de ser cool.
  • “Pelo menos mais um grande incidente envolvendo vazamento de informações pessoais”: assim fica fácil…

Por fim…

…espero que todos tenham tido alguns segundos de diversão com um assunto tão comum nessa época do ano. E que me permitam fazer uma previsão para 2012: teremos mais artigos neste blog ano que vem! ;-)

Feliz 2012 a todos!

Como criar um SOC – parte 1 de …

Hoje eu volto a ativa com o meu (novo) velho blog. E para reinaugurar em grande estilo, nada como falar sobre um dos assuntos que mais me atraem profissionalmente: SOC, ou Security Operations Center.

Vou começar de leve, com o primeiro de uma série de artigos que pretendo escrever sobre o assunto. Ou talvez nem tão de leve assim, pois o tema é delicado: Como criar um tão aclamado Centro de Operações de Segurança?

Afinal, o que é um SOC?

Ainda me lembro do tempo em que, prestando serviço a uma das operadoras mais bem preparadas tecnologicamente no país, fui incumbido da tarefa de operar e administrar uma ferramenta de SIEM em seu SOC. Naquela época (por volta de 2006), SOC no Brasil era vanguarda. Acho que nem mesmo a Wikipedia tinha definição para o termo. Felizmente hoje existe, então posso copiar a definição do termo e colar aqui:

Um Security Operations Center (SOC), em português Centro de Operações de Segurança, é um termo genérico que descreve parte ou a totalidade de uma plataforma cujo objetivo é prestar serviços de detecção e reação a incidentes de segurança.

Continue reading

Blog de cara (e casa) nova!

Reformulei um pouco a idéia do blog, e a partir de agora ele vai tratar apenas sobre SegInfo.

O tema também mudou, como vocês podem ver. Além de estar hospedado no WordPress.com (o bolso pediu…).

Daqui a pouco tem post novo no ar!

Modelo de Maturidade para Segurança de Software

Como já se sabe, a (in)segurança no desenvolvimento de software tem sido o ponto fraco de praticamente todas as organizações direta ou indiretamente ligadas a este ramo. A quantidade de vulnerabilidades e incidentes de segurança relacionados comprova esta fraqueza histórica.

Uma razão para a persistência deste cenário é que não existem padrões efetivos para o desenvolvimento de software seguro, ou melhor, não existem processos bem definidos visando este objetivo. Na verdade, apesar dos problemas, boa parte das organizações nem mesmo discute esta necessidade.

Continue reading

Convergência em Telecomunicações

Recentemente, numa das disciplinas do meu curso de MBA em Telecomunicações, fui instruído a escrever uma resenha sobre Convergência em Telecomunicações, baseado no artigo “Your Television is Ringing”, da edição de Outubro de 2006 da revista The Economist.

Apesar do artigo ser um pouco antigo, o assunto anda muito em voga. E, mesmo não apresentando muitas novidades de fato, resolvi fazer um “self promotion” e postá-lo aqui. Boa leitura!

Continue reading

CERT.br – Estatísticas de incidentes em 2008

O CERT.br divulgou hoje as estatísticas consolidadas de incidentes reportados no ano de 2008.

Alguns pontos importantes na análise das estatísticas (adaptados do anúncio do CERT.br na lista certbr-anuncios):

  • O total de notificações recebidas em 2008 foi de 222.528, o que representa um aumento de 39% em relação a 2007.
  • As notificações de tentativas de fraude, em 2008, totalizaram 140.067, correspondendo a um aumento de 209% em relação a 2007.
  • O aumento das tentativas de fraudes está relacionado, principalmente, ao crescimento nas notificações de quebra de direitos autorais através da distribuição de material pirata em redes P2P. Em 2008 este tipo específico chegou a 108.242, correspondendo a um crescimento de 600% em relação a 2007;
  • Em 2008 houve um aumento, em relação a 2007, de 124% no número de notificações de casos de páginas falsas de bancos (phishing tradicional). Este aumento intensificou-se no segundo semestre de 2008, quando as notificações cresceram 104% em relação ao primeiro semestre.
  • O crescimento no número de páginas falsas de bancos concentrou-se, principalmente, em páginas de bancos brasileiros, com aumento de 266% no ano em relação a 2007.
  • Em 2008 ocorreu um aumento, nas notificações de ataques a servidores Web, de 149% em relação ao ano anterior. Estes ataques exploram vulnerabilidades em aplicações Web e, em alguns casos, visam a hospedagem de cavalos de tróia utilizados em fraudes ou de páginas falsas de instituições financeiras.