Segurança da Informação

Antendendo ao pedido de meu grande amigo Anderson Rossi, seguem definições com mais detalhes da classificação de Hackers.

Conceitos - Hacker (Visão correta)
- Usada originalmente no MIT na década de 50 para definir pessoas interessadas pela era da informática.
- Essa definição diz que um “hacker” é um pessoa que consegue “hackear”, que vem do verbo inglês “to hack”, que diz : “hack” é o ato de alterar alguma coisa que já está pronta ou em desenvolvimento, deixando-a melhor.
- Nesse sentido, os hackers seriam as pessoas que criaram a Internet, que criaram o Windows, o Linux e os especialistas em segurança das grandes empresas.

Conceitos - Hacker (Visão incorreta)
- Depois do invento da Internet, a mídia passou a usar o termo hacker para definir ladrões de banco via internet, ladrões de cartão de crédito, infratores das leis no mundo digital.
- Os hackers que desenvolveram o termo original se sentem ofendidos por esta definição e por isso criaram o termo cracker para definir estes criminosos.
- Algumas pessoas definem a diferença entre hacker e cracker dizendo que hacker invade apenas para “olhar”, enquanto o cracker invade para destruir. Essa definição é principalmente comum em “sites hacker”, freqüentados por script kiddies.

Conceitos - Hacker
Devido a controvérsia ao redor do significado correto do termo Hacker, buscando evitar confusões, foram criados três termos utilizando “hat. A origem se dá nos filmes de western em preto e branco onde a cor do chapéu definia em qual lado (bem ou mal) o personagem estava.

Conceitos - White hat
- Também chamados de whitehats ou white-hats (inglês: chapéu branco), os white hats são especialistas de segurança que desprezam qualquer atividade maliciosa envolvendo sistemas de informação.
- White hats buscam defender a internet e outros sistemas computarizados de invasões e danos. White hats mantém programas antivírus, assinaturas usadas em sistemas de IPS e cursos que buscam formar profissionais de segurança.

Conceitos - Black hat
-Também chamados de blackhats ou black-hats (inglês: chapéu preto), os black hats são especialistas em segurança que utilizam seus conhecimentos para invadir sistemas e roubar informações. Black hats podem utilizar ferramentas desenvolvidas por white hats para proteger suas informações.
-Black hats descobrem falhas e criam exploits para explorá-las. Alguns black hats agem para obter retorno financeiro, outros simplesmente porque gostam do que fazem e alguns porque acreditam que os problemas de segurança, de alguma forma, incentivam as empresas a dar mais atenção aos seus sistemas informatizados.

Conceitos - Grey hat
- Grey hats (inglês: chapéu cinza) são especialistas em segurança que não podem ser classificados como white hats nem como Black hats. Grey hats podem desenvolver ferramentas úteis para Black hats e ao mesmo tempo úteis para White hats.
- Quando invadem sistemas, Grey hats não buscam nenhum ganho pessoal ou financeiro.
- Muitos programadores de vírus podem ser considerados grey hats.

Conceitos - Script kiddie
- Geralmente adolescentes do sexo masculino que buscam invadir sistemas e desfigurar websites, mas não possuem um extenso conhecimento de programação, de redes ou de segurança.
- Script kiddies recebem esse nome por utilizar programas (scripts) prontos, ou receitas de bolo, que foram desenvolvidos por black hats e grey hats.

Conceitos - Cyberpunks
- Termo criado em 1982 por William Gibson escritor do romance “Neuromancer”. Por volta de 1990, a palavra foi associada à cultura rave/techno. Nesse tipo de ataque, as home pages são pichadas e os autores costumam identificar seu grupo e suas motivações, sejam políticas ou religiosas.

Conceitos - Insiders
- Geralmente é um funcionário ou um empregado terceirizado da empresa que se aproveita de privilégios de acesso para roubar informações confidenciais da empresa. Há muitos casos relatados sobre esse tipo de ação, que é motivada muitas vezes pela demissão do funcionário.

Conceitos - Phreakers
- Especialistas em burlar sistemas de telefonia, como conseguir ligações de longa distância de graça. Entre os hackers essa modalidade de ação é questionada. Enquanto alguns acredita ser uma atividade intelectual estimulante, outros a condenam, por ser um roubo de serviços.

–
Abraços,
Ranieri Marinho de Souza
http://www.segr.com.br/

Sistema de Detecção de Intrusos (IDS)

Os sistemas de detecção de intrusos ou Intrusion Detection Systems (IDS), são programas de computador que têm como finalidade funcionar em conjunto com um sistema de firewall a fim de dar maior segurança na comunicação envolvendo tráfego IP. Alguns exemplos de IDS são o Snort e o Air Snort, este último para redes sem fio.

O IDS permite o Envio de alertas por intermédio de um sistema de assinatura que permite verificar o conteúdo de um pacote IP, que após essa verificação pode emitir um alerta caso as assinaturas do IDS sejam compatíveis com o conteúdo do pacote que chega pelo firewall permitindo assim aprimorar as configurações do firewall.

Assim como os sistemas de firewall o IDS possui vários tipos diferentes de configuração, entre os mais conhecidos são:

Host-Based Intrusion Detection (HIDS): que fazem o monitoramento de um sistema com base nos eventos registrados nos arquivos de log. Os eventos mais frequentemente monitorados são: utilização do processador do computador, modificação de privilégios em arquivos e usuários, processos do sistema operacional e programas que estão em execução;

Network-Based Intrusion Detection (NIDS): monitora o tráfego por intermédio da captura dos pacotes e análise dos cabeçalhos IP e o conteúdo dos mesmos.

–
Abraços,
Ranieri Marinho de Souza
http://www.segr.com.br/

1. Evite termos coloquiais – use o tratamento formal. Isso evita situação de subjetividade e eventuais confusões geradas devido ao tratamento mais íntimo em situação de trabalho/profissional.
Dica: O tratamento mínimo deve ser senhor (sr.) ou senhora (sra.), e não “você”, independente do cargo. Se possível deve ser feito uso da primeira pessoa do plural (ex: “nós gostaríamos de saber”, “vamos agendar”), visto que a comunicação é em nome da empresa.

2. Evite o uso de expressões como “beijos” ao final da mensagem – o correto é enviar saudações ou abraços.

3. Trate de assuntos gerais de modo discreto e bem-educado – pode-se perguntar como foi o final de semana, desejar um bom dia, felicidades, parabéns, manifestar condolências ou pesar, mas assuntos muito íntimos – que possam gerar algum tipo de constrangimento (ex: questões médicas ou familiares) – devem ser evitados.

4. Evite o uso de elogios que possam gerar algum tipo de duplo sentido – pode-se congratular a pessoa por motivo de êxito em tarefas, mas evite elogios que possam estar relacionados à apresentação física ou a partes do corpo, como “linda(o)”, “bonita(o)”, “estonteante”, “maravilhosa(o)” e outros similares.

5. Evite convidar para situações ‘a dois’ pessoas que sejam subordinados hierárquicos – o convite para jantar, para um “encontro”, para uma situação de happy hour (que não seja para toda equipe) pode gerar constrangimento e dar a entender eventual assédio moral.

6. Evite falar mal da empresa e/ou de pessoas do trabalho, principalmente com uso de expressões pejorativas, associação com animais, gozação, piada com uso de características físicas ou emocionais. Deve-se lembrar que o ambiente corporativo é monitorado, por isso, intrigas, o uso de palavras para denegrir a imagem de um colega ou chefe podem gerar problemas. E como está por escrito, fica difícil alegar que “não era bem isso o que queria dizer”.

7. Evite fazer uso do e-mail e internet corporativa para buscar emprego em outro lugar – Não se deve enviar currículo pelo e-mail do seu empregador atual. Até para quem recebe do outro lado fica uma situação ruim, pois passa a imagem de que a pessoa não respeita seu local de trabalho.

8. Evite usar ferramentas da empresa como smartphone ou pendrive para armazenar conteúdo particular, fotos mais íntimas – o equipamento corporativo deve ser utilizado para assuntos de trabalho.
Dica: O uso da câmera do celular corporativo para tirar fotos que não tenham relação com trabalho tem gerado muitos problemas nas empresas, especialmente quando a imagem é mais íntima e ainda envolve terceiros.

9. Evite usar o notebook de trabalho para salvar conteúdos particulares, ou mesmo navegar na internet em sites não relacionados a trabalho – com a nova lei da Pedofilia, as empresas estão mais atentas e zelosas no tocante ao conteúdo que está em seus computadores e servidores.
Dica: É comum filhos ou familiares quererem fazer uso do notebook da empresa quando o profissional o leva para casa. Esse tipo de situação pode gerar vários riscos, inclusive de segurança da informação, bem como de exposição de vida íntima. Dependendo do caso, pode gerar demissão por justa causa.

–
Abraços,
Ranieri Marinho de Souza
http://www.segr.com.br/

Vamos aos passos:

Crie uma “pasta” com o nome de autorun.inf ..
dentro dela crie um arquivo com o nome de autorun que seja do tipo .inf .. “não insira nenhuma linha de código dentro do texto”..
após a criação da pasta e do arquivo, acesso o prompt do DOS e vá até o diretório autorun.inf “a pasta criada” …
por meio de ATTRIB remova o atributo “-A” e insira o “+R” e “+S” …
feito isso seu arquivo será um arquivo de sistema e não poderá ser substituído por outro autorun que seja malicioso.

–
Abraços,
Ranieri Marinho de Souza
http://www.segr.com.br/

Tem como principal objetivo restituir a confiança do investidor no mercado de capital e nos auditores independentes, alem de elevar o nível de responsabilidade e comprometimento da Direção das Companhias, no que se refere aos processos e controles internos.

SOX focaliza especificamente na exatidão de registros financeiros de uma empresa e dos controles relacionados à renda, despesas, contabilidade, responsabilidades, e assim por diante.

A segurança da informação é um componente fundamental da conformidade da SOX em relação aos controles contábeis da empresa.
A direção da empresa é responsável não somente pela informação financeira, mas também pelo modo que a informação é gerada, obtida, coletada, armazenada, processada, e transmitida, e esta responsabilidade pode somente ser conseguida com um sistema de gerência eficaz da segurança da informação.

Sox - A Dependência na Infra-estrutura de TI
A infra-estrutura de TI possui um papel essencial nos levantamentos Sarbanes Oxley. O tratamento e controle de dados financeiros dependem diretamente da infra-estrutura. A qualidade, a segurança e confiabilidade dos dados financeiros estão diretamente relacionadas aos níveis da qualidade e da segurança implementados na infra-estrutura que suportam os sistemas de informação.

Controle dos processos gerais da área de tecnologia que suportam os Processos de Negócio e as Aplicações Financeiras tem relacionamento dependência direta da infra-estrutura de TI, em particular nas bases de dados, no sistema operacional e nas redes. Portanto, deve-se atentar para os aspectos de:

• Planejamento e organização;
• Direcionamento tecnológico;
• Pessoas;
• Segurança;
• Gestão de Mudança;
• Operação.

Sox - A Dependência nos Sistemas de Informações:
A tecnologia da Informação possui um papel essencial nos levantamentos Sarbanes Oxley. O tratamento e controle de dados financeiros dependem diretamente de sistemas. A qualidade e confiabilidade dos dados financeiros está diretamente relacionada a ao nível da qualidade aplicado no desenvolvimento, manutenção e operação dos sistemas de informação.

Controles automáticos das aplicações que geram impacto financeiro deverão ser identificados durante os levantamentos de controles de processos de negócio.
Controles automáticos cooperam para este fim, sem a necessidade de intervenção humana para sua operação.

È fundamental que se rastreia e documentos todo relacionamento entre as aplicações financeiras e as outras aplicações de negócio da empresa. Nem sempre a origem dos dados se dá na aplicação financeira e sim no sistema de “billing” da empresa. Como por exemplo, um sistema comercial que faz faturamento, cobrança e arrecadação, fornecendo informações para a área financeira da empresa. Todo o cuidado deve ser tomado com relação à integridade das informações desde sistema comercial.

Controles ou aplicações de controle a serem implementados nas Aplicações Financeiras têm participação direta nas atividades de:

• Planejamento, monitoramento e controle do processo de desenvolvimento da aplicação financeira e outras que gerem dados para estas;
• Verificação da adequação dos aspectos funcionais com as necessidades reais de negócio;
• Validação da adequação dos aspectos funcionais com a implementação física da aplicação financeira e das outras aplicações relacionadas;
• Cálculos realizados;
• Atualização de Dados;
• Interfaces com outros aplicativos;
• Limites de tolerância aceitáveis;
• Limites aprovados;
• Transferência Automática de informação entre aplicações;
• Segregação de tarefas;
• Gerenciamento dos requisitos e das mudanças realizadas nas aplicações.

Todo risco corporativo, quer seja operacional, financeiro ou digital requer um controle para que seja minimizado:

• Restrições de acesso às transações ou funcionalidades sistêmicas relevantes do ponto de vista que afete direta ou indiretamente as demonstrações financeiras;
• Controles programados através de parâmetros que definem a funcionalidade da aplicação diante de uma transação que demanda controle;
• Controle programado no sistema destino com o objetivo de bloquear entradas incorretas ou não integra, alertando sobre as inconsistências bloqueadas.

Sox - A Seção 404

Esta seção determina a avaliação anual dos controles e procedimentos internos para fins de emissão do relatório financeiro. É necessário analisar, modificar, implantar e assegurar uma cultura de controles internos (se necessário, redesenhar processos de controles) a fim de assegurar a confiabilidade das informações, realizar diagnósticos de compliance, eliminar processos redundantes, gerar a confiabilidade de sistemas e aplicações, manter a segurança das informações disponíveis (acessos/permissões, compartilhamentos, …), garantir veracidade de dados de saída (onde, com prazos mais curtos para emissão de diversos relatórios, prevalece mais do que nunca, a importância de uma única base, evitando variadas fontes de informações).

Para atender os controles das demandas voltadas a SOX, a TI deverá utilizar frameworks nacionais e internacionais, tais como:

• Plano de continuidade de negócios;
• CobiT - governança em TI;
• ITIL - gestão de serviços de TI;
• CMMI - gestão para o desenvolvimento de software
• ISO 27001 segurança da informação
• ISO 9001 gestão da qualidade

A correta implantação e manutenção da aplicação destes modelos irão garantir a adequabilidade dos sistemas de informação às exigências da Sox.

Abraços,
Ranieri Marinho de Souza
http://www.segr.com.br/