31 de dezembro de 2007

Recovery Point Objective

RPO (Recovery Point Objective) é a métrica utilizada para identificar a disponibilização de dados que atendam os RTOs definidos para cada processo de negócio.

Não entendeu nada? Fique tranquilo, é o que eu mais vejo por aí!

Em poucas palavras o RTO é quanto o processo suporta de perda de dados. Não confunda isto com o último backup realizado, equívoco bastante comum entre os profissionais de contingência, infra-estrutura.

O último backup realizado pode servir como métrica para desenvolver uma estratégia para garantir a continuidade de processos de negócios, mas o RTO consiste em um objetivo, como o acrônimo RPO (Recovery Point Objective) deixa claro.

Vamos tentar clarear as coisas. Aconteceu um incidente, preciso restabelecer um processo dentro do objetivo de recuperação que eu identifiquei (RTO). Para restabelecer este processo eu preciso de dados, ai entra o RPO. Se eu preciso de dados de 2 horas (meu RPO) antes do incidente e meu último backup é de 24 horas atrás, tenho um problema sério.

Recovery Point Objective

Para atender o meu RPO de duas horas preciso alterar a minha estratégia de backup ou fazer uma reengenharia no processo.

Porque reengenharia no processo?

Porque não é sempre que o meu problema é apenas com dados digitalizados. Se o problema é backup, eu posso mudar minha solução de backup, alterar a estratégia. Agora se o processo depende de informações "não digitais"? Ai só uma reengenharia no processo pode resolver ou minimizar os impactos.

28 de dezembro de 2007

links for 2007-12-28

19 de dezembro de 2007

Recovery Time Objective

O termo RTO (Recovery Time Objective) é conhecido pela maioria dos profissionais que atuam direta ou indiretamente com Continuidade de Negócios.O RTO consiste no tempo em que determinado processo tem para que, uma solução de recuperação e/ou contingência seja executada/ativada antes que o processo venha causar impacto a organização.

Se já sabemos o que é o RTO, não existe dificuldade em identificar junto aos responsáveis pelo processo, qual o RTO de cada processo. Errado, boa parte dos RTOs identificados em trabalhos de Continuidade de Negócios não condizem com a realidade e acabam direcionando as organizações a tomar decisões precipitadas.

A primeira coisa que devemos nos ater é, o RTO é apenas o tempo que o processo tem disponível para ser suportado por uma solução alternativa que o mantenha a níveis satisfatórios sem causar impactos a organização. Neste tempo teremos apenas uma solução de contorno (Workaround), o que difere do tempo total que um processo pode ficar indisponível. O tempo total que um processo pode ficar indisponível é definido segundo a BS 25999-1 como MTPD (Maximum Tolerable Period of Disruption).

Então podemos identificar pelo diagrama abaixo que, eu preciso subtrair do tempo total que o processo pode ficar indisponível o RTO mais o tempo para reestabelecer a normalidade.
MTPD

Se não bastasse o equívoco cometido quanto aos tempos de RTO/MTPD, muitos generalizam o tempo assumindo que o MTPD é o RTO, ainda temos um problema mais sério. A maioria dos RTOs mapeados em projetos é muito mais baixo do que deveria. Na prática são raras as exceções onde um processo tem RTO menor que 1, 2 hora. O que quero dizer com isto? A maioria dos profissionais valorizam muito os RTOs sem medir ou conhecer as consequências. Um processo que pode ter até 24 horas de RTO é mapeado com um 1 hora como se não houvesse problema nisto.

O grande problema quando mapeamos RTOs relativamente baixos é a solução de estratégia. Sabemos que os RTOs e critícidades dos processos da organização são mapeados na BIA (Business Impact Analysis), fase esta que antecede e serve como tomada de decisão para a próxima fase, seleção de estratégia.

Na fase de Seleção de Estratégia vamos planejar e identificar soluções para atender os tempos mapeados como objetivo (RTO) na BIA. O que acontece quando os RTOs são muito baixo? As soluções para atender estes tempos serão soluções de alta disponibilidade e consequentemente terão um custo muito mais alto que qualquer plano de resposta. Ao contrário do que muita gente pensa, Se sabemos que são raras as exceções de RTO entre 1 e 2 horas, consequentemente são raras as exceções onde você necessita de Alta Disponibilidade para atender as necessidades da organização.

Resumindo, Planos para Continuidade do Negócio estão longe de ser soluções de contingência e a maioria das organizações estão gastando mais do que deviam com soluções de Alta Disponibilidade e Contingência.

No próximo post vou falar sobre o RPO (Recovery Point Objective).

17 de dezembro de 2007

15 de dezembro de 2007

links for 2007-12-15

USB Insecurity

Um assunto comum entre profissionais de segurança recentemente é a disponibilização ou não, de acesso a porta USB de computadores corporativos. Com acesso USB pode se conectar desde de dispositivos de mass storage (pendrive), até periféricos como impressoras.

O problema é que através deste recurso pode-se roubar informações, conectar dispositivos que possam comprometer a segurança do computador, até dar boot em sistemas operacionais.

Esta breve introdução é apenas para dizer que, se já era necessário atenção quando o acesso a porta era físico, imagine se o recurso for acessado via rede?

É exatamente o que o projeto USB/IP Project se propõe a implementar.

USB/IP Project

13 de dezembro de 2007

links for 2007-12-13

Como funciona a cabeça de um hacker

Eu sou leitor assíduo de um site chamado HowStuffWorks, não preciso nem traduzir o título do site. Eles acabam de escrever um artigo bem interessante (apesar de ser escrito para leigos) sobre a cultura, hacker.

O artigo chamado "Como funciona a cabeça de um hacker" está estruturado em 8 tópicos:

1 - Introdução
2 - Tipos de hackers e suas características
3 - O que motiva o hacker
4 - Como atacam os hackers
5 - A ciência do hacking
6 - Hackers que fizeram história
7 - O glossário do hacker
8 - Mais informações

O artigo começa esclarecendo como surgiu a cultura e qual a origem do termo hacker e passa por termos conhecidos como:
Leet ("lito" como diria meu amigo Wendel): A própria palavra leet admite muitas variações, como l33t ou 1337. O uso do leet reflete uma subcultura relacionada ao mundo dos jogos de computador e internet, sendo muito usada para confundir os iniciantes e para firmar-se como parte de um grupo.

White Hats (hackers éticos): Seguem a mesma linha de pensamento original do hacking. Gostam apenas de saber e conhecer mais das coisas, principalmente as fechadas ao público. Para essas pessoas, aprender é a diversão mais importante do mundo. Elas gastam boa parte de seu tempo estudando o funcionamento do que as cerca, como telefonia, internet e protocolos de rede e programação de computadores.

No mundo da segurança de sofware, os hackers éticos são os responsáveis por “informar” as grandes empresas de vulnerabilidades existentes em seus produtos. Fora do mundo da segurança, essas pessoas são responsáveis por desenvolver software livre, como o sistema operacional GNU/Linux.

O hacker ético defende o conhecimento em prol de todos, portanto não o utiliza para prejudicar outras pessoas ou companhias, a menos que considere que uma empresa faz mau uso do poder. A quebra da segurança do iPhone, que bloqueia o seu funcionamento com outras operadoras de telefonia, foi um notável ato de um White Hat.

Black Hats (hackers mal-intencionados): Assim como os White Hats, os Black Hats também são movidos pela curiosidade. O que os distingue é o que cada um faz com a informação e o conhecimento.

O Black Hat vê poder na informação e no que ele sabe fazer. São aqueles hackers que descobrem uma vulnerabilidade em um produto comercial ou livre e não contam para ninguém até que eles próprios criem meios de obter dados sigilosos de outras pessoas e empresas explorando a vulnerabilidade recém-descoberta.

Essa espécie de hacker é responsável por gerar a terceira espécie, os script kiddies. Eles surgem quando cai na rede uma ferramenta ou técnica de invasão criado por um grupo de Black Hats.

Por ser escrito de forma simples e para leigos, esclarece vários pontos comumente confundidos por quem não é da área. Vale destacar as referências, que vão de Barata Elétrica (Conteúdo não "hard", mas quem não leu?), um mirror do site Unsekurity e os tradicionais phrack, securityfocus e packetstorm.

11 de dezembro de 2007

links for 2007-12-11

Business Continuity and Incident Response

A coisa está ficando ótima para quem trabalha com Continuidade de Negócios. Calma, não estou falando que estamos ganhando rios de dinheiro ou que o mercado está bombando. Eu me refiro a quantidade de padrões que estão surgindo para embasar argumentos que muitas vezes ecoavam nos corredores sombrios das organizações e nada era feito.

O mercado está cheio de curioso, charlatão, marqueteiro, que diz conhecer Continuidade de Negócios, todos eles usam a famosa bomba de fumaça: Plano de Continuidade orientado a ISO 27001 e agora o mais novo hype, BS 25999.

Os mais informados sabem que nenhuma das duas lhe ajudará ou dará o caminho das pedras para desenvolver um processo de Continuidade de Negócios. A ISO 27001 apenas diz que você deve ter um plano, a BS 25999 é um sistema de gestão dos controles relacionados ao processo de Continuidade de Negócios.

Um profissional que conheça além de meia dúzia de Buzzword relacionados ao tema, agora tem dois padrões bem interessantes.

Série 28000 - Security management systems for the supply chain

Este padrão vem colaborar com os conceitos básicos de Continuidade de Negócios e segurança. Continuidade de Negócios deve gerenciar riscos com uma visão holística e segurança é transitiva. Do que adianta eu ter inúmeras soluções de alta-disponibilidade e contingência, se meu negócio pode parar se um fornecedor chave por algum motivo deixar de me fornecer?

ISO/PAS 22399 - Guideline for incident preparedness and operational continuity

Este padrão foi recebido com imensa alegria por mim. Sempre que eu tentei dizer que todo o processo de Continuidade de Negócios são controles de resposta a incidentes, achavam que eu era louco, que estava inventando moda.

Agora quem está dizendo é a ISO e não eu. Agora vou dar uma de louco novamente!

Todo profissional de segurança adora falar coisas como estas:


  • Não existe segurança 100%

  • Segurança é equilibrio



Se sabemos que, em algum momento um incidente vai acontecer, deve existir um equilibrio entre controles e procedimentos de resposta. Por que pouco se investe em Resposta?

5 de dezembro de 2007

links for 2007-12-05

Flash Insecurity

Eu nunca gostei de flash em sites web, ainda mais agora que existe inúmeras opções para fazer RIA (Interface Rica) de forma muito mais limpa.

Depois destas apresentações então, estou fora!

1 - Finding Vulnerabilities in Flash Applications

2 - Testing Flash Applications

SCADA Security

Já não é novidade que eu me interesso por segurança em aplicações SCADA. Sempre que encontro uma notícia eu dou pesquisada para ver se encontro mais informações. O próximo passo é brincar com um simulador, afinal ainda não tive a oportunidade de mexer em um ambiente deste.

Se os riscos já são bem divulgados nos EUA a tendência é aumentar os riscos e a exposição. Encontrei alguns projetos relacionados a SCADA bem interessante.

1 - Um cliente web para SCADA;

2 - Um Scada Open Source;

3 - Uma HoneyNet SCADA;

4 - Link Encryption para SCADA.

O SCADA trabalha usando usando o protocolo DNP3. Protocolo que pode trabalhar via TCP/IP.

Business Continuity And Solutions

Quando aqui no Brasil vamos ter soluções que são muito mais que recursos de HA (Alta Disponibilidade)?

O Estado do Texas nos EUA está implantando um sistema muito interessante baseado em RFID. Evacuação de ambientes é uma coisa bem crítica em determinadas situações, o sistema vai rastrear todos os envolvidos e monitorar uma evacuação.

29 de novembro de 2007

links for 2007-11-29

Sistema de Gestão Integrado

Recentemente eu comentei sobre a necessidade de um padrão para gestão dos inúmeros sistemas de gestão disponíveis, devido ao crescente número de sistemas de gestão lançados.

Na minha atuação eu consigo rapidamente listar três sistemas:

1 - ISO 27000 (Sistema de Gestão de Segurança da Informação);
2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios);
3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos).

Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001.

Os sistemas de gestão geralmente são estruturados da seguinte forma:

1 - Política;
2 - Estrutura Organizacional e responsabilidades;
3 - Objetivos;
4 - Definições de Processos;
5 - Estatuário 3 Requerimentos Regulatórios Legais;
6 - Competência;
7 - Treinamento;
8 - Procedimentos;
9 - Controle Operacional;
10 - Monitoramento e Checagem;
11 - Auditoria e Revisão;
12 - Melhoria.

Sendo que, existe seis requerimentos comuns entre os padrões baseados na ISO Guide 72:

1 - Política;
2 - Planejamento;
3 - Implementação e Operação;
4 - Performance da Auditoria;
5 - Melhorias;
6 - Revisão Gerencial;

Como estes sistemas são padronizados é possível adotar um sistema unificado de gestão. O padrão para gestão unificada é o PAS 99 (Publicly Available Specification).

O que é o PAS 99?

O PAS 99 é uma estrutura de gerenciamento integrado de sistemas de gestão publicada em Agosto de 2006 pela BSI (British Standart Institute).

De uma forma bem simples e direta, podemos dizer que este sistema tem como objetivo evitar que exista vários requerimentos que são comuns entre sistemas de gestão replicados e tratados de forma isolada nas organizações que adotem vários sistemas de gestão.

28 de novembro de 2007

links for 2007-11-28

26 de novembro de 2007

Cross Build Injection

Em Setembro deste ano a fortify publicou um paper sobre um ataque intitulado Cross-Build Injection. O ataque consiste basicamente na alteração ou inclusão de códigos no próprio repositório onde são gerados os builds. Não me parece nada novo, porém fica como ponto de atenção.

Mitigar o risco relacionado a este tipo de ataque é simples e bastante usual por muitos repositórios mas, imagine quantos repositórios não possuem o menor controle? Com uma ferramenta de brute-force como o medusa (semelhante ao THC-Hydra descontinuado) que suporta quebra de senhas de repositórios CVS, pode-se conseguir acesso ao repositório e ir a farra.

23 de novembro de 2007

links for 2007-11-23

21 de novembro de 2007

links for 2007-11-21

Simulação e Testes

Meu amigo Eduardo Neves me enviou uma notícia bem interessante pra quem trabalha com BCP (Business Continuity Plan).

Notícia veiculada no G1

Uma operação no Aeroporto Internacional de Campo Grande, no Mato Grosso do Sul, vai simular um grande acidente com um Boeing 737-200. A simulação vai mobilizar forças civis, militares e de órgãos da segurança pública. Alunos do curso de resgate e de duas faculdades de enfermagem representarão os 'passageiros' do acidente.

A simulação, que acontece na próxima segunda-feira (19), vai encenar o combate a um possível incêndio na aeronave e resgate de vítimas. Acadêmicos da Universidade para o Desenvolvimento do Estado e da Região do Pantanal (Uniderp) e Universidade Católica Dom Bosco (UCDB) e do curso de resgate dos Bombeiros serão os passageiros e terão os 'ferimentos' maquiados por alunos do curso de teatro da UCDB.

A operação está sendo preparada pelo Corpo de Bombeiros Militar em conjunto com a Base Aérea de Campo Grande, Infraero, unidades do Exército, Polícia Militar, PRF, Polícia Civil, Coordenadores de Defesa Civil do Estado e de Campo Grande, Samu, Hospital Regional e Santa Casa. Dois helicópteros serão usados para transportar as vítimas para os hospitais.

O exercício, segundo o tenente-coronel do Corpo de Bombeiros Jonys Cabrera Lopes, busca estabelecer coordenação em atividades de gerenciamento de crises em acidentes e desastres de grandes proporções com o emprego do sistema Integrado de Comando de Operações de Emergência.

Na operação simulada, considerada de 'grande magnitude', serão empregados todos os meios, incluindo um Boeing 737-200. O resgate será encenado o mais próximo de uma emergência real, segundo o Corpo de Bombeiros. Os resultados do exercício serão usados para planejamento e treinamento, além de 'adequações de protocolo' entre as instituições envolvidas na operação para enfrentamento de situações semelhantes.

20 de novembro de 2007

links for 2007-11-20

Datacenter em 90s

Algum tempo atrás eu falei sobre a tendência dos Datacenter verdes. Um vídeo bem interessante mostra em 90 segundos a construção de um destes datacenters.

19 de novembro de 2007

REST Insecurity

Minha palestra este ano na H2HC foi sobre insegurança na implementação de webservices baseados em REST. Os organizadores já disponibilizaram as apresentações e veio a público uma falha na implementação de REST na plataforma RoR (Ruby on Rails).

14 de novembro de 2007

links for 2007-11-14

Gripe Aviária (Pandemic Flu)

Eu particularmente não vejo muito expertise e investimento do governo Brasileiro em programas de respostas a incidentes (Se for desconhecimento, por favor me informem!). Agora o que vem me surpreendendo é o investimento e trabalho dos nossos governantes em relação a uma possível epidemia de gripe aviária.

Me surpreende primeiro pelas várias iniciativas e depois pela priorização. Afinal existem inúmeras outras ameaças com maior probabilidade de ocorrência e nada é feito. Priorização é um conceito básico de gestão de riscos.

O governo já trabalhou nas seguintes iniciativas para evitar uma epidemia de gripe aviária:


  • Distribuiu uma cartilha de 44 páginas com informações sobre a gripe aviária e suas consequências;

  • Monitora a rota migratória das aves;

  • Disponibilizou o telefone (0800 611995) para esclarecer dúvidas sobre gripe aviária;

  • Está implantando um sistema informatizado nos portos para evitar a entrada de seres infectados no Brasil.



De qualquer forma fica o elogio para nossos governantes mas, que isso seja estendido a outras frentes e que seja feito uma análise técnica e que seja priorizado o tratamento dos riscos.

Metodologia para pentest

A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado.

A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.

O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.

A estrutura do documento é a seguinte:
1 - Introdução

2 - Information Security Testing Overview

3 - Review Techniques

4 - Target Identification and Analysis Techniques

5 - Target Vulnerability Validation Techniques

6 - Information Security Test Planning

7 - Security Testing Execution

8 - Post-Testing Activities

Supply Chain Security

Uma assunto bastante negligenciado e que já abordei aqui no blog é a segurança na cadeia de valores (Supply Chain). A ISO acaba de lançar a série 28000. O objetivo da série é estabelecer um sistema de gestão de segurança na cadeia de valores.


  • ISO 28003:2007Security management systems for the supply chain -- Requirements for bodies providing audit and certification of supply chain security management systems



  • ISO 28000:2007Specification for security management systems for the supply chain



  • ISO 28004:2007Security management systems for the supply chain -- Guidelines for the implementation of ISO 28000





  • ISO 28001:2007Security management systems for the supply chain -- Best practices for implementing supply chain security, assessments and plans -- Requirements and guidance



Se até bem pouco tempo reclavamos da falta de padrões em segurança, num futuro próximo vamos aclamar por um padrão que gerencie todos os sistemas de gestão.

13 de novembro de 2007

links for 2007-11-13

12 de novembro de 2007

links for 2007-11-12

7 de novembro de 2007

links for 2007-11-07

6 de novembro de 2007

links for 2007-11-06

5 de novembro de 2007

links for 2007-11-05

31 de outubro de 2007

links for 2007-10-31

30 de outubro de 2007

links for 2007-10-30

H2HC 2007

Nos dias 8 e 9 de Novembro acontece em Brasília a Conferência H2HC (Hacker To Hacker Conference). Vou estar palestrando sobre Insegurança em REST (Representational State Transfer), conto com a presença de todos.

H2HC 2007

Tech-Ed 2007 Segurança no Desenvolvimento de Software

Assim como meu amigo Weber Ress vou estar palestrando no Tech-Ed 2007. Minha palestra será sobre o TopTen do OWASP, além da palestra vou estar junto com o Weber no Ask the Experts.

O Tech-Ed será nos dias 6 e 7 de Dezembro, conto com a presença de todos.

 Tech-Ed 2007

29 de outubro de 2007

links for 2007-10-29

Ferramenta que identifica XSS em código .Net

o ACE Team da Microsoft acaba de disponibilizar um plug-in para identificar XSS (Cross Site Scripting) em códigos .Net.

XSS Detect

Pesquisa sobre Continuidade de Negócios

A Daryus buscando desenvolver o mercado de Continuidade de Negócios divulga uma pesquisa para entender o mercado Brasileiro de Continuidade de Negócios.

Pesquisa Daryus

A pesquisa pode ser respondida em apenas 10 Minutos. Quem preencher a pesquisa irá receber em primeira mão o resultado.

26 de outubro de 2007

links for 2007-10-26

23 de outubro de 2007

links for 2007-10-23

Cyber-Crime

Há algum tempo as notícias relacionadas a Cyber-Crime estão em evidência nas discussões sobre segurança.

O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.

SCADA

Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.

A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.

A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possui um centro de segurança em SCADA no Sandia Labs.

O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.

22 de outubro de 2007

Personal Information Classification

Estou há algum tempo me organizando e desenvolvendo métodos para classificar e cuidar melhor das informações que eu trabalho e manuseio.

A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.

Dentro do volume criptografado eu criei as seguintes pastas:



  • Projetos

  • Desenvolvimento

  • Comercial

  • Diversos




Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:



  • Projetos

  • - Projeto x

  • - Projeto y




Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:



  • Desenvolvimento

  • - Projeto x

  • - Projeto y




Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.

Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.

Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!

Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.

A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).

Tag2Find

Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.

Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.

A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.

Armazenamento de E-mails

Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.

DSynchronize

Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.

21 de outubro de 2007

National Response Framework

Infelizmente os últimos posts e fonte de meus estudos são documentos do governo americano. Infelizmente porque, por mais que o Brasil tenha trabalho em inumeras frentes o que eu mais encontro sobre resposta a incidentes, continuidade de negócios é do Governo Americano. E quem acha que é devido a maior exposição do Estados Unidos está enganado. Hoje o Brasil fala tanto quanto eles, mas as informações quase sempre tem um apelo totalmente comercial e sem fundamento.

Mais um exemplo de maturidade em segurança é apresentado pelos Estados Unidos. Está aberto para revisão pública e comentários o National Response Framework (Estrutura de Resposta Nacional)

O documento está estruturado da seguinte forma:
Capítulo 1 - Papéis e Responsabilidades;
Capítulo 2 - Ações de Resposta;
Capítulo 3 - Gestão de incidentes;
Capítulo 4 - A estratégia fundamental para estar preparado.

National Strategy for Homeland Security

A Casa Branca acaba de disponibilizar um overview da Estratégia de Segurança Interna do inglês National Strategy for Homeland Security.

Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.

National Strategy for Homeland Security

17 de outubro de 2007

Credibilidade da segurança

O Gustavo Bittencourt escreveu sobre a visão de Linus Torvalds sobre segurança. Resumindo, Linus considera que a métrica mais usada em segurança é o "achômetro".

Eu concordo em partes, eu não diria que segurança é "achometrô", pois existe uma ciência chamada gestão de riscos que é amparada matematicamente. O que leva Linus a pensar assim é que boa parte do mercado/profissionais tem uma visão equivocada. O mercado vem querendo tratar riscos de natureza humana com ciências exatas.

Probabilidade

Como assim? Os usuários sem a visão dos riscos, sem preparo, sem motivação, é negligente com informações de todo gênero e o mercado quer resolver com "senha forte" e criptografia. Sim, eu sei que os controles servem para trazer os riscos a níveis aceitáveis, mas tecnologia como essas não vão resolver os problemas de natureza não exata.

Para quem acha que eu estou errado, a quem tente provar por A mais B o ROSI (Return Of Security Investment) em segurança. Como mostrar números para uma ciência fortemente amparada por ciências exatas (financeiro) de algo que é incerto por natureza? Sim, segurança é incerto por natureza! A fórmula básica de análise de riscos é: R = Probabilidade x Impacto.

pro.ba.bi.li.da.de
s. f. 1. Qualidade de provável. 2. Indício que deixa presumir a verdade ou a possibilidade de um fato; verossimilhança. 3. Evento, circunstância, ocorrência etc., provável. 4. Teol. Razão sobre que os moralistas fundamentam a doutrina do probabilismo. 5. Medida baseada na relação entre o número de casos favoráveis e o número total dos casos possíveis.

Probablidade que é originada dos jogos de azar pode até ser calculada, mas o máximo que se chega é: "A probababilidade de acontecer é 56%". Portanto, segurança não é "achometrô", porém não consegue ser binário como muitos desejam.

16 de outubro de 2007

links for 2007-10-16

Security Skill

Uma dúvida constante em listas de discussão é qual capacitação um profissional de segurança deve possuir para exercer determinada função em segurança.

Meu amigo Eduardo Neves fez um trabalho muito bom e com a nossa realidade, mas agora ele possui uma base internacional para servir como referência.

Leitura altamente recomendada!
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development

15 de outubro de 2007

links for 2007-10-15

14 de outubro de 2007

Web Scraping and Password Cracking

Web scraping é uma técnica que consiste em capturar dados, informações de forma automatizada em sites na internet. Alguém lembra do script criado por Kevin Poulsen para procurar profiles de pessoas que poderiam ser pedófilos? Esse é um bom exemplo de web scraping.

A técnica de web scraping é geralmente executada utilizando linguagens de script (python, bash, perl, etc...). Utilizando expressões regulares é possível capturar dados em sites web facilmente.

Mas o que tem a ver web scraping com password cracking? Todo mundo sabe que além de uma boa ferramenta de ataque de dicionário é importantíssimo uma boa wordlist (lista de palavras). É ai que entra o web scraping, na criação desta wordlist.

Também não é novidade que geralmente os usuários comuns criam senhas associando coisas de seu cotidiano. Pensando nesta características, já pensou o estrago que podemos fazer se criarmos nossos dicionários com base nas informações que as pessoas disponibilizam em sites de redes sociais (orkut, myspace, 1grau, etc...)?

Se você reclama que as wordlists disponiveis na internet são na sua maioria em inglês e não existe wordlist em português, vou dar uma dica! A maioria esmagadora de usuários do orkut são Brasileiros.

Não conhece muitos sites de redes sociais? O wikipedia dá uma forcinha!

Quer procurar dados sobre uma pessoa especifica? A ferramenta evolution da Paterva dá uma forcinha!

Conhece o NGrep? NGrep é um sniffer que acumula a característica do Grep do Unix (utilizado para encontrar padrões de texto em fluxos de caracteres). Ele também pode ser uma mão na roda para criar sua wordlist.

11 de outubro de 2007

links for 2007-10-11

10 de outubro de 2007

links for 2007-10-10

Controle de Versão

Dificuldades em implementar um processo de controle de versões de software? Uma estudada neste post do BetterExplained e neste do Wanderley Caloni vai clarear muito as idéias.

Controle de Versão

Disaster Recovery Game

A FEMA (Federal Emergency Management Agency) disponibiliza para acesso público um game do tipo perguntas e respostas relacionados a ameaças naturais e recuperação de desastres.

Detalhe, o que para eles é um game "for kids" é mais conhecimento que muitos analistas, consultores de continuidade de negócios e CIO tem no Brasil.

9 de outubro de 2007

links for 2007-10-09

8 de outubro de 2007

links for 2007-10-08

Evento de segurança

Interessado em participar de um evento de segurança com uma abordagem totalmente nova e com palestrantes de renome no mercado nacional e internacional?

Então busque seus convites com os patrocinadores do evento ySts v.1.0 . O evento acontece dia 24 de outubro. Não perca essa oportunidade!

6 de outubro de 2007

links for 2007-10-06

Plano de sucessão

Algumas vezes você já pensou como a sua organização iria se comportar caso uma pessoa chave para o negócio não estivesse mais ocupando a posição que ele ocupa hoje?

Essa pessoa chave pode ser desde um técnico que é responsável por uma função chave e na qual a atividade é extremamente complexa e carente de profissionais capacitados até principal executivo ou dono da empresa.

Você pode começar o exercício pensando em uma situação normal, abre um processo de seleção, capacita uma pessoa para assumir a função e após algum tempo, erros e acertos, você substitui a pessoa chave.

Agora vamos ser mais pragmáticos! Por alguma infelicidade a pessoa chave não pode mais exercer sua função hoje, neste exato momento. O que  pode acontecer? Sua empresa pode enfrentar uma séria crise e muitas vezes se quer se recuperar.

Portanto, sua organização precisa identificar as pessoas chaves e preparar um plano de sucessão. Isso é parte integrante de um processo de continuidade de negócios e pode garantir a resiliência da sua empresa em situações adversas.

O portal BNET escreveu um artigo sobre a elaboração de um plano de sucessão: Preparing a Sucession Plan

5 de outubro de 2007

links for 2007-10-05

4 de outubro de 2007

links for 2007-10-04