Information Security

Personal blog about Information Security

Site de Contingência (Backup site) Distância Regulamentar

Durante a implantação do Plano de Continuidade de Negócios surgiu o questionamento de qual seria a distância ideal para se manter um backup site.

    Recorri a diversas literaturas e diversos sites, mas não encontrei nada de concreto.

    A maioria das documentações existentes, não define uma distância mínima regulamentar ao menos não uma que possa ser levada em consideração.

    Alguns sites americanos falam em distâncias superiores a 100 km, evidentemente herança do medo nuclear, o que se tratando de Estado Unidos é bem justificável.

    No entanto aqui em “terra brasillis” o que seria o recomendável?

    Por definição o nosso Data Center de contingência tipo “warm site” fica a aproximadamente 10 km, medida que convencionou-se nos meios de Segurança de Informação e algumas vezes é tomada por referência.

    Ter um “Backup site” que vá além do Data Center ou seja com capacidade de sustentar as operações de uma empresa em caso de perda do site principal requer uma infra-estrutura semelhante a utilizada pela empresa porém com um contingente bem mais reduzido. Estou falando de pessoas.

    A chave está na análise dos riscos do site principal, geralmente feita durante a estruturação do Plano de Continuidade de Negócios. Uma análise bem feita leva em conta os riscos em potencial da região além dos da própria edificação.

    Uma vez estruturada e aprovada a análise de riscos do site principal, deve-se fazer o mesmo com o provável/atual site de contingência, se os riscos forem os mesmos é bom rever a localização desse site.

    Ter um site de contingência ao lado de um posto de gasolina pode ser tão arriscado quanto colocá-lo junto do site principal.

    Com o desenvolvimento do Plano de Continuidade de Negócios, particularmente durante as entrevistas de levantamento para a elaboração do BIA (Business Impact Analysis) o tempo máximo em que um processo pode ficar parado é determinado. Essa informação é extremamente importante para a determinação da localização do site.

    Tão importante quanto saber os riscos a que o site está exposto está a velocidade em que ele pode ser ativado. Sites backup próximos à sede geralmente tem um tempo de ativação relativamente rápido, quando bem estruturado e procedimentado, no entanto podem estar expostos aos mesmos riscos do site principal.

    Ter um site principal no centro de São Paulo e montar a contingência em Campinas pode ser arriscado, já que o tempo de ativação poderá ser superior ao previsto pelo Plano de Continuidade de Negócios para a ativação da operação em contingência, no entanto dificilmente o site estará exposto aos mesmos riscos.

    Faltou falar em custo.

Existem muitas empresas que oferecem espaço para o Data Center, mas poucas oferecem espaço para as pessoas. Em parte porque os custos de uma infra-estrutura robusta de Data Center podem ser rateados entre os clientes, em outras palavras, você precisa de um único super gerador para suportar diversos data centeres de diversos clientes, mas nem sempre um único espaço com mobiliário, banheiro, estacionamento e etc… é o suficiente para mais de um cliente, principalmente se houver a possibilidade de entrarem em contingência simultaneamente. Conseqüentemente o preço é elevado.

Nada mais justo do que custos elevados para aguçar a criatividade dos administradores. Quando esse cenário se concretizar, cabe a análise sobre a possibilidade de se montar a própria estrutura. Em um backup site distante o suficiente para não ser exposto ao mesmo risco, pode-se pensar em montar unidades de treinamento para os colaboradores. No caso da contingência a infra-estrutura estará toda montada e rapidamente pode ser ativada. E honestamente ninguém irá querer saber de treinamento quando o site principal acabou de arder em chamas.

Financeiramente falando, construir a própria instalação pode ter suas vantagens, uma vez que os gastos feitos na construção do site podem ser lançados como investimento e diferido ao longo do tempo. Mas aí cabe uma discussão mais detalhada com o financeiro.

Resumindo, a fórmula para se determinar a distância adequada para o Site Backup, é uma combinação de dois fatores importantes: os riscos do site devem ser diferentes do site principal e o tempo de acionamento não deve ser maior do que a operação que se quer garantir agüenta paralisada e por último um fator determinante, custo.

 

 

January 19, 2009 Posted by | Uncategorized | Leave a Comment

Cracks in WPA? How to continue protecting Wi-Fi networks

Artigo muito interessante sobre segurança em WPA. Vale a pena ler.

http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1344071,00.html?track=sy260

January 6, 2009 Posted by | Wireless | , | Leave a Comment

O que esperar do universo dos spams em 2009, segundo a SPAMfighter

O que esperar do universo dos spams em 2009, segundo a SPAMfighter

Por PC World/EUA

Publicada em 06 de janeiro de 2009 às 07h00

São Francisco – Empresa prevê estratégia profunda de e-mails não-solicitados em redes sociais e combinação inteligente de métodos.

Em 2008, houve uma “promissora” explosão de spams, os e-mails em massa não desejados que se acumulam nas caixas de entrada dos internautas. E para 2009, os spammers prometem novas formas de perturbar os usuários.

“Ganhamos algumas batalhas no ano passado, mas a luta ainda está longe de terminar”, afirma o co-fundador do SPAMfighter, Martin Thornberg. Segundo o executivo, por enquanto os spams só conseguiram se infiltrar em 22% do território em que poderiam atuar.

Há, no entanto, muito espaço para as mensagens indesejadas se infiltrarem. Baseado nas previsões da SPAMfighter, veja abaixo o que dominará o universo de spams em 2009.

- Mais spams relacionados a redes sociais. Os spammers aumentaram as formas com que se infiltram neste universo e aumentaram sua participação em 2008, e esta tendência deve aumentar rapidamente nos próximos meses.

- Redes mais complexas por trás dos esforços para o envio de spams. O fato de uma rede de botnets ter sido desligada em novembro teve efeito significativo: provocou queda de 41% no volume global de spams. No mesmo mês, porém, a rede foi religada.

Pesquisadores acreditam que cerca de 75% de todos os spams eram controlados nesta única rede e, por isso, a SPAMfighter acredita que os spammers serão mais espertos em 2009, criando menos sistemas centralizados.

- Maior combinação de métodos. Os spams combinarão táticas de spywares e phishings para criar “ameaças combinadas”.

- Aumento de phishings direcionados a grupos de interesses específicos. Estes podem incluir mensagens com design “oficial”, voltadas a funcionários de uma determinada empresa ou mesmo a integrantes de grupos online.

- Um aumento geral na criatividade. Em 2008, o SPAMfighter registrou tentativas de phishing disfarçadas de alertas contra phishings. Enquanto os internautas ficam mais espertos, os disfarces nos spams devem aumentar.

A equação do spam
Muitas precauções antispam parecem óbvias mas, é claro, muitos as ignoram. A boa notícia é que há poucos ingênuos. Segundo um estudo da Universidade da Califórnia, apenas um milhão em cada 12,5 milhões de spams são respondidos.

A má notícia é que esta pequena porcentagem é o suficiente para gerar lucro de 7 mil dólares por dia, ou 3,5 milhões de dólares por ano, para uma rede considerável de spams.

Além disso, o pior é que estas pessoas que caem nos contos dos spams geram 8.500 novos bots nestas redes a cada 24 horas.

Como se proteger?
Se você não está 100% seguro de suas táticas de proteção contra golpes enviados via spam, vale a pena dedicar alguns minutos ao plano de proteção abaixo, elaborado pela SPAMfighter.

- Pensou em responder uma mensagem não-solicitada? Uma oferta tentadora para remover seu e-mail da lista? Não o faça. E ponto.

- O mesmo comportamento vale para mensagens de “falha de envio”. Se você não se lembra de ter enviado o e-mail que não chegou, clique em “delete” e siga em frente.

- Evite oferecer seu endereço de e-mail principal em qualquer fórum ou blog que você não confie. Crie uma conta secundária para os possíveis lixos eletrônicos.

- Também não ofereça seu e-mail principal em seu próprio blog ou site. Os bots o encontrarão e o incluirão em suas listas. Para driblar os bots, apele a serviços que criam imagens a partir do seu endereço de e-mail, como o E-mail Icon Generator.

- Nunca envie dinheiro, seja para uma compra ou doação, para qualquer entidade que você conheceu por um e-mail não-solicitado.

- Esta dica é antiga, mas alguns ainda não a entenderam: JAMAIS clique em links de mensagens não-solicitadas. Se é um e-mail de seu banco pedindo para você clicar em confirmação de sua conta, ignore. Abra seu browser e digite a URL legítima manualmente, e então descubra se há algo para ser de fato resolvido.

January 6, 2009 Posted by | SPAM | Leave a Comment

Pesquisadores quebram segurança de site confiável

31/12/2008 – 15h57
A pequena imagem de um cadeado no canto dos navegadores não pode mais indicar certamente que uma conexão é segura. É o que mostrou uma nova pesquisa divulgada nesta terça-feira (30) no congresso de tecnologia 25C3, em Berlim.
Com testes, um time de pesquisadores do Centrum Wiskunde & Informatica (CWI), da Califórnia, e da Eindhoven University of Technology, da Holanda, conseguiu quebrar a segurança de um site confiável usando uma rede conectada de 200 consoles do videogame PlayStation 3.
Com o equipamento, eles demonstraram que é possível enganar o navegador caso o site use um antigo algoritmo de criptografia, chamado MD5. Ele é usado para embaralhar o conteúdo de uma mensagem –como uma senha, por exemplo– antes de enviá-la, para que somente o destinatário possa lê-la.
Quando um usuário visita um site cujo endereço começa com “https”, geralmente vê um cadeado fechado no canto do navegador, que indica que o site emprega um certificado digital lançado por uma autoridade confiável que opera na rede. O navegador verifica o certificado, usando algum algoritmo, incluindo, em alguns sites, o MD5.
Foi em um site usando este algoritmo que os pesquisadores conseguiram driblar a segurança. O procedimento, no entanto, durou três dias para ser completado, até que pudessem identificar o conteúdo da mensagem enviada em teste.
Se fosse usado apenas um computador normal, a tática usada poderia demorar cerca de 30 anos para alcançar o mesmo resultado, gerando dois falsos certificados.
Para muitos especialistas, mesmo que a quebra realizada pelos pesquisadores seja bastante difícil de conseguir, os resultados do teste –mostrados no congresso da 25C3 em Berlim– podem contribuir para que as conexões fiquem mais seguras.
Grandes empresas que desenvolvem navegadores, como a Microsoft e a Mozilla, por exemplo, já foram informadas da vulnerabilidade dos sistemas de criptografia que usam o MD5. Com isso, elas podem adaptar seus programas para indicar sites que usam o algoritmo vulnerável.
Um dos objetivos da pesquisa foi justamente alertar as autoridades que expedem os certificados para que não usem mais o sistema antigo e migrem para outros algoritmos alternativos e mais modernos, como o SHA-2.

January 2, 2009 Posted by | Uncategorized | | Leave a Comment

Emerging Cyber Threats,Report for 2009

Segue o Relatório de ameaças Emergentes para 2009 produzido pela  Georgia Tech Information Security Center.

December 16, 2008 Posted by | Uncategorized | , , | Leave a Comment

Servidores de spam tirados do ar há duas semanas voltam a funcionar

Veja matéria no site OGLOBO.

November 29, 2008 Posted by | SPAM | | Leave a Comment

Fechamento de empresa americana reduz spam em 70%

“Coincidência ou não, o volume de spams sofreu uma queda aqui na empresa!!!”

Quinta, 13 de novembro de 2008, 12h46 Atualizada às 13h04
O fechamento de uma companhia de serviço de hospedagem de sites na Internet que teria gangues de spam como clientes levou a uma redução drástica no envio deste tipo de e-mail, segundo uma empresa de segurança online.Duas empresas americanas provedoras de Internet bloquearam a companhia McColo depois de uma investigação do jornal Washington Post. O jornal vinha levantando informações a respeito da McColo nos últimos quatro meses e passou estes dados para as companhias Global Crossing e Hurricane Electric. Na terça-feira, as duas companhias decidiram desligar a McColo de seus serviços.

Desde então, os níveis de spam caíram 70%, segundo a companhia de segurança online Ironport.

A McColo estaria hospedando gangues de botnets – redes formadas por diversos computadores com um programa chamado bot (ou “zumbi”), projetado para procurar informações pela Internet como detalhes de contas bancárias e cartões de crédito, com pouca intervenção humana, e para enviar spam.

Segundo a empresa britânica MessageLabs, que trabalha com sistemas de segurança online, as botnets são responsáveis por mais de 90% dos spams enviados no mundo.

Temporário
Mas, de acordo com a Ironport, a queda no nível de envio de spam deve ser temporária. “É uma queda sem precedentes, mas será um período de inatividade temporário, já que as redes se movem da América do Norte para locais onde existe menos vigilância”, disse Jason Steer, porta-voz da Ironport.

Steer afirma que as companhias de tecnologia estão lutando contra o problema do alto número de spam. “As companhias de internet americanas estão sendo muito mais vigiadas. As autoridades e a comunidade da internet acordaram para o problema”, afirmou.

Mas, para Steer, os criminosos poderão passar a tomar mais cuidado com o que fazem, mas não irão parar. “Os níveis de spam voltarão ao normal com a aproximação do feriado de Ação de Graças e do Natal”, disse.

Um estudo recente de cientistas do setor de informática das Universidades de Berkeley e San Diego, ambas no Estado americano da Califórnia, descobriu que as pessoas que mandam spams conseguem obter lucros, mesmo com um índice de resposta de um para cada 12,5 milhões de e-mails enviados.

 

BBC Brasil

November 17, 2008 Posted by | Uncategorized | | Leave a Comment

Web 2.0: Agilidade pode garantir acesso a informações

Pesquisa aponta que as empresas terão de se adaptar às redes sociais de forma rápida e barata para garantir que dados corporativos circulem.

Por Redação do COMPUTERWORLD

23 de setembro de 2008 – 14h09
página 1 de 1

Para utilizar a informação da Web 2.0 de forma eficaz, as empresas terão de facilitar a sua dinâmica e visualização, e investir em textos com filtros para identificar e recuperar os dados mais valiosos. É o que indica a pesquisa “Operational Web 2.0” divulgada recentemente pela consultoria PricewaterhouseCoopers.

Segundo o estudo, as empresas terão ainda de se adaptar aos métodos de colaboração que estão surgindo para criar redes informais, enquanto os usuários corporativos estão colaborando com conteúdos com o objetivo de produzir melhores decisões. E isto, deverá ser feito de forma rápida e barata o suficiente para explorar a informação antes que seu valor significativo seja perdido.

Os gestores exigem atualmente o tipo de tomada de decisão que a Web 2.0 oferece. Com a Web 2.0, a decisão virtual pode usar tecnologias para facilitar o acesso imediato a redes. Além disso, as companhias querem buscar conhecimento em blogs, wikis e mashups.

Proteção de dados
De acordo com um balanço da consultoria IDC, dos US$ 41 bilhões do mercado global de software de segurança e serviços, apenas US$ 1,1 bilhões foram gastos, em 2007, especificamente com proteção e controle de informação, isto é, com produtos de empresas que oferecem gestão e filtragem de conteúdo. As pesquisas estimam que este mercado movimente US$ 3,2 bilhões até 2011.

A razão destes números está na democratização da informação nos meios de comunicação da Era Web 2.0, já que ela derruba as fronteiras entre os departamentos das empresas e, porque introduzem demanda de segurança e controle semelhante aos processos do e-mail de 20 anos atrás.

Porém, ainda de acordo com a pesquisa da PricewaterhouseCoopers, muitas empresas não vêem o valor da mídia social, assim como aconteceu com o e-mail. Embora eles tenham superado o correio normal, o conteúdo que navega na Web 2.0 parece simplesmente aumentar o volume de informações. Fora deste contexto, a adoção de mídia social ainda tende a aumentar cada vez mais.

Em geral, a melhoria da inter-conectividade significará que o trabalho que costumava ficar em isolamento feito de forma mais eficaz poderá ser realizado em conjunto. A consultoria conclui que, com um elevado grau de interconexão, a colaboração informal de conteúdo será exercida.

September 23, 2008 Posted by | Uncategorized | | Leave a Comment

Quem foi o responsável por vazar os dados críticos?

Quem foi o responsável por vazar os dados

críticos?

Foi a recepcionista, o vendedor ou o porteiro? Entenda como a experiência dos cassinos podem ajudar à gestão de segurança.

Por Computerworld, EUA

22 de abril de 2008 – 07h30
página 1 de 1

Talvez você saiba proteger os dispositivos de rede e os data centers. Agora, você consegue manter a inteligência corporativa em segurança. Mas será que você sabe ensinar seus funcionários a se defender de ataques com base no trabalho que eles realizam e não de uma maneira genérica?

Segundo especialistas, um plano de segurança bem construído envolve treinamento personalizado para a função. Você precisa dizer ao pessoal de RH para gerenciar arquivos pessoais que residem em diferentes locais; ao pessoal da administração para fiscalizar quem entra no prédio com identidades falsas; e à equipe de vendedores para controlar o acesso ao sistema CRM da companhia.

Veja aqui as principais ameaças à segurança e as dicas de especialistas sobre o tema para descobrir as táticas mais comuns de impostores que se dedicam a extrair dados de funcionários inocentes.

E, para concluir, pergunte a si mesmo: até onde você é capaz de ir para defender a privacidade dos seus clientes e os dados pessoais dos seus funcionários?

Segurança: A lição dos cassinos
Autorizar o acesso de um funcionário a sistemas de missão crítica ou confidenciais é uma aposta arriscada, mas inevitável. Vamos encarar os fatos: pessoas são uma incógnita.

Assim como os cassinos fiscalizam e impedem a permanência de trapaceiros em cada mesa de jogo, os executivos de TI podem personalizar os planos de segurança para funcionários individuais em cada setor de suas empresas, eliminando vulnerabilidades.

As práticas adotadas nos cassinos podem ser aplicadas no mundo da TI corporativa para a criação de uma lista sensata do que fazer e do que não fazer, com base em quem executa qual trabalho, a fim de redobrar a segurança.

As mesas de jogos de dados e ‘vinte e um’ ensinam que nunca é prudente confiar todos os ativos mais valiosos ou vulneráveis do negócio a um único funcionário. Compartimente o acesso onde for possível e jamais hesite em olhar sobre os ombros dos funcionários.

Acima de tudo, siga a regra de ouro dos cassinos: avalie o nível de risco e aplique trilhas de auditoria incontestáveis, enfatiza Bruce Schneier, especialista em segurança que escreveu vários livros sobre segurança de computador e rede, entre eles Applied Cryptography (Wiley, 1996).

Schneier costuma usar a metáfora do cassino para comprovar aspectos importantes da segurança individualizada. “Se você prestar tenção em um cassino, verá, imediatamente, pessoas vigiando pessoas”, diz. “Há muito dinheiro circulando e circulando muito rápido.”

Gerentes de cassino rigorosos costumam considerar todo e qualquer indivíduo uma ameaça em potencial. Postura idêntica deve ser adotada por líderes de segurança de TI corporativa em relação aos funcionários. “As pessoas são o elo mais fraco na segurança. Sempre foram e você nunca mudará isso”, afirma Schneier. “Mas a realidade é que você precisa lidar com as pessoas e elas vão cometer erros.”

Segurança não é responsabilidade de um único gerente de segurança ou mesmo um departamento de segurança. Na década de 80, por exemplo, a qualidade passou a ser encarada como responsabilidade de cada individuo na organização. A segurança também é responsabilidade de todos.

Cada indivíduo cria, trabalha com, transporta e armazena informações e ativos físicos valiosos. E cada funcionário tem a responsabilidade de protegê-los. Infelizmente, com muita freqüência, a organização não ensina aos funcionários quais são seus deveres e como podem gerenciar riscos eficazmente ao mesmo tempo em que executam seu trabalho.

A idéia de que as empresas precisam proteger-se contra atividade nefanda do pessoal interno não é nova. “Os programas de segurança mais eficazes abordam o elemento humano, e qualquer função com acesso a recursos ou ativos valiosos é um risco”, explica Kent Anderson, managing director da Network Risk Management.

Ele cita uma ampla gama de funcionários que podem representar risco – desde guardas a profissionais de TI e executivos de nível mais alto com autoridade para desativar controles de segurança.

O que é interno? O que é externo?
O problema humano continua se agravando, já que agora é mais difícil diferenciar entre ameaças internas e externas. “A diferença entre interno e externo deixou de ser clara”, justifica Anderson.

Ele alerta as corporações para os meios pelos quais fabricantes, fornecedores, outsourcers e parceiros, entre outros, podem obter acesso a dados corporativos confidenciais – seja acidentalmente ou pelo próprio projeto dos sistemas.

Detectar riscos é suficientemente complicado, quanto mais resolver vulnerabilidades, diz Anderson. Os programas de treinamento de segurança, por exemplo, às vezes são ineficazes. Muitos funcionários negligenciam conselhos continuamente e não prestam atenção às histórias de advertência contadas em monótonos seminários sobre segurança.

“A visão do funcionário mediano é unidimensional. Este indivíduo não vê a segurança da perspectiva da responsabilidade de prestar contas para a organização. Ele vê a questão apenas quando diz respeito ao seu nível de responsabilidade”, observa Norris Roberts, diretor de tecnologia do distrito escolar da cidade de Jennings, no Missouri.

Um seminário trimestral de conscientização de funcionários pode funcionar como uma checagem em um programa de segurança voltado a compliance. Porém, se ficar a cargo dos funcionários descobrir como aplicar controles de segurança às suas funções cotidianas, a coisa toda se torna ineficaz, de acordo com Anderson.

Roberts tem uma lista de medidas de segurança que os funcionários tendem a ignorar. “Práticas de senhas fortes não estão sendo aplicadas. O compartilhamento de senhas prossegue. Boas práticas de e-mail são desprezadas. E, no geral, direitos e privilégios do usuário impróprios continuam sendo um grande problema.”

“O erro mais comum na conscientização dos funcionários usuários em relação à segurança é apresentar o treinamento de uma maneira draconiana, que não os incentiva a cooperar com as políticas que estão sendo implementadas”, observa Eddie Zeitler, diretor executivo da International Information Systems Security Certification Consortium (ISC)2.

“A conscientização sobre a segurança não tem que ser tediosa”, diz Zeitler, acrescentando rapidamente que não é só uma questão de embelezar as iniciativas de treinamento.

Para engajar mais os funcionários, as instalações de TI precisam convencê-los de que as medidas de segurança são impostas em prol tanto do empregador quanto do empregado.

“Se os funcionários conseguirem perceber que podem perder seus empregos por causa de alguma coisa que poderia ter sido evitada através de medidas de segurança sensatas, têm um incentivo a mais para obedecerem às regras do jogo”, diz Zeitler.

Obedecer às regras do jogo é inegociável em cassinos, onde as apostas são altas. As empresas que têm muito a perder precisam transmitir a mesma mensagem continuamente. Somente assim a concessão de privilégios de acesso deixará de ser uma aposta.

April 24, 2008 Posted by | Management | | Leave a Comment

   

Follow

Get every new post delivered to your Inbox.