SegBlog

Apresentação interessante de Rich Mogull da Securosis.

Impressionante.

Man gets busted by police installing \’skimming\’ device to ATM

Albert Gonzales, acusado pelo ataque ao TJX, Hannaford e Heartland, fechou um acordo com a Justiça de Massachusetts no qual pagaria US$ 3 milhões em dinheiro mais uma casa em um condomínio em Miami, jóias e carros. Tudo isso somado a uma pena de 15 a 25 anos de prisão.

 Ele ainda responde a processo no distrito de Nova York, o qual será decidido nos próximos dias e poderá seguir a mesma linha de sentença.

Da Wired

Foi o que disse a nova pesquisa da RSA. Segundo os pesquisadores, de todos os incidentes realizados por funcionários ou terceiros das empresas, 52% são acidentais, 19% intencionais e 33% são realizados por outras causas.

Aposto um doce que boa parte destes 52% poderiam ter sido evitados com a aplicação de conceitos simples como de segregação de funções.

Mais informações na BBC e no The Register.

A Wired noticiou o indiciamento de Albert “Segvec” Gonzales suspeito de envolvimento nos casos de roubo de dados de cartão das redes varejistas TJX, Hannaford e da processadora Heartland.

Também são mencionados no processo dois hackers Russos que não cujos nomes não são citados.

Eu pensava que os roubos haviam sido realizados por gupos diferentes por conta das diferenças nos níveis de sofisticação entre os ataques ao TJX + Hannaford e do ataque da Heartland. Com certeza esta novidade me surpreendeu.

Foi divulgada hoje pelo CAIS uma vulnerabilidade no WordPress que permite o reset não autorizado da senha do administrador do blog.

Esta vulnerabilidade afeta a versão 2.8.3 do WordPress e a recomendação é de atualização para versão 2.8.4.

Ontem foi descoberta pelo Jose Nazario da Arbor Networks a atividade de uma botnet que utiliza Twitter para enviar informações sobre maquinas infectadas.
O ataque, noticiado no Blog Zero Day e na Wired, tem o objetivo de coletar dados de correntistas de bancos brasileiros como o Banco do Brasil.

Artigo originalmente publicado no nº 6 da revista Antebellum

Dentre as muitas expressões que sempre estão na boca do povo brasileiro, uma em especial possui uma relação estreita com a forma pela qual nosso povo se relaciona com normas e regulamentações: trata-se do famoso “para inglês ver”. Esta expressão é usada desde a época em que a Inglaterra, detentora de forte influência em nossa política, pressionava o governo brasileiro no sentido da libertação dos escravos. Por sua vez, as autoridades brasileiras emitiam decretos que em tese atendiam à pressão inglesa, mas que, no entanto possuíam pouco efeito prático. Na maioria das situações dava-se um “jeitinho” e tudo permanecia como estava. A situação dos escravos somente foi resolvida por completo a partir do momento em que esta condição política se tornou insustentável.

De lá para cá, muito se legislou e ainda nos deparamos com indícios de que muitas regulamentações sejam elas padrões, leis ou normas, são mesmo só “para inglês ver” e que o “jeitinho brasileiro” infelizmente é o que domina nossa vida na prática. Entretanto, também não é de hoje que alguns setores do mercado se esforçam no sentido de definir e respeitar determinadas, regras reconhecendo que esta atitude deve ser inerente à competitividade. Desta forma, apesar de todas as dificuldades, muitas companhias brasileiras vem adequando seus ambientes a diversos padrões ou normas com o objetivo de entrar (ou se manter) no jogo do mercado.

O PCI DSS, padrão do qual muito se têm falado no mercado de segurança e que é o assunto desta edição da Antebellum, encontra em sua aplicação nas empresas do Brasil um cenário complexo de desigualdade envolvendo empresas com tamanhos diversos e em lugares com os mais variados níveis de maturidade no que tange ao uso de tecnologia e gestão de segurança da informação. De modo geral, entendo que a sua implementação neste cenário possui a mesma proporção de dificuldades e oportunidades.

Dificuldades

As dificuldades residem basicamente na parte ruim daquilo que formou o mercado brasileiro: o pensamento antiquado segundo o qual uma empresa é soberana em sua atuação no mercado; A baixa dedicação nos assuntos que envolvem organização, padronização de processos e gestão dos assuntos de segurança; A vida corporativa baseada em acordos e maneiras informais de conduzir o trabalho.

Tenho conhecido muitas empresas em minha jornada com o objetivo de fomentar a conformidade ao PCI DSS no Brasil e um pensamento com o qual muitas vezes tenho me deparado nas empresas que visito é a de que estas acreditam que possuem total soberania sobre a sua atuação no mercado. De que o ciclo que envolve fornecedores, empresa e cliente possui total controle.

Embora isto possa ser óbvio para a maioria dos leitores desta revista, alguns representantes de empresas brasileiras ainda não entendem que basta olhar de uma maneira mais geral para o mercado dos dias de hoje para entender que este é atualmente formado por diversas redes de dependência nas quais os “papéis” de fornecedores e clientes se misturam e as vezes os primeiros chegam a ter influência nos rumos do segundo . Esta é uma das características presentes no que Thomas Friedman chama “mundo plano”.

Quando passamos a analisar o fluxo de informações que trafegam nestas redes de dependência o cenário fica ainda mais complexo. Por isso hoje torna-se necessário a estas empresas não somente se concentrar nos limites de suas paredes, mas sim colocá-la no contexto de um sistema complexo de dependências.

Outra pedra no caminho para a aderência ao PCI DSS é que o padrão exige um nível de organização e padronização de processos sobre os quais não existe qualquer dedicação em boa parte do mercado, principalmente quando olhamos para o varejo, um dos setores-alvo do padrão. Ter uma gestão dos assuntos de segurança da informação nestas empresas também é um aspecto ao qual geralmente é dedicado pouca ou nenhuma atenção.

Por último, e em minha opinião a dificuldade mais importante à aderência do PCI DSS no Brasil, é o elevado nível de informalidade que contamina a vida corporativa. De acordo com o antropólogo Roberto DaMatta a incidência do “jeitinho” pode ser encontrada em diversos países do mundo, mas somente no Brasil este comportamento se torna um valor, de maneira que aquele que resolve as coisas com “jeitinho” é o “malandro” e o que respeita as “regras do jogo” é o otário. Desta forma, quando olhamos para a forma pela qual nossos políticos lidam com as questões do estado, estas se tornam somente um reflexo da maneira que vivemos em sociedade.

No que se refere à aderência a normas e padrões, sobretudo ao PCI DSS, não é possível ter vários pesos e várias medidas: é preciso estar de acordo com os controles e aqui o “jeitinho brasileiro” não pode ser aplicável.

Oportunidades

Mas nem tudo está perdido. A aderência ao PCI DSS não é a solução para todos os males mas, pode ajudar as empresas a curarem feridas abertas há muito tempo.

O padrão compreende a visão na qual os dados de portador de cartão podem estar sendo trafegados, processados ou armazenados em uma estrutura complexa que contemple as redes de dependência presentes no mercado atual. Por contemplar este tipo de estrutura, a adequação ao padrão obriga a todos os atores da cadeia a estarem em conformidade, o que eleva o nível de segurança do mercado como um todo.

Atualmente nosso país vive uma situação econômica inédita na qual, embora o mundo esteja em crise, o crescimento possui números nunca vistos antes. Para mantermos o ritmo é necessário que as empresas se organizem e sabemos que quanto mais uma empresa se organiza, mais ela reduz os seus custos e dinamiza sua atividade, o que proporciona aos seus executivos um horizonte mais favorável a boas decisões. Se o motivador desta organização for um padrão de segurança reconhecido internacionalmente, todo o ciclo envolvendo redução de custos, dinamismo e proteção dos ativos se fecha, de maneira a colocar a empresa em pé de igualdade na competição internacional. Em outras palavras, a aderência ao PCI DSS pode ser um dos fatores de modernização de uma companhia, não deixando nada a dever à concorrência internacional em um cenário tão conturbado, mas com tantas oportunidades ao mercado brasileiro quanto o atual.

Existem aqueles que dizem que o “jeitinho” e este elevado nível de informalidade presentes em nossa sociedade são os pais da criatividade internacionalmente reconhecida do brasileiro. Esta afirmação pode até ser verdadeira e a criatividade do brasileiro é, em minha o opinião, não só o que torna nossa cultura uma das mais ricas do mundo, mas o que nos torna mais adaptáveis às mais diversas situações. No entanto, quando olhamos para a gestão de segurança nas empresas, sabemos que o número de vulnerabilidades é diretamente proporcional ao da adoção de exceções aos processos oficiais. Diante das potencialidades da tecnologia disponível hoje e da concorrência que vivemos no mercado, a rigidez nos processos pode ser o que determina a vida ou morte de uma empresa. Não pode ser algo suscetível a informalidade.

O que “pega”

Assim como o “para inglês ver” é uma exclusividade do povo brasileiro dizer que tem “lei que pega e lei que não pega”. Em tese, lei não foi feita para “pegar” e sim para ser cumprida ou refutada através do uso dos mecanismos legais da democracia. No entanto, quando falamos de padrões de mercado, estes geralmente “pegam” quando alcançam um forte apelo ao ganho financeiro no qual sua aderência resultará, ou por conta das sanções a serem impostas no caso da não aderência.

Acredito que o PCI DSS é um padrão que “pega” porque tenho visto diversos esforços no mercado na busca da aderência. Estes esforços têm vindo de empresas que já possuem uma cultura na qual a disciplina de conformidade faz parte da realidade. Elas estão empurrando os seus fornecedores também à conformidade e penso que em breve esta onda chegará até as companhias menores.

Entendo também que o PCI DSS não pode ser um padrão “para inglês ver” por que seu ciclo de vida não se manifesta somente em uma relação na qual um órgão cria as regras, outro adéqua o ambiente e outro audita. Existe outro ator na figura do adquirente que faz a gestão dos resultados e motiva todas as entidades envolvidas (estabelecimentos, data centers, fornecedores de soluções de pagamento, etc.) a estarem de acordo com o padrão e a manter o bom nível das análises. Os Relatórios de Conformidade ou ROCs tendem a assumir cada vez mais o papel de uma certidão de que uma entidade trata os dados de portador de cartão de acordo com padrões internacionalmente reconhecidos. Somente sinto falta de uma divulgação do padrão ao cidadão comum, portador de cartão e maior interessado no tratamento de suas informações com segurança, mas penso que isto será uma conseqüência óbvia na medida em que as empresas forem se certificando.

Referências Bibliográficas

FRIEDMAN, Thomas L.. O Mundo é Plano: Uma Breve História do Século XXI. 2. ed. Rio de Janeiro: Objetiva, 2005.

DAMATTA, Roberto. Carnavais, Malandros e Heróis: Para uma Sociologia do Dilema Brasileiro. Rio de Janeiro: Rocco, 1981.

Artigo originalmente publicado na sessão “Virus e Cia” do Terra. 

Atire a primeira pedra aquele que nunca acordou no domingo antes do horário de que gostaria por causa de algum vendedor de sorvete, pamonha ou produtos de limpeza em seus carros de som. Quem nunca chegou em casa e encontrou sua caixa de correio lotada de folhetos de pizzaria, supermercados, cartomantes com a promessa de fazer “amarração” para o amor ou aumentar a potência sexual? Há até “correntes” para aumentar sua renda, das quais, se você não tirar trinta cópias e repassar, lamentará alguns anos de azar. E os telefonemas com o intuito de vender assinatura de jornal, revista e cartão de crédito que ocorrem nas horas mais extrordinárias (e inoportunas)? Sem contar aqueles que nos pedem para contribuir com uma instituição de caridade da qual não há prova de que exista a não ser pela pessoa que vem buscar o dinheiro. Todos estes meios de tentar nos tomar a atenção de forma não solicitada existem há muito tempo e a sua evolução para o ambiente tecnológico foi denominada como “spam”.

Hoje, toda caixa de correio na Internet é passível de receber mensagens com promoções de Viagra, Xenical, oferecendo prêmios em dinheiro, formas revolucionárias para o aumento dos seios e do pênis (não importa se você não tenha uma coisa ou outra), links para sites racistas, de pornografia em geral, vendas de equipamentos eletrônicos, meios incríveis de se fazer dinheiro fácil, fotos de pessoas mortas em acidentes (tem quem gosta), fotos de moças russas dispostas a casar com estrangeiros…

E, dentre milhares de outras coisas, você também pode receber e-mails criminosos com programas que guardam tudo que é digitado em seu computador em um arquivo que é enviado periodicamente para o criminoso, ou até mensagens em que o intuito é se passar pelo seu banco, solicitando que seja feito um recadastramento ou algo do tipo, em que você deve acessar um site bem parecido com o do banco do qual você é correntista e inserir suas senhas para que, sem você perceber, outra pessoa tenha acesso à sua conta corrente.

Atualmente o spam é um dos maiores e mais irritantes problemas da Internet e toda esta irrritação resulta em prejuízos relacionados ao tráfego das mensagens, espaço em disco dos servidores de correio, negócios que deixam de ser fechados pelo motivo de uma mailbox estar lotada de mensagens não solicitadas, queda na produtividade dos funcionários, entre outras coisas. Naturalmente mudar de casa para não receber correspondências não solicitadas é bem mais difícil que mudar de endereço de e-mail, mas se este endereço estiver profundamente atrelado à sua marca e conseqüentemente ao seu negócio, tudo fica mais difícil.

Entretanto, se você está assustado com toda esta abrangência do spam, vale a pena lembrar que a velocidade em que um endereço de e-mail cai nas mãos de spammers (pessoas que enviam spam) é extremamente grande. Tentando medir o tempo deste processo, investigadores do Federal Trade Commission nos Estados Unidos postaram alguns endereços tidos como secretos em salas de chat e newsgroups e o primeiro spam chegou nove minutos depois, conforme demonstra o escritor e repórter do New York Times, James Gleick em seu artigo “A plague on E-mail”.

Você deve estar se perguntando: “como meu endereço de e-mail foi parar nas mãos destas pessoas?”. Da mesma forma que existe no mundo físico um mercado de endereços para mala direta ou de empresas para o envio de currículo, antigamente disponíveis em listas de papel e hoje em CDs, também é possivel encontrar, isto é, comprar listas de endereços para spam, e estes endereços na maioria das vezes são uma compilação dos dados obtidos, legalmente ou não, de cadastros em sites. Portanto, se você já se cadastrou em um site qualquer, é bem possível que seu endereço esteja em alguma lista de spam.

O custo deste tipo de negócio (se é que podemos chamar de negócio) para o spammer é quase zero, comparado com uma panfletagem ou aluguel de um carro de som. Basta um computador, uma linha telefônica, no mínimo, para a conexão com a Internet, conhecimento técnico para driblar alguns serviços antispam e pronto! O retorno de uma única mensagem, seja ela criminosa ou não, já valeu o investimento.

Alguns spammers se defendem dizendo que já somos bombardeados por publicidade não desejada no rádio, TV, etc., o que justificaria o spam. A publicidade não desejada, como a panfletagem, os carros de som e outros, é tão intrusiva e irritante quanto o envio de mensagens não solicitadas via Internet, mas o fato de não conseguirmos reduzir ou até acabar com este tipo de irritação não é prerrogativa para a existência do spam. Se já somos bombardeados por tanta propaganda indesejável, será que é realmente necessário aumentar o alcance deste arsenal?