Segurança da Informação

Standard

Segurança da Informação (parte 1) – Conceitos Mod NUB 1

 

Intitulo “mod nub 1” a este artigo pois o considero extremamente básico para quem está querendo se aprofundar em um assunto, que na verdade é um mundo (e olhe que não é novo) vasto, não completamente desvendado e ainda um ramo cujo grau de conhecimento é levado ao extremo e requer superação mais que diária. (complicado de entender, não?… NÃO!)

Novamente não justifico o termo nub 1 para pessoas que não sabem de nada, na verdade destina-se a uma afirmação -> Vamos falar com simplicidade sobre o que é segurança.

Mais em breve faremos um artigo com mais ênfase em espionagem industrial.
Esse artigo na verdade encaixa-se muito bem às pessoas que adoram pirataria, ou “gestores de ti” que costumam “amarrar investimentos” (sim… sabe aqueles IMACS que sua empresa não compra alegando que é um investimento MUITO, MUITO, MUITO alto? Talvez aquilo não tenha tanta possibilidade de cair na malha fina dos [firmwares] de Motherboards, o que nada mais nada menos seria que um trojan (falo de backdoor) auto instalado/inicializado sempre que teu sistema for formatado/reiniciado/inicializado. OU talvez, quem sabe, a falta de conhecimento em ambientes Linux ou mesmo SOLUÇÕES para segurança proativa dos pcs é tratada como uma cereja do bolo [quando na verdade equivale-se à água que bebemos]).

 

Dividiremos este nub article em 2 pontos de vista:

 

– O carinha que chega em casa, fica de cueca em frente o seu laptop, com um umidificador de ar por perto de aparelhos eletrônicos (nub NE?).

– A instituição que possui um baú de ouro (é camarada, aquele DB, Aquele source que vocês desenvolvem, aquele aplicativo que parece uma arma nuclear, que vale muito e lhe custa muito, ou mais especificamente, aquela instituição que tem algo aonde vale a pena por em risco sua liberdade [sim, se for pego é xadrez!]).

 

Ao ponto 1, usuários domésticos

Como é gostosa a tentação de baixar um filme gravado através de um botão de camisa de um internauta que foi ao cinema, não? (sim, existem camcorders do tamanho de um botão de camisa, e não são caros)

Ou aquele aplicativo que custar-lhe-ia R$ 2.500,00, ou ainda melhor, “vamos testar esse Windows novo que saiu, achei aqui, olha, um torrent no the pirate bay… baixa aí, não, deixa que baixo na empresa, o link lá é bom…”, preciso comentar que isto é realidade absoluta? E os mp3s? Vamos baixar CDs?

Tenho fatos técnicos que vão fazer você mudar essa mentalidade.

Vamos ao ponto máximo da charada:

EU SERIA UM IMBECIL de simplesmente gravar com camcoder um filme inteiro (digamos, velozes e furiosos 5, ou mesmo Missão Impossível 4 [assistir amanhã]) com a vulnerabilidade de ser pego pela polícia, perder mulher, filho, cachorra e PC? Ou disponibilizar o último DVD do artista nacional/internacional mais caro e mais cobiçado da atualidade de graça?

Sim, isso deixa alguém por anos atrás de um paredão de concreto e aço.

TUDO, TUDO mesmo tem um preço, correr um risco tão absurdo de sofrer punições com leis nacionais (e até internacionais) não poderá lhe custar tão barato assim (falo como “downloader”), se você vive de baixar algo “arrumo free na web”, prepare os lombos pois vou agredir-lhe!

Existem técnicas (veja-as: http://pt.wikipedia.org/wiki/Esteganografia) que servem justamente para acabar com sua alegria. Esteganografia é o fato técnico para toda criminalidade baseada em “sharing”.
Esta questão de invisibilidade é tão séria que Charles Chaplin participou de um concurso de sósias DELE MESMO e tirou em terceiro lugar! Sim, nem ele parecia com ele mesmo… rsrsrs…

Deixe-me clarear sua mente. Se eu chegar em sua casa de terno e gravata eu sou o little_oak de terno e gravata, correto? ERRADO! Debaixo do meu terno posso estar carregando uma pistola, granada ou até mesmo um iphone 4 s ou um milestone 2 ;D.

Mas espere… você só sabia que eu tinha terno e gravata, não?

É aí que  a casa cai para você!

Em um filme/arquivo pdf/aplicativo pirata (ou Não pirata, mas a margem sob piratas é de pelo menos 90%) você estará carregando uma bomba oculta, isto graças aos joinners, sim, aplicativos que colocam UM ARQUIVO DENTRO DE OUTRO.

E você aí, se chegou até aqui deve estar dizendo: E EU COM ISSO?

“Lá xibatada”:
Quando eu executo um arquivo/programa/música em meu PC, baixados ou não da internet, a permissão que eu tenho como usuário será atribuída ao arquivo (sim, sim, não adianta falar de botão direito e executar com X nível de permissão que isso é passado/besteira quando falamos de buffer overflow/scalation) no momento da execução. AINDA QUE VOCÊ POSSUA UM ANTIVÍRUS PAGO, se você autoriza um arquivo a executar em seu S.O., o grau de detecção passa a ser mínimo (falo da defesa proativa do seu antivírus), logo você torna-se vulnerável!

Antivírus trabalham monitorando eventos/sockets/serviços do seu sistema, qualquer anomalia de comportamento em um dos 3 fatos desencadeia na execução de processos da defesa proativa do seu antivírus.

Até aí você sente-se blindado, está tudo atualizado mesmo… Enganou-se novamente!

Se você autorizou um aplicativo/filme/mp3 a rodar no seu S.O. há uma imensa chance de seu antivírus passar a confiar no comportamento (trust list), em outras palavras, FERROU-SE AMIGO!

Sabe aquele texto bacana que você escreveu para um artigo, ou para dar em cima da sua mulher / paquera / namorada / ficante… etc… etc…? Alguém já o leu devido sistemas de keyloggers automatizados! Rsrsrsrs…

Sabe aqueles dados do banco… Já se foram também… (isso vira inferno até na vida de terceiros… rsrsrsrs, depois detalho mais). Talvez você diga:

SAI DAÍ, BESTÃO, existe teclado virtual e senha que nem digito… hihiihi, bestão…

E EU LHE RESPONDO -> EXISTEM SCREENLOGGERS QUE PRINTAM CADA TELA TUA E ENVIAM DE FORMA ANÔNIMA E AUTORIZADA PELO TEU ANTIVÍRUS GRAÇAS A SUA NEGLIGÊNCIA DE BAIXAR TUDO E EXECUTAR TUDO QUE ENCONTRA NA WEB!

E se houverem dados de um processo contra alguém, uma informação sigilosa, um dado muito importante da minha família, amigos e etc? Isso foi junto?

CLARO QUE TUDO QUE CITEI trabalha em cima de probabilidades de sucesso MUITO ALTAS, e é provável que a resposta aqui seja SIM!

 

COMO RESOLVER ISSO?

1 – Formatar seu PC será quase nulo se estiver usando mídia pirata!

2 – Sim, aqueles “processos SEXY” com nome adob.exe, msnmsgss.exe, ou mesmo o svchost “aparentando santidade” não te garantem dias felizes, seu antivírus, mesmo sendo pago deverá ser substituído por outro que NÃO TEM UMA TRUST LIST (isso é SOMENTE para higienização, refiro-me a trustlist “virgem”).

3 – Evite baixar “QUALQUER COISA” NO SEU PC!

4 – SIM, aqueles emails que vêm de pessoas conhecidas suas SÃO PRIORIDADE para scan, principalmente os que possuem títulos como: “PEGUEI AS FOTOS DA TRAIÇÃO”, “EU LHE FALEI…”, “SEU NOME ESTÁ NO SPC”… etc.  (provavelmente o PC desta pessoa já se foi junto com tantos trojans, aquilo lá, na verdade é um estábulo de tanto cavalo de Tróia).

Antes que você ache que estou sendo muito metido, pense com carinho, pois da forma que citei ainda é possível usar seu PC como gateway para ataque a um banco, por exemplo, ou apenas como um PC zombie afim de estourar links de servidores, fazer spam e etc (SIM, ISTO TUDO SEM QUE VOCÊ POSSA VER, POIS SEU ANTIVÍRUS AUTORIZOU NAQUELA VEZ QUE INSTALOU PROGRAMA_YXZ NO SEU PC).

Vou citar algo melhor. Há poucos anos um avião comercial caiu em detrimento da falta de comunicação ocasionada entre base de controle -> aeronave. Isto ocorreu por causa de um worm que causou overload (super utilizou os recursos do sistema operacional da aeronave) e a aeronave não recebou as informações detalhadas sobre falhas que ocorriam no voo. O Final nós já sabemos… Lamentável (falo sem hipocrisia).

 

Não citei todos os casos graves e muitos detalhes técnicos pois, do contrário passaria dias.


Vamos falar de empresas agora!

Lamento pelo texto parecer grosseiro, mas errar de maneira equivocada afim de “alimentar” seu ego ou puramente por “economias de vinho tinto e peru” não são tolerados para crackers.

Você, gestor/admin de um setor de TI, sabia que pessoas morreram em 1989 (companhia chamada Partnair), em um voo comercial em detrimento de 3 parafusos falsos que seguravam a peça superior final do avião? (sim, o leme) OBS: Eram 4 parafusos, somente um era de fato AUTÊNTICO!

3 parafusos pirateados fizeram pessoas (pais de famílias, donos de empreendimentos que sustentavam famílias, não só isso, houve até um conflito diplomático na intenção de localizar erros militares para culpar forças militares por um erro de BURRECES ECONÔMICAS?) morrerem.

Aonde você se encaixa?

Cuidado pois sua rede pode não ter tanta segurança como aparenta ter (nem falo de smartphones ferrados, notebooks de funcionários ferrados e etc, falo de pirataria MESMO), e o pior, os dados da sua empresa podem estar nas mãos de outros… Isso sim é complicado…

Reflita como pessoa (sim, no ponto quando falo para home users) e veja se sua instituição merece o fim do voo comercial de 1989. Pense no que faz para evitar perder suas preciosas férias com higienizações de rede, reestruturação de segurança e até mesmo de um efetivo novo (perder aqueles caras que programam muito, que possuem um know how elevado, imagine esses caras indo embora por causa de reestruturações?).

 

Continua em breve… (falar mais de exploits, metodologias, erros comuns… etc… etc…)

Feliz 2012.

 

 

O que é o ITIL e quais seus Benefícios

Standard

E ai galera, tudo na santa paz?

Tenho andado enrolado d+ com a faculdade, sem contar na falta de tempo e outras coisas a mais que não vêm ao caso.Hoje vou falar pra vocês sobre ITIL ou melhor, apenas um mizero grão de areia desse vasto e interessante assunto… ITIL é um assunto que conheci exatamente no final do ano passado ao conversar com um amigo da faculdade, não dei muita importância na época (não era meu foco). Até que no início desse ano mudei de curso na faculdade e me deparei com a metéria Governança de TI, que é a “Bíblia do ITIL“… mas vamos lá.

Mas Doooguinha o que diabos é esse ITIL?

ITIL é a abreviação de Library Infrastructure Tecnology Information que em português burro significa Biblioteca de Infraestrutura de Tecnologia de Informação criado pela OCG (Official Governance Commerce) na Inglaterra, e que nada mais é do que motodologias de governança de TI,inicialmente o foco da criação do ITIL, era o melhoramento dos serviços nos data centers britânicos. O ITIL prevê que os serviços de TI sejam/fiquem alinhados aos negócios, fazendo com que nos tornemos parceiros estratégicos das organizações… Consequentemente trazendo aproveitamento total dos recursos envolvidos nos processos e perda mínima de tempo, o que acarreta maior agregação de valor aos serviços de TI.

O ITIL está atualmente na versão 3 que por sua vez foi lançada em 2007 e possui exatamente 26 processos, estando esses processos divididos em 5 fases: Estratégias do Serviço, Desenho do Serviço, Transição do Serviço, Operação do Serviço e Melhoria do Serviço Continuada ou Melhoria Continuada do Serviço.

Em todos os processos/fases provê “regras”que se seguidas conforme designação descrita pelo OCG torna os serviços de tecnologia de informação mais eficientes e alinhados às políticas do negócio. Esse alinhamento dos processos de uma empresa às metodologias do ITIL faz com que agregue valor aos serviços de TI, além de uma melhoria no atendimento às requisições de serviço.

No ITIL aprendemos também como melhorar o relacionamento com os provedores de serviço, melhores práticas de organização, tem um tal de Banco de dados de problemas conhecidos, Gerenciamento de incidentes, gerenciamento de problemas…. isso só para citar alguns. No ITIL ficam muito bem definidas as tarefas de cada indivíduo dentro da organização, o ITIL é uma espécie de transição o nixo Operacional para setor Estratégico da empresa, como o grande professor Danilo diz: “O departamento de TI de uma organização deverá ser seu parceiro estratégico e agregar valor aos serviços de TI perante ao setor estratégico da organização” não com essas palavras mas foi o que entendi sobre o assunto das aulas em que o professor Danilo brilhantemente ministra na faculdade….

Você já resolveu várias vezes um mesmo problema dentro de uma organização? Sim galera, todos NÓS que trabalhamos sem uso das metodologias do ITIL, resolvemos um mesmo problemas várias e várias vezes sem nos dar conta do prejuízo o qual damos às empresas nas quais trabalhamos. Mas ai você diz, os problemas aqui são resolvidos em 5, 10 ou no máximo em 15 minutos, sim meu amigo…. mas imagina se você resolvesse um problema apenas 1 vez, e nas próximas vezes que o mesmo problema acontecer você gastar quase tempo nenhum pra resolvê-lo pois aquele incidente já estaria em um Banco de dados de problemas conhecidos? Sobraria muito mais tempo por exemplo pra estudar uma implantação crucial ao negócio, sobraria mais tempo pra estudar Linux, Soluções livres, integração de Sistemas Operacionais distintos ou até mesmo para melhor entender todos os processos do ITIL e assim tentar uma melhoria inividual/coletiva dos serviços de TI de sua equipe.

Pensem bem…. talvez uma certificação ITIL seja seu pontapé inicial para adentrar a uma grande corporação, grande empresas com certeza vão saber valorizar seu talento/conhecimento das metodologias ITIL, hoje em dia tudo é um grande diferencial no Mercado….

Meu intuito principal ao escrever esse artigo é simplesmente falar o que é e quais os benefícios do ITIL dentro de uma organização, na verdade somente falei dos pontos bons da implantação das metodologias ITIL dentro de uma empresa, não disse pontos ruins como por exemplo a resistência do operacional a se submeter a novas idéias, novos modos para se realizar uma mesma tarefa, ter que documentar muito bem todos os passos dentro da empresa, o medo do funcionário por exemplo de documentar os incidentes/problemas resolvidos com medo de que quando esse banco de problemas conhecidos fique bem alimentado a corporação poderá lhe mandar embora, esses são apenas alguns dos pontos chatos na implantação da metodologia ITIL nas empresas….. Penso que se não houver apoio INCONDICIONAL da topo da hierarquia da empresa, com certeza você sozinho não conseguirá implantar essa fantástica metodologia de melhoria dos serviços.

Bom galera, paro por aqui…. como disse isso aqui é um informativo bem básicão sobre ITIL e suas vantagens e pequenas desvantagens….. forte abraço e um agradecimento especial ao professor Danilo, que trata do assunto com muita responsabilidade e passando todos os macetes para que possamos nos certificar na certificação ITIL FUNDATION que é a porta de entrada para uma melhor qualidade na prestação de serviços de TI…. Fiquem com DEUS!!!!

Gostou? Compartilhe, comente e espalhe. 🙂