Especialistas apontam os caminhos para controlar funcionários que adotam técnicas para burlar os firewalls e acessar conteúdo indevido no ambiente de trabalho

CSO/EUA

Já foi o tempo em que bloquear o acesso às redes sociais no ambiente de trabalho era aceitável. Mas, em várias organizações, o que antes era considerado uso inapropriado da infraestrutura da companhia tornou-se essencial. Hoje, ambientes como o Facebook e o YouTube fazem parte das estratégias de marketing. Ao mesmo tempo, sistemas de mensagens instantâneas, tais como o AIM e o G-Chat, são amplamente usados na comunicação eficiente entre funcionários.

Na opinião do fundador e CTO da consultoria de TI Atomic Fission, Dave Torre, “a natureza do negócio deve definir a política de acesso a esses sites”. Ele acha que funcionários do Departamento de Defesa dos Estados Unidos, por exemplo, não precisam das redes sociais e não devem usar as máquinas da organização para acessá-las.

Já no caso de um funcionário do departamento de marketing, passar 15 minutos por dia em sites de relacionamento e em mídias sociais não é, nem de longe, suficiente. Assim, cabe ao gestor da área de TI avaliar qual a real importância desses sites para os funcionários.

Mesmo assim, há determinados tipos de site que não têm qualquer ligação com as atividades da empresa, nem há a menor justificativa para serem acessados - caso dos portais de jogos e sites adultos, por exemplo. Torre relata que com alguma frequência é procurado por clientes à procura de auxílio para se livrar de malwares inocentemente baixados durante uma sessão de pôquer.

Infelizmente, o simples bloqueio aos sites nem sempre é efetivo. Um funcionário engenhoso vai encontrar um jeito de driblar as restrições no trabalho. Ele vai comprometer a segurança, os dados e até a propriedade intelectual. Quem dá o alerta é o chefe de segurança da companhia de educação digital People Security, Hugh Thompson.

De acordo com Thompson, que também preside o comitê de segurança da RSA, fornecedora de soluções de criptografia que foi adquirida pela EMC, alguns atalhos encontrados na web para driblar os bloqueios são extremamente perigosos. "Eles criam canais na rede pelos quais fluem informações sem passar por qualquer tipo de monitoramento. Assim, até programas de prevenção de vazamentos de informações acabam tendo pouca eficiência”.

Confira abaixo cinco técnicas, das elementares às sofisticadas, usadas por funcionários para romper firewalls e medidas que devem ser adotadas para reforçar a proteções da rede corporativa.

1 - Digitar IP em vez da URL

Em determinadas ocasiões, inserir o endereço IP na barra dos navegadores pode iludir o firewall, caso este se baseie apenas no nome dos domínios para impedir o acesso. Há vários endereços que providenciam números IP para sites. Um exemplo de serviços desses está disponível em baremetal.com., que informa o IP de qualquer site. Copiar e colar esses códigos na barra de navegação dos browsers leva o internauta diretamente até esse conteúdo.

Solução

A maneira antiga de resolver esse problema seria usar uma relação de IPs e inseri-la em um tipo de blacklist. Há várias empresas que fornecem esse tipo de lista. Mas os especialistas recomendam ignorar a questão de IP/URL. Em vez de barrar, procure examinar o conteúdo de cada site. Isso vai exigir mais tempo para depurar as informações, mas é eficiente.

Determinadas páginas podem “importar” seções de outros sites. Se o endereço que importa essas informações for liberado, todas as requisições feitas ao conteúdo de outra página serão automaticamente “abençoadas”. O conselho é examinar o código fonte de cada site acessado.

2 – Carregar versões do cachê

Muitas páginas podem ser acessadas via cópia armazenada pelo próprio Google ao longo da indexação do conteúdo. Basta o usuário clicar no link “Em cache”, localizado no rodapé dos resultados de cada página exibida depois de uma busca.

O internauta é levado para dentro da página, sem abandonar o domínio do Google, ou seja, para qualquer bloqueador de URLs, o site de acesso negado não está sendo acessado. Quando um usuário navega no conteúdo armazenado de uma página dentro do Google, ele está em comunicação com o servidor dessa cópia (no caso o Google) e não com a página bloqueada.

Solução

Os especialistas recomendam a mesma solução indicada para o caso anterior, que é submeter o conteúdo a uma análise antes de chegar à máquina do usuário.

3 – Criptografar o conteúdo

Inserir HTTPS no começo de cada URL leva o usuário até uma versão básica do site e elimina boa parte dos seus elementos, mas mesmo assim garante acesso ao endereço “proibido”.

Há o SSH, criptografia de SOCKS e outros canais alternativos que “mascaram” o tráfego em redes menos sofisticadas. Elas se conectam às portas 80 ou à 443 – portas padrão para o protocolo HTTP. Então funcionam sem levantar qualquer suspeita, pois o que passa por elas é considerado tráfego normal de internet. E, quando temos o fator invisibilidade ao nosso lado, qualquer coisa é possível.

Solução

O conteúdo previamente criptografado por uma camada SSL e que flui por um canal que começa na máquina do usuário A e se estende até o ponto B, fora dos limites da rede corporativa, é muito difícil examinar.

É importante implementar proxies e gateways próprios para interromper qualquer encapsulamento e analisar cada pacote IP que chega e que sai da LAN.

As exceções intrínsecas às redes internas ou com proxies HTTPS transparentes impossibilitam o exame do que trafega na rede. A solução é submeter todo o tráfego a um intermediário que vai interromper a sessão iniciada e gerar uma nova ligação.

4 – Usar servidores Proxy e outras ferramentas de privacidade

Usar servidores Proxy particulares é outra artimanha usada. O funcionário pode configurar o navegador de forma a encaminhar todo o tráfego por um canal criptografado até um servidor externo que pode liberar o acesso irrestrito a sites e páginas.

Há uma extensão para o Firefox chamada GhostFox. Esse recurso instala um botão de privacidade logo abaixo do campo da URL e permite ao internauta escolher um servidor Proxy que blinde a navegação.

Especialistas dizem que houve um aumento razoável no uso desses recursos. Um exemplo disso é o Hamachi, uma ferramenta VPN usada para estabelecer um canal direto com um servidor, e há o programa Tor, uma espécie de roteador que envia a conexão com a internet para uma série de replicadores anônimos. Essas ferramentas foram criadas com o intuito de proteger a privacidade, mas são largamente usadas por pessoas que desejam esconder as atividades na internet, do departamento de TI.

É um jogo de gato e rato, afirmam especialistas. Não interessa se usam o Tor ou o Hamachi; as pessoas estão escondendo o tráfego com criptografia. A maioria dos recursos que filtram esse tráfego nas empresas não consegue visualizar o conteúdo circulante.

Solução

Se o servidor Proxy não for criptografado, o exame do tráfego fica facilitado e torna-se possível bloquear o acesso a servidores Proxy externos ou, como mencionado nos casos anteriores, analisar o conteúdo dos pacotes IP.

Com o conteúdo criptografado por ferramentas como o Tor, o bloqueio fica, na melhor das hipóteses, dificultado. O que pode ser feito é rastrear o Tor usando um sistema de detecção de invasores. Mas, lembre-se que essas ferramentas são altamente descentralizadas e operam de acordo com o modelo P2P, o que transforma a tarefa de geração das blacklists algo fenomenal, gigantesco.

5- Uso de smartphones

Usar smartphones para ficar ligado nos acontecimentos do Facebook ou do Twitter é algo absolutamente corriqueiro. Se usar um smartphone não é comparável a mexer de maneira indevida com o computador da empresa, ainda assim é um crime se for usado para acessar endereços da web não permitidos no local de trabalho. Em determinados casos, o Facebook ou o YouTube são bloqueados por razões de desempenho profissional. Visitar esses sites durante o expediente não difere muito de usar a estação de trabalho da companhia; de uma forma ou de outra, há o desperdício de tempo.

Solução

Neste caso, as opções de segurança são restritas, salvo o caso de o aparelho pertencer à corporação. Dispositivos como o BlackBerry podem ser configurados de tal maneira a negar o acesso às redes de relacionamento através das políticas de grupos e de servidores Proxy, igual acontece com notebooks e com PCs. Com dispositivos privados ou desbloqueados, há pouco que se possa fazer, a não ser negar a presença desses aparelhos no ambiente de trabalho.

No caso de organizações extremamente bem equipadas em termos de tecnologia, como acontece com entidades governamentais em que circulam informações ultraconfidenciais, sugere-se o uso de firewalls do tipo RF ou outra solução que barre conexões estranhas. Mas é uma solução de alto custo e considerada extrema. Em suma, os smartphones não são controláveis, restando ao empregador apostar na educação e no bom senso de funcionários e colaboradores.

Informar aos funcionários que o propósito das diretrizes de segurança é ajudar a empresa e, consequentemente, a manutenção do emprego de todos pode ser uma saída.

Especialistas apontam os caminhos para controlar funcionários que adotam técnicas para burlar os firewalls e acessar conteúdo indevido no ambiente de trabalho.

Já foi o tempo em que bloquear o acesso às redes sociais no ambiente de trabalho era aceitável. Mas, em várias organizações, o que antes era considerado uso inapropriado da infraestrutura da companhia tornou-se essencial. Hoje, ambientes como o Facebook e o YouTube fazem parte das estratégias de marketing. Ao mesmo tempo, sistemas de mensagens instantâneas, tais como o AIM e o G-Chat, são amplamente usados na comunicação eficiente entre funcionários.

Na opinião do fundador e CTO da consultoria de TI Atomic Fission, Dave Torre, “a natureza do negócio deve definir a política de acesso a esses sites”. Ele acha que funcionários do Departamento de Defesa dos Estados Unidos, por exemplo, não precisam das redes sociais e não devem usar as máquinas da organização para acessá-las.

Já no caso de um funcionário do departamento de marketing, passar 15 minutos por dia em sites de relacionamento e em mídias sociais não é, nem de longe, suficiente. Assim, cabe ao gestor da área de TI avaliar qual a real importância desses sites para os funcionários.

Mesmo assim, há determinados tipos de site que não têm qualquer ligação com as atividades da empresa, nem há a menor justificativa para serem acessados - caso dos portais de jogos e sites adultos, por exemplo. Torre relata que com alguma frequência é procurado por clientes à procura de auxílio para se livrar de malwares inocentemente baixados durante uma sessão de pôquer.

Infelizmente, o simples bloqueio aos sites nem sempre é efetivo. Um funcionário engenhoso vai encontrar um jeito de driblar as restrições no trabalho. Ele vai comprometer a segurança, os dados e até a propriedade intelectual. Quem dá o alerta é o chefe de segurança da companhia de educação digital People Security, Hugh Thompson.

De acordo com Thompson, que também preside o comitê de segurança da RSA, fornecedora de soluções de criptografia que foi adquirida pela EMC, alguns atalhos encontrados na web para driblar os bloqueios são extremamente perigosos. "Eles criam canais na rede pelos quais fluem informações sem passar por qualquer tipo de monitoramento. Assim, até programas de prevenção de vazamentos de informações acabam tendo pouca eficiência”.

Confira abaixo cinco técnicas, das elementares às sofisticadas, usadas por funcionários para romper firewalls e medidas que devem ser adotadas para reforçar a proteções da rede corporativa.

1 - Digitar IP em vez da URL

Em determinadas ocasiões, inserir o endereço IP na barra dos navegadores pode iludir o firewall, caso este se baseie apenas no nome dos domínios para impedir o acesso. Há vários endereços que providenciam números IP para sites. Um exemplo de serviços desses está disponível em baremetal.com., que informa o IP de qualquer site. Copiar e colar esses códigos na barra de navegação dos browsers leva o internauta diretamente até esse conteúdo.

Solução

A maneira antiga de resolver esse problema seria usar uma relação de IPs e inseri-la em um tipo de blacklist. Há várias empresas que fornecem esse tipo de lista. Mas os especialistas recomendam ignorar a questão de IP/URL. Em vez de barrar, procure examinar o conteúdo de cada site. Isso vai exigir mais tempo para depurar as informações, mas é eficiente.

Determinadas páginas podem “importar” seções de outros sites. Se o endereço que importa essas informações for liberado, todas as requisições feitas ao conteúdo de outra página serão automaticamente “abençoadas”. O conselho é examinar o código fonte de cada site acessado.

2 – Carregar versões do cachê

Muitas páginas podem ser acessadas via cópia armazenada pelo próprio Google ao longo da indexação do conteúdo. Basta o usuário clicar no link “Em cache”, localizado no rodapé dos resultados de cada página exibida depois de uma busca.

O internauta é levado para dentro da página, sem abandonar o domínio do Google, ou seja, para qualquer bloqueador de URLs, o site de acesso negado não está sendo acessado. Quando um usuário navega no conteúdo armazenado de uma página dentro do Google, ele está em comunicação com o servidor dessa cópia (no caso o Google) e não com a página bloqueada.

Solução

Os especialistas recomendam a mesma solução indicada para o caso anterior, que é submeter o conteúdo a uma análise antes de chegar à máquina do usuário.

3 – Criptografar o conteúdo

Inserir HTTPS no começo de cada URL leva o usuário até uma versão básica do site e elimina boa parte dos seus elementos, mas mesmo assim garante acesso ao endereço “proibido”.

Há o SSH, criptografia de SOCKS e outros canais alternativos que “mascaram” o tráfego em redes menos sofisticadas. Elas se conectam às portas 80 ou à 443 – portas padrão para o protocolo HTTP. Então funcionam sem levantar qualquer suspeita, pois o que passa por elas é considerado tráfego normal de internet. E, quando temos o fator invisibilidade ao nosso lado, qualquer coisa é possível.

Solução

O conteúdo previamente criptografado por uma camada SSL e que flui por um canal que começa na máquina do usuário A e se estende até o ponto B, fora dos limites da rede corporativa, é muito difícil examinar.

É importante implementar proxies e gateways próprios para interromper qualquer encapsulamento e analisar cada pacote IP que chega e que sai da LAN.

As exceções intrínsecas às redes internas ou com proxies HTTPS transparentes impossibilitam o exame do que trafega na rede. A solução é submeter todo o tráfego a um intermediário que vai interromper a sessão iniciada e gerar uma nova ligação.

4 – Usar servidores Proxy e outras ferramentas de privacidade

Usar servidores Proxy particulares é outra artimanha usada. O funcionário pode configurar o navegador de forma a encaminhar todo o tráfego por um canal criptografado até um servidor externo que pode liberar o acesso irrestrito a sites e páginas.

Há uma extensão para o Firefox chamada GhostFox. Esse recurso instala um botão de privacidade logo abaixo do campo da URL e permite ao internauta escolher um servidor Proxy que blinde a navegação.

Especialistas dizem que houve um aumento razoável no uso desses recursos. Um exemplo disso é o Hamachi, uma ferramenta VPN usada para estabelecer um canal direto com um servidor, e há o programa Tor, uma espécie de roteador que envia a conexão com a internet para uma série de replicadores anônimos. Essas ferramentas foram criadas com o intuito de proteger a privacidade, mas são largamente usadas por pessoas que desejam esconder as atividades na internet, do departamento de TI.

É um jogo de gato e rato, afirmam especialistas. Não interessa se usam o Tor ou o Hamachi; as pessoas estão escondendo o tráfego com criptografia. A maioria dos recursos que filtram esse tráfego nas empresas não consegue visualizar o conteúdo circulante.

Solução

Se o servidor Proxy não for criptografado, o exame do tráfego fica facilitado e torna-se possível bloquear o acesso a servidores Proxy externos ou, como mencionado nos casos anteriores, analisar o conteúdo dos pacotes IP.

Com o conteúdo criptografado por ferramentas como o Tor, o bloqueio fica, na melhor das hipóteses, dificultado. O que pode ser feito é rastrear o Tor usando um sistema de detecção de invasores. Mas, lembre-se que essas ferramentas são altamente descentralizadas e operam de acordo com o modelo P2P, o que transforma a tarefa de geração das blacklists algo fenomenal, gigantesco.

5- Uso de smartphones

Usar smartphones para ficar ligado nos acontecimentos do Facebook ou do Twitter é algo absolutamente corriqueiro. Se usar um smartphone não é comparável a mexer de maneira indevida com o computador da empresa, ainda assim é um crime se for usado para acessar endereços da web não permitidos no local de trabalho. Em determinados casos, o Facebook ou o YouTube são bloqueados por razões de desempenho profissional. Visitar esses sites durante o expediente não difere muito de usar a estação de trabalho da companhia; de uma forma ou de outra, há o desperdício de tempo.

Solução

Neste caso, as opções de segurança são restritas, salvo o caso de o aparelho pertencer à corporação. Dispositivos como o BlackBerry podem ser configurados de tal maneira a negar o acesso às redes de relacionamento através das políticas de grupos e de servidores Proxy, igual acontece com notebooks e com PCs. Com dispositivos privados ou desbloqueados, há pouco que se possa fazer, a não ser negar a presença desses aparelhos no ambiente de trabalho.

No caso de organizações extremamente bem equipadas em termos de tecnologia, como acontece com entidades governamentais em que circulam informações ultraconfidenciais, sugere-se o uso de firewalls do tipo RF ou outra solução que barre conexões estranhas. Mas é uma solução de alto custo e considerada extrema. Em suma, os smartphones não são controláveis, restando ao empregador apostar na educação e no bom senso de funcionários e colaboradores.

Informar aos funcionários que o propósito das diretrizes de segurança é ajudar a empresa e, consequentemente, a manutenção do emprego de todos pode ser uma saída.

(Joan Goodchild)

A árvore de falhas é um modelo gráfico, onde a combinação das falhas é descrita (i.e., a ocorrência em série ou paralelo dos eventos irá resultar na ocorrência do evento indesejado pré-definido).

As faltas podem ser do tipo falha de equipamento, erro humano, erro de software, ou qualquer outro evento pertinente no qual pode conduzir ao evento indesejado.

Contudo é importante perceber que a árvore de falhas é um modelo de todas as possíveis falhas do sistema ou todas as possíveis causas para a falha do sistema. Uma vez que a análise cobre somente as falhas que são consideradas realísticas pelo analista, e as que não se enquadram nesta exigência são desprezadas na análise.

A árvore de falhas pode caracterizar os resultados (conseqüências) como evento binário (i.e., sucesso ou falha). No modelo lógico existem entidades conhecidas como “portas”, que tem a função de permitir ou impedir a passagem de uma falha para o topo da árvore (i.e., as portas mostram a relação entre os eventos necessários para a ocorrência do evento “mais alto”, entende-se por evento “mais alto” as saídas das portas, e o evento “mais baixo” são as entradas na porta).

Para uma melhor compreensão na Figura1, o diagrama de blocos funcional do sistema “D” é convertido na respectiva árvore de falhas.

Fig1. Convertendo o diagrama de blocos funcional em uma árvore de falhas

Etapas para o desenvolvimento da análise da árvore de falhas

Com base em Stamatelatos, et al.(2002), uma análise de árvore de falhas, bem sucedida, deve possuir os seguintes passos:

•Identificar o objetivo da análise de árvore de falhas;

•Definir o evento topo da árvore de falhas;

•Definir o escopo da análise de árvore de falhas;

•Definir a resolução da análise de árvore de falhas;

•Definir as regras básicas para a análise de árvore de falhas;

•Construir a árvore de falhas;

•Avaliara a árvore de falhas;

•Interpretar e apresentar os resultados.

Os cincos primeiros estão relacionados à formulação (planejamento) da árvore de falhas, já os passos seis, sete, e oito estão relacionados à construção, avaliação e interpretação dos resultados respectivamente. Nem todos estes passos são executados em seqüência, é possível, porém executar os passos os passos três, quatro, e cinco simultaneamente, também não é incomum os passos quatro e cinco serem modificados durante os passos seis e sete.

Abaixo o inter-relacionamento entre os passos é mostrado na Figura 2, as setas no sentido da direita para esquerda, significam re-alimentação dos passos anteriores.

Figura 2. Etapas da análise da árvore de falhas

O primeiro passo está relacionado à identificação do objetivo da análise de árvore de falhas, a primeira vista é possível acreditar que este passo parece obvio, no entanto se a construção for designada para uma equipe que não incorporou de forma concreta o objetivo da análise, ou se o objetivo não for claramente esclarecido, dificilmente os objetivos de diferentes equipes coincidirão. Uma vez que o critério de sucesso, como foi visto anteriormente, possui vários níveis, baseado no espaço de sucesso e falha, por isto é difícil perceber qual de fato é o critério de sucesso sob o ponto de vista decisor.

Uma vez que o primeiro passo foi executado, o segundo passo torna-se mais obvio, pois definir o evento topo é a definição literal de qual modo de falha do sistema será analisado. Se o sistema analisado possui diferentes fases, então os eventos topos são analisados para cada fase do sistema. A definição do evento topo é uma das mais importantes tarefas na análise de árvore de falhas, uma vez que o evento topo define a direção de toda a análise restante, e uma vez que ele é definido de forma incorreta, o restante da análise estará incorreta também, podendo conduzir até a uma tomada de decisão incorreta.

É extremamente frutífero definir vários eventos topos potencias e a partir deles decidir o mais apropriado frente ao decisor. Uma boa prática é definir o evento topo em função de critérios específicos que define a ocorrência do evento, outra boa prática é primeiramente definir o critério de sucesso para o sistema, e assim o evento topo do sistema será definido como a falha em satisfazer o dado critério de sucesso. Por exemplo, se o critério de sucesso para um dado poço de petróleo é que ele produza sem intervenção por pelo menos um ano, então o evento topo pode ser definido como: “falhar em operar sem intervenção por menos um ano”. Em resumo os pontos que devem ser levados em consideração na definição do evento topo deve ser os seguintes:

•Definir o evento topo, definir critérios para a ocorrência do evento;

•Garantir que o evento topo seja consistente com o problema a ser solucionado e objetivo da análise;

•Se incerto, o evento topo, definir várias possibilidades possíveis, que cubra o objetivo da árvore e avaliar a aplicabilidade de cada um.

No terceiro passo, onde o escopo da análise é definido, ela indica quais falhas e contribuidores serão incluídos, e quais não serão. No escopo também é incluída a condição de contorno para a análise. A condição de contorno inclui estado inicial do componente e os “inputs” que serão considerados para o sistema, desta forma a árvore de falhas é uma representação instantânea do sistema para um dado tempo, uma dada configuração e contorno.

De forma geral definir o contorno da análise significa definir o que está dentro da análise e o que está fora. O que está dentro da analise, são os contribuidores e eventos no qual estão relacionados ao evento topo indesejado, e o que esta fora da análise, são os contribuidores que não serão analisados. Em caso de sistemas onde mais de uma versão está disponível, nesta etapa será definido qual versão do sistema será analisada (i.e., em caso da análise de equipamentos onde novas versões são lançadas, versões de atualização).

No quarto passo o processo de resolução da análise de árvore de falhas é definido. Nele, o nível de detalhe no qual a causa de falha para o evento topo será desenvolvida é determinado. O processo de resolução, basicamente é dependente de duas características, a primeira é o foco da análise, uma vez que o evento topo é definido em função de um evento indesejado, que pode ser, por exemplo, “incêndio em um poço de petróleo”, então a resolução conduzirá ao nível de detalhe em que a modelagem das causas pode ser feita, a outra está vinculada aos dados disponíveis. A árvore é freqüentemente desenvolvida ao nível de detalhe da disponibilidade dos dados.

No quinto passo as regras básicas são definidas. Nela esta incluída o procedimento e nomenclatura pelo quais os eventos e portas serão nomeados na árvore de falhas. Esta organização é importante, uma vez que ela tornará a árvore de falha compreensível. Caso esta etapa seja desprezada, em caso de construção de várias árvores por diferentes equipes de especialistas, certamente o re-trabalho gerado na padronização após a construção, dependendo da complexidade do sistema, será extremamente dispendiosa.

No sexto passo que trata da construção da árvore de falhas, será comentado com maior detalhe mais adiante.

No sétimo passo a avaliação da árvore de falhas é feita. A avaliação inclui tanto a qualitativa quanto a quantitativa. A avaliação qualitativa está relacionada à análise dos cortes mínimos, natureza dos eventos básicos, e numero de eventos combinados em cada corte. Na avaliação quantitativa é analisada a probabilidade de cada evento, análise de dominância, análise dos cortes mínimos em função da probabilidade (qual possui maior ou menor probabilidade) e ordenação. É possível fazer também estudos de sensibilidade e avaliação da incerteza.

No oitavo passo a interpretação e apresentação dos resultados. Os resultados devem ser interpretados para fornecer implicações práticas tangíveis, especialmente centradas no impacto potencial sobre o objetivo.

No proximo artigo daremos continuidade a metodologia com "Avaliação qualitativa e quantitativa da árvore de falha"

Ref. Introdução: Introdução ao Fault Tree Analysis  

Os objetivos primários de qualquer análise de confiabilidade, impacto ou segurança é reduzir a probabilidade de um incidente ocorrer. Entendendo os impactos, podemos entender o quanto estão suscetíveis aos riscos os recursos de TI e posteriormente entendendo os impactos e riscos da uma eminência de um incidente que possa provocar uma indisponibilidade e possível definir planos de disponibilidade de forma de mitigar os riscos associados e a capacidade de recuperar a qualidade do serviço indisponível ou degradado.

Fault Tree Analysis

A utilização prática da teoria da confiabilidade surgiu primeiramente na indústria aeronáutica após a primeira guerra mundial. No início da década de 60 os laboratórios Bell desenvolveram o conceito de FTA para um projeto da força aérea americana. Pouco tempo depois a Boeing utilizava extensivamente a metodologia FTA para o estudo de eliminação de falhas do sistema de trem de pouso de aeronaves. Devido aos excelentes resultados obtidos pela Boeing a metodologia FTA foi rapidamente absorvida por outros segmentos industriais (automobilística, petroquímicas, nucleares, etc).

Atualmente a metodologia FTA é reconhecida como uma das melhores ferramentas de abordagem sistêmica de falhas, sendo o seu uso amplamente utilizado para produtos complexos, tais como, aviões, alto-forno e automóveis, além de ser utilizada também para a abordagem sistêmica de problemas organizacionais das empresas.

FTA é uma ferramenta de análise de confiabilidade em que a técnica de análise de falhas pode ser do tipo qualitativa ou quantitativa. Na análise qualitativa, o objetivo reside na determinação das causas básicas que levaram um evento qualquer a falhar. Para a análise quantitativa, o objetivo é determinar a probabilidade de ocorrência de falhas para o evento estudado. Os itens abaixo apresentam as principais vantagens do uso de FTA:

•Fácil visualização do problema possibilitando um conhecimento aprofundado do sistema e de sua confiabilidade;

•Excelente ferramenta para o conhecimento sistêmico de processos complexos;

•Permite a determinação de falhas de difícil detecção;

•Identifica itens que necessitam ter um alto nível de confiabilidade;

•Possibilita uma análise qualitativa ou quantitativa visando a confiabilidade de um sistema;

•Possibilita introduzir reduções de custo no equipamento ou produto sem prejudicar o atual desempenho;

•Possibilita formular planos de manutenção centrados em confiabilidade;

•Permite identificar procedimentos de manutenção com o enfoque de diminuir a probabilidade de quebra.

Uma indisponibilidade ocorre quando um evento inicial ocorre, seguido pela falha dos sistemas.

Os três tipos de falhas dos eventos básicos são propostos por Kumamoto:

1.Eventos relacionados ao homem;

2.Eventos relacionados a equipamentos;

3.Eventos relacionados ao ambiente.

Um quarto tipo de falha deve ser adicionado, que são os eventos relacionados ao software, uma vez que a automação é generalizada nas indústrias atuais. Porém em eventos relacionados à falha de software têm como causa raiz o eventos relacionados ao homem (erro de codificação falta de procedimentos de testes de stress na aplicação).

Em geral a indisponibilidade ocorre devido à falha combinada de dois ou mais eventos, que pode ser: equipamento junto com o erro humano e (ou) falta ambiental.

Algumas políticas para reduzir estes riscos são:

1.Redundância de equipamentos;

2.Inspeção e manutenção;

3.Sistema e segurança;

4.Sistema com falha segura e projeto de falha suave.

A identificação do relacionamento causal entre eventos relacionados ao homem, ao equipamento, e ao ambiente, que pode conduzir a um evento indesejado, é um objetivo da Análise Probabilística do Risco (APR). Uma vez que esta análise é concluída, medidas de reengenharia contribuem para a melhoria da operacionalidade segura e (ou) confiável do sistema.

A análise árvore de falhas é uma técnica dedutiva (i.e., abordagem baseada na falha, iniciando a análise supondo a ocorrência da um evento indesejado, tal como perda de um poço de petróleo, e a partir deste evento determina [deduz] suas causas, utilizando um processo de análise para traz, identificando os eventos que poderiam ter ocorrido contribuindo para a ocorrência do evento analisado).

Figura 1. Método Dedutivo

Com o objetivo de determinar as causas, utilizamos à análise de árvore de falhas, nela existem eventos necessários e suficientes que resultam na ocorrência do evento indesejado, ou evento topo. A análise de árvore de falhas é também um modelo qualitativo que fornece informações importantes das causas do evento indesejado. Exemplo: Qual causa é mais relevante? Ou listar em nível de relevância todas as causas. Quando quantificada fornece informação sobre a probabilidade de ocorrência do evento topo e a importância de todas as causas e eventos intermediários modelados na árvore de falhas.

À análise de árvore falhas pode ser somada a métodos de abordagem indutiva que também são utilizadas em análise de segurança e risco, e análise de confiabilidade. Diferente da abordagem dedutiva usada em análise de árvore de falhas, métodos indutivos são processos de análise para frente (i.e., inicia na causa básica ou evento inicial, e a partir dele investiga [induz] os efeitos finais). Ambos, análise de árvore de falhas e métodos indutivos são baseados na falha.

Figura 2. Método Indutivo

A análise de árvore de falhas fornece informações críticas que pode ser usada para priorizar em grau de importância dos contribuidores do evento indesejado. A ordem hierárquica dos contribuidores do evento indesejado mostra as causas que são mais dominantes, no sentido de contribuir para a ocorrência deste evento.

Análise do risco / benefício pode também ser utilizada para definir de maneira mais precisa a alocação de recursos, com o objetivo de reduzir a alocação de recursos e a probabilidade de ocorrência de um evento indesejado de forma correlacionada.

Esta análise pode ajudar na tomada de decisão do desenvolvimento de tecnologia de monitoramento de poço ou completação inteligente, por exemplo. Comparando o investimento necessário e o beneficio de cada investimento na redução da probabilidade de falha de um componente ou missão, estas perguntas podem ser respondidas.

A análise de árvore de falhas pode também ser usada como um elemento importante no desenvolvimento de projetos baseados no desempenho, uma vez que as causas e conseqüências são analisadas tanto qualitativamente quanto quantitativamente.

Aplicando a análise de árvore de falhas em sistemas já existentes, ela pode ajudar na identificação de pontos fracos e na avaliação de possíveis aprimoramentos de sistemas, pode também ser usada para monitorar e predizer comportamento do sistema estudado.

No proximo artigo estarenmos abordando a metodologia do FTA utilziando ele na pratica....

O NetworkMiner é uma ferramenta NFAT (Network Forensic Analysis Tool) para o Windows. Basicamente, ele pode ser utilizado em rede para detectar informações específicas que estejam disponíveis nela. Este programa pode ser utilizado, por exemplo, para o mapeamento de uma rede e auditoria de segurança ou criação de um inventário dela.

O propósito do programa é coletar informações sobre os servidores que estejam na rede ao invés de coletar dados referentes ao tráfego decorrente nela. Na interface do programa você pode visualizar informações centradas no host (exibidas por grupos) ao invés de uma lista de pacotes. Ele também pode ser útil no auxílio de rastreamento de programas maliciosos que possam estar alojados na rede.

Entre os resultados disponibilizados pelo programa, ele mostra quais Sistemas Operacionais estão sendo executados nos computadores, se eles possuem firewalls, quais serviços esses hosts disponíveis possuem para disponibilização, entre outras. Devido a essas características, ele pode ser utilizado para o gerenciamento de atualizações, disponibilidade de determinado serviço ou monitoramento.

Embora o desenvolvedor deste programa tente fazer o possível para que ele seja de fácil utilização, até mesmo para iniciantes, ele não é tão simples assim. Sem dúvidas a interface gráfica auxilia, mas ainda assim leva-se um pouco de tempo para entender exatamente como efetuar a verificação disponibilizada pelo aplicativo.

Download

Uma falha na atualização do antivírus da McAfee, enviada para administradores de redes ontem (21/4), fez com que arquivos essenciais de computadores fossem colocados em quarentena e que máquinas com XP entrassem em pane, com um processo de reboot (desligar e ligar) sem fim.

O problema fez com que o fórum de suporte da empresa ficasse cheio de mensagens de usuários com problemas. Curiosamente, esse espaço de reclamações saiu do ar logo depois.

A empresa admitiu que enviou a atualização com bugs. "Estamos cientes de que alguns clientes têm recebido falsos positivos, por conta da definição de vírus (DAT) 5858, lançada no dia 21/4”, afirmou o porta-voz da empresa, Joris Evers.

O problema enfureceu usuários, que publicaram mensagens iradas na página da McAfee de suporte. “Como diabos eles colocam um DAT que mata processos vitais do sistema?”, escreveu Jeff Gerard ,em sua reclamação. “Isso é absurdamente ridículo”, disparou um administrador de redes que se identificou como Gerard.

O problema afeta “apenas” máquinas com Windows XP Service Pack 3. Vista e Windows 7 estão livres desse bug. 
Para amenizar a questão, a McAfee divulgou um alerta pedindo que os usuários não instalem a atualização defeituosa e informações sobre como resolver o problema, caso já tenham baixado o arquivo.

Panes em antivírus não são uma coisa rara. Há um mês a BitDefender liberou um update que dava pau em computadores com versões de 64 bits do Windows. Em 2005, foi a vez da Trend Micro oferecer uma atualização que deixava os PCs lentos. E a Symantec fez o mesmo em 2007, com milhares de computadores na China sendo afetados pelo problema.

Após o 11 de Setembro de 2001, muito se comentou em relação aos riscos de indisponibilidade dos negócios. Estudos mostraram que após o ataque terrorista em Nova York, 70% das empresas que não conseguiram acessar seus dados em no máximo cinco dias abriram falência.

Sobreviver aos danos provocados por impactos de eventos inesperados, de ruptura total ou parcial, é a principal razão para que qualquer empresa implemente o Plano de Continuidade de Negócios.

Os principais componentes de um Plano de Continuidade de Negócio – PCN são: Análise de Riscos; BIA – Mapeamento dos Processos; Planos de Contingência / Estratégia e Validação Testes / Procedimentos. No ambiente de continuidade de negócios, uma das mais importantes atividades realizadas é o BIA – Business Analysis Impact ou Análise de Impacto nos Negócios.

Sob aspecto do ITIL, analisando o processo de Continuidade do Serviço partimos da maxima que deve garantir que os serviços e instalações de TI possam ser recuperados dentro das janelas de tempo requeridas e acordadas com o negócio.

No momento da analise do plano de continidade deve-se considerar os seguintes aspectos fundamentais dentro deste processo:

O Gerenciamento da Continuidade do Negócio (GCN) que se preocupa com o Gerenciamento da Continuidade de Negócio que incorpora todos os serviços dos quais o negócio depende, entre eles TI.

O Gerenciamento da Continuidade dos Serviços em TI (GCSTI) focado na continuidade dos serviços de TI para o negócio.

E que o GCSTI se torne parte integral do gerenciamento corporativo para que objetivos de negócio e metas sejam alcançados e mantidos.

O Gerenciamento da Continuidade podemos associar as seguintes deifnições:

• Desastre (naturais, greves..etc)
• Gerenciamento de Crise
• Planejamento de Recuperação de Desastre
• Análise de Risco e Método de Gerenciamento do CCTA
• Opções de Recuperação

Na momento de projetar um plano de continuidade para sua organzação considere as seguintes fases na construção do plano:

Inicio

• Iniciar o plano de Continuidade

Requisitos e Estrategia

• Análise de Impacto no Negócio
• Avaliação de Risco
• Estratégia de Continuidade de Negócio

Implemementação

• Organização e Planejamento de Implementação
• Preparativos de reserva para implementação
• Desenvolvimento de Planos de Recuperação
• Implementação medidas de redução de risco
• Desenvolvimento de Procedimentos
• Teste Inicial

Durante a fase de implementação levar em conta:

• Educação & Conscientização
• Revisão & Auditoria
• Teste
• Gerenc.de Mudanças
• Treinamento

Gerenciamento Operacional

Seguindo o ciclo de PDCA, realizar testes no minimo uma vez por ano.

Lembrando-se que necessario mapear os componentes de um Plano de Continuidade, cirtado no inicio da materia.

Texto original de Marcus J. Ranum , expert em arquitetura e implementação de sistemas de segurança e inventor do firewall Gauntlet.

Há muita inovação acontecendo na área de segurança – estamos inundados por uma forte correnteza de novos produtos e parece que isso tudo funciona maravilhosamente bem. A cada poucos meses, sou convidado para uma nova conferência sobre segurança de computadores, ou pedem para que eu escreva o prefácio de um novo livro. E, graças ao fato de este ser um tópico de interesse público e um “tema seguro” para políticos discorrerem, podemos esperar uma enxurrada de legislação sobre o assunto. Resumindo: segurança de computadores é definitivamente um “assunto quente”.

Mas por que estamos gastando todo esse tempo e dinheiro e ainda temos problemas com isso?

Deixe-me apresentar a você as seis idéias mais idiotas sobre segurança de computadores. O que são elas? Elas são as anti-boas idéias. Elas são as idiotices que fazem o seu turbo-firewall baseado em ASIC, de última geração e que custou US$100.000,00 ser transparente para os hackers. De onde vêm as anti-boas idéias? Elas vêm de tentativas canhestras de fazer o impossível (o que equivale a tentar ignorar a realidade). Freqüentemente estas tentativas idiotas são esforços sinceros de pessoas bem intencionadas ou de empresas que simplesmente não entendem toda a situação.

Algumas vezes os responsáveis são aqueles bandos de empreendedores “espertos” que tentam ganhar dinheiro rápido com uma porcaria de produto bem marquetado.

Em todos os casos, estas idéias imbecis são as razões fundamentais pelas quais todo aquele dinheiro que você gastou em segurança da informação vai ser desperdiçado, a menos que você de alguma maneira consiga evitá-las.

1 - Permitido por padrão

Essa idéia idiota costuma aparecer em várias formas; é incrivelmente persistente e difícil de erradicar. Por que? Porque ela é tão atraente. Sistemas baseados em “Permitido por padrão” são as calorias sem vitaminas da segurança de computadores: saborosas, mas engordativas.

A manifestação mais reconhecível dessa idéia idiota aparece em regras de firewall. Nos primórdios da segurança de computadores, os gerentes de rede configuravam uma conexão à Internet e decidiam torná-la segura desligando o telnet, conexões de rlogin e telnet vindas da Internet. Tudo o mais era permitido, daí o nome “Permitido por padrão”. Este procedimento iniciava uma briga sem fim entre o administrador da rede e os hackers. Suponha que apareça uma nova vulnerabilidade em um serviço que não está bloqueado – agora o administrador precisa decidir se a bloqueia ou não (tomara que ele o faça antes de ser hackeado). Muitas empresas adotaram a política do “permitido por padrão” no começo da década de 90, e se convenceram de que ela era boa porque “os hackers nunca vão se importar em nos invadir”. O advento dos vermes (worms) nessa década deveria ter sepultado essa política para sempre, mas não foi assim. Na verdade, ainda hoje muitas redes são construídas em torno da idéia de um núcleo aberto sem segmentação. Isso é “permitido por padrão”.

Um outro lugar em que aparece o “permitido por padrão” é na maneira como tratamos a execução de programas em nossos sistemas. O padrão é permitir que qualquer coisa sobre a qual você clique em sua máquina seja executada, a menos que essa execução seja proibida por algo como um antivírus ou um bloqueador de spyware. Se você pensar sobre isso uns poucos segundos, vai entender o quão idiota é essa idéia. Em meu computador, costumo executar por volta de 15 aplicações regularmente. Provavelmente, existem umas outras 20 ou 30 instaladas, que eu uso a cada poucos meses. Ainda não consigo entender como os sistemas operacionais são tão idiotas que permitem que qualquer vírus ou spyware seja executado sem ao menos me perguntar. Isso é “permitido por padrão”.

Há alguns anos atrás, trabalhei analisando os procedimentos de segurança de um website, como parte de um projeto de segurança de E-banking. Esse website tinha um balanceador de carga e era capaz de redirecionar o tráfego dependendo da URL acessada. Meu cliente queria usar o balanceador para evitar vermes e hackers redirecionando os ataques para um endereço “black-hole”. Redirecionar os ataques significaria adotar uma política de “permitido por padrão” (isto é: se não é um ataque conhecido, deixe passar). Ao invés disso, orientei-o a adotar o enfoque oposto. O balanceador foi configurado para redirecionar qualquer tráfego que não tivesse correspondente em uma lista de URLs permitidas para um servidor que tinha apenas imagens e páginas de não encontrado (404), e que tinha uma configuração especialmente “trancada”. Como era de se esperar, esse site tem resistido bem ao teste do tempo.

Um sintoma claro de que um caso de “permitido por padrão” está em andamento é quando você se vê em uma briga interminável com hackers. Isto significa que você mesmo se pôs em uma situação onde o que você não sabe pode atingi-lo, e você vai se dar mal se continuar brincando de “conserta/estraga”.

O oposto do “permitido por padrão” é o “proibido por padrão” e essa é realmente uma boa idéia. Implementar uma política de “proibido por padrão” demanda dedicação, esforço intelectual e compreensão, o que explica porque ela é tão pouco realizada. É mais difícil do que usar “permitido por padrão”, mas você vai dormir muito melhor à noite.

2 - Enumerando maldades

N.T.: O título original desta seção é "Enumerating badness". O termo “badness” tem, nesse caso, a conotação inteligentemente irônica que M.J. Ranum tenta imprimir a todo o texto, e transmite uma grande abrangência (software realmente maldoso, somente mal feito ou mal projetado, falhas em sistemas operacionais e por aí vai). Optei então pela tradução mais literal de “maldades”. O mesmo vale para o termo “goodness”, que comtempla tanto o software inócuo quanto o bem pensado/projetado/implementado.

Nos primórdios da segurança de computadores, havia apenas um número relativamente pequeno de vulnerabilidades, todas bem conhecidas. Isto tinha muito a ver com a adoção em massa do “permitido por padrão” porque, quando existiam apenas 15 maneiras bem conhecidas de se invadir uma rede, era possível pensar e examinar caso a caso esses 15 tipos de ataque e bloqueá-los. Os responsáveis pela segurança criaram então o hábito de “Enumerar Maldades” – fazer uma lista de todas as maldades existentes. Uma vez que você listasse todas elas, podia se organizar para detectá-las ou bloqueá-las.

Figura 1: "A escalada da maldade"

Por que “Enumerar Maldades” é uma idéia idiota? É idiota porque, por volta de 1992, o número de maldades na Internet começou a superar de muito o número de bondades. Para cada software inócuo e legítimo havia dezenas, centenas de malwares, vermes, exploits ou vírus. Examine um antivírus típico e você vai ver que ele tem cadastrados mais de 75000 vírus que podem invadir sua máquina. Compare esse número com os 30 softwares que tenho instalados em minha máquina, e você vai ver que parece idiota tentar controlar 75000 malwares quando até o programa mais simples consegue controlar os 30 softwares legítimos. Na verdade, se eu simplesmente permitisse que só esses 30 programas fossem executados em minha máquina (e portanto não deixasse mais nada ser executado), eu teria simultaneamente resolvido todos os problemas abaixo:

• Spyware

•Vírus

•Cavalos de tróia

•Exploits que envolvem a execução de código pré-instalado que você não usa regularmente

Graças a todo o apelo de marketing criado em torno da descoberta e anúncio de vulnerabilidades, existem (de acordo com alguns analistas da indústria) entre 200 e 700 novas maldades aparecem na Internet todo mês. “Enumerar maldades” não apenas é uma idéia idiota, ela se torna pior durante os poucos minutos do seu tempo que fiz você gastar lendo este artigo.

Mas quando eu discuto esse conceito com o executivo típico de TI, ele ou ela dizem algo do tipo “Está certo, mas nossa rede empresarial é realmente complexa. Saber todas as aplicações que usamos seria impossível! O que você diz soa razoável até que você pense nisso e veja o quão absurdo é!”. Ao que eu respondo “Como você pode se denominar um CTO se não tem idéia sobre o que a tecnologia que você usa está fazendo?” Um CTO não tem que saber cada detalhe sobre todas as aplicações que são executadas na rede, mas se ele não tem nem mesmo uma vaga idéia sobre o que está acontecendo é impossível fazer um planejamento de capacidade, de recuperação de desastres, de segurança, ou virtualmente de qualquer coisa que seja de responsabilidade de um CTO.

Em 1994 escrevi um firewall que precisava fazer algumas análises dos logs do sistema que alertariam o administrador no caso de alguma condição inesperada acontecer. A primeira versão usava “enumeração de maldades” (eu também era idiota), mas a segunda versão já implementava o que eu denominei “Ignorância Artificial” – um processo através do qual você descarta as entradas do log que sabe não serem interessantes. Se ainda sobrou algo depois de jogar fora tudo o que você sabe que não é interessante, então o resto tem que ser interessante. Este método funcionava surpreendentemente bem, e detectou um bom número de erros e condições operacionais interessantes que eu simplesmente nunca teria procurado encontrar.

“Enumerar maldades” é a idéia por trás de um imenso número de produtos e sistemas de segurança, de antivírus a sistemas de detecção de intrusos, prevenção de intrusões, segurança de aplicações e firewalls de inspeção em profundidade de pacotes. O que esses programas e dispositivos fazem é assumir a responsabilidade de avaliar o que é legítimo. Ao invés de você mesmo usar seu tempo para fazer isso, é mais fácil pagar US$29,95 por ano para alguém que vai tentar manter uma lista exaustiva de todos os males do mundo. Exceto se, infelizmente, o seu expert em maldades vai ganhar US$ 29,95 por ano pela lista de vírus, outros US$ 29,95 por ano pela lista de spywares e você vai comprar um firewall pessoal que controla as aplicações de rede. A partir do momento em que você estiver pagando outras pessoas para enumerar todos os malwares que podem vir a ter contato com seu sistema, você mais que dobrou os custos com seu sistema operacional “quase sem custo”.

Um sintoma claro de que um caso de “Enumerando Maldades” está em curso é você ter um sistema ou software que necessita de atualizações regulares, ou um sistema que deixa passar um novo worm que não existia até o momento. A cura para “Enumerar Maldades” é, é claro, “Enumerar Bondades”. De maneira surpreendente, não existe virtualmente nenhum suporte de software nos sistemas operacionais para realizar este controle. Eu tentei usar o “Controle de Execução de Programas” do Windows XP, mas ele é orientado para “Enumerar Maldades” e é, ele próprio, uma implementação idiota de uma idéia idiota.

Pensando bem, “Enumerar Maldades” é um caso especial de “Permitido por Padrão” – nossa idéia idiota número 1. Mas acontece tanto que acaba merecendo ser uma classe separada.

3 - Invadir e Corrigir

Há um provérbio que diz: “Você não pode fazer uma bolsa de seda a partir de uma orelha de porco.” Isso é bastante verdadeiro, a menos que você use tanta seda para remendar a orelha do porco que ela acabe completamente substituída. Infelizmente, quando um software com bugs é consertado, esse conserto é quase sempre realizado adicionando-se código novo, ao invés da remoção dos velhos bits da orelha do porco.

“Invadir e corrigir” é uma idéia que é melhor expressada em BASIC:

10 GOSUB PROCURAR_POR_BURACOS

20 IF BURACO_ENCONTRADO = FALSE THEN GOTO 50

30 GOSUB CONSERTA_BURACO

40 GOTO 10

50 GOSUB PARABENS

60 GOSUB SER_EVENTUALMENTE_HACKEADO

70 GOTO 10

Em outras palavras, você ataca seu firewall/software/website/qualquer coisa de fora para dentro, identifica uma falha, conserta a falha e volta a procurar. Um de meus colegas programadores chama esse processo de “polir cocô” porque, na opinião dele, isso não faz seu código menos fedorento a longo prazo, mas os gestores apreciam sua aparência melhorada e brilhante no curto prazo. Em outras palavras, o problema com “Invadir e Corrigir” é que ele não faz o seu código/implementação/sistema melhor por design, mas simplesmente fortalecido por tentativa e erro. O relatório de Richard Feynnman, “Observações Pessoais sobre a Confiabilidade do Ônibus Espacial” era leitura obrigatória para os engenheiros de software que eu contratava. Ele contém considerações profundas sobre expectativa de confiabilidade e como ela é obtida em sistemas complexos. Resumidamente, o significado para os programadores é: “Seu sistema não será hackeado a menos que ele seja percebido como possível de ser hackeado.”

“Invadir e Corrigir” acontece em todos os lugares, e é a idéia idiota primária por trás desse frenesi de descoberta de vulnerabilidades e atualizações de segurança, que vem se arrastando pelos últimos 10 anos. A premissa dos “caçadores de vulnerabilidades” é de que eles estão ajudando a comunidade a encontrar buracos nos softwares e consertando-os antes que os hackers os encontrem e os explorem. A premissa dos fornecedores é que eles estão fazendo a coisa certa ao empurrar as atualizações para consertar os bugs antes que os hackers e os criadores de vermes possam agir para aproveitá-los. Neste cenário, ambas as partes estão sendo idiotas porque se os fornecedores estivessem escrevendo código que fosse concebido para ser seguro e confiável, então a descoberta de vulnerabilidades seria uma tarefa tediosa que não valeria a pena!

Deixe-me explicar de maneira diferente: se “Invadir e Corrigir” fosse uma idéia efetiva, já não haveria bugs de segurança no Internet Explorer . Há quanto tempo isso acontece? Dois ou três meses ou dez anos? Se você avaliar as aplicações mais usadas da Internet, vai ver que existem várias delas que apresentam vulnerabilidades de segurança constantemente. Existem também umas poucas, como o PostFix e o Qmail, que foram desenhadas para ser compartimentalizadas em si mesmas, com permissões e processamento modularizados e que – nenhuma surpresa aqui – tem históricos de pouquíssimos bugs. A mesma lógica se aplica a “testes de invasão”. Eu conheço redes que foram “testadas por invasão” n vezes e ainda assim são continuamente hackeadas em pedaços. Isso acontece porque seu design (ou suas práticas de segurança) são tão fundamentalmente falhos que nenhuma quantidade de polimento de cocô vai manter os hackers de fora. Eles somente mantêm os auditores e os gerentes longe do pescoço do administrador de rede. Eu também conheço outras redes que são, literalmente, imunes a “testes de invasão”, porque foram desenhadas desde o começo para serem permeáveis somente em determinadas direções, para somente determinados tipos de tráfego, tráfego esse que é destinado a servidores cuidadosamente configurados executando software cuidadosamente securitizado. Executar um “teste de invasão” para encontrar bugs no Apache é completamente sem sentido quando esse servidor está executando um programa C customizado em uma partição segura (trancada) de um sistema operacional embutido. “Invadir e corrigir” é sem sentido porque você sabe que ou vai encontrar uma fila sem fim de bugs ou não vai achar nada compreensível. Ações sem sentido são idiotas.

Um sintoma claro de que você tem um caso de “Invadir e corrigir” em andamento é quando descobre que seu sistema é sempre vulnerável ao “bug da semana”. Isto significa que você mesmo se colocou em uma situação na qual a cada vez que os hackers inventam uma nova arma, ela funciona contra você. Isso não soa idiota? Seu software e seus sistemas deveriam ser seguros por design e desenhados com tolerância a falhas sempre em mente.

4 - Hacking é Cool

Uma das melhores maneiras de se livrar de baratas em sua cozinha é espalhar migalhas de pão debaixo do forno, certo? Errado! Essa é uma idéia idiota. Uma das melhores maneiras de desencorajar a prática do hacking na Internet é dar ações preferenciais aos hackers, comprar os livros que eles escrevem sobre seus como explorar as falhas de segurança, tomar aulas de “kung fu hacker extremo” e pagar a eles dezenas de milhares de dólares para que eles façam “testes de invasão” em nossos sistemas, certo? Errado! “Hacking é Cool” é uma idéia realmente idiota.

Quando eu ainda estava aprendendo a andar, Donn Parker pesquisava os aspectos comportamentais do hacking e da segurança de computadores. Ele fala sobre isso melhor do que eu jamais conseguiria:

“A computação remota liberta os criminosos do pré-requisito histórico de terem de se aproximar de seus crimes. Anonimato e libertação do confronto pessoal com a vítima aumentam a facilidade emocional de se cometer um crime, ou seja, a vítima era somente um computador, não uma pessoa ou empresa de verdade. Pessoas tímidas podem se tornar criminosos. A proliferação de sistemas e modos de uso idênticos e a automação dos negócios não só tornaram possível como melhoraram o custo econômico de automatizar crimes e construir ferramentas e scripts criminosos de grande eficiência.”

Escondida nesta observação de Parker está a consciência de que o hacking é um problema social . Não é, de maneira nenhuma, um problema tecnológico. “Pessoas tímidas podem se tornar criminosos”. A Internet proporcionou todo um novo espaço para a manifestação da personalidade mal socializada. A quarta coisa mais idiota que os praticantes de segurança da informação podem fazer é encorajar implicitamente os hackers entronizando-os. A mídia interfere diretamente nisso, retratando hackers como “jovens magos” e “tecnólogos brilhantes” – é claro que se você é um repórter da CNN, qualquer um que consiga instalar o Linux provavelmente é qualificado como um “tecnólogo brilhante”. Acho interessante comparar as reações sociais a hackers (“jovens magos”) com as provocadas pelos spammers (“vigaristas vulgares”). Comove-me ver que os spammers, phishers e outros scammers adotam os próprios hackers e suas técnicas – isto vai fazer mais para reverter o ponto de vista da sociedade do que qualquer outra coisa que pudéssemos fazer.

Se você é um praticante de segurança, ensinar a você mesmo como hackear também faz parte do princípio idiota de “Hacking é Cool”. Pense sobre isso por alguns minutos: ensinar a você mesmo um punhado de exploits e como usá-los significa que você está investindo o seu tempo em aprender várias técnicas e ferramentas que vão ser inúteis assim que alguém tapar o buraco específico que elas atacam. Significa que você fez parte do seu conhecimento profissional dependente do princípio de “Invadir e Corrigir” e que vai participar da briga sem fim com os hackers se quiser manter esse conhecimento atualizado. Não seria mais sensato aprender como desenhar sistemas de segurança que fossem à prova de hackers do que aprender como identificar quais sistemas de segurança são idiotas?

Minha previsão é que a idiotice “Hacking é Cool” será uma idéia morta daqui a 10 anos. Gosto de fantasiar que ela será substituída pela sua idéia oposta “Boa Engenharia é Cool”, mas até agora não há sinais de que isso vai mesmo acontecer.

5 - Educar Usuários

O princípio “Invadir e Corrigir” pode ser aplicado aos seres humanos da mesma maneira que o aplicamos antes ao software, sob a forma de educação de usuários. Vista superficialmente, a idéia de “Educar Usuários” não parece idiota: educação é sempre boa. Vendo por outro lado, essa idéia é como “Invadir e Corrigir”: se tivesse que funcionar, já teria funcionado . Existem numerosos estudos interessantes que indicam que um percentual significativo de usuários vai trocar sua senha por um doce, e o worm Anna Kournikova mostrou-nos que aproximadamente metade da humanidade vai clicar em qualquer coisa que alegue conter figuras de mulheres semi-famosas nuas. Se “Educar Usuários” é a estratégia em que você está planejando embarcar, prepare-se para “atualizar o software” de seus usuários toda semana. Isso é idiota.

A questão real não é “podemos educar nossos usuários para serem mais eficientes em segurança?” e sim “por que precisamos educar nossos usuários em qualquer coisa?” Em certo sentido, este é outro caso especial de “Permitido por padrão” – porque os usuários baixam anexos executáveis? Porque usuários aceitam receber e-mails de bancos nos quais não possuem contas? Muitos dos problemas que podem ser solucionados através da educação de usuários são auto-solucionáveis no decorrer do tempo. Quando uma nova geração de trabalhadores alcançar o mercado, eles virão com um ceticismo sadio sobre phishing e engenharia social pré-instalado.

Lidar com coisas como anexos e phishing é outro caso de “Permitido por padrão” – nossa idéia idiota favorita. Afinal de contas, se você permite que todos os seus usuários recebam anexos em seu e-mail, você está “Permitindo por Padrão” que qualquer coisa seja enviada a eles. Uma idéia melhor seria simplesmente colocar todos os anexos em quarentena assim que eles chegam ao servidor, apagar todos os executáveis imediatamente e armazenar os poucos tipos de arquivos que você quiser permitir em um servidor separado, ao qual os usuários podem conectar-se usando um navegador com SSL habilitado e baixá-los (solicitar uma senha obrigatória vai impedir um bocado de mecanismos de propagação de worms de imediato). Existem ferramentas grátis como o MIMEDefang que podem ser facilmente configuradas para retirar anexos de e-mails, salvá-los para um diretório específico do usuário e substituir o anexo por uma URL para o arquivo retirado. Porquê educar seus usuários para lidar com o problema se você pode enfiar uma estaca direto no coração dele?

Quando eu era o CEO de uma pequena startup que trabalhava com segurança de computadores nós não tínhamos um administrador de sistemas Windows. Todos os funcionários que queriam executar o Windows tinham de saber instalá-lo e gerenciá-lo eles mesmos , ou não seriam nem contratados. Minha previsão é que daqui a 10 anos os usuários que precisarem de treinamento ou estarão totalmente fora da força de trabalho de alta tecnologia ou farão sua própria qualificação em casa para permanecerem competitivos. Meu palpite é que essa qualificação vai incluir o conhecimento necessário para saber que não se deve abrir anexos esquisitos de remetentes desconhecidos.

6 - Ação é Melhor que Inação

Executivos de TI parecem ser divididos em duas categorias: os “pioneiros” e os “paro e penso”. Durante minha carreira, tenho notado que dramaticamente poucos “pioneiros” constroem sistemas de missão crítica seguros com sucesso. Isto é porque, de alguma maneira, eles acreditam que “Ação é Melhor que Inação”, ou seja: se apareceu uma nova tecnologia da moda , o melhor é instalá-la agora mesmo ao invés de esperar, pensar no assunto, acompanhar o que está acontecendo com outros pioneiros e então utilizá-la uma vez que esteja estudada e já tenha sua primeira geração de usuários experientes. Eu conheço um executivo sênior de TI – um dos “paro e penso” – cujo plano para a migração de sua rede corporativa para wireless era “esperar 2 anos e contratar um cara que tenha feito com sucesso uma migração wireless para uma empresa maior do que a nossa.” Nesse prazo, não somente a tecnologia estará mais estudada mas será também muito, muito mais barata. Que estratégia fantasticamente brilhante!

Há um corolário importante para a idéia idiota “Ação é Melhor que Inação”: “Geralmente é mais fácil não fazer alguma coisa idiota do que fazer algo inteligente.” Na realidade, Sun Tzu não escreveu isso em seu livro a “Arte da Guerra”, mas se você disser a executivos de TI que ele o fez, eles vão levá-lo muito mais a sério quando você aconselhá-los a tomar uma atitude mais judiciosa e profunda sobre a adoção da nova tecnologia da moda. Tenho aconselhado a muitos dos meus clientes “espere um ano ou dois antes de terceirizar suas demandas de segurança e então peça as recomendações e opiniões dos sobreviventes calejados e ensangüentados – se houver algum.”

É possível reconhecer a idéia idiota “Ação é Melhor que Inação” espalhada por redes corporativas, e ela tende a se correlacionar com os gerentes seniores de TI, que tomam suas decisões de compra lendo pesquisas do Gartner e catálogos de fornecedores. Se você está subordinado a um desses gerentes, espero sinceramente que tenha apreciado este artigo, porque você está provavelmente muito mais familiarizado com a idiotice do que eu.

Uma técnica de kung-fu gerencial extremamente útil e que deve ser lembrada se você estiver lidando contra um “pioneiro” é recorrer aos seus colegas. Há muitos anos, tive um cliente que estava se preparando para gastar uma montanha de dinheiro com uma tecnologia sem antes testá-la operacionalmente. Sugeri imediatamente ao executivo de TI responsável pelo processo que enviasse um de seus profissionais a uma conferência importante (no caso a LISA), onde ele teria a chance de encontrar-se com algum participante que tivesse tido experiência prática na tecnologia em questão. Propus que, nessa conferência, ele colocasse uma mensagem num quadro de avisos, dizendo: "Você tem experiência prática com a tecnologia xyz da empresa pdq.com? Se tem, estou autorizado a levá-lo para jantar no 'Ruth´s Cris' se você prometer repassar as informações técnicas de como foi essa experiência. Manterei sigilo. Contate fulano, etc.". Esse executivo confessou depois que um jantar de US$ 200,00 tinha poupado à empresa mais de gastar mais que US$ 400.000,00 em um infernal trauma tecnológico.

É realmente mais fácil não fazer algo idiota do que fazer alguma coisa inteligente. O truque é que quando você evitar fazer algo idiota, esteja certo de fazer com que seus superiores compreendam que você evitou passar por uma região de areia movediça especialmente traiçoeira, e que deve receber os bônus por ter sido inteligente. Essa não é a mais elevada forma do kung-fu profissional: receber bônus por não ter feito nada?!

Idiotices menores

As idéias a seguir não merecem o status de “mais idiotas”, mas são bastante ruins e merecem ser mencionadas:

•"Não somos um alvo" - sim, vocês são. Worms não são espertos o bastante para perceber que o seu site ou rede corporativa não são interessantes.

•"Todo mundo estaria seguro se instalasse o <tipo_de_segurança_da_moda_neste_mês>" - não, não estariam. Sistemas operacionais tem problemas de segurança porque são complexos e sua administração é um problema ainda sem solução. Até que alguém resolva o problema da administração de sistemas, mudar para a tecnologia do mês vai somente piorar as coisas, já que se torna mais difícil para os seus administradores de sistemas atingir níveis mais altos de expertise (que dependem do tempo de uso da tecnologia).

•"Não precisamos de um firewall porque temos segurança nas estações" - não, vocês não tem. Se sua rede é insegura, cada uma das aplicações que passa pela rede é um alvo de ataques em potencial. 3 palavras: Domain Naming System.

•"Vamos colocar isso em produção, depois implementamos sua segurança" - não, vocês não vão. A pergunta que você deve fazer a si mesmo é: "Se não tenho tempo para corrigir isso agora, vou ter tempo quando o problema já tiver acontecido?" Às vezes, construir um sistema que está constantemente precisando de reparos significa que você vai gastar anos investindo em polir cocô porque não quis gastar alguns dias fazendo o trabalho direito na hora certa.

•"Não podemos impedir problemas ocasionais." - sim, vocês podem. Você viajaria de avião se pensasse que a indústria aeronáutica pensa dessa maneira sobre a sua vida? Acho que não.

Adeus e boa sorte

Tentei manter a leveza deste texto, mas minha mensagem é séria. Segurança de computadores é uma área que tem amado demasiadamente a “tecnologia da semana” e esqueceu-se do senso comum. Seu trabalho como praticante de segurança é perguntar – senão desafiar – o entendimento convencional e o status quo. Afinal de contas, se o entendimento convencional estivesse funcionando, a taxa de sistemas sendo comprometidos estaria baixando, não é?

(Um grande obrigado a Abe Singer e Tina Bird for por fornecer algumas das idéias idiotas descritas, e a Paul Robertson e Fred Avolio pela atuação como testadores) .

É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger. A analise de risco é o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização.

Prevendo cenarios

Ameaças e Vulnerabilidades

Para cada cenário:

- Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários

- Fazer uma análise de custo/benefício

As Técnicas

Fazendo uma Análise subjectiva, os ocumentos escritos com vários cenários como base para sessão de ?brainstorming?

Análise Quantitativa

Para cada ameaça quantificar a sua incidência, estimar o valor dos prejuízos que pode causar, estimar o custo de combater a ameaça e pesar as várias ameaças para obter um valor final (que algoritmo?).

Técnicas Automatizadas

Uso de ferramentas informáticas que implementam UM algoritmo específico como:

• CRAMM no Reino Unido
• CCTA Risk Analysis and Management Method
• CCTA - Central Computer Telecommunications Agency

CRAAM

Em 3 Etapas:

Etapa 1 - Identificação dos recursos a proteger, seu custo, grau de criticalidade da sua indisponibilidade, ...

Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças), são usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas

Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.

Entre os principais impactos ou conseqüências em caso de desastre, os que mais preocupam as empresas, pela ordem, são a perda de dados (60%), danos à fidelidade dos clientes e produtividade dos funcionários reduzida (46%), danos para a imagem da marca e na relação com os fornecedores (44%) e custo com tempo de inatividade (36%), de acordo com pesquisa encomendada à Applied Research pela Symantec, fornecedora de software antivírus.

Para o estudo, foram ouvidos 1.650 executivos da área de TI de empresas de vários setores da economia, nos Estados Unidos, Canadá, na região que engloba a Europa, Oriente Médio e África (chamada de EMEA), na Ásia-Pacífico, além de Brasil e México.

O levantamento quis saber também das empresas quais foram os motivos que levaram à necessidade de executar o plano de recuperação de desastres. No caso do Brasil e do México, 58% indicaram a falta de energia elétrica, 56% falha no hardware ou software, 54% as ameaças externas ? vírus ou hackers ?, 46% o erro do usuário/operador, 44% a perda ou vazamento de dados, 42% o gerenciamento dos problemas de TI e a má conduta dos funcionários e 38% as configurações (armazenamento, data centers, etc.) e trocas de gerenciamento dos problemas de TI, entre outros.

De acordo com a Applied Research, o tempo de inatividade de uma aplicação tem um alto custo para as organizações. Conforme a empresa, o custo médio por incidente é de US$ 287 mil em âmbito global e de US$ 297,5 mil no Brasil e no México. No caso específico destes dois países, o estudo indica que se leva em média de 3 horas a 4,25 horas para o reestabelecimento de todas as operações em caso de desastre.

O levantamento feito pela empresa para saber quanto custa, por hora, a inatividade de aplicações como correio eletrônico, data center, servidores de web, comércio eletrônico e ERP/CRM, no Brasil e no México, chegou a custos de US$ 3.150, US$ 5.125, US$ 5.150, US$ 5.250 e US$ 5.075, respectivamente. Por outro lado, ele revelou que os servidores de web, com 72%, data centers (68%) e correio eletrônico (64%) são os itens mais cobertos nos planos de recuperação de desastres das empresas brasileiras e mexicanas.

O estudo constatou ainda que a virtualização fez com que 74% das empresas revissem seus planos de recuperação de desastres. Mesmo assim, no caso do México e do Brasil, uma em cada cinco empresas declarou não ter feito testes em seu servidor virtual. Isso, sem falar que 16% dessas empresas admitiram não ter suporte para ambientes virtualizados. O dado positivo é que 60% dos servidores virtuais de empresas brasileiras e mexicanas estão incluídos nos planos de recuperação de desastres.

Entre as recomendações para reduzir os custos com tempo de inatividade, a Applied Research sugere a implantação de ferramentas de automatização que reduzam a intervenção humana; a adoção de métodos de simulação dos planos de recuperação de desastres que não provoquem interrupções; envolver os responsáveis pelas soluções de virtualização nos planos de recuperação de desastres, especialmente nas ações relacionadas a suporte e simulações; e dar aos ambientes virtuais a mesma importância dos aplicativos e servidores físicos.

http://www.tiinside.com.br/News.aspx?ID=139257&C=265

Desempregados ou subempregados, pessoal de TI pode partir para o submundo criminoso em busca de mais dinheiro, diz consultoria.

Pesquisa feita pela KPMG aponta que as empresas estão cada vez mais preocupadas com a possibilidade de funcionários roubarem dados corporativos ou vender informações sigilosas para terceiros por conta da crise econômica mundial. A consultoria ouviu 307 organizações do mundo inteiro.

Para 66% dos entrevistados, funcionários de tecnologia desempregados sentiriam grande tentação em realizar crimes digitais, motivados pela perda do emprego, por menores bônus financeiros e participações nos lucros. A pesquisa, chamada "E-crime 2009", foi apresentada durante congresso em Londres, Inglaterra.

A KPMG identificou que triplicaram as fraudes cometidas por gerentes, funcionários e clientes em 2008 ante 2007, o que indica que a recessão vai reforçar esta tendência.

Pouco menos da metade dos entrevistados que cuidam de infraestrutura, 45%, reportou um aumento no número de ataques contra os sistemas corporativos, enquanto 51% deles ressaltaram que a sofisticação destes crimes está cada vez maior.

Já 68% dos profissionais entrevistados aponta que os cavalos de tróia são as piores causaram os maiores danos e preocupam, seguidos pelos rootkits, spyware, worms, viruses, código malicioso para computadores móveis ou celulares e, por fim, adware.

A pesquisa alertou que os funcionários tradicionalmente têm acesso facilitado aos sistemas corporativos e conhecem as suas fraquezas. As companhias precisam criar regras rígidas para desabilitar os funcionários quando eles deixarem a organização, indica a pesquisa.

Malcolm Marshall, sócio da KPMG em governança de tecnologia, aponta que o surgimento de malware como o Conficker, que foi atualizado remotamente para driblar as ferramentas de segurança, e a queda da eficácia de antivírus apontam para uma modificação profunda na segurança das empresas.

A comunidade de segurança pode enfrentar "uma alteração radical na maneira em que fazemos e-business," disse Marshall. Segundo ele, isto é parcialmente culpa dos profissionais de TI que não atualizam seus sistemas, a melhor habilidade dos criminosos digitais e falta de conhecimento de segurança dos consumidores.

Deseja esconder o seu endereço IP de forma a obter privacidade máxima enquanto navega em certos destinos na Internet?

O "IP Address Changer" lhe permite que mude o seu endereço IP, a qualquer momento, alterando a rota do seu tráfego na Internet por servidores no estrangeiro.

Surge uma pequena caixa de escolha, na barra de ferramentas do seu Internet Explorer, com uma lista de 15 países estrangeiros. Seleccione um e o seu endereço de IP irá ser alterado fazendo com que pareça que está a aceder à Internet a partir desse país.

Sim, não há nada de mal em tentar manter o seu endereço de IP privado pelas razões certas. Se existe alguma dúvida pode consultar um consultor legal para saber se a sua razão de esconder o seu IP é ilegal. Sim, utilizar servidores proxy é legal.

O "IP Address Changer" não faz nada que a Microsoft Corporation não permita através do Internet Explorer. Apenas simplifica o processo para o utilizador comum.

Este software, tal como outra ferramenta de privacidade, tem como intenção ser usado de modo responsável, para propósitos do aumento da privacidade na rede, por utilizadores legitimados que preferem que o seu endereço de IP não seja apresentado em sítios Web públicos.

Download

BitDefender ha lanzado una alerta según la cual un nuevo troyano, al que han llamado ChromeInject-B (también ChromeInject-A en la nota de prensa), está infectando máquinas Windows que utilizan Firefox. Dicho troyano instala ficheros ejecutables en las carpetas del sistema de Firefox:

%ProgramFiles%\Mozilla Firefox\plugins\npbasic.dll

%ProgramFiles%\Mozilla Firefox\chrome\chrome\content\browser.js

Una vez instalado, el código se activa cada vez que se utiliza Firefox y monitoriza el acceso a varios URLs preprogramados, entre los cuales hay una alarmante cantidad de sitios de banca online españoles (ver la lista en el enlace incluido al final de esta nota). Una vez que detecta el acceso, el plugin captura los datos de usuario y clave y los envía a un servidor remoto que -según nota de prensa de BitDefender- está situado en Rusia...

No se menciona el método de infección.

BitDefender informa que la incidencia del troyano por ahora es muy baja, mientras que el daño potencial en caso de infección es muy alto.

Fuente: BitDefender

Por Jim Finkle

BOSTON, Estados Unidos (Reuters) - Os 120 milhões de usuários do Facebook estão sob ataque de um vírus chamado "Koobface", que utiliza o sistema de mensagens do site de redes sociais para infectar computadores e depois tenta extrair informações sensíveis, tais como números de cartão de crédito.

Trata-se do mais recente ataque de crackers, os quais cada vez mais vêm tomando por alvo os usuários de sites de redes sociais.

"Alguns outros vírus usaram o Facebook de maneira semelhante, para se propagar", disse Barry Schnitt, porta-voz do Facebook, em email. Ele acrescentou que "uma pequena porcentagem dos usuários" vem sendo afetada por esses vírus.

"Essa forma de ataque está em ascensão, comparada a outras ameaças como os emails", disse Craig Schmugar, pesquisador da McAfee.

O Koobface se espalha ao enviar bilhetes aos amigos de uma pessoa cujo computador tenha sido infectado. As mensagens, com assuntos como "você parece maravilhoso nesse novo filme", encaminham os destinatários a um site onde são convidados a baixar uma suposta atualização do player Flash, da Adobe.

Caso baixem o software, os usuários terminam tendo suas máquinas infectadas, que os conduz a sites contaminados quando eles tentam realizar buscas no Google, Yahoo, MSN e Live.com, de acordo com a McAfee.

A McAfee alertou em seu blog na quarta-feira que os pesquisadores da empresa descobriram que o Koobface estava se espalhando pelo Facebook.

O Facebook requer que o usuário esteja inscrito como membro para enviar mensagens em sua rede e oculta os dados dos usuários a pessoas que não tenham contas no site, disse Chris Boyd, pesquisador da FaceTime Security Labs. Por isso, os usuários tendem a desconfiar menos de mensagens que recebam por intermédio do site.

Quem não se topou com mais de alguma ou varias pragas digitais que conseguiram se infiltrar no seu computador ?, mesmo tendo instalado o "famoso" antivírus em perfeito estado de funcionamento.

O Antimalware, ou suíte que protege contra diversos tipos de códigos maliciosos, e também conceitos que ajudam na hora de adotar soluções para proteger sua máquina.

Quando um código malicioso invade o computador, se pode concluir as vezes qque o problema é o software, e a busca por uma ferramenta adequada se incia toda vez que a anterior falha!!!.

Bruce Schneier, um dos mais importantes e reconhecidos especialistas em segurança, aplica o lema ?segurança é um processo, não um produto?. A citação se reflete na nossa procura por uma saída fácil para os problemas. do tipo algo que se possa comprar e depois esquecer. Ao afirmar que segurança não é um produto, Schneier nos ensina que, para este campo, não existe um ?enlatado? que sirva para todos.

Independentemente do software que você escolher, lembre-se que ele não fará tudo sozinho. Assim, o programa de segurança mais adequado é aquele que você conhece melhor ? não apenas em suas configurações, mas em seus pontos fortes e fracos, porque não existe uma solução sem falhas. Ao ter conhecimento das limitações do produto, você sabe quando precisa de um cuidado extra.

Considere ainda os fatores de capacidade e disponibilidade que cada programa tem, como peso na memória e no processador do computador e que instalar e usar vários programas ao mesmo tempo ? especialmente dois do mesmo tipo ? poderá diminuir sua segurança, pois softwares de proteção também possuem vulnerabilidades que podem ser aproveitadas por indivíduos e códigos maliciosos.

Em julho, a empresa alemã n.runs AG divulgou que, em alguns meses, 800 falhas ? 35% delas graves ? foram encontradas em softwares antivírus.

Ainda assim, softwares de segurança são importantes ferramentas para ajudar no processo da segurança. Escolher uma ferramenta de qualidade, adequada para suas necessidades, é importante. Nesta primeira coluna, dividida em duas partes, dou algumas dicas para ajudar você a fazer as escolhas certas, começando pela camada ?antimalware?.

Antimalware

Primeiro havia o antivírus, depois o antitrojan e, mais tarde, o anti-spyware ? todos com funcionamento semelhante. O resultado foi previsível: suítes completas ?antimalware? foram criadas, forçando os desenvolvedores mais tradicionais a fazerem o mesmo. A maioria dos softwares ?antivírus? é capaz de identificar trojans, spywares e vírus, é claro.

Gratuitos

- Avira Personal Edition

- AVG Free Edition

- Alwil avast! Freeware

Gratuitos por período limitado

- Norton Antivirus

- Kaspersky Antivirus

- F-Secure Antivirus

- G-DATA AVK

- OneCare (Microsoft)

Na web

- VirusTotal.com

Caso o antivírus que de sua escolha não detecte todo tipo de código malicioso, procure outro software ou uma solução anti-spyware dedicada para trabalhar junto com ele. Se o software já incluir uma proteção, não instale outros aplicativos desnecessários, ou pelo menos deixe os ?scanners de tempo real? desativados.

A grande maioria dos usuários de Windows precisa de um programa antivírus para servir de auxílio na identificação de pragas digitais. O software não substitui, porém, os cuidados ao abrir arquivos de fontes inseguras e durante a navegação na internet. Se você nunca abrir um vírus, nunca vai precisar de antivírus. Não abuse da sorte: dependa no antivírus apenas quando necessário.

É importante que você considere a taxa de falsos positivos, que é a freqüência com que o antivírus detecta softwares legítimos como maliciosos, ou seja, são ?alarmes falsos?. Um usuário experiente pode identificar um falso positivo facilmente, mas os mais leigos devem preferir uma solução com menos erros.

Avira, AVK e Kaspersky, por exemplo, possuem ótimas taxas de detecção, mas alta taxa de falsos positivos, enquanto o McAfee e o Norton detectam menos pragas, mas tem menos falsos positivos, de acordo com os testes da AV-Comparatives.org.

Um site interessante é o VirusTotal.com. Ao enviar um arquivo no VirusTotal, ele será analisado por 36 antivírus. Se você suspeita de um arquivo específico, ou mesmo acredita ter encontrado um falso positivo, o VirusTotal pode lhe ajudar. Não use-o, porém, para comparar os softwares, pois não é um método objetivo e confiável.

by Will Smith

Way back in January 2007, after years of hype and anticipation, Microsoft unveiled Windows Vista to a decidedly lukewarm reception by the PC community, IT pros, and tech journalists alike. Instead of a revolutionary next-generation OS that was chock-full of new features, the Windows community got an underwhelming rehash with very little going for it. Oh, and Vista was plagued with performance and incompatibility problems to boot.

Since then, the PC community has taken the idea that Vista is underwhelming and turned it into a mantra. We?ve all heard about Vista?s poor network transfer speeds, low frame rates in games, and driver issues?shoot, we?ve experienced the problems ourselves. But over the last 18 months, Vista has undergone myriad changes, including the release of Service Pack 1, making the OS worth a second look. It?s time we determine once and for all whether we should stick with XP for the next 18 months while we wait for Windows 7. But before we answer that question, let?s review exactly what?s wrong with Windows Vista.

What Went Wrong with Vista?s Launch?

We?ve seen worse launches over the years, but not from a multibillion dollar product that was a half-decade in the making. Here are the seven biggest contributors to Vista?s dud of a debut

Instability

At launch, we complained that Vista was significantly less stable than its predecessor. We experienced more hard locks, crashes, and blue screens in the first weeks of use than we had in the entire year prior using XP. Sadly for Microsoft, our experience was shared by many early Vista users.

The problems weren?t limited to high-end, bleeding-edge hardware, either. People with pedestrian, nonexotic hardware configs reported crashes, instability, and general wonkiness with Vista on laptops and desktops, in homebuilt rigs and OEM machines, and in PCs that originally shipped with XP. Considering that improved stability was one of the biggest promises Microsoft made for Vista, users were understandably upset.

Lots of problems, few solutions

The Problem Reports and Solutions wizard finds lots of problems but few solutions.

Incompatibility

Microsoft didn?t make any big promises about application compatibility, and it?s a damn good thing. If a desktop application didn?t follow Vista?s rules for behavior, Vista wouldn?t let it run. The program would fail to load, crash on use, or eat the user?s data, depending on the development infraction. And to be clear, we?re not talking about shareware apps created by some dude in his basement, we?re talking about Acrobat Reader, iTunes, Trillian, and dozens of other programs, not even counting the antivirus programs that are rarely compatible with a new OS.

Getting hardware working could be just as challenging. If you had one of the millions of perfectly serviceable, but suddenly incompatible printers or scanners, you probably felt pretty raw. We know we did.

Additionally, if you needed to connect to a VPN (virtual private network) that isn?t supported by Vista?s built-in client, you were probably out of luck. Vista shipped without support from major VPN manufacturers, including Cisco, leaving work-at-home types out in the cold.

The massive number of compatibility problems ensured that every user would be touched by at least one disappointment.

Performance

We would expect a new version of Windows to be slower than the previous one, given immature drivers and new features that drain CPU cycles and absorb memory. However, the performance differential has always been less than 10 percent in the past and only really evident in hardware-intensive apps, such as games.

At Vista?s launch, our tests revealed worse-than-expected performance in many different tasks and applications. Gaming performance suffered notably; using drivers from the launch time frame, our tests showed as much as a 20 percent performance difference between Vista and XP on the same machine. But that wasn?t the worst of it.

Even common tasks suffered. Large network file transfers took a ludicrous amount of time, even on systems hardwired to gigabit networks. On affected machines, Vista could take days to transfer a full gigabyte of data! While that was a worst-case scenario, many users complained that file transfers took twice as long to complete in Vista as in XP.

Reliability Chart

The Reliability Monitor provides a general idea of how stable your machine is. All our rigs are unstable.

User Account Control

Vista brought marked improvements to the overall security of Windows, one of the few areas in which the OS actually lived up to Microsoft?s promises. Unfortunately, one of the mechanisms that helps enable that security comes at a high cost?it?s incredibly annoying.

That?s right, we?re talking about User Account Control, aka UAC. Even if you don?t know what it?s called, if you?ve used Vista, you?re undoubtedly aware that you need to prepare your clicking finger when the desktop darkens and your trusty PC starts asking whether you really meant to install that application you just double-clicked. UAC prompts you whenever an app tries to write to an area of your hard disk or registry that Windows finds suspicious. This seems like a good thing, right? It would be, except UAC prompts every time the installer does something suspicious. We?ve had Vista prompt us no fewer than five times before completing installs it questioned.

The problem is compounded by the fact that those five prompts look and behave differently, even though they?re all asking for basically the same thing: permission to write to a protected area of your system. To make matters even worse, none of the UAC prompts actually tells power users what the app is doing. When you click that Allow button, all you?re doing is adding a speed bump to whatever malware you might be installing.

Executed properly, UAC could have been a savior for people wont to install every application they find. Unfortunately, the UAC prompts quickly become so annoying that most users either disable them (the power-user option) or mindlessly click Allow (the mom option).

Activation

Activation has been a hassle since Microsoft first included it with Windows XP. Microsoft?s never really honored its stated 90-day limit for discarding activation information either. After installing the OS once or twice, you inevitably have to call some poor sap manning the activation hotline to enable Windows. What bothers us about Vista is the inclusion of the Windows Genuine Advantage software, which periodically checks in with Microsoft to ensure that the copy of Windows you?ve already activated remains genuine.

That?s all well and good, unless something confuses WGA. Unfortunately, just about everything confuses WGA. It could be something as simple as a BIOS reset that sets the clock back a few years. Or it could be that Microsoft?s entire activation process shuts down for a few hours?like it did last August. But at least Microsoft curbs piracy of Vista and other activated software by treating its customers like criminals, right? Well, not so much. Hacked versions of Vista that simply bypass activation are available on BitTorrent sites around the world.

Version Overload

In the old days, there were two distinct versions of Windows: one for home users and one for corporate users. For home, you bought Windows 98; IT departments bought Windows NT (at least the serious ones did). With Windows XP, this trend continued, despite the fact that both the home and enterprise OSes used the same core.

With Vista, the old home and enterprise distinctions went out the window, as Microsoft added three more versions of Windows, removing crucial features like the 3D UI from the low-end release and forcing power users who want access to both work-friendly and enthusiast features to shell out for the $400 Ultimate edition. To help justify that exorbitant price, Microsoft promised Ultimate Extras, the first of which didn?t materialize until months after launch, and those that did appear were disappointing. A bad Texas Hold ?Em game, a backup utility that should have been included in every box, and support for other languages do not ?ultimate extras? make.

Oh, and if you used Windows XP Professional at home and wanted to upgrade to a less-expensive home version of Vista, you were out of luck. The only upgrade path that worked from XP Pro to anything with Media Center capability was the spendy Ultimate edition.

?One More Thing?

If the last eight years of watching Steve Jobs smugly introduce ?one more thing? have taught us anything, it?s that no matter how technically sound (or alternately, how fatally flawed) a product is, every major release desperately needs one or two supersexy features to incite lust in geeks everywhere. Every time Jobs rolls out a new product, he teases the audience with a feature or two that you simply cannot wait to use. These features not only leave customers clamoring for the new product but also give those pesky users sitting on the fence a rationale for upgrading. While Vista had the technical chops in the form of the Aero renderer to deliver some potentially astounding apps, Microsoft?s best effort was Flip3D?a gimpy knock-off of a feature that OS X implemented infinitely better.

Aside from that, most of the apps included with Vista are rote updates of their forebears?from Movie Maker to Photo Gallery. There?s very little that?s new, even when the apps themselves are brand-new (see Windows Mail). Worse than nothing new, there?s not much in a stock Windows install to inspire anyone?even the stereotypical dullard PC user.

O jogo World of Warcraft usa um token gerador de senhas para combater o roubo de credenciais.

Segundo a ESET, fabricante do antivírus NOD32, 13,3% do malware detectado em junho eram cavalos-de-tróia destinados a jogos online. Esses invasores gravam o que o usuário digita no teclado e se instalam no PC com características de rootkit, ou seja, agem em modo furtivo para fugir à detecção por programas de segurança.

Um dos objetivos desses programas nocivos é roubar as credenciais que o usuário precisa apresentar para participar do jogo online. Contas desse tipo alcançam preços cada vez mais altos no mercado do crime digital.

Foi por causa dessas ameaças que a Blizzard, fabricante do game World of Warcraft, decidiu adotar para seus jogos um sistema de senha dupla, semelhante ao utilizado pelos bancos. A empresa começou a vender um autenticador (somente para os EUA) que gera na hora um código numérico para que o usuário entre no ambiente do World of Warcraft.

Portanto, além de apresentar as credenciais, o jogador precisa digitar o código gerado pelo aparelhinho. Esse recurso, embora não seja absolutamente seguro, aumenta consideravelmente o nível de proteção do usuário.

O Blizzard Authenticator é vendido por 6,50 dólares. Anunciado no dia 26 de junho, o dispositivo esgotou-se rapidamente. No momento está indisponível no site da Blizzard.

TrueCrypt é um aplicativo que cria volumes criptografados que podem ser montados como unidades virtuais. Software de código aberto de encriptação em disco para Windows, Mac e Linux.

Esta aplicação tem a capacidade de criar discos virtuais encriptados (mesmo em Flashdrives USB) como se de um disco real de tratasse. Pode encriptar uma partição do seu disco rígido ou um outro dispositivo de armazenamento como uma flash drive.

Encripta automaticamente em tempo real (on-the-fly) de uma forma transparente. Possibilita dois níveis de proteção. Caso seja obrigado a revelar a senha, há uma segunda proteção na qual o acesso aos dados estará preservado.

True Cryp, alguns dos seus usos:

Assietência Técnica

* Caso você envie o seu computador para um procedimento de assistência técnica você não precisa se preocupar com acessos indevidos aos seus arquivos realizados por possíveis técnicos de ética duvidosa; (leia Assistência técnica e a segurança das informações)

* Caso o seu notebook, ou mesmo desktop, seja furtado os seus arquivos estarão protegidos contra acessos indevidos.

Você pode proteger todo o tipo de arquivo com o TrueCrypt

* Suas fotos pessoais; e

* Documentos do trabalho

IMPORTANTE: no caso do uso do TrueCrypt no ambiente corporativo deve-se atentar para recursos de recuperação de casos em que o usuário esquece a senha. O TrueCrypt fornece alguns como header backup.

Visite tambem a pagina do Paulo Barreto (membro da equipe de desenvolvimento), com quem tive oportunidade de trabalhar e conhecer.