Gbitten

sexta-feira, outubro 28, 2005

 

Mini Férias

Depois de quase 3 anos de trabalho contínuo eu mereço. I'll be back in one week.
 

[Engenharia Social] Fim da novela SEX.COM

Stephen Michael Cohen foi preso ontem pelas autoridades mexicanas em Tijuana dez anos após ter roubado o domínio SEX.COM.

Em 1995, Cohen convenceu a Network Solutions (posteriormente adquirida pela VeriSign) através de uma carta forjada de que era o proprietário do domínio SEX.COM. A partir de então, o real proprietário, Gary Kremen, iniciou uma batalha legal para reaver o domínio que chegou até a Suprema Corte Americana. Seis anos depois, Kremen ganhou o domínio de volta e Cohen foi condenado a pagar 65 milhões de dólares. Estima-se que o domínio rendia a Cohen cerca de um milhão por mês.

Cohen fugiu para o México junto com boa parte do lucro do Domínio, isto até ontem quando foi preso e entregue às autoridades americanas. Cohen deve hoje cerca de 85 milhões de dólares.

E tudo isso começou com um simples golpe de engenharia social.

Marcadores:


 

[Palestra] Internet Crimes and Financial Institutions

Essa palestra ministrada pelo promotor-assistente do distrito de Maryland, Stuart A. Berman, no evento Café com Finanças é ao mesmo tempo interessante e inquietante.

Interessante por apresentar um cenário cada vez mais comum de crimes de manipulação de mercados através de meios eletrônicos como "Pump-and-Dump" e "Cybersmear". Berman descreve da seguinte forma estas práticas:

Pump-and-Dump - Identity lightly-traded stock - Buy low - Put false, positive information about the company (earnings increase, takeover) onto the Internet - When stock rises, sell - Truth comes out, stock falls
Cybersmear - Identity lightly-traded stock - Purchase options to “short-sell” (make money if stock goes down) - Put false, negative information about the company (earnings fail to meet goals, CEO under government investigation) onto the Internet - When stock falls, short-sell - Advanced criminals: buy more when price is low - Truth comes out, stock rises – sell for profit

Inquietante pelo panorama apresentado sobre o furto de identidade por meios eletrônicos nos EUA em 2005. Entre os principais casos Berman reporta:

- CardSystems: June 2005:40 million credit card accounts - CitiFinancial: June 2005: information on 3.9 million consumer lending customers - MCI: May 2005: 16,500 current and former employees - LexisNexis/Seisint: March 2005; 280,000 consumers. - University of California - Berkeley: March 2005; 98,000 students and prospective students. - Choicepoint: February 2005; 150,000 consumers. - Bank of America: February 2005; 1.2 million federal workers. - DSW: February 2005; 1.4 million customers.

Num total de 50 milhões de identidades furtadas. Com certeza, isso já ocorre no Brasil (ver), porem a dimensão deste problema é desconhecida, já que por aqui a preocupação sobre o assunto é bem menor que lá fora, além de não haver leis específicas como a lei californiana que obriga a empresa avisar ao cidadão quando um dado pessoal é furtado.

Marcadores: ,


quarta-feira, outubro 26, 2005

 

[Artigo] O Orkut já é um fenômeno jurídico

Dentro da lei
Orkut e usuários podem ser condenados por ofensa à honra
por Alexandre Atheniense

Marcadores:


segunda-feira, outubro 24, 2005

 

[Artigo] Google tem de apagar mensagens ofensivas no Orkut

Conflitos virtuiais que deságuam na Justiça estão cada vez mais freqüentes. Este é particularmente interessante pois envolve direito autoral, difamação e a responsabilização do prestador do serviço. Vale dizer que caberia ação penal e cível contra a coordenadora da comunidade do Orkut que incitou tais práticas, talvez esteja em curso.

Marcadores:


quarta-feira, outubro 19, 2005

 

Análise de vulnerabilidade na Análise de risco

Já venho pensado neste assunto a algum tempo, e o post do Augusto Paes de Barros em seu blog me motivou a externar minha opinião.

Sinceramente, acho que a abordagem de análise de risco orientada a vulnerabilidade é um caminho equivocado para SI.

Uma seguradora, ao avaliar o risco de uma apólice de seguro de carro, não enumera as vulnerabilidade do carro, do motorista ou das estradas. Da mesma maneira, um banco, ao avaliar o risco de um empréstimo, não enumera as vulnerabilidades de cliente nem da economia.

Para calcular o risco é muito mais lógico trabalhar com ameaça e fator de exposição do que com vulnerabilidade.

Para mim, deveriam haver dois processos distintos e paralelos:

A interação de entre esse processos deveria ser mínima, cabendo a redução das vulnerabilidades um fator de redução em alguns fatores de exposição.

O problema é que ao juntar esses dois processos, muitas vezes existe um esfoço muito grande na gestão de vulnerabilidade, e a gestão de risco acaba tento uma qualidade muito baixa.

Marcadores:


 

Artigo sobre monitoramento de e-mail

Os artigos do dr. Renato Opice Blum sempre me agradam, este foi realizado junto com a dra. Taysa Elias Cardoso.

Marcadores:


terça-feira, outubro 04, 2005

 

Termo de Aceite vs. Termo de Ciência

Não sou advogado, porem tenho algumas questões que gostaria de considerar. A meu ver, existe uma grande diferença entre "Termo de Aceite" e "Termo de Ciência" para a validação da Política de Segurança de uma organização:

Particularmente, sou crítico ao uso do "Termo de Aceite" para a política e as normas de segurança da informação. Seguem minha questões:

  1. O que fazer quando ocorrer uma alteração da política ou das normas? Considerando que existe um contrato (Termo de Aceite) anterior a alteração. Pode-se eventualmente criar um novo contrato, cancelando o anterior, e validando o novo regulamento. Porem, isto pode ser impraticável se houver muitos funcionários e se as alterações nos regulamentos forem frequentes (ex: a cada seis meses).
  2. Um funcionário pode buscar a nulidade do contrato (Termo de Aceite) alegando que foi constrangido a acatá-lo, pois o contraente forte (empregador) impôs a sua vontade unilateral ao contraente débil (empregado).
  3. O que fazer se um empregado recusar assinar um "Termo de Aceite", ou pior, se uma grande quantidade de funcionários se recusar? Neste ponto o "Termo de Ciência" leva vantagem, pois se o empregado recusar a assiná-lo, a ciência pode ser comprovada de outras formas, como o envio de memorandos, e-mail, uma lista de presença em uma palestra sobre as normas, o aviso através de mensagem em pop-up durante o login do usuário, etc.
  4. O Termo de Ciência do funcionário não seria suficiente para os objetivos da empresa? O que um "Termo de Aceite" agregaria de proteção jurídica para empresa que um "Termo de Ciência" não agrege? Pressupondo evidentemente, que este termo, não afronta as leis e regulamentações, e respeita o princípio da razoabilidade.

Marcadores:


domingo, outubro 02, 2005

 

New Diz'ain ...

Agora falta um título decente.

Marcadores:


Arquivos

janeiro 2000   fevereiro 2000   março 2000   julho 2005   agosto 2005   setembro 2005   outubro 2005   novembro 2005   dezembro 2005   janeiro 2006   março 2006   abril 2006   maio 2006   junho 2006   julho 2006   agosto 2006   setembro 2006   outubro 2006   novembro 2006   dezembro 2006   janeiro 2007   fevereiro 2007   abril 2007   maio 2007   junho 2007   julho 2007   agosto 2007   setembro 2007   outubro 2007   novembro 2007   janeiro 2008   fevereiro 2008   março 2008   junho 2008   setembro 2008   novembro 2008   dezembro 2008   junho 2009   julho 2009   agosto 2009   setembro 2009   outubro 2009   dezembro 2009   fevereiro 2010  

This page is powered by Blogger. Isn't yours?

Assinar Postagens [Atom]