Segurança da Informação

Standard

Segurança da Informação (parte 1) – Conceitos Mod NUB 1

 

Intitulo “mod nub 1” a este artigo pois o considero extremamente básico para quem está querendo se aprofundar em um assunto, que na verdade é um mundo (e olhe que não é novo) vasto, não completamente desvendado e ainda um ramo cujo grau de conhecimento é levado ao extremo e requer superação mais que diária. (complicado de entender, não?… NÃO!)

Novamente não justifico o termo nub 1 para pessoas que não sabem de nada, na verdade destina-se a uma afirmação -> Vamos falar com simplicidade sobre o que é segurança.

Mais em breve faremos um artigo com mais ênfase em espionagem industrial.
Esse artigo na verdade encaixa-se muito bem às pessoas que adoram pirataria, ou “gestores de ti” que costumam “amarrar investimentos” (sim… sabe aqueles IMACS que sua empresa não compra alegando que é um investimento MUITO, MUITO, MUITO alto? Talvez aquilo não tenha tanta possibilidade de cair na malha fina dos [firmwares] de Motherboards, o que nada mais nada menos seria que um trojan (falo de backdoor) auto instalado/inicializado sempre que teu sistema for formatado/reiniciado/inicializado. OU talvez, quem sabe, a falta de conhecimento em ambientes Linux ou mesmo SOLUÇÕES para segurança proativa dos pcs é tratada como uma cereja do bolo [quando na verdade equivale-se à água que bebemos]).

 

Dividiremos este nub article em 2 pontos de vista:

 

– O carinha que chega em casa, fica de cueca em frente o seu laptop, com um umidificador de ar por perto de aparelhos eletrônicos (nub NE?).

– A instituição que possui um baú de ouro (é camarada, aquele DB, Aquele source que vocês desenvolvem, aquele aplicativo que parece uma arma nuclear, que vale muito e lhe custa muito, ou mais especificamente, aquela instituição que tem algo aonde vale a pena por em risco sua liberdade [sim, se for pego é xadrez!]).

 

Ao ponto 1, usuários domésticos

Como é gostosa a tentação de baixar um filme gravado através de um botão de camisa de um internauta que foi ao cinema, não? (sim, existem camcorders do tamanho de um botão de camisa, e não são caros)

Ou aquele aplicativo que custar-lhe-ia R$ 2.500,00, ou ainda melhor, “vamos testar esse Windows novo que saiu, achei aqui, olha, um torrent no the pirate bay… baixa aí, não, deixa que baixo na empresa, o link lá é bom…”, preciso comentar que isto é realidade absoluta? E os mp3s? Vamos baixar CDs?

Tenho fatos técnicos que vão fazer você mudar essa mentalidade.

Vamos ao ponto máximo da charada:

EU SERIA UM IMBECIL de simplesmente gravar com camcoder um filme inteiro (digamos, velozes e furiosos 5, ou mesmo Missão Impossível 4 [assistir amanhã]) com a vulnerabilidade de ser pego pela polícia, perder mulher, filho, cachorra e PC? Ou disponibilizar o último DVD do artista nacional/internacional mais caro e mais cobiçado da atualidade de graça?

Sim, isso deixa alguém por anos atrás de um paredão de concreto e aço.

TUDO, TUDO mesmo tem um preço, correr um risco tão absurdo de sofrer punições com leis nacionais (e até internacionais) não poderá lhe custar tão barato assim (falo como “downloader”), se você vive de baixar algo “arrumo free na web”, prepare os lombos pois vou agredir-lhe!

Existem técnicas (veja-as: http://pt.wikipedia.org/wiki/Esteganografia) que servem justamente para acabar com sua alegria. Esteganografia é o fato técnico para toda criminalidade baseada em “sharing”.
Esta questão de invisibilidade é tão séria que Charles Chaplin participou de um concurso de sósias DELE MESMO e tirou em terceiro lugar! Sim, nem ele parecia com ele mesmo… rsrsrs…

Deixe-me clarear sua mente. Se eu chegar em sua casa de terno e gravata eu sou o little_oak de terno e gravata, correto? ERRADO! Debaixo do meu terno posso estar carregando uma pistola, granada ou até mesmo um iphone 4 s ou um milestone 2 ;D.

Mas espere… você só sabia que eu tinha terno e gravata, não?

É aí que  a casa cai para você!

Em um filme/arquivo pdf/aplicativo pirata (ou Não pirata, mas a margem sob piratas é de pelo menos 90%) você estará carregando uma bomba oculta, isto graças aos joinners, sim, aplicativos que colocam UM ARQUIVO DENTRO DE OUTRO.

E você aí, se chegou até aqui deve estar dizendo: E EU COM ISSO?

“Lá xibatada”:
Quando eu executo um arquivo/programa/música em meu PC, baixados ou não da internet, a permissão que eu tenho como usuário será atribuída ao arquivo (sim, sim, não adianta falar de botão direito e executar com X nível de permissão que isso é passado/besteira quando falamos de buffer overflow/scalation) no momento da execução. AINDA QUE VOCÊ POSSUA UM ANTIVÍRUS PAGO, se você autoriza um arquivo a executar em seu S.O., o grau de detecção passa a ser mínimo (falo da defesa proativa do seu antivírus), logo você torna-se vulnerável!

Antivírus trabalham monitorando eventos/sockets/serviços do seu sistema, qualquer anomalia de comportamento em um dos 3 fatos desencadeia na execução de processos da defesa proativa do seu antivírus.

Até aí você sente-se blindado, está tudo atualizado mesmo… Enganou-se novamente!

Se você autorizou um aplicativo/filme/mp3 a rodar no seu S.O. há uma imensa chance de seu antivírus passar a confiar no comportamento (trust list), em outras palavras, FERROU-SE AMIGO!

Sabe aquele texto bacana que você escreveu para um artigo, ou para dar em cima da sua mulher / paquera / namorada / ficante… etc… etc…? Alguém já o leu devido sistemas de keyloggers automatizados! Rsrsrsrs…

Sabe aqueles dados do banco… Já se foram também… (isso vira inferno até na vida de terceiros… rsrsrsrs, depois detalho mais). Talvez você diga:

SAI DAÍ, BESTÃO, existe teclado virtual e senha que nem digito… hihiihi, bestão…

E EU LHE RESPONDO -> EXISTEM SCREENLOGGERS QUE PRINTAM CADA TELA TUA E ENVIAM DE FORMA ANÔNIMA E AUTORIZADA PELO TEU ANTIVÍRUS GRAÇAS A SUA NEGLIGÊNCIA DE BAIXAR TUDO E EXECUTAR TUDO QUE ENCONTRA NA WEB!

E se houverem dados de um processo contra alguém, uma informação sigilosa, um dado muito importante da minha família, amigos e etc? Isso foi junto?

CLARO QUE TUDO QUE CITEI trabalha em cima de probabilidades de sucesso MUITO ALTAS, e é provável que a resposta aqui seja SIM!

 

COMO RESOLVER ISSO?

1 – Formatar seu PC será quase nulo se estiver usando mídia pirata!

2 – Sim, aqueles “processos SEXY” com nome adob.exe, msnmsgss.exe, ou mesmo o svchost “aparentando santidade” não te garantem dias felizes, seu antivírus, mesmo sendo pago deverá ser substituído por outro que NÃO TEM UMA TRUST LIST (isso é SOMENTE para higienização, refiro-me a trustlist “virgem”).

3 – Evite baixar “QUALQUER COISA” NO SEU PC!

4 – SIM, aqueles emails que vêm de pessoas conhecidas suas SÃO PRIORIDADE para scan, principalmente os que possuem títulos como: “PEGUEI AS FOTOS DA TRAIÇÃO”, “EU LHE FALEI…”, “SEU NOME ESTÁ NO SPC”… etc.  (provavelmente o PC desta pessoa já se foi junto com tantos trojans, aquilo lá, na verdade é um estábulo de tanto cavalo de Tróia).

Antes que você ache que estou sendo muito metido, pense com carinho, pois da forma que citei ainda é possível usar seu PC como gateway para ataque a um banco, por exemplo, ou apenas como um PC zombie afim de estourar links de servidores, fazer spam e etc (SIM, ISTO TUDO SEM QUE VOCÊ POSSA VER, POIS SEU ANTIVÍRUS AUTORIZOU NAQUELA VEZ QUE INSTALOU PROGRAMA_YXZ NO SEU PC).

Vou citar algo melhor. Há poucos anos um avião comercial caiu em detrimento da falta de comunicação ocasionada entre base de controle -> aeronave. Isto ocorreu por causa de um worm que causou overload (super utilizou os recursos do sistema operacional da aeronave) e a aeronave não recebou as informações detalhadas sobre falhas que ocorriam no voo. O Final nós já sabemos… Lamentável (falo sem hipocrisia).

 

Não citei todos os casos graves e muitos detalhes técnicos pois, do contrário passaria dias.


Vamos falar de empresas agora!

Lamento pelo texto parecer grosseiro, mas errar de maneira equivocada afim de “alimentar” seu ego ou puramente por “economias de vinho tinto e peru” não são tolerados para crackers.

Você, gestor/admin de um setor de TI, sabia que pessoas morreram em 1989 (companhia chamada Partnair), em um voo comercial em detrimento de 3 parafusos falsos que seguravam a peça superior final do avião? (sim, o leme) OBS: Eram 4 parafusos, somente um era de fato AUTÊNTICO!

3 parafusos pirateados fizeram pessoas (pais de famílias, donos de empreendimentos que sustentavam famílias, não só isso, houve até um conflito diplomático na intenção de localizar erros militares para culpar forças militares por um erro de BURRECES ECONÔMICAS?) morrerem.

Aonde você se encaixa?

Cuidado pois sua rede pode não ter tanta segurança como aparenta ter (nem falo de smartphones ferrados, notebooks de funcionários ferrados e etc, falo de pirataria MESMO), e o pior, os dados da sua empresa podem estar nas mãos de outros… Isso sim é complicado…

Reflita como pessoa (sim, no ponto quando falo para home users) e veja se sua instituição merece o fim do voo comercial de 1989. Pense no que faz para evitar perder suas preciosas férias com higienizações de rede, reestruturação de segurança e até mesmo de um efetivo novo (perder aqueles caras que programam muito, que possuem um know how elevado, imagine esses caras indo embora por causa de reestruturações?).

 

Continua em breve… (falar mais de exploits, metodologias, erros comuns… etc… etc…)

Feliz 2012.

 

 

O que é ERP?

Standard

Para começarmos a entender o ERP, é importante sabermos que ele não possui nenhuma ligação direta com a sua sigla. Esqueça a palavra planejamento, ele não faz isso, e esqueça a palavra recurso, um termo descartável. Mas lembre-se da parte empresarial. Ele serve para integrar todos os departamentos e funções de uma companhia em um simples sistema de computador que pode servir a todas necessidades particulares de cada uma das diferentes seções.
É um grande desafio construir um único programa de software que supra as necessidades do departamento financeiro, assim como dos trabalhadores de recursos humanos e também do depósito e é isso que o ERP faz. Cada um desses departamentos, tipicamente, possuem seu próprio sistema de computador, cada um aperfeiçoado para cada necessidade, para a forma de trabalho de cada departamento. O ERP combina todos eles juntos em um só programa de software integrado que trabalha com um banco de dados comum. Dessa forma, os vários departamentos podem mais facilmente dividir informações e se comunicar entre si.

Essa abordagem integradora pode dar um grande retorno financeiro se as companhias instalarem o software adequadamente. Pegue o pedido de um cliente como exemplo: tipicamente, quando um cliente faz um pedido, aquele pedido começa uma jornada em papel, de um lugar para outro na empresa, sendo digitado e redigitado em vários computadores ao longo do caminho. Toda essa jornada causa atrasos e perdas de pedidos, e cada digitação, em um diferente sistema, é convidativo a erros. Ao mesmo tempo, nenhuma companhia sabe realmente em que estágio um pedido se encontra em um determinado momento porque não há como o departamento financeiro, por exemplo, entrar no computador do depósito para ver se o item foi embarcado. “Você terá que ligar para o depósito”, é a resposta familiar dada aos frustrados consumidores.

Como o ERP pode melhorar a performance de uma empresa?

ERP automatiza as tarefas envolvendo a performance de um processo, tal qual a finalização de um pedido, o qual envolve pegar o pedido de um cliente, enviá-lo e cobrá-lo. Com o ERP, quando um representante recebe o pedido de um cliente, ele ou ela, tem todas as informações necessárias para completá-lo. Todas as pessoas na empresa vêm o mesmo visor e têm acesso a um único banco de dados que guarda o novo pedido do cliente. Quando um departamento termina a sua parte em um pedido, este é enviado automaticamente para o próximo departamento via ERP. Para saber em que ponto está um pedido, em um determinado momento, é só checar no ERP. Com sorte, o processo se move como um raio dentro da organização, e os clientes recebem seus pedidos mais rapidamente que antes. O ERP consegue aplicar essa mesma mágica à maioria dos processos empresariais, tal qual manter os funcionários informados sobre seus benefícios ou sobre decisões financeiras em geral.

Esse, pelo menos, é o sonho do ERP. A realidade é bem mais dura.

Vamos retornar aos pontos tratados anteriormente. Aquele processo talvez não tenha sido eficiente, mas ele foi simples. O departamento financeiro fez o seu trabalho, o depósito fez o seu trabalho e se algo deu errado fora das paredes do departamento, esse problema é sempre de outra pessoa. Com o ERP essa história muda sensivelmente: os representante que recebem os pedido dos clientes, não são mais mero digitadores colocando o nome de alguém em um computador e batendo na tecla retornar. O monitor do ERP faz deles pessoas de negócio. Ele vai desde o crédito do cliente, passa pelo departamento financeiro e vai até o fluxo de trabalho do depósito.
O cliente pagará em dia? Nós seremos capazes de embarcar o produto em tempo? Essas são perguntas que os representantes de vendas nunca tiveram que fazer antes e que afeta o cliente e todos os outros departamentos da empresa. Mas não são apenas os representantes que terão que acordar. As pessoas no depósito, que estavam acostumadas a manter as datas na cabeça ou em pedaços de papel, precisam colocar toda informação on-line agora. Se eles não fizerem isso, os representantes de venda verão baixos níveis de produtos no monitor e falarão aos clientes que seus pedidos não estão disponíveis no estoque. Comprometimento, responsabilidade e comunicação nunca foram tão testados antes.

Quanto tempo leva um projeto de ERP?

Instalar o ERP não foi um processo fácil para as companhias que o fizeram. Não se engane quando vendedores de ERP dizem que o tempo de implantação, em média, é de três ou seis meses. As implementações que foram feitas em um curto tempo (porque seis meses é um curto tempo), todas foram realizadas em pequenas empresas, ou foram limitadas a pequenas áreas da empresa, ou apenas usaram as partes financeiras do programa ( no qual o ERP é apenas um caro sistema de contabilidade). Para fazer o ERP certo, a forma como você faz negócio terá que mudar, bem como a forma como as pessoas trabalham. E esse tipo de mudança não acontece sem dor. A não ser que a maneira como você negocia esteja indo extremamente bem, pedidos são embarcados no período certo, a sua produtividade é maior do que a dos seus concorrentes, seus clientes estão completamente satisfeitos, sendo que, nesses casos, não há nenhuma razão para pensar em instalar o ERP.
O importante é não focar-se no tempo que levará a sua implantação, já que transformações reais com o ERP normalmente levam entre um e três anos em média, mas sim entender porque você precisa dele e como você pode utilizá-lo para aumentar seus negócios.

Como o ERP melhorará os meus negócios?

Há três razões principais pelas quais firmas adotam o ERP:

– Para integrar dados financeiros: Como o CEO tenta entender a performance geral da companhia, ele ou ela podem encontrar diferentes versões da verdade. O financeiro tem os seus números, vendas tem outra versão, e as diferentes unidades podem, cada uma, ter a sua própria versão do quanto eles podem contribuir para a receita. O ERP cria uma única versão da verdade que não pode ser questionada porque todos estão usando o mesmo sistema.
– Para uniformizar o processo de manufatura: Empresas de manufatura, especialmente aquelas com um grande apetite por fusões e aquisições, geralmente descobrem que diferentes unidades da empresa usam diferentes métodos e sistemas de computador. Uniformizar esses processos, usando um único e integrado sistema de computador, pode economizar tempo, aumentar a produtividade e reduzir gastos.
– Para uniformizar as informações de RH: Principalmente em firmas com múltiplas unidades de negócio, o departamento de Recursos Humanos talvez não tenha um único e simples método para acompanhar o tempo dos empregados e comunicá-los sobre seus benefícios e serviços. O ERP pode fazer isso.

O ERP irá se adequar ao meu jeito de negociar?

É difícil para as empresas entenderem se a forma delas negociarem se adapta ao padrão ERP antes de todos os cheques de pagamento terem sido assinados e a implementação ter começado. A razão mais comum pela qual as empresas fogem dos projetos multimilionários do ERP é porque elas descobrem que o software não suporta algum dos importantes processos dos seus negócios. Nesse momento, só há duas coisas a serem feitas: mudar o processo para se adaptar ao software, o qual significará mudanças profundas nas formas de se fazer negócio, o que apesar de ser positivo para a produtividade da empresa, mexe em papéis de pessoas importantes e com responsabilidades e que apenas poucas empresas têm coragem para fazer. Ou, mudar o software para que este se adapte ao processo, o que diminuirá a velocidade do projeto e provavelmente deturpará o sistema.
Não é necessário dizer que a mudança para o ERP é um projeto que necessita fôlego. Além de orçar pelo custo do software, executivos financeiros devem planejar o preço da consultoria, as adaptações, testes de integração e uma longa lista de outros gastos antes que os benefícios do ERP comecem aparecer.

Quando receberei o retorno do ERP – e de quanto será este retorno?

Não espere revolucionar seus negócios com o ERP. A implantação dele requer uma reorganização na forma como as coisas funcionam mais internamente na sua empresa do que externamente com clientes, fornecedores ou parceiros. Mas, para quem tem paciência, esse é um projeto com retorno garantido. Um estudo feito em 63 empresas que adotaram o sistema descobriu que os benefícios costumam aparecer em média oito meses depois da instalação do novo sistema, ou seja, em 31 meses. Após esse período, a média de economia anual com o sistema ERP é em torno de U$1.6 milhões.

O custo escondido do ERP

Embora diferentes empresas encontrem diferentes problemas durante o orçamento, aqueles que implantaram o ERP concordam que certos custos são normalmente maiores que outros. A partir das experiências estudadas, pode-se dizer que os gastos mais significativos ocorrem nas áreas: de treinamento, integração e teste; de conversão e análise de dados; consultorias, na substituição de pessoal – com a constante implementação; e, também, com a depressão “pós-ERP”.


De qualquer forma, os benefícios que podem ser obtidos se a empresa tiver maturidade para aceitar as mudanças e se adequar a elas, são bem maiores que as desvantagens. O ERP é um avanço que com certeza agrega valor a uma empresa.