Gbitten

Ronaldo Vasconcellos lançou um calendário de eventos de segurança. Esta seleção completa uma outra iniciativa de calendário de eventos.

• The Best of Security Events

Um dos maiores desafios de se trabalhar em segurança é manter o foco no problema e não se perder nas idéias impraticáveis e nas hipóteses improváveis.

Nelson Murilo publicou um blog com fotos e um relato sobre a DEFCON.

• http://fotosdefcon2006.blogspot.com/

Dear Sr. Bittencourt Gustavo Araujo, CISA RE: CISA certification number: XXXXXXX Congratulations! We are pleased to inform you that on 23 August 2006 the CISA Certification Board approved your application and awarded you the Certified Information Systems Auditor (CISA) designation.

Saiu no Consultor Jurídico uma matéria interessante sobre o jurista Tércio Sampaio Ferraz Júnior, autor de uma tese bastante aceita nos tribunais sobre publicidade de dados.

Os homens do Direito
Ferraz Júnior é o pai da tese da publicidade de dados

Marcadores: Direito

Essa pesquisa tem alguns números interessantes:

Embora a grande maioria tenha ou esteja concluindo cursos superiores, 61,53% dos entrevistados não têm nenhuma formação em segurança da informação, enquanto apenas 13,04% possuem certificações em segurança da informação (9,22% em MCSO, 1,43% em CISSP, 1,43% em CISA, 0,32% em GIAC e 0,64 em CISM)

O MCSO é uma realidade. A Módulo Education está de parabéns, acho que é a primeira certificação profissional para o mercado de TI bem sucedida e 100% nacional. Acredito que a adoção do CISSP e do CISA cresça rapidamente. Gostaria de ver o GIAC mais valorizado pelo mercado, é uma excelente certificação, mas o CISM é que será a bola da vez. Faltou nesta matéria a porcentagem de pós-graduados (especialização, mestrado e doutorado) em SegInfo.

A distribuição entre os grandes centros ficou da seguinte maneira: São Paulo 35,93%; Rio de Janeiro 15,42%; Distrito Federal 10,49% e Minas Gerais 8,59%, enquanto que os estados do Paraná com 4,13%; Ceará 3,82% e Bahia 3,66%. Em último ficaram Santa Catarina com 3,50% e Rio Grande do Sul com 2,56%.

A impressão que tenho é que São Paulo tem 35,93% dos profissionais e 80% das vagas, será?

Segundo ela, em 2004 a faixa etária predominante era dos 41 aos 50 anos enquanto que neste ano varia dos 23 aos 27.

Houve um diminuição significativa da faixa etária numa área onde a experiência vale muito. Talvez devido a uma hierarquização maior das estruturas de SegInfo ou devido a banalização do profissional de seginfo. Resta aguardar a pesquisa completa para entender melhor estes números. Maioria dos profissionais em segurança da informação não tem formação específica

O dado é o simbolo. Mais especificamente, o dado é uma sequência de símbolos, sejam letras, sons, imagens ou números. O dado, em si, não tem significado, como no hieróglifo abaixo.

A informação é o significado do dado. A informação não reside nos computadores ou nos livros, mas na mente das pessoas. Quem sabe ler hieróglifos egípicios compreendeu a escrita acima, que por acaso é o nome "Cleópatra". Com um significado, o dado transformou-se em informação.

O conhecimento é a vivência, a experiência. Apesar de muitas vezes relacionado com a informação, isso nem sempre acontece. Por vezes existe a informação sem o conhecimento (a teoria e o abstrato) ou o conhecimento sem informação (o empírico e o instinto).

A competência é a capacidade de aplicar o conhecimento e a informação para executar uma tarefa. Além do conhecimento e da informação, outros aspectos podem ser importantes para estabelecer a competência, tais como iniciativa, criatividade, dedicação, compromisso, concentração.

A Ética é utilizar a competência apenas sobre padrões morais, para o que é considerado correto. Padrões éticos variam no espaço, no tempo e mesmo no indivíduo, mas mesmo assim eles são fundamentais para uma sociedade ordenada. A informação, conhecimento e competência podem ser adquiridos com esforço individual, já a Ética não se aprende, é construída na formação do indivíduo.

Nota: As declarações desta nota são opiniões pessoais e são inspiradas no artigo "Dado, Informação, Conhecimento e Competência" de Valdemar W. Setzer e em conversas sempre enriquecedoras com a Dra. Rosete Carvalho da Politec.

Marcadores: Viagem

Me chamou a atenção uma notícia no Consultor Jurídico sobre o site Transparência Brasil que a coligação PT-PCdoB tenta proibir. Achei o referido site utilíssimo para o eleitor, informa não somente as notícias de corrupção publicadas pela impresa, como também os bens declarados e a atuação parlamentar de cada candidato. Será um absurdo se a Justiça Eleitoral fechar este site.

• http://www.transparencia.org.br/
• http://perfil.transparencia.org.br/

Bruce Schneier Facts

Essa notícia é tão legal que parece mentira. Mark Abene lançou o "Project MF", segundo suas próprias palavras:

Project MF is a living, working simulation of analog SF/MF signalling just as it was used as the standard in the public switched telephone network up until the early 90's, when most everything was cut-over by the regional Bells to the fully-digital SS7/ISDN network as it continues today. Project MF is intended as a way of preserving an important part of telco history, and should fascinate both new-comers and old-timers alike. In this simulation, I've allowed for "SIGnalling Irregularities" or "SIGIs" in telco parlance: the ability to inject 2600Hz single-frequency (SF) trunk idle/busy supervisory tones from "external sources", as well as the multi-frequency (MF) tone-pairs used to signal telephone calls as well as hidden internal routing codes on the network. In a word, blue-boxing!

Adoraria poder brincar de phreaker.

ROFL

http://community.livejournal.com/scans_daily/2210328.html

Marcadores: Fun

Este blog em espanhol é muito interessante. Gostaria de compreender melhor o idioma de Cervantes.

• ISO 9001, ISO 27001, GESTIÓN

Marcadores: 27000, Blog

Segurança não tem matéria, não tem substância, não tem corpo. É insípida, inodor e incolor. Transparente quando precisamos enxergá-la, turva quando queremos distingui-la, imprevisível se tentamos antecipá-la. Percepção subjetiva de um futuro incerto. Um mero reflexo do que pode acontecer. Árdua é a tarefa de manipular estes reflexos.

Marcadores: Viagem

http://blogs.securiteam.com/index.php/archives/category/funnies/

Marcadores: Cartoon, Fun

Andre Fucs aborda em seu blog a conhecida declaração do Marcus Ranum sobre recomeçar a Internet do zero. Eu acho que o Ranum até certo ponto está correto, pois algumas das tecnologias que sustentam a internet são estruturamente vulneráveis a décadas nem por isso essa situação se corrige. Para citar alguns exemplos temos:

SMTP

O Protocolo SMTP é provavelmente o principal motivo do sucesso da internet, a meu ver sua importância supera até mesmo advento da dupla HTTP/HTML. O problema é que o SMTP tem uma série de limitações como:

• Não possui um sistema eficiente de não repúdio;
• Desperdiça um 1/8 da banda quando associado com o MIME;
• Muito vulnerável a spoofing;
• Não possui um sistema eficiente de confirmação de entrega;

TCP/IP

O Internet Protocol é, desde sua criação, vulnerável a spoofing e a sniffing. Já o TCP é muito vulnerável a ataques de DoS. Sobre o IP spoofing, o principal culpado são os ISPs e não o protocolo em si.

Estações

A plataforma Windows tem 21 anos e até hoje não conseguiu fazer que o usuário utilizasse sua estação com privilégios de não-administrador. O Windows Vista promete corrigir isso, se acontecer será uma grande evolução. Os exemplos acima são padrões de fato. Todos tem extenções ou alternativas mais seguras, contudo essa alternativas não são adotadas em larga escala. O mesmo ocorre com tecnologias não tão antigas como as aplicações web, soluções VoIP, redes wireless, navegadores web, etc., que também sugiram e se disseminaram com problemas de segurança para depois tentarem ser corrigidos. Reconstruir a internet não é factível, porem algumas de suas tecnologias a anos precisam de uma reforma completa.

Marcadores: BombaDeFumaça