Artigo por Filipe Villar.

Quando se fala em tratamento de riscos, uma das possibilidades é a de terceirização, isto é fazer um seguro (o exemplo mais clássico da terceirização de riscos) sobre determinado processo ou ativo cujo risco seja maior do que o nível aceitável, porém com controles compensatórios mais caros do que a contratação do tal seguro.

Um dos processos mais críticos para as empresas é a gestão da segurança da informação. Muitas vezes nascida e mantida dentro da área de TI em virtude dos executivos entenderem que Segurança da Informação é o mesmo que Segurança de TI, esse processo é carregado de responsabilidades que podem envolver desde a gestão dos controles de segurança até questões envolvendo perícias e análise de artefatos e desdobramentos legais. Normalmente a gestão de segurança da informação é considerada pela literatura como sendo uma área cujo reporte deveria ser feito diretamente à presidência da companhia ou a uma diretoria específica e que, por isso, estaria numa situação de topo de pirâmide na organização.

Recentemente acompanhei uma discussão sobre a possibilidade de se terceirizar essa área, fazendo-se o uso de consultoria em substituição de uma equipe interna e formada exclusiva ou predominantemente por profissionais internos. O tema levantado era bem direto: deveria ou não ser possível a terceirização da gestão de segurança da informação?

Como consultor já tive experiências sendo terceirizado com essa finalidade, bem como já tive a oportunidade também de trabalhar em uma empresa cuja área de segurança da informação era total e exclusivamente interna à empresa. E a conclusão à que chego para essa situação é: “depende”. Ambas as possibilidades são válidas (e amplamente praticadas), mas cada caso continuará sendo um caso. Mas para evitar o impasse de opinião desse artigo, vamos tentar abordar os prós e contras de cada possibilidade.

Terceirizado

Assim como no início desse artigo, deve-se manter em mente que a terceirização de qualquer atividade envolve a aceitação dos riscos das coisas não irem exatamente como o esperado ou planejado. Em se tratando da área de gestão de segurança da informação, e de todos os detalhes estratégicos envolvidos, a terceirização pode ser considerada em alguns casos como, por exemplo:

• start up da área: A empresa pode não ter estrutura de pessoal para fazer o início das atividades ou mesmo alguma outra deficiência como falta de conhecimento e cultura interna, mas por outro lado por uma questão regultória ou de direcionamento de mercado a empresa deve apresentar em um curto espaço de tempo atividades de SI. E não são raras as empresas que têm essas prerrogativas. A questão é que depois de um tempo agindo, o provisório acaba assumido (muitas vezes) a característica de “provinitivo” (provisório que se tornou definitivo). É necessário um direcionamento estratégico que permita a alta cúpula questionar sobre a internalização ou não.
• carência de mão de obra: É o que acontece nos casos em que a empresa precisa de uma equipe mais estruturada, mas não busca (ou não consegue buscar) mão de obra especializada no mercado para contratação. Para esse cenário o mais comum é ter um gestor da empresa ao qual a equipe terceirizada se reporte e de quem venham as instruções, determinações, diretrizes e tudo mais relacionado ao direcionamento da área. Especificamente nesse caso, o gestor assume uma posição de altíssimo risco visto que ele é o responsável por todas as atividades da equipe de gestão de segurança, mas os resultados são dependentes diretamente do quão capacitada e comprometida essa equipe estará com a organização. E considerando que a gestão de segurança da informação é uma atividade estratégica, o conhecimento do negócio por parte dos integrantes da área é de extrema importância e representa a tênue diferença entre o sucesso e o fracasso desa equipe. E como se não bastasse, o risco do gestor é potencializado justamente pelo fato de ser inviável a rotação da equipe visto que a curva de aprendizado sobre o negócio e os processos internos tem um crescimento muitas vezes suave.
• Política da terceirização: pode parecer estranho e um tanto que arriscado de mais, mas há empresas que optam pela terceirização ao máximo que puder. E ok se isso fizer parte da estratégia escolhida pela gestão, mas quando é essa a escolha, espera-se que hajam controles que cuidem com certo apreço dos contratos, SLAs, questões trabalhistas e todos os outros possíveis desdobramentos. A empresa que opta pela terceirização como base de sua gestão tem na verdade outro fator que os onera subjetivamente que é a questão da retenção do conhecimento e criação/manutenção de uma cultura própria. Mas por outro lado, os benefícios de não ter os custos trabalhistas e de impostos pela quantidade de funcionários, a possibilidade de ser capaz de trocar de equipe através da simples troca de fornecedor e o benefício de poder ter em sua operação o know-how de outras empresas do mesmo setor agregando valor em seu cotidiano podem acabar por assumirem um peso grande na balança das decisões.

Internalizando

Ao contrário do que se tem nos cenários de terceirização, manter a área de Segurança da Informação internalizada, composta exclusivamente popr funcionários tem a vantagem que todos conhecerão vivenciarão os valores da empresa. Por mais que se leve um tempo até que a equipe esteja enganjada, inevitavelmente será uma área com o DNA da empresa. Isso obviamente tem seu lado positivo, visto que não haverá espaço para o ranço de outras empresas e ainda, por serem funcionários assim como todos os outros profissionais de outras áreas, a integração entre a equipe de segurança da informação e as demais equipes (RH, financeiro e comunicação, por exemplo) tende a ser melhor e mais natural. Afinal, os profissionais estariam juntos em eventos de integração, festas de final de ano, torneios de futebol, o choppinho de sexta e tudo mais que pessoas que compartilham o mesmo empregador costumam fazer. Além disso, atividades mais duradouras como planos de comunicação e conscientização, revisões de análises de risco e PCNs, auditorias internas e tudo mais que leve tempo e ocorra em ciclos seriam melhor aproveitados visto que o histórico e o conhecimento se manteria dentro das paredes da empresa.

Mas nem tudo pode ser tão positivo assim. Normalmente, e note que eu disse normalmente, equipes formadas por funcionários da empresa concorrem com outras áreas em pontos comuns à toda a empresa. É o caso de orçamento, calendários, hierarquias, ordem de seja lá o que for… Isso acaba dificultando que haja disponibilidade de recursos para manter essa equipe atualizada e circulante nos meios. Não que seja impossível, mas como é da natureza de todo bom funcionário (salvo raras exceções), ele acredita que todo investimento em sua melhoria como profissional deve ser provida, facilitada ou mesmo bancada pelo seu empregador. Normal em nossa sociedade de origem patriarcal, mas ainda assim não é difícil ver alguns que entendem que esses esforços beneficiam muito mais o próprio profissional em si do que a empresa.

Acrescente-se a isso, o fato de que não é comum o intercâmbio de funcionários entre empresas. Ao menos nunca ouvi falar de tal coisa acontecer por aqui. Você conseguiria imaginar um funcionário da Apple indo fazer um intercâmbio com um empregado da Microsoft? Soa tão estranho quanto improvável. Não que fosse esperado tal intercâmbio, mas em se tratando de consultorias externas, já torna-se mais possível encontrar consultores que tenham trabalhado em projetos mesmo semelhantes em empresas clientes que fossem concorentes entre si. Sob os olhos da consultoria, isso é bem normal e praticado visto que podem haver processos e objetivos semelhantes entre as concorrentes, o que reduz o tempo de aprendizado e de atendimento.

Por isso é que normalmente (e, de novo, atenção ao “normalmente”) equipes formadas exclusivamente por funcionários podem apresentar alguma defasagem de experiência. Não que isso seja tão prejudicial assim, mas ao menos os riscos de descontinuidade e de vazamento de informações acabam sendo reduzidos.

Então, qual é a melhor escolha: terceirizar ou não os riscos e/ou alguma área? Encerro deixando essa pergunta propositalmente sem uma resposa definitiva porque, como dito anteriormente, cada caso será um caso. Se a duvida persistir, pode me escrever que tento ajudar.

Você conhece as vantagens de se migrar o e-mail corporativo para a nuvem? E os cuidados necessários à estratégia de migração? Antes de se adotar o correio eletrônico na nuvem, é preciso levar em conta os custos ocultos, as questões legais, as contratuais e seguir diversas recomendações, inclusive as de segurança. Os principais riscos relativos à adoção do correio eletrônico na nuvem devem ser atentamente analisados.

Artigo por Paulo Sergio Pagliusi, Ph. D..

Uma das principais razões para se pensar em e-mail na nuvem é a significativa economia de escala obtida com esse modelo computacional. A maioria das corporações não tem mais que centenas ou milhares de usuários, enquanto um provedor de nuvem pode fornecer esses serviços para dezenas de milhões de usuários, a custos bem menores – podendo chegar, no limite, a zero. Além disso, devido a restrições orçamentárias, o e-mail interno às organizações não disponibiliza grande capacidade de armazenamento. É comum um e-mail interno ser restrito a 500 MB por usuário, enquanto um e-mail na nuvem oferta 30 GB. O custo por GB na nuvem é bem menor pela economia de escala ofertada e, logo, o provedor pode oferecer, com custo mínimo, maior capacidade de armazenamento.

Entretanto, definir uma estratégia de migração para e-mail na nuvem exige cuidados. Um deles é levar em conta os custos ocultos. Embora o e-mail na nuvem tenha um preço por usuário bem menor, há certos custos que não aparecem imediatamente. Por exemplo, custo do maior uso de redes e banda larga, e da migração do ambiente interno para a nuvem. Também será necessário manter um staff mínimo de suporte, para apoio ao usuário final e para a gestão da interface com o provedor da nuvem.

O contrato com o provedor deve ser analisado com cautela. Alguns itens merecem atenção redobrada, como o custo para retenção longa de backup (archiving) e para o cancelamento do contrato (e migração para outra nuvem). Há também as questões legais. Suas caixas postais podem ficar armazenadas em um centro de dados localizado em outro país? Nesse caso, sob qual jurisdição as questões legais serão resolvidas? E caso haja uma investigação forense, como os dados poderão ser disponibilizados?

Quando uma informação é armazenada em nuvem, em última instância será armazenada em um servidor e em um dispositivo de armazenamento residente em algum local físico, que pode ser em outro país, sujeito a legislação distinta. Além disso, por razões técnicas, essa informação poderá migrar de um servidor para outro, estando ambos em países diferentes. Nada impede que a lei de um desses países permita o acesso às informações armazenadas, mesmo sem o consentimento do proprietário.

Por exemplo, em diversos países a legislação antiterrorista ou de combate à pedofilia permite o acesso a informações pessoais, sem aviso prévio, em caso de evidências legais de atos criminosos. A questão é que o conceito de computação em nuvem é recente. A legislação em vigor mal entendeu a Internet e está distante de entender a nuvem. Ainda está no paradigma da época em que os PCs viviam isolados e, no máximo, havia troca de disquetes. Apreender um desktop para investigação forense em e-mail cujo conteúdo está em nuvem é totalmente irrelevante. E como obter as informações de discos rígidos virtuais, espalhados por diversos provedores de nuvem? Outros cuidados envolvem a segurança e integração com aplicações que interajam com o serviço de e-mail.

Diante do exposto, Cezar Taurion estabelece que, antes da migração do e-mail do ambiente interno para a nuvem, devem ser observadas as seguintes recomendações [1]:

• Criar um projeto específico para a migração do e-mail para a nuvem.
• Determinar claramente os objetivos do projeto em pauta (reduzir custos?).
• Identificar os custos internos por usuário de e-mail e compará-los com os dos provedores de e-mail em nuvem.
• Analisar diferenças de funcionalidade existentes entre os recursos oferecidos pelo e-mail interno e os oferecidos pelo provedor de nuvem (como nível de disponibilidade, política de backup, consumo da largura de banda por usuário [2]).
• Engajar o setor jurídico no processo de migração, de modo a selecionar o provedor de e-mail na nuvem mais adequado e estudar atentamente o contrato.

Passemos à análise dos riscos. Recentemente, diversas organizações adotaram soluções gratuitas de e-mail baseado em nuvem, como o Google Gmail™, Yahoo Mail™ e Hotmail™. Embora para a maioria dos casos tais soluções possam ser excelentes, podem não ser tão adequadas para organizações que necessitam trocar e-mails com conteúdo sensível como, por exemplo, as de defesa. Nestes casos, a segurança provida pelos provedores de e-mail em nuvem é considerada aquém do ideal, devido ao fato de que a maioria dos e-mails é enviada em texto aberto. Assim, para proteger seus e-mails, o remetente precisará criptografá-los, seja fazendo uso de uma infraestrutura de chaves públicas, seja coordenando com o receptor uma forma da informação ser decifrada após o recebimento.

Segundo um estudo publicado pelo portal About.com Defense [3], os principais riscos relativos ao correio eletrônico na nuvem podem ser assim resumidos:

1. E-mails e anexos armazenados em qualquer lugar do mundo. Um dos problemas do correio eletrônico em nuvem é que não se sabe em que lugar do mundo os e-mails e anexos são armazenados. Eles poderiam ser facilmente armazenados em países envolvendo distintas legislações. Como exemplo, leia o conteúdo exposto na norma: NIST SP-800-144 – Guidelines on Security and Privacy in Public Cloud Computing [4].
2. Provedores de correio eletrônico em nuvem, geralmente, reivindicam licença do conteúdo ofertado, inclusive e-mails. Leia bem os termos e condições, para ter certeza que você não desista de direitos que você não pode abrir mão. Por exemplo, os termos e condições estabelecidos pelo Google Gmail™ incluem, na seção 11.1, esta declaração:
   

   By submitting, posting or displaying the content you give Google a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services.

   Na Seção 11.2, também está escrito:

   You agree that this license includes a right for Google to make such Content available to other companies, organizations or individuals with whom Google has relationships for the provision of syndicated services, and to use such Content in connection with the provision of those services.

   Certifique-se de que estas são condições com as quais você pode concordar, antes de utilizar e-mails baseados em nuvem.

3. E-mail com relatórios sensíveis de segurança e informações não classificadas, mas restritas, não deve transitar na nuvem. Deve-se atentar para não expor indevidamente informações classificadas, que venham a transitar, desprotegidas, no e-mail em nuvem.
4. Legislação vigente sobre segurança da informação pode restringir o uso do e-mail na nuvem. Se a sua corporação está sujeita a regulamentações, tais como HIPAA ou Sarbanes-Oxley, então é importante que qualquer solução de nuvem que você use para enviar e-mail tenha uma equipe com capacidade e especialização para manter seu negócio em conformidade. Se o provedor é incapaz de fornecer esta garantia, então se deve procurar outro provedor de serviços.
5. Um software em nuvem é considerado aceitável se o provedor ofertar ao cliente garantias e controles de segurança, mas a maioria dos provedores de e-mail em nuvem não as oferece. O consumidor precisa ter certeza de que o provedor de e-mail em nuvem suporta suas necessidades e fornece garantias e mecanismos de controle de segurança, de acordo com a dinâmica exigida pelo ambiente em nuvem. Assim, de acordo com Marcon Jr et al, todo provedor de nuvem deve [5]:

• Controlar o acesso de usuários aos serviços fornecidos pela nuvem – de acordo com as políticas definidas pelo consumidor
• Honrar os acordos de nível de serviço (SLA – Service Level Agreement) ou contratos de QoS (Quality of Service) estabelecidos com o consumidor
• Controlar o acesso aos dados dos usuários
• Controlar o acesso à área do sistema, no nível de usuário e administrativo (com acesso privilegiado)
• Manter as informações do perfil do usuário e as políticas de controle de acesso atualizadas
• Permitir a coleta de informações do perfil do usuário e das políticas de controle de acesso implantadas no provedor de nuvem
• Fornecer meios de notificação para alterações em contas de usuários (criação, remoção, concessões de acesso), visando coibir configuração de contas falsas ou modificação de direitos de acesso no provedor sem que o consumidor saiba
• Fornecer trilhas de auditoria para o ambiente de cada consumidor – identificando atividades de gerenciamento e acesso, assim como a utilização de qualquer recurso para o qual sejam estabelecidas cotas de uso.

Em contraste ao exposto, os termos e condições estabelecidos pelo provedor de e-mail em nuvem Google Gmail™ incluem, na seção 14.2, a seguinte declaração, indicando que o risco do uso dos serviços é do consumidor, e que o serviço é fornecido “como está” e “quando disponível”:

YOU EXPRESSLY UNDERSTAND AND AGREE THAT YOUR USE OF THE SERVICES IS AT YOUR SOLE RISK AND THAT THE SERVICES ARE PROVIDED “AS IS” AND “AS AVAILABLE.

Finalmente, as vantagens de se migrar o e-mail corporativo para a nuvem são notáveis. Mas a estratégia de migração demanda cuidados prévios. Antes de se adotar o correio eletrônico na nuvem, é preciso levar em conta os custos ocultos, as questões legais, as contratuais e seguir diversas recomendações, inclusive as de segurança. Os principais riscos relativos à adoção do correio eletrônico na nuvem, expostos neste artigo, devem ser analisados com a devida atenção. A Cloud Security Alliance Brazil publicou, em Jun2010, o Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem [6], com as seguintes recomendações, todas aplicáveis ao provedor de e-mail em nuvem:

1. É preciso examinar e avaliar a cadeia de suprimentos do provedor da nuvem (relacionamentos com prestadores de serviço). Isso também significa verificar o gerenciamento de serviços terceirizados feito pelo próprio provedor da nuvem.
2. A avaliação do provedor do serviço em nuvem deve concentrar-se nas políticas de recuperação de desastres e continuidade de negócio, e em seus processos. Deve incluir, também, a revisão das avaliações do provedor destinadas a cumprir exigências de políticas e procedimentos, e a avaliação das métricas usadas pelo provedor, para disponibilizar informações sobre o desempenho e a efetividade dos controles.
3. O plano de recuperação de desastres e continuidade de negócios do consumidor do serviço em nuvem deve incluir cenários de perda dos serviços prestados pelo provedor e da perda, deste último, de suas capacidades dependentes de terceiros.
4. A regulamentação da governança de segurança da informação, a gestão de riscos, as estruturas e os processos do provedor da nuvem devem ser amplamente avaliados.
5. É preciso solicitar documentação de como as instalações e os serviços do provedor da nuvem são avaliados, quanto aos riscos e ao controle de vulnerabilidades.
6. Deve-se solicitar ao provedor da nuvem uma definição do que ele considera fator de sucesso em segurança da informação e serviços críticos, indicadores-chave de desempenho, e como esses pontos são mensurados.

• [1] Taurion, Cezar. E-mail em nuvem: quando e como? Portal iMasters, Set2010, acesso em Jan2012. Disponível em: http://imasters.com.br/artigo/18170/cloud/e-mail_em_nuvem_quando_e_como/
• [2] Segundo Christopher Voce, analista da Forrester, para cada grupo de 100 utilizadores ativos no Outlook instalado localmente são consumidos 37 KB/s de largura de banda. Já o mesmo grupo de 100 utilizadores, ligados ao serviço de e-mail Outlook na plataforma de e-mail em nuvem, requer mais do que o dobro: 85KB/s. Matéria: Seis dicas para a migração do e-mail para a cloud. Portal ComputerWorld, Abr2011, acesso em Jan2012. Disponível em: http://www.computerworld.com.pt/2011/04/01/seis-dicas-para-a-migracao-do-e-mail-para-a-cloud/
• [3] Bame, Michael. Dangers of Cloud Based Email. Portal About.com Defense, Jan2012, acessado em 12Jan2012. Disponível em: http://defense.about.com/od/BusinessOps/a/Dangers-Of-Cloud-Based-Email.htm
• [4] NIST SP-800-144 – Guidelines on Security and Privacy in Public Cloud Computing. National Institute of Standards and Technology, Jan2011, acesso em Jan2012. Disponível em: http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf
• [5] Marcon Jr, Arlindo; Laureano, Marcos; Santin, Altair; Maziero, Carlos. Minicurso Capítulo 2: Aspectos de segurança e privacidade em ambientes de Computação em Nuvem. X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, 2011. Em: http://professor.ufabc.edu.br/~joao.kleinschmidt/aulas/seg2011/nuvem.pdf
• [6] https://cloudsecurityalliance.org/guidance/CSAGuidance-pt-BR.pdf

Artigo de Filipe Villar.

As redes sociais são uma forma de nos expressarmos em um mundo completamente virtual, mas não somos tão virtuais que nos possamos desconhecer reais. E diversos são os exemplos de uso das redes sociais como forma de unir massas reais em movimentos políticos, sociais, culturais, e tantos outros.

Mas as redes sociais têm sim alguns riscos que podem expor não só o internauta, mas também pessoas associadas a ele (exemplo: filhos, esposa, parentes próximos ou amigos) e o seu ambiente de trabalho.

Inicialmente vamos considerar uma abordagem às questões tecnológicas. Considere, por exemplo, o Twitter. Não é exatamente uma rede social, mas sim um sistema de micro blog. Todavia podemos considerá-lo justamente por ter algumas características de sociabilidade digital, uma vez que escolhemos seguidores e seguidos; e essas escolhas muitas vezes denotam nossas opções por assuntos mais diversos. Contudo não se tem certeza de quem está do outro lado e quem está twittando o que lemos e reencaminhamos. E principalmente pela questão tecnológica (e de conceito minimalista), o uso dos encurtadores de endereço modificam os links de forma a não ser possível num primeiro momento identificar o que está atrelado a eles.

Então, considerando apenas a questão tecnológica pura e simplesmente, as redes sociais também podem apresentar um vetor de ataque principalmente através de malwares.

Considerando as questões comportamentais, volto a ressaltar o exemplo das pessoas que gostam de dizer os seus passos para o mundo. A vida moderna e a tecnologia que nos cerca invariavelmente nos afastam dos convívios sociais tradicionais e isso cria uma dependência absurda por aceitação mútua sem precedentes. A carência humana está à flor da pele. A necessidade de ser considerado um “cidadão do mundo” é tão grande que nos relacionamos com inúmeras pessoas apenas virtualmente, o que, em uma realidade mais conservadora, não seria possível pela simples limitação de tempo para tal convívio.

E é assim, carentes digitais, que nos expomos. Fotos, vídeos, grupos de interesse e tantos outros artifícios que são apresentados como cool stuff que nos enveredam por caminhos de total exposição e, consequentemente, promovem um aumento absurdo dos riscos.

Para se ter uma materialização disso, basta fazer um paralelo muito simplista. Imagine que você está andando na rua (num grande centro urbano, por exemplo) e repentinamente se aproxima de uma outra pessoa totalmente desconhecida. Apenas para considerar ainda o cenário fictício desse exemplo, imagine que a receptividade seja positiva e que você comece uma grande e nova amizade de infância… Ora, é claro que você confia totalmente no seu amigo de infância, certo? Então você começa a expor suas questões pessoais para essa pessoa. Nada muito significativo, mas sua fotos, as fotos de seus filhos/parentes, suas viagens, sua casa de veraneio, e mais o que você pensa do seu chefe, ou aquela saída com a amiga da sua prima, enfim… E, por outro lado, o seu novo “amigo de infância” até faz a mesma coisa contigo… Mas que relação mais insólita é essa que pode ser levada à tanta transparência assim? Parece estranho, fazer isso no mundo real (no grande centro urbano). Então por que temos essas mesmas atitudes no mundo virtual? Não vivemos em uma fazenda nem tampouco numa second life.

Cobra-se muito para que os provedores mantenham o sigilo das informações dos internautas. Tanto que a conversa chega ao Planalto Central com peso de regulação (leia-se: passível de multas, portanto $). Porém e quanto à exposição das nossas informações por nós mesmos? Quem regula?

Por Gisele Truzzi

O S.O.P.A. (Stop Online Piracy Act), em tradução livre, “Lei de Combate à Pirataria”, foi um projeto de lei de autoria do Poder Legislativo dos Estados Unidos, que visava combater a violação de direitos autorais (“pirataria”) praticada via internet. Segundo os partidários do S.O.P.A., seu intuito seria proteger o mercado de propriedade intelectual e gerar receitas e empregos. Consequentemente, havia um grande “lobby” da indústria de entretenimento norte-americana para que esta lei fosse aprovada.

Na prática, o S.O.P.A. permitiria que o Departamento de Justiça norte-americano e os grandes detentores de direitos autorais obrigassem, judicialmente, que sites potencialmente violadores da propriedade intelectual fossem bloqueados. Além disso, o projeto de lei permitiria também que o governo norte-americano solicitasse que tais sites permanecessem ocultos nos resultados dos principais buscadores da internet, através da inserção de filtros de pesquisa.

A expectativa de aprovação de tal lei causou fortes protestos internacionais, tendo em vista que as conseqüências do S.O.P.A. refletiriam no mundo todo, equivalendo-se a medidas arbitrárias tomadas contra determinados sites, além de prática de censura através de filtros nos mecanismos de busca da internet.

A discussão trazida pelo S.O.P.A. aumentou com o fechamento do site MEGAUPLOAD, acusado de violar os direitos autorais, servindo como meio de compartilhamento de conteúdo “pirata”.

O S.O.P.A. foi tão criticado e visto como um mecanismo arbitrário de poder, violação da neutralidade da rede e censura, devido aos seguintes motivos:

a) Bloquearia total e irrestritamente sites que potencialmente violassem a propriedade intelectual. Tal atitude seria uma forma de censura e atentaria contra a liberdade de expressão na internet, suspendendo-se totalmente um domínio, ao invés de bloquear somente determinado conteúdo. Isso inviabilizaria completamente o site e afetaria todos os seus usuários, inclusive aqueles que armazenassem ou compartilhassem conteúdo lícito. No Brasil, ocorreu fato semelhante com o site Youtube, devido ao processo judicial movido pela apresentadora e modelo Daniela Cicarelli, que foi filmada em cenas íntimas com o namorado em uma praia e surpreendeu-se com o vídeo disponibilizado na internet. A decisão judicial, favorável à modelo, equivocou-se tecnicamente ao suspender totalmente os serviços do Youtube no Brasil, quando na realidade, deveria identificar e bloquear somente os usuários responsáveis pela divulgação do vídeo.

b) Não determinava a notificação prévia ao responsável pelo site, solicitando-lhe medidas quanto ao material potencialmente ilegal disponibilizado por um usuário. Tal atitude responsabilizaria o site pelo ilícito praticado por um indivíduo, e não permitiria ao detentor do serviço sequer a possibilidade de identificação do usuário e exclusão do material, condenando-o sumariamente pela prática delituosa de terceiro. Esta medida é contrária aos princípios democráticos de Direito, inviabilizando qualquer possibilidade de defesa ou de solução extrajudicial do conflito, e atribuiria objetivamente ao site a culpa de seu usuário. Para que os sites de compartilhamento de conteúdo evitassem sua punição, deveriam então adotar medidas de verificação de conteúdo, o que seria tecnicamente impossível, devido à quantidade de material hospedado, além de ilegal, pois permitiria a censura prévia aos materiais submetidos. Os domínios de compartilhamento de conteúdo teriam portanto, a capacidade de analisar, julgar e condenar os materiais a ele submetidos.

Certamente, se tal lei vigorasse, os reflexos seriam sentidos pelo mundo todo, com a inacessibilidade de diversos sites, inclusive inviabilizando a distribuição de material legal. Felizmente, o S.O.P.A. foi suspenso temporariamente, enquanto a discussão sobre o tema ainda continua.

No Brasil, vivenciamos situação semelhante quando a antiga redação do Projeto de Lei no 84/99, sobre Crimes Eletrônicos, ainda prevalecia, determinando que os provedores de serviço de internet identificassem e remetessem às autoridades qualquer ato de seus usuários que julgassem como “suspeito”. O artigo polêmico deste projeto de lei foi suprimido, a redação foi aprimorada e o conteúdo foi reduzido ao que se considera essencial na punição dos crimes eletrônicos, resultando no PL no 587/2011.

A situação exposta pelo S.O.P.A. demonstrou que a pirataria não é endêmica no Brasil, onde a chamada “Lei de Gérson” inoculada na mentalidade da maioria da população, faz com que o cidadão acredite ser correto comprar uma grande quantidade de filmes e CDs pirateados a preços irrisórios, ao invés de alugar alguns DVDs na locadora do bairro ou assinar um serviço legalizado de streaming online por um preço módico.

É notório que a nossa legislação brasileira relacionada aos direitos autorais encontra-se ultrapassada, o que de certa forma inviabiliza a produção cultural na sociedade digital atual, onde utilizamos inúmeras formas de compartilhamento de conteúdo. Porém, acabar com os direitos autorais ou bloquear sites por completo, sem qualquer notificação extrajudicial prévia, é um retrocesso, uma forma de impor uma Ditadura Online.

A internet não é uma terra sem lei. Porém, deve manter sua característica de dinamismo e neutralidade, possuindo um regramento mínimo. Afinal, já dispomos de todo o nosso ordenamento jurídico brasileiro para coibirmos violações aos direitos autorais e demais infrações legais.

Por Gisele Truzzi

O projeto pretende coletar e registrar as seguintes informações: quantidade de redes identificadas, se protegidas ou não, tipos de autenticação e criptografias utilizadas em cada uma delas. Essas informações serão utilizadas para gerar estatísticas sobre o uso de protocolos seguros e boas práticas de segurança. Nenhuma informação a mais é detectada, e não há intrusão nas redes, garantindo assim a privacidade de todas as redes e empresas atingidas pela pesquisa. Em breve o projeto acredita inclusive divulgar novas parcerias.

Linux Ubuntu, um sistema operacional de código aberto construído em volta do núcleo Linux baseado no Debian, sendo o sistema de código aberto mais popular do mundo. É patrocinado pela Canonical Ltd.

Kismet, um analisador de rede, e sistema de detecção de intrusão para redes 802.11 wireless. O Kismet pode trabalhar com as placas wireless no modo monitor, capturando pacotes em rede dos tipos: 802.11a, 802.11b e 802.11g. Funciona com os sistemas operacionais Linux, FreeBSD, NetBSD, OpenBSD, e Mac OS X. Existe um cliente para Windows, porem é necessário usar um servidor externo.
Além disso também foi utilizada uma configuração adicional ao Kismet, foi editado o parâmetro “logtypes” para que ficasse com os seguintes valores: logtypes=netxml,nettxt, pois assim são capturadas apenas informações de rede, excluindo captura de tráfego e posicionamento global.

- Antena Hypertec Omnidirecional,

Frequência: 24000-25000 MHz
Potência real: 25dbi
Polarização Vertical: 90°
Polarização horizontal: 360°
Radiação: Omnidirecional
Conector: N-Fêmea
Resistência ao Vento: 100km
- Antena Aquário (grade),

Frequência: 24000-25000 MHz
Potência real: 25dbi
Polarização: Linear vertical ou Horizontal
Conector: N-Fêmea
Resistência ao Vento: 100km

Para utilizar as antenas é necessário utilizar adaptadores capazes de receber os sinals obtidos pelas antenas citadas acima, e para isso utilizamos dois ótimos adaptadores USB, TP-Link modelo TL-WN422G e SmartLan Wireless modelo UW54, ambos com chipset Ralink e receptor pigtail.

Em breve faremos um novo post com mais informações sobre o projeto.

Por Filipe Villar.

Introdução

Essa pesquisa foi elaborada de forma independente por Filipe Villar. (filipevillar[at]gmail[dot]com) com a intenção de atender a necessidade de se identificar o perfil dos profissionais que atuam no mercado brasileiro de segurança da informação.

Essa pesquisa coletou 112 respostas de profissionais distintos no período de 01/06/2011 a 20/06/2011.

Dentre outras, foram coletadas de forma anônimas informações sobre o nível acadêmico, faixa salarial, perfil de atuação, tempo de profissão, certificações conquistadas, dentre outros dados.

Esse documento presta-se a publicar os resultados do cruzamento de alguns dos dados obtidos. Caso ache que essas informações não são suficientes, entre em contato com o autor da pesquisa solicitando outros resultados.

Em momento algum serão disponibilizados os dados brutos da pesquisa.

Compilação em gráficos

Continue lendo »

Por Mariano Sumrell.

Diariamente surgem mais de 40 mil novas ameaças na Internet. E esse número cresce constantemente. Essa enorme   produção é fruto de uma atividade profissional muito bem organizada, o Cibercrime. Estima-se que o cibercrime   movimente globalmente tanto dinheiro quanto o narcotráfico. É claro que a produção de malwares é apenas uma das   atividades do cibercrime que engloba espionagem industrial, sabotagem, aluguel de botnets, envio de SPAMs, venda   de produtos e muitos outros.

Mas o fato é que a produção de malwares cresce em quantidade e sofisticação. E os fabricantes de antivírus e outros   produtos de segurança precisam acompanhar esse ritmo para proteger os seus usuários. Nesse artigo vamos entender como os antivírus estão sendo capazes de oferecer proteção contra as atuais ameças.

Existem diferentes tipos de programas maliciosos ou malwares (MALicious softWARE): vírus, worms, cavalos de tróia ou trojans e outros. Neste artigo, vamos usar o termo vírus como é entendido informalmente, ou seja, como uma designação genérica de ameaças ou malware. Continue lendo »

Por Tulio Alvarez.

Introdução

A proteção da informação é fundamental para a manutenção da estabilidade e segurança das sociedades. Ao vivermos na era da informação, onde a dependência da tecnologia aumenta a cada dia, os riscos ligados às perdas de requisitos da segurança da informação como a confiabilidade, integridade e disponibilidade aumentam exponencialmente. A Sociedade da Informação encontra-se quase refém da tecnologia e a defesa e proteção da informação devem ser tratadas de maneira profissional e madura cada vez mais. Todos nós fazemos parte deste processo como integrantes do conjunto de atores que podem colaborar com a melhoria do nível atual de segurança das informações. O estudo e entendimento dos conceitos de Guerra e Defesa Cibernética é parcela da educação digital dos profissionais de segurança da informação e de qualquer cidadão brasileiro, pois permitirá um acompanhamento da evolução e tendências do mundo moderno. Desta forma, oportunidades poderão ser criadas para construirmos uma sociedade mais justa e segura. Ambos os termos dizem respeito a ações do Estado, seja em tempo de guerra ou na paz. Sendo o povo brasileiro parte da nação, estes conceitos se relacionam com o dia a dia da nossa sociedade, portando, dizem respeito ao cidadão brasileiro e a proteção de suas informações e comunicações [1]. Vale ressaltar que o espaço cibernético já faz parte de nossa Estratégia Nacional de Defesa como um dos setores de importância estratégica no Brasil [2].

O texto se propõe a lançar idéias para estudos e questionamentos, uma vez que os temas abordados são recentes, ainda não se encontram consolidados e carecem de maiores aprofundamentos e esclarecimentos.

Boa leitura! Continue lendo »

Por Rafael Soares.

Testes de invasão têm por objetivo verificar a resistência de redes, sistemas ou aplicações em relação aos atuais métodos de ataque. Diariamente são descobertas novas falhas nos mais variados sistemas, por isso é de fundamental importância auditorias preventivas, mais especificamente, Testes de Invasão, que podem dar um diagnóstico real sobre a segurança dos ativos em questão.

Algumas vezes é difícil justificar o ROI (Return of Investment) de um teste de invasão para os tomadores de decisão. É preciso mostrar os custos resultantes de um ataque bem sucedido (por exemplo, o prejuízo causado pela indisponibilidade de um site comercialmente ativo – seja um portal de vendas ou para anúncio de serviços) e compará-los ao custo de um teste de invasão, que pode indicar quão protegido o Cliente está deste risco. Além disso, cada vez mais normas internacionais estão recomendando (ou exigindo) testes de invasão periódicos a todos que querem entrar em conformidade com as mesmas.

O objetivo deste artigo é descrever as etapas de um teste de invasão, mostrando que a estrutura dos testes segue modelos cuidadosamente estruturados em passos bem definidos. Afinal, apesar das óbvias semelhanças, há uma série de diferenças entre um ataque simulado contratado e um ataque malicioso real. E é o que veremos à seguir.

1. Planejamento e Preparação
2. Avaliação
   1. Obtenção de Informação
   2. Sondagem e Mapeamento
   3. Identificação de Vulnerabilidades
   4. Exploração
3. Documentação e Relatório
4. Conclusões
5. Recomendações de leitura

Continue lendo »

Por Victor Santos.

Este artigo tem como objetivo apresentar aos iniciantes um estudo introdutório realizado sobre Sistemas de Detecção de Intrusões (IDS – Intrusion Detection Systems) usando unicamente softwares Open Source. Serão abordadas as formas de detecção, tipos de IDS, classificação e no final serão apresentadas as ferramentas Snort e Ossec. Continue lendo »