Há 7 anos um livro capturou as atenções do mercado de segurança da informação. O livro recebeu diversas premiações e caiu até nos gostos do Rob Slade, um famoso revisor de livros que só gostou de uns 5 livros em toda a sua vida, dos 500 que ele já leu ;-) O material em questão é o Security Engineering, escrito por Ross Anderson, muitas vezes chamado de "Bruce Schneier" inglês. Ross é considerado a maior autoridade no assunto, além de ser um profissional de reconhecimento internacional. Ele é professor na Universidade de Cambridge e foi responsável pelo desenvolvimento do Serpent, um algorítimo criptográfico que ficou em segundo lugar no concurso internacional que escolheu o Rijndael como sucessor do DES.

Passado todo esse tempo, eu recebi nesta semana a segunda edição, que está disponível também em encadernação de capa dura. Eu teria tantas coisas importantes para falar que vou me resumir a mais importante de todas: LEIA! Todo profissional de segurança que tem um compromisso com seu próprio conhecimento deveria fazê-lo.

As informações que ele possui têm valor inestimável e eu posso lhe garantir que não existe nenhum outro livro ou sítio onde você vai encontrá-las de maneira tão precisa e concisa. O material é porta de entrada para um verdadeiro mundo de informações, contendo referências para mais de 1000 outros livros e trabalhos acadêmicos que servem de referência para um estudo mais profundo.

Para aqueles que estão se preparando para o CISSP, eu costumo recomendar este livro como leitura obrigatória. Porém, o conteúdo é muito mais abrangente do que é demandado no exame, então é necessário por um pouco de foco. Entretanto, se você tiver tempo para ler tudo, cada linha de conhecimento lhe será útil, seja no exame ou no trabalho. A princípio, o material pode assustar um pouco por sua notação científica mas, passado o período de adaptação para aqueles que não estão familiarizados, a leitura flui bem.

Confira você mesmo, alguns capítulos estão disponíveis gratuitamente no sítio do autor, além de toda a primeira edição, agora já um pouco desatualizada, mas ainda de grande valia.

Artigos mais acessados de 2008

Hoje faz exatamente três meses que este blog está no ar. Certamente um período curto de tempo, mas que me deixa muito feliz por conta do resultado alcançado. Para compartilhar um pouco dessa realização com os leitores, resolvi fazer aqui um resumo de quais foram os artigos, posts e seções que foram os campeões de audiência do trimestre. Os três artigos mais acessados (e comentados) foram: Guia de Certificações em Segurança da Informação - Parte 1 - Essa série, que ainda está sendo publicada, junta em uma única fonte a maior quantidade possível de informações sobre as certificações profissionais existentes na área de segurança da informação (SI), além de fornecer dicas de preparação. A Parte 2A deste artigo também foi publicada e está disponível aqui. Resoluções de Ano Novo - Como Fazer o que Você Ama - O segundo colocado é um texto que não é de minha autoria. Ele foi traduzido a partir de um original do Paul Graham (autor do livro Hackers and Painters) e é o texto mais inspirador que eu já li sobre como dar um rumo a sua carreira profissional. Como não implementar medidas de segurança - Parte 1 - Essa série também está em publicação. Nela eu comentei alguns aspectos sobre a postura dos profissionais de SI que podem influenciar na resistência que ele enfrentará dentro da organização onde trabalha. A Parte 2 já está disponível e explica na prática como proceder com as negociações durante o processo de definição controles, também com o objetivo de diminuir resistências. Na última parte eu falarei sobre como conscientizar os usuários a respeito dos controles mas, enquanto ela não sai, há também um artigo disponível aqui sobre o assunto. Já os três posts mais acessados, com títulos auto-explicativos, foram: Explicando um deadlock com imagens de trânsito (ISC)² publica guia sobre como contratar profissionais de SI Como se preparar para o CISM Por fim, as seções mais acessadas do blog são: Livros publicados - Trabalhei como autor e organizador de três livros sobre segurança da informação, mas infelizmente os dois mais populares estão esgotados. Há planos para a publicação de uma nova edição mas, por hora, a única forma de conseguir os dois volumes do Security Officer - Guia Oficial para Formação de Gestores em Segurança da Informação é comprando de segunda mão. Uma boa dica é tentar em listas de discussão especializadas como a CISSP BR. O outro livro no qual eu trabalhei (Information Security Management Handbook) foi publicado nos EUA e pode ser encontrada nas livrarias de lá, ou em qualquer livraria especializada por aqui, como a Livraria Cultura. Artigos - Todos os artigos disponíveis no blog estão nesta seção. Você também pode usar a barra de categorias lateral para filtrar tanto artigos como posts de acordo com o tema de sua preferência. Palestras - Aqui estão todas as principais palestras que eu ministrei nos últimos dez anos. Se você gostaria de ter visto algum e perdeu, ela provavelmente deve estar aqui. Aproveito esta mensagem para agradecer as mensagens e os comentários freqüentes dos leitores e colegas que têm contribuído para enriquecer todo o conteúdo que eu publico por aqui. Grande abraço!

Autenticação baseada em Cubo Mágico

A complexidade das senhas é uma das maiores fontes de atrito entre os profissionais de segurança e os usuários. É impossível chegar em um nível que atenda as necessidades de segurança de um lado e as expectativas de simplicidade dos usuários do outro. Mas seus problemas acabaram! Um designer chinês elaborou um protótipo de cubo mágico que pode ser usado para autenticação. Ao invés de memorizar senhas complexas, os usuários precisarão "apenas" memorizar e executar uma combinação de cores em seu cubo (que funcionaria como um token de autenticação) para acessarem os sistemas. Felizmente é apenas um produto conceito e toda a comunidade certamente está torcendo para que ele nunca saia do papel ;-) Via Yanko Design.

BlogAnderson RamosFebruary 26, 2008Criptografia, Gestão, Sistemas Operacionais Comment

Novo livro sobre segurança em Linux

Segurança em Linux

O Gilson Marques da Silva, autor do recém lançado Segurança em Sistemas Linux, é um profissional de sólida formação acadêmica e conhecimento enciclopédico sobre segurança em redes e sistemas operacionais. Tive a oportunidade de tê-lo como aluno na sua preparação para a formação CISSP, e agora tenho o prazer de divulgar seu livro. Já participei da produção de três livros sobre Segurança da Informação, e sei reconhecer o trabalho que dá.

Ainda não tive a oportunidade de ver o material, mas pelo autor, recomendo a publicação de olhos fechados. Segue a tabela de conteúdo:

1. Introdução 1 2. Cuidados na Instalação do Sistema Operacional 5 3. Atualização 11 4. Algumas Melhorias no Processo de boot no /etc/inittab 17 5. Acesso Direto pelo Usuário root 25 6. Aplicativo SUDO 31 7. Restrição para Uso do Comando su 37 8. Proteção para o Gerenciador de Início GRUB 41 9. Confi gurações de Relógio e Zona de Tempo 49 10. Sistema de Logs 57 11. Aplicativo LogWatch 63 12. Serviços 71 13. Mensagens de Advertência 81 14. Proteção para Dispositivos e Arquivos SUID/SGID em Partições Não Autorizadas 87 15. Permissões nos Arquivos passwd, shadow e group 91 16. Aplicativo AIDE 95 17. Arquivos com Permissões SUID/SGID Não Autorizados no Sistema 105 18. Permissões em Arquivos de Log do Sistema 109 19. Arquivos Não Autorizados com Permissão de Gravação para Todos 113 20. Arquivos com Proprietário ou Grupo Inexistentes 117 21. Marcação “.” ou Arquivos com Permissão de Gravação Liberada para o Grupo ou Outros no PATH de root 121 X # SEGURANÇA EM SISTEMAS LINUX 22. Permissões dos Diretórios home 125 23. Serviços r*: rsh, rlogin, rexec, rcp e o Arquivo .netrc 129 24. Umask Padrão para Usuários 135 25. Contas de Sistema 141 26. Privilégio de root e Contas sem Senhas 145 27. Gerência de Senhas e Acessos 149 28. Garantir que Não Existam Entradas “+” 157 29. Acesso ao cron e ao at 161 30. Habilitando o System Accounting 167 31. Confi guração Segura do SSH 171 32. Ajuste em Parâmetros de Rede 175 33. Desabilitando a Geração de Core Dump 181 34. SELinux 185 35. Firewall de host: IPTables/NetFilter 199 36. Checklist de Segurança da Informação para Sistemas Linux 217 Sobre o Autor 223

BlogAnderson RamosFebruary 14, 2008Carreira, Segurança em Redes, Sistemas Operacionais Comment

Nova revista canadense sobre segurança

Security Matters - Fall 2007

Foi lançada no Canadá a revista Security Matters, focada em conteúdo para profissionais de segurança. Sua assinatura é gratuita para residentes nos EUA e Canadá. Se você quer receber este tipo de publicação no Brasil sem pagar fortunas pela assinatura, o melhor macete é usar um serviço como o SkyBox. Com ele, você ganha um endereço nos EUA e, tudo que for entregue lá, eles mandam pra tua casa, cobrando apenas o envio (e os impostos, claro ;-). Porém, livros, revistas e periódicos são isentos de tributação.

Explicando um deadlock com imagens de trânsito

São Paulo é uma cidade com trânsito maluco, isso todo mundo sabe. O que algumas pessoas não sabem, é que deadlocks são possíveis também em cruzamentos. Olha só essa foto da esquina da Av. Faria Lima com a Juscelino Kubitschek ;-)

Além disso, é uma imagem belíssima da Teoria dos Jogos vista na prática. A vontade que as pessoas têm de levar vantagem sobre as outras é tamanha, que chega um momento em que todos começam a perder. Ou, em outras palavras, simplesmente falta de civilidade e educação, numa das esquinas mais sofisticadas do país.

Agradecimento: Weber Ress

BlogAnderson RamosJanuary 17, 2008Continuidade, Gestão, Sistemas Operacionais Comments

Apple revoluciona o backup pessoal (de novo)

Apple Time Capsule

Primeiro foi o Time Machine, uma nova funcionalidade do Mac OS X Leopard que alcançou o limite máximo da simplicidade para a operação de backup em um computador pessoal. Basta conectar um disco externo e o sistema operacional vai automaticamente gravando todas as alterações que são feitas no disco da tua máquina de forma transparente. Não é óbvio? Apagou ou perdeu um arquivo? Quer voltar a máquina (ou uma pasta) para a situação na qual ela se encontrava há exatos 23 dias? Basta usar uma visualização que lembra um túnel do tempo, encontrar o dia em que as coisas estavam do jeito que você deseja, e clicar o mouse. Fez besteira? Volte pro jeito que estava com a mesma facilidade. Essa incrível inovação foi anunciada numa época em que os usuários do Vista começavam a pensar que finalmente haviam ganhado uma funcionalidade de backup civilizada. E ontem, na MacWorld, a Apple fez de novo. Anunciou o óbvio (novamente): um disco externo de 1 TB, que se comunica com o Mac (ou PC) via uma rede wireless padrão 802.11n (velocidade teórica máxima de 248 Mbps) e faz tudo isso descrito acima, só que sem fios (desde que você tenha um Mac com o Leopard, usuários de PC poderão usar o equipamento como um disco externo). O aparelhinho se chama Time Capsule e já está disponível para comercialização por 299 dólares na sua versão de 500 GB (a versão de 1 TB sai por 499). De quebra, o aparelhinho funciona como um roteador doméstico, contando também com 3 portas Gigabit Ethernet e um servidor de impressão. Funcionalidades de segurança padrão também foram incluídas, como suporte a WPA2, 802.11x e firewall interno.

BlogAnderson RamosJanuary 16, 2008Continuidade, Gestão, Segurança em Redes, Sistemas OperacionaisComment

Até que demorou - Primeiro cavalo de tróia para o iPhone

Encontrado o primeiro cavalo de tróia escrito para o iPhone da Apple, o telefone mais cool do planeta. Segundo a Symantec, o payload do código malicioso não parece ser ofensivo, mas pode gerar problemas quando o usuário tenta desinstalá-lo. 'First' iPhone Trojan rolls into town

BlogAnderson RamosJanuary 8, 2008Crime, Malware, Segurança em Redes, Sistemas OperacionaisComment

Programa de TV sobre espionagem industrial

Você talvez já tenha visto por aí a notícia de que estreou na TV norte-americana um programa sobre espionagem industrial. Ele cobre um grupo de especialistas que põe a prova os sistemas de segurança dos seus clientes, fazendo testes de invasão lógicos e físicos, além de usar abordagens de engenharia social. Tudo bem, eu também pensei que seria mais um reality show palhaçada. Porém, embora eu não tenha visto ainda, as primeiras avaliações parecem positivas. Se você já riu o que tinha que rir com o The IT Crowd, talvez este programa seja uma boa alternativa. O trailer está disponível aqui: http://www.youtube.com/watch?v=4Be-ZzcXVLw

BlogAnderson RamosDecember 27, 2007Carreira, Gestão, Perícia, Segurança Física, Segurança em Redes, Sistemas OperacionaisComment

A evolução da segurança e os desafios atuais

Palestra ministrada por Anderson Ramos, CTO da FLIPSIDE, que conta um pouco da história da Segurança da Informação, principalmente da Segurança Computacional. O material foi utilizado no Simpósio Latino Americano de Segurança, promovido pela Microsoft em 2004, nas cidades de Fortaleza e Porto Alegre.

PalestrasAnderson RamosOctober 19, 2004Criptografia, Segurança em Redes, Sistemas OperacionaisComment

Palestra Hacker Toys no CNASI em 2000

Palestra sobre ferramentas usadas para a invasão de sistemas, ministrada por Anderson Ramos, CTO da FLIPSIDE, no CNASI São Paulo em 2000.

PalestrasAnderson RamosOctober 9, 2000Segurança em Redes, Sistemas OperacionaisComment

Conhecimento é importante para todos, inclusive para você!