Gbitten

Stephen Michael Cohen foi preso ontem pelas autoridades mexicanas em Tijuana dez anos após ter roubado o domínio SEX.COM.

Em 1995, Cohen convenceu a Network Solutions (posteriormente adquirida pela VeriSign) através de uma carta forjada de que era o proprietário do domínio SEX.COM. A partir de então, o real proprietário, Gary Kremen, iniciou uma batalha legal para reaver o domínio que chegou até a Suprema Corte Americana. Seis anos depois, Kremen ganhou o domínio de volta e Cohen foi condenado a pagar 65 milhões de dólares. Estima-se que o domínio rendia a Cohen cerca de um milhão por mês.

Cohen fugiu para o México junto com boa parte do lucro do Domínio, isto até ontem quando foi preso e entregue às autoridades americanas. Cohen deve hoje cerca de 85 milhões de dólares.

E tudo isso começou com um simples golpe de engenharia social.

Marcadores: Engenharia Social

postado por Gustavo Araujo Bittencourt  # 3:28 PM

Essa palestra ministrada pelo promotor-assistente do distrito de Maryland, Stuart A. Berman, no evento Café com Finanças é ao mesmo tempo interessante e inquietante.

Interessante por apresentar um cenário cada vez mais comum de crimes de manipulação de mercados através de meios eletrônicos como "Pump-and-Dump" e "Cybersmear". Berman descreve da seguinte forma estas práticas:

Pump-and-Dump - Identity lightly-traded stock - Buy low - Put false, positive information about the company (earnings increase, takeover) onto the Internet - When stock rises, sell - Truth comes out, stock falls

Cybersmear - Identity lightly-traded stock - Purchase options to “short-sell” (make money if stock goes down) - Put false, negative information about the company (earnings fail to meet goals, CEO under government investigation) onto the Internet - When stock falls, short-sell - Advanced criminals: buy more when price is low - Truth comes out, stock rises – sell for profit

Inquietante pelo panorama apresentado sobre o furto de identidade por meios eletrônicos nos EUA em 2005. Entre os principais casos Berman reporta:

- CardSystems: June 2005:40 million credit card accounts - CitiFinancial: June 2005: information on 3.9 million consumer lending customers - MCI: May 2005: 16,500 current and former employees - LexisNexis/Seisint: March 2005; 280,000 consumers. - University of California - Berkeley: March 2005; 98,000 students and prospective students. - Choicepoint: February 2005; 150,000 consumers. - Bank of America: February 2005; 1.2 million federal workers. - DSW: February 2005; 1.4 million customers.

Num total de 50 milhões de identidades furtadas. Com certeza, isso já ocorre no Brasil (ver), porem a dimensão deste problema é desconhecida, já que por aqui a preocupação sobre o assunto é bem menor que lá fora, além de não haver leis específicas como a lei californiana que obriga a empresa avisar ao cidadão quando um dado pessoal é furtado.

• Slide da palestra
• Áudio da palestra

Marcadores: Ameaça, Artigo

postado por Gustavo Araujo Bittencourt  # 11:08 AM

Marcadores: Direito

postado por Gustavo Araujo Bittencourt  # 4:19 PM

Conflitos virtuiais que deságuam na Justiça estão cada vez mais freqüentes. Este é particularmente interessante pois envolve direito autoral, difamação e a responsabilização do prestador do serviço. Vale dizer que caberia ação penal e cível contra a coordenadora da comunidade do Orkut que incitou tais práticas, talvez esteja em curso.

• Rede de ofensas (por Priscyla Costa)

Marcadores: Direito

postado por Gustavo Araujo Bittencourt  # 5:36 PM

Já venho pensado neste assunto a algum tempo, e o post do Augusto Paes de Barros em seu blog me motivou a externar minha opinião.

Sinceramente, acho que a abordagem de análise de risco orientada a vulnerabilidade é um caminho equivocado para SI.

Uma seguradora, ao avaliar o risco de uma apólice de seguro de carro, não enumera as vulnerabilidade do carro, do motorista ou das estradas. Da mesma maneira, um banco, ao avaliar o risco de um empréstimo, não enumera as vulnerabilidades de cliente nem da economia.

Para calcular o risco é muito mais lógico trabalhar com ameaça e fator de exposição do que com vulnerabilidade.

Para mim, deveriam haver dois processos distintos e paralelos:

• Gestão de Vulnerabilidade - onde se realizaria a varredura e a correção/redução das vulnerabilidades.
• Gestão de Risco - onde se indentificaria as ameaças, os fatores de exposição correpondentes, calcularia o risco e definiria ações para mitigar o risco.

A interação de entre esse processos deveria ser mínima, cabendo a redução das vulnerabilidades um fator de redução em alguns fatores de exposição.

O problema é que ao juntar esses dois processos, muitas vezes existe um esfoço muito grande na gestão de vulnerabilidade, e a gestão de risco acaba tento uma qualidade muito baixa.

Marcadores: Risco

postado por Gustavo Araujo Bittencourt  # 11:27 AM

Os artigos do dr. Renato Opice Blum sempre me agradam, este foi realizado junto com a dra. Taysa Elias Cardoso.

• Monitoramento de e-mails não é invasão de privacidade

Marcadores: Direito

postado por Gustavo Araujo Bittencourt  # 9:13 AM

Não sou advogado, porem tenho algumas questões que gostaria de considerar. A meu ver, existe uma grande diferença entre "Termo de Aceite" e "Termo de Ciência" para a validação da Política de Segurança de uma organização:

• Termo de Aceite é um contrato entre o empregado e o empregador, na qual o empregado concorda com as normas a ele impostas.
• Termo de Ciência é uma declaração, na qual o empregado declara ciência das normas a ele impostas.

Particularmente, sou crítico ao uso do "Termo de Aceite" para a política e as normas de segurança da informação. Seguem minha questões:

1. O que fazer quando ocorrer uma alteração da política ou das normas? Considerando que existe um contrato (Termo de Aceite) anterior a alteração. Pode-se eventualmente criar um novo contrato, cancelando o anterior, e validando o novo regulamento. Porem, isto pode ser impraticável se houver muitos funcionários e se as alterações nos regulamentos forem frequentes (ex: a cada seis meses).
2. Um funcionário pode buscar a nulidade do contrato (Termo de Aceite) alegando que foi constrangido a acatá-lo, pois o contraente forte (empregador) impôs a sua vontade unilateral ao contraente débil (empregado).
3. O que fazer se um empregado recusar assinar um "Termo de Aceite", ou pior, se uma grande quantidade de funcionários se recusar? Neste ponto o "Termo de Ciência" leva vantagem, pois se o empregado recusar a assiná-lo, a ciência pode ser comprovada de outras formas, como o envio de memorandos, e-mail, uma lista de presença em uma palestra sobre as normas, o aviso através de mensagem em pop-up durante o login do usuário, etc.
4. O Termo de Ciência do funcionário não seria suficiente para os objetivos da empresa? O que um "Termo de Aceite" agregaria de proteção jurídica para empresa que um "Termo de Ciência" não agrege? Pressupondo evidentemente, que este termo, não afronta as leis e regulamentações, e respeita o princípio da razoabilidade.

Marcadores: Direito

postado por Gustavo Araujo Bittencourt  # 11:02 AM

Marcadores: Nota

postado por Gustavo Araujo Bittencourt  # 11:15 PM