Há algum tempo as notícias relacionadas a Cyber-Crime estão em evidência nas discussões sobre segurança.

O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.

Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.

A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.

A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possuí um centro de segurança em SCADA no Sandia Labs.

O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.

Estou há algum tempo me organizando e desenvolvendo métodos para classificar e cuidar melhor das informações que eu trabalho e manuseio.

A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.

Dentro do volume criptografado eu criei as seguintes pastas:

• Projetos
• Desenvolvimento
• Comercial
• Diversos

Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:

• Projetos
• - Projeto x
• - Projeto y

Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:

• Desenvolvimento
• - Projeto x
• - Projeto y

Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.

Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.

Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!

Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.

A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).

Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.

Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.

A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.

Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.

Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.

A Casa Branca acaba de disponibilizar um overview da Estratégia de Segurança Interna do inglês National Strategy for Homeland Security.

Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.

National Strategy for Homeland Security

Uma dúvida constante em listas de discussão é qual capacitação um profissional de segurança deve possuir para exercer determinada função em segurança.

Meu amigo Eduardo Neves fez um trabalho muito bom e com a nossa realidade, mas agora ele possuí uma base internacional para servir como referência.

Leitura altamente recomendada!
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development

o Committee of Sponsoring Organizations of the Treadway Commission liberou para discussão o Guidance on Monitoring Internal Control Systems.

O guia auxilia as organizações a garantir a efetividade dos controles internos. O COSO é o framework utilizado pelas organizações para implementar controles internos e estar em compliance com a Sarbanes Oxley.

Pensando na características de alguns malwares é interessante manter todo e qualquer software instalado na sua máquina atualizado e livre de falhas de segurança. Um bom exemplo de malware deste tipo é o MPACK!

Se pensarmos em uma máquina de um PowerUser, são vários softwares e você acaba negligenciando uma atualização ou outra. A microsoft deu um passo importantíssimo atualizando não só o sistema operacional, mas sim outros produtos fabricados por ela.

Para aqueles softwares que não possuem uma ferramenta de atualização confiável, eu achei interessante a solução apresentada pelo InterNey.Net. A ferramenta chama Update checker.

Um futuro estudante do California Institute of Technology chamado Virgil Griffith desenvolveu uma ferramenta que procura por alterações na Wikipedia.

A ferramenta chamada Wikipedia Scanner ficou muito comentada após a divulgação de que, foi encontrado alterações questionáveis por empresas como Wal-Mart, CIA e Diebold.

Para pesquisar as alterações você pode informar o nome e localização da organização ou escolher entre as opções já cadastradas no site.

As alterações são atribuídas por IP da organização, ou seja, se um funcionário de uma organização escrever qualquer bobagem o IP da organização é que vai estar na alteração. Além das reclamações sobre a qualidade/veracidade das informações incluídas na wikipedia, agora você corre o risco de ter o nome da sua empresa associado a informações de caráter duvidoso.

Lendo um paper da Black Hat 2007, intitulado Tactical Exploitation conheci uma ferramenta da Paterva que pode ser interessante para levantar informações sobre qualquer pessoa, site, DNS, entre outras informações...

A ferramenta chamada Evolution faz um search em vários serviços na internet.

O NIST acaba de disponibilizar um DRAFT do SP800-111 Guide to Storage Encryption Technologies for End User Devices. O documento fala sobre um dos controles de EndPoint Security, a encriptação de dados de dispositivos como Pendrive e Laptop.

O documento está organizado em quatro capítulos:

1 - Introduction;
2 - Storage Security Overview;
3 - Storage Encryption Technologies; e
4 - Storage Encryption Technology Planning and Implementation.

Leitua indispensável para quem gerencia, utiliza dispositivos móveis.

O artigo Vulnerability Management do ISSA Journal de Junho de 2007 é um exemplo claro de que, um padrão/metodologia se adapta ao seu negócio e nunca você se adapta ao modelo proposto.

O artigo descreve um processo de gerenciamento de vulnerabilidades integrado, implementado seguindo as práticas do ITIL (Information Technology Infrastructure Library). Na minha opinião uma proposta muito adequada e simples.

Eu raramente vejo propostas assim, ao contrário, já vi implementações onde existia um processo de gestão de incidentes de TI e um processo de gestão de incidentes de segurança. Faz algum sentido isso? Nenhum, acredito que a adoção de um processo de gestão de todo e qualquer tipo de incidente traria muitas vantagens e uma aderência muito mais funcional e prática. Incidentes como vazamento de informação, ou que envolvam recursos não tecnológicos podem ser facilmente identificados e tratados. Para o processo de Continuidade de Negócios a adoção desse modelo é essencial, evitando o famoso quem aciona e quando aciona o plano.

A regra é, retire o melhor e o que se aplica ao seu negócio de cada prática e não se apegue ao compliance e não compliance.