Bom, poderia chamar este post de "Ativos - Além da Teoria, vamos a Prática". Porque pretendo, apesar de objetivo, passar por um dos pontos que mais costuma confundir o Security Officer interessado em atender a ISo 27001.
A questão é: quão granular devo ser para tratar os "ativos"? Devo considerar a caixa de e-mail do meu computador um ativo, ou o ativo é a minha workstation? Ou ainda, cada um dos computadores dos 750 funcionários do call-center são ativos diferentes? Se essas são as suas dúvidas não se desespere, 99 em 100 implantadores de ISO 27001 já passaram por estes dilemas "intelectuais".
A norma deixa claro que a organização deve identificar seus principais ativos. Quando escreve "principais ativos" não significa uma lista exaustiva dos ativos da organização. A única função de separarmos do joio os ativos importantes é garantir que a análise de risco será sobre aquilo que mais importa para a minha organização.
Quão profunda deve ser essa seleção? Neste, como em todos os outros critérios da norma, deve sempre imperar o bom senso. Se eu tenho 300 estações de trabalho da equipe do desenvolvimento, e julgo que os riscos aos 300 são os mesmos, basta que eu indique o ativo "Workstations da Equipe de Desenvolvimento". E lá vou eu em busca de 10, 20, 50 ou 100 riscos relacionados a este ativo.
É claro que se eu identificar um risco alto relacionado por exemplo ao vazamento de código fonte através de um serviço de webmail gratuito, vou aplicar o controle bloqueio de web para todas as estações do setor (não sejam assim tão maus!).
A regra é: faça uma boa análise de risco. Se para isso você tiver que entrar na peculiaridade do hardware, então faça. Nos meus muitos anos de praça nunca precisei, e acho que se tivesse feito, teria decuplicado o meu trabalho, além de tornar inviavel a perpetuação deste processo nas empresas dos meus clientes :-)
Tuesday, July 31, 2007
Ativo - Primeira Parte
A norma ISO 27001 deixa claro em seu texto, que a implementação do SGSI está focada em proteger os ativos importantes da organização. Mas afinal de contas, o que é um "ativo"?
Pra quem vem do mercado financeiro, ou pra quem opera no mercado de capitais, este termo é bem familiar. Ativo é tudo aquilo que tem valor ou gera valor para uma empresa.
Muitas vezes a turma de TI confunde ativo especificamente com componentes de tecnologia. É importante compreender que ativo é um termo muito mais abrangente.
Fiz uma análise das principais normas de segurança da informação: ISO 27001, ISO 13.335-1 e 2, ISO 17799 (ISO 27002) entre outras. O que percebi é que existe uma definição em comum entre estas normas, de que os ativos podem ser classificados em seis tipos. São eles:
Pra quem vem do mercado financeiro, ou pra quem opera no mercado de capitais, este termo é bem familiar. Ativo é tudo aquilo que tem valor ou gera valor para uma empresa.
Muitas vezes a turma de TI confunde ativo especificamente com componentes de tecnologia. É importante compreender que ativo é um termo muito mais abrangente.
Fiz uma análise das principais normas de segurança da informação: ISO 27001, ISO 13.335-1 e 2, ISO 17799 (ISO 27002) entre outras. O que percebi é que existe uma definição em comum entre estas normas, de que os ativos podem ser classificados em seis tipos. São eles:
- Informação
- Software e Sistemas
- Pessoas
- Serviços
- Áreas ou Instalações Físicas
- Intangíveis (imagem, credibilidade e etc)
Bom, então aqui vai a minha dica: quando forem analisar os riscos para determinado escopo, considerem agrupar tipos de risco para cada uma das categorias acima.
Classificação da Informação
Bom pessoal, este é um dos mais controversos controles do anexo A da ISO 27001. Literalmente você pode montar uma iniciativa complexa para classificar sua informação ou algo simples. Neste controle mais do que em qualquer outro é importante estar bem focado no negócio, para não criar um monstro capaz de devorar o próprio Security Officer.
Em primeiro lugar, creio que o termo correto, ao invés de CLASSIFICAÇÃO DA INFORMAÇÃO, deveria ser TRATAMENTO DA INFORMAÇÃO. Explico o porquê. Bom, em primeiro lugar entendo que a classificação da informação é apenas uma das facetas do tratamento da informação, que também deve considerar o "rótulo".
Vamos deixar isso mais simples. O que entendemos por Classificação da Informação é um processo que se divide em "Criação de Categorias de Informação" e "Definição de como rotular as informações". Isso tudo para tratar a informação considerada confidencial de maneira diferente da informação pública.
Exemplo: minha empresa pode ter três categorias de classificação, sendo (a) informação confidencial; (b) informação de uso interno; (c) informação pública. O bacana a partir da classificação é poder determinar como será tratada a informação confidencial quando for enviada por e-mail (na maioria dos casos só pode ser enviada se criptografada), ou até mesmo métodos de descarte de informações confidenciais em papel (que só será feito através de fragmentadora de papeis).
Mas para que serve a tal da classificação? Sabemos que proteção da informação é um recurso caro, classificar é uma forma racional de proteger melhor aquilo que é mais importante :-)
Em primeiro lugar, creio que o termo correto, ao invés de CLASSIFICAÇÃO DA INFORMAÇÃO, deveria ser TRATAMENTO DA INFORMAÇÃO. Explico o porquê. Bom, em primeiro lugar entendo que a classificação da informação é apenas uma das facetas do tratamento da informação, que também deve considerar o "rótulo".
Vamos deixar isso mais simples. O que entendemos por Classificação da Informação é um processo que se divide em "Criação de Categorias de Informação" e "Definição de como rotular as informações". Isso tudo para tratar a informação considerada confidencial de maneira diferente da informação pública.
Exemplo: minha empresa pode ter três categorias de classificação, sendo (a) informação confidencial; (b) informação de uso interno; (c) informação pública. O bacana a partir da classificação é poder determinar como será tratada a informação confidencial quando for enviada por e-mail (na maioria dos casos só pode ser enviada se criptografada), ou até mesmo métodos de descarte de informações confidenciais em papel (que só será feito através de fragmentadora de papeis).
Mas para que serve a tal da classificação? Sabemos que proteção da informação é um recurso caro, classificar é uma forma racional de proteger melhor aquilo que é mais importante :-)
ISMS - Keep it simple!
Implementar um SGSI certificável pela ISO 27001 não é tarefa das mais fáceis. É um honroso emprego da inteligência na aplicação de melhores práticas que visam transformar a cultura de uma empresa e voltar a atenção do Board para a proteção da informação.
Proteção sistemática que deve se perpetuar.
Alguns "Indiana Jones" da segurança da infomração tem-se aventurado a inciar o processo de certificação nas empresas onde trabalham. O caminho é árduo quando se começa certo. O caminho é árduo e tortuoso quando logo de início calçamos o sapato apertado ou somos obrigados a andar rápido demais.
O mau planejamento de orçamento e a má definição do Escopo da certificação, tem sido os principais fatores de insucesso em projetos de ISO 27001. Explico.
1) Como estes projetos tendem a iniciar por TI, muitos gestores acreditam que a certificação é uma iniciativa que o ajudará a justificar a compra de 'n' softwares e appliances para proteção de dados. Em alguns casos sim, em outros casos não. Esquece o nosso gestor neófito que historicamente gastamos muito mais em educação e treinamento. Consulte a área de Qualidade de sua empresa para entender a abrangência do assunto.
2) Quando a definição de escopo, recomendo uma boa lida na norma ISO 27001, no item 4.2.1 item (a), que transcrevo abaixo:
a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its location, assets and technology, and including details of and justification for any exclusions from the scope (see 1.2).
Recomendo veementemente que a consolidação do escopo seja feita com apoio de um especialista. Muitas empresas cometem erros venais quando definem como escopo uma área ligada a sistema ou infra-estrutura de TI. Para estes casos fica muito complicado identificar as interfaces com outras áreas de negócio, e se criarmos infinitas interfaces para isolar o escopo, corremos o risco de implementarmos o SGSI em um escopo de pouco valor para o negócio da organização. Não esqueça que a informação é dinâmica, e não estática.
Pense por vertical de negócio e não por horizontal ou backoffice.
Proteção sistemática que deve se perpetuar.
Alguns "Indiana Jones" da segurança da infomração tem-se aventurado a inciar o processo de certificação nas empresas onde trabalham. O caminho é árduo quando se começa certo. O caminho é árduo e tortuoso quando logo de início calçamos o sapato apertado ou somos obrigados a andar rápido demais.
O mau planejamento de orçamento e a má definição do Escopo da certificação, tem sido os principais fatores de insucesso em projetos de ISO 27001. Explico.
1) Como estes projetos tendem a iniciar por TI, muitos gestores acreditam que a certificação é uma iniciativa que o ajudará a justificar a compra de 'n' softwares e appliances para proteção de dados. Em alguns casos sim, em outros casos não. Esquece o nosso gestor neófito que historicamente gastamos muito mais em educação e treinamento. Consulte a área de Qualidade de sua empresa para entender a abrangência do assunto.
2) Quando a definição de escopo, recomendo uma boa lida na norma ISO 27001, no item 4.2.1 item (a), que transcrevo abaixo:
a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its location, assets and technology, and including details of and justification for any exclusions from the scope (see 1.2).
Recomendo veementemente que a consolidação do escopo seja feita com apoio de um especialista. Muitas empresas cometem erros venais quando definem como escopo uma área ligada a sistema ou infra-estrutura de TI. Para estes casos fica muito complicado identificar as interfaces com outras áreas de negócio, e se criarmos infinitas interfaces para isolar o escopo, corremos o risco de implementarmos o SGSI em um escopo de pouco valor para o negócio da organização. Não esqueça que a informação é dinâmica, e não estática.
Pense por vertical de negócio e não por horizontal ou backoffice.
Thursday, January 25, 2007
TI e a Corrida para o Futuro - A Gestão de Riscos como Alternativa
Por Victor Hugo Menegotto, CISSP
Geralmente a corrida inicia em direção ao caminho mais fácil, que parece ser sempre o mais adequado, o menos custoso, e mais eficiente, quase tão bom quanto os maiores players do mercado. Afinal, se a Microsoft, a Cisco e a IBM seguem estes padrões, faremos o mesmo, é perfeito. Parece perfeito.
Perdi a conta do número de projetos encerrados e sem continuidade, perdi a conta do número de executivos que não se preocupou em gerir, medir e controlar, mas apenas em atender demandas externas ou exigências internas. E de fato, seus objetivos foram atingidos, mas para um período curto de tempo, a curto prazo, pois é assim que funciona nossa cultura. Não é a toa que os indianos possuem uma grande potência em TI, eles planejam a longo prazo, e quando começam a colher os frutos, a garantia de que terão frutos para um século é quase certa. O mais grave disso tudo, não é a garantia dos frutos que talvez não tenhamos, mas a concorrência - com planejamento e organização – que sem piedade, nos atropelará.
Então basta de atender demandas e exigências, esta na hora de planejar o futuro, participar da implantação de seja qual for a normativa, e principalmente, dar continuidade aos processos implementados. Essa é uma tarefa difícil, mas longe de impossível. Com participação, organização e as ferramentas certas, o processo se torna menos complexo. E às vezes até simples.
Mas afinal, que normativa devemos seguir?
Considerando ITIL (ISO 20000) e Cobit, como muito promissores, pelo menos 1 destes 2 é um “must have” para quase qualquer organização de médio à grande porte. Mas o principal ponto de investimento, não é especificamente nenhuma norma. E sim, a gestão de riscos, sejam eles financeiros, de mercado ou de segurança. Independente do risco, sua gestão é fundamental.
Ok, esta entendido, ITIL, Cobit e Gestão de Riscos, mas por onde começo?
Quando você compra um carro, qual a primeira coisa que você se preocupa?
a) Em como vai fazer para consertar alguns detalhes da pintura;
b) Em como vai fazer para trocar o som, as rodas e etc;
c) Com o seguro.
Não sei em relação a você, mas para mim a resposta parece muito simples, no seguro é claro. E é neste ponto que assino embaixo da Gestão de Riscos, que irá nos proporcionar a alternativa para o seguro - o controle. A gestão de riscos vai nos dizer, quais são os problemas, vai elencá-los, vai tratá-los, e vai medí-los. Provendo a gerencia completa sobre nossos processos. Sem dúvida, a gestão de riscos deve ser o ponto de partida para qualquer executivo de TI.
E por favor, não esqueça: não basta analisar os riscos, você deve gerí-los, acompanhá-los, controlá-los e aí sim, terá gerência sobre Tecnologia da Informação e seus processos de negócio.
Perdi a conta do número de projetos encerrados e sem continuidade, perdi a conta do número de executivos que não se preocupou em gerir, medir e controlar, mas apenas em atender demandas externas ou exigências internas. E de fato, seus objetivos foram atingidos, mas para um período curto de tempo, a curto prazo, pois é assim que funciona nossa cultura. Não é a toa que os indianos possuem uma grande potência em TI, eles planejam a longo prazo, e quando começam a colher os frutos, a garantia de que terão frutos para um século é quase certa. O mais grave disso tudo, não é a garantia dos frutos que talvez não tenhamos, mas a concorrência - com planejamento e organização – que sem piedade, nos atropelará.
Então basta de atender demandas e exigências, esta na hora de planejar o futuro, participar da implantação de seja qual for a normativa, e principalmente, dar continuidade aos processos implementados. Essa é uma tarefa difícil, mas longe de impossível. Com participação, organização e as ferramentas certas, o processo se torna menos complexo. E às vezes até simples.
Mas afinal, que normativa devemos seguir?
Considerando ITIL (ISO 20000) e Cobit, como muito promissores, pelo menos 1 destes 2 é um “must have” para quase qualquer organização de médio à grande porte. Mas o principal ponto de investimento, não é especificamente nenhuma norma. E sim, a gestão de riscos, sejam eles financeiros, de mercado ou de segurança. Independente do risco, sua gestão é fundamental.
Ok, esta entendido, ITIL, Cobit e Gestão de Riscos, mas por onde começo?
Quando você compra um carro, qual a primeira coisa que você se preocupa?
a) Em como vai fazer para consertar alguns detalhes da pintura;
b) Em como vai fazer para trocar o som, as rodas e etc;
c) Com o seguro.
Não sei em relação a você, mas para mim a resposta parece muito simples, no seguro é claro. E é neste ponto que assino embaixo da Gestão de Riscos, que irá nos proporcionar a alternativa para o seguro - o controle. A gestão de riscos vai nos dizer, quais são os problemas, vai elencá-los, vai tratá-los, e vai medí-los. Provendo a gerencia completa sobre nossos processos. Sem dúvida, a gestão de riscos deve ser o ponto de partida para qualquer executivo de TI.
E por favor, não esqueça: não basta analisar os riscos, você deve gerí-los, acompanhá-los, controlá-los e aí sim, terá gerência sobre Tecnologia da Informação e seus processos de negócio.
Friday, April 7, 2006
Socorro, invadiram o meu computador!
Por Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.
Estamos mergulhados na tecnologia, e isso é inegável. Feliz, ou infelizmente, hoje não temos mais como optar em não fazer parte da comunidade “conectada” à Internet. A exclusão digital causa tanto impacto quanto qualquer outro tipo de exclusão social. Mas como em tudo que é novo, a tecnologia traz consigo riscos que até então eram desconhecidos. Nunca antes tivemos tantos relatos de fraudes na Internet, seja o roubo de informações de usuários, intrusão de computadores, captura de números de cartões de crédito ou até mesmo o controle da conta bancária do internauta desprevenido.
Mas a Internet não é um bicho de sete-cabeças, e tudo isso não acontece por acaso. Acredito sinceramente que passar o cartão de crédito pela Internet em 90% das vezes é uma operação mais segura que passar o cartão para o frentista em um posto de gasolina ou em um restaurante desconhecido. Onde mora a diferença entre a segurança e a insegurança no ambiente virtual? Mora no comportamento e nos hábitos do usuário, ou seja, em nossa condição de realizarmos tarefas com consciência do risco, e tomando alguns cuidados.
O assunto é novo e nem todo mundo tem acesso a informação de como se manter seguro no mundo digital. Você já deve estar se perguntando “O que eu devo fazer para navegar com tranqüilidade?”. Sintetizei abaixo algumas dicas que julgo de máxima importância e que poderão ajudá-lo. Se estas dicas forem levadas a sério e praticadas, posso garantir que você estará muito mais seguro.
Precauções para Usuários Leigos na Internet
• Evite instalar programas que você não precisa, principalmente pacotes de software distribuídos em revistas ou disponíveis gratuitamente pela Internet. Às vezes por traz de um software gratuito, esconde-se um programa que captura informações do seu computador e envia para centros de pesquisa de marketing e mídia.
• Desligue seu computador ou desconecte da Internet enquanto você não estiver utilizando.
• Evite ao máximo abrir arquivos via anexo ao seu e-mail. Esteja atento: os vírus geralmente enviam e-mails falsificando o remetente e usando o endereço de e-mail de alguém que você conhece. Frases curtas e em inglês ou português no corpo de e-mail, e arquivos anexados no formato ZIP são fortes indícios de vírus. Quando se trata de arquivos em anexo ao e-mail a ordem é sempre desconfiar. Em alguns casos recomendo que você telefone para o suposto “remetente” e pergunte se o e-mail é original. Muito cuidado com e-mails de desconhecidos, em 99% dos casos podem ser vírus. Não deixe sua curiosidade sobrepor sua cautela.
• Instale um software de antivírus em seu computador. Esta é uma premissa básica e deve reduzir bastante o seu risco de infecção por vírus, o que não garante uma “segurança 100%”. Lembre-se de atualizar seu antivírus: um antivírus desatualizado é só um pouco melhor que nenhum antivírus.
• Quando for utilizar a internet para fazer compras, dê preferência as lojas que possuem boa reputação ou indicadas por pessoas de confiança. Nunca passe mais informações pessoais ou informações da sua empresa do que o necessário.
• Não se constranja em ligar para a loja virtual para garantir que ela realmente existe. Pergunte ao vendedor qual o endereço físico da loja. Talvez você só tenha que fazer isso uma vez, e pode ter certeza que vai evitar dores de cabeça no futuro.
• Antes de você usar o notebook da empresa para trabalhar em casa, confira com a equipe de tecnologia da sua empresa se as regras de segurança não estão sendo desrespeitadas.
• Se você carrega um notebook ou um handheld (palmtop, pocket pc e etc), evite levar consigo informações confidenciais. Certifique-se de não deixá-los em locais onde possam ser roubados, principalmente quando são despachados no aeroporto.
• Grande parte dos crimes onde há roubo de informações como senha bancária, são realizados através de e-mails enviados a correntistas simulando a página dos bancos. A grande maioria dos bancos brasileiros não enviam e-mmails para seus correntistas, a exceção dos que enviam, em hipótese alguma solicitam informações como por exemplo a senha dos correntistas. Nesta caso a regra, mais do que nunca, é: DESCONFIE. Em caso de dúvida, ligue para o seu gerente.
• Se você teme pela visualização de conteúdos ofensivos pelos seus filhos, consulte um especialista. Existem mecanismos que filtram o conteúdo da Internet e impedem que crianças sejam expostas a pornografia ou outras ameaças desse tipo.
• Se o seu computador está se comportando de maneira estranha, como por exemplo, abrindo janelas com propaganda sem que você tenha clicado em nenhum botão, chame um especialista.
• Dependendo da importância das informações que você carrega em seu computador, recomendo que um técnico certificado e de confiança verifique de tempos em tempo o seu equipamento em busca de falhas de segurança, vírus ou cavalos-de-tróia (o cavalo de tróia é um software que permite ao intruso acessar seu computador remotamente).
• Utilize senhas fortes (com combinação de letras e números). Evite usar nomes próprios, datas e outras palavras de fácil adivinhação. Uma boa senha pode ser, por exemplo, a combinação de diversos caracteres com no mínimo 8 caracteres: “s3nh4f0rt3”. Troque sua senha pelo menos a cada 90 dias.
• Quando utilizar sistemas públicos, como por exemplo, cyber cafés, evite ao máximo acessar seu Internet Banking. Caso você tenha que acessar algum sistema que peça senha, certifique-se de trocá-la imediatamente após retornar para casa.
• Nunca, em hipótese alguma, revele a sua senha para ninguém, nem mesmo para o administrador do sistema da rede da sua empresa. A função da senha é ser secreta.
• Para usuários de sistema Microsoft, recomendo que utilizem o Windows XP com o service pack 2 (última atualização do sistema operacional). Se você não souber como fazer, procure o suporte de um técnico.
• Use um firewall, programa que protege o seu computador contra acesso de terceiros. Softwares de firewall podem ser facilmente encontrados em lojas de software ou na Internet. Recomendo ainda que utilizem o programa de firewall que vem junto ao Windows XP na versão com atualização do service pack 2. Configurá-lo pode não ser fácil, portanto considere o apoio de um técnico de confiança.
• Faça cópias de segurança dos arquivos do seu computador para CDs ou outras mídias removíveis, como disquete ou fitas. Confie em mim, você ainda vai precisar recuperar alguma informação importante.
Estas são apenas algumas dicas para que você possa evitar a maioria dos riscos do mundo digital. Cedo ou tarde vamos nos defrontar com alguma situação que poderá colocar em risco nossas informações, nossa privacidade e algumas vezes o acesso a nossa conta bancária. Neste momento, a diferença entre o sucesso ou o fracasso do ataque, será o seu conhecimento. Sinta-se a vontade para passar este documento adiante.
Mas a Internet não é um bicho de sete-cabeças, e tudo isso não acontece por acaso. Acredito sinceramente que passar o cartão de crédito pela Internet em 90% das vezes é uma operação mais segura que passar o cartão para o frentista em um posto de gasolina ou em um restaurante desconhecido. Onde mora a diferença entre a segurança e a insegurança no ambiente virtual? Mora no comportamento e nos hábitos do usuário, ou seja, em nossa condição de realizarmos tarefas com consciência do risco, e tomando alguns cuidados.
O assunto é novo e nem todo mundo tem acesso a informação de como se manter seguro no mundo digital. Você já deve estar se perguntando “O que eu devo fazer para navegar com tranqüilidade?”. Sintetizei abaixo algumas dicas que julgo de máxima importância e que poderão ajudá-lo. Se estas dicas forem levadas a sério e praticadas, posso garantir que você estará muito mais seguro.
Precauções para Usuários Leigos na Internet
• Evite instalar programas que você não precisa, principalmente pacotes de software distribuídos em revistas ou disponíveis gratuitamente pela Internet. Às vezes por traz de um software gratuito, esconde-se um programa que captura informações do seu computador e envia para centros de pesquisa de marketing e mídia.
• Desligue seu computador ou desconecte da Internet enquanto você não estiver utilizando.
• Evite ao máximo abrir arquivos via anexo ao seu e-mail. Esteja atento: os vírus geralmente enviam e-mails falsificando o remetente e usando o endereço de e-mail de alguém que você conhece. Frases curtas e em inglês ou português no corpo de e-mail, e arquivos anexados no formato ZIP são fortes indícios de vírus. Quando se trata de arquivos em anexo ao e-mail a ordem é sempre desconfiar. Em alguns casos recomendo que você telefone para o suposto “remetente” e pergunte se o e-mail é original. Muito cuidado com e-mails de desconhecidos, em 99% dos casos podem ser vírus. Não deixe sua curiosidade sobrepor sua cautela.
• Instale um software de antivírus em seu computador. Esta é uma premissa básica e deve reduzir bastante o seu risco de infecção por vírus, o que não garante uma “segurança 100%”. Lembre-se de atualizar seu antivírus: um antivírus desatualizado é só um pouco melhor que nenhum antivírus.
• Quando for utilizar a internet para fazer compras, dê preferência as lojas que possuem boa reputação ou indicadas por pessoas de confiança. Nunca passe mais informações pessoais ou informações da sua empresa do que o necessário.
• Não se constranja em ligar para a loja virtual para garantir que ela realmente existe. Pergunte ao vendedor qual o endereço físico da loja. Talvez você só tenha que fazer isso uma vez, e pode ter certeza que vai evitar dores de cabeça no futuro.
• Antes de você usar o notebook da empresa para trabalhar em casa, confira com a equipe de tecnologia da sua empresa se as regras de segurança não estão sendo desrespeitadas.
• Se você carrega um notebook ou um handheld (palmtop, pocket pc e etc), evite levar consigo informações confidenciais. Certifique-se de não deixá-los em locais onde possam ser roubados, principalmente quando são despachados no aeroporto.
• Grande parte dos crimes onde há roubo de informações como senha bancária, são realizados através de e-mails enviados a correntistas simulando a página dos bancos. A grande maioria dos bancos brasileiros não enviam e-mmails para seus correntistas, a exceção dos que enviam, em hipótese alguma solicitam informações como por exemplo a senha dos correntistas. Nesta caso a regra, mais do que nunca, é: DESCONFIE. Em caso de dúvida, ligue para o seu gerente.
• Se você teme pela visualização de conteúdos ofensivos pelos seus filhos, consulte um especialista. Existem mecanismos que filtram o conteúdo da Internet e impedem que crianças sejam expostas a pornografia ou outras ameaças desse tipo.
• Se o seu computador está se comportando de maneira estranha, como por exemplo, abrindo janelas com propaganda sem que você tenha clicado em nenhum botão, chame um especialista.
• Dependendo da importância das informações que você carrega em seu computador, recomendo que um técnico certificado e de confiança verifique de tempos em tempo o seu equipamento em busca de falhas de segurança, vírus ou cavalos-de-tróia (o cavalo de tróia é um software que permite ao intruso acessar seu computador remotamente).
• Utilize senhas fortes (com combinação de letras e números). Evite usar nomes próprios, datas e outras palavras de fácil adivinhação. Uma boa senha pode ser, por exemplo, a combinação de diversos caracteres com no mínimo 8 caracteres: “s3nh4f0rt3”. Troque sua senha pelo menos a cada 90 dias.
• Quando utilizar sistemas públicos, como por exemplo, cyber cafés, evite ao máximo acessar seu Internet Banking. Caso você tenha que acessar algum sistema que peça senha, certifique-se de trocá-la imediatamente após retornar para casa.
• Nunca, em hipótese alguma, revele a sua senha para ninguém, nem mesmo para o administrador do sistema da rede da sua empresa. A função da senha é ser secreta.
• Para usuários de sistema Microsoft, recomendo que utilizem o Windows XP com o service pack 2 (última atualização do sistema operacional). Se você não souber como fazer, procure o suporte de um técnico.
• Use um firewall, programa que protege o seu computador contra acesso de terceiros. Softwares de firewall podem ser facilmente encontrados em lojas de software ou na Internet. Recomendo ainda que utilizem o programa de firewall que vem junto ao Windows XP na versão com atualização do service pack 2. Configurá-lo pode não ser fácil, portanto considere o apoio de um técnico de confiança.
• Faça cópias de segurança dos arquivos do seu computador para CDs ou outras mídias removíveis, como disquete ou fitas. Confie em mim, você ainda vai precisar recuperar alguma informação importante.
Estas são apenas algumas dicas para que você possa evitar a maioria dos riscos do mundo digital. Cedo ou tarde vamos nos defrontar com alguma situação que poderá colocar em risco nossas informações, nossa privacidade e algumas vezes o acesso a nossa conta bancária. Neste momento, a diferença entre o sucesso ou o fracasso do ataque, será o seu conhecimento. Sinta-se a vontade para passar este documento adiante.
Friday, February 11, 2005
Segurança e Insegurança em Telefones Celulares
Victor Hugo Menegotto, consultor da Axur Information Security.
Os crimes envolvendo a Internet e os ativos de informação estão surgindo com uma força jamais vista, ocupando cada vez mais o “top-of-mind” das preocupações rotineiras de CSOs, CIOs, CFOs e CEOs. Como tudo que é novo, existe ainda uma grande lacuna que dificulta o trabalho de investigações de crimes que utilizam a tecnologia como meio, e este gap é sentido por advogados, juízes e contadores, e não só pelos profissionais de TI. Como sabemos, o Brasil é referência mundial quando o assunto é “hackers e afins”, significa que devemos abrir os olhos para estas ameaças e garantir nosso papel também como referência no combate ao crime “virtual”.
Comentei em um artigo que escrevi em abril 2004 que deveríamos começar a nos preocupar com os vírus em telefone celular. Em junho de 2004 saiu a primeira notícia de um vírus para telefone celular pela Kaspersky Labs, e ao contrário do que já tinha se visto, este vírus era real, e não mais um HOAX. Em novembro do mesmo ano surgiu outro vírus. Eu sinceramente não imaginava que eles viriam tão rápido e que causariam tantos danos.
Os vírus para celular se propagam através de Bluetooth e, em alguns casos consomem toda a bateria dos aparelhos contaminados. Não é fantástico? Claro, do ponto de vista tecnológico. Já por outro lado, do ponto de vista do cidadão digital, é uma catástrofe. Estamos perdidos no meio de Bluetooth, Bluesnarfing, Bluebugging, Bluejacking e outros termos que denominam tecnologias e técnicas de intrusão. Mesmo os que não utilizam computadores estão sujeitos a uma contaminação, basta ser dono de um celular. A contaminação por estes "mobile virus" é voltada para aparelhos telefônicos avançados.
Os vírus atuantes mais comuns são o Skull, Cabir e suas variantes. O Skull substitui os ícones do telefone por caveiras, e o Cabir infecta os aparelhos em um raio de até 10 metros, via bluetooth. Um hacker com um dispositivo Bluetooth em um shopping pode conseguir diversas informações. Já imaginaram estar em um restaurante, em uma feira de tecnologia ou simplesmente passeando em um shopping center e ter o seu celular invadido por um hacker agindo através do Bluetooth? Ou mesmo, contamido por um vírus que apaga toda a sua agenda?
Da mesma forma como nos preocupamos com o aspecto de contaminação do celular por vírus, existe o viés da utilização do celular como ferramenta de espionagem, e então entramos na ciranda da busca por evidências nestes dispositivos, algo que até então ainda não se tratava. Informações muito valiosas podem estar contidas nos aparelhos, desde uma chamada realizada até uma fotografia. São inúmeros os casos de roubo de informações através de fotos tiradas via telefone celular. Um simples clique, e depois outro. Pronto, a fotografia do projeto esta no e-mail do concorrente. Mais fácil seria gravar uma reunião, ou telefonar para o concorrente e deixar o aparelho ligado durante uma decisão importante. As alternativas são muitas, cabe a nós identificá-las e tratá-las da forma mais adequada.
Já existe uma movimentação no mercado para proibição de utilização de alguns tipos de aparelho celular dentro das empresas. Em algumas corporações é proibida a entrada em determinados locais com telefone celular. Atualizem suas políticas e adicionem esta regra para os perímetros considerados críticos. A facilidade que estes aparelhos nos fornecem no dia-a-dia são também um prato cheio para quem quer se aproveitar de seus recursos.
Mas a salvação esta a caminho. O número de artigos e informações sobre investigação de aparelhos celular dobrou neste último ano. A tecnologia se desenvolve, e nós corremos atrás, na tentativa de criar proteção. O número de conceitos abordados por tecnologias móveis é tão grande que a comunidade de segurança da informação no Brasil deveria dedicar atenção maior ao tema. Não cabe discutir as vantagens e desvantagens das tecnologias, mas cabe o alerta de que esse conhecimento deve ser adquirido pelos profissionais de segurança.
Os aparelhos GSM, por exemplo, possuem cartões de memória denominaados SIM - Subscriber Identity Module, os famosos chips. Estes chips armazenam informações fundamentais para uma investigação. O GSM armazena até informações dos locais pelos quais o usuário do aparelho passou. Ferramentas como Sim Manager Pro e SIM-Scan são utilizadas para análises das informações armazenadas nos cartões SIM. Vale lembrar que os cartões também podem ser invadidos. Uma das práticas mais comuns de "anti-forensics" é a remoção de informações importantes para a investigação. Para quem tem GSM, guarde bem seu PIN e seu PUK. Outros aparelhos, CDMA, que não utilizam cartões do tipo SIM também podem ser investigados. Um exemplo de software para este fim é o famoso Oxygen, desta vez na sua versão Forensics.
Seguindo a regra de que neste ano de 2005 os investimentos em segurança serão priorizados, com o avanço das tecnologias de telefonia móvel, é interessante que as empresas comecem a levar em consideração medidas de proteção de propriedade intelectual em visão aos dispositivos móveis, considerando telefones celulares de handhelds. De qualquer forma, fica o recado, mesmo para quem passou por situações traumáticas de vazamento de informações através de celulares: existe uma luz no fim do túnel e com a tecnologia disponível para este tipo de investigação, é muito dificil que os criminosos consigam sair ilesos.
Comentei em um artigo que escrevi em abril 2004 que deveríamos começar a nos preocupar com os vírus em telefone celular. Em junho de 2004 saiu a primeira notícia de um vírus para telefone celular pela Kaspersky Labs, e ao contrário do que já tinha se visto, este vírus era real, e não mais um HOAX. Em novembro do mesmo ano surgiu outro vírus. Eu sinceramente não imaginava que eles viriam tão rápido e que causariam tantos danos.
Os vírus para celular se propagam através de Bluetooth e, em alguns casos consomem toda a bateria dos aparelhos contaminados. Não é fantástico? Claro, do ponto de vista tecnológico. Já por outro lado, do ponto de vista do cidadão digital, é uma catástrofe. Estamos perdidos no meio de Bluetooth, Bluesnarfing, Bluebugging, Bluejacking e outros termos que denominam tecnologias e técnicas de intrusão. Mesmo os que não utilizam computadores estão sujeitos a uma contaminação, basta ser dono de um celular. A contaminação por estes "mobile virus" é voltada para aparelhos telefônicos avançados.
Os vírus atuantes mais comuns são o Skull, Cabir e suas variantes. O Skull substitui os ícones do telefone por caveiras, e o Cabir infecta os aparelhos em um raio de até 10 metros, via bluetooth. Um hacker com um dispositivo Bluetooth em um shopping pode conseguir diversas informações. Já imaginaram estar em um restaurante, em uma feira de tecnologia ou simplesmente passeando em um shopping center e ter o seu celular invadido por um hacker agindo através do Bluetooth? Ou mesmo, contamido por um vírus que apaga toda a sua agenda?
Da mesma forma como nos preocupamos com o aspecto de contaminação do celular por vírus, existe o viés da utilização do celular como ferramenta de espionagem, e então entramos na ciranda da busca por evidências nestes dispositivos, algo que até então ainda não se tratava. Informações muito valiosas podem estar contidas nos aparelhos, desde uma chamada realizada até uma fotografia. São inúmeros os casos de roubo de informações através de fotos tiradas via telefone celular. Um simples clique, e depois outro. Pronto, a fotografia do projeto esta no e-mail do concorrente. Mais fácil seria gravar uma reunião, ou telefonar para o concorrente e deixar o aparelho ligado durante uma decisão importante. As alternativas são muitas, cabe a nós identificá-las e tratá-las da forma mais adequada.
Já existe uma movimentação no mercado para proibição de utilização de alguns tipos de aparelho celular dentro das empresas. Em algumas corporações é proibida a entrada em determinados locais com telefone celular. Atualizem suas políticas e adicionem esta regra para os perímetros considerados críticos. A facilidade que estes aparelhos nos fornecem no dia-a-dia são também um prato cheio para quem quer se aproveitar de seus recursos.
Mas a salvação esta a caminho. O número de artigos e informações sobre investigação de aparelhos celular dobrou neste último ano. A tecnologia se desenvolve, e nós corremos atrás, na tentativa de criar proteção. O número de conceitos abordados por tecnologias móveis é tão grande que a comunidade de segurança da informação no Brasil deveria dedicar atenção maior ao tema. Não cabe discutir as vantagens e desvantagens das tecnologias, mas cabe o alerta de que esse conhecimento deve ser adquirido pelos profissionais de segurança.
Os aparelhos GSM, por exemplo, possuem cartões de memória denominaados SIM - Subscriber Identity Module, os famosos chips. Estes chips armazenam informações fundamentais para uma investigação. O GSM armazena até informações dos locais pelos quais o usuário do aparelho passou. Ferramentas como Sim Manager Pro e SIM-Scan são utilizadas para análises das informações armazenadas nos cartões SIM. Vale lembrar que os cartões também podem ser invadidos. Uma das práticas mais comuns de "anti-forensics" é a remoção de informações importantes para a investigação. Para quem tem GSM, guarde bem seu PIN e seu PUK. Outros aparelhos, CDMA, que não utilizam cartões do tipo SIM também podem ser investigados. Um exemplo de software para este fim é o famoso Oxygen, desta vez na sua versão Forensics.
Seguindo a regra de que neste ano de 2005 os investimentos em segurança serão priorizados, com o avanço das tecnologias de telefonia móvel, é interessante que as empresas comecem a levar em consideração medidas de proteção de propriedade intelectual em visão aos dispositivos móveis, considerando telefones celulares de handhelds. De qualquer forma, fica o recado, mesmo para quem passou por situações traumáticas de vazamento de informações através de celulares: existe uma luz no fim do túnel e com a tecnologia disponível para este tipo de investigação, é muito dificil que os criminosos consigam sair ilesos.
Subscribe to:
Posts (Atom)