Skip to content

Desabafo de um Currículo

Curriculo

Texto de José Zulmar Lopes
br.linkedin.com/in/josezulmarlopes

 

Sou conhecido por CEVÊ, todos me chamam assim, mas meu nome é CURRÍCULO. Alguns baby-boomers ainda me chamam de CURRICULUM Hoje todo mundo me conhece. Eu sou honesto. Por isso nunca exagero nas mentiras (rs) Vamos começar leve.

Meu dono capricha em cuidar de mim e eu tenho muitas qualidades: sou proativo, aceito novos desafios, falo Inglês, tenho pós graduação, MBA e soluções adequadas para reorganizar sua empresa .Infelizmente, apesar de todas as qualificações e condições, meu dono está desempregado. Chego a conclusão que exageros não impressionam, incomodam. Mas fazer o que? Meu dono quer assim. Cabeça dura. Ele diz que é o mercado. Eu acho que não. Falta foco para ele que associado a ansiedade não leva a lugar algum Mas ele é bom mesmo, hein.

A verdade é que eu acho que meu dono é um puxa-saco meu e exagera nos superlativos que não impressionam mais ninguém. Aí está um erro dele. Não querer que seja simples, objetivo. Veja só: ele me coloca em cada fria: disse eu falo Inglês e Espanhol fluente. Mentira. Apenas quebro o galho. Eu só quero ver se em uma entrevista resolverem falar com ele em Inglês ou Espanhol, vou cair da mesa para o chão morrendo de vergonha.

Na maioria das vezes chego as empresas e ninguém dá bola. Mas ainda assim contribuo: viro papel reciclado para rascunho na copiadora. Pelo menos isto, né

Agora vou contar o que acontece desde a hora que nasci pelas mãos de meu dono.Depois de muito pensar, falar com amigos, visitar sites, um mês depois eu venho ao mundo. Aí ele mostra para os amigos que colocam um montão de defeitos em mim. Aí ele resolve refazer. E lá vai mais alguns dias. Sinto que ele está inseguro, afinal está desempregado. Finalmente estou pronto. Cheio de enfeites parecendo uma árvore de Natal. Sinto que isto não vai dar certo. Mas CEVÊ não fala.

Leia o artigo completo em:

http://www.antebellum.com.br/desabafo_de_um_curriculo/

 

Sites que utilizam o WordPress estão sob forte ataque: como proteger seu site

Publicamos um post no site da Antebellum sobre o ataque de força bruta que está acontecendo em milhares (ou Milhões?) de sites WordPress, e sobre como proteger seu site.

http://www.antebellum.com.br/ataque_wordpress/

Durante a semana passada, as empresas de segurança registraram um crescente ataque de força bruta às contas administrativas de sites que utilizam o WordPress. O ataque vem se intensificando e hoje parte de mais 90 mil IP’s de usuários domésticos. Os atacantes tentam utilizar em torno de 1000 combinações mais comuns de usuário e senha pra invadir os sites.

Acho que este assunto ainda vai pipocar na Web, principalmente se o atacante utilizar uma botnet feita de servidores WordPress😉

Abs,

Fernando Fonseca

Lei Carolina Dieckmann está valendo: O que muda na Segurança da Informação e quais os impactos na Sociedade?

Prezados colegas, acabo de ter o prazer de ler o artigo recém publicado pelo amigo José Milagre, que analisa a famosa lei Dieckmann. A lei entra em vigor no dia 3 de abril e promete mexer com nosso mercado.

Reproduzo aqui o último parágrafo para incitá-los a ler o texto integralmente.

Parabéns Milagre!

Como visto, a não conformidade em segurança da informação, agora, pode representar claramente a impunidade em casos de invasão, pois não se pode invadir o que está “aberto”, por nítida falha, negligência, imprudência ou imperícia dos contratados e que tinham o dever de garantir segurança do ativo de informação de alguém.

http://josemilagre.com.br/blog/2013/03/30/lei-carolina-dieckmann-esta-valendo-o-que-muda-na-seguranca-da-informacao-e-quais-os-impactos-na-sociedade/

O Rootkit de DRM da Sony: A Verdadeira História

Extraido do Blog de Bruce Scsonyipodhneier. Tradução livre por Fernando Fonseca

É uma história de David contra Golias, sobre os blogs de tecnologia derrotando uma megacorporação.

Em 31 de Outubro, Mark Russinovich detonou a história em seu blog: A Sony BMG Music Entertainment distribuiu um esquema de proteção contra cópias junto com seus CD’s que secretamente instalava um rootkit nos computadores. Essa ferramenta é executada sem o conhecimento nem consentimento: ela é carregada em seu computador por um CD, e um hacker pode obter e manter acesso ao seu sistema sem que você saiba.

O código da Sony modifica o Windows para que não se possa dizer que está lá, um processo denominado “Clocking” (Camuflagem) no mundo hacker. Ele age como um spyware, sorrateiramente enviando informações sobre você para a Sony. E ele não pode ser removido; tentar livrar-se dele danifica o Windows.

A história foi acolhida por outros blogs (inclusive o meu), e logo depois pela mídia de informática. Finalmente os grandes meios de comunicação trouxeram isso à tona.

O Clamor foi tão grande que em 11 de novembro a Sony anunciou que estava temporariamente parando a produção desse esquema de proteção de cópias. Isso ainda não era o suficiente, em 14 de novembro a companhia anunciou que estava retirando das lojas os CD’s protegidos, e oferecia aos usuários uma troca gratuita dos CD’s infectados.

Mas essa não é a história real aqui

É uma história sobre extrema arrogância. A Sony distribuiu seu incrivelmente invasivo esquema de proteção contra cópia sem sequer discutir publicamente seus detalhes, confiando que os benefícios justificariam a modificação nos computadores de seus clientes. Quando essa ação foi inicialmente descoberta, a Sony ofereceu um “fix”que não removia o rootkit, apenas a camuflagem.

A Sony alegou que o rootkit não “ligava para casa”, quando na realidade ele o fazia. Em 4 de novembro, Thomas Hesse, presidente global de negócios digitais da Sony BMG, demonstrou todo o desdenho da companhia por seus clientes quando ele disse em uma entrevista à NPR: A maior parte das pessoas nem sequer sabe o que é um rootkit, então porque eles devem se preocupar com isso?

No entanto, o comportamento arrogante de uma corporação também não é a história real

Esse drama é sobre incompetência. A última ferramenta de remoção do rootkit da Sony na realidade deixa uma vulnerabilidade escancarada. E o rootkit da Sony, desenhado para parar as infrações de direitos autorais pode ter infringido ele mesmo uma copyright. Por mais incrível que isso possa parecer, o código parece incluir um codificador MP3 de código aberto, em violação à licença dessa biblioteca. Mas mesmo isso não é a história real.

É um épico de ações judiciais coletivas na Califórnia e em outros lugares, e o foco das investigações criminais. O rootkit teria sido encontrado em computadores do Departamento de Defesa, para desgosto do Departamento de Segurança Interna. Enquanto a Sony poderia ser processada sob a legislação de cybercrime dos EUA, ninguém acha que ela será. E ações nunca são toda a história.

Esta saga é cheia de reviravoltas estranhas. Alguns apontaram como este tipo de software degradaria a confiabilidade do Windows. Alguém criou um código malicioso que usava o rootkit para se esconder. Um hacker usou o rootkit para evitar o spyware de um jogo popular. E havia até mesmo chamadas para boicotar a Sony em todo o mundo. Afinal, se você não pode confiar que a Sony não vai infectar o seu computador quando você compra CDs com suas músicas, você pode confiar nela para lhe vender um computador não infectado? Essa é uma pergunta boa, mas, de novo, não a verdadeira história.

É ainda outra situação onde os usuários do Macintosh podem assistir, divertindo-se (bem, na maior parte) do lado de fora, perguntando por que alguém ainda usa o Microsoft Windows. Mas certamente, mesmo isso não é a história real.

A história de prestar atenção aqui é o conluio entre grandes empresas de mídia que tentam controlar o que fazemos em nossos computadores e companhias de software de segurança, e empresas que deveriam estar nos protegendo.

As estimativas iniciais são de que mais de meio milhão de computadores no mundo estão infectadas com este rootkit da Sony. São números surpreendentes de infecção, tornando esta uma das epidemias mais graves da Internet de todos os tempos, no mesmo nível de worms como Blaster, Slammer, Code Red e Nimda.

O que você acha da sua empresa antivírus, o que não percebeu rootkit da Sony, uma vez que ele infectou meio milhão de computadores? E isso não é um daqueles vermes relâmpago da Internet; este vem se espalhando desde meados de 2004. Porque se espalhou através de CDs infectados, não através de conexões de internet, eles não notaram? Este é exatamente o tipo de coisa que você está pagando essas empresas para detectar, especialmente porque o rootkit foi “telefonar para casa”.

Mas muito pior do que não detectá-lo antes da descoberta de Russinovich foi o silêncio ensurdecedor que se seguiu. Quando um novo malware é encontrado, empresas de segurança caem sobre si para limpar os nossos computadores e inocular nossas redes. Não neste caso.

A McAfee não adicionou um código de detecção de até 09 de novembro, e agora, 15 de novembro ainda não remove o rootkit, somente o dispositivo de camuflagem. A empresa admite em sua página web que este é um compromisso pobre. “A McAfee detecta, remove e evita a reinstalação do XCP.” Esse é o código de camuflagem. “Por favor, note que a remoção não irão afetar os mecanismos de proteção de direitos autorais instalados a partir do CD. Houve relatos de travamento do sistema, possivelmente resultante de desinstalar o XCP”. Obrigado pelo aviso.

Resposta da Symantec para o rootkit, para ser gentil, evoluiu. No início, a empresa não considerou o XCP como um Malware. Não era até 11 de novembro que a Symantec publicou uma ferramenta para remover a camuflagem. Em 15 de novembro, ainda é insossa sobre isso, explicando que “este rootkit foi projetado para esconder uma aplicação legítima, mas pode ser usado para esconder outros objetos, incluindo software malicioso”.

A única coisa que torna este rootkit legítimo é o fato de uma empresa multinacional colocá-lo no seu computador, e não uma organização criminosa.

Você poderia esperar que a Microsoft fosse a primeira empresa a condenar este rootkit. Afinal, o XCP corrompe o interior do Windows de uma forma bastante desagradável. É o tipo de comportamento que poderia facilmente levar a falhas no sistema, falhas que os clientes culpam a Microsoft. Mas não foi até 13 de novembro, quando a pressão pública era muito grande para ser ignorada, e a Microsoft anunciou que iria atualizar suas ferramentas de segurança para detectar e remover a parte do disfarce do rootkit.

Talvez a única empresa de segurança que merece louvor é F-Secure, o primeiro e o mais alto crítico das ações da Sony. E a Sysinternals, é claro, que hospeda blog do Russinovich e trouxe isto para a luz.

Segurança ruim acontece. Isso sempre foi e sempre será. E as empresas fazem coisas estúpidas, sempre fizeram e sempre farão. Mas a razão que nós compramos produtos de segurança da Symantec, McAfee e outros, é para nos proteger de segurança ruim.

Eu realmente acreditava que, mesmo na maior e mais corporativa empresa de segurança haveriam pessoas com instintos hacker, pessoas que iriam fazer a coisa certa e fazer soar o apito.Se todas as grandes empresas de segurança, após mais de um ano, deixaram de notar ou não fizeram nada sobre esso rootkit da Sony, isso demonstra incompetência na melhor das hipóteses, e ética ruins na pior das hipóteses.

A Microsoft eu posso entender. A empresa é um fã de proteções invasivas contra cópia. Isso vem sendo construído na próxima versão do Windows. A Microsoft está tentando trabalhar com empresas de mídia como a Sony, esperando que o Windows torne-se a escolha como canal de distribuição de mídia. E a Microsoft é conhecida por cuidando de seus interesses comerciais em detrimento daqueles de seus clientes.

O que acontece quando os criadores de malwares agem em conluio com as próprias empresas que contratamos para nos proteger desse malware?

Nós os usuários perdemos, isso é o que acontece. Um rootkit perigoso e prejudicial fica solto no mundo, e meio milhão de computadores são infectados antes que alguém faça alguma coisa.

Para quem as empresas de segurança realmente estão trabalhando? É improvável que este rootkit da Sony é o único exemplo de uma empresa de mídia utilizando esta tecnologia. Qual empresa de segurança tem engenheiros procurando os outros que possam estar fazendo isso? E o que eles vão fazer se encontrar um? O que eles vão fazer na próxima vez que alguma empresa multinacional decidir que possuir seus computadores é uma boa ideia?

Essas questões são a verdadeira história, e todos nós merecemos respostas.

Versão original em Inglês: Schneier on Security: Sony’s DRM Rootkit: The Real Story

 

Nenhum prejuízo: De tanto contar, estão tentando transformar essa mentira em realidade

Na semana passada, justamente enquanto ministrava o curso de auditor PCI, um padrão criado para proteger a confidencialidade de dados de portadores de cartão de crédito, eu li duas vezes na imprensa brasileira que um “simples vazamento” sem alteração de dados não constitui prejuízo ao proprietário daquele ativo de informação. O pior da história é que essa afirmação veio dos custodiantes das informações, as pessoas que deveriam protege-las:

1 O ministro Aloizio Mercadante minimizou a falha no sistema que expôs dados pessoais de estudantes cadastrados. “Não houve alteração de dados, nenhum prejuízo. Se você entrar na lista telefônica acha o nome, endereço e telefone de qualquer pessoa. Não tem essa dimensão que foi dada. O Sistema está totalmente seguro e funcionando”, assegurou. (Falha do Sisu é Minimizada, 2013)

2 Site da Caixa falha e exibe dados de correntistas: Nas redes sociais, correntistas alegaram que ao acessar o serviço com seu login e senha conseguiam ver dados de outros usuários – como saldos, aplicações e resumo de operações financeiras. Em comunicado, a Caixa Econômica Federal alegou que a falha foi pontual, afetando uma base pequena de clientes. O incidente também não trouxe prejuízos aos correntistas – já que as operações bancárias ficaram indisponíveis durante o problema técnico. (Candido, Fabiano, 2013)

O Objetivo deste artigo não é o de criticar o MEC ou a Caixa Econômica Federal, estes são apenas os vazamentos da semana, se eu esperar um pouco terei outros nomes para citar. Meu objetivo é alertar para a crescente naturalidade com que este tipo de afirmação é divulgada no Brasil.

Enquanto isso, nos países desenvolvidos (PIB não é desenvolvimento, o Brasil não é desenvolvido porque não respeita os direitos individuais), a União Europeia possui uma lei de proteção a dados pessoais (www.dataprotection.ie) desde 1993, e vários estados dos Estados Unidos possuem leis rígidas sobre o vazamento de dados, como a California Bill 1386 que exige que os consumidores da Califórnia sejam notificados pelas empresas no caso de um vazamento de dados, ou mesmo de uma suspeita de vazamento.

O Objetivo deste tipo de lei é o de por proteger os direitos dos indivíduos e garantir que os custodiantes  dos dados cumpram com suas obrigações, mas no Brasil parece que ninguém quer arcar com essa responsabilidade. Minimizar esses vazamentos, banaliza a coisa e faz com que as pessoas não exijam um nível adequado de proteção. Sai mais barato para todo mundo e não se fala mais nisso!

Bibliografia

Falha do Sisu é Minimizada. (09 de 01 de 2013). Metrô news, p. 10.

Candido, Fabiano. (05 de 01 de 2013). Site da caixa falha e exibe dados de correntistas. Acesso em 11 de 01 de 2013, disponível em INFO Abril: http://info.abril.com.br/noticias/ti/site-da-caixa-falha-e-exibe-dados-de-correntistas-05012013-0.shl

Você conhece os novos requisitos da Mastercard para Annual Onsite Assessment e Annual Self-Assessment?

Tenho conversado muito sobre as vantagens de se possuir a certificação ISA (Internal Security Assessor), e uma das coisas que mais me causa estranheza é verificar que a maioria absoluta das pessoas não sabem que:

1) Um ISA pode assinar o Annual Onsite Assessment da Mastercard para empresas Nivel 1 (isso mesmo, substituindo o QSA)

2) A Mastercard a partir de 30 de junho passou a exigir um ISA para assinar o Annual Self-Assessment das empresas nível 2.

Você sabia disso?

Separei 3 artigos interessantes sobre o assunto:

1) Nosso amigo PCI Guru comentando o assunto: http://pciguru.wordpress.com/tag/internal-security-assessor/

2) As novas regras do ite Data Protection, da Mastercard:http://www.mastercard.com/us/company/en/whatwedo/determine_merchant.html

3) Um documento da Mastercard falando sobre a certificação ISA:http://www.mastercard.com/us/company/en/docs/PCI_SSC_ISA_Training.pdf

Abs,

Fernando

Engenharia social e Suicídio, riscos não avaliados

O Dano irreparável

A enfermeira do hospital em que Kate Middleton estava internada e que caiu em uma “pegadinha” de uma rádio australiana foi encontrada morta nesta sexta-feira, 7 de dezembro. Ela se suicidou, segundo a rede CNN, que cita uma fonte do hospital King Edward VII.

Jacintha Saldanha foi recentemente vítima de um trote no hospital, ela trabalhava há mais 4 anos no hospital, tinha 46 anos, era casada e tinha dois filhos.

O Golpe

Dois dias antes, Jacintha havia caído em uma “pegadinha” telefônica, em que dois radialistas australianos ligaram para o hospital fingindo ser a Rainha Elizabeth II e o Príncipe Charles, Jacintha acabou acreditando neles e divulgando informações sobre o estado de saúde de Kate, cuja gravidez havia sido anunciada na segunda.

De acordo com a gravação da conversa, que foi ao ar no “News.com.au” e reproduzida por vários meios de comunicação britânicos, a locutora Mel Greig, pediu, envelhecendo o seu timbre de voz: “Eu poderia, por favor, falar com Kate, minha netinha?”

“Sim, claro, não desligue, Madame”, respondeu a enfermeira.

A ligação foi colocada em espera, enquanto que Michael Christian, o outro apresentador, comentava com surpresa: “Eles estão nos transferindo? Se funcionar será o trote mais fácil que eu já passei!”

Uma segunda enfermeira atendeu e respondeu que Kate “dormia e que havia passado uma noite tranquila”. “Nós a reidratamos, porque ela estava desidratada quando chegou, mas agora ela está estável”, chegou a acrescentar.

O hospital admitiu, no mesmo dia, que havia caído no trote, e os próprios radialistas não acreditaram quando a enfermeira caiu na pegadinha, uma vez que eles classificaram suas imitações de sotaques britânicos como “terríveis”.

O presidente do centro médico, Lord Glenarthur, lamentou o ocorrido e disse que “as consequências imediatas dessas ações malvadas e premeditadas resultaram na humilhação de duas enfermeiras dedicadas, as quais simplesmente faziam seu trabalho cuidando doentes”.

A Falha de segurança:

A direção da instituição disse que “lamentava profundamente” o incidente, observando que o hospital “tem o maior respeito à confidencialidade” de seus pacientes, e que agora “iria rever seus procedimentos para chamadas telefônicas”.

Danos secundários:

A rádio anunciou que a dupla estava afastada de suas atividades até segunda ordem, em sinal de respeito após a tragédia. Segundo comunicado divulgado no Facebook, os dois “ficaram chocados” com a notícia.

O “Daily Mail” relatou que os radialistas chegaram a receber ameaças pelas redes sociais após a morte de Jacintha, e muitos internautas pedem que eles sejam demitidos.

Na carta dirigida à emissora australiana, Lord Glenarthur indicou que “o hospital King Edward VII se encarrega de atender doentes, enquanto foi extremamente estúpido por parte dos apresentadores ter planejado essa mentira para ter acesso a um de seus pacientes e, muito mais, por ter realizado a chamada”.

“Descobrir depois não só que isto tinha ocorrido, mas que a chamada tinha sido gravada previamente e que a decisão de emiti-la tinha sido aprovada pela própria direção da emissora. Foi uma ação verdadeiramente atroz”, declarou o presidente do centro hospitalar.

De quem é a culpa?

Acho óbvio que a dupla de jornalistas não avaliou os riscos de que a vergonha ou culpa fosse consumir a enfermeira de tal forma que ela chegasse a esse extremo, da mesma forma que os paparazzi não pensaram que matariam a avó do futuro herdeiro do trono em 1997. Mas isso os exime da culpa? Mesmo que a atitude da enfermeira não fosse tão extremada, será que a “piadinha” valeria o emprego de uma mãe de família, por exemplo.

Seria o hospital culpado por não preparar seus funcionários? O hospital relatou que a estava apoiando depois do trote, mas mesmo que isso seja verdade, será que todas as instituições serão tão condescendentes com os erros de seus colaboradores?

O que deu errado?

Medo ou vontade de ajudar? Não importa o que essas enfermeiras sentiram, o fato é que a realeza se impõe em um patamar tão alto, que um simples questionamento sobre a identidade dos mesmos poderia ser encarado como uma ofensa. Da mesma forma, alguns executivos e autoridades colocam-se de forma irracional acima dos controles, sem perceber que trazem os riscos para si mesmos, pois poderão ter sua identidade roubada mais facilmente.

Por outro lado, as evidências os levam a acreditar que o Hospital não preparou seus funcionários para situações como essa, um trote como este é um teste que qualquer auditor de segurança da informação poderia fazer para verificar a conscientização dos funcionários quanto à importância da privacidade dos dados dos pacientes.

Por último, não sabemos ao certo os danos para os apresentadores. Sabemos que eles já começaram a ser punidos, mas como isso afetará a reputação da rádio?

Perde-Perde

Em minha opinião esse foi um jogo de perde-perde, desencadeado pela péssima análise de riscos da rádio. Perdeu o Hospital por não se proteger melhor, perdeu a rádio por sua atitude, perderam os locutores pela falta de respeito, perderam o casal real por ter o nascimento do filho associado a uma tragédia, e principalmente, perdeu a vida Jacintha, por ser tão ingênua.

Fontes:

http://virgula.uol.com.br/ver/noticia/lifestyle/2012/12/08/314978-enfermeira-que-atendeu-kate-comete-suicidio-apos-receber-trote-de-canal-de-tv

http://g1.globo.com/mundo/noticia/2012/12/morre-recepcionista-que-caiu-em-pegadinha-sobre-kate-diz-imprensa.html