Vous êtes sur la page 1sur 27

[Digite o ttulo do documento]

[Digite o subttulo do documento]


Eduardo Vianna de Camargo Neves

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Carta do Presidente
Por Willian Okuhara Caprino Bem vindos. No mundo militar existe um perodo de preparao para as batalhas, nas quais os exrcitos fazem anlises, preparam as equipes para o combate, desenvolvem e testam as contingncias e finalmente se encaminham para o campo buscando completar sua misso de forma vitoriosa. As semelhanas com o mundo da Segurana da Informao so muitas. Precisamos sempre manter nossas equipes prontas para o combate dirio a um crescente e variado modelo de ameaas, onde problemas internos e externos se misturam em um constante risco segurana das informaes de nossos clientes. Em latim, este perodo de preparao chamado de "Antebellum", que pode ser traduzido livremente como "antes da guerra" (ante, "antes," e bellum, "guerra"). Achamos que um nome apropriado para esta publicao da ISSA Brasil, que busca agregar mais um servio para seus associados ao incluir em uma revista eletrnica bimestral artigos, colunas e informaes do mercado com foco exclusivo em nossa indstria. Inclumos alguns artigos traduzidos do ISSA Journal para o portugus, a publicao oficial da ISSA, como forma de levar informaes de outros mercados para os leitores da lngua portuguesa. Mas nosso foco manter o contedo abordando sempre carreira, gesto e tcnicas no Brasil, atendendo a um pedido antigo de nossos associados. Nesta primeira edio, temos a traduo de um artigo sobre o Payment Card Industry Data Security Standard (PCI-DSS), que toma cada vez mais corpo no cenrio nacional, e de uma abordagem muito diferente, e talvez polmica para alguns, sobre o gerenciamento de vulnerabilidades. Apresentamos ainda um artigo bastante interessante sobre a quantidade de vulnerabilidades que existem e como ns as tratamos. Dos autores nacionais, nesta edio voc ver artigos inditos e exclusivos sobre Atenciosamente, Willian Okuhara Caprino Presidente ISSA Brasil criptografia e tcnicas para hardening de produtos da Microsoft. A revista ter tambm sees fixas, mantidas por diferentes profissionais do mercado nacional, iniciando nesta edio, onde Anchises Moraes fala sobre a necessidade de inovao nos planos de contingncia tendo em vista o recente problema de disponibilidade da Internet no Oriente Mdio e sia. Todas as edies iro mostrar uma entrevista com um profissional de mercado, que falar sobre sua experincia, carreira e tendncias. Nesta edio, o entrevistado Eli Jellench, que trabalha h mais de trs anos na VeriSign, como Gerente de Inteligncia do Leadership Team do iDefense Labs. Eli fala sobre o cenrio de ameaas virtuais, como se organizam e como so combatidas, carreiras e o papel do profissional de Segurana da Informao diante destas mudanas. Como ele esteve no Brasil por duas semanas conversando com muita gente, suas impresses do nosso mercado e profissionais so extremamente relevantes. Boa leitura, e no deixem de mandar suas sugestes e crticas para nossa equipe em revista@issabrasil.org.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 2 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Nesta Edio
Notcias do Mercado .................................................................................................................................................... Pgina 4 PCI: Porque o Escopo Tudo ...................................................................................................................................... Pgina 7 Quantificando as Vulnerabilidades ............................................................................................................................. Pgina 9 Virtualizao no Windows Server 2008 ..................................................................................................................... Pgina 10 Desmistificando a Criptografia ................................................................................................................................... Pgina 13 A ISSA e o PLS 76 do Senador Eduardo Azeredo ....................................................................................................... Pgina 16 Tendncias & Ameaas: A Ameaa Submarina .......................................................................................................... Pgina 19 Entrevista: Eli Jellenc, Gerente de All Source Intelligence do iDefense Labs .......................................................... Pgina 20 Agenda de Eventos ..................................................................................................................................................... Pgina 23 Atividades ISSA Brasil ................................................................................................................................................ Pgina 24 Worst Cases: O Lado Engraado da Segurana ......................................................................................................... Pgina 27

Revista ISSA Brasil


Antebellum, ISSA Journal Brasil Edio 001, Maro/Abril de 2008

Expediente
Editor: Eduardo V. C. Neves Reviso: Anchises Moraes e Fernando Fonseca Contato: revista@issabrasil.org

Disclaimer
As informaes apresentadas nos artigos, tutoriais e outras instrues publicadas nesta revista no foram submetidas a um teste formal e no devem ser interpretados como solues. As opinies expressas no refletem a opinio da ISSA ou ISSA Brasil. Os nomes de produtos e marcas registradas so de propriedade de seus respectivos donos. Os artigos marcados com o smbolo * foram originalmente publicados no ISSA Journal e traduzidos para o portugus, onde pequenas alteraes visando uma melhor edio podem ter sido feitas.

Submisso de Material
A Revista ISSA Brasil convida os membros do Captulo a contribuir com a comunidade de Segurana da Informao submetendo artigos, tutoriais ou estudos de caso para publicao. O material dever ser indito e o autor deve assumir o compromisso de manter a publicao restrita a Antebellum pelo perodo de 90 dias, aps o qual poder disponibilizar para o pblico em geral. Os interessados devero enviar o material seguindo os padres descritos em nosso web site para o e-mail conteudo@issabrasil.org.

Creative Commons
Atribuio-Uso No-Comercial-Vedada a Criao de Obras Derivadas 2.5 Brasil

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 3 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Notcias do Mercado
Equipe Editorial Antebellum & Podcast I Shot the Sheriff

Notcias
PIX FIREWALL DESCONTINUADO A Cisco anunciou no dia 28 de janeiro que o seu clssico PIX Firewall foi descontinuado, e os clientes recebero suporte at 2013. O produto foi substitudo pela linha ASA 5500, que de acordo com a empresa, oferece recursos adicionais e est mais bem dimensionado para as necessidades atuais do mercado. Leia mais sobre o assunto em http://preview.tinyurl.com/2wreqm. NOVA TCNICA DE QUEBRA DE CRIPTOGRAFIA Trabalhando em cima dos dados armazenados na RAM, cientistas da Universidade de Princeton concluram que as informaes - inclusive as chaves - podem ser recuperadas no perodo de alguns minutos. De acordo com o estudo, o modo stand-by mantm informaes em RAM que, se acessadas neste estado do equipamento, podem ser acessadas por um processo de resfriamento. A notcia est publicada em http://tinyurl.com/yowtmb. CASO PETROBRS: E AGORA? Muito se falou e especulou na imprensa e listas de discusso sobre o furto de equipamentos da Petrobrs, que poderiam conter informaes confidenciais sobre campos de explorao de petrleo e gs. No final, as autoridades declararam que se tratou de um furto comum, e no espionagem industrial. Seria puro

vaporware, contra-informao ou muito barulho por nada? Uma das vrias notas sobre o assunto est em http://tinyurl.com/39xpe4 e uma anlise da jornalista Sandra Carvalho questionando o assunto em http://tinyurl.com/39xpe4. E A INTERNET PAROU No dia 30 de janeiro, cabos submarinos que so utilizados para trfego de dados foram cortados no mar Mediterrneo, afetando boa parte dos pases localizados no Oriente Mdio e a ndia. O mesmo ocorreu dois dias depois no Golfo Prsico, quando os cabos conectando os Emirados rabes com Oman foram cortados na costa de Dubai. At o momento no se sabe a causa exata dos problemas, e as suspeitas de terrorismo crescem. A estria completa est descrita em http://tinyurl.com/2z93vo e muito bem comentada na coluna de Anchises de Paula da Antebellum. VIAJANTES TM LAPTOPS REVISTADOS EM AEROPORTOS DOS EUA Agentes federais que trabalham dentro dos aeroportos norteamericanos esto pedindo que viajantes abram seus laptops e forneam suas senhas para que as informaes nos discos rgidos possam ser inspecionadas. Este tipo de atitude uma caracterstica de governos totalitrios e ditaduras que foi comentada por Bruce Schneier no seu Cryptogram h poucos meses atrs. A estria completa est em http://tinyurl.com/yolycw.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 4 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

CONTRA FATOS, NO EXISTEM ARGUMENTOS No Reino Unido, o furto de mais um notebook com informaes do Governo ocorreu e foi largamente noticiado por vrias mdias, incluindo as no especializadas. Uma pessoa comprou pelo e-Bay o equipamento que ainda veio equipado com um CD, cujos dados estavam devidamente criptografados. Este somente um dos 500 notebooks do Governo britnico que foram furtados nos ltimos sete anos, e nem todos estavam adequadamente protegidos. Uma nota abordando e discutindo o assunto est disponvel em http://tinyurl.com/yqonev. ESTUDO SOBRE SEGURANA EM AEROPORTOS Com os eventos que levaram a tragdia ocorrida nos EUA em 2001, o 09/11, o mundo passou a temer que ataques terroristas possam vir de qualquer fonte e a qualquer momento. Desde os ataques com avies civis at o uso de pessoas com Sndrome de Down como homens-bomba, a cruel imaginao dos terroristas consegue o que quer: gerar pnico e medo na populao. Um estudo foi publicado abordando estes tpicos e como os aeroportos devem se adaptar para enfrentar os novos tempos e ameaas. A estria detalhada est em http://tinyurl.com/2vmt54. CASAL ACUSADO DE TERRORISMO Em mais uma lio de parania em nome da guerra contra o terrorismo, um casal foi expulso e banido de um shopping center na Inglaterra por tirar fotos de seus netos. Ao tentarem registrar as imagens dentro do estabelecimento, foram interrompidos por um guarda que os acusou de estarem praticando um ato de terrorismo. A estria com contornos e detalhes kafkianos est descrita em http://tinyurl.com/2leuyp.

ESPIONAGEM COM O GOOGLE MAPS O Departamento de Defesa dos EUA proibiu o Google de fornecer imagens detalhadas por satlite de bases militares norte-americanas, logo aps imagens da base do Exrcito em Houston, Fort Sam, serem expostas no Google Maps. A nota e links para notcias similares sobre o assunto est em http://tinyurl.com/2espvj. O IMPOSTO DE RENDA COMO FERRAMENTA DE FRAUDE Como ocorre ano aps ano desde que foi para o mundo on-line, a declarao do Imposto de Renda utilizada como isca para a instalao de malware e posterior ocorrncia de fraudes financeiras. Nos primeiros dias do perodo de declarao, um e-mail circulou com a falsa notcia de que um congestionamento no sistema da Receita Federal teria resultado na perda de algumas declaraes. A notcia est publicada em http://tinyurl.com/2eyvad. WI-FI, WIMAX, BLUETOOTH ... TODOS VULNERVEIS? Um documento publicado pela Codenomicon discute a situao atual e o futuro das tecnologias de comunicao sem fio. Abordando o uso de Wi-Fi, Bluetooth e at Wiman, a concluso que 90% dos produtos testados est ... vulnervel. Veja o documento e monte sua prpria opinio em http://tinyurl.com/2nzcv5. HACKING NA BOLSA DE VALORES Derrubar web sites e invadir sistemas pela Internet no nenhuma novidade, mas o que pode ser dito sobre usar conhecimentos tcnicos para fraudar uma operao de corretagem e executar um lucro de seis vezes o valor do investimento inicial? Veja a discusso em http://tinyurl.com/2mcpqw.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 5 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

O CRIME ON-LINE MUDA DE ENDEREO Pesquisa publicada pela F-Secure aponta que, apesar da maioria dos crimes realizados pela internet hoje virem da Rssia, China e pases da Amrica do Sul. A origem desses ataques virtuais deve migrar para as regies da Amrica Central, ndia, China e frica nos prximos cinco anos. Leia o post em http://tinyurl.com/39segh. GMAIL E OS SPAMMERS O Websense Security Labs descobriu que o Gmail est sendo utilizado por spammers para a criao de contas randmicas e o envio de mensagens em massa. O estudo est em http://tinyurl.com/ypz57f. NEUROSE? OU NO? A empresa SecureTest acredita que os equipamentos de comunicao de dados produzidos na sia podem conter spywares em seu firmware, permitindo que governos daquele continente tenham um backdoor em diversas empresas de tecnologia de ponta que compram e usam estes produtos. Leia a notcia em http://tinyurl.com/2uy6lr. NIGERIANOS CONDENADOS POR GOLPE VIA E-MAIL O golpe por e-mail conhecido como nigeriam scam to antigo quanto a Internet e j foi alvo de diversas reportagens, que mostraram at a relao entre o volume de dinheiro gerado por estas fraudes e a economia do pas. Finalmente um tribunal holands sentenciou a penas de at quatro anos de priso trs membros de uma quadrilha nigeriana que aplicava golpes via internet. Veja a notcia em http://tinyurl.com/yuqorb.

Ferramentas
SSA - SECURITY SYSTEM ANALYZER Baseado no OVAL (Open Vulnerability and Assessment Language), o SSA (Security System Analyzer) um software no intrusivo que permite gerar uma viso detalhada dos nveis de polticas de segurana aplicadas a um ambiente. Veja mais em http://oval.mitre.org. SOBRE AS ONIPRESENTES CMERAS DE VIGILNCIA Em um post onde no esto disponveis um tutorial e diversos detalhamentos tcnicos, as vulnerabilidades dos sistemas de vigilncia por CCTV. Bastante usados na Europa e cada vez mais presentes em cidades brasileiras como So Paulo e Curitiba so expostas, e uma discusso sobre as formas de hardening est sendo mantida. Veja mais em http://preview.tinyurl.com/2ueaa9. NORMAN SANDBOX INFORMATION CENTER O Norman Sandbox Information Center (NSIC) um web site que oferece diversos recursos de segurana. Nele voc pode fazer o upload de arquivos de programas onde exista a suspeita de infeco por malware, e t-lo analisado pelo Norman SandBox. O resultado enviado por email. Alm disso, possvel acessar estatsticas dos arquivos que foram enviados para o NSIC durante o dia, semana ou ms. Boa ferramenta para verificar tendncias na criao de malware. Conhea o servio em http://tinyurl.com/299k2d. SOBRE OS AUTORES A Seo Notas do Mercado produzida pela Antebellum com o apoio do podcast I Shot the Sheriff disponvel em http://www.naopod.com.br.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 6 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

PCI: Porque o Escopo Tudo*


Por James Barrow O processo de aderncia ao padro PCI (Payment Card Industry) pode ser visto como uma tarefa sem sentido, onde grandes quantidades de tempo em dinheiro devem ser alocadas sem que haja nenhum retorno deste investimento. Entretanto, o escopo do PCI somente o ambiente onde as informaes do portador de carto so processadas. O PCI Data Security Standard (DSS) v.1.1 estabelece que O ambiente do portador de carto a parte da rede que contm dados do portador ou dados de autenticao considerados sensveis Definir apropriadamente o escopo de um processo de aderncia ao PCI ir auxiliar a eliminar custos e esforos desnecessrios, no passar por esta etapa, pode levar a perda de controle neste processo. movimentao deve ser eliminada, reduzindo assim os locais onde os controles exigidos pelo PCI-DSS devem ser aplicados. O PCI-DSS estabelece ainda que A segmentao adequada da rede, que isole os sistemas que armazenam, processam ou transmitam as informaes do portador de carto daqueles que no o faam, pode reduzir o escopo do ambiente do portador de carto. Apesar de esta premissa poder, muitas vezes, resultar em uma completa reestruturao da infra-estrutura utilizada, o resultado final ser uma reduo dos riscos envolvidos e muito possivelmente um corte substancial nos custos, uma vez que controles desnecessrios no sero aplicados.

O Armazenamento dos Dados A Limitao do Escopo


Limitar os locais onde as informaes do portador de carto so processadas, armazenadas ou transmitidas limita o escopo de aderncia ao PCI, representando ainda dois ganhos adicionais para a empresa: 1. Reduz o risco envolvido ao manter o foco da proteo nas reas onde os controles so realmente necessrios, e, Reduz o tempo dedicado, esforo alocado e despesas referentes durante as auditorias anuais, uma vez que os esforos so concentrados em reas especficas, os controles implementados onde realmente requeridos e os custos com as empresas que prestam servios de auditoria reduzidos. Uma das reas de maior preocupao e concentrao de custos no escopo da aderncia ao PCI est em como o armazenamento dos dados do portador de carto feito. O padro estabelece que estes dados devem ser armazenados de forma a ficarem ilegveis: PCI-DSS 3.4. Torne pelo menos o PAN ilegvel em qualquer local em que seja armazenado (incluindo os dados em mdia digital porttil, mdia de backup, em relatrios e dados recebidos ou armazenados por redes wireless) atravs do uso de qualquer uma das seguintes tcnicas: Funes one-way hashes (hashed indexes) fortes, Truncagem, Tokens de indexao e PADs (os PADs devem ser armazenados de forma segura), e Codificao rigorosa associada com processos e procedimentos de administrao de chave. Manter o PAN ilegvel a rea onde a aderncia ao PCI pode ter o maior impacto. Criptografar dados no um processo simples, entretanto, aplicar controles criptogrficos em vrios sistemas acessados por diversas

2.

Onde esto os dados?


A primeira etapa na limitao do escopo entender como processado o fluxo dos dados do portador de carto dentro da empresa, para em seguida determinar quais partes so utilizadas para armazenar, processar e/ou transmitir estes dados. Em seguida, caso o fluxo dos dados seja atravs de reas adicionais, esta

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 7 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

aplicaes e plataformas pode se tornar um objetivo impossvel de ser alcanado. Faz algum sentido manter os dados do portador de carto armazenado em diversos repositrios, cada um com seu prprio esquema de criptografia? Ou mais racional manter estes dados em um nico local onde somente uma estratgia de criptografia seja aplicada? Cada unidade de negcio responsvel por armazenar os dados do portador de carto, deve justificar em um Business Case a necessidade para isto. Se for justificvel,

a empresa pode decidir como proceder, adequando os processos ou simplesmente eliminando o fluxo de dados na unidade. Se os dados no forem armazenados, processados e/ou transmitidos dentro da unidade, ela est automaticamente fora do escopo de aderncia ao PCI-DSS. SOBRE O AUTOR James Barrow Chief Security Engineer da (BSC)2, empresa especializada em consultoria para processos de aderncia ao SOX e PCI e pode ser contatado em jbarrow@bcs2.u

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 8 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Quantificando as Vulnerabilidades*
Por Pete Lindstrom O assunto como um problema matemtico daqueles complicados de resolver; um trem est viajando para o leste e parte da sua origem em uma segunda-feira s 11h00, viajando a 80 milhas por hora. Na tera-feira s 17h00, voc sai em busca do trem em seu scooter viajando a 10 milhas por hora. Nesta velocidade, quando voc ir alcanar o trem? Se o seu objetivo alcanar o trem, quantos pontos voc ir ganhar por estar ao menos tentando? Se voc estiver em uma competio com vrias outras pessoas que podem alcanar o trem qualquer momento que eles quiserem, voc ir ganhar? Neste ponto, voc no se questiona se no hora de tentar mudar as regras um pouco? De acordo com minhas estimativas, mais de 2 milhes de programadores esto criando aproximadamente 5.000 vulnerabilidades todos os dias (no de propsito, claro) enquanto trabalhamos muito e encontramos 40 novas vulnerabilidades a cada dia. Ao mesmo tempo, a base mundial de cdigos j tem mais de 200 milhes de vulnerabilidades. Mas espere, tem ainda mais. Para que nosso trabalho d resultado, precisamos achar a mesma quantidade de vulnerabilidades que os caras malvados esto encontrando. Em uma amostra de 240 milhes, como voc acha que estamos? Note que o nico trabalho sobre o assunto que eu j vi estima uma taxa de 7% de acerto e no tinha o mesmo foco que estamos falando aqui. gosto excelente e nos d algo para fazer (muitas operaes de patching, neste caso), mas no necessariamente uma ao efetiva. No parece estranho que das 240 milhes de vulnerabilidades existentes, possivelmente 50 delas foram exploradas antes que fossem conhecidas e remediadas? O que parece? Temos sorte ou estamos criando nosso prprio problema? Deixe-me explicar, j existe um problema sendo criado sem que tenhamos que fazer absolutamente nada para isto. O pessoal da Verizon (anteriormente conhecida como Cybertrust) sugere que somente 3% das 50.000 vulnerabilidades que conhecemos podem ser exploradas. hora de deixar de pensar de forma reativa. Temos que nos proteger definindo de forma clara a superfcie que pode ser atacada em nossas infraestruturas e protegendo somente este escopo. Trabalhar sem o conhecimento de todas estas vulnerabilidades no tem nada a ver com ignorncia, e sim com operar com um nvel razovel de incerteza. Esquea a mentalidade coletiva que acabamos desenvolvendo ao longo dos anos e pense de forma mais estratgica, desenhando um futuro de pro atividade para a Segurana da Informao. Ento, o que voc pode fazer? Usar ferramentas de deteco e preveno de invases. Identificar os alvos e validar se o que acontece realmente um risco para a sua empresa. Patching? Sim, ainda precisamos fazer isto como parte do processo. Pense estrategicamente sobre o seu programa de segurana, o que j foi feito certamente no est perdido, mas temos que comear a inovar o mais rpido possvel. SOBRE O AUTOR Pete Lindstrom analista snior do Burton Group. Ele mantm um blog em http://spiresecurity.typepad.com e outro em http://srmsblog.burtongroup.com, e pode ser contatado atravs do e-mail petelind@spiresecurity.com

Nunca Iremos Ganhar


Em um processo onde mais de 5.000 vulnerabilidades so descobertas a cada ano, e se as aplicaes na sua infra-estrutura tiverem 3 anos de vida, ento j existem 15.000 vulnerabilidades dentro da sua empresa que ainda sero descobertas. O que voc est fazendo para proteg-la da explorao destas vulnerabilidades? Posso responder sua pergunta: absolutamente nada. O processo de descobrir e informar ao mercado novas vulnerabilidades como comer fast-food. Tem um

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 9 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Virtualizao no Windows Server 2008


Por Fernando Fonseca

uando se pensa em virtualizao a primeira coisa que vem cabea reduo de custo de manuteno, espao e eletricidade, tanto do hardware como no resfriamento do parque de mquinas, mas que benefcios e desafios isso trs segurana? As mquinas virtuais oferecem um excelente recurso para homologao de software e de atualizaes de produtos, uma vez que um mesmo hardware pode possuir uma VM para cada servidor de produo da empresa, facilitando os testes e diminuindo o tempo entre o lanamento e a aplicao das atualizaes de segurana. Outro benefcio evidente quanto facilidade de restaurao do ambiente, de uma ou mais mquinas virtuais e at mesmo de redistribuio das mquinas virtuais para suprir uma demanda espordica ou uma falha em um dos servidores, tornando-se assim um forte aliado da disponibilidade. A virtualizao parece ser um caminho sem volta. Esta tendncia facilmente confirmada pelas pesquisas de investimento para 2008 e pelo crescimento de 83% da WMWare em 2006 e sua IPO (Initial Public Offering) em 2007, desvinculada da EMC e pela poltica de investimento da Microsoft na virtualizao e seu gerenciamento. Em abril de 2005, Steve Ballmer anunciava em Las Vegas um grande investimento da Microsoft em gerenciamento corporativo, virtualizao e NAP (Network Access Protection), trs pontos fundamentais para o gerenciamento da segurana em redes de computadores que agora, trs anos depois esto presentes no Windows Server 2008, a nova verso do sistema operacional para servidores da Microsoft. Neste artigo apresentaremos as profundas alteraes realizadas pela Microsoft no ncleo de seu sistema para aumentar a segurana do sistema host e dos demais sistemas virtualizados sob o sistema host.

Anis de execuo de cdigo


Os processadores 32 bits da Intel (IA32 ou x86) possuem quatro nveis diferentes de prioridade de execuo de cdigo, numerados de zero a trs. Para se ter uma idia melhor do que so esses nveis, pensemos que no nvel zero qualquer instruo do processador pode ser executada, e na medida em que o nvel de proteo aumenta, algumas instrues e alguns acessos passam a no ser permitidos. Anel 3 Usurio (Menor prioridade e maior proteo) Anel 2 Drivers (Prioridade maior e proteo menor que o 3) Anel 1 Drivers (Prioridade maior e proteo menor que o 2) Anel 0 Kernel (Maior prioridade de todos e sem proteo) Sistemas operacionais como Windows e Linux normalmente utilizam apenas os anis zero (Kernel Mode) para a execuo de seus componentes internos e drivers, e o anel 3 (User mode) para os aplicativos de usurios desenvolvidos para esta plataforma. Quando um cdigo armazenado em na memria, aquele pedao de memria recebe um descritor de prioridade, que indica em que anel de execuo aquelas instrues devem ser executadas, assim possvel alocar programas feitos para rodar no espao de usurio (como o Office ou um jogo) em segmentos com o descritor 3, de forma que aqueles segmentos estejam protegidos e no possam executar operaes privilegiadas e que possam sobrepor ou comprometer a segurana do sistema.

Drivers, Malwares e Reference Monitor


Este modelo de execuo o que garante que o sistema operacional tenha controle sobre os softwares que ele executa, uma vez que a cada vez que um cdigo sendo executado em um nvel de proteo superior precisa

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 10 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

acessar o hardware ele no pode faz-lo diretamente, necessrio que ele faa uma chamada a uma API (Application Programming Interface) do sistema operacional que executada no anel zero. Este procedimento implementa tambm funes de segurana do Reference Monitor, garantindo que sujeitos no tenham acesso direto a objetos. Para exemplificar a importncia destes procedimentos, imagine um jogo freeware obtido em um site qualquer por um usurio comum, sem privilgios administrativos. Inicialmente ele no precisa de nenhum acesso direto memria ou hardware, e por isso pode ser executado no modo usurio. Se este jogo possusse um cdigo malicioso que procurasse infectar o sistema ele no teria acesso aos arquivos devido s permisses NTFS, mas se ele fosse executado no anel zero, bastaria fazer um acesso direto ao disco e ignorar o sistema de arquivos NTFS e consequentemente o conceito de reference monitor. Este o motivo principal para a insistncia da Microsoft na assinatura digital dos drivers a serem instalados no sistema. Os driver so executados no anel zero, e se um usurio instala um driver de uma fonte no confivel, este pode conter um malware e comprometer toda a segurana do sistema.

HYPERVISOR Neste modelo uma camada chamada hypervisor adicionada entre o hardware e todas as mquinas hospedadas no sistema, este hypervisor controla todas as solicitaes ao sistema, inclusive as solicitaes feitas pelo sistema principal da mquina, que chamado de Admin ou Parent

Virtualizao no Virtual Server 2005

No Virtual Server 2005 a Microsoft utilizava um modelo onde parte do VS era executada no anel 3 para interao com o usurio e outras aes menos crticas e parte era executada no anel zero, para garantir performance e acesso ao hardware pelas maquinas guest, sendo esse acesso controlado pelo VMM.sys e pelo prprio sistema host. Dentro da mquina virtual o sistema operacional foi deslocado para anel um, de forma que se este fosse contaminado, este estaria em um nvel de prioridade menor que o VMM.Sys, dificultando a contaminao do prprio Virtual Server e do sistema Host. Este modelo foi adotado para uso no Windows 2003 e XP, que tem todos componentes de kernel no anel zero.

Tipos de Virtualizao
Existem trs formas de virtualizao comumente utilizadas: VMM (VIRTUAL MACHINE MANAGER) Neste modelo o gerenciador de mquinas virtuais instalado sobre o sistema operacional como um aplicativo padro, as mquinas virtuais instaladas so executadas sobre este gerenciador. Este modelo utilizado por exemplo nas mquinas virtuais Java e outros runtimes. HIBRIDO Neste modelo o gerenciador de mquinas virtuais trabalha em um nvel privilegiado de execuo, lado a lado com o kernel do sistema operacional. Este modelo adotado no Virtual Server e Virtual PC da Microsoft.

Virtualizao no Windows 2008


No Windows Server 2008 a Microsoft se utilizou das arquiteturas Intel VT e AMD V ou Pacifica para criar uma finssima camada de execuo abaixo do Kernel Mode (algumas vezes chamadas de Anel -1), onde instalado o Hypervisor, um pequeno kernel com drivers vdeo, USB, rede, discos, etc, onde o usurio dos sistemas Pai (Root) ou Filhos (Guest) no podero

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 11 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

instalar nenhum cdigo, nem mesmo de drivers assinados que no sejam fornecidos pela prpria Microsoft. Este Hypervisor com modelo reduzido (Microkernelized) e consequentemente com uma superfcie de ataque mnima o maior diferencial da Virtualizao no Windows 2008 para o VMWare, uma vez que este possui um Hypervisor Monoltico com praticamente todos os drivers e a maior parte do sistema host. Na figura abaixo podemos identificar o Windows Hypervisor, conversando diretamente com o Hardware atravs dos drivers desenvolvidos exclusivamente pela Microsoft.

Temos tambm um modo Kernel com os VSP (Virtualization Service Providers) que fornecem servios para os clients das parties filhas, o Kernel e principais APIs do Windows e os Drivers da Microsoft e de terceiros da partio pai (Ex: Impressora, vdeo, etc). No lado esquerdo do desenho temos as parties filhas, ou seja, os sistemas que voc instala sobre o sistema host (NT4, Linux, Windows 2003, Windows 2008, etc).

Benefcios e desafios de segurana


Com tantos benefcios, o desafio dos fabricantes concentra-se em impedir que uma mquina virtual comprometida possa comprometer a mquina host, a as outras VMs. Se um cdigo executado em uma VM conseguir um Covert Channel que o leve ao sistema host, este acesso pode escancarar todas as VMs para o atacante, mas sempre bom lembrar que primeiro precisamos comprometer seriamente uma das VMs. Podemos constatar tambm que o esforo da Microsoft neste sentido amplo e bem direcionado, sendo responsvel pela maior alterao j feita na estrutura do Kernel NT at hoje. Outro aspecto importante deste sistema host sua compatibilidade com outras plataformas como Linux e a possibilidade de um gerenciamento apropriado das mquinas virtuais. Temas que pretendo abordar em um prximo artigo.

A Microsoft usa o termo "enlightenment" como sinnimo de paravirtualizao, que um mtodo para modificar o kernel de um sistema operacional para que consuma menos recursos em um ambiente virtual Isso garante que nenhum malware seja instalado em uma rea de privilgio mximo no sistema. No lado direito da figura temos a partio pai, ou seja, a partio do sistema que gerencia todas as outras e onde o usurio interage com o sistema. Podemos pensar nessa partio como uma parte do sistema host, uma vez que ela o Windows que voc v e utiliza quando instala o Windows Server 2008. Dentro desta partio temos um modo Usurio com os aplicativos a do usurio e parte da virtual machine.

SOBRE O AUTOR Fernando Fonseca, Diretor de Comunicao do Captulo Brasil-SP da ISSA e secretrio do grupo de CSOs Infosec Council. Consultor de segurana da informao certificado CISSP, Security +, MCSO, MCT e MCSE Security. Atualmente ministra treinamentos nos cursos MSCO e aulas em faculdades, realiza palestras e projetos de segurana, e tambm o responsvel pelo contedo da Academia Microsoft de Segurana da Informao e do Technet Security Experience.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 12 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Desmistificando a Criptografia
Por Alexandre Cagnoni

criptografia, tema considerado por muitos como extremamente rido, adorado por uma pequena legio de semi-nerds como eu, pode tornar-se um assunto apaixonante para um simples historiador, assim como gerar debates interminveis entre estudiosos da segurana da informao. Um mito muito discutido de como comeou a criptografia. O exemplo mais concreto conhecido o de Jlio Csar, o imperador romano que usava a transposio de letras para cifrar suas mensagens em perodos de guerra. Existem indcios ainda mais antigos de sistemas de criptografia, ou cifragem. Por volta do sculo VII AC, ouviu-se falar de um sistema conhecido por Basto de Licurgo, um tipo de cilindro aonde se enrolava uma tira comprida de couro, contendo diversas letras. Ao enrolar a tira no basto, as letras formariam uma frase em uma ou mais linhas. No Antigo Egito, por volta do sculo II AC, alguns hierglifos eram aparentemente criptografados, pois no seguiam os padres de escrita da poca. Se pensarmos bem, o que a criptografia, seno uma forma de alterar uma mensagem, de forma a torn-la legvel somente para o destinatrio considerando que este saiba como torn-la novamente legvel? Em um mundo altamente competitivo, aonde a informao crucial (assim como ocultar informaes), a criptografia comea a aparecer como algo fundamental no mundo dos negcios. Diversos exemplos do uso de criptografia podem ser citados, como as primeiras mquinas criptogrficas de que se tem conhecimento, a partir de 1860, entre elas a Mquina Enigma como uma das mais famosas (muito utilizada por militares alemes nos anos 30 do sculo XX). Como se percebe, todos os mtodos de cifragem envolviam um conhecimento pr-definido entre os dois lados da conversa. O emissor, que cifrava de acordo

com algum padro, e o destinatrio, que deveria conhecer esse padro para poder decifrar essa mensagem. Ou seja, os dois lados devem compartilhar um segredo, o que chamamos de chave. Esta chave, fazendo uma analogia, seria como a chave de casa ou do carro. A chave abre e fecha a porta. O emissor tranca a porta com uma chave, o destinatrio destranca com a mesma chave. Da, o termo de algoritmo de chaves simtricas. O primeiro padro de criptografia simtrica, o DES, foi criado na dcada de 70 pela IBM e Governo dos EUA, e foi amplamente utilizado por muito tempo, inclusive com um bloqueio na exportao de produtos com criptografia forte, ou seja, criptografia com chaves maiores que 56 bits. Teoricamente, chaves at esse tamanho poderiam ser quebradas pelo poderio militar norte-americano, permitindo a eles interceptarem comunicaes que pudessem ter carter criminoso. Com o tempo, a Internet, globalizao, dificuldade de controle, e criao de grupos abertos de desenvolvimento de algoritmos criptogrficos no mundo todo, esse bloqueio praticamente caiu, ficando limitada a exportao de criptografia forte a poucos pases. Anos depois, cogitou-se voltar essa lei, mas seria o mesmo que colocar uma porta em uma casa que pegou fogo; a casa no existe mais, a criptografia forte e os algoritmos j foram espalhados pelo mundo, o que h para se controlar? Em 1976, uma criao tambm revolucionou o mundo da criptografia. Imaginemos que cada indivduo possui um par de chaves criptogrficas. Voltando analogia das chaves de casa, : o que uma chave abre, a outra fecha. E vice-versa. Ou seja, se eu cifrar uma informao com uma destas chaves, e tentar decifrar com a mesma chave, no irei conseguir. Assim, escolho uma destas chaves para distribuir a todos os meus conhecidos. Se quiserem enviar algo cifrado, basta

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 13 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

encriptar com esta chave que se tornou pblica da, o nome Chave Pblica. Somente eu, com a outra chave, que desculpem o trocadilho guardo a sete-chaves, consigo decifrar a informao. a minha Chave Privada. Este conceito foi criado por Whitfield Diffie e Martin Hellman, de onde surgiu o famoso algoritmo assimtrico Diffie/Hellman, ou simplesmente DH. A partir da, surgiram algoritmos similares como o algoritmo RSA, nome criado pelas iniciais de seus criadores Ronald Rivest, Adi Shamir, e Leonard Adleman -, e produtos que se utilizam deles, como o PGP, browsers e servidores web, come suas chaves assimtricas de colossais 1.024 bits! E um outro mito foi criado. Ento melhor utilizar uma chave RSA de 1.024 bits, ao invs de uma chave simtrica, como 3DES ou AES, de somente 128 ou 256 bits? A comparao no direta. No se deve comparar a fora de uma chave simtrica com uma assimtrica. Alguns testes feitos com chaves simtricas e assimtricas chegaram a concluses que desmistificam essa dvida quase unnime: Uma chave simtrica de 56 bits, possui o mesmo poder e vulnerabilidade de uma chave assimtrica de 384 bits. Uma chavezinha hoje ainda inquebrvel, AES, de apenas 128 bits, possui a mesma fora de uma chave RSA de 2.304 bits! Assim, basta saber que, no momento computacional atual, chaves simtricas de 128 bits, assim como chaves assimtricas de 1.024 so inquebrveis. Partamos destes valores que estaremos protegidos! E qual mtodo utilizar? Algoritmos com chaves simtricas ou assimtricas? Na verdade, as melhores aplicaes utilizam ambos algoritmos simultaneamente! Da surgem protocolos do tipo S/MIME, IPSec, SSL, entre outros,, alm do uso de certificados digitais. Mas essa j outra histria. SOBRE O AUTOR Alexandre Cagnoni formado em Engenharia da Computao pela USP e possui 12 anos de experincia em Segurana da Informao, tendo passado pela Network

Associates e RSA Security. Atualmente, scio-fundador e Diretor de Tecnologia da UserID e BRToken. Pode ser contatado pelo e-mail: alex@userid.com.br.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 14 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

A ISSA e o PLS 76 do Senador Eduardo Azeredo


Por Fernando Fonseca

primeira vez que ouvi falar do PLS 76 foi em outubro de 2005, em um evento de segurana da informao em Belo Horizonte no qual fui palestrante e me chamou a ateno o fato de que o senador Eduardo Azeredo palestraria sobre este projeto. Durante a palestra o assessor do senador, o Sr. Jos Henrique Portugal, abordou a conveno de Budapeste, ou Conveno do Cibercrime, e mostrou a necessidade de criao de leis no Brasil para que possamos ser signatrios deste tratado de cooperao internacional. Percebendo o gap jurdico existente, claro que minha ateno se voltou para avaliar este projeto no ponto de vista da segurana da informao. O projeto de lei do senado (PLS) 76, como ficou conhecido, bastante ambicioso por trazer alteraes no Cdigo Penal, Cdigo Penal Militar, Cdigo do processo penal, Estatuto da criana e do adolescente e o Cdigo de defesa do consumidor, tipificando nestes os crimes digitais.

destruio de dados. O criminoso preso por algum dano causado por ele que se enquadre em outro crime comum. Posteriormente tive outras oportunidades de acompanhar o desenvolvimento do projeto atravs de palestras do Senador e do Sr. Jos Henrique Portugal at que um dia, j como diretor de comunicao da ISSA, convidei-os para um debate com os nossos associados, convite que foi prontamente aceito e o debate realizado no dia 27 de novembro de 2006 com a presena de associados da ISSA e tambm do Dr. Rony Vainzof, scio da pice Blum Advogados Associados. Nesta ocasio algumas alteraes do PLS foram sugeridas e acabaram por incorporar a nova verso do documento. Dentre elas destaco: 1) Substituio do termo vrus por cdigo malicioso, uma vez que um cdigo malicioso pode no possuir nenhum mecanismo de reproduo mas causar danos incalculveis a uma empresa. 2) Extenso da proteo para profissionais de S.I. realizando testes de invaso ou Etical Hacking na definio de defesa digital. Obs: Posteriormente esta proteo foi retirada juntamente com toda a parte de defesa digital devido presso de alguns setores da sociedade. 3) No artigo 154B inclumos tipificar a manuteno de dados por tempo superior ao autorizado como obteno ilcita 4) No artigo 154D sugerimos a incluso do termo utilizar informaes de banco de dados junto aos termos comercializar e disponibilizar, para evitar que uma empresa use informaes coletadas para uma finalidade com outra finalidade.

O Substitutivo apresentado pelo Senador Eduardo Azeredo aglutinou trs projetos de lei que j tramitavam no Senado: o Projeto de Lei da Cmara (PLC) n 89, de 2003, e os Projetos de Lei do Senado (PLS) n 137, de 2000, e n 76, de 2000, todos referentes a crimes na rea de informtica. Hoje possvel se deter ou condenar pessoas que utilizam computadores para praticar crimes, mas no existem na legislao crimes como criao de vrus ou

A identificao de usurios e reteno de Logs


Um dos princpios mais marcantes da segurana da informao o Triple A (Authentication, Authorization e Accountability), e sem que este princpio seja aplicado
PGINA 15 DE 27

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

mesmo que parcialmente se torna impossvel identificar inequivocamente qual usurio est acessou um recurso em um determinado momento onde um crime foi realizado. A discusso sobre a obrigatoriedade da identificao de usurios da Internet (note que o projeto no prev monitorao, apenas prev o registro do endereo IP utilizado para fins de investigao) e a reteno destes registros (logs) por um perodo determinado de tempo nos chamou a ateno devido a alguns absurdos veiculados na mdia (onde alguns exaltaram o fim da privacidade na Internet, o Big Brother da Internet, etc) sem nenhuma fundamentao no projeto ou nas boas prticas em segurana da informao, e trouxe a ISSA para o debate, entendendo que o projeto lidava com aspectos extremamente relevantes para nossa categoria e que era nossa obrigao colaborar para a melhoria do mesmo.

, por exemplo, evitar que voc seja preso por manipular um vrus ao criar uma assinatura para seu IDS, por exemplo. L est muito claro, "sem risco para terceiros". Nos pargrafos que citam que no h crime quando a ao executada em defesa digital sempre h a expresso "excetuado o desvio de finalidade ou o excesso". Vale comentar que um pedao disso (defesa digital) foi inserido no projeto para evitar que a lei seguisse o mesmo caminho que o DMCA e similares nos EUA. Vrios pesquisadores em Segurana por l ficaram ameaados de ter seu trabalho classificado como crime por conta da redao das leis sobre o assunto. O Niels Provos, por exemplo, tirou o site da ferramenta do honeyd do pas por causa disso. Acho justo e adequado que algum pense em evitar que isso acontea aqui tambm. Aps este segundo debate a ISSA ainda enviou algumas sugestes de melhoria para o texto, mas o barulho j havia sido feito, atravs de uma interpretao pouco acertada e bastante distorcida do texto apresentado. Desta forma, o tpico acabou sendo retirado pela emenda 02 do senador Flexa Ribeiro da CCJ (Comisso de constituio e justia).

A ISSA e o PLS A Defesa Digital


No dia 4 de junho de 2007 nos reunimos novamente com os associados para discutir alguns pontos polmicos da nova verso do projeto, entre eles a Defesa Digital, que j havia sido citada no encontro anterior devido nossa preocupao quanto sua interpretao, mas no havamos colaborado com o texto da mesma. Reproduzo um trecho do blog do Augusto Paes de Barros, nosso ex-presidente e atual diretor de comits extremamente didtico sobre o assunto: O assunto polmico do momento o termo "defesa digital". Do jeito que parece pelos comentrios que andam fazendo, isso transformaria a Internet brasileira em um faroeste sem lei. No bem assim. O objetivo l Seguindo a orientao de nosso presidente mundial, a associao entende que deve participar no processo e contribuir em aes que tragam melhorias para a segurana da informao, mas por outro lado optamos por no apoiar, condenar ou realizar qualquer ao que possa ser interpretada como Lobby pela sociedade. Assim sendo, a ISSA e os associados presentes ficaram muito orgulhosos e agradecidos pela oportunidade de colaborar com a criao de uma lei, mas nossa participao se limitou a sugerir e prestar toda a assessoria solicitada para o aperfeioamento do projeto, mas sem defend-lo ou conden-lo oficialmente. No cabe a ns ajudar a aprovar ou vetar um projeto de lei, mas nos certificar que caso este seja aprovado,

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 16 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

tenhamos uma lei mais adequada ao interesse maior de nossos associados, a segurana da informao. Cada membro da associao possui sua opinio pessoal sobre o projeto e pode express-la em seus blogs ou qualquer outro meio como profissional de SI, e no como uma opinio da ISSA como um todo.

Cronologia dos debates da ISSA sobre o PLS 76 / 2000


27 de novembro de 2006 Debate com o Assessor do senador Eduardo Azeredo, o Sr. Jos Henrique Portugal. 22 de Dezembro de 2006 ISSA Day Belo Horizonte Debate com associados e convidados da ISSA sobre o PLS 76 com a participao do Sr. Jos Henrique Portugal. 4 de junho de 2007 Debate com os associados da ISSA com envio de sugestes para o PLS 76

Status do PLS 76 / 2000


O projeto foi aprovado pela CCT (Comisso de cincia, tecnologia, inovao, comunicao e informtica) do senado no dia 12 de dezembro de 2007, e seguiu para a CAE (Comisso de Assuntos Econmicos), para prosseguimento de sua tramitao. Podemos ver a tramitao do projeto pela Internet, no site do Senado: http://www.senado.gov.br/sf/atividade/Materia/Detalh es.asp?p_cod_mate=43555&p_sort_tr=Desc

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 17 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Tendncias & Ameaas


Por Anchises M. G. de Paula

A Ameaa Submarina
No final de janeiro de 2008 os profissionais de segurana, de TI e de Internet se depararam com um cenrio sui-generis: vrios pases do Oriente Mdio e sia comearam a enfrentar problemas no acesso a Internet e nas comunicaes telefnicas por causa de avarias nos cabos submarinos que conectam esta regio com a Internet mundial. Conforme foi amplamente divulgado na imprensa, no dia 30/01 vrios cabos submarinos foram cortados no mar Mediterrneo (afetando principalmente o Oriente Mdio e a ndia) e o mesmo ocorreu dois dias depois no Golfo Prsico (os cabos conectando os Emirados rabes com Oman foram cortados na costa de Dubai). Vrios pases ficaram com seu acesso a Internet bastante prejudicado, o que foi sentido em vrias empresas na regio (incluindo cidades como Dubai). Na ndia e Egito, os centros de chamadas funcionaram com cerca de 30% da capacidade e foi relatado que aproximadamente 20% do setor de informtica da ndia ficou totalmente isolado do resto do mundo. Usurios relataram que sentiam como se tivessem voltado ao tempo dos modens, tamanha era a lentido do acesso a sites na Internet. As empresas que fazem a gesto dos cabos submarinos demoram em mdia 15 dias para reestabelecer as comunicaes, e temporariamente foram obrigadas a redirecionar as conexes atravs de outros cabos existentes, sobrecarregando toda a regio. A causa exata dos problemas, bem como a extenso no ficarm claras. Quanto mais notcias procuramos sobre o assunto, encontramos vrias informaes desencontradas. J h quem diz haver mais de 5 cabos cortados (h verses de jornalistas e de especialistas que apontam para 5 a 9 cabos danificados) e a quantidade de incidentes, somada com a falta de razo lgica para tal,
ANTEBELLUM, ISSA JOURNAL BRASIL

faz com que algumas pessoas comecem a suspeitar de sabotagem, terrorismo ou nas mais elaboradas teorias da conspirao (alguns especialistas descartam a hiptese de terrorismo pois nenhum grupo assumiu a ao). Mesmo que, ao final, descubramos que nada no passou de um grande acidente e este no teria sido o caso de um "grande plano de sabotagem internacional da Internet", a idia est lanada. Podemos considerar isso um proof of concept bem realizado. Sejam por problemas tcnicos, acidentes ou aes terroristas, a infraestrutura global de interconexo do "backbone Internet" nunca mais ser a mesma: ela pode estar sujeita a falhas. Em um cenrio de economia global e onde encontramos vrios governos provendo seus servios online, alm de empresas com diversas filiais espalhadas pelo mundo, clientes globais e vrios fornecedores e provedores de servio localizados em outros pases, uma falha de conectividade na infra-estrutura da Internet pode causar impacto direto nos negcios e na vida de todos. Na rea de TI, alguns pases se destacam quando falamos de cooperao internacional: justamente a ndia (que est se tornando um centro de terceirizao de servios e dedesenvolvimento de software) e Israel (que possui vrias empresas lderes no setor de tecnologia) so dois grandes exemplos desta tendncia. A partir de hoje um plano de continuidade de negcios deve comear a avaliar seriamente o risco de perda de conectividade global. Por mais que possa parecer improvvel, infelizmente os recentes eventos nos mostram que este risco existe. Embora a infra-estrutura de conectividade global seja altamente redundante e as empresas provedoras deste servio tenham condies de rotear o trfego de dados atravs de links alternativos, ainda assim nos

EDIO 001 MARO/ABRIL DE 2008

PGINA 18 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

deparamos com situaes onde os links se congestionaram e os usurios conseguiram sentir o impacto na velocidade de acesso. Ainda mais se os diversos grupos terroristas existentes por a gostarem da idia de cortar a conexo de seus adversrios. Este o cenrio que costumamos chamar de cyberterrorismo. Um ataque similar tambm poderia ocorrer em um cenrio de guerra ciberntica. Em ambos os casos, a extenso do dano depende principalmente de qual o interesse do atacante em perturbar a vida da sua vtima ou do mundo todo.

broken: http://tinyurl.com/2uv6xz CNN: http://tinyurl.com/2rsyuv Daily Wireless: http://tinyurl.com/32jc4f Khaleej Times: http://tinyurl.com/32orm9 Terra: http://tinyurl.com/3bp3xd The Register: http://tinyurl.com/33fzxg Wikipedia: http://tinyurl.com/2myjya SOBRE O AUTOR Anchises M. G. de Paula, CISSP, GIAC, ITIL Arquiteto de Solues da VeriSign Brasil e Diretor de Afiliaes da ISSA Captulo Brasil-SP. Atua a mais de 10 anos na coordenao e implantao de projetos de Segurana da Informao em empresas de grande porte. formado em Cincia da Computao pelo IME-USP e ps-graduado em Marketing pela ESPM.

Links Relacionados
BBC News: http://tinyurl.com/3cc4ae Blog post: FLAG Telecom's Undersea Fibre Optic

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 19 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Entrevista: Eli Jellenc, Gerente de All Source Intelligence do iDefense Labs


Entrevista por Anchises M. G. De Paula e Eduardo V. C. Neves Em fevereiro uma equipe da iDefense Labs veio ao Brasil para estudar o mercado brasileiro e produzir um relatrio sobre as motivaes e tendncias dos crimes eletrnicos no pas. A Antebellum conversou com Eli Jellench, que atuou no Royal Institute for International Affair, no Reino Unido, e no Center for Defense Information nos Estados Unidos antes de entrar na VeriSign, onde hoje o gerente para All Source Intelligence do iDefense Labs. P: Voc pode explicar por que o iDefense Labs foi criado e qual o seu papel na indstria? Ele foi criado como uma organizao que reunia uma elite de hackers, responsveis por examinar vulnerabilidades informadas atravs do Vulnerability Contributor Program (Programa de Contribuio de Vulnerabilidades). Este programa foi criado para eliminar a distncia que existia entre as empresas de software e os pesquisadores independentes de segurana. O problema que a maioria dos pesquisadores gastava o seu tempo descobrindo vulnerabilidades somente por curiosidade intelectual, e uma minoria utilizava estas informaes no s para informar o pblico, como tambm para vend-las no mercado underground. As empresas de software ficaram paranicas com esta situao, e acabaram por colocar no mesmo saco todos os pesquisadores de vulnerabilidades: eles eram as ameaas. O iDefense resolveu este problema tornando-se um agregador confivel para as vulnerabilidades, que recebia as submisses da comunidade, analisava as vulnerabilidades e informava o fabricante relacionado. Ns ainda pagamos para os pesquisadores independentes caso suas descobertas sejam realmente entendidas como vulnerabilidades. Este papel nos colocou como uma fonte confivel e abriu a porta fechada que citei, criando uma relao onde todos ganham; os pesquisadores, as empresas e nossos clientes. O sucesso deste modelo to grande que vrias outras organizaes tentaram fazer o mesmo nos ltimos 3 ou 4 anos. P: Em sua opinio, como os profissionais de Segurana da Informao nos Estados Unidos enxergam a comunidade hacker do Brasil? Quase todos os profissionais da rea nos Estados Unidos sabem pouco sobre a comunidade hacker no Brasil. O que conhecem so os esteretipos comuns, tais como que o pas tem alguns dos melhores e mais atuantes criadores de Trojans; que o motivador do cyber crime no Brasil quase sempre financeiro e que historicamente, a comunidade brasileira muito ativa em prticas de defacement. Esta falta de conhecimento uma das maiores razes para pesquisarmos o mercado por aqui. P: Aps passar quase duas semanas por aqui e ter se reunido com diversos profissionais da indstria, o que voc descobriu sobre o mercado brasileiro para Segurana da Informao e a comunidade underground? Aprendemos que, mesmo entre os melhores na comunidade brasileira, ningum conhece a estria completa. As pessoas tm sua perspectiva sobre o mercado alterada de acordo com a posio que ocupam. Advogados, ISPs, comunidade hacker, todos tm idias muito diferentes sobre o papel adequado e o tipo de atividade que deve ser atribudo a polcia neste cenrio. O que aprendemos tambm sobre a comunidade underground e o mercado que ambos esto se posicionando para um rpido crescimento.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 20 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Se a economia brasileira continuar a se desenvolver de forma slida e globalizada, o aumento de exposio a outros ambientes ir adicionar complexidade e incerteza a um ambiente que por muitos anos esteve controlado e era bem entendido. Vimos que a maior parte dos negcios no Brasil est extremamente vulnervel a cyber ataques. A maior parte dos criminosos atuou de forma simples por muitos anos, o que demonstrado pela grande taxa de crescimento de phising e outros ataques voltados a crimes financeiros. Porm, a maioria destes criminosos est perfeitamente apta a atuar de forma mais complexa, utilizando botnets e outras ferramentas para tentativas de extorso. Ento, se as autoridades brasileiras e os profissionais do mercado estiverem preparados para reduzir a ocorrncia de cyber crime, isso tambm dar para estes criminosos o incentivo de usar suas tticas em outros mercados pelo mundo. E como foi recentemente demonstrada pelo caso de vazamento de informaes na Petrobrs, a maioria das empresas brasileiras no est preparada para prevenir ou detectar casos de espionagem industrial que envolva componentes de cyber crime. Em relao aos responsveis pela proteo das informaes, ficamos surpresos em ver como existem poucas empresas especializadas em testes de invaso no pas, e mais ainda, em ver que os ISPs utilizam somente ferramentas bsicas de segurana e que o sistema legal ainda no sabe como lidar com cyber crimes, uma vez que a Polcia Federal comeou somente h poucos anos a desenvolver uma estratgia para combater este tipo de problema. Finalmente, aprendemos que a maior parte dos profissionais em Segurana da Informao no Brasil e representantes da lei so to bons quanto se no melhores seus iguais em outras partes do mundo. P: Estamos enfrentando diversos casos de scam e phishing no Brasil, um problema que cresce a cada ano. Quais so suas recomendaes para os
ANTEBELLUM, ISSA JOURNAL BRASIL

profissionais da rea lidar com isto? Como se preparar? Como falei antes, notei uma grande falta de instrumentos legais e interao entre os atores neste cenrio, o que aumenta as vantagens dos criminosos. A combinao de falta de legislao, a falta de coordenao entre as autoridades e a falta de ateno das empresas cria um ambiente favorvel para o cyber crime. As foras policiais brasileiras devem receber os parabns por conseguir, com to poucos recursos, efetuar prises e encerrar parte destas operaes criminosas. Os profissionais da rea devem estar atentos aos desenvolvimentos que acontecem em outras partes do mundo, conseguindo assim uma viso global do problema e se antevendo a vinda deles para o Brasil. Vejo a Anlise Forense, Anlise de Cdigo e Testes de Invaso como mercados a serem explorados no pas. So extremamente importantes para ajudar na soluo de crimes, prevenir ataques e descobrir as vulnerabilidades que devem ser corrigidas antes que sejam utilizadas por criminosos. Talvez o mais importante, sejam servios de consultoria e inteligncia, que permitem que as empresas tenham o conhecimento necessrio das ameaas e recursos de proteo que devem ser desenvolvidos e/ou melhorados. P: O Orkut uma rede social muito popular no Brasil, e o Facebook comeou por aqui. Como voc v as ameaas a estas redes sociais nos prximos anos? Acredita que novos vrus e trojans possam ser desenvolvidos para este fim? Definitivamente. Quanto mais pessoas entram nestas redes sociais, mas atratativos os sites ficam para os criminosos. Fazer uma prova de conceito como ocorreu no Orkut h pouco tempo um dos tipos de malware que aparecem nestes sites. Porm, o problema mais grave que vejo o uso para criminal data mining, ou seja, criminosos podem utilizar as informaes destas redes de relacionamento como fontes de informao sobre suas vtimas.
PGINA 21 DE 27

EDIO 001 MARO/ABRIL DE 2008

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Uma forma bvia acessar o perfil para descobrir o endereo de e-mail e a data de aniversrio, uma vez que muita gente usa este cdigo como senha de acesso. Uma vez dentro do seu e-mail, conseguir informaes financeiras no difcil. Uma forma mais sofisticada de utilizar estas informaes analisar quais comunidades a pessoa acessa, permitindo assim modelar um tipo de phising que ela realmente se interesse e acesse. Depois de infectado, fica fcil utilizar o computador da vtima para fraudes financeiras e at mesmo acesso a dados da empresa onde ela trabalha, se for um equipamento corporativo. P: Temos vrios jovens profissionais entre nossos leitores. Como voc tornou-se um profissional em Segurana da Informao? Voc pode nos falar um pouco sobre sua carreira, e complementando a pergunta, qual sua opinio sobre as certificaes na rea? Minha histria atpica. Estudei Cincias Sociais e Relaes Internacionais para o meu mestrado, e busquei um emprego no iDefense porque entendi que precisava aprender muito mais sobre TI do que sabia na poca e tambm porque eles precisavam de algum com conhecimento de problemas geopolticos. Eu tinha um background tcnico muito limitado, da mesma forma que poucos profissionais de Segurana da Informao jamais tiveram que lidar com os aspectos sociais e psicolgicos das pessoas por trs dos ataques. E com exceo de algumas comunidades militares e de inteligncia, ningum pensava como as tendncias econmicas e geopolticas poderiam moldar o ambiente no qual atuamos. Hoje fico muito feliz de ver que a importncia destas perspectivas passou a ser mais bem reconhecida. Dentro de nossa organizao, o entendimento dos aspectos geopolticos tm sido de enorme valor para a maioria de nossos clientes. Claro que, com os acontecimentos recentes, os governos de todo o mundo passaram a

acordar para os perigos reais que podem vir do cyber espao, e isto deve mudar como o mercado visto. Ultimamente, o que tenho aprendido, que um profissional de Segurana da Informao tem que ser diversificado. Ele deve possuir excelentes qualificaes tcnicas, conhecimento do funcionamento de uma organizao, algum entendimento de regulamentaes, de economia e princpios de risco e dos princpios de estratgia. Pois isto que Segurana da Informao trata: estratgias aplicadas por atacantes e defensores. Eu comparo as certificaes com os temperos; algumas so extremamente versteis e importantes para preparar qualquer coisa, outras so boas para coisas especficas e algumas so raramente utilizadas. A CISSP e algumas certificaes tcnicas so essenciais, entretanto outras so boas de ter, mas no essenciais. O conhecimento por trs de uma certificao o que realmente importa e importante ter indicadores deste conhecimento. Mas perigoso assumir que somente por possuir diversas certificaes algum pode ser um excelente resolvedor de problemas, ter a criatividade necessria para uma funo ou conhecimentos do comportamento humano. Estas qualidades so muito mais importantes para qualquer profissional, e nenhuma certificao pode criar isto.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 22 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Eventos de Segurana
Eventos de Segurana da Informao no Brasil so pequenos e tm sido pouco divulgados fora de alguns crculos fechados, e quando so anunciados em estruturas maiores, acabam focando em tpicos que no despertam o interesse dos profissionais da indstria. Esta coluna da Antebellum tem como objetivo apresentar uma agenda selecionada de eventos especficos em nossa rea no Brasil e exterior, assim como os call for papers. Para que ela fique completa, a sua participao fundamental. Ao saber de um evento que valha a pena ser divulgado, entre em contato conosco em revista@issabrasil.org. Se entendermos que evento de interesse da comunidade brasileira de Segurana da Informao, teremos prazer em usar este espao para a divulgao.

http://www.sourceboston.com/index.html CANSECWEST 2008 19 a 21 de maro, Vancouver, Canad http://cansecwest.com/ BELGIUM INFOSECURITY 19 e 20 de maro, Bruxelas, Blgica http://www.infosecurity.be/sites/www_infosecurity_be/ en/index.asp RSA CONFERENCE 2008 07 a 11 de abril, San Francisco, EUA http://www.rsaconference.com/ SANS 2008 18 a 25 de abril, Orlando, EUA http://www.sans.org/sans2008/ INFOSECURITY EUROPE 22 a 24 de abril, Londres, Reino Unido http://www.infosec.co.uk

Eventos no Brasil
CNASI/CLASI 25 e 26 de maro, Rio de Janeiro, RJ http://www.cnasi.com.br/ EXECUTIVE MEETING 2008 11 de abril, So Paulo, SP http://www.executivemeeting.com.br/

Call for Papers (CFP)


EVT '08 Call for Papers Fechamento em 28 de maro http://www.usenix.org/events/evt08/cfp/

GESTO DOS RISCOS, CONTROLES E RESULTADOS ESTRATGICOS EM SEGURANA DA INFORMAO 03 e 04 de abril, So Paulo, SP http://www.ibcbrasil.com.br/event/show/id/76

BLACK HAT USA 2008 Fechamento no informado https://www.blackhat.com/html/bh-usa-08/bh-usa-08cfp.html CNASI XVII E CLASI II Fechamento em 07 de julho http://www.cnasi.com.br/index.php

Eventos no Exterior
INFOSEC WORLD CONFERENCE & EXPO 2008 10 a 12 de maro, Orlando, EUA http://www.misti.com/default.asp?page=65&Return=70 &ProductID=5539 SOURCE BOSTON 2008 12 a 14 de maro, Cambridge, EUA
ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 23 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Atividades ISSA Brasil


ISSA Day

baseada em Curitiba e pode ser contatada atravs do email regionalsul@issabrasil.org

Anuidade ISSA Brasil


Trabalhamos junto ISSA Internacional para reduzir o valor da anuidade cobrada no captulo Brasil para um valor mais condizente, reduzindo a taxa de afiliao ao Captulo de US$ 30,00 para US$ 5,00. Esta medida est efetiva desde o dia 01 de novembro de 2007. Agora o investimento total para associao na categoria General caiu para US$ 100,00 (US$ 95.00 referentes a ISSA Internacional e US$ 5 ao captulo local).

Contando com o apoio da CLM Software (http://www.clm.com.br), a ISSA Captulo Brasil/SP realizou o ISSA Day em 23 de janeiro de 2008 no hotel Sonesta. O evento contou com 53 pessoas, iniciando com uma palestra da Barracuda Networks, proferida pelo Sr. Fernando Barreto, seu country manager. A principal palestra da noite foi do Sr. Jonathan Ham, consultor independente de segurana, sobre "Network Intelligence: The Benefits of a Passive vs. an Active Approach" (Inteligncia de Rede: Os benefcios de uma abordagem passiva versus ativa). O palestrante apresentou de uma forma clara e descontrada o histrico das diferentes metodologias para monitorao das ameaas em redes, os desafios de fazer uma coleta de dados inteligente e comparou as formas ativa e passiva para discovery de redes.

Com isso, a diretoria local pode estender os benefcios da associao a um maior nmero de profissionais de Segurana da Informao no Brasil. Acreditamos que este desconto representa uma melhora para as condies de associao ao nosso Captulo. Mais informaes sobre os valores cobrados pela ISSA Internacional encontram-se na pgina https://www.issa.org/Join/Dues.html.

Grupo ISSA Chapter Brazil/SP no LinkedIn


Para permitir uma melhor interao e networking entre seus associados, a ISSA Captulo Brasil/SP acaba de lanar um grupo especfico no LinkedIn. Todos os associados ativos esto convidados a participar do grupo ISSA Chapter Brazil/SP. O objetivo do grupo no LinkedIn permitir aos seus membros: Localizar outros integrantes do mesmo grupo; Acelerar sua carreira ou negcio atravs de conexes com outros membros; Networking, conhea melhor seus colegas atravs de seus perfis profissionais; Promova-se: associe o nome da ISSA Brasil/SP ao seu perfil.

ISSA Brasil Sul


No dia 15 de janeiro foi criada a Regional Sul, que tem como objetivo, por meio do trabalho feito no Paran, Santa Catarina e Rio Grande do Sul, ajudar no fomento de discusses e iniciativas ligadas Segurana da Informao de curto, mdio e longo prazo para a Regio. A Regional Sul est

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 24 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Este grupo restrito a somente os associados ativos do captulo Brasil/SP da ISSA. Todos associados ativos j esto previamente aprovados a entrar no grupo. Se mesmo assim voc encontrar algum problema, nos avise atravs do email afiliacoes@issabrasil.org. Para entrar na comunidade, basta ter um usurio no LinkedIn e aps autenticado, acessar o link em http://tinyurl.com/yvnk66

CB21:CE27 - PARCERIA DA ISSA COM A ABNT A Associao Brasileira de Normas Tcnicas (ABNT) mantm um comit de discusso de normas e padres de Segurana da Informao, o CB21:CE27, que tambm representa o Brasil nos trabalhos da ISO sobre o tema, no ISO IEC JTC1 SC27 (http://ieeeia.org/iasc/iso.html). Cumprindo seu papel com Voz Global de Segurana da Informao, o captulo Brasil da ISSA est criando um comit interno ao captulo para contribuir com o CB21:CE27 na elaborao, reviso e traduo das normas. Nosso comit receber os documentos em discusso diretamente do coordenador do CB21:CE27 e o presidente de nosso comit representar a ISSA nas reunies da ABNT, levando nossas sugestes e contribuies. Todos os associados ativos da ISSA esto convidados a participar do comit interno e, conseqentemente, a colaborar no processo de normatizao como profissional de segurana, e no como representante de uma organizao. importante ressaltar que a participao no comit est sujeita a assinatura dos mesmos termos de sigilo e compromisso aos que os membros do comit CB21:CE27 se submetem, pois existe um rgido controle sobre o uso dos documentos que so objeto de trabalho. O Comit de Normatizao da ISSA Brasil ser presidido pelo prprio presidente do capitulo, o Sr. Willian Caprino. O formulrio de inscrio no comit est na rea exclusiva para associados de nosso site, www.issabrasil.org. FORMAO PROFISSIONAL Daryus Security Desconto de 20% nos treinamentos em Continuidade de Negcios. Veja em http://www.tinyurl.com/23312. Modulo Security Desconto de 15% na aquisio do livro "Guia Oficial para formao de gestores em Segurana da

Grupo de Estudos CISSP de So Paulo

No dia 23 de fevereiro foi apresentado o domnio "Gesto de Segurana da Informao e de riscos" ("Information Security and Risk Management") no primeiro encontro do Grupo de Estudos CISSP de So Paulo em 2008. No dia 07 de maro foi apresentado o domnio controle de Acesso ("Access Control"), com mais de 30 pessoas presentes. O Grupo de Estudos CISSP de So Paulo est completando seu 4o. ano, onde aproximadamente 19 integrantes j obtiveram sua certificao. O Grupo de Estudos mantido pela ISSA Captulo Brasil/SP e conta com o patrocnio da Microsoft Brasil. As reunies so realizadas aos sbados de manh e intercalam, geralmente, um dia de teoria e um dia de prtica (resoluo de simulados) por assunto. Os participantes se organizam atravs do grupo cisspbr-sp no Yahoo!Groups.

Promoes para Associados


Os descontos e promoes so aplicveis a todos os membros General do ISSA afiliados ao Captulo Brasil no perodo em que participarem da associao. Os descontos e promoes no so acumulativos com outros, exceto quando especificado.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 25 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Informao". Veja mais sobre esta promoo exclusiva para associados em http://www.tinyurl.com/23312. CURSOS ACADMICOS Faculdade Impacta de Tecnologia Desconto de 30% na mensalidade do curso de PsGraduao de Gesto e Tecnologia em Segurana da Informao. Veja em http://www.tinyurl.com/23312. EVENTOS DO SETOR XI CNASI Rio de Janeiro 2008 Atravs de parceria firmada entre o IDETI e a ISSA, gostaramos de apresentar o XI CNASI - Congresso de Auditoria de Sistemas, Segurana da Informao e Governana, que ser realizado nos dias 25 e 26 de maro no Hotel Glria, no Rio de Janeiro, RJ. Disponibilizamos para voc uma inscrio especial para participao com 10% de desconto no valor das inscries da data vigente. Veja a grade de programao e informaes sobre o evento em http://tinyurl.com/yw9nac. EXECUTIVE MEETING 2008 Informamos que a ISSA fechou parceria com o Executive Meeting 2008 que ser realizado no dia 11 de abril no Hotel Hilton Morumbi, em So Paulo, SP. Os membros da ISSA tm desconto de 30% em qualquer modalidade de inscrio. Acreditamos que conhecimentos em torno do tema GRC (Governana, Riscos e Compliance) tm grande valor a agregar s instituies e profissionais afiliados. Informaes em http://tinyurl.com/28z5f7.

Os contedos enviados sero elegveis para apresentao nos ISSA Days e publicao no ISSA Journal Internacional e na revista Security Review. Os direitos autorais dos autores sero mantidos e a publicao em qualquer dos meios disponibilizados pela ISSA ser feita mediante a aprovao formal do autor. Os interessados devero enviar o material seguindo os padres descritos para o endereo de e-mail: conteudo@issabrasil.org. CATEGORIAS EDITORIAIS Tutoriais Apresentam de forma didtica e com ilustraes a aplicao de conceitos e/ou tcnicas ao mercado de segurana da informao. Deve ser classificado como iniciante, intermedirio e avanado e possuir de 20 a 25 pginas. Artigos Apresentam pontos de vista, experincias ou a reflexo do autor sobre assuntos relacionados a segurana da informao. Deve possuir de 3 a 6 pginas. Estudos de caso Apresentam solues, casos ou projetos desenvolvidos e implementados no mercado brasileiro e que sejam relacionados segurana da informao. Deve ser autorizado pelas partes envolvidas e possuir de 6 a 8 pginas. FORMATO DAS CONTRIBUIES Todos os trabalhos devero ser submetidos em arquivos no formato Microsoft Word ou compatvel, com a configurao da pgina em modo retrato, utilizando Fonte Times New Roman corpo 12, com espaamento simples entre as linhas. A lista completa dos temas sugeridos est em nosso site em http://tinyurl.com/2d9hvf

Chamada de Trabalhos
A diretoria de Educao e Contedo do captulo Brasil da ISSA convida seus membros locais, sejam profissionais, estudantes ou pesquisadores, a contribuir com a comunidade de segurana da informao brasileira submetendo artigos, tutoriais ou estudos de caso para publicao em nosso portal.

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 26 DE 27

Antebellum: ISSA Journal Brasil


Edio 001: maro/abril de 2008

Worst Cases: O Lado Engraado da Segurana


Por Anchises M. G. de Paula

Bookmark
A rede parou? Seu CIO est no seu p perguntando o que aconteceu e quando o servidor de e-mail volta? Voc no sabe mais o que dizer? Uma lmure comeu o cabo de rede !? Deu coliso no bit de paridade !? Seus problemas acabaram com o servidor gerador de desculpas do BOFH The Bastard Operator From Hell: http://pages.cs.wisc.edu/~ballard/bofh/ Um site divertido, baseado nos bons e velhos textos do BOFH (http://bofh.ntk.net/).

Foto.log

No desejo isso nem para meu pior inimigo...

Frase
Failure is not an option, por Gene Kranz, Diretor de vo da NASA para a misso Apollo 13.

Prticas Bestas
VOC TEM UM NAT GATEWAY EM SUA REDE? Aps 6 meses tentando auditar a segurana do nosso ambiente, finalmente o administrador de firewall deu acesso (de leitura, somente) console do firewall que separava a rede de engenharia e a rede corporativa. Assim que conectei fiquei assustado: o Firewall possua somente 8 regras de acesso, onde a ltima era um "default permit" (tudo permitido, de qualquer origem para qualquer destino). E possua 80 regras de NAT. Na prtica, os acessos somente aconteciam se houvesse uma regra de NAT correspondente. A partir de ento, este equipamento foi batizado de "NAT Gateway" (ou seja, um dispositivo de segurana sem nenhuma regra de acesso til, somente fazendo NAT). (Anonymous)

Oscar da biometria
Os melhores usos de biometria em Hollywood: Categoria reconhecimento de voz: "2001: Uma Odissia no Espao (1968) Categoria reconhecimento da retina: "Jornada nas Estrelas 2: A Ira de Khan (1982) Categoria Burlando o sistema: "As Panteras (2000) - burlaram o reconhecimento de ris, impresses digitais e voz Categoria Falso Negativo: "A mosca (1986) o personagem principal no consegue se autenticar por voz Categoria novas aplicaes biomtricas: "Minority Report - A Nova Lei (2002) - reconhecimento pela ris usada pela polcia para buscar suspeitos, para propaganda e tudo mais que a imaginao permite. Veja mais informaes em http://www.imdb.com e http://www1.folha.uol.com.br/folha/informatica/ult124u 21492.shtml. Voc tem uma histria engraada para contar? Um caso real ? Mande para ns: revista@issabrasil.org

Estatsticas para mostrar pro chefe


Compras online atingem R$ 6,2 bilhes em 2007 (E-bit): http://www.tiinside.com.br/Filtro.asp?C=265&ID=86303 Spams representaram 90% dos e-mails recebidos em 2007: http://www.tiinside.com.br/Filtro.asp?C=265&ID=85991

ANTEBELLUM, ISSA JOURNAL BRASIL

EDIO 001 MARO/ABRIL DE 2008

PGINA 27 DE 27