Security Engineering - THE Book

porto 22 @ 31.8.06 · 4 comentário(s) ·

Ross Anderson. Professor de Segurança Informática na Universidade de Cambridge, Ross Anderson publicou há alguns anos um dos livros de referência sobre esta temática: Security Engineering – A Guide to Building Dependable Distributed Systems. Publicado pela Wiley, este livro contém um dos melhores textos sobre o problema da realização de sistemas distribuídos complexos que, apesar disso, podem e devem ser estruturados de forma a garantir a qualidade e a segurança dos diversos componentes e, em última análise, da sua composição.

Até há pouco tempo esta obra encontrava-se disponível exclusivamente em formato físico mas a Wiley, em resposta à solicitação de Ross, tornou público o acesso via Internet a todos os capítulos.

Uma obra indispensável para profissionais, com carácter técnico, mas de leitura acessível para todos os que sintam interesse sobre este tema. Encontra-se em http://www.cl.cam.ac.uk/~rja14/book.html

Schneier: sobre a consciencialização de utilizadores [em segurança]

porto 22 @ 23.8.06 · 0 comentário(s) ·

Um apontamento interessante sobre a [ir]relevância das acções de consciencialização em segurança. O autor argumenta que, para aumentar o nível de segurança na utilização de computadores, independentemente das medidas que visam a educação das pessoas, é imperativo reforçar a qualidade dos produtos que são comercializados e que, nesse sentido, deve ser exercida pressão sobre as empresas que os produzem.

No blog de Bruce Schneier em http://www.schneier.com/blog/archives/2006/08/educating_users.html

Burlas online: Phishing

porto 22 @ 21.8.06 · 2 comentário(s) ·

Uma das burlas mais frequentes na Internet e com efeitos mais imediatos designa-se por Phishing. Esta burla consiste no envio de mensagens por correio electrónico, habitualmente em nome duma entidade financeira, que visam conduzir os destinatários a divulgar os seus códigos de acesso bancários.

As mensagens procuram transmitir a necessidade de alterar os códigos rapidamente, alegando razões de segurança ou a urgência em confirmar alguma coisa muito importante. Na prática, ao seguir as instruções que são descritas na mensagem, somos conduzidos a um espaço que imita o espaço original da instituição mas que, naturalmente, é falso. Se introduzirmos as nossas credenciais e códigos secretos nesse espaço, estaremos a transmitir essa informação a outras pessoas – que não estão relacionadas com a instituição financeira – e que irão realizar movimentos em nosso nome para outras contas.

Existem diversas recomendações sobre este tema mas neste apontamento gostaria de deixar apenas uma – aquela que me parece mais eficaz e que considero a regra de ouro: Nunca apresentar códigos de acesso a nenhuma entidade, sempre que nos sejam solicitados na sequência de uma mensagem electrónica. Nunca. Mesmo que a mensagem nos pareça autêntica... Nunca!

Contra-espionagem

porto 22 @ 18.8.06 · 0 comentário(s) ·

A proliferação de programas que visam espiar as nossas actividades online e offline é cada vez maior. Estas aplicações, genericamente designadas spyware, podem ser programadas para atingir diferentes objectivos, desde a caracterização das nossas preferências online, passando pela transmissão ilícita de alguns dos nossos documentos ou fotografias, até à captura e transmissão dos dados que introduzimos através do teclado. Existem até programas que funcionam como verdadeiros Cavalos-de-Tróia que servem, entre outras finalidades, para iniciar ataques a outros sistemas a partir do nosso computador.

Há neste momento diversos programas que detectam e eliminam estes espiões – aplicações anti-spyware. Do conjunto de produtos disponíveis, destacam-se dois: o primeiro, produzido pela Lavasoft, designa-se Ad-Aware e encontra-se em http://www.lavasoft.com; o segundo, Spybot – Search & Destroy, desenvolvido por uma equipa de programadores independentes, está disponível em http://www.safer-networking.org.

Os ataques desta natureza não tendem a diminuir; pelo contrário, a diversidade e complexidade estão a aumentar. Neste contexto, não podemos ignorar a ameaça e a utilização de uma destas aplicações é, cada vez mais, imperativa.

Gestão de Passwords

porto 22 @ 13.8.06 · 0 comentário(s) ·

Apesar da importância dos códigos de acesso, verifica-se que, na prática, as pessoas tendem a escolher passwords muito simples e reutilizam-nas nos contextos mais diversos, i.e. escolhem e memorizam uma única chave e associam-na a espaços tão distintos (e com diferentes graus de importância) como o correio electrónico, por um lado, e a contas de acesso a instituições financeiras, por outro.

Bem, mas qual é o problema? A questão central é que o risco e os controlos de cada uma destas organizações são diferentes e, se esta chave for descoberta, o acesso a TODOS os sites será automaticamente descoberto.

Para mitigar este risco, utilizando chaves complexas e distintas para todas as contas, existem várias técnicas que, só por si, justificavam um artigo de várias páginas. No entanto, para tornar este apontamento muito objectivo, a que proponho para hoje é a utilização de um programa para gestão de passwords: PasswordSafe, originalmente escrito por Bruce Schneier, pode ser encontrado na rede em http://passwordsafe.sourceforge.net. (nota: a apresentação desse espaço é inversamente proporcional à qualidade do programa ; ) )

A escolha desta ferramenta considera, por um lado, a qualidade e as funcionalidades disponíveis e, por outro lado, a particularidade de poder ser utilizada numa caneta USB para garantir a mobilidade.

Técnicas de ataque a sites na Internet

porto 22 @ 12.8.06 · 0 comentário(s) ·

Tinha prometido que iria evitar escrever sobre detalhes técnicos que fossem especialmente complexos, mas não resisto a apresentar este vídeo que, um pouco em oposição aos objectivos deste espaço, descreve um conjunto de técnicas que visam explorar vulnerabilidades em sites na Internet: para quem tenha interesse em aprender algumas das formas de ultrapassar os controlos de segurança que [ainda] vão evitando o acesso ilegítimo ao interior das aplicações web, patrocinado pelo Google e com uma duração de cerca de hora e meia, How to break web software, disponível em http://video.google.com/videoplay?docid=5159636580663884360&hl=en

Recomendações da Microsoft para proteger o seu portátil em viagem

porto 22 @ 11.8.06 · 0 comentário(s) ·

A Microsoft preparou um pequeno conjunto de recomendações para proteger um computador portátil quando é transportado em viagem. O artigo inclui recomendações sobre controlos muito simples e que podem ser facilmente adoptados. A versão portuguesa está disponível em http://www.microsoft.com/portugal/athome/security/privacy/ontheroad.mspx?pf=true.

Em relação à protecção da informação, estas recomendações apresentam o Encrypted File System (EFS) como mecanismo de cifra de dados. Alternativamente, e apenas enquanto sugestão, vale a pena avaliar as características de outros sistemas de cifra, e.g. um programa específico como o TrueCrypt (http://www.truecrypt.org) cujas funcionalidades incluem, entre outras, a possibilidade de proteger ficheiros em Canetas USB (para além, naturalmente, dos dados residentes no disco rígido interno).

Windows & Office: Actualizações de Segurança de Agosto

porto 22 @ 10.8.06 · 0 comentário(s) ·

Periodicamente são publicadas actualizações de segurança dos programas que utilizamos nos nossos computadores. Estas actualizações são publicadas em resposta à descoberta de vulnerabilidades nos produtos as quais, se forem exploradas de forma maliciosa, podem comprometer a segurança dos computadores e a confidencialidade da nossa informação.

A Microsoft lança mensalmente um conjunto de actualizações dos seus produtos, nomeadamente, das diversas versões do Windows e do Office. As correcções de Agosto já foram publicadas.

Para actualizar estes produtos de forma semi-automática, deve dirigir-se ao Windows Update, disponível em http://update.microsoft.com. Alternativamente, para activar a actualização automática, e.g. no Windows XP, active o Painel de Controlo, seleccione o Centro de Segurança e active a opção Actualizações Automáticas.

Novo modelo

porto 22 @ 9.8.06 · 0 comentário(s) ·

Ao contrário do que supunha inicialmente, o tempo e a disponibilidade mental para produzir artigos de fundo são escassos e, avaliando o resultado do que foi escrito desde o início desta iniciativa – nada – o modelo previsto no início não funciona.

Assim, vou tentar um modelo diferente com a publicação de apontamentos mais resumidos mas que, ainda assim, possam contribuir para divulgar os novos riscos e controlos que vão sendo descobertos e inventados.

Espero que, desta vez, o resultado seja melhor ; )