Gbitten

WGA: um abuso com o consumidor e um absurdo para a segurança

2009-10-24T05:13:00.020-02:00

Tentei instalar uma atualização de segurança hoje. Mas a Microsoft não me permite fazer o download da atualização sem que o Windows Genuine Advantage (WGA) esteja instalado. O FAQ do WGA diz o seguinte:

P: As atualizações de segurança exigem validação?
R: As atualizações de segurança não fazem parte do WGA ou do OGA. Você pode instalar atualizações de segurança com o recurso Atualizações Automáticas do Windows ou baixá-las do Centro de Download.

Mentira! Não há como abaixar a atualização que apontei acima. Em resumo, sempre me recusei a instalar o WGA simplesmente por que ele não me agrega nenhum benefício. Agora, a Microsoft me nega a possibilidade de realizar uma atualização de segurança importante. Me sinto ultrajado.

Em tempo, meu Windows não é pirata, eu pagei à Microsoft por ele.

Um backupzinho vez em quando é bom

2009-10-12T18:26:00.013-03:00

Nesta nota, a T-Mobile e a Microsoft praticamente não deixam esperança de recuperação dos dados dos clientes no serviço T-Mobile Sidekick. É impressionante como as organizações continuam a não implementar, ou implementam de forma deficiente, controles para mitigação de riscos básicos porem de grande impacto. Neste caso específico, aparentemente faltou gestão de mudança e backup.

DEAR valued T-Mobile Sidekick customers:

T-Mobile and the Sidekick data services provider, Danger, a subsidiary of Microsoft, are reaching out to express our apologies regarding the recent Sidekick data service disruption. We appreciate your patience as Microsoft/Danger continues to work on maintaining platform stability, and restoring all services for our Sidekick customers.

Regrettably, based on Microsoft/Danger’s latest recovery assessment of their systems, we must now inform you that personal information stored on your device – such as contacts, calendar entries, to-do lists or photos – that is no longer on your Sidekick almost certainly has been lost as a result of a server failure at Microsoft/Danger. That said, our teams continue to work around-the-clock in hopes of discovering some way to recover this information. However, the likelihood of a successful outcome is extremely low. As such, we wanted to share this news with you and offer some tips and suggestions to help you rebuild your personal content. You can find these tips at the T-Mobile Sidekick Forums (http://www.t-mobile.com/sidekick ). We encourage you to visit the Forums on a regular basis to access the latest updates as well as FAQs regarding this service disruption.

In addition, we plan to communicate with you on Monday (Oct. 12) the status of the remaining issues caused by the service disruption, including the data recovery efforts and the Download Catalog restoration which we are continuing to resolve. We also will communicate any additional tips or suggestions that may help in restoring your content.

We recognize the magnitude of this inconvenience. Our primary efforts have been focused on restoring our customers’ personal content. We also are considering additional measures for those of you who have lost your content to help reinforce how valuable you are as a T-Mobile customer.

We continue to advise customers to NOT reset their device by removing the battery or letting their battery drain completely, as any personal content that currently resides on your device will be lost.

Once again, T-Mobile and Microsoft/Danger regret any and all inconvenience this matter has caused.

http://www.sidekick.com/

Por que não se pensou nisso antes?

2009-09-09T23:36:00.003-03:00

Helping users keep plugins updated

Declaração de quitação anual de débitos

2009-08-05T15:55:00.000-03:00

Esta é uma lei (muito) boa.

Fora Sarney!

2009-07-16T08:34:00.000-03:00

http://twitter.com/forasarney

Em casa de ferreiro ...

2009-06-23T16:22:00.007-03:00

O pessoal da Microsoft precisa aprender a usar o corretor ortográfico (o grifo é meu):

Voo 447, Crimes Hediondos e Engenharia Social 3.0

Há algum tempo bloquei sobre o fenômeno Conficker e fiz uma comparação com o worm Morris, evento de mais de 20 anos de idade e o quanto aprendemos (ou não aprendemos) desde então.

Com a recente tragédia no voo 447, começaram a "chover" emails falsos de toda a sorte, com iscas do tipo "fotos exclusivas do acidente", "sobreviventes encontrados" entre muitos outros. Um chamariz perfeito para usuários menos treinados ou mais curiosos.

Rios de dinheiro tem sido gastos com ferramentas e novas tecnicas de proteção contra esse tipo de ameaça, mas sera que estamos escolhendo os campos de batalha corretos?

Aprendemos cada vez mais o papel do usuário nesse tipo de incidente, mas aparentemente não aprendemos o suficiente para cuidar dos usuários.

No acidente aéreo ocorrido no Brasil no ano passado quando duas aeronaves colidiram no ar, até mesmo fotos falsas (provenientes de uma serie de TV onde ocorre um acidente logo no primeiro episódio) para chamar a atenção de usuários incautos.

Essas não exatamente novas, mas certamente bem criativas formas de se utilizar engenharia social requerem cuidados ligados a conscientização e constante esforço junto aos usuários. Antivirus de forma isolada não são suficientes (embora uma verificação ortográfica integrada pudesse ser uma boa idéia - Muitos desses emails são maravilhas da engenharia social mas ataques violentos a lingua portuguesa). "Vazou OS videos do Desastre" é um bom exemplo disso. A construcao desses emails ainda é bem arcaica, mas com o uso de logotipos e imagens surrupiadas de sites de noticias e outros artificios como links falsos (como no exemplo onde o email sugere que o link é da FAB mas na verdade aponta para um site que hospeda o código malicioso)

Vale a pena conscientizar os usuários sobre esses "fenômenos" e manter máquinas atualizadas e processos bem definidos para monitorar mudanças de configuração, aderência a políticas de segurança corporativas entre outras medidas importantes. Crimes hediondos recentes, tragédias que circulam a mídia: A temática central muda, mas a engenharia social só se aperfeiçoa. QUando surge uma nova manchete, golpistas certamente usaram esse artifício para melhorar os resultados de sua "pesca".

A cada incidente temos que aprender não apenas as questões técnicas envolvidas mas tambem como nossos usuários reagem para que os mecanismos de defesa possam aprender com cada experiência.

Aylton Souza

http://blogs.technet.com/risco/archive/2009/06/23/voo-447-crimes-hediondos-e-engenharia-social-3-0.aspx

Um artigo para a geração Você S.A.

2008-12-04T22:03:00.003-02:00

Coisas que me irritam e espero que mudem (by Wagner Elias)

Calendário de eventos

2008-11-23T12:11:00.003-02:00

Ronaldo Vasconcellos, o criador de algumas das principais listas de segurança brasileiras, mantém este calendário de eventos de segurança.

Computer Security and Hacker Conferences

Sarbanes-Oxley e o mito da retenção de logs

2008-11-15T09:44:00.008-02:00

Existe uma grande confusão em diversas páginas na web que afirmam que a Sarbanes-Oxley determina 7 anos para retenção de logs. Isto é comum na Internet, as pessoas fazem copy & paste de outras páginas, não verificam as fontes originais e, no final, algo que é uma inverdade passa a ter credibilidade pois muitos repetem esta informação.

Ocorre que a U.S. Securities and Exchange Commission definiu o seguinte em uma das suas regulamentações:

WE are adopting rules requiring accounting firms to retain for seven years certain records relevant to their audits and reviews of issuers' financial statements. Records to be retained include an accounting firm's workpapers and certain other documents that contain conclusions, opinions, analyses, or financial data related to the audit or review.

Como pode-se verificar no texto a cima, a Sarbanes-Oxley não expecifica qual deve ser o período de retenção de logs, mas sim, determina que as empresas de auditoria guardem por 7 anos os registros das auditorias realizadas.

Segurança vs. Inovação

2008-09-30T22:36:00.004-03:00

Quando segurança é visto como um obstáculo para inovação, algo está errado.

THE study, done by research firm IDC on behalf of RSA Security, shows that the majority of senior managers believe IT security risk is the largest single obstacle to innovation in their businesses right now. Much of this stems from the belief that security personnel are inclined to simply say no to whatever request they receive from a line of business executive and that even if they do agree to help with a given initiative, the turnaround time will be too long to be of any use, the research shows.

IT security not valued at many firms, study finds by Dennis Fisher

Apresentação sobre gerenciamento de log

2008-09-30T05:46:00.005-03:00

Logs = Accountability by Dr Anton Chuvakin

Métricas econômicas e financeiras de segurança

2008-09-29T07:46:00.007-03:00

Este paper de Rainer Böhme e Thomas Nowey é realmente bom. A sua primeira parte resume muito habilidosamente os principais métodos de decisão financeira para investimentos em segurança da informação, tais como ALE (Annual Loss Expectancy), algumas variações de ROSI (Return on Security Investment) e NVP (Net Present Value). Além disso, ele analisa algumas da deficiências destes métodos.

A segunda parte descreve algumas métricas de segurança baseadas em mecanismos de mercado. É um assunto muito interessante que merece mais da minha atenção no futuro. A propósito, este paper é originalmente um capítulo do livro “LNCS 4909 Dependability Metrics”.

Segurança por corretude, isolamento ou obscuridade

2008-09-22T08:27:00.005-03:00

Como frequentemente ocorre, Joanna Rutkowska postou algumas idéias interessantes:

IF we looked at the computer systems and how they try to provide security, I think we could categorize those attempts into three broad categories:
Security by Correctness
Security by Isolation
Security by Obscurity

Mais aqui.

Teste de software e risco quantitativo

2008-09-17T21:59:00.005-03:00

Blogs sobre teste de software

Artigo sobre risco quantitativo (o título já diz tudo)

The Fallacy of Complete and Accurate Risk Quantification

Novos caminhos para gestão de segurança

2008-09-15T23:23:00.003-03:00

Segurança da informação tem duas grandes vertentes: uma tecnológica e outra de gestão. A primeira vertente avança com grande velocidade a ponto de ser difícil de acompanhar. Já a segunda, não apresenta nada de verdadeiramente novo a um bom tempo.

Basicamente o que vemos hoje é gestão baseada em conformidade, em risco ou em ambos. Modelos de gestão por conformidade são fundamentados em ditas melhores práticas do mercado, porem sofrem por não conseguirem apresentar o valor real que estas práticas trazem a organização.

Modelos de gestão por risco também têm suas limitações. Os que trabalham com riscos qualitativos, trazem a dificuldade de associação do risco identificado com a realidade percebida pela organização, pois o risco identificado depende fundamentalmente do ponto de vista de quem o identificou. Por sua vez, realizar o cálculo de risco quantitativo em segurança da informação uma tarefa extremamente árdua e muitas vezes inviável quando se busca um resultado útil e honesto para a gestão.

Será que estamos fadados a estas opções? Acredito que não. Existem alguns estudos relacionados à teoria econômica (macro e micro) aplicada à segurança da informação. As forças de mercado estão cada vez mais fáceis de serem identificadas nas questões envolvendo segurança da informação. O próximo passo me parece óbvio, por que não utilizar os modelos de gestão econômica para gestão de segurança da informação?

YSTS 2.0

2008-09-09T20:19:00.006-03:00

Em novembro vai haver a segunda edição do You Sh0t The Sheriff. A primeira edição deste evento foi excelente. Para quem quiser submeter um paper, segue o enlace.

ROI em segurança é ...

2008-09-08T22:16:00.004-03:00

... como o modelo OSI, só existe na teoria.

Best Practices

2008-09-03T20:27:00.000-03:00

Artigo sobre desenvolvimento seguro

2008-06-03T21:22:00.002-03:00

Dicas que todo desenvolvedor deve saber sobre Segurança no Desenvolvimento de Software

By Weber Ress

Testando o novo Netvibes

2008-03-12T22:44:00.004-03:00

Ginger, o novo portal do Netvibes tem um recurso interessante de compartilhar uma página inicial customizada com qualquer um. Veja abaixo:

http://www.netvibes.com/gbitten

BPM e Segurança

2008-03-05T21:24:00.002-03:00

A tempos que planejo escrever sobre a relação entre BPM (Business Process Management) e Segurança da Informação. Como ainda não venci minha própria inércia, ao menos aponto para este bom artigo de Mark Curphey sobre o mesmo tema. Afinal, andam dizendo por aí que segurança é processo.

Tenets of Effective BPM

Zico

2008-03-04T21:55:00.007-03:00

Ídolo eu nunca tive, a não ser esse cara, não apenas como jogador, mas principalmente como exemplo de humanidade, dignidade e respeito de uma figura pública que não se vê mais hoje em dia. Esse vídeo ilustra bem isso, bons tempos.

Anticlimax

2008-02-28T22:44:00.006-03:00

Apesar da torcida contra, não passou de um furto comum. Que baita anticlimax.

Presos no furto da Petrobras não sabiam de dados sigilosos

Artigo sobre como enfrentar uma auditoria

2008-02-26T19:41:00.006-03:00

Resumindo minha impressão sobre o artigo do Eduardo Camargo Neves: "ab uno disce omnes".

Guia Básico de Sobrevivência para uma Auditoria de Sistemas – Parte 2 de 2

Softwares precisam ser vulneráveis

2008-02-21T01:34:00.017-03:00

Hoje, estava a ouvir o excelente podcast "i sh0t the sheriff", quando um assunto abordado Luiz Eduardo, Nelson Murilo e Willian Caprino me chamou a atenção. A conversa, se não me engano, era sobre IDS e como este tipo de controle pode ser ineficiente. Em determinado momento da discussão, foi colocado que a culpa é dos desenvolvedores e arquitetos de software que produzem sistemas vulneráveis, a ponto de sugerir que sistemas operacionais são vulneráveis a vírus, bots e trojans por causa de deficiências em suas arquiteturas.

Nesta questão é que minha opinião diverge. Softwares não são vulneráveis apenas por preguiça ou incompetência dos desenvolvedores, muitas vezes, estes mesmos softwares necessitam ser vulneráveis para serem viáveis. É justamente o caso dos sistemas operacionais em relação a vírus, bots e trojans, onde não há solução fácil. Trusted Computing, que por exemplo promete alguma efetividade contra esses tipos de malware, é uma tecnologia cara e pouquíssimo disseminada.

Fazendo uma analogia, não vejo ninguém reclamando dos projetistas automobilísticos por causa da vulnerabilidade dos pneus, onde um prego pode até mesmo causar a morte de um ser humano. A solução para esta vulnerabilidade é simples, um pneu maciço, porem é anti-econômica para a maioria dos casos. O mesmo ocorreu com os protocolos da família TCP/IP, muito mais vulneráveis em sua arquitetura do que os protocolos OSI, porem muito mais viáveis economicamente. E se dependêssemos apenas da família OSI, tenho convicção de que hoje não haveria internet.

Da mesma forma que desenvolvedores e analistas de sistemas precisam rever seus conceitos no processo de desenvolvimento de softwares, os profissionais de segurança precisam aceitar a existência de vulnerabilidades, elas são intrínsecas a qualquer ambiente. Tentar eliminá-las por completo quase sempre torna os produtos caros demais, pesados demais e difíceis demais de manusear.