porto 22 é um espaço dedicado à divulgação e discussão de temas relacionados com a privacidade e a segurança na Internet e na utilização de computadores pessoais.
... na área de blogging no meu espaço profissional. Este espaço fica no ar em modo Kodak... para mais tarde recordar : ) ... Doravante, as questões relacionadas com segurança vão estar concentradas em www.miguelalmeida.pt. Cheers! ; )
Dan Geer @ Source Boston 2008. Uma apresentação muito interessante em que Dan Geer faz uma retrospectiva da segurança nos últimos anos e uma perspectiva do futuro.
«A world without failure is a world without freedom. A world without the possibility of sin is a world without the possibility of righteousness. A world without the possibility of crime is a world where you cannot prove you are not a criminal. A technology that can give you everything you want is a technology that can take away everything that you have. At some point, real soon now, some of us security geeks will have to say that there comes a point at which safety is not safe.»
Está disponível em vídeo e em texto. Recomenda-se (!)
... já pode incluir, em alguns países, uma "inspecção" aos conteúdos residentes no disco. Vale a pena ler uma discussão sobre o tema no blog do Schneier, que inclui algumas sugestões para proteger a informação confidencial. Take a peek ; )
Acabado de sair do prelo, disponível em http://technet.microsoft.com/en-us/library/cc264463.aspx.
Ano novo, vida nova : ) ... Ainda na mesma área, mas desta vez como profissional independente. Em traços gerais, o leque de Serviços de Segurança da Informação irá oferecer:
Na IT Security, «The 20 Minute Guide to PC Security: 20 Tips to secure your box, protect your email, avoid wireless problems, use safe passwords and more». Vale (!)
Por vezes o humor é a melhor forma de passar a mensagem... outras vezes, nem tanto. Seja qual for o caso, este é mesmo imperdível: Stephen Colbert's Internet Security.
Mais um ataque de phishing muito bem sucedido, desta vez dirigido aos clientes do Banco Nordea, uma instituição financeira Sueca. Segundo a Tek, as transferências ascenderam quase a 1 milhão de euros.
Sobre este ataque, um diário Português publicou um apontamento no qual referia que, em Portugal, esse tipo de ataques dificilmente seria bem sucedido porque os sistemas computacionais das nossas instituições financeiras são relativamente antigos e o conhecimento dos hackers é insuficiente para os atacar... Trata-se claramente duma perspectiva de quem ignora em absoluto as características deste tipo de problemas: a resolução do phishing não passa apenas por questões tecnológicas do lado dos Bancos; o phishing é uma burla dirigida aos clientes!
Neste cenário, das duas, uma: ou se investe na formação e consciencialização das pessoas, ou se introduzem controlos técnicos, do lado dos clientes, que possam reforçar a autenticação das transacções. Não há mais alternativas.
A SSO magazine é mais uma iniciativa Microsoft no sentido de alertar as pessoas para os riscos e as melhores práticas na utilização dos computadores online. Vale pela iniciativa e, naturalmente, pelo conteúdo. (Infelizmente ainda só está disponível a versão Inglesa; esperamos que em breve possa estar traduzida para outras línguas, nomeadamente, claro, o Português).
A publicação está disponível na rede em formato PDF e pode ser transferida de http://www.microsoft.com/...
Segurança da Informação e Externalidades: mais um artigo muito interessante de Bruce Schneier sobre a responsabilidade pela situação actual da segurança dos sistemas de informação. O texto aborda a questão das motivações económicas que conduzem às escolhas na atribuição de recursos no desenvolvimento de software. E quem as paga, no fim... Must read (!)
Uma das formas mais simples e mais antigas de atacar um computador consiste em estabelecer uma ligação directa a um dos serviços que estejam activos, enviando pacotes de dados que procuram explorar uma vulnerabilidade ou, eventualmente, tentam entrar adivinhando uma password dum desses serviços.
Esta forma de ataque não tem que ser conduzida manualmente por uma pessoa; pode ser automatizada e ser realizada por um programa. Na verdade, existem muitos programas que fazem precisamente isto – chamam-se worms. Neste preciso momento, estão activas milhares destas worms a enviar milhões (!) de bits para toda a Internet, na tentativa de penetrar as defesas dos computadores e infectá-los com vírus e programas que espiam a nossa actividade online.
Actualmente, as novas versões dos sistemas operativos, e.g. Windows XP ou Mac OS X, já incluem filtros que evitam a passagem desses pacotes de dados para o computador. São as chamadas firewalls. No entanto, nem sempre estão activas (por falta de configuração) ou podem elas mesmas conter vulnerabilidades que são alvo de ataque.
Com o objectivo de reforçar a segurança da nossa ligação à Internet, a forma mais eficaz e mais simples de filtrar estas comunicações consiste na instalação duma pequena firewall ou dum router (com filtragem) entre os nossos computadores e o modem que estabelece a ligação à rede.
Existem muitas opções no mercado e a preços acessíveis. Qualquer hipermercado ou loja de informática tem disponíveis estes equipamentos. A minha sugestão para hoje é esta: comprem uma firewall ou um router e filtrem a vossa ligação à Internet. A instalação é muito simples e a protecção acrescida vale bem o dinheiro (!)
2006 foi mais um ano em que vimos o crescimento da criminalidade informática, em particular através da Internet, e a continuação das falhas de segurança, desde os vírus e programas maliciosos, passando pelo aumento exponencial do correio indesejado até ao roubo de identidade e valores financeiros.
Para 2007, com a introdução do Windows Vista e do Mac OS X Leopard, assim como as novas versões de Linux (e.g. Fedora Core 6), a espectativa é alta: os novos sistemas já vêm melhor configurados de raiz para resistir, no mínimo, aos ataques mais simples. No entanto, a sua adopção vai decorrer lentamente ao longo do ano e, naturalmente, os resultados só devem começar a ser visíveis no final de 2007.
Embora estas novidades venham acrescentar um grau na segurança, a sua eficácia tem que ser complementada através de acções de consciencialização. Os meus votos vão neste sentido: que seja possível investir nesta área ao longo de 2007!
(ainda há pouco tempo tive oportunidade de preparar uma máquina para um amigo e pude constatar que, apesar de ter activado um conjunto de controlos técnicos adequados, passou pouco tempo até que a máquina fosse desprotegida: faltou a formação…)
Finalmente, deixo aqui os meus votos de felicidade e dum magnífico 2007 para todos (!)
Mais um texto importante sobre a necessidade de alertar as consciências para os riscos e controlos que temos que ter presentes na utilização dos computadores. Scott Granneman analisa uma dura lição sobre privacidade pessoal e segurança através da perspectiva duma apresentadora muito conhecida dum programa de televisão Europeu.
Em traços gerais, o artigo aborda a necessidade de apagar completamente os dados pessoais dos computadores quando são vendidos ou, mais simplesmente, quando são transferidos para outras pessoas. Para além disso, Scott reitera uma vez mais o aviso para a preocupação e o controlo que são necessários para proteger as nossas passwords.
O artigo tem um travo muito forte e pode chocar pelos juízos de valor explícitos e implícitos. No entanto, o impacto associado à falta de controlo de dados e passwords pode ser devastador e, nesse contexto, o alerta deixado no texto é muito importante.
"A Hard Lesson in Privacy", está disponível na SecurityFocus em http://www.securityfocus.com/columnists/424.
Num artigo de opinião sobre o estado da segurança (Security Absurdity: The Complete, Unquestionable, And Total Failure of Information Security), Noam Eppel descreveu, em Maio, um cenário Dantesco e acusou a comunidade de profissionais desta área de assistirem, impávidos e serenos, ao desenrolar do assalto generalizado e bem sucedido do cybercrime global.
Ao longo dos últimos meses, a análise foi alvo de inúmeros comentários e contra-análises cujo resultado foi agora apresentado pelo próprio Noam, num artigo intitulado Community Comments & Feedback to Security Absurdity Article.
Pessoalmente, penso que os pontos identificados são válidos e esta reflexão deve ser aproveitada como base para definir os vectores que têm que ser endereçados no futuro. Não creio que estejamos a perder a guerra e, ao nível das organizações e dos produtores de software, há já algum tempo que se verifica o aumento da consciencialização, o reforço dos controlos e a inflexão das atitudes.
Mas estas mudanças, embora necessárias, não são suficientes: o elo mais fraco, na minha opinião, continua a ser mal endereçado. Não existem ainda acções de formação e consciencialização adequadas para preparar as pessoas para as novas batalhas electrónicas. É imperativo investir nesta área (!)
(Os artigos referidos têm muita qualidade e a sua leitura é, naturalmente, recomendada!)
(Desde o inicio decidi escrever neste espaço exclusivamente em Português. No entanto, este apontamento também está disponível em Inglês para ser facilmente compreendido pela minha amiga V.K. – “A Helénica”. Penso que será útil… ; )
Since the beginning I decided to write in this space exclusively in Portuguese. However, this annotation is also available in English to be easily understood by my friend V.K. – “The Hellenic”. I think it will be useful… ; ) )
É um facto irrefutável: as passwords continuam a ser o mecanismo de eleição para comprovar a nossa identidade online. Apesar de já existirem, há muitos anos, formas alternativas e mais seguras para autenticar uma entidade, a facilidade de utilização e o custo reduzido têm sido, desde sempre, os factores mais importantes na selecção deste controlo e, naturalmente, têm conduzido à rejeição de outros mecanismos em favor das passwords.
Neste contexto, dado o valor dos recursos que supostamente protegem, seria natural esperar que as chaves escolhidas fossem especialmente complexas e difíceis de adivinhar. No entanto, apesar da sua importância, os testes de campo confirmam que, duma forma geral, as pessoas optam por definir chaves muito simples, e.g. “123456” ou “qwerty”, que são facilmente adivinhadas ou decifradas (através, por exemplo, de programas que utilizam dicionários ou, no limite, percorrem muitas possibilidades num espaço de chaves limitado – mas que é, na maioria dos casos, suficiente).
Tal como já sugeri noutro apontamento, existem várias formas de definir e gerir passwords. Nesta nota vou focar a atenção numa das técnicas que, sendo simples de usar, permite gerar chaves mais fortes que são, ainda assim, facilmente memorizáveis. A construção faz-se da seguinte forma:
1. Começamos por escolher uma frase que tenha algum significado especial e que, por consequência, seja facilmente memorizável. Apenas para este exemplo, escolhi uma citação de Helen G. : “Aquele que riu por último não percebeu”.
2. Em seguida, seleccionamos e juntamos a primeira letra de todas as palavras da frase escolhida. Neste exemplo, as letras seleccionadas de “Aquele que riu por último não percebeu” irão formar a sequência: Aqrpúnp.
3. Finalmente, embora esta sequência já seja muito melhor que as chaves mais comuns, podemos acrescentar alguma pontuação e/ou alguns dígitos para aumentar a sua complexidade. Sem comprometermos a facilidade de memorização, podemos adicionar, por exemplo, um par de parêntesis, aspas, dígitos ou uma mistura de cada: (Aqrpúnp), “Aqrpúnp2, …
Et voilà! Conseguimos construir uma password que é, em simultâneo, muito mais forte e fácil de memorizar: não temos que nos lembrar dos caracteres; basta-nos pensar na frase. E ao fim de pouco tempo torna-se instintivo.
***** **** *** ** *
It’s an irrefutable fact: passwords are still the elected mechanism to prove our identity online. Although there are already, for many years now, alternate and more secure ways to authenticate an entity, the ease of use and the low cost have been, since forever, the most important factors in the selection of this control and, naturally, this has lead to the rejection of other mechanisms in favour of passwords.
In this context, given the value of the resources that they supposedly protect, it would be natural to expect that the chosen keys would be specially complex and hard to guess. However, despite their importance, field tests confirm that, in general, people opt to define very simple keys, e.g. “123456” or “qwerty”, that are easily guessed or deciphered (using, for instance, programs that use dictionaries or, at the most, go through many possibilities in a limited key space – but which is, in the majority of cases, enough).
As I already suggested in another annotation, there are several ways to define and manage passwords. In this note I’ll focus my attention in one of the techniques which, although simple to use, enables the generation of stronger keys that are, still, easy to remember. The construction is done as follows:
1. We start by choosing a phrase that has some special meaning and that, by consequence, is easily remembered. Solely for this example, I chose a quotation by Helen G. : “He who laughed last didn't get it”.
2. Next, we select and join together the first letter of all the words in the chosen phrase. In this example, the selected letters from “He who laughed last didn't get it” will form the sequence: Hwlldgi.
3. Finally, though this sequence is already much better than the more common keys, we may add some punctuation and/or a few digits to increase its complexity. Without compromising the ease to memorize, we may add, as an example, a couple of parenthesis, quotations marks, digits or a mix made of each: (Hwlldgi), “Hwlldgi2, …
Et voilà! We managed to define a password that is, simultaneously, much stronger and easy to remember: we don’t have to remember the characters; it’s enough to think of the phrase. And in a very short time it becomes second nature.
Adivinharam: chegou novamente o dia de actualizarmos as máquinas com as novas correcções do Windows e do Office.
Vale a pena aproveitar o momentum e, já agora, actualizarmos também os outros programas que temos instalados e que, infelizmente, são muitas vezes negligenciados e contêm, também eles, diversas falhas de segurança. Assim, devemos verificar também se temos as versões actualizadas dos seguintes programas, utilizando as suas próprias opções de actualização ou, em alternativa, indo directamente à fonte (se os utilizarmos, claro): Acrobat Reader, Firefox, iTunes / QuickTime, MSN Messenger, Opera, Skype, Thunderbird, WinRAR e WinZip (esta lista não é exaustiva; é apenas um exemplo. Na verdade, todas as aplicações que estiverem instaladas devem ser verificadas).
Para além das actualizações dos programas, têm que ser igualmente actualizadas as assinaturas antivírus e antispyware. Em princípio, cada um dos programas tem um mecanismo de actualização automática. No entanto, é importante garantir que estão efectivamente configurados e actualizados. Depois da actualização, devemos executar um teste exaustivo a todos os discos para garantir a ausência de bicharada : )
Finalmente, depois de tudo arrumado e como estamos nesta actividade de manutenção, devemos aproveitar a oportunidade para gravar os nossos documentos mais importantes num CD ou DVD para que, se acontecer algum problema com o computador, possamos restaurá-los.
Outro espaço sobre segurança de sistemas de informação que merece destaque: Comunidade ISMS PT. O que é? Na sua apresentação,
"A Comunidade Portuguesa de Segurança da Informação é formada por um grupo de gestores e profissionais de segurança orientados para a protecção da informação nas organizações.
Partilhando uma visão que os actuais desafios da segurança se colocam mais no domínio da gestão que no tecnológico, esta comunidade preconiza como resposta a estes desafios, a adopção de práticas de gestão da segurança nas organizações. Neste âmbito, esta Comunidade defende a criação de um sistema de gestão de segurança da informação, de acordo com as normas internacionais de segurança ISO 27000 (substitui a ISO 17799 e BS 7799).
Com base nesta orientação fundadora, a Comunidade adoptou como designação em inglês a expressão Information Security Management System Portugal ou apenas ISMS PT. Titulo presente no URL deste site http://www.ismspt.blogspot.com/.
Como colectividade, a Comunidade Portuguesa de Segurança da Informação ou apenas ISMS PT está aberto a todos os gestores de segurança e interessados nesta temática. (...)"
Recomenda-se a visita (!)
Acabado de sair do prelo, o Windows Vista Security Guide é o documento de referência para a instalação e configuração segura da nova plataforma Microsoft. Apesar de ser dirigido a uma audiência mais técnica – para quem a sua leitura é imprescindível – apesar disso, pode ser consultado por todas as pessoas que, mesmo não sendo especialistas, sintam alguma curiosidade pelo tema. Está disponível em http://www.microsoft.com/technet/windowsvista/security/guide.mspx
Na Folha de S. Paulo, na secção de Informática pode ler-se:
“Projeto quer controlar acesso à Internet: A Comissão de Constituição e Justiça do Senado [Brasileiro] votará, na próxima quarta-feira, um projeto de lei que obriga a identificação dos usuários da internet antes de iniciarem qualquer operação que envolva interatividade, como envio de e-mails, conversas em salas de bate-papo, criação de blogs, captura de dados (como baixar músicas, filmes, imagens), entre outros. (…) “
A gestão do equilíbrio entre os controlos de segurança e a liberdade individual é um exercício difícil (!) Duma forma geral, apesar de visarem o reforço da segurança, os controlos introduzem novas barreiras que podem, por um lado, limitar as actividades livres e legitimas e, por outro lado, reduzir o direito universal à privacidade.
Em face desta dicotomia, a introdução de medidas de segurança tem que ser sustentada por uma análise de risco que pondere, no mínimo, (a) a probabilidade e o impacto da concretização das ameaças que visam controlar, (b) a eficácia dessas novas medidas, (c) o custo financeiro e social da sua implementação e (d) o impacto a médio/longo prazo nos direitos e garantias dos cidadãos.
Uma medida que, claramente, pretende eliminar o anonimato na utilização da Internet, falha imediatamente num vector: pela dimensão global da rede, e pelas suas características intrínsecas, é impossível limitar a transmissão de dados ao espaço das comunicações autenticadas, i.e. será sempre possível ultrapassar os controlos, e.g. através de canais encobertos através de outro país – sendo assim, dificilmente existirão controlos eficazes.
Neste contexto, onde a eficácia dos controlos levanta, no mínimo, sérias dúvidas, e considerando que a satisfação dos requisitos de autenticidade implica necessariamente a monitorização sistemática, valerá a pena introduzir este sistema?
Numa coluna de opinião na SecurityFocus, Mark Rasch escreveu um texto muito interessante sobre o tema da privacidade individual no contexto empresarial: balanceando a privacidade dos colaboradores e a necessidade de segurança interna duma organização, até onde podem ir os controlos? Em face da lei vigente e das regras estabelecidas por cada empresa, quais são os direitos efectivos? (Para a empresa e para o individuo, claro (!))
Com o reforço [imprescindível!] dos controlos de segurança, este tema ganha especial importância porque, naturalmente, a fronteira entre o que é válido e o que é ilegítimo tem que estar bem definida. E ser conhecida e aceite por todos os intervenientes.
Este debate ainda não ganhou dimensão em Portugal mas, muito provavelmente, irá ser objecto de [grande?] discussão ao longo dos próximos anos. Para reflexão: Employee Privacy, Employer Policy.
A Microsoft produziu e disponibilizou um pequeno conjunto de vídeos que nos alertam para alguns riscos e nos ajudam a utilizar a Internet em segurança. Estão [quase] todos dobrados em Português e encontram-se no espaço da Microsoft em Portugal no endereço http://www.microsoft.com/portugal/athome/security/videos/default.mspx.
Mais um artigo de opinião que nos alerta para a ameaça do Big Brother e da perda de liberdade [por consequência directa da monitorização das nossas comunicações]. Apesar de não elaborar sobre os controlos que podemos utilizar para reduzir a nossa exposição, adverte-nos, mais uma vez, para o perigo que constituem algumas das medidas tomadas em nome da segurança e que, na verdade, não acrescentam o valor anunciado; pelo contrário, retiram-na.
(os controlos técnicos que reforçam a nossa privacidade já existem há muitos anos. será chegada a altura de promover a massificação da criptografia? e como é que se transmite esta necessidade duma forma global?)
Um texto objectivo, claro e sucinto: The Death of Ephemeral Conversation.
Há já alguns anos que esta tendência é observada: “There has been a change in the people who attack computer networks, away from the 'bragging hacker' toward those driven by monetary motives”.
-- [um artigo da] Wired em http://www.wired.com/news/wireservice/0,71793-0.html.
Heads Up: hoje é dia de actualizações Microsoft. Mais um conjunto de correcções que visam fechar vulnerabilidades recentemente descobertas no Windows e no Office.
Estão disponíveis no sítio do costume: http://windowsupdate.microsoft.com.
… é uma iniciativa do Ministério da Educação que visa alertar e informar o público em geral e, em particular, os pais e professores, para os novos riscos associados à utilização da Internet por jovens e crianças. Neste espaço, disponível em http://www.seguranet.crie.min-edu.pt, apresentam-se as novas ameaças e um conjunto de recomendações para pais e educadores.
Neste contexto, salienta-se ainda um guia intitulado “Como tornar a Internet Segura” que pode ser encontrado em http://www.cifop.ua.pt/nonio/seguranet/Is_guia_pais.pdf
… para uma nova forma de burla que tem vindo a ser praticada na aquisição de viaturas pela Internet. No espaço da PJ, em http://www.pj.pt/htm/diversos/burla.htm, podemos ler:
«No âmbito das competências de prevenção que lhe estão cometidas, a POLÍCIA JUDICIÁRIA alerta para o facto de estarem a chegar ao seu conhecimento um número muito significativo de participações criminais referentes a burlas na aquisição de viaturas usadas com recurso a leilões ou propostas de venda promovidos em sites de referência da INTERNET.
A burla em causa processa-se da seguinte forma:
1. O comprador acede ao site e licita ou entra em contacto com o vendedor da viatura que pretende adquirir;
2. Percebido o interesse e determinação na aquisição da viatura, o comprador é convidado a abandonar os canais de pagamento disponibilizados pelo site, beneficiando, por esse motivo, de um desconto apreciável (1.000 a 1.500€)
3. Sendo-lhe, então, sugerido um meio alternativo de pagamento, envolvendo transferências bancárias directas, através de outras entidades financeiras;
4. As propostas de venda têm sido referenciadas a partir da Alemanha, destinando-se as respectivas transferências a países de leste ou à própria Alemanha;
5. Nestas situações, o comprador nunca obtém qualquer contrapartida da transferência efectuada, nomeadamente a entrega do veículo automóvel.
Estas operações são completamente alheias aos sites da INTERNET, os quais funcionam de forma regular, não estando em causa a respectiva legalidade e idoneidade. Trata-se de expedientes ilegítimos, que visam única e exclusivamente o aproveitamento dos mesmos para burlar os utilizadores.»
A evolução dos telemóveis ao nível das funções de Assistente Pessoal, que incluem funcionalidades de agenda, gestor de contactos, leitor de correio electrónico, entre outras, acrescentou um grau ao risco de roubo ou perda dos equipamentos. Neste momento um telemóvel pode conter uma quantidade considerável de informação confidencial, nossa ou de outros contactos que, se fôr exposta, pode criar-nos situações desconfortáveis ou, no limite, pode ter consequências graves.
Com o objectivo de reduzir este risco foi recentemente apresentado um novo sistema, designado Remote XT, que visa inutilizar um telemóvel roubado e restringir o acesso aos dados contidos na sua memória. Após a participação do roubo, é emitido um sinal dirigido ao telemóvel que desactiva o acesso à informação e, adicionalmente, força o equipamento a gerar um sinal de alarme.
Mais informação na BBC em http://news.bbc.co.uk/2/hi/technology/5397602.stm
... é o título duma reportagem EXPRESSO que irá ser publicada amanhã, 7 de Outubro, e que analisa um conjunto de ameaças e algumas situações reais vividas por jovens que utilizam, entre outros serviços, os sistemas de mensagens instantâneas, e.g. MSN.
Na página do semanário podemos ler o seguinte excerto:
"O fenómeno ainda não ganhou contornos alarmantes, mas só em Setembro, duas jovens fugiram de casa para ir ter com estranhos que conheceram na Net. Uma regressou uma semana depois, a outra foi resgatada pela Polícia Judiciária na casa do namorado.
A Net comporta os seus riscos. Que o digam Helena e ‘Isabel’, duas irmãs de Almada, que aceitaram a entrada de estranhos no seu grupo do Messenger (MSN).
A mais velha, Helena, chegou a encontrar-se no Centro Comercial Vasco da Gama, com um desconhecido que conhecera «on-line», duas semanas antes. No dia do encontro descobriu que ele afinal não se chamava João, não tinha 20 mas mais de 30 anos, e depois de uma breve conversa de circunstância, perguntou-lhe se podiam falar de sexo. Ela fugiu, mas ele continuou a persegui-la.
A mais nova, ‘Isabel’, foi assediada durante semanas por um colega da escola que lhe enviava mensagens sexualmente explícitas para o MSN. Como ela lhe dava negas, ele vingou-se, espalhando pela Net que ‘Isabel’ alinhava nas suas aventuras. A rapariga de 13 anos foi vítima de cyberbullying – um fenómeno que alastra nos liceus do Reino Unido e começa a aparecer agora em Portugal e se traduz pelo uso das novas tecnologias, como a Net ou os telemóveis de 3.ª Geração, para aterrorizar e enxovalhar colegas de escola."
-- Hugo Franco in EXPRESSO, disponível em http://www.expresso.pt/Artigo/?id=370240.
Recomenda-se a leitura integral (!)
... uma palestra dedicada ao tema da privacidade que foi patrocinada pela Universidade da California do Sul, encontra-se disponível na integra, em formato MP3, no seguinte endereço: http://centeronpublicdiplomacy.com/podcasts/060928_schneier.mp3.
Recomenda-se (!)
Encontrei um artigo na Technet da Microsoft que elabora sobre as 10 Leis Imutáveis da Segurança. Embora o artigo já tenha algum tempo, verifico ainda hoje que as leis são, de facto, imutáveis.
Neste apontamento vou apenas nomeá-las; as próximas notas irão detalhar o significado de cada uma, adaptado de acordo com o que me parece mais relevante, à realidade actual e às especificidades da computação pessoal. E as leis são as seguintes:
#1. Se alguém mal-intencionado nos convencer a correr um programa no nosso computador, o controlo sobre esse computador já não é nosso.
#2. Se alguém mal-intencionado alterar ou reconfigurar o sistema operativo no nosso computador, o controlo sobre esse computador já não é nosso.
#3. Se alguém mal-intencionado tiver acesso físico ao nosso computador, o controlo sobre esse computador já não é nosso.
#4. Se permitirmos que alguém mal-intencionado transfira programas para o nosso servidor web, o controlo sobre esse servidor já não é nosso.
#5. Passwords fracas fragilizam um sistema de segurança forte.
#6. A segurança dum computador depende da competência e do grau de confiança em quem o gere.
#7. A segurança de documentos cifrados depende da robustez e da protecção das chaves.
#8. Um sistema antivírus desactualizado não oferece protecção.
#9. O anonimato absoluto não é possível, nem no mundo físico nem na Internet.
#10. A tecnologia não é uma panaceia.
Os acidentes acontecem. Os azares acontecem. Os ataques aos nossos sistemas, provocados de forma intencional e personalizada ou, os mais prováveis, provocados por vírus ou programas maliciosos sem alvos predefinidos, também estes, acontecem.
Podemos utilizar sistemas de segurança muito sofisticados, vigilância permanente e tudo o que conseguirmos imaginar. Mesmo assim, naquele dia, àquela hora, vai acontecer o pior: a máquina será comprometida, já nem vai arrancar, e os nossos documentos, músicas e fotografias vão acabar por se perder, com um ar que se lhes deu…
E agora? Podemos comprar um computador novo, podemos reinstalar os programas, podemos reforçar a segurança. Mas, se não tivermos cópias dos nossos ficheiros, só com muito custo e muito tempo conseguiremos recuperá-los – e nem sempre conseguimos! A resposta? Cópias de Segurança: copiar regularmente a informação que consideramos importante para CDs ou DVDs ou outros dispositivos externos. E guardá-los bem guardados ; )
Esta é a única forma de garantirmos a recuperação.
Ross Anderson. Professor de Segurança Informática na Universidade de Cambridge, Ross Anderson publicou há alguns anos um dos livros de referência sobre esta temática: Security Engineering – A Guide to Building Dependable Distributed Systems. Publicado pela Wiley, este livro contém um dos melhores textos sobre o problema da realização de sistemas distribuídos complexos que, apesar disso, podem e devem ser estruturados de forma a garantir a qualidade e a segurança dos diversos componentes e, em última análise, da sua composição.
Até há pouco tempo esta obra encontrava-se disponível exclusivamente em formato físico mas a Wiley, em resposta à solicitação de Ross, tornou público o acesso via Internet a todos os capítulos.
Uma obra indispensável para profissionais, com carácter técnico, mas de leitura acessível para todos os que sintam interesse sobre este tema. Encontra-se em http://www.cl.cam.ac.uk/~rja14/book.html
Um apontamento interessante sobre a [ir]relevância das acções de consciencialização em segurança. O autor argumenta que, para aumentar o nível de segurança na utilização de computadores, independentemente das medidas que visam a educação das pessoas, é imperativo reforçar a qualidade dos produtos que são comercializados e que, nesse sentido, deve ser exercida pressão sobre as empresas que os produzem.
No blog de Bruce Schneier em http://www.schneier.com/blog/archives/2006/08/educating_users.html
Uma das burlas mais frequentes na Internet e com efeitos mais imediatos designa-se por Phishing. Esta burla consiste no envio de mensagens por correio electrónico, habitualmente em nome duma entidade financeira, que visam conduzir os destinatários a divulgar os seus códigos de acesso bancários.
As mensagens procuram transmitir a necessidade de alterar os códigos rapidamente, alegando razões de segurança ou a urgência em confirmar alguma coisa muito importante. Na prática, ao seguir as instruções que são descritas na mensagem, somos conduzidos a um espaço que imita o espaço original da instituição mas que, naturalmente, é falso. Se introduzirmos as nossas credenciais e códigos secretos nesse espaço, estaremos a transmitir essa informação a outras pessoas – que não estão relacionadas com a instituição financeira – e que irão realizar movimentos em nosso nome para outras contas.
Existem diversas recomendações sobre este tema mas neste apontamento gostaria de deixar apenas uma – aquela que me parece mais eficaz e que considero a regra de ouro: Nunca apresentar códigos de acesso a nenhuma entidade, sempre que nos sejam solicitados na sequência de uma mensagem electrónica. Nunca. Mesmo que a mensagem nos pareça autêntica... Nunca!
A proliferação de programas que visam espiar as nossas actividades online e offline é cada vez maior. Estas aplicações, genericamente designadas spyware, podem ser programadas para atingir diferentes objectivos, desde a caracterização das nossas preferências online, passando pela transmissão ilícita de alguns dos nossos documentos ou fotografias, até à captura e transmissão dos dados que introduzimos através do teclado. Existem até programas que funcionam como verdadeiros Cavalos-de-Tróia que servem, entre outras finalidades, para iniciar ataques a outros sistemas a partir do nosso computador.
Há neste momento diversos programas que detectam e eliminam estes espiões – aplicações anti-spyware. Do conjunto de produtos disponíveis, destacam-se dois: o primeiro, produzido pela Lavasoft, designa-se Ad-Aware e encontra-se em http://www.lavasoft.com; o segundo, Spybot – Search & Destroy, desenvolvido por uma equipa de programadores independentes, está disponível em http://www.safer-networking.org.
Os ataques desta natureza não tendem a diminuir; pelo contrário, a diversidade e complexidade estão a aumentar. Neste contexto, não podemos ignorar a ameaça e a utilização de uma destas aplicações é, cada vez mais, imperativa.
Apesar da importância dos códigos de acesso, verifica-se que, na prática, as pessoas tendem a escolher passwords muito simples e reutilizam-nas nos contextos mais diversos, i.e. escolhem e memorizam uma única chave e associam-na a espaços tão distintos (e com diferentes graus de importância) como o correio electrónico, por um lado, e a contas de acesso a instituições financeiras, por outro.
Bem, mas qual é o problema? A questão central é que o risco e os controlos de cada uma destas organizações são diferentes e, se esta chave for descoberta, o acesso a TODOS os sites será automaticamente descoberto.
Para mitigar este risco, utilizando chaves complexas e distintas para todas as contas, existem várias técnicas que, só por si, justificavam um artigo de várias páginas. No entanto, para tornar este apontamento muito objectivo, a que proponho para hoje é a utilização de um programa para gestão de passwords: PasswordSafe, originalmente escrito por Bruce Schneier, pode ser encontrado na rede em http://passwordsafe.sourceforge.net. (nota: a apresentação desse espaço é inversamente proporcional à qualidade do programa ; ) )
A escolha desta ferramenta considera, por um lado, a qualidade e as funcionalidades disponíveis e, por outro lado, a particularidade de poder ser utilizada numa caneta USB para garantir a mobilidade.
Tinha prometido que iria evitar escrever sobre detalhes técnicos que fossem especialmente complexos, mas não resisto a apresentar este vídeo que, um pouco em oposição aos objectivos deste espaço, descreve um conjunto de técnicas que visam explorar vulnerabilidades em sites na Internet: para quem tenha interesse em aprender algumas das formas de ultrapassar os controlos de segurança que [ainda] vão evitando o acesso ilegítimo ao interior das aplicações web, patrocinado pelo Google e com uma duração de cerca de hora e meia, How to break web software, disponível em http://video.google.com/videoplay?docid=5159636580663884360&hl=en
A Microsoft preparou um pequeno conjunto de recomendações para proteger um computador portátil quando é transportado em viagem. O artigo inclui recomendações sobre controlos muito simples e que podem ser facilmente adoptados. A versão portuguesa está disponível em http://www.microsoft.com/portugal/athome/security/privacy/ontheroad.mspx?pf=true.
Em relação à protecção da informação, estas recomendações apresentam o Encrypted File System (EFS) como mecanismo de cifra de dados. Alternativamente, e apenas enquanto sugestão, vale a pena avaliar as características de outros sistemas de cifra, e.g. um programa específico como o TrueCrypt (http://www.truecrypt.org) cujas funcionalidades incluem, entre outras, a possibilidade de proteger ficheiros em Canetas USB (para além, naturalmente, dos dados residentes no disco rígido interno).
Periodicamente são publicadas actualizações de segurança dos programas que utilizamos nos nossos computadores. Estas actualizações são publicadas em resposta à descoberta de vulnerabilidades nos produtos as quais, se forem exploradas de forma maliciosa, podem comprometer a segurança dos computadores e a confidencialidade da nossa informação.
A Microsoft lança mensalmente um conjunto de actualizações dos seus produtos, nomeadamente, das diversas versões do Windows e do Office. As correcções de Agosto já foram publicadas.
Para actualizar estes produtos de forma semi-automática, deve dirigir-se ao Windows Update, disponível em http://update.microsoft.com. Alternativamente, para activar a actualização automática, e.g. no Windows XP, active o Painel de Controlo, seleccione o Centro de Segurança e active a opção Actualizações Automáticas.
Ao contrário do que supunha inicialmente, o tempo e a disponibilidade mental para produzir artigos de fundo são escassos e, avaliando o resultado do que foi escrito desde o início desta iniciativa – nada – o modelo previsto no início não funciona.
Assim, vou tentar um modelo diferente com a publicação de apontamentos mais resumidos mas que, ainda assim, possam contribuir para divulgar os novos riscos e controlos que vão sendo descobertos e inventados.
Espero que, desta vez, o resultado seja melhor ; )
Ao longo dos últimos anos, o número de pessoas que utilizam computadores e acedem regularmente à Internet cresceu exponencialmente. Em simultâneo, aumentou também o número de ataques dirigidos a esses equipamentos e, por consequência, à integridade e confidencialidade da informação processada, transmitida e/ou guardada no seu interior. Os ataques que, outrora, visavam apenas a deterioração do desempenho dos computadores ou a apresentação de mensagens inofensivas, transformaram-se e constituem hoje ameaças sérias à segurança e privacidade individuais.
Um exemplo: têm sido transmitidos, em grande volume, programas de espionagem que registam os dados introduzidos no teclado e os enviam pela Internet para indivíduos ou organizações criminosas. A transmissão desses programas faz-se normalmente através de correio electrónico, ao qual está associada uma mensagem sugestiva, que convida o destinatário a abrir, por exemplo, uma animação ou um vídeo interessante. O resultado da abertura desses anexos é a instalação permanente do programa. A partir desse momento, o programa mantém-se activo e, sempre que sejam introduzidos dados confidenciais, e.g. códigos de acesso bancário, essas credenciais serão comprometidas, transmitidas para o exterior e posteriormente utilizadas para fins ilícitos, nomeadamente, para movimentação de valores para outras contas.
Mais exemplos: através de configurações incorrectas de partilha de ficheiros ou pela simplicidade dos códigos de acesso (passwords), pode ser facilmente obtido acesso remoto a dados pessoais guardados no computador, e.g. mensagens de correio electrónico, documentos ou fotografias. Esta informação pode ser posteriormente utilizada em acções de chantagem, roubo de identidade ou simplesmente transmitida para grupos privados, muitas vezes associados a actividades ilegais, e.g. se forem obtidos números de cartões de crédito, serão vendidos em mercados paralelos; se forem obtidas fotografias de crianças, serão enviadas para redes de pedofilia. Ainda neste âmbito, outra questão preocupante que não pode ser descurada: a utilização de sistemas de mensagens instantâneas por crianças, se não forem acompanhadas e não tiverem controlos adequados, pode conduzi-las a fornecer informação de identidade e localização geográfica que pode ser utilizada, novamente, por pessoas ligadas a redes de pedofilia.
Quantas pessoas sabem que o correio electrónico e as mensagens instantâneas, enquanto estão em trânsito, podem ser lidas e alteradas antes de chegar ao destino? E que o endereço do remetente pode ser facilmente forjado? Saberão distinguir uma mensagem original enviada, por exemplo, por uma instituição governamental ou financeira, de outra mensagem que é apenas uma burla? Haverá consciência que estas situações já se concretizaram?
A lista de ameaças é extensa e não está no âmbito desta apresentação identificá-las todas. No entanto, é importante apresentar um último exemplo, neste caso para ilustrar uma forma simples de perda de privacidade: todos os serviços na Internet registam o acesso às suas páginas e incluem dados transmitidos pelos programas de navegação, e.g. Internet Explorer ou Firefox. Esta informação, geralmente despersonalizada, permite inferir escolhas e padrões de comportamento porque os dados enviados pelos navegadores têm características únicas que permitem identificar, univocamente, o computador a partir do qual são feitos os acessos. Desta forma, ao longo de visitas sucessivas, vai sendo construído um perfil que, embora seja anónimo, pode incluir, entre outros detalhes, as páginas mais observadas, as horas dos acessos e, em alguns casos, a localização geográfica da origem. Esta construção, tal como foi descrita, não constitui, por si só, uma perda de privacidade. No entanto, se em alguma visita forem transmitidos alguns dados com carácter pessoal, e.g. ao subscrever uma publicação registando o endereço de correio electrónico ou ao efectuar um registo numa loja virtual, então, a partir desse momento, toda a caracterização que foi silenciosamente associada a um perfil (que era anónimo) passa a ter um identificador ou até mesmo um nome: o seu.
Apesar dos riscos, a agressividade das campanhas que promovem a adesão à Internet não está a ser acompanhada, infelizmente, por acções de consciencialização para as novas ameaças: as poucas campanhas que têm sido promovidas são insuficientes e, sobretudo, pouco eficazes. É necessário consciencializar as pessoas para os riscos e, acima de tudo, para os controlos que têm que gerir para garantir a sua segurança e privacidade. Existe um conjunto mínimo de controlos que deve estar activo e uma cultura de gestão da segurança que deve ser interiorizada. Nesse sentido, para garantir a motivação, é fundamental compreender que a utilização de computadores pessoais e, em particular, a Internet, apesar de criarem um ambiente virtual e expandirem a nossa capacidade de conhecer e comunicar com o mundo, não o transformam: tornam-no apenas mais acessível. E não se pode permitir que a virtualização sobreponha um manto de ilusão: as características humanas, as melhores e as piores, são as mesmas em todos os canais de comunicação.
porto 22. É neste contexto, em que há necessidade de reforçar a promoção da segurança, que surge agora o porto 22: um espaço alternativo e independente, que visa a divulgação e discussão desta temática, dirigido a todas as pessoas, focando o papel que nos cabe individualmente e apresentando os conteúdos de forma simples, sugerindo abordagens para mitigar os riscos mas evitando detalhes técnicos difíceis de apreender.
Concretamente, os objectivos desta proposta são os seguintes:
(a) difundir e descrever de forma clara as ameaças e os riscos associados aos vectores de ataque actuais e a outros que vão surgindo no futuro;
(b) apresentar e promover a discussão de formas simples de reduzir o risco através de controlos eficazes e fáceis de usar;
(c) divulgar notícias e referências relevantes no domínio da privacidade e segurança da informação.
Nesse sentido, o porto 22 tentará apresentar artigos de fundo com uma frequência mensal e, ao longo de cada mês, sempre que surjam novidades relevantes, serão publicados pequenos apontamentos e referencias para outras publicações, nacionais e internacionais.
Neste ponto, torna-se importante frisar que este espaço não tem a pretensão de formular verdades absolutas e, naturalmente, de acordo com os objectivos propostos e em face da complexidade do tema, a discussão dos artigos é central para captar novos ângulos, enriquecer o conhecimento e promover o desenvolvimento de novas aproximações a um problema. O porto 22 apresenta-se como um local de reflexão sobre a temática da segurança mas é, também, um convite à participação individual e está sempre aberto para receber sugestões sobre novos temas, abordagens e questões que sejam relevantes neste domínio.
Miguel Almeida. Profissional de segurança e gestão do risco de sistemas de informação. No âmbito desta actividade, tive oportunidade de participar em diversas iniciativas que, no contexto de organizações de grande dimensão, visaram avaliar e reforçar os controlos técnicos e os processos de segurança da informação. Ao longo do tempo, tenho acompanhado a evolução dos ataques, das técnicas de defesa e dos processos de controlo. Essa experiência permitiu-me elaborar um conjunto de conclusões, das quais destaco a seguinte: independentemente do esforço e do investimento em tecnologia, enquanto os riscos não forem compreendidos e a necessidade dos controlos não for assimilada, todos os modelos de segurança serão vulneráveis e o elo mais fraco será sempre o mesmo: as pessoas. Nas palavras de um grande especialista: “If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology.” — Bruce Schneier.
Partindo desta conclusão, decidi tomar esta iniciativa e procurar divulgar, da forma mais simples que for possível, um conjunto de ideias que possam, de facto, contribuir para reforçar o conhecimento e as práticas de segurança individuais. Resta-me apenas ressalvar que, as opiniões que for publicando, não reflectem posições oficiais de nenhuma empresa onde tenha colaborado, no passado, nem no presente: os artigos reflectem opiniões exclusivamente pessoais. As minhas.
22? Finalmente, depois do enquadramento e da apresentação, porquê o 22? Bem, esta é uma pequena idiossincrasia: vai ficar para a vossa imaginação :)substantivo masculino
1. sítio de uma costa ou de um rio onde os navios podem fundear;
2. lugar onde se embarca ou desembarca; ancoradouro;
3. figurado lugar de descanso;
4. figurado refúgio; abrigo;
5. vinho do Porto;
figurado porto de salvamento termo feliz de uma viagem ou de qualquer empreendimento acidentado;
porto franco porto de entrada livre, sem pagamento de direitos;
figurado chegar a bom porto terminar algo com sucesso;
(Do lat. portu-, «id.»)
-- infopédia
Miguel Almeida
mjnalmeida@gmail.com
Schneier on Security
¿Quién vigila al vigilante?
Comunidade ISMS PT
maio 2006
junho 2006
agosto 2006
setembro 2006
outubro 2006
novembro 2006
dezembro 2006
janeiro 2007
fevereiro 2007
abril 2008
maio 2008
junho 2009