ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 1

ANTEBELLUM006Março e Abril de 2009

Payment Card IndustryData Security StandardAs Vulnerabilidades no POSPara inglês ver?Conformidade: por onde começar?ISO/IEC 15.408 não é para desenvolvimento seguro

E ainda:Terceirização: Uma análise do ponto de vista de Segurança da InformaçãoMicrosoft Forefront Threat Management Gateway (TMG)Segurança da Informação em Tempos de Crise Você está preparado para o CISSP?Segurança no Windows 7A Privacidade como Limitador do Monitoramento Digital

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 2

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 3

Carta do PresidentePor Anchises M. G. de Paula

O ano passado foi marcado por muitas realizações da ISSA Brasil e o ano de 2009 não vai ser diferente. Em 2008 participamos ativamente do dia-a-dia dos profissionais de segurança da informação através de diversas atividades, como os ISSA Days mensais, o Grupo de Estudos CISSP e com o apoio a diversos eventos de destaque como o CNASI, o GRC Meeting, o CertiForum, o You Shot Sheriff, entre outros. Criamos o ISSA Brasil Awards e lançamos a revista Antebellum, com cinco edições digitais e um número impresso. Essas atividades só foram possíveis com o apoio de diversas empresas líderes no segmento de Segurança da Informação.

Para este ano estamos planejando focar ainda mais nossas ações nos associados, para trazer um maior valor agregado a associação e mais benefícios, como serviços e conteúdos relevantes ao seu desenvolvimento profissional.. Queremos que os associados ativos da ISSA sejam nossa prioridade e, por isso, ao mesmo tempo que criamos novas atividades e trazemos mais benefícios, decidimos que vamos restringir algumas atividades exclusivamente para os profissionais que acreditam na associação e participam dela. Acredito que 2009 será o ano marcado pelo forte impacto da crise econômica no mercado e no nosso dia-a-dia, mas ao mesmo tempo pela crescente valorização da segurança da informação pelas empresas. A profissionalização do cyber crime e as demandas regulatórias estão pressionando fortemente as empresas, que já estão sensíveis a necessidade de investimento em segurança e de mão de obra especializada na área.

Na ISSA, 2009 será marcado pela preocupação com o associado e por ações inovadoras. Esta é a nossa primeira edição temática da Antebellum, e também já começamos produzindo uma versão dela impressa, graças ao apoio da CLM, uma empresa que tem nos apoiado frequentemente. Esta edição será distribuída em nossos encontros. A escolha do PCI como tema central também não poderia ser mais propícia. Por uma infeliz coincidência, no começo deste ano foi divulgado aquele que pode ser o maior roubo de cartões de crédito em toda a história, ocorrido na empresa Heartland, a sexta maior processadora de transações financeiras dos Estados Unidos. Esse incidente pode chegar a milhões de dados capturados através de sniffers instalados em servidores comprometidos.

Porém, a Heartland era certificada PCI, o que motivou alguns questionamentos sobre a eficácia da certificação. A resposta pode ser aquela famosa frase de que nenhuma solução é 100% segura. O PCI é uma forma de garantir que um conjunto mínimo de controles e processos existem, mas ele, por si só, jamais conseguirá proteger contra todas as potenciais ameaças as quais uma organização está exposta. Esse é o dilema do profissional de SI: temos que nos proteger de todos os possíveis ataques existentes ou que venham a ser inventados, enquanto ao “hacker” basta encontrar uma única brecha.

Sobre a ISSA

A ISSA® (Information Systems Security Association) é uma organização internacional sem fins lucrativos formada por profissionais de segurança da informação. Ela promove eventos

educacionais, publicações e a interação entre os profissionais, proporcionando ganhos de conhecimento, troca de experiências e evolução na carreira de seus associados. O Capítulo São Paulo foi criado em 2003 e está atualmente em sua terceira gestão, eleita em 2008, com os seguintes Officers:

‣ Presidente: Anchises Moraes G. de Paula

‣ Vice-Presidente: Willian Okuhara Caprino

‣ Diretor de Comitês: Rodrigo Montoro

‣ Diretor de Comunicação: Fernando Fonseca e Lucimara Desiderá (suplente)

‣ Diretor de Educação e Conteúdo: Ronaldo C. de Vasconcellos

‣ Diretor de Eventos: Wagner Elias

‣ Diretor Financeiro, Parcerias e Relacionamento: Dimitri Abreu

‣ Diretor Jurídico: Dr. Renato Opice Blum e Dr. Rony Vainzof

(suplente)

‣ Diretor da Regional Sul: Eduardo V. de Camargo Neves

‣ Secretario: Paulo Teixeira

Como se associar

A associação é sempre feita através do site da ISSA Internacional, onde está disponível o formulário de inscrição on-line. Para se

associar, vá no menu “Join ISSA” e escolha a opção “Join Now”. É importante lembrar que, no momento da inscrição, deve-se indicar que deseja fazer parte do capítulo local (“Chapter Brasil-SP”) para usufruir dos benefícios oferecidos aqui no Brasil, além daqueles oferecidos pela ISSA Internacional, que podem sempre ser

verificados em nosso web site.

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 4

AntebellumA Revista Eletrônica Bimestral da ISSA Brasil | Edição 006, janeiro e fevereiro de 2009

Expediente‣ Editor: Eduardo Vianna de Camargo Neves

‣ Revisão: Anchises Moraes

‣ Jornalista Responsável

‣ Cristina Turnes, MTb DF 4341/83, Contatos pelo site

www.ctcom.com.br

Submissão de Material Convidamos a todos para contribuir com a comunidade de

Segurança da Informação submetendo artigos, tutoriais ou estudos

de caso para publicação. O material deverá ser inédito e o autor assumir o compromisso de manter a publicação restrita a Antebellum pelo período de 60 dias, após o qual poderá disponibilizar para o público em geral. Os interessados deverão

enviar o material para conteudo@issabrasil.org.

Disclaimer As informações apresentadas nesta revista não foram submetidas a um teste formal e não devem ser interpretados como soluções. As opiniões expressas não refletem a opinião da ISSA ou ISSA

Capítulo Brasil. Os nomes de produtos e marcas registradas são de propriedade de seus respectivos donos. Todas as fotos são de arquivo pessoal dos autores, quando não especificado em contrário.

Antebellum 006

Nesta Edição

...........................................................................................................................................................................Noticias do Mercado Página 06

....................................................................................................................................................................................Para inglês ver? Página 07

.................................................................................................................................................................Vulnerabilidades em POS Página 09

...................................................................................................................................................Conformidade: por onde começar? Página 12

....................................................................................Terceirização: Uma análise do ponto de vista de Segurança da Informação Página 14

.....................................................................................................................ISO/IEC 15.408 não é para desenvolvimento seguro Página 16

.............................................................................................................Microsoft Forefront Threat Management Gateway (TMG) Página 19

...............................................................................................................................Segurança da Informação em Tempos de Crise Página 22

.................................................................................................................................................Você está preparado para o CISSP? Página 23

.................................................................................................................................................................Segurança no Windows 7 Página 24

.............................................................................................................A Privacidade como Limitador do Monitoramento Digital Página 26

...........................................................................................................................................................................Atividades da ISSA Página 27

.............................................................................................................................................Off Line: o Lado Relax da Segurança Página 29

.......................................................................................................................................................................................Worst Cases Página 31

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 5

Carta do EditorPor Eduardo Vianna de Camargo Neves

Caros Leitores,

O assunto PCI é um grande mistério para a maioria dos profissionais da nossa área, não pode ser complicado, o que não

é, mas pelo fato de que é um padrão que tem sido aplicado com sucesso nos mercados norte-americano e europeu há alguns anos, e na América Latina tem tentado entrar pelo menos desde

2007 sem sucesso. Apesar de algumas empresas estarem alinhados aos seus controles - especialmente filiais de multinacionais - não tenho visto grande pressão explícita das

operadoras de cartão para que a sua implementação seja maciça. Ainda assim, o assunto tem crescido aos poucos no nosso mercado, e há quem aposte que 2009 é o ano em que o PCI DSS e suas variantes irão aportar com força na rotina das

empresas brasileiras.

Esta edição aborda alguns pontos de vista sobre o padrão, onde matérias que vão do entendimento da sua aplicação ao

questionamento de sua eficiência como controle estabelecido são apresentados para que cada um tire suas conclusões.

A próxima edição está sendo preparada, e pretendemos abordar um tópico que ganha mais e mais importância no cenário

mundial: a segurança de aplicações. Além do próprio PCI Council ter o Payment Application Data Security Standard - veja a matéria da Jennia Hizver questionando - existem

organizações em todos os setores que trabalham para aplicar controles que reduzam as perdas decorrentes da exploração de vulnerabilidades tão presentes na mídia especializada como o

Cross Site Scripting e o SQL Injection.

Tentaremos ainda trazer entrevistas com profissionais que trabalham neste mercado, já maduro no exterior, há alguns anos, e apresentar artigos técnicos e gerenciais na mesma proporção.

Estamos esperando a sua contribuição para esta próxima Antebel lum, mande seus art igos e trabalhos para revista@issabrasil.org e mostre a cara dos especialistas em

segurança de aplicação do Brasil.

Por enquanto, aproveite mais essa edição feita especialmente para vocês. Até a próxima e tenha uma boa leitura.

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 6

O que aconteceu

Seu código é seguro?A empresa norte-americana de processamento de cartões de crédito,

Heartland Payment Systems, sofreu uma brecha no ano passado, que pode ter sido o maior vazamento de dados deste mercado. A causa? De acordo com a matéria, um software malicioso dentro da

rede de dados, que capturava os dados dos cliente e ... você pode imaginar o que acontecia. Link em http://tinyurl.com/8mnjb5

Vídeos do YSTS 2.0

Os vídeos das palestras apresentadas no evento YSTS 2.0 estão

agora disponíveis on line em http://tinyurl.com/9ly4pc.

Ataque contra a NASA

A NASA sempre foi uma espécie de alvo de aspirantes a hackers, mas dessa vez o ataque pode ser muito mais perigoso, uma vez que utilizou um malware para o roubo de informações específicas sobre

o Ônibus Espacial, enviando para um computador em Taiwan. Link em http://tinyurl.com/5h4re8.

Adeona Acha

Adeona é o primeiro sistema Open Source designado para ajudar a

localizar um notebook roubado mas que não depende de uma empresa ou serviço centralizado. Focado em privacidade, o sistema promete que somente o dono do notebook (ou um agente por ele

designado) pode saber do paradeiro do equipamento. Link em http://tinyurl.com/6jfgdd

Mais sobre Open Id

OpenId é um padrão de autenticação já utilizado por mais de 27.000 sites web. Este site se propõe a explicar como este padrão

funciona e por que utiliza-lo. Link em http://openidexplained.com

DNSSEC

O DNS é o sistema que transforma endereços IPs em nomes, facilitando a interação entre computadores e seres humanos. Com

mais de 30 anos, o padrão tem se mostrado cada vez mais frágil e vulnerável a ataques, como os divulgados amplamente em 2008. O

DNSSEC verifica mensagens DNS com assinaturas digitais. Segundo o Registro.br, desde 15/01/2009 o serviço DNSSEC está disponível para todos os domínios abaixo do .br. Link em http://tinyurl.com/8zhgot

iPhone Culpado?

Homem culpa falha no iPhone por traição. Um tópico aberto no fórum da Apple relata um incidente inusitado. Uma mulher, que suspeita estar sendo traída por seu marido, queria saber: uma falha

poderia ter sido responsável pelo envio de uma foto pornográfica de seu marido a outra mulher? No tópico aberto, Susan queria tirar a dúvida e saber se seu marido estava falando a verdade. No

desespero, o homem afirmara inclusive ter visitado um técnico da Apple Store para confirmar a existência da falha que, segundo ele, anexou a foto a um e-mail, endereçou a outra mulher e armazenou a mensagem na pasta de "itens enviados". Entre as respostas, a

maioria declarava o óbvio: Susan estava sendo traída. Alguns a aconselharam a procurar um advogado, outros mais curiosos buscavam saber mais sobre o caso. E alguns usuários tentavam

salvar a pele do acusado de traição, dizendo já terem visto a falha... Link em http://tinyurl.com/6n2yvx

GHH

Para combater a busca de informações sobre os alvos durante antes

de ataques pela Internet, o Google lançou o Google Hack Honeypot. Veja como funciona em http://tinyurl.com/2ovmsq.

Os “Tweets” do mal?

Primeiro foi o efeito Slashdot que derrubava web sites pequenos, que teve suas variações como o Efeito Digg e Efeito TechCrunch. A

bola da vez é o passarinho azul? Veja em http://tinyurl.com/avdl9o.

How we hacked ShmooCon

O título da chamada fala por si só. Veja como foi feito em http://

tinyurl.com/b9amn9.

O que a NSA acha do Skype?

A notícia tem todos os ingredientes de teoria da conspiração, mas está em http://tinyurl.com/a9hn2n.

Notícias do MercadoPor Equipe Podcast I Shot the Sheriff

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 7

Dentre as muitas expressões que sempre estão na boca do povo brasileiro, uma em especial possui uma relação estreita com a forma pela qual nosso povo se relaciona com normas e regulamentações: trata-se do famoso "para inglês ver". Esta expressão é usada desde a

época em que a Inglaterra, detentora de forte influência em nossa política, pressionava o governo brasileiro no sentido da libertação dos escravos.

Por sua vez, as autoridades brasileiras emitiam decretos que em tese atendiam à pressão inglesa, mas que, no entanto possuíam pouco efeito prático. Na maioria das situações dava-se um "jeitinho" e tudo

permanecia como estava. A situação dos escravos somente foi resolvida por completo a partir do momento em que esta condição política se tornou insustentável. De lá para cá, muito se legislou e ainda nos deparamos com indícios de que muitas regulamentações

sejam elas padrões, leis ou normas, são mesmo só "para inglês ver" e que o "jeitinho brasileiro" infelizmente é o que domina nossa vida na prática.

Entretanto, também não é de hoje que alguns setores do mercado se esforçam no sentido de definir e respeitar determinadas regras, reconhecendo que esta atitude deve ser inerente à competitividade.

Desta forma, apesar de todas as dificuldades, muitas companhias brasileiras vem adequando seus ambientes a diversos padrões ou normas com o objetivo de entrar (ou se manter) no jogo do mercado.

O PCI DSS, padrão do qual muito se têm falado no mercado de segurança e que é o assunto desta edição da Antebellum, encontra em sua aplicação nas empresas do Brasil um cenário complexo de

desigualdade envolvendo empresas com tamanhos diversos e em lugares com os mais variados níveis de maturidade no que tange ao uso de tecnologia e gestão de segurança da informação. De modo

geral, entendo que a sua implementação neste cenário possui a mesma proporção de dificuldades e oportunidades.

Dificuldades

As dificuldades residem basicamente na parte ruim daquilo que formou o mercado brasileiro: o pensamento antiquado segundo o

qual uma empresa é soberana em sua atuação no mercado; A baixa dedicação nos assuntos que envolvem organização, padronização de processos e gestão dos assuntos de segurança; A vida corporativa

baseada em acordos e maneiras informais de conduzir o trabalho.

Tenho conhecido muitas empresas em minha jornada com o objetivo de fomentar a conformidade ao PCI DSS no Brasil e um

pensamento com o qual muitas vezes tenho me deparado nas

empresas que visito é a de que estas acred i tam que pos suem to ta l soberania sobre a sua atuação no mercado. De que o ciclo que envolve

fornecedores, empresa e cliente possui total controle.

Embora isto possa ser óbvio para a maioria dos leitores desta revista,

alguns representantes de empresas brasileiras ainda não entendem que basta olhar de uma maneira mais geral para o mercado dos dias de hoje para entender que este é atualmente formado por diversas

redes de dependência nas quais os "papéis" de fornecedores e clientes se misturam e as vezes os primeiros chegam a ter influência nos rumos do segundo . Esta é uma das características presentes no que Thomas Friedman chama "mundo plano". Quando passamos a

analisar o fluxo de informações que trafegam nestas redes de dependência o cenário fica ainda mais complexo. Por isso hoje torna-se necessário a estas empresas não somente se concentrar nos

limites de suas paredes, mas sim colocá-la no contexto de um sistema complexo de dependências.

Outra pedra no caminho para a aderência ao PCI DSS é que o

padrão exige um nível de organização e padronização de processos sobre os quais não existe qualquer dedicação em boa parte do mercado, principalmente quando olhamos para o varejo, um dos setores-alvo do padrão. Ter uma gestão dos assuntos de segurança

da informação nestas empresas também é um aspecto ao qual geralmente é dedicado pouca ou nenhuma atenção.

Por último, e em minha opinião a dificuldade mais importante à

aderência do PCI DSS no Brasil, é o elevado nível de informalidade que contamina a vida corporativa. De acordo com o antropólogo Roberto DaMatta a incidência do "jeitinho" pode ser encontrada

em diversos países do mundo, mas somente no Brasil este comportamento se torna um valor, de maneira que aquele que resolve as coisas com "jeitinho" é o "malandro" e o que respeita as "regras do jogo" é o otário. Desta forma, quando olhamos para a

forma pela qual nossos políticos lidam com as questões do estado, estas se tornam somente um reflexo da maneira que vivemos em sociedade. No que se refere à aderência a normas e padrões,

sobretudo ao PCI DSS, não é possível ter vários pesos e várias medidas: é preciso estar de acordo com os controles e aqui o "jeitinho brasileiro" não pode ser aplicável.

Oportunidades

Mas nem tudo está perdido. A aderência ao PCI DSS não é a solução para todos os males, mas pode ajudar as empresas a

Para inglês verPor Carlos Cabral

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 8

curarem feridas abertas há muito tempo. O padrão compreende a visão na qual os dados de portador de cartão podem ser trafegados, processados ou armazenados em uma estrutura complexa que contemple as redes de dependência presentes no mercado atual. Por

contemplar este tipo de estrutura, a adequação ao padrão obriga todos os atores da cadeia a estarem em conformidade, o que eleva o nível de segurança do mercado como um todo.

Atualmente nosso país vive uma situação econômica inédita na qual, embora o mundo esteja em crise, o crescimento possui números nunca vistos antes. Para mantermos o ritmo é necessário que as

empresas se organizem e sabemos que quanto mais uma empresa se organiza, mais ela reduz os seus custos e dinamiza sua atividade, o que proporciona aos seus executivos um horizonte mais favorável a boas decisões. Se o motivador desta organização for um padrão de

segurança reconhecido internacionalmente, todo o ciclo envolvendo redução de custos, dinamismo e proteção dos ativos se fecha, de maneira a colocar a empresa em pé de igualdade na competição

internacional. Em outras palavras, a aderência ao PCI DSS pode ser um dos fatores de modernização de uma companhia, não deixando nada a dever à concorrência internacional em um cenário tão

conturbado, mas com tantas oportunidades ao mercado brasileiro quanto o atual.

Existem aqueles que dizem que o "jeitinho" e este elevado nível de informalidade presentes em nossa sociedade são os pais da

criatividade internacionalmente reconhecida do brasileiro. Esta afirmação pode até ser verdadeira e a criatividade do brasileiro é, em minha o opinião, não só o que torna nossa cultura uma das mais

ricas do mundo, mas o que nos torna mais adaptáveis às mais diversas situações.

No entanto, quando olhamos para a gestão de segurança nas

empresas, sabemos que o número de vulnerabilidades é diretamente proporcional ao da adoção de exceções aos processos oficiais. Diante das potencialidades da tecnologia disponível hoje e da concorrência que vivemos no mercado, a rigidez nos processos pode ser o que

determina a vida ou morte de uma empresa. Não pode ser algo suscetível a informalidade.

O que "pega"

Assim como o "para inglês ver" é uma exclusividade do povo

brasileiro dizer que tem "lei que pega e lei que não pega". Em tese, lei não foi feita para "pegar" e sim para ser cumprida ou refutada

através do uso dos mecanismos legais da democracia. No entanto, quando falamos de padrões de mercado, estes geralmente "pegam" quando alcançam um forte apelo ao ganho financeiro no qual sua aderência resultará, ou por conta das sanções a serem impostas no

caso da não aderência.

Acredito que o PCI DSS é um padrão que "pega" porque tenho visto diversos esforços no mercado na busca da aderência. Estes

esforços têm vindo de empresas que já possuem uma cultura na qual a disciplina de conformidade faz parte da realidade. Elas estão empurrando os seus fornecedores também à conformidade e penso

que em breve esta onda chegará até as companhias menores. Entendo também que o PCI DSS não pode ser um padrão "para inglês ver" por que seu ciclo de vida não se manifesta somente em uma relação na qual um órgão cria as regras, outro adequa o

ambiente e outro audita.

Existe outro ator na figura do adquirente que faz a gestão dos resultados e motiva todas as entidades envolvidas (estabelecimentos,

data centers, fornecedores de soluções de pagamento, etc.) a estarem de acordo com o padrão e a manter o bom nível das análises. Os Relatórios de Conformidade ou ROCs tendem a assumir cada vez

mais o papel de uma certidão de que uma entidade trata os dados de portador de cartão de acordo com padrões internacionalmente reconhecidos.

Somente sinto falta de uma divulgação do padrão ao cidadão

comum, portador de cartão e maior interessado no tratamento de suas informações com segurança, mas penso que isto será uma conseqüência óbvia na medida em que as empresas forem se

certificando.

Referências Bibliográficas‣ FRIEDMAN, Thomas L.. O Mundo é Plano: Uma Breve

História do Século XXI. 2. ed. Rio de Janeiro: Objetiva, 2005.

‣ DAMATTA, Roberto. Carnavais, Malandros e Heróis: Para uma Sociologia do Dilema Brasileiro. Rio de Janeiro: Rocco, 1981.

Sobre o Autor

Carlos Cabral, MCSO, possui treze anos de experiência na área de tecnologia sendo que há sete se dedica à área de Segurança da Informação.

Atualmente coordena o Programa PCI para Estabelecimentos Comerciais da Redecard que tem o objetivo de motivar os estabelecimentos credenciados na busca pela conformidade ao PCI DSS. Também é sociólogo formado pela Escola de

Sociologia e Política de São Paulo.

Em 2009 as ferramentas e guias recomendados pelo PCI DSS estarão ao alcance do público brasileiro para discussão, contribuição e evolução. Aguarde, em breve o OWASP Application Security CPLP.

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 9

As aplicações embarcadas em equipamentos utilizados nos Pontos de Venda (Point of Sale, POS) processam e armazenam dados de cartões, sendo componentes críticos nas redes de autorização de pagamentos. Ao reconhecer que as aplicações em POS são alvos

altamente prováveis para hackers maliciosos, o Payment Card Industry Security Standards Council (PCI Council) introduziu os processos de certificação conhecidos como Payment Application

Data Security Standard (PA-DSS).

O processo de certificação requer um nível mínimo de segurança em todas as aplicações de POS, garantindo que as especificações

definidas no padrão estejam aplicadas e funcionando como deveriam para então serem caracterizadas como “testing for positives”. Entretanto esta abordagem não garante a resiliência de uma determinada aplicação quando atacada. Para ilustrar essa

premissa, duas aplicações validadas como aderentes ao PA-DSS (referenciadas neste artigo como Aplicação A e Aplicação B) foram randomicamente selecionadas de uma lista disponível no web site do

PCI Council.

A análise dessas aplicações demonstrou que vulnerabilidades críticas existem ainda que todos os requisitos do PA-DSS tenham sido

atendidos. As vulnerabilidades incluem falhas na proteção contra ataques reais que podem ser feitos com baixo ou nenhum investimento, ou seja, o que realmente acontece quando um componente é exposto em um ambiente potencialmente hostil.

Análise da Aplicação A

Um ataque de “code tampering”, que causa uma alteração no funcionamento original da aplicação, foi empregado contra a Aplicação A. Este tipo de ataque foi possível porque o fabricante se

equivicou ao avaliar o impacto que poderia acontecer à partir da escolha da linguagem de código utilizada na segurança do seu produto.

A análise inicial da Aplicação A determinou que ela foi implementada como uma Aplicação HTML (HTA). Aplicações HTA são escritas utilizando códigos de HTML estático e DHTML dinâmico e são armazenadas como “clear text scripts”. Para ficar

aderente aos requerimentos do PA-DSS, a Aplicação A foi desenhada para prevenir a exibição e armazenamento de dados do portador do cartão por “data masking”, onde vários caracteres

originais são substituídos por textos como “*”.

Entretanto, um atacante com acesso ao código fonte poderia facilmente modificar o texto para forçar a Aplicação A a armazenar

e exibir o texto claro, sem a aplicação de “data masking”. Neste

caso, qualquer pessoa com acesso ao arquivo de script poderia ler o código fonte, fazer a s a l t e r a ç õ e s e o b t e r a s

informações do portador do cartão.

Este exemplo mostra claramente como a aderência ao PA-DSS pode

ser atendida, e ainda assim a aplicação ficar vulnerável quando a lógica utilizada no desenvolvimento permite que dados críticos fiquem armazenados em um script. Utilizar linguagens de

programação baseadas em script é geralmente uma péssima escolha no desenvolvimento de aplicações relacionadas ao processamento de informações de cartão de crédito, uma vez que elas não requerem compilação prévia para serem processadas, e ainda mantêm o

código fonte armazenado como “clear text”.

Linguagens compiladas (como C/C++) são muito mais eficazes em evitar ataques de “code tampering” e deveriam ser uma escolha

natural para este tipo de aplicação. Basear a escolha da linguagem no conforto e conhecimento específico do time de desenvolvimento mostra um processo de risk management bastante imaturo. Escolher

a linguagem adequada para a finalidade de uma aplicação deve ser um aspecto de segurança pensando nos primeiros momentos do processo de desenvolvimento.

Análise da Aplicação BUma técnica comum para se entender como uma aplicação não

documentada funciona é a engenharia reversa. Linguagens compiladas oferecem muito mais segurança contra ataques de “code tampering” como explicado no exemplo anterior, porém, ainda

assim são vulneráveis à ataques que usem engenharia reversa.

A engenharia reversa é definida como um processo para identificar a lógica de uma aplicação sem acesso e uso do código fonte. A

disponibilidade de diversas ferramentas de suporte para esta prática, somada a grande quantidade de cursos que ensinam as técnicas relacionadas, tornaram-na um método comum para ataques. Um hacker utilizando engenharia reversa pode ver as instruções de uma

aplicação durante a sua execução, e aprender como o funcionamento ocorre e o relacionamento com os demais componentes. Para impedir este tipo de ataque, técnicas de

“obfuscation” foram desenvolvidas.

“Obfuscation” é um processo que modifica os binários e dificulta a análise e extração do código fonte sem prejudicar o funcionamento e

desempenho da aplicação. Apesar dessa medida preventiva ser

Vulnerabilidades em POSPor Jennia Hizver

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 10

adotada em vários setores como uma prevenção contra a engenharia reversa, os fabricantes de aplicações para POS não a utilizam em seus produtos. Para ilustrar a importância deste problema, o algoritmo de criptografia utilizado na Aplicação B foi alvo de

engenharia reversa depois de determinarmos que a aplicação não usava “code obfuscation”, o que tornou o processo de cripto análise muito mais rápido.

A análise revelou que a aplicação utilizou um algoritmo proprietário de criptografia para mascarar os dados do portador do cartão com uma cifra extremamente simples de ser quebrada. Este algoritmo

ofereceu pouca proteção contra ataques de criptografia, permitindo que um atacante comprometesse os dados armazenados e tivesse acesso às informações do cartão de crédito. A aplicação falhou porque a arquitetura utilizada para o seu desenho não considerou

medidas de proteção no código binário, além de usar bases para a criptografia inadequadas. Nada disso foi detectado durante o processo de certificação ao PA-DSS.

No mínimo, rotinas de missão crítica, tais como os algoritmos de criptografia, poderiam ter sido protegidos em uma camada de mecanismos contra engenharia reversa para reduzir essas

vulnerabilidades. Especialistas em penetration test podem determinar quando essas medidas deve ser implementadas em uma aplicação de POS. É uma questão de definir o modelo de segurança adequado.

As Falhas mais Associadas com POS

Além do “code tampering” e engenharia reversa, existem outras vulnerabilidades comuns que podem ser identificadas na maioria das aplicações utilizadas em POS.

‣ Tratamento inadequado de dados sensíveis: Senhas e chaves de criptografia são rotineiramente incluídas (embedded) no código como “hard-coded text strings” e podem ser extraídas à partir de

ataques contra a rede de dados.

‣ Criptografia mal aplicada ou inexistente: A inexistência de criptografia nos dados transmitidos dentro de redes de dados internas pode ser explorada por um atacante. Outro ponto é a

captura de dados sensíveis quando transmitidos desta forma, o que pode ser feito com uma série de ferramentas de “sniffing” preparadas especificamente para coletar e enviar dados de um

POS para outra localidade.

‣ Failure Mode inseguro: Ao se deparar com uma falha que não tenha sido endereçada na arquitetura da aplicação, o POS pode falhar e expor dados sensíveis, como os do portador do cartão.

‣ Exposição de dados em memória: Atacantes com acesso físico

direto ao POS podem ler dados sensíveis que ficam armazenados na memória dos equipamentos.

Conclusão

Um processo de “penetration testing” pode identificar e minimizar a

probabilidade de exploração de várias vulnerabilidades existentes em POS e suas aplicações, possibilitando a implementação de recomendações de melhoria e a consequente redução do nível de

risco. Isso já é um requisito para as aplicações web que tenham a certificação PA-DSS, uma vez que hackers maliciosos usam exatamente a mesma abordagem. Entretanto, não existem requerimentos definidos para as aplicações instaladas em terminais

utilizados nos POS.

Entretanto, não existe tal requerimento para aplicações de POS instaladas em computadores (que trabalham como terminais POS),

embora eles sejam igualmente vulneráveis. Assim, penetration testing devem fazer parte de toda auditoria PA-DSS para descobrir as vulnerabilidades na segurança do software. Isto é extremamente

útil para fornecer um bom entendimento sobre como o software opera sob ameaça, como mostrado na análise das aplicações A e B.

O exercício descrito neste artigo demonstra que a compliance com o PA-DSS pode potencialmente fornecer uma falsa sensação de

segurança, o que traz questionamentos sobre as limitações do processo de validação do PA-DSS. Para verificar o verdadeiro status de segurança de uma aplicação, o artigo propõe que todaas as

aplicações de POS devem ser analisadas por penetration test durante o processo de validação. Esta análise profissional de segurança irá percorrer um longo caminho para garantir que as

aplicações validadas são resistentes a ataques no ambiente do mundo real.

Sobre a Autora

Jennia Hizver, CISSP, CCSP, é gerente no Technical Security Services Group da VeriSign. É graduada em Matemática Aplicada, Mestre em Ciência da

Computação e doutoranda em Segurança da Informação. Está envolvida com segurança por vários anos, nos setores financeiro, farmacêutico e de telecomunicações. Seus focos são segurança de software, penetration testing e

design de redes seguras. Pode ser contatada em jhizver@verisign.com.

Anuncie para um público diferenciado e com poder de decisão. Escreva para revista@issabrasil.org e descubra como é simples e eficiente colocar o seu produto em nossas páginas. Antebellum, a

um ano a revista eletrônica bimestral da ISSA Brasil.

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 11

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 12

O padrão de segurança de dados da indústria de cartões de pagamento chegou e já causa algumas dores de cabeça para as empresas que por exigência de negócio precisam estar em conformidade com ele. Para as empresas deste segmento que até

então não seguiam as boas práticas de segurança da informação, muitas vezes desconhecem por completo as normas da família ISO 27000, a caminhada para ficar em conformidade poderá ser longa e

trabalhosa.

Se a empresa não sabe por onde começar ou não possui equipe interna com conhecimentos suficientes do padrão, é recomendável a

contratação de uma consultoria especializada. No Brasil, algumas empresas já estão certificadas pelo Council para prestar este serviço, apesar de não ser uma exigência. Esta empresa irá fazer uma análise do seu ambiente e verificar qual o GAP para os requisitos do PCI

DSS. O custo para a execução desta atividade vai depender de alguns fatores como o tamanho do ambiente onde os dados do portador de cartão estão sendo processados, armazenados ou

transmitidos. Entenda por tamanho do ambiente, o número de sistemas envolvido em todo o fluxo de transação de cartão e não fique surpreso se durante a análise de GAP, outros sistemas sejam

incluídos no escopo da atividade, afinal documentar processos não é o ponto forte de muitas empresas.

Outro fator importante além do investimento na contratação da consultoria é o envolvimento necessário das áreas de negócio que

conhecem o ambiente analisado, pois não há consultor que consiga fazer milagres se não houver a participação de quem realmente conhece o negócio, seja através do fornecimento de documentações,

disponibilidade de tempo para a realização de entrevistas e o apoio de quem está pagando a conta.

Além do mais, o processo de análise de GAP deve ser conduzido

sempre no sentido de informar às pessoas que esta atividade é uma possibilidade de melhoria das suas atividades e dos controles da empresa, não leve adiante a idéia de que isso é uma auditoria, afinal este é o pior momento para esconder a sujeira para debaixo do

tapete. Acredite, muita gente tem receio de enfrentar uma auditoria e pode acabar omitindo alguma informação importante. Procure acalmar as pessoas!

O resultado final de todo este trabalho deverá ser uma documentação com observações e recomendações para todo o ambiente analisado e que servirá de ponto principal para a criação

de um plano de ação. Convoque uma reunião com as partes interessadas e apresente os resultados, esclareça as dúvidas e prepare-se para trabalhar bastante se o índice de aderência ao

padrão não esteja tão perto do que você imaginava. Crie um plano de ação para atender as recomendações de forma que fique claro para cada área envolvida o seu papel neste processo,

esclareça as dúvidas sobre interpretações divergentes dos requisitos e padronize a documentação utilizada para consulta.

Algumas traduções na documentação oficial do PCI Council deixam

um pouco a desejar tanto que na versão 1.2 do padrão, PIN Block foi traduzido como Bloqueio de PIN. Avalie se sua infra-estrutura consegue atender os requisitos mais complexos como a seção 3 que

trata da proteção dos dados do portador de cartão e procure se informar melhor sobre controles compensatórios, talvez você consiga utilizá-los em algumas situações. Apenas tome cuidado para os itens em que nem os controles compensatórios poderão te ajudar,

como a proibição do armazenamento de dados de autenticação confidenciais após autorização.

A necessidade de investimento em novas tecnologias pode ser algo

que não estava previsto no seu orçamento, mas que poderá se tornar à medida que você comece a atender as exigências. O padrão se manteve neutro em relação a fornecedores e soluções, então cabe a

empresa avaliar o que melhor atende as suas necessidades e ao seu bolso. Pesquise as soluções disponíveis no mercado e pondere bem sobre a necessidade de se investir na compra de software proprietário ou na utilização de softwares open source. Avalie bem

as alternativas e não se precipite em sair gastando todo aquele budget aprovado a muito custo com o seu diretor.

Apesar de o padrão focar bastante em aspectos muito técnicos como

segmentação da rede, criação de DMZ, controle de acesso físico, criptografia e rede sem fio, alguns necessitam bastante atenção como na revisão de processos e documentações. O requisito 12 trata

especificamente sobre a manutenção de uma política de segurança da informação que atenda a todos os requisitos exigidos e também sobre a necessidade de gerenciamento de risco e incidentes.

A revisão da política de segurança deve ser um trabalho realizado

com bastante atenção para que se reflita o que realmente está sendo exigido, pois agora o ponto crítico a ser observado é o ambiente dos dados do portador de cartão. A ISO 27002 continua sendo uma

ótima referência com recomendações, mas lembre-se de que quando falamos em PCI DSS, o que antes era recomendação, agora passa a ser exigência. A política de Segurança da Informação deverá atingir

tanto funcionários como prestadores de serviço.

À medida que sua equipe interna comece a se habituar a tudo que está envolvido na adequação das exigências do PCI DSS, é possível

Conformidade: por onde começar?Por Fábio Juliano Dapper

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 13

Opções de Abordagem do Conviso Application Hardening

๏ Planejamento de Segurança para Aplicações, atuando diretamente no Secure Development Life Cycle.

๏ Revisão de Código para busca de vulnerabilidades através de code coverage e fuzzy.

๏ Auditoria de Aplicações através de pen-test específico para o cenário onde os seus negócios são desenvolvidos.

http://www.convisosec.com/app_hardening

que algumas atividades possam ser executadas sem o apoio de consultores. Uma boa fonte para ajudar nas atividades é o questionário de auto-avaliação disponível no site do PCI Council.

Para finalizar, lembre-se de que mesmo que ainda não existam datas

confirmadas pelas bandeiras de cartões sobre o prazo para a adequação ao PCI DSS, é sempre recomendável não deixar tudo para depois. Aplicar controles talvez não seja seu maior problema,

mas pense em como você os manterá ao longo do tempo de acordo

com o que é exigido. Então se organize, faça um bom planejamento e mãos à obra.

Sobre o Autor

Fábio Juliano Dapper é graduando no curso Superior em Segurança da Informação pela Unisinos, possui 10 anos de experiência em Tecnologia da

Informação, destes, 4 em Segurança da Informação. Se especializou através de algumas certificações como LPIC-2 e Cisco CCNA. É Analista de Segurança da Informação na empresa GetNet Tecnologia trabalhando com gestão de risco e

projetos envolvendo o PCI DSS. Ele pode ser contatado em fjdapper@gmail.com.

Conviso IT SecurityRua Conselheiro Laurindo 600 Sala 151380060-903, Curitiba, PRT. (41) 3075.3080 F. (41) 3075.3001www.conviso.com.br

A segurança de aplicações é um campo relativamente novo no Brasil, mas que deveria ser considerado estratégico pelas empresas frente ao novo comportamento dos crackers que buscam explorar vulnerabilidades conhecidas nesta camada para cometer crimes contra as empresas e cidadãos. Através do entendimento das suas necessidades de negócio e a forma como suas aplicações são desenvolvidas e administradas, podemos elaborar soluções adequadas especificamente para a sua empresa com o Conviso Application Hardening.

Combinamos ferramentas de análise com mais de 10 anos de experiência em segurança e desenvolvimento para prestar serviços de alta qualidade e entregar recomendações de melhoria que funcionam e estão em uma linguagem que você entende.

Conviso Application HardeningA sua tranqüilidade através da garantia de manutenção de um nível de risco aceitável para as suas aplicações corporativas.

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 14

As empresas estão cada vez mais considerando a terceirização nos processos de Tecnologia da Informação e tecnologias em geral.  Muitas dessas organizações têm um alto grau de expectativa em relação ao serviço prestado e aos benefícios desta

parceria, porém não há uma preocupação quanto à qualidade e à segurança das informações manipuladas pelas empresas terceiras. A evolução na área de Tecnologia da Informação também tem

contribuído para o crescimento da terceirização.

Muitos produtos e serviços se tornaram homogêneos e de amplo consumo, permitindo assim, dentre outros proventos, a

possibilidade de redução de custos, melhoria da tecnologia e da qualidade de serviços através de fornecedores externos. Neste sentido, a terceirização contribui para redução no custo dos recursos humanos e operacionais, e pode propiciar maior

flexibilidade na adequação desses recursos às metas estratégicas das empresas.

Terceirização no Segmento Financeiro

Ao analisarmos o segmento financeiro, observamos que este,

devido às fortes pressões regulatórias, acaba por possuir preocupação diferenciada sobre o tema Segurança da Informação. Nesse contexto, a Resolução 3.380 do Banco

Central do Brasil, publicada em 29 de junho de 2006, e outras normas do mercado financeiro, pois as Instituições Financeiras são precursoras das melhores práticas de segurança da informação, são referência para outros segmentos corporativos.

Hoje no Brasil as Instituições Financeiras devem atender esta Resolução que prevê a implantação de área de Gerenciamento de Risco Operacional e que determina que os serviços

terceirizados relevantes para o funcionamento da instituição também devem ser monitorados, bem como os demais processos da organização. Serviços terceirizados relevantes vão desde a

compensação de cheques, processamento do SPB (Sistema Brasileiro de Pagamento), Centro de Processamento de Dados (Data Centers), redes de caixas eletrônicos, processadoras de cartões de débito e crédito até o desenvolvimento de softwares e

utilização de aplicativos comercializados por terceiros.

Com a implementação de tais Normas e Regulamentações, o mercado de Tecnologia da Informação deve iniciar um trabalho

de gestão da terceirização, para tornar-se mais competitivo e atender às exigências de seus clientes, especialmente se estes forem instituições financeiras. A Tecnologia da Informação é a

sustentação dos negócios das empresas - sejam privadas ou públicas – o maior bem que uma empresa possui é a informação,

e hoje, é possível mensurar seu valor e principalmente, protegê-la, assim como os ambientes e os equipamentos utilizados para o seu processamento. A

Segurança da Informação é um termo que se refere essencialmente à proteção dos ativos de uma empresa ou pessoas.

A confidencialidade é garantir que as informações sejam acessadas somente por indivíduos autorizados pelo proprietário da informação; a integridade é garantir que as informações não

sejam alteradas sem autorização de seu proprietário e a disponibilidade, é garantir que as informações estejam disponíveis quando seu proprietário ou usuário necessitar. Estes são os principais atributos que orientam a análise, o

planejamento e a implementação da segurança para as informações.

A Gestão da Terceirização

Os profissionais da área de Segurança da Informação,

conhecidos como Information Security Officers ou Chefe de Segurança da Informação, têm como maior desafio gerenciar riscos, antecipar as dificuldades e prever o máximo de variáveis

que possam ameaçar a continuidade dos negócios. Essas atribuições se intensificam quando falamos da adoção de terceirização em assuntos relativos à segurança.

Quando se fala em Segurança da Informação e Terceirização é

essencial que haja bom senso e, portanto, seja considerado o porte da empresa prestadora de serviço e o nível de risco dos processos transferidos ao Terceiro.

A classificação da informação e a análise de risco são a base para implementação de controles adequados em qualquer processo de tecnologia. É importante mencionar que muitas empresas

prestadoras de serviços não consideram os requisitos legais e regulatórios do seu segmento e principalmente aqueles relativos aos seus clientes. Tanto para o contratante e contratado, é importante:

‣ Definir de forma clara o escopo de serviço que será prestado ou contratado;

‣ Definir o grau de criticidade das informações que envolvem o

serviço prestado ou contratado;

‣ Mensurar o risco (baixo/médio/alto) o qual a empresa poderá ser exposta, considerando recursos necessários para execução

TerceirizaçãoUma análise do ponto de vista de Segurança da Informação

Por Kenia Carvalho

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 15

do serviço contratado, tais como: pessoas, processos, hardwares, softwares, dados e materiais.

‣ Definir e executar, quando necessário, ações emergenciais, visando proteger os dados ao qual a empresa se comprometeu

a proteger ou é obrigada por Lei a proteger.

Diante da responsabilidade pela segurança de suas informações e, principalmente pelas informações de seus clientes, ambas as

empresas devem criar uma área de controles internos ou contratar uma empresa externa especializada em Segurança da Informação, para avaliar os controles internos de seus

fornecedores, gerenciando os riscos que esta atividade proporciona. Em todo processo de gestão de segurança da informação, alguns aspectos devem ser considerados: todos os processos devem ser documentados; ter o apoio da alta

administração; ser um processo dinâmico, contínuo e auditado, e ter uma análise de riscos consistente.

O que está sendo feito

Hoje no mercado algumas instituições financeiras já executam

avaliação de segurança da informação em seus provedores de serviços, fazendo a gestão de riscos ao negócio e obtendo um n í v e l r a z o á v e l d e c o n f o r t o s o b r e a i n t e g r i d a d e ,

confidencialidade e disponibilidade dos dados acessados, armazenados, manipulados e processados externamente. Considerando o cenário atual, a competição existente na economia globalizada leva as empresas a reduzir custos e

aprimorar a eficiência dos serviços; uma das ações que contribuiu e ainda contribui para este objetivo é a terceirização de serviços de tecnologia.

Os prestadores de serviços apresentam a terceirização como uma parceria em que todos os lados ganham, embora este objetivo seja positivo e atingível, só é possível através de um

processo de contínua gestão de relacionamento, que considere e supere as divergências existentes. Afinal, cliente e provedor de serviços são duas entidades distintas, cada uma com diferentes visões e objetivos estratégicos.

Algumas empresas selecionam prestadores de serviços e negociam contratos sem ter uma clara compreensão de seus objetivos de negócios e da importância da qualidade de serviços

de tecnologia. O resultado provável será a frustração, tanto em relação ao atendimento dos requisitos estratégicos, quanto em relação à eficiência operacional e a redução de custos.

Mais que um simples contrato

Por este motivo, o processo de terceirização de serviços de tecnologia requer que a empresa contratante tenha definido claramente os procedimentos adequados de seleção e de contratação de fornecedores. É preciso considerar nos contratos

o comprometimento dos fornecedores com a qualidade e com a

implementação de controles de segurança da informação alinhados aos padrões e requisitos da empresa.

O provedor deve demonstrar, através de evidências, a sua capacidade de atender aos requisitos de desempenho

especificados pelo cliente, e este deve realizar monitoramento periódico das atividades do provedor de serviços, para verificar se os controles implementados operam adequadamente e

cumprem seus objetivos. É importante considerar o escopo do serviço que será prestado e elaborar formalmente itens de Acordo de Nível de Serviços (SLA) que contemplem a

disponibilização de métricas que atendam com eficácia as medidas de segurança da informação e cláusulas de melhoria continua. A elaboração de um contrato para este tipo de prestação de serviços deve ser realizada pela área jurídica e

envolver a área comercial e de negócios das empresas participantes.

A terceirização dos serviços de tecnologia trouxe diversos

benefícios, porém como em todo negócio, este vêm acompanhado de riscos. Todos os riscos que este tipo de parceria traz podem ser identificados, tratados e monitorados

pela empresa contratante. Este procedimento proporciona maturidade nos negócios e contribui para o sucesso dos objetivos das empresas. A implementação da prática de Segurança da Informação no âmbito de uma organização

compreende uma seqüência de ações importantes e indispensáveis e estas devem ser estendidas aos prestadores de serviços.

O sucesso está diretamente relacionado com a postura dos executivos e funcionários da contratante e da contratada. Ambas as empresas devem realizar o gerenciamento,

manutenção e atualização constante das práticas de Segurança da Informação. Em função da crise global vem acontecendo uma redução dos orçamentos e investimentos na área de TI e Segurança da Informação, e as empresas estão adotando

posturas conservadoras em relação aos custos. Por isso mesmo é importante considerar que a segurança da informação deve ser consistentemente analisada durante o processo de terceirização

de serviços, pois somente assim haverá condições de se avaliar os ganhos reais, qualitativos e quantitativos, decorrentes deste negócio.

Sobre a Autora

Kenia Carvalho é especialista em Segurança da Informação, pós-graduada pelo ITA, e possui 14 anos de experiência em TI com 3 em Segurança da Informação. Atualmente trabalha na Área de Segurança da Informação de uma instituição financeira internacional, responsável pela gestão de avaliações de

segurança da informação em fornecedores de serviços, tendo mais de 50 empresas avaliadas em seu currículo. Pode ser contatada através do e-mail: cristina_kenia@yahoo.com.br.

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 16

Começar um artigo com um título negando uma afirmação amplamente divulgada é praticamente um convite a discussões intermináveis entre os que defendem uma abordagem ou outra, o que nós conhecemos como flamewar. Mas fique tranquilo, meu

interesse é simplesmente esclarecer um equívoco que vem sendo repetido amplamente por anos. E quando falamos em PCI-DSS um assunto recorrente é a segurança em desenvolvimento de software,

momento extremamente oportuno para esclarecer e acabar com este equívoco.

A ISO/IEC 15.408 (Commom Criteria), é um conjunto de critérios

para avaliação de segurança de um software. Esta avaliação é feita através de perfis de proteção e níveis de garantia de avaliação. Com base nestes critérios, laboratórios credenciados e capacitados irão avaliar produtos e determinar que nível de garantia de segurança o

produto será acreditado.

Então como se pode afirmar que a ISO/IEC 15.408 não é para desenvolvimento seguro? Simples, ela não fornece nenhum tipo de

processo, sistema de gestão e/ou guia para implementação de qualquer controle para garantir a segurança de uma aplicação, apenas critérios para avaliar qualquer sistema, produto de

segurança.

Quem procura boas práticas para desenvolvimento seguro deve se orientar por práticas como o SDL (Security Development Lifecycle) da Microsfot ou o CLASP (Comprehensive, Lightweight Application

Security Process) da OWASP (Open Web Application Security Project). Estas práticas irão lhe fornecer diversos recursos que irão possibilitar que você implemente um processo que irá aumentar a

qualidade e segurança das suas aplicações.

SDL (Security Development Lifecycle)

O SDL é o grande responsável por um aumento considerável na segurança das aplicações desenvolvidas pela Microsoft. O SDL é um

conjunto de práticas que garantem que o princípio de S³+C será garantido durante o processo de desenvolvimento de software. Mas o

que é o S³+C? S³+C é (Segurança no projeto, Segurança por padrão, Segurança na Implementação + Comunicação). Veja o que a

Microsoft descreve sobre esta classificação:

‣ Segurança no projeto: o software deve ser esboçado, projetado e implementado de modo a proteger a si mesmo e às informações

que ele processa, bem como resistir a ataques.

‣ Segurança por padrão: no mundo real, nenhum software pode ser perfeitamente seguro, portanto os projetistas devem prever a presença de falhas na segurança. Para diminuir os danos causados

quando invasores detectam essas falhas remanescentes, o estado padrão do software deve promover a segurança. Por exemplo, o software deve operar com o mínimo necessário de privilégios, e

todos os serviços e recursos que não sejam amplamente necessários devem vir desativados por padrão ou ser acessíveis somente a um pequeno grupo de usuários.

‣ Segurança na implantação: O software deve vir acompanhado de ferramentas e guias para ajudar os usuários finais e/ou administradores a usá-lo com segurança. Além disso, as atualizações devem ser fáceis de serem implantadas.

‣ Comunicação: os desenvolvedores de software devem estar preparados para a descoberta de falhas na segurança do produto e devem se comunicar de forma aberta e responsável com os

usuários finais e/ou administradores para ajudá-los a tomar medidas preventivas (tais como a instalação de patches ou o uso de medidas paliativas).

ISO/IEC 15.408Não é para desenvolvimento seguro

Por Wagner Elias

Figura 1: Estrutura do SDL proposta pela Microsoft

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 17

CLASP (Comprehensive, Lightweight Application Security Process)

O CLASP tem como propósito ser uma metodologia leve de fácil integração com um modelo tradicional de desenvolvimento de software. Ela fornece recursos e está organizada pelos seguintes componentes:

‣ CLASP Views: Apresenta cinco perspectivas de alto nível que são detalhadas em atividades que podem ser aplicadas dentro do processo de desenvolvimento: Concepts View, Role-Based View,

Activity-Assessment View, Activity-Implementation View e Vulnerability View.

‣ CLASP Best Practices: Apresenta um conjunto de sete melhores práticas para o desenvolvimento seguro, que vão das análises de segurança até a definição e administração de métricas.

‣ 24 Atividades CLASP que podem ser direcionadas para o modelo

de segurança desejado, atendendo não só as boas práticas mas abordagens para SOX e COBIT.

‣ CLASP Resources (incluindo CLASP “Keywords”), que crescem a

cada nova edição do projeto.

‣ CLASP Taxonomy, que é integrada aos demais projetos do OWASP e adotada por empresas e organizações do mercado.

A base para implementação da CLASP são suas visões, as visões se interagem e são suportadas pelos outros componentes. Este processo atende a todas as necessidades de um processo de segurança em desenvolvimento de software e atende as diversas

demandas associadas a segurança no desenvolvimento de software.

Conclusão

Com esta rápida abordagem sobre as duas principais referências em implementação de processos de segurança em desenvolvimento,

podemos observar que a ISO/IEC 15.408 pode ser um objetivo a ser alcançado, critérios a serem atendidos, mas nunca irá lhe orientar, fornecer recursos que, servirão de base para a

implementação do mesmo.

A segurança adequada de uma aplicação varia de acordo com o comportamento, posicionamento e dinâmica de diversos componentes e relacionamentos que vão muito além do que está

escrito em uma norma. Atingir este resultado requer uma metodologia dinâmica, alinhada ao que vem ocorrendo no mercado e que seja capaz de estabelecer melhorias na mesma velocidade que

as vulnerabilidades são descobertas. Este é o papel de opções como o Microsoft SDL e o CLASP, use-as e fique seguro.

Referências‣ http://www.commoncriteriaportal.org/

‣ http://msdn.microsoft.com/en-us/library/ms995349.aspx

‣ h t t p : / / w w w . o w a s p . o r g / i n d e x . p h p /Category:OWASP_CLASP_Project

Sobre o AutorWagner Elias, CBCP, SANS GIAC GHTQ , CobiT Foundation, ITIL

Foundation, Atua na área de Tecnologia da Informação há mais de 10 anos, tendo acumulado larga experiência em projetos de Segurança da Informação no Brasil e exterior. É co-fundador e sócio da Conviso IT Security, onde atua como

Gerente de Pesquisa e Desenvolvimento, responsável pela elaboração de metodologias, gerenciamento de pesquisas em vulnerabilidades e soluções de proteção de informações e gerenciamento das equipes de consultores. Foi

responsável pela fundação do capítulo Brasil do OWASP e é Diretor de Eventos do capítulo São Paulo da ISSA.

Figura 3: Bases de interações do CLASP

Figura 2: Estrutura do CLASP

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 18

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 19

Antes de falar sobre o TMG Beta 2 é importante mencionar que a Microsoft ano passado já havia lançado uma versão deste produto porém com menos funcionalidade (bem menos na realidade). Esta versão foi chamada de TMG MBE (Medium Business Edition) e foi

lançada principalmente para fazer parte do EBS (Essential Business Server).

O TMG MBE já está em RTM e disponível no mercado, se você

quiser ler mais sobre algumas funcionalidades desta versão reveja o artigo que escrevi para TechNet Magazine de Fevereiro de 2009 em parceria com Jim Harrison e Mohit Saxena (ambos co-autores do

livro de TMG que estamos escrevendo para Microsoft Press). Você pode ler este artigo na edição online da revista.

O TMG Beta 2 tornou-se disponível para o público externo no dia 6 de Fevereiro de 2009, após a espera que parecia imensa, esta versão

traz um amadurecimento do produto e um novo conjunto de funcionalidades que tornam o TMG um produto robusto para segurança de perímetro. O objetivo deste artigo é mostrar as

principais novidades da versão Beta deste produto.

Além da Segurança de Perímetro

Estudos mostram que usuários em geral demoram em média 50 dias para atualizar seu computador com patches de segurança. Este

número cai em um ambiente corporativo devido a políticas de segurança e gerenciamento centralizado para distribuição de patch. Porém ainda há uma janela entre o patch ser lançado e ser efetivamente instalado. Nesta janela o grande risco é que a

vulnerabilidade já foi anunciada e na maioria das vezes já existem mecanismos para explorar tal vulnerabilidade. A segurança de

perímetro passa a ter um papel fundamental para prevenir ataques do mundo externo, porém é preciso muito mais que isso tendo em visto que ataques internos ainda são a

maioria.

Inspeção de Rede

O TMG Beta 2 traz um conjunto de funcionalidades que vão além do fator chave da proteção de perímetro. Através de uma nova

funcionalidade chamada Network Inspection System (NIS) o TMG Beta 2 traz funcionalidade de um IPS (Intrusion Prevention System) através do uso do protocolo GAPA (Generic Application-Level

Protocol Analyzer), criado pela Microsoft Reseach.

Esta funcionalidade vai permitir que o TMG bloqueie tráfego que é considerado malicioso com base no conjunto de assinaturas disponível no produto. Tais assinaturas serão recebidas do Microsoft Update e a medida que novas vulnerabilidades são anunciadas e

assinaturas testadas, o TMG será capaz de fazer tais intervenções. Isso permite com que a janela de vulnerabilidade seja mitigada através desta inspeção preventiva. Na Figura 1 temos a interface do

NIS que é parte do TMG Beta 2.

Microsoft Forefront Threat Management Gateway (TMG)A Nova Geração do Firewall da Microsoft agora disponível em Beta 2

Por Yuri Diógenes

Figura 1: A tela inicial do NIS no TMG Beta 2

Figura 2: Alterando o modo de resposta de uma vulnerabilidade

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 20

Na tela do NIS temos as vulnerabilidades que podem ser organizadas por categoria ou por outros parâmetros. O padrão do TMG Beta 2 é que todas as vulnerabilidades conhecidas pelo NIS estejam configuradas em modo que ela seja apenas detectada. A

vantagem deste modo é que você poderá analisar através dos logs o quão saudável está sua rede antes de colocar em produção (alterando o modo para Bloquear). Nas propriedades de uma

vulnerabilidade no NIS é possível ver mais detalhes e alterar o modo de resposta como apresentado na Figura 2.

O TMG Beta 2 utiliza o Update Center para fazer atualizações de

definições do NIS. O intervalo de verificação de novas atualizações é configurado como padrão nesta versão Beta para 15 minutos, conforme mostra a Figura 3.

Inspeção HTTPs

Com o aumento de acessos maliciosos usando entunelamento SSL os dispositivos tradicionais não são capazes de inspecionar tráfego criptografado. O TMG Beta 2 traz uma nova funcionalidade que permite a inspeção de tráfego HTTPs. Ao

receber o tráfego o TMG Beta 2 vai descriptografar, inspecionar, com o uso de um outro certificado criptografar novamente e então enviar o tráfego seguro para o cliente

interno que fez o acesso.

É possível imaginar cenários onde o cliente está acessando um site que contém informações pessoais e sigilosas que não devem

ser inspecionados.

Um exemplo é o acesso a um site de Banco ou de uma instituição de saúde (que contenha registros do paciente) e não deve ser inspecionado sem avisar ao usuário ou em alguns casos

(dependendo da legislação do país) sere inspecionado de forma alguma.

O TMG Beta 2 permite esta flexibilidade através da criação de

uma lista de exclusão de sites que não devem ser inspecionados.

Além disso, o TMG Beta 2 também permite que clientes utilizando o TMG Client (também conhecido como Firewall Client) sejam notificados que o tráfego está sendo inspecionado. A figura 4 mostra a janela de configuração da inspeção HTTPs:

Inspeção de Malware

A propagação de pragas virtuais é algo extremamente presente nos dias de hoje. Infelizmente ainda existem diversas empresas que mantém máquinas des-assistidas, ou seja, sem uma proteção efetiva contra malware.

O TMG Beta 2 faz uso de uma funcionalidade que foi inicialmente lançada no TMG MBE chamada de Malware Inspection. Através desta funcionalidade pode inspecionar

tráfego e usar a engine do Antivírus Forefront para fazer o scan de um tráfego HTTP. Desta forma mesmo as máquinas desassistidas que tentarem acessar sites que contenham malware

podem se beneficiar de uma segurança efetiva no perímetro.

Para este assunto recomendo a leitura do artigo “Monitoring Malware Through the Edge with Microsoft Forefront Threat Management Gateway” que escrevi para a coluna de Dica de

Segurança do Mês (Novembro de 2008) da Microsoft.

Outra novidade do é capacidade de usar os recursos do Exchange Edge Transport e Forefront Security Server for

Exchange para fazer inspeção SMTP. Através desta integração de tecnologias o TMG Beta 2 é usado como repositório central para criação de regras Anti-Spam e tais regras são replicadas

para o Exchange Edge Transport e para o FSS para Exchange.

Figura 3: Update Center e as configurações de atualização de definições

Figura 4: janela de configuração da inspeção HTTPs

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 21

É importante salientar que o Exchange Edge Transport já precisa estar instalado na máquina antes de instalar o TMG, caso contrário você receberá a seguinte tela de alerta durante a instalação do TMG:

As políticas de segurança SMTP são criadas na interface do TMG através do uso das opções abaixo apresentadas em três abas, sendo elas:

‣ E-Mail Policy: permite a configuração da publicação

SMTP e conectividade com o servidor SMTP interno.

‣ Spam Filtering: permite a configuração de filtro anti-spam.

‣ Virus and Content Filtering: permite a configuração de antivirus, quantos engines serão usados para fazer o scan SMTP (nesta versão beta até 5 podem ser usados para

SMTP) e filtro de conteúdo.

Conclusão

Este artigo mostrou algumas das principais características de segurança do TMG Beta 2, porém existem muito mais funcionalidades a serem exploradas. Minha recomendação é

que você faça o download desta versão beta e comece a testar. Neste site você pode encontrar não só o bits para download mas também uma versão beta do “Deployment

Guide” do TMG Beta 2 que lhe auxiliará a fazer a configuração inicial.

Sobre o Autor

Yuri Diogenes trabalha na Microsoft no Texas como Sr Security

Support Engineer do time de CSS Forefront Edge Security. É responsável por receber escalações de casos abertos para os produtos Forefront Edge (ISA/TMG), co-autor da coluna “Tales from the Edge” no site da comunidade de Forefront Edge (http://

technet.microsoft.com/en-us/forefront/edgesecurity/bb687298.aspx) e também contribui com os artigos publicados no Blog do time de ISA/TMG (http://blogs.technet.com/isablog). Yuri também escreve no seu

blog pessoal (http://blogs.techenet.com/yuridiogenes) a respeito da sua experiência com os produtos Forefront Edge. Atualmente Yuri Diogenes está escrevendo um livro pela Microsoft Press em parceria com Jim

Harrison (http://www.isatools.org), Mohit Saxena (Líder Técnido do time de Forefront Edge) e tendo como revisor técnico Thomas Shinder (http://www.isaserver.org). O livro deverá ser lançado quando o TMG estiver em versão final no mercado.

Information Systems Security

Association

A comunidade global para os profissionais de

Segurança da Informação

Você não está sozinho ...

Aproximadamente 10.000 membros em todo o mundo

Desenvolvimento profissional

Conferências e Eventos

Descontos para associados

Recursos sobre Segurança da Informação

Desenvolvimento de carreira

Créditos (CPEs) para certificações

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 22

Contrariando a tendência a diminuir investimentos face à crise econômica mundial, a necessidade de garantir a Segurança da Informação segue crescente para a continuidade dos negócios, para a conformidade com as regulações vigentes e para a proteção

aos dados da empresa e de parceiros de negócio. Nos gráficos da Bovespa, mais uma queda é observada. No outro lado do mundo, as bolsas asiáticas caem pelo temor dos investidores com o

aumento das perdas e o Japão, segunda maior economia do mundo, poderá manter-se em recessão durante o início do próximo ano. Este cenário pessimista tornou-se rotina em todo o

globo, desde Tóquio, passando por Wall Street e chegando no Brasil.

Economistas e pesquisadores afirmam que a tendência é que, após o estouro da bolha imobiliária, as perdas agora sigam

aumentando. A preocupação em proteger-se do pior é generalizada e atinge cada um de nós. Quadros de funcionários são reduzidos, orçamentos são revistos, novos investimentos são

praticamente eliminados. Em tempos de crise, é fundamental evitar perdas de receita não previstas. No entanto, o simples corte de gastos não protege as empresas contra perdas em pontos que

exigem processos contínuos de melhoria e monitoração. Quando a continuidade dos negócios está em jogo, a Segurança da Informação entra em campo.

O não cumprimento de regulações como Sarbanes-Oxley, por

exemplo, ocasiona prejuízos muitas vezes bem maiores do que a adoção de controles adequados para assegurar que os três pilares da Segurança da Informação sejam garantidos. Afinal, ninguém

pretende hoje em dia deixar de contar com uma solução de anti-vírus, por exemplo. Em períodos assim, a freqüência de ataques vaumenta substancialmente. Segundo a MessageLabs, houve um

significativo aumento do número de e-mails voltados para roubar dados e senhas dos internautas, em um tipo de ataque conhecido como phishing scam.

Os criminosos estão aproveitando, e muito, o medo generalizado

ocasionado pela crise econômica que se espalhou em todo o mundo. E não falamos só de phishing scam quando a ameaça vem pelo e-mail. O SPAM, outro fator de perda considerável de receita,

pode ser contido em grande parte através de sólidos controles de segurança. Em 2008 identificamos que para uma empresa multinacional com um quadro de aproximadamente 2.500

funcionários, a economia oferecida por uma solução Anti-SPAM em um ano chegou na casa de quatrocentos mil dólares. Fenômenos muito comuns nestes períodos turbulentos são fusões e

aquisições entre companhias. Segundo Steven Katz, é neste período que precisamos dar mais atenção para funcionários descontentes, que devido

ao nível de acesso a informações privilegiadas, sempre consistiram, naturalmente, em uma das principais ameaças à Segurança da Informação de uma empresa. Não devemos esperar que, agora,

este risco diminua.

Pelo contrário. Conforme Katz, relatórios de controle de acesso e atividades de usuários privilegiados devem ser mais monitorados

do que nunca. E não só isso: a fusão de companhias envolve mudanças significativas na infraestrutura tecnológica e na estrutura de informações de uma empresa, não esquecendo, ainda, de políticas, procedimentos... a lista é longa. Nesta situação, a

realização de uma Análise de Risco é indispensável, contemplando todas as mudanças no novo ambiente e o impacto oferecido na Segurança da Informação da companhia.

Mais do que nunca, portanto, é fundamental continuar investindo naquilo que é mais crítico para a continuidade do negócio. E, felizmente, é isso que tem ocorrido. Uma pesquisa realizada com

executivos de mais de 50 países e divulgada em outubro pela Ernst & Young apresentou que as corporações estão, de fato, aumentando os investimentos na área de Segurança da Informação, com padrões internacionais de segurança sendo adotados cada vez mais no

mercado. A pesquisa é corroborada, ainda, pelo (ISC)2 Global Information Security Workforce Study, que revelou um paralelo entre o ato de realizar uma análise dos riscos e o aumento da

confiança na organização. A chave para sobreviver à crise com menos arranhões está nas mãos das empresas onde a confiança existe entre seus acionistas, onde a redução de custos ocorre sem a

redução da segurança, onde a continuidade dos negócios é encarada como a prioridade e onde a Segurança da Informação é tratada como um aliado indispensável para a redução das perdas que ameaçam o presente e o futuro que virá.

Sobre o Autor

Lucas Donato, consultor e sócio da e-trust, CISSP, graduado em Ciência da Computação pela UFPel e pesquisador em Forense Computacional. Possui experiência em Análise de Risco, Testes de Intrusão, Diagnósticos de

Vulnerabilidades e Análises de Sistemas Críticos. Possui experiência em Resposta a Incidentes e Perícia Forense. Participou de projetos nos setores Financeiro, Energia, Governamental, TI, Oil and Gas, Saúde, entre outros. Pode ser

contatado através do e-mail lucasdonato@gmail.com.

Segurança da Informaçãoem Tempos de CrisePor Lucas Donato

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 23

Quando aceitei escrever este artigo, escolhi falar justamente do processo de estudos que fiz como preparação para a prova durante o ano 2008, e a contribuição que o grupo de estudos teve sobre essa jornada. Para os que almejam a certificação, já aviso que não falarei

sobre nenhuma dica de conteúdo de prova (estude mais isso ou não se preocupe com este conceito, etc), mas sim tentarei passar a experiência vivida nesta caminhada e talvez sirva como norte para

outros que pretendem iniciar a preparação. A jornada começa em 2007,  quando um colega de trabalho comentou sobre o grupo de estudos, procurei saber mais a respeito (onde se reuniam, como era o

formato das apresentações e etc).

Infelizmente por razões pessoais não consegui participar dos encontros do grupo e nem estudar os domínios, mas eu tinha um objetivo (passar na prova do CISSP é claro) e sabia que se eu quisesse

alcançar teria que me dedicar e acredite, a não ser que seja um humano fora da curva de aprendizagem você precisará de dedicação. Minha opinião, estudar um conteúdo extenso como é o do CBK

sozinho é muito chato e a dispersão ocorre e o estudo não é tão produtivo. Ter a opção de complementar isto com o apoio de outros colegas que estão estudando ou que já passaram por este caminho é

perfeito, pois discutir os assuntos relacionados aos domínios ajuda a desatar alguns "nós" em algum conceito ou definição, principalmente em áreas que temos pouca experiência.

Adotei o material de estudo recomendado pelo grupo, AIO 4º e o

Official Guide de 2008, mas como material de apoio usei muitas fontes de leitura, sempre procurando ser bem criterioso quanto a isso independente se a informação coletada fosse pela internet ou mesmo

por outros livros.

Com o material de estudo decidido, eu precisava saber onde seria necessário me focar e a cada novo domínio eu fazia um teste de

avaliação antes mesmo de começar a leitura do domínio, esta forma me ajudava a identificar o tamanho do gap que teria que preencher para dominar o conteúdo. A auto-avaliação além de ajudar a conhecer o que precisa ser corrigido, também fornece importantes

indicadores de como está os resultados da aprendizagem, por exemplo, quando os testes começarem a atingir 85% de acerto eu considerava um nível aceitável de conhecimento. Encontrar seu

próprio ritmo de estudo é importantíssimo, não adote cegamente "táticas" sem antes saber se você se adapta. Eu por exemplo, reservava algumas horas da manhã para responder questões e a noite eu me

dedicava à leitura e revisão de conteúdo e claro comparecia aos encontros do grupo de estudo (só faltei um) e sempre obedecendo a uma simples regra de entendimento quando surgia algum conflito de

definição nos livros para o mesmo assunto, por convenção eu seguia o que estava escrito no material oficial. Mas por que isso? E se a definição

estiver errada? Simplesmente para evitar perda de tempo resolvendo dilemas na prova e isto se mostrou muito útil.

Já pensou tendo que parar algumas vezes durante a prova para decidir qual literatura está certa? Qual a que mais você concorda sobre um assunto? Este ritmo pendurou até início de novembro de

2008, pois no final deste mesmo mês eu tinha agendado o CISSP CBK Review Seminar com incentivo da empresa onde trabalho e era o marco para o início do intensivo até a data do teste (13/dezembro/2008).

Programei dez dias de férias após a semana do seminário, para me dedicar em tempo integral a preparação, mas não deixei de seguir minhas regrinhas de estudos, só aumentei as horas de estudo. Em 10

dezembro eu já tinha contabilizado mais de 6 mil questões respondidas entre testes preparatórios on-line, escritos e os que eu mesmo preparava para estudar em inglês, então decidi colocar todos

os meus livros de canto, o que tinha que aprender já tinha aprendido e precisava relaxar um pouco e me preparar para colocar em prática um ano de esforço.

Eu me sentia preparado mentalmente, afinal foi um ano de

preparação, o preparo físico foi alcançado com o período de férias e os últimos dias que antecediam o momento decisivo, foram usados somente para espairecer, pois 6 horas de prova   e 250 questões

esgotam qualquer um. Para conseguir responder bem, precisava estar preparado para tal e focar no objetivo para não perder tempo, pois você terá em média 1,44 minutos de tempo bruto de resposta em cada

questão. Felizmente toda a dedicação rendeu ótimos frutos, fiz bem a prova,cansei bastante, mas não me esgotei, minha rotina ajudou muito a me manter calmo e focado, só me restava esperar o resultado. Para minha surpresa recebi o e-mail de congratulations na véspera de

Natal. Foi o melhor presente possível, pois era a comprovação de que todo o esforço e tempo dedicado valeram a pena, alcancei meu grande objetivo em 2008 me tornei um CISSP e não simplesmente

"tirei" a certificação.

Sobre o Autor

Auro C. Rigotti Jr, é analista de segurança e redes da CCEE, com mais de 6 anos de experiência em segurança da informação com foco técnico (Firewall,

IDS, IPS). Certificado CISSP, Security+ e associado ISSA Brasil. Pode ser contatado em rigottijr@gmail.com

Você está preparado para o CISSP?Por Auro Rigotti

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 24

Aconteceu no final de semana do dia 10 de janeiro. Peguei um velho notebook com 1Gb de RAM que precisava ser reinstalado e instalei o Windows 7. Testei alguns sites, home bankings, drivers dos meus dispositivos e alguns softwares, tudo ocorreu sem surpresas, apenas o

home banking da Caixa Econômica Federal não funcionou (apesar do plugin GBuster instalar normalmente), mas como eu disse, isso não foi uma surpresa.

Não satisfeito fiz um backup de meu notebook de produção (no qual trabalho todos os dias e escrevo este artigo agora), apaguei as partições existentes e instalei o Windows 7 nele também (por

motivos de segurança fiz tudo nessa ordem).

Usar um Beta como ambiente de produção não é novidade para mim, faço isso desde o Beta 2 do Windows NT 4.0 e até o momento não me arrependi. Quando comecei a usar o Vista (Beta 1) como

único sistema de meu note, encarei muitos problemas de compatibilidade, assim como encarei com o Windows 95 e NT Workstation, mas o problema não estava nos sistemas em si, e sim na

falta de suporte dos fabricantes e desenvolvedores.

Sempre que há uma mudança substancial na forma como o sistema operacional trabalha, os primeiros usuários do sistema sofrem com

problemas de compatibilidade, mas infelizmente compatibilidade total significa na maioria das vezes estagnação, principalmente se pensarmos pelo lado da segurança. Como posso aumentar a segurança mantendo compatibilidade com padrões e formas de

programar obsoletas e inseguras?

Como costumo a dizer em meus treinamentos, Deus só conseguiu terminar o mundo em 6 dias porque não tinha versão anterior,

mesmo sem ter aspirações a gerente de projetos (apesar do inverso ser verdadeiro em alguns casos).

Darwin se impressionaria com a evo lução do v i s ta sobre o XP, principalmente se considerarmos que o Windows começou com um ser

unicelular como o Windows 3.11. Contudo, o que nos espera agora é uma mudança um pouco mais sutil, o Windows 7 na realidade é um sistema intermediário, sem grandes alterações no DNA mas ao

mesmo tempo é um Vista amadurecido, assim como foi a evolução do Windows 95 para o 98 e do 2000 para o XP e 2003. Prova disso é que quando se pergunta ao Windows sete quem é ele (comando

Winver). Ele responde com toda sinceridade: Windows 6.1 Build 7000.

Primeira Impressão

Já ao abrir o Windows 7, percebi que sua interface continha muitos aprimoramentos de usabilidade, o que com certeza aumenta a

segurança. Na minha opinião, quando o usuário não entende o que está fazendo, ele se torna muito mais vulnerável a ataques.

Outra coisa que me chamou a atenção foi a tela de autoplay. Ao

conectar um HD externo, o Windows incluiu a opção de fazer um backup naquele momento. Optei por fazer o backup e me deparei com uma interface super simples e auto-explicativa.

Windows Action Center

A Microsoft substituiu o Windows Security Center pelo Windows Action Center. Nessa nova interface o usuário pode visualizar as ações necessárias para a manutenção do computador. Podemos deixar que o Windows cheque por problemas em várias áreas,

dentre elas:

‣ Windows Update;

‣ Internet Security Settings;

Segurança no Windows 7Por Fernando Fonseca

VERSÃO ANTERIOR NOVA VERSÃO PRINCIPAIS EVOLUÇÕES DE SEGURANÇA

Windows 3.x Windows 95Núcleo 32 Bits, Multitarefa preemptiva, proteção de memória, alguma proteção de

acesso a hardware.

Windows 9x Windows NT/2000

Muda tudo, a arquitetura NT é baseada no Digital VMS, é feito para atender o nível C2

do Orange Book. Sistema nativo 32 Bits, Security Reference Monitor, Controle de

Acesso, NTFS, etc

Windows NT 4Windows 5.0 (2000), 5.1

(XP) 5.2 (2003)

Kerberos, IPSec, DNS Dinâmico, LDAP, Plug and Play, Certificados Digitais, Filtro de

pacotes, etc.

Windows 5.xWindows 6.0 (Vista e

2008)

Bitlocker, UAC, ACL de Serviços, Controle de Integridade Mandatório, Kernel Patching

Protection, Code Integrity, Address Space Layout Randomization, IE7, IIS7, etc.

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 25

‣ Network Firewall;

‣ Spyware;

‣ Network Access Protection;

‣ Windows Backup

‣ Windows Troubleshooting

‣ e User Account Control.

Bitlocker To GoOutra novidade é o painel do Bitlocker. Agora é possível

criptografar outras unidades de disco e até mesmo discos externos ou Pen Drives. Para realizar o teste eu utilizei um Pen Drive de 1 GB lotado de arquivos. Assim que optei por criptografar o Pen Drive, o

Bitlocker criou uma chave de recuperação para ser usada caso eu perca a senha ou o Smart Card, e me ofereceu duas formar de guardar essa chave, em um arquivo ou imprimindo.

Após a Criação da chave, o software me avisou para não retirar o

pen drive enquanto a criptografia não terminasse, e avisou também que somente poderei decriptografar os dados em computadores usando Windows. Uma vez que concordei com essa advertência o

Bitlocker começou a criptografar o Pen Drive e colocou uma tela indicando o progresso da criptografia.

Com a criptografia terminada, testei meu Pen Drive em computadores XP e Vista, e ao inseri-lo na USB ele abre automaticamente um pequeno executável que se encontra na raiz da unidade e pede a senha do dispositivo (calma, não é a chave de

recuperação), e ao conferir a senha ele abre um pequeno file manager para que os arquivos possam ser acessados. O único inconveniente dessa solução é que quando utilizada em outros

sistemas que não o Windows 7, não se pode acessar os dados diretamente do Pen Drive, ao contrário de outras soluções interessantes como True Crypt e Best Crypt, eles tem que ser

copiados para uma pasta local para depois serem acessados. Se aberto no Windows 7 essa limitação não existe.

User Account Control

De todos os novos recursos do Windows Vista, o UAC é sem dúvida o um dos maiores aliados do usuário administrador, no entanto percebi muita resistência ao seu funcionamento por parte de vários usuários, que paradoxalmente sempre reclamaram de segurança. Creio que toda a

Microsoft deve ter ouvido as mesmas reclamações, e colocou no Windows 7 um ajuste de UAC com maior granularidade, o que classifico como a mudança mais significativa no tocante a segurança do que vi até agora do

produto.

O UAC ganhou um controle deslizante, que permite ao administrador da máquina selecionar um entre quatro níveis de proteção:

‣ Nunca Notificar – Age como o XP. Não pede consentimento para nenhuma ação que o usuário ou um programa iniciado por ele esteja realizando. Neste modo os privilégios de administrador de um usuário são utilizados sem que ele seja avisado.

‣ Notificar ações de programas (Não escureça minha tela) – O usuário pode realizar qualquer ação com privilégios administrativos, mas quando um programa precisa de permissões administrativas, o usuário

é consultado sobre conceder ou não essas permissões.

‣ Notificar ações de programas (Modo Padrão) – Este modo funciona como o 2, sua única diferença é que assim como o Windows Vista, ele

escurece a tela e isola o processo de confirmação de elevação de privilégios, evitando que um código malicioso injete uma resposta automática permitindo a ação.

‣ Notificar ações de programas e do usuário (Vista) – Este é o modo

padrão do Vista, nele o usuário é consultado sempre que um programa ou ele mesmo necessite realizar uma ação.

Conclusão

Os principais avanços de segurança vieram no Windows Vista, mas

ainda não foram, compreendidos e aceitos pelos usuários, eu mesmo conheço profissionais envolvidos com a área de segurança que desativam o UAC no Windows Vista por comodidade. O Windows 7

vem trazendo algumas novidades e melhorias para facilitar a adoção do produto mas no fundo não se difere muito do Vista nos principais aspectos, o que é muito bom se considerarmos a evolução que o Vista representa no quesito segurança. Quase um mês depois da primeira

instalação continuo não encontrando dificuldades no uso do Windows 7 com diversos softwares e equipamentos. Minha opinião é de que vale a pena conferir o produto, a versão Beta já está incrivelmente estável e

operacional.

Sobre o Autor

Fernando Fonseca, Diretor de Comunicação do Capítulo Brasil-SP da ISSA e secretário do grupo de CSO’s Infosec Council. Consultor de segurança da

informação CISSP, Security +, MCSO, MCT e MCSE Security. Ministra treinamentos nos cursos MSCO e aulas em faculdades, realiza palestras e projetos de segurança, e é responsável pelo conteúdo da Academia Microsoft de Segurança da Informação e do Technet Security Experience.

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 26

O tema privacidade é bastante extenso e complexo. Não temos aqui a pretensão de esgotar o tema mas sim, fazer breves comentários sobre o assunto. Sabemos que os limites do monitoramento digital dentro do ambiente empresarial

esbarram na privacidade e na intimidade dos colaboradores. Mesmo nas empresas, os colaboradores ainda detém estes direitos e em caso de monitoramento, este deve ser feito sob

circunstâncias bastante controladas e previamente definidas.

A privacidade e intimidade são direitos protegidos pela nossa Const i tuição. São alguns dos chamados Direi tos da

Personalidade. Eles são alguns dos direitos mais básicos da pessoa humana sendo necessários para a preservação da honra e da vida privada de uma pessoa. Cabe lembrar que a privacidade é irrenunciável e a sua limitação deve ocorrer por

vontade expressa da pessoa, de forma específica e limitada a um determinado fim. As eventuais renúncias (como as necessárias para o monitoramento digital nas empresas) não podem ser

gerais, inespecíficas, permanentes, ilimitadas ou abusivas.

Ao mesmo tempo, o empregador tem o direito de monitorar sua estrutura computacional; até porque ele responde pelos atos dos

empregados quando estes o praticam sob sua estrutura. O monitoramento da atividade dos empregados tem a função preventiva de identificar potenciais desvios ou riscos para atividade. Vemos, portanto, que os dois direitos (privacidade X

direito de monitorar) devem coexistir em harmonia sem que um se sobreponha ao outro.

No entanto como fazer com que eles convivam em harmonia?

Em primeiro lugar, o monitoramento deve ser previsto nas Políticas de TI da empresa. A própria ISO 27002 fala em seu item 10.10 sobre a observância de requisitos legais da atividade

de monitoramento. Além do mais, o monitoramento deve ser comunicado antecipadamente a sua realização, através de termos de ciência, do contrato de trabalho ou ainda através dos logon banners. Isto tudo para afastar qualquer expectativa de

privacidade que o empregado possa ter na utilização dos recursos. No caso de relações entre empresas, se houver necess idade de moni toramento ou in terceptação de

comunicações (incluo aqui os famosos penetration tests), tal deve ser expressamente previsto em contrato, para evitar a quebra ilegal da privacidade.

Outro ponto importante é a questão do uso pessoal dos recursos da empresa. Se a empresa permite que o funcionário use sua estrutura para atividades pessoais (incluindo acesso a homebanking, comunicações com parentes,

advogados ou médicos), tais comunicações não podem ser objeto de monitoramento. A operacionalização desta limitação pode ser um problema para a equipe, sendo a proibição do uso

pessoal recomendada.

O monitoramento deve ser feito de maneira mais impessoal possível, automática e sem representar perseguição ou abuso de

poder por parte do empregador. Alerta-se que se o empregador comunica que vai monitorar, deve sempre monitorar em bases periódicas, sem discriminação entre cargos ou setores.

Caso isso não aconteça há o risco do empregado alegar

perseguição, se conseguir provar que o empregador nunca monitorou nenhum funcionário, em nenhuma circunstância, mas em contrapartida monitorou excessivamente um único

func ionár io . J á pub l i cação de l og s e p rodu to s de monitoramento dentro da empresa, como acontece em algumas situações, além de potencialmente causar danos morais ao

empregado caso revele informações pessoais, pode até configurar o conhecido assédio moral.

A produção de provas digitais (leia-se aqui também a produção de logs ou monitoramentos) com o desrespeito ao direito à

privacidade, torna a prova nula obtida nula, prejudicando os fatos que dependem daquela prova. É a chamada prova ilegal. Além do mais há que se ter bastante cuidado com o

monitoramento eis que, quando não autorizado ou feito de maneira desregrada, mesmo no ambiente empresarial, pode tipificar o crime de interceptação telemática ilegal, punido com

pena de reclusão de 2 a 4 anos.

Sobre o Autor

Guilherme Damasio Goulart é advogado, consultor nas áreas de Direito da Tecnologia da Informação e Segurança da Informação, palestrante e conferencista. Mestrando em Direito Privado pela

Universidade Federal do Rio Grande do Sul. Editor do blog http://direitodatecnologia.blogspot.com, pode ser contatado através do endereço de e-mail guilherme@direitodatecnologia.com.

A Privacidade como Limitador do Monitoramento DigitalPor Guilherme Damasio Goulart

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 27

ISSA Day em Novembro

No dia 26 de novembro a ISSA Capítulo Brasil/SP realizou o último ISSA Day de 2008 em São Paulo, que contou com um público recorde de quase 100 pessoas. Esta edição foi viabilizada graças ao apoio da CLM, que abriu o evento apresentando uma

palestra sobre as soluções Sourcefire (IDS) e ArcSight (SIEM). Este foi o terceiro evento patrocinado pela CLM, que por coincidência ocorreu exatamente um ano após o ISSA Day de novembro de

2007.

Neste evento, a ISSA Brasil convidou o André D. Corrêa para apresentar o projeto “Malware Patrol”, antigamente conhecido

como “Malware Block List”. Nos últimos 3 anos o projeto Malware Patrol tem coletado, analisado e monitorado URLs utilizadas em Phishing Scams e que apontam para Malwares.

As listas de URLs criadas pelo projeto são distribuídas gratuitamente

para que administradores de sistemas e redes bloqueiem o acesso a elas, impedindo assim que usuários sejam infectados por códigos maliciosos. Nesta ocasião, o André apresentou os desafios

encontrados por ele para desenvolver e manter este projeto, bem como os aspectos de colaboração com a comunidade de segurança e as tendências futuras em phishing scams.

Happy Hour ISSA em dezembro e fevereiro de 2009

Para encerrar o ano, a ISSA Brasil promoveu um Happy Hour com seus associados e convidados, realizado no dia 16 de dezembro no bar O'Malleys, em São Paulo. Nesta ocasião, cerca de dez pessoas compareceram para conversar e se confraternizar.

Também decidimos iniciar o ano de 2009 marcando um Happy Hour para nosso primeiro encontro com os associados e convidados, realizado no dia 18 de fevereiro no bar O'Malleys, juntando cerca de

15 pesoas.

Encerramento do Grupo de Estudos CISSP 2008

O último encontro de 2008 do Grupo de Estudos CISSP ocorreu no dia 29 de Novembro na sede da Microsoft Brasil, com um simulado

para encerrar a revisão final de todos os domínios do CBK. Também contou com a presença do presidente da ISSA Capítulo Brasil, Anchises M. G. De Paula, que participou do grupo de estudos em seu primeiro ano e aproveitou a oportunidade para fazer

um balanço do grupo e conversar com os presentes sobre os planos para 2009.

O Grupo de Estudos é gratuito e aberto a todos os interessados em

obter a certificação CISSP. Ele é organizado pela ISSA Brasil e

conta com o apoio da Microsoft Brasil, sendo coordenado pelo Paulo Teixeira, secretário da associação. Desde sua fundação, em 2005, 18 profissionais de segurança conseguiram

obter a certificação CISSP com o apoio do grupo de estudos.

Grupo de Estudos CISSP 2009

As férias estão terminando e 2009 já está a todo vapor. Agora é hora de retomarmos nossas atividades profissionais com força total e também é o momento certo de rever nosso planejamento educacional para o ano. Para nós da ISSA também é hora de

recomeçarmos nosso Grupo de Estudos, justamente pensando em uma forma viável de colaborarmos com o planejamento educacional de cada um de nossos associados.

Lançamento do Grupo de Estudos CISSP 2009As atividades do Grupo de Estudos recomeçaram no dia 14/02 no encontro que chamamos de “Dia 0”. Nesse encontro foram apresentados os objetivos de estudo, o calendário de encontros e

muitas outras informações pertinentes que irão formar a base para os trabalhos de 2009. Contamos também com uma palestra do Djalma Andrade, representante da Microsoft, e da Eva Pereira, pela NEC.

Neste ano teremos a 6ª. Edição do Grupo de Estudos CISSP, que já ajudou na formação de 18 CISSP’s no Brasil. Este grupo contará mais uma vez com o patrocínio da Microsoft Brasil o que demonstra

a importância dessa iniciativa perante a comunidade de Segurança e é motivo de grande orgulho para a ISSA Brasil. A grande novidade

AtividadesO bimestre da ISSA Brasil e Informações para Associados

Por Equipe Editorial Antebellum

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 28

fica por conta do primeiro Grupo de Estudos CISA, voltado para esta importante certificação da Information Systems Auditor and Control Association (ISACA) que neste primeiro ano será patrocinado pela NEC do Brasil.

Outra novidade é que a partir deste ano os eventos dos Grupos de Estudo passam a ser exclusividade dos associados da ISSA. Com isso estamos trazendo uma comprovada ferramenta de aperfeiçoamento

profissional para aqueles profissionais que investem em seu desenvolvimento profissional e acreditam no trabalho que a diretoria da ISSA Brasil tem feito em nossa comunidade local. As pessoas

interessadas nos grupos de estudo podem participar de dois encontros antes que lhe sejam exigidas a associação.

Para mais informações a respeito dos tipos de associação disponíveis acesse o web site da ISSA e para participar dos Grupos de Estudo

basta fazer sua inscrição diretamente no site da ISSA Brasil. Lá também estarão disponíveis as datas dos encontros e o guia dos participantes de cada um dos grupos contendo todas as informações

sobre material de estudo, locais e horários dos encontros entre outras.

ISSA Participa do Debate sobre Fraude Eletrônica

No dia 12 de fevereiro, a TV Decision promoveu o terceiro Decision

Report Meeting, com objetivo de discutir as práticas de prevenção, as políticas de segurança e as tecnologias utilizadas no setor financeiro.

O debate contou com convidados presenciais e foi transmitido ao

vivo a mais de 800 pessoas inscritas. A ISSA Brasil foi representada pela presença, na platéia convidada, do seu presidente, Anchises M. G. De Paula.

ISSA no Twitter

Para facilitar e agilizar a comunicação da ISSA Brasil com seus associados, a atual gestão criou recentemente um canal no Twitter em http://twitter.com/issabrasil. Através dele enviamos notificações

sobre novidades e as principais atividades realizadas pela ISSA.

Parcerias Renovadas

A ISSA Capítulo Brasil renovou suas parcerias estratégicas com a Módulo e o IDETI, garantindo descontos exclusivos para seus associados nos principais eventos de segurança de 2009.

PARCEIRA COM O IDETI

O IDETI – Eventos em Tecnologia da Informação em 2008 teve

7288 profissionais participantes de seus Eventos, sendo que o principal dele é o CNASI (Congresso Latino-Americano de Auditoria de Sistemas, Segurança da Informação e Governança), o

evento mais importante no mercado brasileiro de segurança da informação. Em seus 17 anos de realização, O CNASI tem por objetivo atualizar e capacitar os profissionais envolvidos com as áreas de Auditoria de Sistemas, Segurança da Informação e

Governança. O CNASI 2009 será realizado em 5 praças: no Rio de Janeiro em março, em Brasília no mês de maio, em São Paulo em setembro, na cidade de Salvador em outubro e também em Porto Alegre no mês de novembro.

PARCERIA COM A MÓDULO

Através da Módulo Education renovamos o apoio da ISSA ao GRC

Meeting 2009, um encontro especial com foco em Governça, Riscos e Compliance que reúne os principais executivos do país.

O evento será realizado de 13 à 16 de agosto de 2009 no Hotel do

Frade & Golf Resort em Angra dos Reis, no Estado do Rio de Janeiro. Todos os associados ativos da ISSA terão direito a um desconto de 20% na inscrição para o evento.

Novas Parcerias

PARCERIA COM A CONVISO IT SECURITY

Os associados ativos da ISSA recebem um desconto de 20% em todos os cursos fornecidos pela Conviso IT Security. A empresa

oferece treinamentos específicos para capacitação em:

‣ Internet Hacking Techniques

‣ Web Hacking Techniques

‣ Segurança em Desenvolvimento e SDL

‣ Segurança no Desenvolvimento de Aplicações (C/C++, Java, .Net, php e Ruby on Rails)

Para obter o desconto, basta informar o seu número de associado no

momento da inscrição. A agenda dos cursos está disponível no site da empresa em www.conviso.com.br.

PARCERIA COM A LSI-TEC

Os associados ativos da ISSA recebem um desconto exclusivo em todos os treinamentos de segurança fornecidos pela LSI-TEC em

2009.

‣ Segurança de redes Wireless

‣ Gestão da Segurança da Informação

‣ EHT em aplicações Web

‣ Investigação e Perícia Digital

‣ EHT em redes e sistemas

‣ Segurança de Redes

Os associados que se inscreverem em até 15 dias antes do curso tem direito a um desconto de 15%, ou 10% caso se inscrevam fora deste prazo. Para obter o desconto, basta informar o seu número de

associado no momento da inscrição. O conteúdo e calendário dos cursos estão disponíveis em http://nsc.lsi.usp.br/treinamentos.php

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 29

Que fatores podem levar uma pessoa sã e em pleno domínio de suas faculdades mentais a arriscar sua vida para realizar talvez, o que pode ser considerada a maior loucura que um ser humano pode realizar enquanto vivo? Estou falando de se lançar de um avião em

pleno vôo, despencando a uma altura de mais de 12 mil pés a uma velocidade de 200 quilômetros por hora em queda livre durante pelo menos, 50 segundos e após isto, contar com a abertura mecânica de

um material que uma vez aberto, garantirá a continuidade (olha eu aí citando plano de continuidade...) de sua existência ? O que levaria essa mesma pessoa a querer repetir sempre que possível essa mesma

experiência chegando a experimentar sensações cada vez mais intensas e diversas e expondo-se ao risco de o tal material não “abrir” ?

Creio que após mais de 30 saltos, a única resposta que consigo

pensar é: um prazer incomensurável pela mais pura adrenalina positiva elevada ao máximo. Nenhum outro esporte por mais radical que seja, chega perto da absurda sensação de liberade e bem-estar

causada por um salto de paraquedas em queda livre (lógico, desde que o mesmo abra certo após a queda! ).

Sempre tive amigos que, há mais de dez anos atrás sempre me

incentivavam a experimentar esta sensação fantástica do paraquedismo, mas eles próprios por uma ou outra razão nunca tinham saltado. Aqui vale abrir um parêntesis para uma pequena explicação: O “pessoal” normalmente, quando fala de

paraquedismo, diz “pular de para-quedas”. O correto é saltar, pois pular, a gente pula “para cima” e saltar a gente salta “para baixo”. Então estarei sempre falando de salto de para-quedas que é o

correto.

Todos ficavam botando “lenha na fogueira” e ninguém se arriscava a ser o primeiro. Então, um dia (há mais de 10 anos atrás mais

precisamente junho/1992), eu fui numa escola em Pinheiros e pedi explicações sobre o processo para realizar o curso de static-line e fazer um salto. Após todas as explicações, não tive dúvidas: fiz minha matrícula e de mais cinco amigos que ficavam me

“incentivando” a saltar.

Saí da loja e liguei para cada um deles dizendo para desmarcar qualquer compromisso na data do curso, pois eles iriam realizar

aquilo que tanto “queriam”. Todos foram pegos de surpresa e me chamaram de louco, mas acho que gostaram da idéia. No final de semana marcado então, fomos todos os oito (mais 2 se juntaram a

nós quando perceberam que iríamos de qualquer jeito) para Campinas na Escola de Paraquedismo Azul do Vento (http://www.azuldovento.com.br).

Lá chegando fomos nos apresentar para as aulas e iniciar o curso que ocuparia todo o sábado, sendo que ao final haveria uma prova teórica e o

salto finalmente no Domingo. Tivemos que definir quem seria o primeiro a sair do avião e é claro, todos escolheram que eu fosse o primeiro para “aliviar o peso”, pois eu era

um dos maiores dentro do avião.

O salto static-line é caracterizado por uma fita que vai amarrada no avião e a outra ponta no dispositivo que aciona o para-quedas

principal. O processo é simples: quando o avião chega à altura de 4 mil pés a jumpmaster (olhem que sorte que eu tive) pede para o piloto “cortar” o motor (isto significa parar de acelerar o avião) e ela vai corrigindo a rota do piloto de forma ao avião “despejar” as

pessoas bem em cima da área de salto.

Em seguida é o momento mais terrível e que dá mais frio na barriga que já passei... Ela abre a porta do avião. Nesta hora, a sensação é

indescritível: o cheiro da gasolina, o vento frio e aquele abismo embaixo de você criam um misto de sensações de medo, orgulho, respeito e sabe-se lá mais o que. Com a porta aberta vem a

pergunta: “Está pronto?” e o aluno deve acenar que sim com a cabeça. Então vem a temível ordem: “Ao montante” e a instrutora aponta o dedo para fora. Neste tipo de avião utilizado, têm-se dois elementos fundamentais para o aluno: o primeiro é o estribo que é

onde se coloca o pé para ir se deslizando a mão no montante da asa (montante é aquele ferro que gruda a asa ao corpo do avião em posição diagonal) até chegar às marcas definidas com fita vermelha.

Nesta hora, não existe mais o santo estribo onde apoiava os pés.... Agora é tudo ou nada... Você sente aquele vento frio e cortante, adrenalina a milhão e você está literalmente pendurado com suas

mãos no montante sem nenhum apoio para os pés. A única ligacão sua com o avião é a fita que abrirá seu paraquedas. Então nesta hora é que chega o êxtase do salto.

A instrutora fala “olhe para cima” (sim, porque se você olhar pra

baixo e ver aquele abismo, não soltará jamais do montante e grudará na asa, se preciso). Então, nada mais resta a fazer senão abrir as mãos e rezar. Ao largar, deve-se contar: um mil, dois mil,

três mil, ...até cinco mil. Sempre me perguntei o porquê não contar de um a cinco apenas... Quando o aluno larga do montante, demora algo em torno de cinco segundos para que a fita estique e abra o

para-quedas que ele tem às costas. Então essa história de contar de um a cinco mil é o tempo exato de esticar a tal fita. Quando o para-

Off Line: o Lado Relax da SegurançaAdrenalina mais que positiva

Por Ricardo Giorgi

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 30

quedas se abre após estes cinco intermináveis segundos, aí é a hora da curtição, do vôo, da liberdade de voar sem asas literalmente.

O aluno que sempre está de capacete e com rádio começa a receber instruções de vôo e triangulação de trajetória para se preparar para

o pouso. Quando finalmente está prestes a pousar, recebe a instrução de “Flare”. Isto significa que ele deve puxar duas cordinhas que tem na mão e que foram usadas para direcionar ou

pilotar o para-quedas enquanto em vôo.

O aluno para pousar suavemente e sem impacto deve puxar as duas cordinhas de uma só vez, pois apenas desta forma o para-quedas

reduz a velocidade de vôo e proporciona um pouso seguro. Ocorre que devido à adrenalina muitas vezes, alguns alunos não atentam para este simples comando e pousam puxando apenas uma cordinha o que causa os tombos mais engraçados e cômicos. Ao

chegar ao chão o aluno está até meio anestesiado e a primeira coisa que faz é olhar pra cima e se perguntar: Como é que eu tive coragem de fazer isso ? A segunda coisa é sair correndo dali para

fazer a inscrição do próximo salto para repetir esta indescritível e maravilhosa sensação novamente...

Após esta super dose de adrenalina positiva agora dá pra entender

quando os para-quedistas comentam entre si: “Só nós sabemos porque os pássaros cantam”. Aos que se interessarem pelo assunto e qui serem rea l izar seu pr imeiro sa l to, cr ie i o g rupo firstjump@yahoogroups.com. Podem enviar e-mail solicitando

cadastro, pois assim que tivermos uma massa de interessados poderemos comunicar todos via lista.

Sobre o Autor

Ricardo Giorgi é professor de graduação e pós-graduação da FIAP –

Faculdade de Informática e Administração Paulista e Mestre em Engenharia de Computação pelo IPT-USP. É Consultor Especialista em Segurança da Informação e Executivo de TI e co-autor do “Guia Oficial para Formação de

Gestores em Segurança da Informação – Volume 2 da Modulo”. Possui certificações CISSP, CISM, SSCP, GREM, CEH, MCSO, Security+, RHCE, LPI.

ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 31

Práticas Bestas

ESTÓRIAS DE CPDS

Na edição passada comentamos como simples faxineiras podem oferecer uma ameaça real aos ambientes de informática, mas na

verdade qualquer profissional que tenha acesso a estes ambientes deve ser devidamente orientado sobre os cuidados necessários e os riscos que podem representar ao negócio - antes que seja tarde

demais.

Certa vez fomos chamados no final da tarde porque a página principal web estava fora do ar. Centenas de clientes estavam

ligando no call center e, como era rotina nessa empresa, os gerentes já haviam acionado todos os nossos fornecedores, chamando o pessoal de suporte de hardware, o especialista do fornecedor dos equipamentos de rede, e por aí vai.

Um verdadeiro exército de profissionais de TI começava a lotar o datacenter. Não demorou muito para perceberem que o problema estava na conexão com o banco de dados – isto é, na falta de

conexão, pois os servidores dos bancos de dados estavam fora do ar. Tentamos acessar remotamente os servidores sem sucesso. Havíamos feito um upgrade nos hardwares servidores recentemente, então o

receio era que tivesse ocorrido uma falha nos novos equipamentos.

Fomos correndo ao datacenter e nos encontramos com duas pessoas da área de suporte, que haviam acabado de retirar dois servidores do rack. Eles foram instruídos a retirar os servidores antigos de

banco de dados para liberar espaço no datacenter, porém não notaram que retiraram, por engano, os servidores novos, que estavam em produção.

ASCII art

A ASCII art é um m o v i m e n t o artístico onde são

utilizados apenas o s c a r a c t e r e s ASCII para criar imagens e letras

em computador. Foi muito popular nas décadas de 70

e 80, nas BBSs, p o i s n a é p o c a praticamente não

existiam recursos

gráficos e as comunicações fluíam somente através de interfaces baseadas em texto. Imagens em ASCII Art podem ser criadas através de um editor de textos simples (como o Notepad)

ou utilizando alguns softwares conversores, que transformam uma imagem normal em uma versão baseada em caracteres.

PARA SABER MAIS

http://en.wikipedia.org/wiki/Ascii_art

http://www.ascii-art.com

Bookmark

QUADRINHOS NA INTERNET

O site http://xkcd.com/ possui vários quadrinhos interessantes e divertidos, sendo que vários são com temática “nerd” (muitas

historinhas são baseadas no universo Internet, tecnológico e matemático). E o melhor: são licenciados pela Creative Commons, livres para reprodução não comercial.

Frases

“Considerando o triste estado atual de nossos programas de computador, o desenvolvimento de software ainda é, claramente, uma ciência oculta, e ainda não pode ser considerada uma disciplina da engenharia.”

Bill Clinton

Estatísticas para mostrar para o Chefe

O CERT.br consolidou suas estatísticas de incidentes reportados em 2008. As tentativas de fraude em 2008 cresceram 209% sobre os

registros de 2007. (Fonte: http://www.cert.br/stats/incidentes/)

Você tem uma história engraçada para contar? Um caso real ? Mande para nós em revista@issabrasil.org.

Worst CasesO Lado Divertido da Segurança

Por Anchises M. G. de Paula