Em casa de ferreiro ...

O pessoal da Microsoft precisa aprender a usar o corretor ortográfico (o grifo é meu):

Voo 447, Crimes Hediondos e Engenharia Social 3.0

Há algum tempo bloquei sobre o fenômeno Conficker e fiz uma comparação com o worm Morris, evento de mais de 20 anos de idade e o quanto aprendemos (ou não aprendemos) desde então.

Com a recente tragédia no voo 447, começaram a "chover" emails falsos de toda a sorte, com iscas do tipo "fotos exclusivas do acidente", "sobreviventes encontrados" entre muitos outros. Um chamariz perfeito para usuários menos treinados ou mais curiosos.

Rios de dinheiro tem sido gastos com ferramentas e novas tecnicas de proteção contra esse tipo de ameaça, mas sera que estamos escolhendo os campos de batalha corretos?

Aprendemos cada vez mais o papel do usuário nesse tipo de incidente, mas aparentemente não aprendemos o suficiente para cuidar dos usuários.

No acidente aéreo ocorrido no Brasil no ano passado quando duas aeronaves colidiram no ar, até mesmo fotos falsas (provenientes de uma serie de TV onde ocorre um acidente logo no primeiro episódio) para chamar a atenção de usuários incautos.

Essas não exatamente novas, mas certamente bem criativas formas de se utilizar engenharia social requerem cuidados ligados a conscientização e constante esforço junto aos usuários. Antivirus de forma isolada não são suficientes (embora uma verificação ortográfica integrada pudesse ser uma boa idéia - Muitos desses emails são maravilhas da engenharia social mas ataques violentos a lingua portuguesa). "Vazou OS videos do Desastre" é um bom exemplo disso. A construcao desses emails ainda é bem arcaica, mas com o uso de logotipos e imagens surrupiadas de sites de noticias e outros artificios como links falsos (como no exemplo onde o email sugere que o link é da FAB mas na verdade aponta para um site que hospeda o código malicioso)

Vale a pena conscientizar os usuários sobre esses "fenômenos" e manter máquinas atualizadas e processos bem definidos para monitorar mudanças de configuração, aderência a políticas de segurança corporativas entre outras medidas importantes. Crimes hediondos recentes, tragédias que circulam a mídia: A temática central muda, mas a engenharia social só se aperfeiçoa. QUando surge uma nova manchete, golpistas certamente usaram esse artifício para melhorar os resultados de sua "pesca".

A cada incidente temos que aprender não apenas as questões técnicas envolvidas mas tambem como nossos usuários reagem para que os mecanismos de defesa possam aprender com cada experiência.

Aylton Souza

http://blogs.technet.com/risco/archive/2009/06/23/voo-447-crimes-hediondos-e-engenharia-social-3-0.aspx

Um artigo para a geração Você S.A.

• Coisas que me irritam e espero que mudem (by Wagner Elias)

Calendário de eventos

Ronaldo Vasconcellos, o criador de algumas das principais listas de segurança brasileiras, mantém este calendário de eventos de segurança.

• Computer Security and Hacker Conferences

Sarbanes-Oxley e o mito da retenção de logs

Existe uma grande confusão em diversas páginas na web que afirmam que a Sarbanes-Oxley determina 7 anos para retenção de logs. Isto é comum na Internet, as pessoas fazem copy & paste de outras páginas, não verificam as fontes originais e, no final, algo que é uma inverdade passa a ter credibilidade pois muitos repetem esta informação.

Ocorre que a U.S. Securities and Exchange Commission definiu o seguinte em uma das suas regulamentações:

WE are adopting rules requiring accounting firms to retain for seven years certain records relevant to their audits and reviews of issuers' financial statements. Records to be retained include an accounting firm's workpapers and certain other documents that contain conclusions, opinions, analyses, or financial data related to the audit or review.

Como pode-se verificar no texto a cima, a Sarbanes-Oxley não expecifica qual deve ser o período de retenção de logs, mas sim, determina que as empresas de auditoria guardem por 7 anos os registros das auditorias realizadas.

Segurança vs. Inovação

Quando segurança é visto como um obstáculo para inovação, algo está errado.

THE study, done by research firm IDC on behalf of RSA Security, shows that the majority of senior managers believe IT security risk is the largest single obstacle to innovation in their businesses right now. Much of this stems from the belief that security personnel are inclined to simply say no to whatever request they receive from a line of business executive and that even if they do agree to help with a given initiative, the turnaround time will be too long to be of any use, the research shows.

IT security not valued at many firms, study finds by Dennis Fisher

Apresentação sobre gerenciamento de log

• Logs = Accountability by Dr Anton Chuvakin

Métricas econômicas e financeiras de segurança

Este paper de Rainer Böhme e Thomas Nowey é realmente bom. A sua primeira parte resume muito habilidosamente os principais métodos de decisão financeira para investimentos em segurança da informação, tais como ALE (Annual Loss Expectancy), algumas variações de ROSI (Return on Security Investment) e NVP (Net Present Value). Além disso, ele analisa algumas da deficiências destes métodos.

A segunda parte descreve algumas métricas de segurança baseadas em mecanismos de mercado. É um assunto muito interessante que merece mais da minha atenção no futuro. A propósito, este paper é originalmente um capítulo do livro “LNCS 4909 Dependability Metrics”.

Segurança por corretude, isolamento ou obscuridade

Como frequentemente ocorre, Joanna Rutkowska postou algumas idéias interessantes:

IF we looked at the computer systems and how they try to provide security, I think we could categorize those attempts into three broad categories:

1. Security by Correctness
2. Security by Isolation
3. Security by Obscurity

Mais aqui.