Gbitten

terça-feira, outubro 31, 2006

 

Capability Maturity Model para Classificação de Informações

O recente post do Augusto me fez pensar novamente sobre Classificação de Informações. A meu ver, o esforço de tornar uma empresa que não classifica as informações em uma empresa que as classifica adequadamente é tão grande e traumático que deveria acontecer graduamente, ao estilo do CMM.

Marcadores:


terça-feira, outubro 24, 2006

 

New blogs on the block

Marcadores:


quarta-feira, outubro 18, 2006

 

Dilemas em quadrinhos


terça-feira, outubro 17, 2006

 

[Artigo] Tarados e pedófilos em sites de relacionamento

Anchises postou essa notícia deveras interessante em seu blog:

Marcadores:


 

Número de vulnerabilidades vs Tratamento de vulnerabilidades

Jeff Jones publica com frequência comparativos de vulnerabilidade entre plataformas, principalmente entre o Windows e o Linux. Não entrando no mérito se esses comparativos foram realizados de forma imparcial, tenho a opinião que o número de vulnerabilidades de um SO é menos importante do que como essas vulnerabilidades são tratadas.

Utilizo o Windows XP e o Ubuntu no meu dia a dia. E tanto o Ubuntu quanto a Microsoft possuem um processo bastante adequado para tratamento de vulnerabilidade (excetuando a escorregadela que a Microsoft deu com o WGA). O Firefox é outro software que tem respondido com bastante agilidade as novas vulnerabilidades. Por sua vez, a Oracle, extremamente criticada até então, reviu seu processo de patch management recentemente.

Contudo, além da comparação entre os SOs, o último estudo do Jeff apresenta uma visão interessante de como as vulnerabilidades tem evoluido nos últimos anos.

Marcadores: , ,


 

Dor e Humilhação

Conscientização permite usuários com mais consciência de segurança (brilhante dedução), contudo não necessariamente os estimulam a praticarem mais segurança. Talvez devessemos seguir o conselho do Marcus Ranum (lá vem bomba de fumaça), ensiná-los através da dor e da humilhação.

Point/Counterpoint: User Education
Marcus Ranum

Marcadores:


segunda-feira, outubro 16, 2006

 

QoS e monitoramento de tráfego contra os Botnets

Gadi Evron propõem utilizar o monitoramento de tráfego nos ISPs com QoS para reduzir o impacto das Botnets. Me parece um recurso similar ao que alguns ISPs estão utilizando para limitar tráfego P2P. Receio que um controle deste tipo penalize o usuário comum devido a ocorrência de falsos-positivos, ao mesmo tempo que seja ineficiente contra os botnets que buscarão formas de contorná-lo.

Marcadores:


 

Porque phishing funciona

Este estudo mapeia como o usuário avalia se um site é legítimo ou não.

Why Phishing Works
por Rachna Dhamija, J. D. Tygar e Marti Hearst

Marcadores:


sexta-feira, outubro 13, 2006

 

Dilemas

Os problemas de fraude em InternetBank tomaram conta da lista CISSPBR (de forma até exagerada) e de alguns blogs esta semana. Muito se falou de quem deve arcar com a fraude, o cliente ou o banco. Pode-se analisar a questão de muitos ângulos e em todos existem dilemas difíceis de resolver.

Olhando pela ótica do négocio de InternetBank, existem para os bancos duas opções:

  1. Colocar a responsabilidade da fraude no cliente, correndo o risco de desacreditar o canal de negócio mais lucrativo que possui, ou
  2. Assumir e arcar com as fraudes, arriscando-se a inviabilizar o InternetBank caso as fraudes continuem crescendo de forma acelerada.

Pela ótica jurídica, também temos um dilema:

  1. Responsabilizar o cliente, mesmo que apesar de ter o ónus da prova, o Banco não tem como provar que a transação dita fraudulenta é responsabilidade do cliente por negligência, imperícia ou imprudência, ou
  2. Responsabilizar o banco, mesmo que a fraude aconteça, na maioria absoluta das vezes, no equipamento do cliente.

O cliente por sua vez pode:

  1. Utilizar o InternetBank, mesmo sabendo que pode ser vítima de fraude e arcar com o prejuízo desta, ou
  2. Não utilizar o InternetBank, e com isso perder a agilidade e facilidade deste serviço.

E finalmente, pela ótica da segurança, onde o dilema é definir como tratar a ameaça:

  1. Por meio de conscientização do usuário/cliente,
  2. Por meio de software anti-malware,
  3. Através de esquemas de autenticação "mais seguros",
  4. Através de sistemas operacionais e softwares melhor desenhados e codificados em termos de segurança,
  5. Através da punição dos fraudadores,
  6. Ou todas a respostas acima?

Conscientização talvez funcione no ambiente corporativo. Contudo, não acredito que funcione em um meio difuso e heterogênio que representa o universo de clientes de um banco. As campanhas de conscientização, por vezes, me parecem um forma de demostrar que o cliente foi de alguma forma alertado e assim expirar a responsabilidade do banco.

Softwares de antivírus e similares definitivamente não são a solução. Eles ajudam, mais estão longe de resolver.

Da mesma forma, os esquemas de autenticação pretensamente mais seguros não resolvem, pois a questão não é de autenticidade mas sim de confiabilidade.

SO e softwares mais seguros e com menos falhas de design são um caminho interessante, porem isto está longe de acontecer. Espero que o Vista contribua para esta questão.

Apesar de algumas prisões, a impunidade ainda reina entre os fraudadores. Provavelmente falta recursos (humanos e materiais) às nossas polícias para obter mais sucesso nesta empreitada. Some-se a isto, um país onde o crime organizado mostra-se muito competente :(

Como pode-se ver, a solução para este problema não é fácil, mas se fosse fácil não seria um dilema. Uma coisa posso arriscar a prever, os bancos não irão mais pagar essa conta e os conflitos por causa disso irão se multiplicar.

Marcadores:


sábado, outubro 07, 2006

 

putaquepariuquegambiarradaporra

O Google lançou um mecanismo específico para busca em códigos fontes. Como quase todo serviço de busca, este também pode ser usado para "hackear". O SecurityTeam Blog aborda este assunto em três notas diferentes. Por sua vez, unindo o Google Code com a metodologia POG (Programação Orientada a Gambiarras), é possível encontrar algumas pérolas, como no trecho abaixo :
   333:   if (Math.abs(dragSpeedX) + Math.abs(dragSpeedY) > 4) {
                // TODO putaquepariuquegambiarradaporra
                rotator.spin(dragSpeedY / 5, -dragSpeedX / 5);
Gambiarras no Google Code
Update: Esqueci de mencionar que o trecho acima pertence ao programa Tikiwiki e o comentário espirituoso ainda consta na última versão em desenvolvimento.

Marcadores:


quinta-feira, outubro 05, 2006

 

Insegurança no Internet Banking?

Andre Fucs fez uma bela análise sobre a recente decisão da justiça brasileira a respeito da responsabilidade do cliente em casos de fraudes em internetbank e as consequências caso essa posição torne-se uma jurispudência pacífica. Vale a leitura.

Marcadores:


quarta-feira, outubro 04, 2006

 

A hora da vingança

Chegou a hora da vingança contra os recrutadores que pedem 1001 certificados em um processo de seleção. A partir de agora só admitirei ser recrutado por profissionais que tenham pelo menos uma das certificações abaixo: http://www.hrci.org/Certification/
 

Provas eletrônicas

Texto muito interessante do Dr. Demócrito Reinaldo Filho sobre os desafios da atual legislação processual no tratamento das provas eletrônicas. A exibição da prova eletrônica em juízo: necessidade de alteração das regras do processo civil?

terça-feira, outubro 03, 2006

 

2ª Colaris

COM o intuito de promover a cultura da segurança da informação, fomentar o estabelecimento de novos grupos de resposta a incidentes de segurança na América Latina e treinar os participantes dos CSIRTs existentes, a Rede Nacional de Ensino e Pesquisa (RNP) e seu Centro de Atendimento a Incidentes de Segurança (CAIS), em cooperação com o Fórum Internacional de Grupos de Resposta a Incidentes de Segurança (do inglês, FIRST), organizam a 2ª Colaris (Conferência Latino-Americana de Resposta a Incidentes de Segurança), que irá acontecer no Rio de Janeiro de 7 a 10 de outubro de 2006.
https://www1.rnp.br/eventos/colaris/

Marcadores:


 

Forense

Um site muito interessante sobre Forense Digital é o E-Evidence Info. A propósito, adicionei uma seção sobre forense no InfosecFeeds.

Marcadores:


Arquivos

janeiro 2000   fevereiro 2000   março 2000   julho 2005   agosto 2005   setembro 2005   outubro 2005   novembro 2005   dezembro 2005   janeiro 2006   março 2006   abril 2006   maio 2006   junho 2006   julho 2006   agosto 2006   setembro 2006   outubro 2006   novembro 2006   dezembro 2006   janeiro 2007   fevereiro 2007   abril 2007   maio 2007   junho 2007   julho 2007   agosto 2007   setembro 2007   outubro 2007   novembro 2007   janeiro 2008   fevereiro 2008   março 2008   junho 2008   setembro 2008   novembro 2008   dezembro 2008   junho 2009   julho 2009   agosto 2009   setembro 2009   outubro 2009   dezembro 2009   fevereiro 2010  

This page is powered by Blogger. Isn't yours?

Assinar Postagens [Atom]