Gbitten

terça-feira, outubro 31, 2006

Capability Maturity Model para Classificação de Informações

O recente post do Augusto me fez pensar novamente sobre Classificação de Informações. A meu ver, o esforço de tornar uma empresa que não classifica as informações em uma empresa que as classifica adequadamente é tão grande e traumático que deveria acontecer graduamente, ao estilo do CMM.

Marcadores: Controle

postado por Gustavo Araujo Bittencourt # 5:50 PM

terça-feira, outubro 24, 2006

New blogs on the block

Marcadores: Blog

postado por Gustavo Araujo Bittencourt # 11:49 AM

quarta-feira, outubro 18, 2006

Dilemas em quadrinhos

postado por Gustavo Araujo Bittencourt # 11:34 AM

terça-feira, outubro 17, 2006

[Artigo] Tarados e pedófilos em sites de relacionamento

Anchises postou essa notícia deveras interessante em seu blog:

Tarados e pedófilos em sites de relacionamento

Marcadores: Comportamento

postado por Gustavo Araujo Bittencourt # 7:29 PM

Número de vulnerabilidades vs Tratamento de vulnerabilidades

Jeff Jones publica com frequência comparativos de vulnerabilidade entre plataformas, principalmente entre o Windows e o Linux. Não entrando no mérito se esses comparativos foram realizados de forma imparcial, tenho a opinião que o número de vulnerabilidades de um SO é menos importante do que como essas vulnerabilidades são tratadas.

Utilizo o Windows XP e o Ubuntu no meu dia a dia. E tanto o Ubuntu quanto a Microsoft possuem um processo bastante adequado para tratamento de vulnerabilidade (excetuando a escorregadela que a Microsoft deu com o WGA). O Firefox é outro software que tem respondido com bastante agilidade as novas vulnerabilidades. Por sua vez, a Oracle, extremamente criticada até então, reviu seu processo de patch management recentemente.

Contudo, além da comparação entre os SOs, o último estudo do Jeff apresenta uma visão interessante de como as vulnerabilidades tem evoluido nos últimos anos.

2006 January through September Vulnerability Trends

Marcadores: Artigo, Linux, Windows

postado por Gustavo Araujo Bittencourt # 4:43 PM

Dor e Humilhação

Conscientização permite usuários com mais consciência de segurança (brilhante dedução), contudo não necessariamente os estimulam a praticarem mais segurança. Talvez devessemos seguir o conselho do Marcus Ranum (lá vem bomba de fumaça), ensiná-los através da dor e da humilhação.

Point/Counterpoint: User Education
Marcus Ranum

Marcadores: BombaDeFumaça

postado por Gustavo Araujo Bittencourt # 11:29 AM

segunda-feira, outubro 16, 2006

QoS e monitoramento de tráfego contra os Botnets

Gadi Evron propõem utilizar o monitoramento de tráfego nos ISPs com QoS para reduzir o impacto das Botnets. Me parece um recurso similar ao que alguns ISPs estão utilizando para limitar tráfego P2P. Receio que um controle deste tipo penalize o usuário comum devido a ocorrência de falsos-positivos, ao mesmo tempo que seja ineficiente contra os botnets que buscarão formas de contorná-lo.

QoS and bot traffic

Marcadores: Botnet

postado por Gustavo Araujo Bittencourt # 6:21 PM

Porque phishing funciona

Este estudo mapeia como o usuário avalia se um site é legítimo ou não.

Why Phishing Works
por Rachna Dhamija, J. D. Tygar e Marti Hearst

Marcadores: Artigo

postado por Gustavo Araujo Bittencourt # 3:52 PM

sexta-feira, outubro 13, 2006

Dilemas

Os problemas de fraude em InternetBank tomaram conta da lista CISSPBR (de forma até exagerada) e de alguns blogs esta semana. Muito se falou de quem deve arcar com a fraude, o cliente ou o banco. Pode-se analisar a questão de muitos ângulos e em todos existem dilemas difíceis de resolver.

Olhando pela ótica do négocio de InternetBank, existem para os bancos duas opções:

Colocar a responsabilidade da fraude no cliente, correndo o risco de desacreditar o canal de negócio mais lucrativo que possui, ou
Assumir e arcar com as fraudes, arriscando-se a inviabilizar o InternetBank caso as fraudes continuem crescendo de forma acelerada.

Pela ótica jurídica, também temos um dilema:

Responsabilizar o cliente, mesmo que apesar de ter o ónus da prova, o Banco não tem como provar que a transação dita fraudulenta é responsabilidade do cliente por negligência, imperícia ou imprudência, ou
Responsabilizar o banco, mesmo que a fraude aconteça, na maioria absoluta das vezes, no equipamento do cliente.

O cliente por sua vez pode:

Utilizar o InternetBank, mesmo sabendo que pode ser vítima de fraude e arcar com o prejuízo desta, ou
Não utilizar o InternetBank, e com isso perder a agilidade e facilidade deste serviço.

E finalmente, pela ótica da segurança, onde o dilema é definir como tratar a ameaça:

Por meio de conscientização do usuário/cliente,
Por meio de software anti-malware,
Através de esquemas de autenticação "mais seguros",
Através de sistemas operacionais e softwares melhor desenhados e codificados em termos de segurança,
Através da punição dos fraudadores,
Ou todas a respostas acima?

Conscientização talvez funcione no ambiente corporativo. Contudo, não acredito que funcione em um meio difuso e heterogênio que representa o universo de clientes de um banco. As campanhas de conscientização, por vezes, me parecem um forma de demostrar que o cliente foi de alguma forma alertado e assim expirar a responsabilidade do banco.

Softwares de antivírus e similares definitivamente não são a solução. Eles ajudam, mais estão longe de resolver.

Da mesma forma, os esquemas de autenticação pretensamente mais seguros não resolvem, pois a questão não é de autenticidade mas sim de confiabilidade.

SO e softwares mais seguros e com menos falhas de design são um caminho interessante, porem isto está longe de acontecer. Espero que o Vista contribua para esta questão.

Apesar de algumas prisões, a impunidade ainda reina entre os fraudadores. Provavelmente falta recursos (humanos e materiais) às nossas polícias para obter mais sucesso nesta empreitada. Some-se a isto, um país onde o crime organizado mostra-se muito competente :(

Como pode-se ver, a solução para este problema não é fácil, mas se fosse fácil não seria um dilema. Uma coisa posso arriscar a prever, os bancos não irão mais pagar essa conta e os conflitos por causa disso irão se multiplicar.

Marcadores: InternetBanking

postado por Gustavo Araujo Bittencourt # 8:40 PM

sábado, outubro 07, 2006

putaquepariuquegambiarradaporra

O Google lançou um mecanismo específico para busca em códigos fontes. Como quase todo serviço de busca, este também pode ser usado para "hackear". O SecurityTeam Blog aborda este assunto em três notas diferentes. Por sua vez, unindo o Google Code com a metodologia POG (Programação Orientada a Gambiarras), é possível encontrar algumas pérolas, como no trecho abaixo :

   333:   if (Math.abs(dragSpeedX) + Math.abs(dragSpeedY) > 4) {
                // TODO putaquepariuquegambiarradaporra
                rotator.spin(dragSpeedY / 5, -dragSpeedX / 5);

Gambiarras no Google Code

Update: Esqueci de mencionar que o trecho acima pertence ao programa Tikiwiki e o comentário espirituoso ainda consta na última versão em desenvolvimento.

Marcadores: Fun

postado por Gustavo Araujo Bittencourt # 12:03 PM

quinta-feira, outubro 05, 2006

Insegurança no Internet Banking?

Andre Fucs fez uma bela análise sobre a recente decisão da justiça brasileira a respeito da responsabilidade do cliente em casos de fraudes em internetbank e as consequências caso essa posição torne-se uma jurispudência pacífica. Vale a leitura.

Insegurança no Internet Banking?

Marcadores: Artigo

postado por Gustavo Araujo Bittencourt # 9:38 AM

quarta-feira, outubro 04, 2006

A hora da vingança

Chegou a hora da vingança contra os recrutadores que pedem 1001 certificados em um processo de seleção. A partir de agora só admitirei ser recrutado por profissionais que tenham pelo menos uma das certificações abaixo:

PHR (Professional in Human Resources)
SPHR (Senior Professional in Human Resources)
GPHR (Global Professional in Human Resources)

http://www.hrci.org/Certification/

postado por Gustavo Araujo Bittencourt # 7:24 PM

Provas eletrônicas

Texto muito interessante do Dr. Demócrito Reinaldo Filho sobre os desafios da atual legislação processual no tratamento das provas eletrônicas. A exibição da prova eletrônica em juízo: necessidade de alteração das regras do processo civil?

postado por Gustavo Araujo Bittencourt # 10:52 AM

terça-feira, outubro 03, 2006

2ª Colaris

COM o intuito de promover a cultura da segurança da informação, fomentar o estabelecimento de novos grupos de resposta a incidentes de segurança na América Latina e treinar os participantes dos CSIRTs existentes, a Rede Nacional de Ensino e Pesquisa (RNP) e seu Centro de Atendimento a Incidentes de Segurança (CAIS), em cooperação com o Fórum Internacional de Grupos de Resposta a Incidentes de Segurança (do inglês, FIRST), organizam a 2ª Colaris (Conferência Latino-Americana de Resposta a Incidentes de Segurança), que irá acontecer no Rio de Janeiro de 7 a 10 de outubro de 2006.

https://www1.rnp.br/eventos/colaris/

Marcadores: Evento

postado por Gustavo Araujo Bittencourt # 9:43 AM

Forense

Um site muito interessante sobre Forense Digital é o E-Evidence Info. A propósito, adicionei uma seção sobre forense no InfosecFeeds.

Marcadores: Forense

postado por Gustavo Araujo Bittencourt # 9:33 AM

Arquivos

janeiro 2000 fevereiro 2000 março 2000 julho 2005 agosto 2005 setembro 2005 outubro 2005 novembro 2005 dezembro 2005 janeiro 2006 março 2006 abril 2006 maio 2006 junho 2006 julho 2006 agosto 2006 setembro 2006 outubro 2006 novembro 2006 dezembro 2006 janeiro 2007 fevereiro 2007 abril 2007 maio 2007 junho 2007 julho 2007 agosto 2007 setembro 2007 outubro 2007 novembro 2007 janeiro 2008 fevereiro 2008 março 2008 junho 2008 setembro 2008 novembro 2008 dezembro 2008 junho 2009 julho 2009 agosto 2009 setembro 2009 outubro 2009 dezembro 2009 fevereiro 2010

Assinar Postagens [Atom]