Estou há algum tempo me organizando e desenvolvendo métodos para classificar e cuidar melhor das informações que eu trabalho e manuseio.

A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.

Dentro do volume criptografado eu criei as seguintes pastas:

• Projetos
• Desenvolvimento
• Comercial
• Diversos

Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:

• Projetos
• - Projeto x
• - Projeto y

Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:

• Desenvolvimento
• - Projeto x
• - Projeto y

Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.

Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.

Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!

Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.

A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).

Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.

Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.

A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.

Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.

Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.

Web scraping é uma técnica que consiste em capturar dados, informações de forma automatizada em sites na internet. Alguém lembra do script criado por Kevin Poulsen para procurar profiles de pessoas que poderiam ser pedófilos? Esse é um bom exemplo de web scraping.

A técnica de web scraping é geralmente executada utilizando linguagens de script (python, bash, perl, etc...). Utilizando expressões regulares é possível capturar dados em sites web facilmente.

Mas o que tem haver web scraping com password cracking? Todo mundo sabe que além de uma boa ferramenta de ataque de dicionário é importantíssimo uma boa wordlist (lista de palavras). É ai que entra o web scraping, na criação desta wordlist.

Também não é novidade que geralmente os usuários comuns criam senhas associando coisas de seu cotidiano. Pensando nesta características, já pensou o estrago que podemos fazer se criarmos nossos dicionários com base nas informações que as pessoas disponibilizam em sites de redes sociais (orkut, myspace, 1grau, etc...)?

Se você reclama que as wordlists disponiveis na internet são na sua maioria em inglês e não existe wordlist em português, vou dar uma dica! A maioria esmagadora de usuários do orkut são Brasileiros.

Não conhece muitos sites de redes sociais? O wikipedia dá uma forcinha!

Quer procurar dados sobre uma pessoa especifica? A ferramenta evolution da Paterva dá uma forcinha!

Conhece o NGrep? NGrep é um sniffer que acumula a característica do Grep do Unix (utilizado para encontrar padrões de texto em fluxos de caracteres). Ele também pode ser uma mão na roda para criar sua wordlist.

Um termo bastante conhecido entre os profissionais de segurança é FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida). Este termo é usado pelos profissionais para influenciar decisões de compra ou implementações de serviços de segurança.

Usar FUD como justificativa para implementar segurança é pura incompetência e imaturidade do nosso segmento. Usar argumentos como: "Se você não implementar X, vai parar Y" só mostra nossa incapacidade de gerar valor ao negócio e mostrar métricas tangíveis.

Já que o mercado mostra uma dita WEB 2.0 como uma nova visão da antiga internet, porque nós não podemos criar o FUD 2.0 para nosso segmento.

O FUD 2.0 seria uma visão totalmente nova para conseguir o comprometimento do negócio com nossos objetivos e soluções. O acrônimo FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida) seria substiuído por: FUD (Feasibility, Usability, Dashboard - Praticabilidade, Usabilidade, Dashboard).

Qualquer iniciativa de segurança deve no mínimo ter o FUD 2.0, que seria as seguintes características:

Praticabilidade: conceitualmente o melhor dos mundos é uma gestão de alto nível com uma visão estratégica, tática e operacional, mas, antes de qualquer coisa, uma implementação deve ser prática e viável para a organização. Muitas vezes precisamos abrir mão do certo pelo justo. Isto é gestão de riscos. Quando colocamos todos os pontos necessários como mandatório estamos fazendo Compliance e não gestão de riscos.

Usabilidade: de nada adianta implementar vários controles se a organização não se adaptar e não se tornar parte da cultura da organização.

Dashboard: sim, segurança também deve mostrar seus indicadores, métricas comprovando a eficácia dos controles implementados. É necessário mostrar o valor que se criou ao negócio após a implementação de segurança.

Alguém deve estar se perguntando, qual é a grande novidade do FUD 2.0? Nenhuma! Existe alguma novidade na Web 2.0? Também não. Assim como a web 2.0 o FUD 2.0 é apenas uma visão mais adequada e buscando resultados melhores.

Um futuro estudante do California Institute of Technology chamado Virgil Griffith desenvolveu uma ferramenta que procura por alterações na Wikipedia.

A ferramenta chamada Wikipedia Scanner ficou muito comentada após a divulgação de que, foi encontrado alterações questionáveis por empresas como Wal-Mart, CIA e Diebold.

Para pesquisar as alterações você pode informar o nome e localização da organização ou escolher entre as opções já cadastradas no site.

As alterações são atribuídas por IP da organização, ou seja, se um funcionário de uma organização escrever qualquer bobagem o IP da organização é que vai estar na alteração. Além das reclamações sobre a qualidade/veracidade das informações incluídas na wikipedia, agora você corre o risco de ter o nome da sua empresa associado a informações de caráter duvidoso.

O Augusto Campos do efetividade.net escreveu um post sobre o método John Sawatsky de entrevistas.

O que tem haver segurança com entrevistas? Bom, não só na minha atuação como consultor de segurança com foco em BCP (Business Continuity Plan), mas em qualquer outra atuação em segurança, as entrevistas com usuários, gestores, desenvolvedores é atividade frequente. Portanto, recomendo a leitura.

Seguindo os tópicos citados no post dele, vou comentar alguns pontos que são interessantes em um entrevista voltada para análise de segurança:

Sempre que possível, prepare suas perguntas antecipadamente.

Isso é fundamental, qualquer boa metodologia/padrão deve possuir formulários de entrevistas que sejam claros e preparados antecipadamente.

Pergunte questões abertas, especialmente as que começam com “como”, “por que” ou “o que”, e encoraje o entrevistado a descrever, explicar ou exemplificar algo.

Muitas vezes o entrevistador leva o entrevistado a responder o que ele quer e perde a oportunidade de conhecer detalhes que só o entrevistado que conhece pode informar.

Faça uma pergunta por vez, e não tente misturar mais de um tema na mesma pergunta.

Objetividade e clareza são fatores chaves para qualquer entrevista.

Entrevistador não faz discurso e nem inclui o editorial nas suas perguntas.

Cada pergunta deve ser claramente explicada e se possível com exemplos práticos. Lembre-se o formulário é apoio e não um checklist.

A estrela de uma entrevista bem-sucedida nunca pode ser o entrevistador.

Como diria os manos...Sem palavras...

Deixe as perguntas fazerem o seu trabalho.

Se as perguntas forem claras o trabalho será muito mais eficaz.

Resista ao impulso de incluir opinião ou tentar antecipar na pergunta uma possível resposta do seu entrevistado.

Não leve o entrevistado a falar o que você quer, ele deve responder com as informações que ele possui.

Grave e transcreva suas entrevistas, compare-as com as técnicas que você conhece, e tente melhorá-las.

Estude entrevistas publicadas na imprensa - as boas e as ruins.

Esses dois tópicos podem ser usados para aprendizagem e crescimento.

Para os fãs de tiras cômicas como as de Dilbert, agora pode acompanhar as tirar do SecurityCartoon.

As Tiras são relacionadas a segurança.

Acaba de sair um Draft do 800-44 do NIST. O 800-44 é um guideline para segurança em servidores web publicados na internet.

O documento fala de uma série de características de hardening, arquitetura que um servidor web publicado deve possuir para aumentar a segurança. O documento trata desde a instalação até a gestão de servidores web publicado. Gostei bastante da parte que trata dos logs, o documento inclusive fala de SEIM (Security Event Information Management) para gestão automatizada de logs e do capítulo que trata das informações que serão publicadas, na minha opinião um problema sério.

Alguns checklists que estão presentes no documento:

• Checklist for Planing and Managing Web Servers;
• Checklist for Securing the Web Server Operating System;
• Checklist for Securing the Web Server;
• Checklist for Securing Web Content;
• Checklist for Using Authentication and Encryption Technologies for Web Servers;
• Checklist for Implementing a Secure Network Infrastructure;
• Checklist for Administering the Web Server.

Leitura essencial para qualquer administrador de rede ou envolvido com projetos web.

Guidelines on Securing Public Web Servers (Draft)

Hoje eu li uma notícia no Slashdot e fiquei impressionado com as características de uma solução de EndPoint Security. Confesso que me pareceu uma faca ginsu, muitas funcionalidades para uma solução barata e prática. Será uma panacéia?

Uma solução composta por nada menos que 13 controles de segurança, inclusive um controle batizado de L8, isso mesmo, Layer 8. Olha que esse layer 8 não é nenhum usuário inexperiente, e sim, um recurso que promete detectar detectar código malicioso baseado em comportamento.

Vamos a lista de recursos:

• Anti Virus
• Anti Spam
• Anti Phishing
• Anti Spyware
• Intrusion Detection (IDS)
• Intrusion Prevention (IPS)
• Firewall (Stateful Inspection)
• VPN
• Web Filtering
• Parental Content Control
• Adaptive Security Policy™
• Multi-Layer Security Agent™
• Layer-8 Security Engine ™

Segundo esse paper: Yoggie Pico Personal Datasheet a solução de filtro de conteúdo é da SurfControl; Anti Vírus e Anti Spyware da Kaspersky; e o resto linux-like.

Você quer dar os primeiros passos como security research? O site Security-Freak.net dá uma forcinha!

Você pode assistir uma série de vídeos educacionais sobre os seguintes temas:

• Basic Socket Programming;
• Packet Sniffing Using Raw Sockets
• Packet Injection Using Raw Sockets;
• Architecture of a Proactive Security Tool;
• Encryption Basics Using RC4.

Videos: Security-Freak.net

Depois do Honeypot, sistemas na sua maioria em perl que simulavam serviços como Telnet, SMTP entre outros, surgiram os honeypots voltados para identificar ataques voltados a aplicações web.

Após algum tempo pesquisadores do WASC (Web Application Security Consortium) concluiram que o esforços para desenvolver honeypots "atrativos" consomem muito tempo e esforço. A solução proposta é o Proxypot.

Proxypot é um sensor que irá analisar tráfego em Open Proxys, isso mesmo, a idéia é que contribuintes ao redor do mundo disponibilize proxy aberto para que pessoas mal intencionadas o utilizem e um sensor desenvolvido pelo o WASC vai analisar o tráfego e identificar tendências e ataques conhecidos, armazenando os logs em um local centralizado para pesquisas.

A idéia me parece interessante, mas, vou esperar um tempo para ter uma visão melhor da solução.

Quem quer disponibilizar um Proxypot o projeto disponibiliza imagens prontas para VMWARE, basta enviar um e-mail e solicitar.

O primeiro relatório está disponível no site do projeto The WASC Distributed Open Proxy Honeypot