Posts in Blog
SecureBrasil - Primeiro evento do (ISC)² no continente

É com enorme satisfação que anunciamos hoje para o mercado o SecureBrasil, o primeiro evento do (ISC)² na América Latina. O SecureBrasil replica em nosso país um modelo de sucesso que se repete há vários anos na América do Norte, Europa e Ásia, colocando nosso continente em definitivo no roteiro internacional de eventos organizados pelos criadores da certificação CISSP.

Alguns dos mais importantes profissionais do mercado brasileiro estarão presentes, a começar pelos keynotes já confirmados:

Read More
Follow me on Twitter
Para os tuiteiros de plantão, segue meu perfil: http://twitter.com/aramosorg Dicas diárias de sites e matérias interessantes, fatos relevantes, opiniões diversas e algumas dicas bacanas para quem vive em São Paulo ou Berlin (ou em algum outro lugar que eu esteja visitando 8-)
Read More
BlogAnderson RamosComment
Entrevista sobre privacidade para a rádio CBN

CBN Campinas

Dei uma entrevista pra rádio CBN sobre privacidade individual e os riscos do armazenamento desenfreado de informações pessoais. O tema é similar ao da entrevista que eu dei pro Jornal das Dez da Globo News, só que ao invés de dois minutos eles colocaram no ar quase meia hora de bate-papo, o que permitiu um aprofundamento maior no tema. Falei também sobre minhas posições em relação a chamada Lei Azeredo. Qual sua opinião? Ando aprofundando um pouco as pesquisas no tema e gostaria de trocar informações com pessoas (des)preocupadas com o assunto. Ouça!
Read More
Fotos do YSTS 3.0
Há cerca de uns cinco anos, lá estava eu em algum boteco qualquer com o William Caprino (atual presidente da ISSA Brasil) e, por conta de uma discussão na CISSPBr (CISSPBr@yahoogroups.com), conversávamos como o mercado de Segurança da Informação brasileiro era, digamos assim, quadradão, pra dizer o mínimo. A maior queixa era justamente pelo preconceito que se criou em torno da palavra hacker e como a simples simpatia ou deboche por ela colocava profissionais literalmente de um lado ou de outro de um muro invisível que os separava. Apesar de algumas tentativas aqui e ali, com pouco sucesso ou ainda incipientes (nunca esquecendo do pioneirismo do H2HC), faltava um evento, por exemplo, parecido com a Defcon no Brasil. E isso era péssimo, pois criava um vácuo imenso entre o que realmente acontecia em termos de pesquisa e o que os então profissionais faziam dentre de suas empresas. "Vamos criar tipo uma Defcon Brasil carinha?", intimou ele. Na época eu andava de trabalho até o pescoço, dando aula pro (ISC)2, envolvido com a ISSA, escrevendo um livro pela Módulo e outras coisas mais. Tive que passar a bola, mas dei todo o apoio que eu pude desde então. Por isso, é com um certo prazer que eu compartilho com vocês as fotos da última edição do YSTS (You Sh0t The Sheriff), ocorrida neste ano. Sem sombra de dúvidas, foi o melhor evento do tipo já feito no Brasil (tudo isso, porém, pode mudar no mês que vem, após a próxima edição do H2HC ;-). Mais ainda, não só ele se estabeleceu no nosso calendário (depois da mudança de data que eu tanto sugeri, thanks le ;-) como foi extremamente gratificante ver CSOs graúdos sentados no bar, tomando uma cerveja e assistindo palestras sobre engenharia reversa. A organização soltou um video que resume bastante o que foi o evento: ysts 3.0 from leduardo on Vimeo. Quer ter uma idéia do que rolou? Assista logo a todas as palestras aqui. Vejo você por lá ano que vem.
Read More
Entrevista para o Jornal das Dez da Globo News
Dei uma entrevista para o Jornal das Dez da Globo News, em uma matéria sobre redes sociais. O Ibope fez uma pesquisa e constatou o que todo mundo já sabe: a audiência das redes sociais está explodindo e os usuários, anos após o início do fenômeno, estão começando a se preocupar com a sua privacidade (finalmente). Conversei bastante com a jornalista mas, por razões óbvias, apenas um pequeno trecho foi publicado com uma dica para usuários em geral. Coincidentemente, estive na Colômbia semana retrasada e dei uma entrevista para a revista Diñero (que seria a nossa revista Exame), sobre o mesmo tema. Vai ser publicado lá neste final de semana, vou colocar aqui quando sair. Eu venho pesquisando bastante o tema e gostaria de soltar um artigo em breve (junto com as partes que estão faltando das outras séries que eu estou produzindo ;-) Porém, o tempo anda curto e eu tenho umas outras notícias interessantes para compartilhar: brevemente! Encaminhem pro cunhado que fica pedindo dicas no churrasco de família sobre como proteger o perfil do orkut dele...

Read More
Segurança da Informação X Economia

YSS

Com um "pouquinho" de atraso por culpa deste que vos fala, a palestra que eu ministrei no YSTS 2.0 já está disponível. O documento pode ser baixado diretamente do blog e estará, em breve, disponível também no sítio do evento, junto com as palestras do resto do pessoal. Aproveitando o ensejo, há uma seção neste blog com todas as principais palestras que eu ministrei desde 2000.
Read More
Palestra no YSTS 2.0
Este post é para o pessoal que assistiu minha palestra sobre Segurança da Informação X Economia no YSTS 2.0 e veio atrás de mais informações. A maior parte da apresentação usou como referêcia alguns problemas básicos que foram adequadamente endereçados pelo Ross Anderson no Why Information Security is Hard - An Economic Perpective. Este texto básico serve bem de ponto de partida (por isso montei a palestra em cima dele). O principal evento internacional sobre o assunto é o Workshop on the Economics of Information Security. Outro bem interessante, mas que cobre também o estudo do compartamento humano de uma forma mais ampla, é o Interdisciplinary Workshop on Security and Human Behavior.
Read More
Você conhece a seção de artigos deste blog?

Sabe como é, é só clicar no botão ali ao lado, escrito artigos, e você acessa ela ;-) Mas como muita gente assina o blog por e-mail ou RSS, acaba eventualmente não vendo todo o conteúdo disponível. Segue um apanhadão dos artigos mais acessados da história (do blog). A série sobre Certificações Profissionais em Segurança da Informação é a mais acessada de todas. Por hora já foram publicadas as Partes 1, 2A e 2B. Outra bastante acessada é série sobre como NÃO implementar medidas de segurança, não sei se pelo conteúdo ou pela explicação usando a séria House como exemplo ;-) Já estão disponíveis as Partes 1 e 2. Um recente que eu gosto bastante fala sobre a forma como Dan Kaminski conduziu o processo de revelar a séria vulnerabilidade que ele descobriu e que afetava a grande maioria dos servidores DNS existentes (a propósito, estima-se que 25% de todos os servidores DNS ativos ainda estejam vulneráveis, você já corrigiu o teu?). O artigo individual mais acessado de todos fala sobre carreira profissional e é na realidade uma tradução de um ensaio fabuloso do Paul Graham sobre como escolher sua profissão. Já o mais antigo de todos é o Conscientização de Usuários e Segurança da Informação, muito procurado por ter um resumão básico deste tipo fundamental de iniciativa.
Read More
Design e segurança
Sempre tive um interesse muito grande pelo design de uma maneira geral. Por conta disso, sempre me incomodou muito o fato da segurança* caminhar muito longe desta disciplina. Embora existam algumas poucas áreas de interação, podemos dizer que quando você pensa em um design de qualidade, dificilmente você verá a segurança bem integrada dentro da coisa toda. Pense num móvel de design assinado e pense depois num fragmentador de papel e você vai ter uma idéia do que eu estou querendo dizer. Ou então pense num prédio bonito, e depois lembre daquelas câmeras estilo Santa Efigência/Uruguaiana/Feira do Paraguai, com aquelas gambiarras toscas na fiação, e o resultado será o mesmo. Por isso, sempre que eu vejo um objeto de segurança deliberadamente desenhado levando em consideração aspectos referentes ao uso, técnicas de produção, aparência estética, etc. eu acho que é um fato a ser noticiado. Nesta semana eu recebi através de um site bem interessante, o Yanko Design, as imagens de um fragmentador de papel inovador e bacanudo. Se você já era um fragmentador de papéis compulsivo, agora é que você não vai mais querer voltar pra tua cadeira no escritório. Dá uma olhada no Paper2Dust:

O fragmentador além de ser particularmente simpático, ainda é extremamente seguro, pois transforma o papel em , ao invés de transformá-lo em pedaços. Isso evita qualquer tentativa de tentar remontar os documentos. Além disso, o usuário vê o resultado da fragmentação, o que tangibiliza o processo todo um pouco mais (além de torná-lo mais viciante ;-) Por hora, é apenas um conceito. O produto ainda não existe, mas sinaliza para um futuro interessante.

* Quando eu disse que o design está longe da segurança, eu me referia a security e não a safety, já que este último incluiria as preocupações de segurança com o uso de produtos e serviços em geral.

Read More
Eventos imperdíveis em novembro

O mercado brasileiro é carente de eventos interessantes na área de segurança da informação. A maioria dos eventos são comerciais, cheios de ofertas de produtos e serviços. Esse tipo de evento é fundamental para quem trabalha na área. Porém, caceta, a vida não é só trabalho e eu de vez em quando me pego saudosista de uma época onde nossa área era território inexplorado, tendo sua pesquisa guiada fundamentalmente por gente que estava fora do mercado profissional. Certa vez eu traduzi um artigo aqui no blog que dizia que o teste para saber se você gosta ou não de alguma coisa é se perguntar se você estaria envolvido com ela mesmo que você não trabalhasse com ela. Às vezes eu tenho a impressão, compartilhada por muitos colegas, de que eu me divertia muito mais quando meu envolvimento com a área não era profissional. Pois bem, se você se identificou com esse discurso mela cueca, se você acha os eventos de segurança que rolam no Brasil são um pé no saco, se você acha que essa aversão que existe por aqui contra a cena hacking digna e honesta é coisa de gente quadrada e tá afim de encher a cara assistindo palestras diferentes, só tenho uma coisa a te dizer: seus problemas acabaram! Em novembro vai rolar a segunda edição do YSTS, o evento organizado pelo pessoal do podcast i sh0t the sheriff, que neste ano contou com a ajuda deste que vos fala. Ano passado eu havia sido convidado pra palestrar e não pude por já ter outra palestra fechada fora do Brasil na mesma semana, mas nesse ano estarei por lá palestrando, carregando caixas, prendendo faixas e... discotecando!!! O evento vai contar com um after party VIP no dia seguinte onde teremos o povo que visitará o evento em uma festa com muito Kraftwerk, Devo, Datarock e outras coisas impublicáveis. Se você é um geek macho e está lendo este post pensando que vai ser aquela coisa cheia de homem, acalme-se: estamos comprometidos em povoar a festa com mulheres geek. Se você é uma mulher geek lendo isso, faça uma caridade, tenha ciência de que você é um espécime raro e se permita ir numa balada onde haverá uma proporção de 15 homens para cada mulher ;-))))))))))) Além disso, o evento tem consumo de álcool liberado, vai ser organizado num local secreto, a ser divulgado somente na véspera, tem as refeições incluídas, e vai contar com keynotes internacionais, além de brasileiros que palestram frequentemente no circuito internacional. Ou seja, quem não for é a mulher do padre. Esse ano, atendendo a pedidos feitos no ano passado e administrando alguns problemas que foram encontrados, a organização vai vender uma pequena cota de ingressos. Ano passo a audiência toda foi definida somente por indicações. Além do YSTS, recomendo também o H2HC, evento de foco mais técnico, destinado aos guerreiros da linha de comando, que estará acontecendo em novembro também em São Paulo. Este já é um evento consagrado, na sua 5a edição, de estrutura e tamanho significativamente maiores, para atender um público mais amplo. Vejo vocês por lá!
Read More
O (ISC)² se instalou no Brasil

Esse post está razoavelmente atrasado, mas como nem todo mundo está sabendo, convém divulgar. Há cerca de três meses me desliguei da Módulo para assumir um novo desafio profissional. Após sete anos trabalhando como Senior Lead Instructor do (ISC)², recebi o convite para assumir a dianteira de todas as iniciativas de desenvolvimento de mercado, marketing e distribuição comercial na América Latina. Nosso primeiro evento oficial foi o Interop São Paulo, onde realizamos a primeira recepção oficial do (ISC)² no continente, onde estiveram presentes diversos CISSPs e SSCPs, experientes e recém chegados, num evento de networking e confraternização. Na ocasião, estiveram presentes a Maria da Graça Bianchi e o Walmir Freitas, os dois brasileiros que fazem parte do Advisory Board das Américas. Essas recepções são normalmente exclusivas para profissionais certificados, mas como foi a primeira que fizemos, resolvemos abri-la para o público em geral, de forma que os congressistas do Interop puderam conhecer mais a respeito do (ISC)² e suas certificações. Nos próximos 18 meses estaremos anunciando uma série de iniciativas no continente, incluindo a expansão do nosso programa de revendas oficiais, de forma a levar os cursos preparatórios para as certificações do (ISC)² para diversos países latino-americanos, incluindo uma cobertura melhor no Brasil. Maiores informações estão disponíveis no press release oficial que soltamos durante o evento.
Read More
Excelente material sobre PCI DSS em português

O Eduardo Camargo Neves, sempre ele, publicou uma excelente referência em português sobre o padrão PCI DSS, uma iniciativa de comformidade que afeta praticamente todas as empresas que aceitam pagamento via cartão de crédito, de postos de gasolina a lojas virtuais. Se você andava procurando uma fonte única sobre o tema e anda meio sem tempo, mas gostaria de saber mais sobre o assunto, lá é o lugar certo. Entendendo o PCI DSS.
Read More
Dan Kaminsky fez certo

dan2.jpg

Não seria um exagero dizer que a Internet inteira (ou pelo menos a parte que consegue entender o problema a seguir) não fala de outra coisa desde que Dan Kaminsky divulgou que havia descoberto uma séria vulnerabilidade estrutural no serviço de DNS. Na ocasião, ele informou que vinha trabalhando numa solução com os fabricantes de software e a comunidade DNS há meses e implorou para que todos atualizassem seus servidores em caráter de urgência. Em virtude da criticidade do problema, ele decidiu só revelar detalhes durante uma palestra que faria no próximo Black Hat. Ele queria que os administradores tivessem um prazo adequado para aplicar a correção. Além disso, escolheu o próximo evento de destaque onde falaria para colher a merecida publicidade como retorno pelo seu trabalho. Apesar da boataria que começou a rolar especulando sobre qual seria o problema, apenas ontem, por conta de um vazamento teoricamente acidental pelo pessoal da Matasano, é que ele se tornou oficialmente público. Os detalhes técnicos apenas enaltecem a conduta de Dan. O caso é uma séria vulnerabilidade estrutural que permite ataques de DNS cache poisoning, afetando a maioria dos servidores existentes. Fica difícil imaginar a quantidade de dinheiro que seria possível roubar com uma vulnerabilidade dessas, mas uma coisa é fato: seria possível vendê-la por muito, muito dinheiro. O próprio blog que vazou os detalhes estimava centenas de milhares de dólares. Após o comunicado oficial sobre o assunto, Dan foi atacado de todos os lados. Alguns o acusavam de estar tendo este tipo de conduta apenas para se promover. Outros argumentavam que gostariam de conhecer os detalhes do problema antes de aplicar a correção. Muitos tentaram desqualificar a descoberta, argumentando que ela não passava de problemas estruturais conhecidos há pelo menos uma década. Ao descobrir a vulnerabilidade, Dan entrou em contato de maneira extremamente reservada com os fabricantes e a comunidade que, desde então, vinham trabalhando na surdina para resolver o problema o mais rapidamente possível. Após o lançamento dos patches, Dan recusou-se a se vangloriar dos detalhes técnicos em primeira mão, priorizando o benefício de muitas pessoas que sequer o conhecem. Para vencer o ceticismo e angariar mais vozes na campanha do "atualize já", ele explicou pessoalmente os detalhes do problema para alguns especialistas, e foi justamente um deles que publicou "sem querer" os detalhes em seu blog (uma cópia do descritivo do problema está aqui), numa história difícil de colar, que lembra o e-mail enviado por engano por um funcionário da Casa Civil ao senador Álvaro Dias. Em épocas de democracia digital, onde a Internet permite que todos tenham voz, as discussões freqüentemente caminham para o relativismo, onde fica difícil defender qualquer tipo de posição em virtude de todas as perspectivas possíveis pelas quais podemos olhar para uma dada questão. E é precisamente por este motivo que o que Dan fez será lembrando por muitos anos, pois ele fez o certo. A pesquisa de vulnerabilidades tem uma importância inestimável para nossa indústria. Muitos a fazem, e pelas mais diversas razões, sejam elas nobres ou não. Alguns fazem porque gostam, outros porque, além de gostar, precisam da publicidade que as descobertas geram. Em outras palavras, gastam dinheiro em pesquisa ao invés de gastá-lo em marketing ou publicidade. Outros fazem por pura vaidade, e quando a publicidade espontânea não é compatível com o tamanho do ego e do sentimento de inferioridade do pesquisador, eles divulgam o problema antes que haja patches disponíveis, normalmente reclamando que "o fabricante foi notificado há dois dias e até agora não tinha feito nada". Alguns outros pesquisam as vulnerabilidades para vendê-las, seja para aqueles que as utilizam na produção de ferramentas destinadas ao crime em geral, seja para empresas idôneas que pagam por elas para notificar seus clientes em primeira mão. Neste ano eu jantei com Eli Jellenc da i-Defense, que é um dos maiores defensores, e foi um dos precursores, da política de pagar por vulnerabilidades. Eu sou favorável a este tipo de iniciativa, mas ela possui um componente perverso. Pode-se considerar, implicitamente, que a pessoa que pesquisa vulnerabilidades não se importa com uso que será feito delas e apenas com o dinheiro que ela vai receber. É quase a mesma suposição por trás da idéia de que pobreza leva a criminalidade, sem que o pobre tenha o livre arbítrio para decidir o que fazer, por mais que haja forças sociais que o empurrem para a marginalidade. Acho que os fabricantes devem pagar por vulnerabilidades descobertas por terceiros simplesmente porque é economicamente eficiente e saudável para nosso mercado. É muito barato eliminar vulnerabilidades através de um outsourcing da pesquisa. Faço, entretanto uma ressalva, pois essa abordagem pode sujeitar os fabricantes à chantagem e à extorsão: "se vocês não pagarem 10 mil dólares pela minha vulnerabilidade eu vou entregá-la para a quadrilha X, pois eles me pagam 8 mil". E aí é que está o cerne da questão. Dan poderia ter vendido a vulnerabilidade, poderia ter publicado os detalhes técnicos antes que um patch estivesse pronto, obtendo milhares de vezes mais atenção do que vem obtendo agora, e mesmo assim ele não o fez. Aos que argumentavam que queriam conhecer os detalhes antes da aplicação, sintam-se realizados, eles estão disponíveis e, neste exato, momento muitos servidores DNS já foram comprometidos e muitos ainda serão. O argumento de que a comunidade underground já tinha matado a charada poucos dias depois que os primeiros patches foram publicados, pois fizeram engenharia reversa, não se sustenta. Não temos que (e talvez nem mesmo devamos) evitar que a comunidade faça engenharia reversa dos patchs ou analise as mudanças no código fonte de aplicações abertas para entender o problema, mas o sujeito precisa ter um QI muito baixo para argumentar que o impacto trazido por isso é o mesmo que o que virá agora que o problema é amplamente conhecido e ferramentas vão permitir que até minha mãe consiga redirecionar usuários desatentos para um site falso de banco. Em épocas onde todo mundo pode falar qualquer coisa e ser atacado e acusado por todos os lados, nunca foi tão importante agir de maneira coerente com os valores nos quais você acredita. Questionado pelo Threat Level da Wired se ele estava puto com o vazamento teoricamente acidental (e, conseqüentemente, com a traição daqueles nos quais ele confiou detalhes do problema), Dan teve uma postura simples e correta: disse que isso não era importante, e que o importante mesmo era que tudo isso sirva como um alerta para que as pessoas atualizem os seus servidores DNS. Ou seja, ele foi coerente do começo ao fim. Enquanto muitos estão apenas preocupados em aparecer e matar a charada, entrando para a história como o cara que divulgou a falha, Dan está preocupado com o impacto que a Internet possivelmente vai sofrer. E ele estava desde o começo quando resolveu não divulgar a falha e trabalhar por meses junto aos fabricantes para que o problema fosse corrigido. Em tempo, você pode testar se o servidor DNS que você está usando está vulnerável no próprio site do Dan Kaminsky. Na dúvida (ou em caráter de emergência), é uma ótima oportunidade para você conhecer o OpenDNS e apontar sua estação pra lá.
Read More