Posts tagged Perícia
Entrevista sobre privacidade para a rádio CBN

CBN Campinas

Dei uma entrevista pra rádio CBN sobre privacidade individual e os riscos do armazenamento desenfreado de informações pessoais. O tema é similar ao da entrevista que eu dei pro Jornal das Dez da Globo News, só que ao invés de dois minutos eles colocaram no ar quase meia hora de bate-papo, o que permitiu um aprofundamento maior no tema. Falei também sobre minhas posições em relação a chamada Lei Azeredo. Qual sua opinião? Ando aprofundando um pouco as pesquisas no tema e gostaria de trocar informações com pessoas (des)preocupadas com o assunto. Ouça!
Read More
Design e segurança
Sempre tive um interesse muito grande pelo design de uma maneira geral. Por conta disso, sempre me incomodou muito o fato da segurança* caminhar muito longe desta disciplina. Embora existam algumas poucas áreas de interação, podemos dizer que quando você pensa em um design de qualidade, dificilmente você verá a segurança bem integrada dentro da coisa toda. Pense num móvel de design assinado e pense depois num fragmentador de papel e você vai ter uma idéia do que eu estou querendo dizer. Ou então pense num prédio bonito, e depois lembre daquelas câmeras estilo Santa Efigência/Uruguaiana/Feira do Paraguai, com aquelas gambiarras toscas na fiação, e o resultado será o mesmo. Por isso, sempre que eu vejo um objeto de segurança deliberadamente desenhado levando em consideração aspectos referentes ao uso, técnicas de produção, aparência estética, etc. eu acho que é um fato a ser noticiado. Nesta semana eu recebi através de um site bem interessante, o Yanko Design, as imagens de um fragmentador de papel inovador e bacanudo. Se você já era um fragmentador de papéis compulsivo, agora é que você não vai mais querer voltar pra tua cadeira no escritório. Dá uma olhada no Paper2Dust:

O fragmentador além de ser particularmente simpático, ainda é extremamente seguro, pois transforma o papel em , ao invés de transformá-lo em pedaços. Isso evita qualquer tentativa de tentar remontar os documentos. Além disso, o usuário vê o resultado da fragmentação, o que tangibiliza o processo todo um pouco mais (além de torná-lo mais viciante ;-) Por hora, é apenas um conceito. O produto ainda não existe, mas sinaliza para um futuro interessante.

* Quando eu disse que o design está longe da segurança, eu me referia a security e não a safety, já que este último incluiria as preocupações de segurança com o uso de produtos e serviços em geral.

Read More
Cofre com chupa cabra

cofrecabra2.jpg

Os espanhóis inventaram as tapas e os cofres com uma propensão a clonagem de cartões de crédito. Eu já tinha visto essa engenhoca aí em hotéis de diversos países. Essa semana foi num hotel que eu estou aqui no Panamá. O princípio é bem intencionado: para simplificar o fechamento do cofre, sem criar com problemas de esquecimento de senhas, a porta abre e fecha com o cartão de crédito do hóspede. O avanço científico é fabricado por uma empresa de Zaragoza chamada BVT. A idéia é, obviamente, idiota. Um funcionário da manutenção pode colocar um clonador no cofre, contando ainda com a opção de selecionar os quartos mais luxuosos, pegando assim os cartões com os limites mais gordos. O dispositivo passaria despercebido pela operadora do cartão, já que o sistema do cofre é off-line e (provavelmente) não autorizado por ela
Read More
Hackers publicam impressões digitais de ministro

Fingerprint por sensesmaybenumbed

O CCC (Chaos Computer Club), um grupo de hackers alemães, resolveu publicar as impressões digitais de Wolfgang Schauble, Ministro do Interior da Alemanha, como forma de protesto contra as iniciativas do governo alemão de armazenar informações biométricas em passaportes eletrônicos. Um simpatizante do grupo capturou as impressões digitais a partir de um copo usado pelo ministro em um painel de discussões. A notícia, bem como uma explicação do método utilizado para a coleta, foram divulgadas na última edição da revista Die Datenschleuder, a principal publicação do CCC. Quatro mil edições da revista foram impressas contendo um filme plástico para ser colocado sobre os dedos dos leitores, para que estes possam se passar pelo ministro. O CCC é uma organização hacker fundada em Berlin no ano de 1981, o que a torna um dos mais antigos (e influentes) grupos da atualidade. Segundo o Wikipedia, a organização conta hoje com 1800 membros. O CCC é muitas vezes classificado com um grupo gray hat, tendo um comportamento que o coloca no limite entre o legal e o ilegal e que já lhes causou uma série de problemas. Eles são responsáveis pelo Chaos Communication Congress, um evento que seria o equivalente europeu da DEF CON, o maior evento hacker existente. A porta voz do primeiro ministro informou que nenhum tipo de ação legal será tomada contra o grupo, provavelmente por medo de dar visibilidade aos seus questionamentos que são totalmente pertinentes, embora o método possa ser condenável. A coleta indiscriminada de informações biométricas é uma prática que certamente gerará muitos problemas no futuro e os seus defensores e financiadores não estão dando a devida atenção ao problema. Via Gizmodo.
Read More
Artigos mais acessados de 2008

Compact Card Calendar por Joe Lanman

Hoje faz exatamente três meses que este blog está no ar. Certamente um período curto de tempo, mas que me deixa muito feliz por conta do resultado alcançado. Para compartilhar um pouco dessa realização com os leitores, resolvi fazer aqui um resumo de quais foram os artigos, posts e seções que foram os campeões de audiência do trimestre. Os três artigos mais acessados (e comentados) foram: Guia de Certificações em Segurança da Informação - Parte 1 - Essa série, que ainda está sendo publicada, junta em uma única fonte a maior quantidade possível de informações sobre as certificações profissionais existentes na área de segurança da informação (SI), além de fornecer dicas de preparação. A Parte 2A deste artigo também foi publicada e está disponível aqui. Resoluções de Ano Novo - Como Fazer o que Você Ama - O segundo colocado é um texto que não é de minha autoria. Ele foi traduzido a partir de um original do Paul Graham (autor do livro Hackers and Painters) e é o texto mais inspirador que eu já li sobre como dar um rumo a sua carreira profissional. Como não implementar medidas de segurança - Parte 1 - Essa série também está em publicação. Nela eu comentei alguns aspectos sobre a postura dos profissionais de SI que podem influenciar na resistência que ele enfrentará dentro da organização onde trabalha. A Parte 2 já está disponível e explica na prática como proceder com as negociações durante o processo de definição controles, também com o objetivo de diminuir resistências. Na última parte eu falarei sobre como conscientizar os usuários a respeito dos controles mas, enquanto ela não sai, há também um artigo disponível aqui sobre o assunto. Já os três posts mais acessados, com títulos auto-explicativos, foram: Explicando um deadlock com imagens de trânsito (ISC)² publica guia sobre como contratar profissionais de SI Como se preparar para o CISM Por fim, as seções mais acessadas do blog são: Livros publicados - Trabalhei como autor e organizador de três livros sobre segurança da informação, mas infelizmente os dois mais populares estão esgotados. Há planos para a publicação de uma nova edição mas, por hora, a única forma de conseguir os dois volumes do Security Officer - Guia Oficial para Formação de Gestores em Segurança da Informação é comprando de segunda mão. Uma boa dica é tentar em listas de discussão especializadas como a CISSP BR. O outro livro no qual eu trabalhei (Information Security Management Handbook) foi publicado nos EUA e pode ser encontrada nas livrarias de lá, ou em qualquer livraria especializada por aqui, como a Livraria Cultura. Artigos - Todos os artigos disponíveis no blog estão nesta seção. Você também pode usar a barra de categorias lateral para filtrar tanto artigos como posts de acordo com o tema de sua preferência. Palestras - Aqui estão todas as principais palestras que eu ministrei nos últimos dez anos. Se você gostaria de ter visto algum e perdeu, ela provavelmente deve estar aqui. Aproveito esta mensagem para agradecer as mensagens e os comentários freqüentes dos leitores e colegas que têm contribuído para enriquecer todo o conteúdo que eu publico por aqui. Grande abraço!
Read More
A cada quatrocentos telefones, um foi legalmente grampeado

This phone is tapped - por Sparky

O número te assustou? A mim também. O mais alarmante é que ele se refere apenas a telefones que foram legalmente interceptados através de ordens expedidas pela justiça apenas no ano de 2007. Se for colocado no bolo as interceptações clandestinas, não é difícil acreditar que existam mais de meio milhão de telefones grampeados no país enquanto você está lendo esta entrada. A notícia completa saiu na Folha de São Paulo.
Read More
Nova revista canadense sobre segurança

Security Matters - Fall 2007

Foi lançada no Canadá a revista Security Matters, focada em conteúdo para profissionais de segurança. Sua assinatura é gratuita para residentes nos EUA e Canadá. Se você quer receber este tipo de publicação no Brasil sem pagar fortunas pela assinatura, o melhor macete é usar um serviço como o SkyBox. Com ele, você ganha um endereço nos EUA e, tudo que for entregue lá, eles mandam pra tua casa, cobrando apenas o envio (e os impostos, claro ;-). Porém, livros, revistas e periódicos são isentos de tributação.
Read More
Etiquetas RFID para roupas (ou como fazer jaquetas rastreáveis)
Que tal uma etiqueta para roupas, aquela onde são colocadas as informações sobre a temperatura do ferro de passar e outros cuidados, que possua dentro de si uma tag RFID? Imagine seu ferro regulando automaticamente a temperatura de acordo com as informações da etiqueta ou a lavadora decidindo se vai ou não colocar alvejante na lavagem. Imaginou? Agora imagine que suas roupas sendo rastreadas por onde passam, permitindo (por exemplo) que um motel saiba quantas vezes você foi lá no último mês. Não parece mais tão legal, né?

Via Yanko Design.

Read More
Primeiro episódio do Tiger Team disponível gratuitamente
Semana passada eu havia comentado sobre um novo programa televisivo que estreou nos EUA. O canal responsável disponibilizou o conteúdo do primeiro episódio gratuitamente pela Internet, e ele é imperdível. O programa é uma espécie de reality show onde um grupo de profissionais de habilidades variadas, chamado Tiger Team, é filmado enquanto testa a estrutura de segurança de uma empresa qualquer, que paga pelo serviço. Os alvos têm apelo popular, como lojas de automóveis de luxo ou joalherias. Os ataques envolvem a exploração de vulnerabilidades lógicas, físicas e humanas. Em geral, profissionais experientes não verão muitas novidades. Como entretenimento, o programa vale muito a pena. Uma estréia por aqui, inclusive, seria muito bem-vinda. O programa é uma excelente ferramenta de conscientização e disseminação da cultura de segurança para o público leigo. http://www.trutv.com/video/?id=870&link=truTVshlk
Read More
Programa de TV sobre espionagem industrial
Você talvez já tenha visto por aí a notícia de que estreou na TV norte-americana um programa sobre espionagem industrial. Ele cobre um grupo de especialistas que põe a prova os sistemas de segurança dos seus clientes, fazendo testes de invasão lógicos e físicos, além de usar abordagens de engenharia social. Tudo bem, eu também pensei que seria mais um reality show palhaçada. Porém, embora eu não tenha visto ainda, as primeiras avaliações parecem positivas. Se você já riu o que tinha que rir com o The IT Crowd, talvez este programa seja uma boa alternativa. O trailer está disponível aqui: http://www.youtube.com/watch?v=4Be-ZzcXVLw
Read More