SlideShare uma empresa Scribd logo
ANTEBELLUM006
                                                                       Março e Abril de 2009




Payment Card Industry
Data Security Standard
As Vulnerabilidades no POS
Para inglês ver?
Conformidade: por onde começar?
ISO/IEC 15.408 não é para desenvolvimento seguro

E ainda:
Terceirização: Uma análise do ponto de vista de Segurança da Informação
Microsoft Forefront Threat Management Gateway (TMG)
Segurança da Informação em Tempos de Crise
Você está preparado para o CISSP?
Segurança no Windows 7
A Privacidade como Limitador do Monitoramento Digital




     ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 1
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 2
Carta do Presidente
Por Anchises M. G. de Paula



O ano passado foi marcado por muitas realizações da ISSA Brasil e o ano de 2009 não vai ser diferente. Em
2008 participamos ativamente do dia-a-dia dos profissionais de segurança da informação através de diversas
atividades, como os ISSA Days mensais, o Grupo de Estudos CISSP e com o apoio a diversos eventos de
destaque como o CNASI, o GRC Meeting, o CertiForum, o You Shot Sheriff, entre outros. Criamos o ISSA
Brasil Awards e lançamos a revista Antebellum, com cinco edições digitais e um número impresso. Essas atividades só foram possíveis
com o apoio de diversas empresas líderes no segmento de Segurança da Informação.
Para este ano estamos planejando focar ainda mais nossas ações nos associados, para trazer um maior valor agregado a associação e
mais benefícios, como serviços e conteúdos relevantes ao seu desenvolvimento profissional.. Queremos que os associados ativos da ISSA
sejam nossa prioridade e, por isso, ao mesmo tempo que criamos novas atividades e trazemos mais benefícios, decidimos que vamos
restringir algumas atividades exclusivamente para os profissionais que acreditam na associação e participam dela. Acredito que 2009
será o ano marcado pelo forte impacto da crise econômica no mercado e no nosso dia-a-dia, mas ao mesmo tempo pela crescente
valorização da segurança da informação pelas empresas. A profissionalização do cyber crime e as demandas regulatórias estão
pressionando fortemente as empresas, que já estão sensíveis a necessidade de investimento em segurança e de mão de obra especializada
na área.
Na ISSA, 2009 será marcado pela preocupação com o associado e por ações inovadoras. Esta é a nossa primeira edição temática da
Antebellum, e também já começamos produzindo uma versão dela impressa, graças ao apoio da CLM, uma empresa que tem nos
apoiado frequentemente. Esta edição será distribuída em nossos encontros. A escolha do PCI como tema central também não poderia
ser mais propícia. Por uma infeliz coincidência, no começo deste ano foi divulgado aquele que pode ser o maior roubo de cartões de
crédito em toda a história, ocorrido na empresa Heartland, a sexta maior processadora de transações financeiras dos Estados Unidos.
Esse incidente pode chegar a milhões de dados capturados através de sniffers instalados em servidores comprometidos.
Porém, a Heartland era certificada PCI, o que motivou alguns questionamentos sobre a eficácia da certificação. A resposta pode ser
aquela famosa frase de que nenhuma solução é 100% segura. O PCI é uma forma de garantir que um conjunto mínimo de controles e
processos existem, mas ele, por si só, jamais conseguirá proteger contra todas as potenciais ameaças as quais uma organização está
exposta. Esse é o dilema do profissional de SI: temos que nos proteger de todos os possíveis ataques existentes ou que venham a ser
inventados, enquanto ao “hacker” basta encontrar uma única brecha.



Sobre a ISSA                                                         ‣ Diretor de Eventos: Wagner Elias

                                                                     ‣ Diretor Financeiro, Parcerias e Relacionamento: Dimitri Abreu
A ISSA® (Information Systems Security Association) é uma
organização internacional sem fins lucrativos formada por             ‣ Diretor Jurídico: Dr. Renato Opice Blum e Dr. Rony Vainzof
profissionais de segurança da informação. Ela promove eventos           (suplente)
educacionais, publicações e a interação entre os profissionais,
                                                                     ‣ Diretor da Regional Sul: Eduardo V. de Camargo Neves
proporcionando ganhos de conhecimento, troca de experiências e
evolução na carreira de seus associados. O Capítulo São Paulo foi    ‣ Secretario: Paulo Teixeira
criado em 2003 e está atualmente em sua terceira gestão, eleita em
2008, com os seguintes Officers:
                                                                     Como se associar

‣ Presidente: Anchises Moraes G. de Paula                            A associação é sempre feita através do site da ISSA Internacional,
                                                                     onde está disponível o formulário de inscrição on-line. Para se
‣ Vice-Presidente: Willian Okuhara Caprino
                                                                     associar, vá no menu “Join ISSA” e escolha a opção “Join Now”. É
‣ Diretor de Comitês: Rodrigo Montoro                                importante lembrar que, no momento da inscrição, deve-se indicar
                                                                     que deseja fazer parte do capítulo local (“Chapter Brasil-SP”) para
‣ Diretor de Comunicação: Fernando Fonseca e Lucimara Desiderá
                                                                     usufruir dos benefícios oferecidos aqui no Brasil, além daqueles
  (suplente)
                                                                     oferecidos pela ISSA Internacional, que podem sempre ser
‣ Diretor de Educação e Conteúdo: Ronaldo C. de Vasconcellos         verificados em nosso web site.



         ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 3
Antebellum 006
Nesta Edição
Noticias do Mercado
...........................................................................................................................................................................Página 06
Para inglês ver?
                ....................................................................................................................................................................................Página 07
Vulnerabilidades em POS 
                        ................................................................................................................................................................. Página 09
Conformidade: por onde começar?
................................................................................................................................................... Página 12
Terceirização: Uma análise do ponto de vista de Segurança da Informação
.................................................................................... Página 14
ISO/IEC 15.408 não é para desenvolvimento seguro 
..................................................................................................................... Página 16
Microsoft Forefront Threat Management Gateway (TMG) 
                                                    ............................................................................................................. Página 19
Segurança da Informação em Tempos de Crise 
                                           ............................................................................................................................... Página 22
Você está preparado para o CISSP? 
                                  ................................................................................................................................................. Página 23
Segurança no Windows 7 
................................................................................................................................................................. Página 24
A Privacidade como Limitador do Monitoramento Digital 
............................................................................................................. Página 26
Atividades da ISSA 
........................................................................................................................................................................... Página 27
Off Line: o Lado Relax da Segurança 
............................................................................................................................................. Página 29
Worst Cases 
            ....................................................................................................................................................................................... Página 31




                                                                                                           de caso para publicação. O material deverá ser inédito e o autor
Antebellum
                                                                                                           assumir o compromisso de manter a publicação restrita a
A Revista Eletrônica Bimestral da ISSA Brasil | Edição 006, janeiro
                                                                                                           Antebellum pelo período de 60 dias, após o qual poderá
e fevereiro de 2009
                                                                                                           disponibilizar para o público em geral. Os interessados deverão
Expediente                                                                                                 enviar o material para conteudo@issabrasil.org.
‣ Editor: Eduardo Vianna de Camargo Neves
‣ Revisão: Anchises Moraes
                                                                                                           Disclaimer
                                                                                                           As informações apresentadas nesta revista não foram submetidas a
‣ Jornalista Responsável
                                                                                                           um teste formal e não devem ser interpretados como soluções. As
‣ Cristina Turnes, MTb DF 4341/83, Contatos pelo site                                                      opiniões expressas não refletem a opinião da ISSA ou ISSA
  www.ctcom.com.br                                                                                         Capítulo Brasil. Os nomes de produtos e marcas registradas são de
                                                                                                           propriedade de seus respectivos donos. Todas as fotos são de arquivo
Submissão de Material
                                                                                                           pessoal dos autores, quando não especificado em contrário.
Convidamos a todos para contribuir com a comunidade de
Segurança da Informação submetendo artigos, tutoriais ou estudos

                  ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 4
Carta do Editor                                                  questionamento de sua eficiência como controle estabelecido são
                                                                 apresentados para que cada um tire suas conclusões.
                                                                 A próxima edição está sendo preparada, e pretendemos abordar
                  Por Eduardo Vianna de Camargo Neves
                                                                 um tópico que ganha mais e mais importância no cenário
                                                                 mundial: a segurança de aplicações. Além do próprio PCI
Caros Leitores,
                                                                 Council ter o Payment Application Data Security Standard -
O assunto PCI é um grande mistério para a maioria dos            veja a matéria da Jennia Hizver questionando - existem
profissionais da nossa área, não pode ser complicado, o que não   organizações em todos os setores que trabalham para aplicar
é, mas pelo fato de que é um padrão que tem sido aplicado com    controles que reduzam as perdas decorrentes da exploração de
sucesso nos mercados norte-americano e europeu há alguns         vulnerabilidades tão presentes na mídia especializada como o
anos, e na América Latina tem tentado entrar pelo menos desde    Cross Site Scripting e o SQL Injection.
2007 sem sucesso. Apesar de algumas empresas estarem
                                                                   Tentaremos ainda trazer entrevistas com profissionais que
alinhados aos seus controles - especialmente filiais de
                                                                 trabalham neste mercado, já maduro no exterior, há alguns anos,
multinacionais - não tenho visto grande pressão explícita das
                                                                 e apresentar artigos técnicos e gerenciais na mesma proporção.
operadoras de cartão para que a sua implementação seja
                                                                 Estamos esperando a sua contribuição para esta próxima
maciça. Ainda assim, o assunto tem crescido aos poucos no
                                                                 Antebellum, mande seus artigos e trabalhos para
nosso mercado, e há quem aposte que 2009 é o ano em que o
                                                                 revista@issabrasil.org e mostre a cara dos especialistas em
PCI DSS e suas variantes irão aportar com força na rotina das
                                                                 segurança de aplicação do Brasil.
empresas brasileiras.
                                                                 Por enquanto, aproveite mais essa edição feita especialmente
Esta edição aborda alguns pontos de vista sobre o padrão, onde
                                                                 para vocês. Até a próxima e tenha uma boa leitura.
matérias que vão do entendimento da sua aplicação ao




          ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 5
Notícias do Mercado
Por Equipe Podcast I Shot the Sheriff




                                                                    DNSSEC verifica mensagens DNS com assinaturas digitais.
O que aconteceu
                                                                    Segundo o Registro.br, desde 15/01/2009 o serviço DNSSEC está
                                                                    disponível para todos os domínios abaixo do .br. Link em http://
Seu código é seguro?                                                tinyurl.com/8zhgot
A empresa norte-americana de processamento de cartões de crédito,
                                                                    iPhone Culpado?
Heartland Payment Systems, sofreu uma brecha no ano passado,
                                                                    Homem culpa falha no iPhone por traição. Um tópico aberto no
que pode ter sido o maior vazamento de dados deste mercado. A
                                                                    fórum da Apple relata um incidente inusitado. Uma mulher, que
causa? De acordo com a matéria, um software malicioso dentro da
                                                                    suspeita estar sendo traída por seu marido, queria saber: uma falha
rede de dados, que capturava os dados dos cliente e ... você pode
                                                                    poderia ter sido responsável pelo envio de uma foto pornográfica de
imaginar o que acontecia. Link em http://tinyurl.com/8mnjb5
                                                                    seu marido a outra mulher? No tópico aberto, Susan queria tirar a
Vídeos do YSTS 2.0                                                  dúvida e saber se seu marido estava falando a verdade. No
Os vídeos das palestras apresentadas no evento YSTS 2.0 estão       desespero, o homem afirmara inclusive ter visitado um técnico da
agora disponíveis on line em http://tinyurl.com/9ly4pc.             Apple Store para confirmar a existência da falha que, segundo ele,
                                                                    anexou a foto a um e-mail, endereçou a outra mulher e armazenou
Ataque contra a NASA                                                a mensagem na pasta de "itens enviados". Entre as respostas, a
A NASA sempre foi uma espécie de alvo de aspirantes a hackers,      maioria declarava o óbvio: Susan estava sendo traída. Alguns a
mas dessa vez o ataque pode ser muito mais perigoso, uma vez que    aconselharam a procurar um advogado, outros mais curiosos
utilizou um malware para o roubo de informações específicas sobre    buscavam saber mais sobre o caso. E alguns usuários tentavam
o Ônibus Espacial, enviando para um computador em Taiwan. Link      salvar a pele do acusado de traição, dizendo já terem visto a falha...
em http://tinyurl.com/5h4re8.                                       Link em http://tinyurl.com/6n2yvx

Adeona Acha                                                         GHH
Adeona é o primeiro sistema Open Source designado para ajudar a     Para combater a busca de informações sobre os alvos durante antes
localizar um notebook roubado mas que não depende de uma            de ataques pela Internet, o Google lançou o Google Hack
empresa ou serviço centralizado. Focado em privacidade, o sistema   Honeypot. Veja como funciona em http://tinyurl.com/2ovmsq.
promete que somente o dono do notebook (ou um agente por ele
designado) pode saber do paradeiro do equipamento. Link em          Os “Tweets” do mal?
http://tinyurl.com/6jfgdd                                           Primeiro foi o efeito Slashdot que derrubava web sites pequenos,
                                                                    que teve suas variações como o Efeito Digg e Efeito TechCrunch. A
Mais sobre Open Id                                                  bola da vez é o passarinho azul? Veja em http://tinyurl.com/
OpenId é um padrão de autenticação já utilizado por mais de         avdl9o.
27.000 sites web. Este site se propõe a explicar como este padrão
funciona e por que utiliza-lo. Link em http://openidexplained.com   How we hacked ShmooCon
                                                                    O título da chamada fala por si só. Veja como foi feito em http://
DNSSEC                                                              tinyurl.com/b9amn9.
O DNS é o sistema que transforma endereços IPs em nomes,
facilitando a interação entre computadores e seres humanos. Com     O que a NSA acha do Skype?
mais de 30 anos, o padrão tem se mostrado cada vez mais frágil e    A notícia tem todos os ingredientes de teoria da conspiração, mas
vulnerável a ataques, como os divulgados amplamente em 2008. O      está em http://tinyurl.com/a9hn2n.


           ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 6
Para inglês ver
Por Carlos Cabral


Dentre as muitas expressões que sempre estão na boca do povo            empresas que visito é a de que estas
brasileiro, uma em especial possui uma relação estreita com a forma     acreditam que possuem total
pela qual nosso povo se relaciona com normas e regulamentações:         soberania sobre a sua atuação no
trata-se do famoso "para inglês ver". Esta expressão é usada desde a    mercado. De que o ciclo que envolve
época em que a Inglaterra, detentora de forte influência em nossa        fornecedores, empresa e cliente possui
política, pressionava o governo brasileiro no sentido da libertação     total controle.
dos escravos.
                                                                        Embora isto possa ser óbvio para a maioria dos leitores desta revista,
Por sua vez, as autoridades brasileiras emitiam decretos que em tese    alguns representantes de empresas brasileiras ainda não entendem
atendiam à pressão inglesa, mas que, no entanto possuíam pouco          que basta olhar de uma maneira mais geral para o mercado dos dias
efeito prático. Na maioria das situações dava-se um "jeitinho" e tudo   de hoje para entender que este é atualmente formado por diversas
permanecia como estava. A situação dos escravos somente foi             redes de dependência nas quais os "papéis" de fornecedores e
resolvida por completo a partir do momento em que esta condição         clientes se misturam e as vezes os primeiros chegam a ter influência
política se tornou insustentável. De lá para cá, muito se legislou e    nos rumos do segundo . Esta é uma das características presentes no
ainda nos deparamos com indícios de que muitas regulamentações          que Thomas Friedman chama "mundo plano". Quando passamos a
sejam elas padrões, leis ou normas, são mesmo só "para inglês ver" e    analisar o fluxo de informações que trafegam nestas redes de
que o "jeitinho brasileiro" infelizmente é o que domina nossa vida      dependência o cenário fica ainda mais complexo. Por isso hoje
na prática.                                                             torna-se necessário a estas empresas não somente se concentrar nos
                                                                        limites de suas paredes, mas sim colocá-la no contexto de um
Entretanto, também não é de hoje que alguns setores do mercado se
                                                                        sistema complexo de dependências.
esforçam no sentido de definir e respeitar determinadas regras,
reconhecendo que esta atitude deve ser inerente à competitividade.      Outra pedra no caminho para a aderência ao PCI DSS é que o
Desta forma, apesar de todas as dificuldades, muitas companhias          padrão exige um nível de organização e padronização de processos
brasileiras vem adequando seus ambientes a diversos padrões ou          sobre os quais não existe qualquer dedicação em boa parte do
normas com o objetivo de entrar (ou se manter) no jogo do               mercado, principalmente quando olhamos para o varejo, um dos
mercado.                                                                setores-alvo do padrão. Ter uma gestão dos assuntos de segurança
                                                                        da informação nestas empresas também é um aspecto ao qual
O PCI DSS, padrão do qual muito se têm falado no mercado de
                                                                        geralmente é dedicado pouca ou nenhuma atenção.
segurança e que é o assunto desta edição da Antebellum, encontra
em sua aplicação nas empresas do Brasil um cenário complexo de          Por último, e em minha opinião a dificuldade mais importante à
desigualdade envolvendo empresas com tamanhos diversos e em             aderência do PCI DSS no Brasil, é o elevado nível de informalidade
lugares com os mais variados níveis de maturidade no que tange ao       que contamina a vida corporativa. De acordo com o antropólogo
uso de tecnologia e gestão de segurança da informação. De modo          Roberto DaMatta a incidência do "jeitinho" pode ser encontrada
geral, entendo que a sua implementação neste cenário possui a           em diversos países do mundo, mas somente no Brasil este
mesma proporção de dificuldades e oportunidades.                         comportamento se torna um valor, de maneira que aquele que
                                                                        resolve as coisas com "jeitinho" é o "malandro" e o que respeita as
Dificuldades
                                                                        "regras do jogo" é o otário. Desta forma, quando olhamos para a
As dificuldades residem basicamente na parte ruim daquilo que            forma pela qual nossos políticos lidam com as questões do estado,
formou o mercado brasileiro: o pensamento antiquado segundo o           estas se tornam somente um reflexo da maneira que vivemos em
qual uma empresa é soberana em sua atuação no mercado; A baixa          sociedade. No que se refere à aderência a normas e padrões,
dedicação nos assuntos que envolvem organização, padronização de        sobretudo ao PCI DSS, não é possível ter vários pesos e várias
processos e gestão dos assuntos de segurança; A vida corporativa        medidas: é preciso estar de acordo com os controles e aqui o
baseada em acordos e maneiras informais de conduzir o trabalho.         "jeitinho brasileiro" não pode ser aplicável.
Tenho conhecido muitas empresas em minha jornada com o
                                                                        Oportunidades
objetivo de fomentar a conformidade ao PCI DSS no Brasil e um
                                                                        Mas nem tudo está perdido. A aderência ao PCI DSS não é a
pensamento com o qual muitas vezes tenho me deparado nas
                                                                        solução para todos os males, mas pode ajudar as empresas a

            ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 7
curarem feridas abertas há muito tempo. O padrão compreende a          através do uso dos mecanismos legais da democracia. No entanto,
visão na qual os dados de portador de cartão podem ser trafegados,     quando falamos de padrões de mercado, estes geralmente "pegam"
processados ou armazenados em uma estrutura complexa que               quando alcançam um forte apelo ao ganho financeiro no qual sua
contemple as redes de dependência presentes no mercado atual. Por      aderência resultará, ou por conta das sanções a serem impostas no
contemplar este tipo de estrutura, a adequação ao padrão obriga        caso da não aderência.
todos os atores da cadeia a estarem em conformidade, o que eleva o
                                                                       Acredito que o PCI DSS é um padrão que "pega" porque tenho
nível de segurança do mercado como um todo.
                                                                       visto diversos esforços no mercado na busca da aderência. Estes
Atualmente nosso país vive uma situação econômica inédita na qual,     esforços têm vindo de empresas que já possuem uma cultura na qual
embora o mundo esteja em crise, o crescimento possui números           a disciplina de conformidade faz parte da realidade. Elas estão
nunca vistos antes. Para mantermos o ritmo é necessário que as         empurrando os seus fornecedores também à conformidade e penso
empresas se organizem e sabemos que quanto mais uma empresa se         que em breve esta onda chegará até as companhias menores.
organiza, mais ela reduz os seus custos e dinamiza sua atividade, o    Entendo também que o PCI DSS não pode ser um padrão "para
que proporciona aos seus executivos um horizonte mais favorável a      inglês ver" por que seu ciclo de vida não se manifesta somente em
boas decisões. Se o motivador desta organização for um padrão de       uma relação na qual um órgão cria as regras, outro adequa o
segurança reconhecido internacionalmente, todo o ciclo envolvendo      ambiente e outro audita.
redução de custos, dinamismo e proteção dos ativos se fecha, de
                                                                       Existe outro ator na figura do adquirente que faz a gestão dos
maneira a colocar a empresa em pé de igualdade na competição
                                                                       resultados e motiva todas as entidades envolvidas (estabelecimentos,
internacional. Em outras palavras, a aderência ao PCI DSS pode ser
                                                                       data centers, fornecedores de soluções de pagamento, etc.) a estarem
um dos fatores de modernização de uma companhia, não deixando
                                                                       de acordo com o padrão e a manter o bom nível das análises. Os
nada a dever à concorrência internacional em um cenário tão
                                                                       Relatórios de Conformidade ou ROCs tendem a assumir cada vez
conturbado, mas com tantas oportunidades ao mercado brasileiro
                                                                       mais o papel de uma certidão de que uma entidade trata os dados
quanto o atual.
                                                                       de portador de cartão de acordo com padrões internacionalmente
Existem aqueles que dizem que o "jeitinho" e este elevado nível de     reconhecidos.
informalidade presentes em nossa sociedade são os pais da
                                                                       Somente sinto falta de uma divulgação do padrão ao cidadão
criatividade internacionalmente reconhecida do brasileiro. Esta
                                                                       comum, portador de cartão e maior interessado no tratamento de
afirmação pode até ser verdadeira e a criatividade do brasileiro é,
                                                                       suas informações com segurança, mas penso que isto será uma
em minha o opinião, não só o que torna nossa cultura uma das mais
                                                                       conseqüência óbvia na medida em que as empresas forem se
ricas do mundo, mas o que nos torna mais adaptáveis às mais
                                                                       certificando.
diversas situações.
                                                                       Referências Bibliográficas
No entanto, quando olhamos para a gestão de segurança nas
                                                                       ‣ FRIEDMAN, Thomas L.. O Mundo é Plano: Uma Breve
empresas, sabemos que o número de vulnerabilidades é diretamente
                                                                         História do Século XXI. 2. ed. Rio de Janeiro: Objetiva, 2005.
proporcional ao da adoção de exceções aos processos oficiais. Diante
das potencialidades da tecnologia disponível hoje e da concorrência    ‣ DAMATTA, Roberto. Carnavais, Malandros e Heróis: Para uma
que vivemos no mercado, a rigidez nos processos pode ser o que           Sociologia do Dilema Brasileiro. Rio de Janeiro: Rocco, 1981.
determina a vida ou morte de uma empresa. Não pode ser algo            Sobre o Autor
suscetível a informalidade.
                                                                       Carlos Cabral, MCSO, possui treze anos de experiência na área de
O que "pega"                                                           tecnologia sendo que há sete se dedica à área de Segurança da Informação.
Assim como o "para inglês ver" é uma exclusividade do povo             Atualmente coordena o Programa PCI para Estabelecimentos Comerciais da
brasileiro dizer que tem "lei que pega e lei que não pega". Em tese,   Redecard que tem o objetivo de motivar os estabelecimentos credenciados na busca
lei não foi feita para "pegar" e sim para ser cumprida ou refutada     pela conformidade ao PCI DSS. Também é sociólogo formado pela Escola de
                                                                       Sociologia e Política de São Paulo.


  Em 2009 as ferramentas e guias recomendados pelo PCI DSS estarão ao alcance
  do público brasileiro para discussão, contribuição e evolução. Aguarde, em breve
  o OWASP Application Security CPLP.



            ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 8
Vulnerabilidades em POS
Por Jennia Hizver


As aplicações embarcadas em equipamentos utilizados nos Pontos         caso, qualquer pessoa com
de Venda (Point of Sale, POS) processam e armazenam dados de           acesso ao arquivo de script
cartões, sendo componentes críticos nas redes de autorização de        poderia ler o código fonte, fazer
pagamentos. Ao reconhecer que as aplicações em POS são alvos           as alterações e obter as
altamente prováveis para hackers maliciosos, o Payment Card            informações do portador do
Industry Security Standards Council (PCI Council) introduziu os        cartão.
processos de certificação conhecidos como Payment Application
                                                                       Este exemplo mostra claramente como a aderência ao PA-DSS pode
Data Security Standard (PA-DSS).
                                                                       ser atendida, e ainda assim a aplicação ficar vulnerável quando a
O processo de certificação requer um nível mínimo de segurança em       lógica utilizada no desenvolvimento permite que dados críticos
todas as aplicações de POS, garantindo que as especificações            fiquem armazenados em um script. Utilizar linguagens de
definidas no padrão estejam aplicadas e funcionando como                programação baseadas em script é geralmente uma péssima escolha
deveriam para então serem caracterizadas como “testing for             no desenvolvimento de aplicações relacionadas ao processamento de
positives”. Entretanto esta abordagem não garante a resiliência de     informações de cartão de crédito, uma vez que elas não requerem
uma determinada aplicação quando atacada. Para ilustrar essa           compilação prévia para serem processadas, e ainda mantêm o
premissa, duas aplicações validadas como aderentes ao PA-DSS           código fonte armazenado como “clear text”.
(referenciadas neste artigo como Aplicação A e Aplicação B) foram
                                                                       Linguagens compiladas (como C/C++) são muito mais eficazes em
randomicamente selecionadas de uma lista disponível no web site do
                                                                       evitar ataques de “code tampering” e deveriam ser uma escolha
PCI Council.
                                                                       natural para este tipo de aplicação. Basear a escolha da linguagem
A análise dessas aplicações demonstrou que vulnerabilidades críticas   no conforto e conhecimento específico do time de desenvolvimento
existem ainda que todos os requisitos do PA-DSS tenham sido            mostra um processo de risk management bastante imaturo. Escolher
atendidos. As vulnerabilidades incluem falhas na proteção contra       a linguagem adequada para a finalidade de uma aplicação deve ser
ataques reais que podem ser feitos com baixo ou nenhum                 um aspecto de segurança pensando nos primeiros momentos do
investimento, ou seja, o que realmente acontece quando um              processo de desenvolvimento.
componente é exposto em um ambiente potencialmente hostil.
                                                                       Análise da Aplicação B
Análise da Aplicação A                                                 Uma técnica comum para se entender como uma aplicação não
Um ataque de “code tampering”, que causa uma alteração no              documentada funciona é a engenharia reversa. Linguagens
funcionamento original da aplicação, foi empregado contra a            compiladas oferecem muito mais segurança contra ataques de “code
Aplicação A. Este tipo de ataque foi possível porque o fabricante se   tampering” como explicado no exemplo anterior, porém, ainda
equivicou ao avaliar o impacto que poderia acontecer à partir da       assim são vulneráveis à ataques que usem engenharia reversa.
escolha da linguagem de código utilizada na segurança do seu
                                                                       A engenharia reversa é definida como um processo para identificar a
produto.
                                                                       lógica de uma aplicação sem acesso e uso do código fonte. A
A análise inicial da Aplicação A determinou que ela foi                disponibilidade de diversas ferramentas de suporte para esta prática,
implementada como uma Aplicação HTML (HTA). Aplicações                 somada a grande quantidade de cursos que ensinam as técnicas
HTA são escritas utilizando códigos de HTML estático e DHTML           relacionadas, tornaram-na um método comum para ataques. Um
dinâmico e são armazenadas como “clear text scripts”. Para ficar        hacker utilizando engenharia reversa pode ver as instruções de uma
aderente aos requerimentos do PA-DSS, a Aplicação A foi                aplicação durante a sua execução, e aprender como o
desenhada para prevenir a exibição e armazenamento de dados do         funcionamento ocorre e o relacionamento com os demais
portador do cartão por “data masking”, onde vários caracteres          componentes. Para impedir este tipo de ataque, técnicas de
originais são substituídos por textos como “*”.                        “obfuscation” foram desenvolvidas.

Entretanto, um atacante com acesso ao código fonte poderia             “Obfuscation” é um processo que modifica os binários e dificulta a
facilmente modificar o texto para forçar a Aplicação A a armazenar      análise e extração do código fonte sem prejudicar o funcionamento e
e exibir o texto claro, sem a aplicação de “data masking”. Neste       desempenho da aplicação. Apesar dessa medida preventiva ser


            ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 9
adotada em vários setores como uma prevenção contra a engenharia       ‣ Failure Mode inseguro: Ao se deparar com uma falha que não
reversa, os fabricantes de aplicações para POS não a utilizam em         tenha sido endereçada na arquitetura da aplicação, o POS pode
seus produtos. Para ilustrar a importância deste problema, o             falhar e expor dados sensíveis, como os do portador do cartão.
algoritmo de criptografia utilizado na Aplicação B foi alvo de          ‣ Exposição de dados em memória: Atacantes com acesso físico
engenharia reversa depois de determinarmos que a aplicação não           direto ao POS podem ler dados sensíveis que ficam armazenados
usava “code obfuscation”, o que tornou o processo de cripto análise      na memória dos equipamentos.
muito mais rápido.
                                                                       Conclusão
A análise revelou que a aplicação utilizou um algoritmo proprietário
                                                                       Um processo de “penetration testing” pode identificar e minimizar a
de criptografia para mascarar os dados do portador do cartão com
                                                                       probabilidade de exploração de várias vulnerabilidades existentes
uma cifra extremamente simples de ser quebrada. Este algoritmo
                                                                       em POS e suas aplicações, possibilitando a implementação de
ofereceu pouca proteção contra ataques de criptografia, permitindo
                                                                       recomendações de melhoria e a consequente redução do nível de
que um atacante comprometesse os dados armazenados e tivesse
                                                                       risco. Isso já é um requisito para as aplicações web que tenham a
acesso às informações do cartão de crédito. A aplicação falhou
                                                                       certificação PA-DSS, uma vez que hackers maliciosos usam
porque a arquitetura utilizada para o seu desenho não considerou
                                                                       exatamente a mesma abordagem. Entretanto, não existem
medidas de proteção no código binário, além de usar bases para a
                                                                       requerimentos definidos para as aplicações instaladas em terminais
criptografia inadequadas. Nada disso foi detectado durante o
                                                                       utilizados nos POS.
processo de certificação ao PA-DSS.
                                                                       Entretanto, não existe tal requerimento para aplicações de POS
No mínimo, rotinas de missão crítica, tais como os algoritmos de
                                                                       instaladas em computadores (que trabalham como terminais POS),
criptografia, poderiam ter sido protegidos em uma camada de
                                                                       embora eles sejam igualmente vulneráveis. Assim, penetration
mecanismos contra engenharia reversa para reduzir essas
                                                                       testing devem fazer parte de toda auditoria PA-DSS para descobrir
vulnerabilidades. Especialistas em penetration test podem
                                                                       as vulnerabilidades na segurança do software. Isto é extremamente
determinar quando essas medidas deve ser implementadas em uma
                                                                       útil para fornecer um bom entendimento sobre como o software
aplicação de POS. É uma questão de definir o modelo de segurança
                                                                       opera sob ameaça, como mostrado na análise das aplicações A e B.
adequado.
                                                                       O exercício descrito neste artigo demonstra que a compliance com o
As Falhas mais Associadas com POS                                      PA-DSS pode potencialmente fornecer uma falsa sensação de
Além do “code tampering” e engenharia reversa, existem outras          segurança, o que traz questionamentos sobre as limitações do
vulnerabilidades comuns que podem ser identificadas na maioria das      processo de validação do PA-DSS. Para verificar o verdadeiro status
aplicações utilizadas em POS.                                          de segurança de uma aplicação, o artigo propõe que todaas as
‣ Tratamento inadequado de dados sensíveis: Senhas e chaves de         aplicações de POS devem ser analisadas por penetration test
  criptografia são rotineiramente incluídas (embedded) no código        durante o processo de validação. Esta análise profissional de
  como “hard-coded text strings” e podem ser extraídas à partir de     segurança irá percorrer um longo caminho para garantir que as
  ataques contra a rede de dados.                                      aplicações validadas são resistentes a ataques no ambiente do
                                                                       mundo real.
‣ Criptografia mal aplicada ou inexistente: A inexistência de
  criptografia nos dados transmitidos dentro de redes de dados          Sobre a Autora
  internas pode ser explorada por um atacante. Outro ponto é a         Jennia Hizver, CISSP, CCSP, é gerente no Technical Security Services Group
  captura de dados sensíveis quando transmitidos desta forma, o        da VeriSign. É graduada em Matemática Aplicada, Mestre em Ciência da
  que pode ser feito com uma série de ferramentas de “sniffing”         Computação e doutoranda em Segurança da Informação. Está envolvida com
  preparadas especificamente para coletar e enviar dados de um          segurança por vários anos, nos setores financeiro, farmacêutico e de
  POS para outra localidade.                                           telecomunicações. Seus focos são segurança de software, penetration testing e
                                                                       design de redes seguras. Pode ser contatada em jhizver@verisign.com.



     Anuncie para um público diferenciado e com poder de decisão.
    Escreva para revista@issabrasil.org e descubra como é simples e
    eficiente colocar o seu produto em nossas páginas. Antebellum, a
           um ano a revista eletrônica bimestral da ISSA Brasil.

           ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 10
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 11
Conformidade: por onde começar?
Por Fábio Juliano Dapper


O padrão de segurança de dados da indústria de cartões de               padrão não esteja tão perto do que você
pagamento chegou e já causa algumas dores de cabeça para as             imaginava. Crie um plano de ação para
empresas que por exigência de negócio precisam estar em                 atender as recomendações de forma que
conformidade com ele. Para as empresas deste segmento que até           fique claro para cada área envolvida o seu papel neste processo,
então não seguiam as boas práticas de segurança da informação,          esclareça as dúvidas sobre interpretações divergentes dos requisitos e
muitas vezes desconhecem por completo as normas da família ISO          padronize a documentação utilizada para consulta.
27000, a caminhada para ficar em conformidade poderá ser longa e
                                                                        Algumas traduções na documentação oficial do PCI Council deixam
trabalhosa.
                                                                        um pouco a desejar tanto que na versão 1.2 do padrão, PIN Block
Se a empresa não sabe por onde começar ou não possui equipe             foi traduzido como Bloqueio de PIN. Avalie se sua infra-estrutura
interna com conhecimentos suficientes do padrão, é recomendável a        consegue atender os requisitos mais complexos como a seção 3 que
contratação de uma consultoria especializada. No Brasil, algumas        trata da proteção dos dados do portador de cartão e procure se
empresas já estão certificadas pelo Council para prestar este serviço,   informar melhor sobre controles compensatórios, talvez você
apesar de não ser uma exigência. Esta empresa irá fazer uma análise     consiga utilizá-los em algumas situações. Apenas tome cuidado para
do seu ambiente e verificar qual o GAP para os requisitos do PCI         os itens em que nem os controles compensatórios poderão te ajudar,
DSS. O custo para a execução desta atividade vai depender de            como a proibição do armazenamento de dados de autenticação
alguns fatores como o tamanho do ambiente onde os dados do              confidenciais após autorização.
portador de cartão estão sendo processados, armazenados ou
                                                                        A necessidade de investimento em novas tecnologias pode ser algo
transmitidos. Entenda por tamanho do ambiente, o número de
                                                                        que não estava previsto no seu orçamento, mas que poderá se tornar
sistemas envolvido em todo o fluxo de transação de cartão e não
                                                                        à medida que você comece a atender as exigências. O padrão se
fique surpreso se durante a análise de GAP, outros sistemas sejam
                                                                        manteve neutro em relação a fornecedores e soluções, então cabe a
incluídos no escopo da atividade, afinal documentar processos não é
                                                                        empresa avaliar o que melhor atende as suas necessidades e ao seu
o ponto forte de muitas empresas.
                                                                        bolso. Pesquise as soluções disponíveis no mercado e pondere bem
Outro fator importante além do investimento na contratação da           sobre a necessidade de se investir na compra de software
consultoria é o envolvimento necessário das áreas de negócio que        proprietário ou na utilização de softwares open source. Avalie bem
conhecem o ambiente analisado, pois não há consultor que consiga        as alternativas e não se precipite em sair gastando todo aquele
fazer milagres se não houver a participação de quem realmente           budget aprovado a muito custo com o seu diretor.
conhece o negócio, seja através do fornecimento de documentações,
                                                                        Apesar de o padrão focar bastante em aspectos muito técnicos como
disponibilidade de tempo para a realização de entrevistas e o apoio
                                                                        segmentação da rede, criação de DMZ, controle de acesso físico,
de quem está pagando a conta.
                                                                        criptografia e rede sem fio, alguns necessitam bastante atenção como
Além do mais, o processo de análise de GAP deve ser conduzido           na revisão de processos e documentações. O requisito 12 trata
sempre no sentido de informar às pessoas que esta atividade é uma       especificamente sobre a manutenção de uma política de segurança
possibilidade de melhoria das suas atividades e dos controles da        da informação que atenda a todos os requisitos exigidos e também
empresa, não leve adiante a idéia de que isso é uma auditoria, afinal    sobre a necessidade de gerenciamento de risco e incidentes.
este é o pior momento para esconder a sujeira para debaixo do
                                                                        A revisão da política de segurança deve ser um trabalho realizado
tapete. Acredite, muita gente tem receio de enfrentar uma auditoria
                                                                        com bastante atenção para que se reflita o que realmente está sendo
e pode acabar omitindo alguma informação importante. Procure
                                                                        exigido, pois agora o ponto crítico a ser observado é o ambiente dos
acalmar as pessoas!
                                                                        dados do portador de cartão. A ISO 27002 continua sendo uma
O resultado final de todo este trabalho deverá ser uma                   ótima referência com recomendações, mas lembre-se de que quando
documentação com observações e recomendações para todo o                falamos em PCI DSS, o que antes era recomendação, agora passa a
ambiente analisado e que servirá de ponto principal para a criação      ser exigência. A política de Segurança da Informação deverá atingir
de um plano de ação. Convoque uma reunião com as partes                 tanto funcionários como prestadores de serviço.
interessadas e apresente os resultados, esclareça as dúvidas e
                                                                        À medida que sua equipe interna comece a se habituar a tudo que
prepare-se para trabalhar bastante se o índice de aderência ao
                                                                        está envolvido na adequação das exigências do PCI DSS, é possível

            ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 12
que algumas atividades possam ser executadas sem o apoio de          com o que é exigido. Então se organize, faça um bom planejamento
consultores. Uma boa fonte para ajudar nas atividades é o            e mãos à obra.
questionário de auto-avaliação disponível no site do PCI Council.
                                                                     Sobre o Autor
Para finalizar, lembre-se de que mesmo que ainda não existam datas    Fábio Juliano Dapper é graduando no curso Superior em Segurança da
confirmadas pelas bandeiras de cartões sobre o prazo para a           Informação pela Unisinos, possui 10 anos de experiência em Tecnologia da
adequação ao PCI DSS, é sempre recomendável não deixar tudo          Informação, destes, 4 em Segurança da Informação. Se especializou através de
para depois. Aplicar controles talvez não seja seu maior problema,   algumas certificações como LPIC-2 e Cisco CCNA. É Analista de Segurança da
mas pense em como você os manterá ao longo do tempo de acordo        Informação na empresa GetNet Tecnologia trabalhando com gestão de risco e
                                                                     projetos envolvendo o PCI DSS. Ele pode ser contatado em fjdapper@gmail.com.




    Conviso Application Hardening
    A sua tranqüilidade através da garantia de manutenção de um
    nível de risco aceitável para as suas aplicações corporativas.



   A segurança de aplicações é um campo relativamente novo no Brasil, mas que deveria ser considerado estratégico
   pelas empresas frente ao novo comportamento dos crackers que buscam explorar vulnerabilidades conhecidas nesta
   camada para cometer crimes contra as empresas e cidadãos. Através do entendimento das suas necessidades de
   negócio e a forma como suas aplicações são desenvolvidas e administradas, podemos elaborar soluções adequadas
   especificamente para a sua empresa com o Conviso Application Hardening.

   Combinamos ferramentas de análise com mais de 10 anos de experiência em segurança e desenvolvimento para
   prestar serviços de alta qualidade e entregar recomendações de melhoria que funcionam e estão em uma linguagem
   que você entende.




  Opções de Abordagem do Conviso Application Hardening
  ๏ Planejamento de Segurança para Aplicações, atuando
    diretamente no Secure Development Life Cycle.
  ๏ Revisão de Código para busca de vulnerabilidades através de code
    coverage e fuzzy.
                                                                                               Conviso IT Security
  ๏ Auditoria de Aplicações através de pen-test específico para o                               Rua Conselheiro Laurindo 600 Sala 1513
    cenário onde os seus negócios são desenvolvidos.                                           80060-903, Curitiba, PR
                                                                                               T. (41) 3075.3080 F. (41) 3075.3001
                                                                                               www.conviso.com.br

  http://www.convisosec.com/app_hardening


           ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 13
Terceirização
Uma análise do ponto de vista de Segurança da Informação
Por Kenia Carvalho

As empresas estão cada vez mais considerando a terceirização        e hoje, é possível mensurar seu valor e
nos processos de Tecnologia da Informação e tecnologias em          principalmente, protegê-la, assim como
geral.    Muitas dessas organizações têm um alto grau de            os ambientes e os equipamentos
expectativa em relação ao serviço prestado e aos benefícios desta   utilizados para o seu processamento. A
parceria, porém não há uma preocupação quanto à qualidade e à       Segurança da Informação é um termo
segurança das informações manipuladas pelas empresas terceiras.     que se refere essencialmente à proteção
A evolução na área de Tecnologia da Informação também tem           dos ativos de uma empresa ou pessoas.
contribuído para o crescimento da terceirização.                    A confidencialidade é garantir que as informações sejam
                                                                    acessadas somente por indivíduos autorizados pelo proprietário
Muitos produtos e serviços se tornaram homogêneos e de amplo
                                                                    da informação; a integridade é garantir que as informações não
consumo, permitindo assim, dentre outros proventos, a
                                                                    sejam alteradas sem autorização de seu proprietário e a
possibilidade de redução de custos, melhoria da tecnologia e da
                                                                    disponibilidade, é garantir que as informações estejam
qualidade de serviços através de fornecedores externos. Neste
                                                                    disponíveis quando seu proprietário ou usuário necessitar. Estes
sentido, a terceirização contribui para redução no custo dos
                                                                    são os principais atributos que orientam a análise, o
recursos humanos e operacionais, e pode propiciar maior
                                                                    planejamento e a implementação da segurança para as
flexibilidade na adequação desses recursos às metas estratégicas
                                                                    informações.
das empresas.
                                                                    A Gestão da Terceirização
Terceirização no Segmento Financeiro
                                                                    Os profissionais da área de Segurança da Informação,
Ao analisarmos o segmento financeiro, observamos que este,
                                                                    conhecidos como Information Security Officers ou Chefe de
devido às fortes pressões regulatórias, acaba por possuir
                                                                    Segurança da Informação, têm como maior desafio gerenciar
preocupação diferenciada sobre o tema Segurança da
                                                                    riscos, antecipar as dificuldades e prever o máximo de variáveis
Informação. Nesse contexto, a Resolução 3.380 do Banco
                                                                    que possam ameaçar a continuidade dos negócios. Essas
Central do Brasil, publicada em 29 de junho de 2006, e outras
                                                                    atribuições se intensificam quando falamos da adoção de
normas do mercado financeiro, pois as Instituições Financeiras
                                                                    terceirização em assuntos relativos à segurança.
são precursoras das melhores práticas de segurança da
informação, são referência para outros segmentos corporativos.      Quando se fala em Segurança da Informação e Terceirização é
                                                                    essencial que haja bom senso e, portanto, seja considerado o
Hoje no Brasil as Instituições Financeiras devem atender esta
                                                                    porte da empresa prestadora de serviço e o nível de risco dos
Resolução que prevê a implantação de área de Gerenciamento
                                                                    processos transferidos ao Terceiro.
de Risco Operacional e que determina que os serviços
terceirizados relevantes para o funcionamento da instituição        A classificação da informação e a análise de risco são a base para
também devem ser monitorados, bem como os demais processos          implementação de controles adequados em qualquer processo de
da organização. Serviços terceirizados relevantes vão desde a       tecnologia. É importante mencionar que muitas empresas
compensação de cheques, processamento do SPB (Sistema               prestadoras de serviços não consideram os requisitos legais e
Brasileiro de Pagamento), Centro de Processamento de Dados          regulatórios do seu segmento e principalmente aqueles relativos
(Data Centers), redes de caixas eletrônicos, processadoras de       aos seus clientes. Tanto para o contratante e contratado, é
cartões de débito e crédito até o desenvolvimento de softwares e    importante:
utilização de aplicativos comercializados por terceiros. 
                                                                    ‣ Definir de forma clara o escopo de serviço que será prestado
Com a implementação de tais Normas e Regulamentações, o               ou contratado;
mercado de Tecnologia da Informação deve iniciar um trabalho        ‣ Definir o grau de criticidade das informações que envolvem o
de gestão da terceirização, para tornar-se mais competitivo e         serviço prestado ou contratado;
atender às exigências de seus clientes, especialmente se estes
                                                                    ‣ Mensurar o risco (baixo/médio/alto) o qual a empresa poderá
forem instituições financeiras. A Tecnologia da Informação é a
                                                                      ser exposta, considerando recursos necessários para execução
sustentação dos negócios das empresas - sejam privadas ou
públicas – o maior bem que uma empresa possui é a informação,

           ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 14
do serviço contratado, tais como: pessoas, processos,             implementação de controles de segurança da informação
  hardwares, softwares, dados e materiais.                          alinhados aos padrões e requisitos da empresa.
‣ Definir e executar, quando necessário, ações emergenciais,        O provedor deve demonstrar, através de evidências, a sua
  visando proteger os dados ao qual a empresa se comprometeu        capacidade de atender aos requisitos de desempenho
  a proteger ou é obrigada por Lei a proteger.                      especificados pelo cliente, e este deve realizar monitoramento
Diante da responsabilidade pela segurança de suas informações       periódico das atividades do provedor de serviços, para verificar
e, principalmente pelas informações de seus clientes, ambas as      se os controles implementados operam adequadamente e
empresas devem criar uma área de controles internos ou              cumprem seus objetivos. É importante considerar o escopo do
contratar uma empresa externa especializada em Segurança da         serviço que será prestado e elaborar formalmente itens de
Informação, para avaliar os controles internos de seus              Acordo de Nível de Serviços (SLA) que contemplem a
fornecedores, gerenciando os riscos que esta atividade              disponibilização de métricas que atendam com eficácia as
proporciona. Em todo processo de gestão de segurança da             medidas de segurança da informação e cláusulas de melhoria
informação, alguns aspectos devem ser considerados: todos os        continua. A elaboração de um contrato para este tipo de
processos devem ser documentados; ter o apoio da alta               prestação de serviços deve ser realizada pela área jurídica e
administração; ser um processo dinâmico, contínuo e auditado, e     envolver a área comercial e de negócios das empresas
ter uma análise de riscos consistente.                              participantes.

                                                                    A terceirização dos serviços de tecnologia trouxe diversos
O que está sendo feito
                                                                    benefícios, porém como em todo negócio, este vêm
Hoje no mercado algumas instituições financeiras já executam
                                                                    acompanhado de riscos. Todos os riscos que este tipo de
avaliação de segurança da informação em seus provedores de
                                                                    parceria traz podem ser identificados, tratados e monitorados
serviços, fazendo a gestão de riscos ao negócio e obtendo um
                                                                    pela empresa contratante. Este procedimento proporciona
nível razoável de conforto sobre a integ ridade,
                                                                    maturidade nos negócios e contribui para o sucesso dos
confidencialidade e disponibilidade dos dados acessados,
                                                                    objetivos das empresas. A implementação da prática de
armazenados, manipulados e processados externamente.
                                                                    Segurança da Informação no âmbito de uma organização
Considerando o cenário atual, a competição existente na
                                                                    compreende uma seqüência de ações importantes e
economia globalizada leva as empresas a reduzir custos e
                                                                    indispensáveis e estas devem ser estendidas aos prestadores de
aprimorar a eficiência dos serviços; uma das ações que
                                                                    serviços.
contribuiu e ainda contribui para este objetivo é a terceirização
de serviços de tecnologia.                                          O sucesso está diretamente relacionado com a postura dos
                                                                    executivos e funcionários da contratante e da contratada.
Os prestadores de serviços apresentam a terceirização como
                                                                    Ambas as empresas devem realizar o gerenciamento,
uma parceria em que todos os lados ganham, embora este
                                                                    manutenção e atualização constante das práticas de Segurança
objetivo seja positivo e atingível, só é possível através de um
                                                                    da Informação. Em função da crise global vem acontecendo
processo de contínua gestão de relacionamento, que considere e
                                                                    uma redução dos orçamentos e investimentos na área de TI e
supere as divergências existentes. Afinal, cliente e provedor de
                                                                    Segurança da Informação, e as empresas estão adotando
serviços são duas entidades distintas, cada uma com diferentes
                                                                    posturas conservadoras em relação aos custos. Por isso mesmo é
visões e objetivos estratégicos.
                                                                    importante considerar que a segurança da informação deve ser
Algumas empresas selecionam prestadores de serviços e               consistentemente analisada durante o processo de terceirização
negociam contratos sem ter uma clara compreensão de seus            de serviços, pois somente assim haverá condições de se avaliar
objetivos de negócios e da importância da qualidade de serviços     os ganhos reais, qualitativos e quantitativos, decorrentes deste
de tecnologia. O resultado provável será a frustração, tanto em     negócio.
relação ao atendimento dos requisitos estratégicos, quanto em
relação à eficiência operacional e a redução de custos.             Sobre a Autora
                                                                    Kenia Carvalho é especialista em Segurança da Informação, pós-graduada
Mais que um simples contrato                                        pelo ITA, e possui 14 anos de experiência em TI com 3 em Segurança da
Por este motivo, o processo de terceirização de serviços de         Informação. Atualmente trabalha na Área de Segurança da Informação de uma
tecnologia requer que a empresa contratante tenha definido          instituição financeira internacional, responsável pela gestão de avaliações de
claramente os procedimentos adequados de seleção e de               segurança da informação em fornecedores de serviços, tendo mais de 50 empresas
contratação de fornecedores. É preciso considerar nos contratos     avaliadas em seu currículo. Pode ser contatada através do e-mail:
o comprometimento dos fornecedores com a qualidade e com a          cristina_kenia@yahoo.com.br.


           ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 15
ISO/IEC 15.408
Não é para desenvolvimento seguro
Por Wagner Elias

Começar um artigo com um título negando uma afirmação                       conjunto de práticas que garantem
amplamente divulgada é praticamente um convite a discussões                que o princípio de S³+C será
intermináveis entre os que defendem uma abordagem ou outra, o              garantido durante o processo de
que nós conhecemos como flamewar. Mas fique tranquilo, meu                   desenvolvimento de software. Mas o
interesse é simplesmente esclarecer um equívoco que vem sendo              que é o S³+C? S³+C é (Segurança
repetido amplamente por anos. E quando falamos em PCI-DSS um               no projeto, Segurança por padrão,
assunto recorrente é a segurança em desenvolvimento de software,           Segurança na Implementação + Comunicação). Veja o que a
momento extremamente oportuno para esclarecer e acabar com este            Microsoft descreve sobre esta classificação:
equívoco.
                                                                           ‣ Segurança no projeto: o software deve ser esboçado, projetado e
A ISO/IEC 15.408 (Commom Criteria), é um conjunto de critérios               implementado de modo a proteger a si mesmo e às informações
para avaliação de segurança de um software. Esta avaliação é feita           que ele processa, bem como resistir a ataques.
através de perfis de proteção e níveis de garantia de avaliação. Com        ‣ Segurança por padrão: no mundo real, nenhum software pode ser
base nestes critérios, laboratórios credenciados e capacitados irão          perfeitamente seguro, portanto os projetistas devem prever a
avaliar produtos e determinar que nível de garantia de segurança o           presença de falhas na segurança. Para diminuir os danos causados
produto será acreditado.                                                     quando invasores detectam essas falhas remanescentes, o estado
Então como se pode afirmar que a ISO/IEC 15.408 não é para                    padrão do software deve promover a segurança. Por exemplo, o
desenvolvimento seguro? Simples, ela não fornece nenhum tipo de              software deve operar com o mínimo necessário de privilégios, e
processo, sistema de gestão e/ou guia para implementação de                  todos os serviços e recursos que não sejam amplamente
qualquer controle para garantir a segurança de uma aplicação,                necessários devem vir desativados por padrão ou ser acessíveis
apenas critérios para avaliar qualquer sistema, produto de                   somente a um pequeno grupo de usuários.
segurança.                                                                 ‣ Segurança na implantação: O software deve vir acompanhado de
                                                                             ferramentas e guias para ajudar os usuários finais e/ou
Quem procura boas práticas para desenvolvimento seguro deve se
                                                                             administradores a usá-lo com segurança. Além disso, as
orientar por práticas como o SDL (Security Development Lifecycle)
                                                                             atualizações devem ser fáceis de serem implantadas.
da Microsfot ou o CLASP (Comprehensive, Lightweight Application
Security Process) da OWASP (Open Web Application Security                  ‣ Comunicação: os desenvolvedores de software devem estar
Project). Estas práticas irão lhe fornecer diversos recursos que irão        preparados para a descoberta de falhas na segurança do produto e
possibilitar que você implemente um processo que irá aumentar a              devem se comunicar de forma aberta e responsável com os
qualidade e segurança das suas aplicações.                                   usuários finais e/ou administradores para ajudá-los a tomar
                                                                             medidas preventivas (tais como a instalação de patches ou o uso de
SDL (Security Development Lifecycle)                                         medidas paliativas).
O SDL é o grande responsável por um aumento considerável na
segurança das aplicações desenvolvidas pela Microsoft. O SDL é um




                                             Figura 1: Estrutura do SDL proposta pela Microsoft


            ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 16
CLASP (Comprehensive, Lightweight Application                       ‣ CLASP Best Practices: Apresenta um conjunto de sete melhores
Security Process)                                                     práticas para o desenvolvimento seguro, que vão das análises de
O CLASP tem como propósito ser uma metodologia leve de fácil          segurança até a definição e administração de métricas.
integração com um modelo tradicional de desenvolvimento de          ‣ 24 Atividades CLASP que podem ser direcionadas para o modelo
software. Ela fornece recursos e está organizada pelos seguintes      de segurança desejado, atendendo não só as boas práticas mas
componentes:                                                          abordagens para SOX e COBIT.

‣ CLASP Views: Apresenta cinco perspectivas de alto nível que são   ‣ CLASP Resources (incluindo CLASP “Keywords”), que crescem a
  detalhadas em atividades que podem ser aplicadas dentro do          cada nova edição do projeto.
  processo de desenvolvimento: Concepts View, Role-Based View,      ‣ CLASP Taxonomy, que é integrada aos demais projetos do
  Activity-Assessment View, Activity-Implementation View e            OWASP e adotada por empresas e organizações do mercado.
  Vulnerability View.
                                                                    A base para implementação da CLASP são suas visões, as visões se
                                                                    interagem e são suportadas pelos outros componentes.        Este
                                                                    processo atende a todas as necessidades de um processo de
                                                                    segurança em desenvolvimento de software e atende as diversas
                                                                    demandas associadas a segurança no desenvolvimento de software.

                                                                    Conclusão
                                                                    Com esta rápida abordagem sobre as duas principais referências em
                                                                    implementação de processos de segurança em desenvolvimento,
                                                                    podemos observar que a ISO/IEC 15.408 pode ser um objetivo a
                                                                    ser alcançado, critérios a serem atendidos, mas nunca irá lhe
                                                                    orientar, fornecer recursos que, servirão de base para a
                                                                    implementação do mesmo.

                                                                    A segurança adequada de uma aplicação varia de acordo com o
                     Figura 2: Estrutura do CLASP                   comportamento, posicionamento e dinâmica de diversos
                                                                    componentes e relacionamentos que vão muito além do que está
                                                                    escrito em uma norma. Atingir este resultado requer uma
                                                                    metodologia dinâmica, alinhada ao que vem ocorrendo no mercado
                                                                    e que seja capaz de estabelecer melhorias na mesma velocidade que
                                                                    as vulnerabilidades são descobertas. Este é o papel de opções como
                                                                    o Microsoft SDL e o CLASP, use-as e fique seguro.

                                                                    Referências
                                                                    ‣ http://www.commoncriteriaportal.org/
                                                                    ‣ http://msdn.microsoft.com/en-us/library/ms995349.aspx
                                                                    ‣h t t p : / / w w w. o w a s p. o r g / i n d e x . p h p /
                                                                     Category:OWASP_CLASP_Project

                                                                    Sobre o Autor
                                                                    Wagner Elias, CBCP, SANS GIAC GHTQ , CobiT Foundation, ITIL
                                                                    Foundation, Atua na área de Tecnologia da Informação há mais de 10 anos,
                                                                    tendo acumulado larga experiência em projetos de Segurança da Informação no
                                                                    Brasil e exterior. É co-fundador e sócio da Conviso IT Security, onde atua como
                                                                    Gerente de Pesquisa e Desenvolvimento, responsável pela elaboração de
                                                                    metodologias, gerenciamento de pesquisas em vulnerabilidades e soluções de
                                                                    proteção de informações e gerenciamento das equipes de consultores. Foi
                                                                    responsável pela fundação do capítulo Brasil do OWASP e é Diretor de Eventos
                                                                    do capítulo São Paulo da ISSA.

                Figura 3: Bases de interações do CLASP


           ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 17
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 18
Microsoft Forefront Threat Management Gateway (TMG)
A Nova Geração do Firewall da Microsoft agora disponível em Beta 2
Por Yuri Diógenes




Antes de falar sobre o TMG Beta 2 é importante mencionar que a        perímetro passa a ter um papel
Microsoft ano passado já havia lançado uma versão deste produto       fundamental para prevenir ataques do
porém com menos funcionalidade (bem menos na realidade). Esta         mundo externo, porém é preciso muito
versão foi chamada de TMG MBE (Medium Business Edition) e foi         mais que isso tendo em visto que ataques internos ainda são a
lançada principalmente para fazer parte do EBS (Essential Business    maioria.
Server).
                                                                      Inspeção de Rede
O TMG MBE já está em RTM e disponível no mercado, se você             O TMG Beta 2 traz um conjunto de funcionalidades que vão além
quiser ler mais sobre algumas funcionalidades desta versão reveja o   do fator chave da proteção de perímetro. Através de uma nova
artigo que escrevi para TechNet Magazine de Fevereiro de 2009 em      funcionalidade chamada Network Inspection System (NIS) o TMG
parceria com Jim Harrison e Mohit Saxena (ambos co-autores do         Beta 2 traz funcionalidade de um IPS (Intrusion Prevention System)
livro de TMG que estamos escrevendo para Microsoft Press). Você       através do uso do protocolo GAPA (Generic Application-Level
pode ler este artigo na edição online da revista.                     Protocol Analyzer), criado pela Microsoft Reseach.
O TMG Beta 2 tornou-se disponível para o público externo no dia 6
de Fevereiro de 2009, após a espera que parecia imensa, esta versão
traz um amadurecimento do produto e um novo conjunto de
funcionalidades que tornam o TMG um produto robusto para
segurança de perímetro. O objetivo deste artigo é mostrar as
principais novidades da versão Beta deste produto.

Além da Segurança de Perímetro
Estudos mostram que usuários em geral demoram em média 50 dias
para atualizar seu computador com patches de segurança. Este
número cai em um ambiente corporativo devido a políticas de
segurança e gerenciamento centralizado para distribuição de patch.
Porém ainda há uma janela entre o patch ser lançado e ser
efetivamente instalado. Nesta janela o grande risco é que a
vulnerabilidade já foi anunciada e na maioria das vezes já existem
mecanismos para explorar tal vulnerabilidade. A segurança de




                                                                            Figura 2: Alterando o modo de resposta de uma vulnerabilidade

                                                                      Esta funcionalidade vai permitir que o TMG bloqueie tráfego que é
                                                                      considerado malicioso com base no conjunto de assinaturas
                                                                      disponível no produto. Tais assinaturas serão recebidas do Microsoft
                                                                      Update e a medida que novas vulnerabilidades são anunciadas e
                                                                      assinaturas testadas, o TMG será capaz de fazer tais intervenções.
                                                                      Isso permite com que a janela de vulnerabilidade seja mitigada
                                                                      através desta inspeção preventiva. Na Figura 1 temos a interface do
            Figura 1: A tela inicial do NIS no TMG Beta 2             NIS que é parte do TMG Beta 2.


           ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 19
Na tela do NIS temos as vulnerabilidades que podem ser                     Além disso, o TMG Beta 2 também permite que clientes
organizadas por categoria ou por outros parâmetros. O padrão do            utilizando o TMG Client (também conhecido como Firewall
TMG Beta 2 é que todas as vulnerabilidades conhecidas pelo NIS             Client) sejam notificados que o tráfego está sendo inspecionado.
estejam configuradas em modo que ela seja apenas detectada. A               A figura 4 mostra a janela de configuração da inspeção HTTPs:
vantagem deste modo é que você poderá analisar através dos logs o
quão saudável está sua rede antes de colocar em produção
(alterando o modo para Bloquear). Nas propriedades de uma
vulnerabilidade no NIS é possível ver mais detalhes e alterar o modo
de resposta como apresentado na Figura 2.

O TMG Beta 2 utiliza o Update Center para fazer atualizações de
definições do NIS. O intervalo de verificação de novas atualizações é
configurado como padrão nesta versão Beta para 15 minutos,
conforme mostra a Figura 3.




                                                                                     Figura 4: janela de configuração da inspeção HTTPs


                                                                           Inspeção de Malware
   Figura 3: Update Center e as configurações de atualização de definições   A propagação de pragas virtuais é algo extremamente presente
                                                                           nos dias de hoje. Infelizmente ainda existem diversas empresas
Inspeção HTTPs                                                             que mantém máquinas des-assistidas, ou seja, sem uma
Com o aumento de acessos maliciosos usando entunelamento                   proteção efetiva contra malware.
SSL os dispositivos tradicionais não são capazes de inspecionar
                                                                           O TMG Beta 2 faz uso de uma funcionalidade que foi
tráfego criptografado. O TMG Beta 2 traz uma nova
                                                                           inicialmente lançada no TMG MBE chamada de Malware
funcionalidade que permite a inspeção de tráfego HTTPs. Ao
                                                                           Inspection. Através desta funcionalidade pode inspecionar
receber o tráfego o TMG Beta 2 vai descriptografar,
                                                                           tráfego e usar a engine do Antivírus Forefront para fazer o scan
inspecionar, com o uso de um outro certificado criptografar
                                                                           de um tráfego HTTP. Desta forma mesmo as máquinas
novamente e então enviar o tráfego seguro para o cliente
                                                                           desassistidas que tentarem acessar sites que contenham malware
interno que fez o acesso.
                                                                           podem se beneficiar de uma segurança efetiva no perímetro.
É possível imaginar cenários onde o cliente está acessando um
                                                                           Para este assunto recomendo a leitura do artigo “Monitoring
site que contém informações pessoais e sigilosas que não devem
                                                                           Malware Through the Edge with Microsoft Forefront Threat
ser inspecionados.
                                                                           Management Gateway” que escrevi para a coluna de Dica de
Um exemplo é o acesso a um site de Banco ou de uma                         Segurança do Mês (Novembro de 2008) da Microsoft.
instituição de saúde (que contenha registros do paciente) e não
                                                                           Outra novidade do é capacidade de usar os recursos do
deve ser inspecionado sem avisar ao usuário ou em alguns casos
                                                                           Exchange Edge Transport e Forefront Security Server for
(dependendo da legislação do país) sere inspecionado de forma
                                                                           Exchange para fazer inspeção SMTP. Através desta integração
alguma.
                                                                           de tecnologias o TMG Beta 2 é usado como repositório central
O TMG Beta 2 permite esta flexibilidade através da criação de              para criação de regras Anti-Spam e tais regras são replicadas
uma lista de exclusão de sites que não devem ser inspecionados.            para o Exchange Edge Transport e para o FSS para Exchange.

            ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 20
É importante salientar que o Exchange Edge Transport já



                                                                              Information
precisa estar instalado na máquina antes de instalar o TMG,
caso contrário você receberá a seguinte tela de alerta
durante a instalação do TMG:




                                                                                Systems
As políticas de segurança SMTP são criadas na interface do
                                                                                Security
                                                                              Association
TMG através do uso das opções abaixo apresentadas em três
abas, sendo elas:

‣ E-Mail Policy: permite a configuração da publicação
  SMTP e conectividade com o servidor SMTP interno.
‣ Spam Filtering: permite a configuração de filtro anti-
  spam.


                                                                           A comunidade global
‣ Virus and Content Filtering: permite a configuração de
  antivirus, quantos engines serão usados para fazer o scan
  SMTP (nesta versão beta até 5 podem ser usados para
  SMTP) e filtro de conteúdo.                                             para os profissionais de
Conclusão
Este artigo mostrou algumas das principais características de
                                                                               Segurança da
segurança do TMG Beta 2, porém existem muito mais
funcionalidades a serem exploradas. Minha recomendação é
                                                                                Informação
que você faça o download desta versão beta e comece a
testar. Neste site você pode encontrar não só o bits para
download mas também uma versão beta do “Deployment                        Você não está sozinho ...
Guide” do TMG Beta 2 que lhe auxiliará a fazer a
configuração inicial.                                                        Aproximadamente 10.000 membros em todo o
                                                                             mundo
Sobre o Autor
Yuri Diogenes trabalha na Microsoft no Texas como Sr Security
                                                                             Desenvolvimento profissional
Support Engineer do time de CSS Forefront Edge Security. É                   Conferências e Eventos
responsável por receber escalações de casos abertos para os produtos         Descontos para associados
Forefront Edge (ISA/TMG), co-autor da coluna “Tales from the
                                                                             Recursos sobre Segurança da Informação
Edge” no site da comunidade de Forefront Edge (http://
technet.microsoft.com/en-us/forefront/edgesecurity/bb687298.aspx) e
                                                                             Desenvolvimento de carreira
também contribui com os artigos publicados no Blog do time de ISA/           Créditos (CPEs) para certificações
TMG (http://blogs.technet.com/isablog). Yuri também escreve no seu
blog pessoal (http://blogs.techenet.com/yuridiogenes) a respeito da sua
experiência com os produtos Forefront Edge. Atualmente Yuri Diogenes
está escrevendo um livro pela Microsoft Press em parceria com Jim
Harrison (http://www.isatools.org), Mohit Saxena (Líder Técnido do
time de Forefront Edge) e tendo como revisor técnico Thomas Shinder
(http://www.isaserver.org). O livro deverá ser lançado quando o
TMG estiver em versão final no mercado.


             ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 21
Segurança da Informação
em Tempos de Crise
Por Lucas Donato

Contrariando a tendência a diminuir investimentos face à crise        aquisições entre companhias. Segundo
econômica mundial, a necessidade de garantir a Segurança da           Steven Katz, é neste período que
Informação segue crescente para a continuidade dos negócios,          precisamos dar mais atenção para
para a conformidade com as regulações vigentes e para a proteção      funcionários descontentes, que devido
aos dados da empresa e de parceiros de negócio. Nos gráficos da       ao nível de acesso a informações privilegiadas, sempre consistiram,
Bovespa, mais uma queda é observada. No outro lado do mundo,          naturalmente, em uma das principais ameaças à Segurança da
as bolsas asiáticas caem pelo temor dos investidores com o            Informação de uma empresa. Não devemos esperar que, agora,
aumento das perdas e o Japão, segunda maior economia do               este risco diminua.
mundo, poderá manter-se em recessão durante o início do
                                                                      Pelo contrário. Conforme Katz, relatórios de controle de acesso e
próximo ano. Este cenário pessimista tornou-se rotina em todo o
                                                                      atividades de usuários privilegiados devem ser mais monitorados
globo, desde Tóquio, passando por Wall Street e chegando no
                                                                      do que nunca. E não só isso: a fusão de companhias envolve
Brasil.
                                                                      mudanças significativas na infraestrutura tecnológica e na
Economistas e pesquisadores afirmam que a tendência é que, após       estrutura de informações de uma empresa, não esquecendo, ainda,
o estouro da bolha imobiliária, as perdas agora sigam                 de políticas, procedimentos... a lista é longa. Nesta situação, a
aumentando. A preocupação em proteger-se do pior é                    realização de uma Análise de Risco é indispensável, contemplando
generalizada e atinge cada um de nós. Quadros de funcionários         todas as mudanças no novo ambiente e o impacto oferecido na
são reduzidos, orçamentos são revistos, novos investimentos são       Segurança da Informação da companhia.
praticamente eliminados. Em tempos de crise, é fundamental
                                                                      Mais do que nunca, portanto, é fundamental continuar investindo
evitar perdas de receita não previstas. No entanto, o simples corte
                                                                      naquilo que é mais crítico para a continuidade do negócio. E,
de gastos não protege as empresas contra perdas em pontos que
                                                                      felizmente, é isso que tem ocorrido. Uma pesquisa realizada com
exigem processos contínuos de melhoria e monitoração. Quando a
                                                                      executivos de mais de 50 países e divulgada em outubro pela Ernst
continuidade dos negócios está em jogo, a Segurança da
                                                                      & Young apresentou que as corporações estão, de fato, aumentando
Informação entra em campo.
                                                                      os investimentos na área de Segurança da Informação, com padrões
O não cumprimento de regulações como Sarbanes-Oxley, por              internacionais de segurança sendo adotados cada vez mais no
exemplo, ocasiona prejuízos muitas vezes bem maiores do que a         mercado. A pesquisa é corroborada, ainda, pelo (ISC)2 Global
adoção de controles adequados para assegurar que os três pilares      Information Security Workforce Study, que revelou um paralelo
da Segurança da Informação sejam garantidos. Afinal, ninguém          entre o ato de realizar uma análise dos riscos e o aumento da
pretende hoje em dia deixar de contar com uma solução de anti-        confiança na organização. A chave para sobreviver à crise com
vírus, por exemplo. Em períodos assim, a freqüência de ataques        menos arranhões está nas mãos das empresas onde a confiança
vaumenta substancialmente. Segundo a MessageLabs, houve um            existe entre seus acionistas, onde a redução de custos ocorre sem a
significativo aumento do número de e-mails voltados para roubar       redução da segurança, onde a continuidade dos negócios é encarada
dados e senhas dos internautas, em um tipo de ataque conhecido        como a prioridade e onde a Segurança da Informação é tratada
como phishing scam.                                                   como um aliado indispensável para a redução das perdas que
                                                                      ameaçam o presente e o futuro que virá.
Os criminosos estão aproveitando, e muito, o medo generalizado
ocasionado pela crise econômica que se espalhou em todo o             Sobre o Autor
mundo. E não falamos só de phishing scam quando a ameaça vem          Lucas Donato, consultor e sócio da e-trust, CISSP, graduado em Ciência da
pelo e-mail. O SPAM, outro fator de perda considerável de receita,    Computação pela UFPel e pesquisador em Forense Computacional. Possui
pode ser contido em grande parte através de sólidos controles de      experiência em      Análise de Risco, Testes de Intrusão, Diagnósticos de
segurança. Em 2008 identificamos que para uma empresa                 Vulnerabilidades e Análises de Sistemas Críticos. Possui experiência em Resposta
multinacional com um quadro de aproximadamente 2.500                  a Incidentes e Perícia Forense. Participou de projetos nos setores Financeiro,
funcionários, a economia oferecida por uma solução Anti-SPAM          Energia, Governamental, TI, Oil and Gas, Saúde, entre outros. Pode ser
em um ano chegou na casa de quatrocentos mil dólares.                 contatado através do e-mail lucasdonato@gmail.com.
Fenômenos muito comuns nestes períodos turbulentos são fusões e


           ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 22
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?

Mais conteúdo relacionado

Semelhante a Antebellum - Conformidade, por onde começar?

Relatório de Sustentabilidade 2016
Relatório de Sustentabilidade 2016Relatório de Sustentabilidade 2016
Relatório de Sustentabilidade 2016
fsoaresaspromo
 
Sugestão de Leitura de Cristina Miguens, na Revista Digital, página 19.
Sugestão de Leitura de Cristina Miguens, na Revista Digital, página 19.Sugestão de Leitura de Cristina Miguens, na Revista Digital, página 19.
Sugestão de Leitura de Cristina Miguens, na Revista Digital, página 19.
WIND - Internacionalização
 
Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"
Paulo Pagliusi, PhD, CISM
 
Gestão de crise na era digital - imagem e reputação
Gestão de crise na era digital - imagem e reputaçãoGestão de crise na era digital - imagem e reputação
Gestão de crise na era digital - imagem e reputação
Fernando Flessati
 
2º Encontro Brasileiro Anual - Seguros Massificados | 2015
2º Encontro Brasileiro Anual - Seguros Massificados | 20152º Encontro Brasileiro Anual - Seguros Massificados | 2015
2º Encontro Brasileiro Anual - Seguros Massificados | 2015
Gustavo Zobaran
 
Revista sescon2013
Revista sescon2013Revista sescon2013
Revista sescon2013
FACE Digital
 
Revista Acontece - SET 2014 - Ed. 38
Revista Acontece - SET 2014 - Ed. 38Revista Acontece - SET 2014 - Ed. 38
Revista Acontece - SET 2014 - Ed. 38
APAS Associação
 
Plano definitivo
Plano definitivoPlano definitivo
Plano definitivo
Diogo Librelon
 
Seguro nova digital 19ª edição
Seguro nova digital 19ª ediçãoSeguro nova digital 19ª edição
Seguro nova digital 19ª edição
Uniforte Seguros
 
Entrevista para itaú Eempresas
Entrevista para itaú EempresasEntrevista para itaú Eempresas
Entrevista para itaú Eempresas
Rafael Felipe Santos
 
Teaser - Relatório de monitoramento do mercado de seguros de seguros - War Room
Teaser - Relatório de monitoramento do mercado de seguros de seguros - War RoomTeaser - Relatório de monitoramento do mercado de seguros de seguros - War Room
Teaser - Relatório de monitoramento do mercado de seguros de seguros - War Room
Eduardo Lapa
 
Ranking Varejo Brasil 2020 - SBVC - 300 maiores
Ranking Varejo Brasil 2020 - SBVC - 300 maioresRanking Varejo Brasil 2020 - SBVC - 300 maiores
Ranking Varejo Brasil 2020 - SBVC - 300 maiores
Paulo Ratinecas
 
INSECURE 2016
INSECURE 2016INSECURE 2016
INSECURE 2016
Miguel Reis
 
019348000101011 (5)
019348000101011 (5)019348000101011 (5)
019348000101011 (5)
RenanDantasdosSantos
 
Curso Informática para Concurso PC-SC
Curso Informática para Concurso PC-SCCurso Informática para Concurso PC-SC
Curso Informática para Concurso PC-SC
Estratégia Concursos
 
Cisco Live Magazine ed.10 (Português)
Cisco Live Magazine ed.10 (Português)Cisco Live Magazine ed.10 (Português)
Cisco Live Magazine ed.10 (Português)
Cisco do Brasil
 
Revista bimestral do Sincor-SC - N° 02 - agosto e setembro/2019
Revista bimestral do Sincor-SC - N° 02 - agosto e setembro/2019Revista bimestral do Sincor-SC - N° 02 - agosto e setembro/2019
Revista bimestral do Sincor-SC - N° 02 - agosto e setembro/2019
sincorsc
 
Revista Acontece - JUL 2013 - Ed. 25
Revista Acontece - JUL 2013 - Ed. 25Revista Acontece - JUL 2013 - Ed. 25
Revista Acontece - JUL 2013 - Ed. 25
APAS Associação
 
Estudo: A sustentabilidade no mundo corporativo
Estudo: A sustentabilidade no mundo corporativoEstudo: A sustentabilidade no mundo corporativo
Estudo: A sustentabilidade no mundo corporativo
Miti Inteligência
 
O Estado da Indústria de Eventos e Turismo
O Estado da Indústria de Eventos e TurismoO Estado da Indústria de Eventos e Turismo
O Estado da Indústria de Eventos e Turismo
Sergio Junqueira Arantes
 

Semelhante a Antebellum - Conformidade, por onde começar? (20)

Relatório de Sustentabilidade 2016
Relatório de Sustentabilidade 2016Relatório de Sustentabilidade 2016
Relatório de Sustentabilidade 2016
 
Sugestão de Leitura de Cristina Miguens, na Revista Digital, página 19.
Sugestão de Leitura de Cristina Miguens, na Revista Digital, página 19.Sugestão de Leitura de Cristina Miguens, na Revista Digital, página 19.
Sugestão de Leitura de Cristina Miguens, na Revista Digital, página 19.
 
Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"
 
Gestão de crise na era digital - imagem e reputação
Gestão de crise na era digital - imagem e reputaçãoGestão de crise na era digital - imagem e reputação
Gestão de crise na era digital - imagem e reputação
 
2º Encontro Brasileiro Anual - Seguros Massificados | 2015
2º Encontro Brasileiro Anual - Seguros Massificados | 20152º Encontro Brasileiro Anual - Seguros Massificados | 2015
2º Encontro Brasileiro Anual - Seguros Massificados | 2015
 
Revista sescon2013
Revista sescon2013Revista sescon2013
Revista sescon2013
 
Revista Acontece - SET 2014 - Ed. 38
Revista Acontece - SET 2014 - Ed. 38Revista Acontece - SET 2014 - Ed. 38
Revista Acontece - SET 2014 - Ed. 38
 
Plano definitivo
Plano definitivoPlano definitivo
Plano definitivo
 
Seguro nova digital 19ª edição
Seguro nova digital 19ª ediçãoSeguro nova digital 19ª edição
Seguro nova digital 19ª edição
 
Entrevista para itaú Eempresas
Entrevista para itaú EempresasEntrevista para itaú Eempresas
Entrevista para itaú Eempresas
 
Teaser - Relatório de monitoramento do mercado de seguros de seguros - War Room
Teaser - Relatório de monitoramento do mercado de seguros de seguros - War RoomTeaser - Relatório de monitoramento do mercado de seguros de seguros - War Room
Teaser - Relatório de monitoramento do mercado de seguros de seguros - War Room
 
Ranking Varejo Brasil 2020 - SBVC - 300 maiores
Ranking Varejo Brasil 2020 - SBVC - 300 maioresRanking Varejo Brasil 2020 - SBVC - 300 maiores
Ranking Varejo Brasil 2020 - SBVC - 300 maiores
 
INSECURE 2016
INSECURE 2016INSECURE 2016
INSECURE 2016
 
019348000101011 (5)
019348000101011 (5)019348000101011 (5)
019348000101011 (5)
 
Curso Informática para Concurso PC-SC
Curso Informática para Concurso PC-SCCurso Informática para Concurso PC-SC
Curso Informática para Concurso PC-SC
 
Cisco Live Magazine ed.10 (Português)
Cisco Live Magazine ed.10 (Português)Cisco Live Magazine ed.10 (Português)
Cisco Live Magazine ed.10 (Português)
 
Revista bimestral do Sincor-SC - N° 02 - agosto e setembro/2019
Revista bimestral do Sincor-SC - N° 02 - agosto e setembro/2019Revista bimestral do Sincor-SC - N° 02 - agosto e setembro/2019
Revista bimestral do Sincor-SC - N° 02 - agosto e setembro/2019
 
Revista Acontece - JUL 2013 - Ed. 25
Revista Acontece - JUL 2013 - Ed. 25Revista Acontece - JUL 2013 - Ed. 25
Revista Acontece - JUL 2013 - Ed. 25
 
Estudo: A sustentabilidade no mundo corporativo
Estudo: A sustentabilidade no mundo corporativoEstudo: A sustentabilidade no mundo corporativo
Estudo: A sustentabilidade no mundo corporativo
 
O Estado da Indústria de Eventos e Turismo
O Estado da Indústria de Eventos e TurismoO Estado da Indústria de Eventos e Turismo
O Estado da Indústria de Eventos e Turismo
 

Antebellum - Conformidade, por onde começar?

  • 1. ANTEBELLUM006 Março e Abril de 2009 Payment Card Industry Data Security Standard As Vulnerabilidades no POS Para inglês ver? Conformidade: por onde começar? ISO/IEC 15.408 não é para desenvolvimento seguro E ainda: Terceirização: Uma análise do ponto de vista de Segurança da Informação Microsoft Forefront Threat Management Gateway (TMG) Segurança da Informação em Tempos de Crise Você está preparado para o CISSP? Segurança no Windows 7 A Privacidade como Limitador do Monitoramento Digital ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 1
  • 2. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 2
  • 3. Carta do Presidente Por Anchises M. G. de Paula O ano passado foi marcado por muitas realizações da ISSA Brasil e o ano de 2009 não vai ser diferente. Em 2008 participamos ativamente do dia-a-dia dos profissionais de segurança da informação através de diversas atividades, como os ISSA Days mensais, o Grupo de Estudos CISSP e com o apoio a diversos eventos de destaque como o CNASI, o GRC Meeting, o CertiForum, o You Shot Sheriff, entre outros. Criamos o ISSA Brasil Awards e lançamos a revista Antebellum, com cinco edições digitais e um número impresso. Essas atividades só foram possíveis com o apoio de diversas empresas líderes no segmento de Segurança da Informação. Para este ano estamos planejando focar ainda mais nossas ações nos associados, para trazer um maior valor agregado a associação e mais benefícios, como serviços e conteúdos relevantes ao seu desenvolvimento profissional.. Queremos que os associados ativos da ISSA sejam nossa prioridade e, por isso, ao mesmo tempo que criamos novas atividades e trazemos mais benefícios, decidimos que vamos restringir algumas atividades exclusivamente para os profissionais que acreditam na associação e participam dela. Acredito que 2009 será o ano marcado pelo forte impacto da crise econômica no mercado e no nosso dia-a-dia, mas ao mesmo tempo pela crescente valorização da segurança da informação pelas empresas. A profissionalização do cyber crime e as demandas regulatórias estão pressionando fortemente as empresas, que já estão sensíveis a necessidade de investimento em segurança e de mão de obra especializada na área. Na ISSA, 2009 será marcado pela preocupação com o associado e por ações inovadoras. Esta é a nossa primeira edição temática da Antebellum, e também já começamos produzindo uma versão dela impressa, graças ao apoio da CLM, uma empresa que tem nos apoiado frequentemente. Esta edição será distribuída em nossos encontros. A escolha do PCI como tema central também não poderia ser mais propícia. Por uma infeliz coincidência, no começo deste ano foi divulgado aquele que pode ser o maior roubo de cartões de crédito em toda a história, ocorrido na empresa Heartland, a sexta maior processadora de transações financeiras dos Estados Unidos. Esse incidente pode chegar a milhões de dados capturados através de sniffers instalados em servidores comprometidos. Porém, a Heartland era certificada PCI, o que motivou alguns questionamentos sobre a eficácia da certificação. A resposta pode ser aquela famosa frase de que nenhuma solução é 100% segura. O PCI é uma forma de garantir que um conjunto mínimo de controles e processos existem, mas ele, por si só, jamais conseguirá proteger contra todas as potenciais ameaças as quais uma organização está exposta. Esse é o dilema do profissional de SI: temos que nos proteger de todos os possíveis ataques existentes ou que venham a ser inventados, enquanto ao “hacker” basta encontrar uma única brecha. Sobre a ISSA ‣ Diretor de Eventos: Wagner Elias ‣ Diretor Financeiro, Parcerias e Relacionamento: Dimitri Abreu A ISSA® (Information Systems Security Association) é uma organização internacional sem fins lucrativos formada por ‣ Diretor Jurídico: Dr. Renato Opice Blum e Dr. Rony Vainzof profissionais de segurança da informação. Ela promove eventos (suplente) educacionais, publicações e a interação entre os profissionais, ‣ Diretor da Regional Sul: Eduardo V. de Camargo Neves proporcionando ganhos de conhecimento, troca de experiências e evolução na carreira de seus associados. O Capítulo São Paulo foi ‣ Secretario: Paulo Teixeira criado em 2003 e está atualmente em sua terceira gestão, eleita em 2008, com os seguintes Officers: Como se associar ‣ Presidente: Anchises Moraes G. de Paula A associação é sempre feita através do site da ISSA Internacional, onde está disponível o formulário de inscrição on-line. Para se ‣ Vice-Presidente: Willian Okuhara Caprino associar, vá no menu “Join ISSA” e escolha a opção “Join Now”. É ‣ Diretor de Comitês: Rodrigo Montoro importante lembrar que, no momento da inscrição, deve-se indicar que deseja fazer parte do capítulo local (“Chapter Brasil-SP”) para ‣ Diretor de Comunicação: Fernando Fonseca e Lucimara Desiderá usufruir dos benefícios oferecidos aqui no Brasil, além daqueles (suplente) oferecidos pela ISSA Internacional, que podem sempre ser ‣ Diretor de Educação e Conteúdo: Ronaldo C. de Vasconcellos verificados em nosso web site. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 3
  • 4. Antebellum 006 Nesta Edição Noticias do Mercado ...........................................................................................................................................................................Página 06 Para inglês ver? ....................................................................................................................................................................................Página 07 Vulnerabilidades em POS ................................................................................................................................................................. Página 09 Conformidade: por onde começar? ................................................................................................................................................... Página 12 Terceirização: Uma análise do ponto de vista de Segurança da Informação .................................................................................... Página 14 ISO/IEC 15.408 não é para desenvolvimento seguro ..................................................................................................................... Página 16 Microsoft Forefront Threat Management Gateway (TMG) ............................................................................................................. Página 19 Segurança da Informação em Tempos de Crise ............................................................................................................................... Página 22 Você está preparado para o CISSP? ................................................................................................................................................. Página 23 Segurança no Windows 7 ................................................................................................................................................................. Página 24 A Privacidade como Limitador do Monitoramento Digital ............................................................................................................. Página 26 Atividades da ISSA ........................................................................................................................................................................... Página 27 Off Line: o Lado Relax da Segurança ............................................................................................................................................. Página 29 Worst Cases ....................................................................................................................................................................................... Página 31 de caso para publicação. O material deverá ser inédito e o autor Antebellum assumir o compromisso de manter a publicação restrita a A Revista Eletrônica Bimestral da ISSA Brasil | Edição 006, janeiro Antebellum pelo período de 60 dias, após o qual poderá e fevereiro de 2009 disponibilizar para o público em geral. Os interessados deverão Expediente enviar o material para conteudo@issabrasil.org. ‣ Editor: Eduardo Vianna de Camargo Neves ‣ Revisão: Anchises Moraes Disclaimer As informações apresentadas nesta revista não foram submetidas a ‣ Jornalista Responsável um teste formal e não devem ser interpretados como soluções. As ‣ Cristina Turnes, MTb DF 4341/83, Contatos pelo site opiniões expressas não refletem a opinião da ISSA ou ISSA www.ctcom.com.br Capítulo Brasil. Os nomes de produtos e marcas registradas são de propriedade de seus respectivos donos. Todas as fotos são de arquivo Submissão de Material pessoal dos autores, quando não especificado em contrário. Convidamos a todos para contribuir com a comunidade de Segurança da Informação submetendo artigos, tutoriais ou estudos ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 4
  • 5. Carta do Editor questionamento de sua eficiência como controle estabelecido são apresentados para que cada um tire suas conclusões. A próxima edição está sendo preparada, e pretendemos abordar Por Eduardo Vianna de Camargo Neves um tópico que ganha mais e mais importância no cenário mundial: a segurança de aplicações. Além do próprio PCI Caros Leitores, Council ter o Payment Application Data Security Standard - O assunto PCI é um grande mistério para a maioria dos veja a matéria da Jennia Hizver questionando - existem profissionais da nossa área, não pode ser complicado, o que não organizações em todos os setores que trabalham para aplicar é, mas pelo fato de que é um padrão que tem sido aplicado com controles que reduzam as perdas decorrentes da exploração de sucesso nos mercados norte-americano e europeu há alguns vulnerabilidades tão presentes na mídia especializada como o anos, e na América Latina tem tentado entrar pelo menos desde Cross Site Scripting e o SQL Injection. 2007 sem sucesso. Apesar de algumas empresas estarem Tentaremos ainda trazer entrevistas com profissionais que alinhados aos seus controles - especialmente filiais de trabalham neste mercado, já maduro no exterior, há alguns anos, multinacionais - não tenho visto grande pressão explícita das e apresentar artigos técnicos e gerenciais na mesma proporção. operadoras de cartão para que a sua implementação seja Estamos esperando a sua contribuição para esta próxima maciça. Ainda assim, o assunto tem crescido aos poucos no Antebellum, mande seus artigos e trabalhos para nosso mercado, e há quem aposte que 2009 é o ano em que o revista@issabrasil.org e mostre a cara dos especialistas em PCI DSS e suas variantes irão aportar com força na rotina das segurança de aplicação do Brasil. empresas brasileiras. Por enquanto, aproveite mais essa edição feita especialmente Esta edição aborda alguns pontos de vista sobre o padrão, onde para vocês. Até a próxima e tenha uma boa leitura. matérias que vão do entendimento da sua aplicação ao ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 5
  • 6. Notícias do Mercado Por Equipe Podcast I Shot the Sheriff DNSSEC verifica mensagens DNS com assinaturas digitais. O que aconteceu Segundo o Registro.br, desde 15/01/2009 o serviço DNSSEC está disponível para todos os domínios abaixo do .br. Link em http:// Seu código é seguro? tinyurl.com/8zhgot A empresa norte-americana de processamento de cartões de crédito, iPhone Culpado? Heartland Payment Systems, sofreu uma brecha no ano passado, Homem culpa falha no iPhone por traição. Um tópico aberto no que pode ter sido o maior vazamento de dados deste mercado. A fórum da Apple relata um incidente inusitado. Uma mulher, que causa? De acordo com a matéria, um software malicioso dentro da suspeita estar sendo traída por seu marido, queria saber: uma falha rede de dados, que capturava os dados dos cliente e ... você pode poderia ter sido responsável pelo envio de uma foto pornográfica de imaginar o que acontecia. Link em http://tinyurl.com/8mnjb5 seu marido a outra mulher? No tópico aberto, Susan queria tirar a Vídeos do YSTS 2.0 dúvida e saber se seu marido estava falando a verdade. No Os vídeos das palestras apresentadas no evento YSTS 2.0 estão desespero, o homem afirmara inclusive ter visitado um técnico da agora disponíveis on line em http://tinyurl.com/9ly4pc. Apple Store para confirmar a existência da falha que, segundo ele, anexou a foto a um e-mail, endereçou a outra mulher e armazenou Ataque contra a NASA a mensagem na pasta de "itens enviados". Entre as respostas, a A NASA sempre foi uma espécie de alvo de aspirantes a hackers, maioria declarava o óbvio: Susan estava sendo traída. Alguns a mas dessa vez o ataque pode ser muito mais perigoso, uma vez que aconselharam a procurar um advogado, outros mais curiosos utilizou um malware para o roubo de informações específicas sobre buscavam saber mais sobre o caso. E alguns usuários tentavam o Ônibus Espacial, enviando para um computador em Taiwan. Link salvar a pele do acusado de traição, dizendo já terem visto a falha... em http://tinyurl.com/5h4re8. Link em http://tinyurl.com/6n2yvx Adeona Acha GHH Adeona é o primeiro sistema Open Source designado para ajudar a Para combater a busca de informações sobre os alvos durante antes localizar um notebook roubado mas que não depende de uma de ataques pela Internet, o Google lançou o Google Hack empresa ou serviço centralizado. Focado em privacidade, o sistema Honeypot. Veja como funciona em http://tinyurl.com/2ovmsq. promete que somente o dono do notebook (ou um agente por ele designado) pode saber do paradeiro do equipamento. Link em Os “Tweets” do mal? http://tinyurl.com/6jfgdd Primeiro foi o efeito Slashdot que derrubava web sites pequenos, que teve suas variações como o Efeito Digg e Efeito TechCrunch. A Mais sobre Open Id bola da vez é o passarinho azul? Veja em http://tinyurl.com/ OpenId é um padrão de autenticação já utilizado por mais de avdl9o. 27.000 sites web. Este site se propõe a explicar como este padrão funciona e por que utiliza-lo. Link em http://openidexplained.com How we hacked ShmooCon O título da chamada fala por si só. Veja como foi feito em http:// DNSSEC tinyurl.com/b9amn9. O DNS é o sistema que transforma endereços IPs em nomes, facilitando a interação entre computadores e seres humanos. Com O que a NSA acha do Skype? mais de 30 anos, o padrão tem se mostrado cada vez mais frágil e A notícia tem todos os ingredientes de teoria da conspiração, mas vulnerável a ataques, como os divulgados amplamente em 2008. O está em http://tinyurl.com/a9hn2n. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 6
  • 7. Para inglês ver Por Carlos Cabral Dentre as muitas expressões que sempre estão na boca do povo empresas que visito é a de que estas brasileiro, uma em especial possui uma relação estreita com a forma acreditam que possuem total pela qual nosso povo se relaciona com normas e regulamentações: soberania sobre a sua atuação no trata-se do famoso "para inglês ver". Esta expressão é usada desde a mercado. De que o ciclo que envolve época em que a Inglaterra, detentora de forte influência em nossa fornecedores, empresa e cliente possui política, pressionava o governo brasileiro no sentido da libertação total controle. dos escravos. Embora isto possa ser óbvio para a maioria dos leitores desta revista, Por sua vez, as autoridades brasileiras emitiam decretos que em tese alguns representantes de empresas brasileiras ainda não entendem atendiam à pressão inglesa, mas que, no entanto possuíam pouco que basta olhar de uma maneira mais geral para o mercado dos dias efeito prático. Na maioria das situações dava-se um "jeitinho" e tudo de hoje para entender que este é atualmente formado por diversas permanecia como estava. A situação dos escravos somente foi redes de dependência nas quais os "papéis" de fornecedores e resolvida por completo a partir do momento em que esta condição clientes se misturam e as vezes os primeiros chegam a ter influência política se tornou insustentável. De lá para cá, muito se legislou e nos rumos do segundo . Esta é uma das características presentes no ainda nos deparamos com indícios de que muitas regulamentações que Thomas Friedman chama "mundo plano". Quando passamos a sejam elas padrões, leis ou normas, são mesmo só "para inglês ver" e analisar o fluxo de informações que trafegam nestas redes de que o "jeitinho brasileiro" infelizmente é o que domina nossa vida dependência o cenário fica ainda mais complexo. Por isso hoje na prática. torna-se necessário a estas empresas não somente se concentrar nos limites de suas paredes, mas sim colocá-la no contexto de um Entretanto, também não é de hoje que alguns setores do mercado se sistema complexo de dependências. esforçam no sentido de definir e respeitar determinadas regras, reconhecendo que esta atitude deve ser inerente à competitividade. Outra pedra no caminho para a aderência ao PCI DSS é que o Desta forma, apesar de todas as dificuldades, muitas companhias padrão exige um nível de organização e padronização de processos brasileiras vem adequando seus ambientes a diversos padrões ou sobre os quais não existe qualquer dedicação em boa parte do normas com o objetivo de entrar (ou se manter) no jogo do mercado, principalmente quando olhamos para o varejo, um dos mercado. setores-alvo do padrão. Ter uma gestão dos assuntos de segurança da informação nestas empresas também é um aspecto ao qual O PCI DSS, padrão do qual muito se têm falado no mercado de geralmente é dedicado pouca ou nenhuma atenção. segurança e que é o assunto desta edição da Antebellum, encontra em sua aplicação nas empresas do Brasil um cenário complexo de Por último, e em minha opinião a dificuldade mais importante à desigualdade envolvendo empresas com tamanhos diversos e em aderência do PCI DSS no Brasil, é o elevado nível de informalidade lugares com os mais variados níveis de maturidade no que tange ao que contamina a vida corporativa. De acordo com o antropólogo uso de tecnologia e gestão de segurança da informação. De modo Roberto DaMatta a incidência do "jeitinho" pode ser encontrada geral, entendo que a sua implementação neste cenário possui a em diversos países do mundo, mas somente no Brasil este mesma proporção de dificuldades e oportunidades. comportamento se torna um valor, de maneira que aquele que resolve as coisas com "jeitinho" é o "malandro" e o que respeita as Dificuldades "regras do jogo" é o otário. Desta forma, quando olhamos para a As dificuldades residem basicamente na parte ruim daquilo que forma pela qual nossos políticos lidam com as questões do estado, formou o mercado brasileiro: o pensamento antiquado segundo o estas se tornam somente um reflexo da maneira que vivemos em qual uma empresa é soberana em sua atuação no mercado; A baixa sociedade. No que se refere à aderência a normas e padrões, dedicação nos assuntos que envolvem organização, padronização de sobretudo ao PCI DSS, não é possível ter vários pesos e várias processos e gestão dos assuntos de segurança; A vida corporativa medidas: é preciso estar de acordo com os controles e aqui o baseada em acordos e maneiras informais de conduzir o trabalho. "jeitinho brasileiro" não pode ser aplicável. Tenho conhecido muitas empresas em minha jornada com o Oportunidades objetivo de fomentar a conformidade ao PCI DSS no Brasil e um Mas nem tudo está perdido. A aderência ao PCI DSS não é a pensamento com o qual muitas vezes tenho me deparado nas solução para todos os males, mas pode ajudar as empresas a ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 7
  • 8. curarem feridas abertas há muito tempo. O padrão compreende a através do uso dos mecanismos legais da democracia. No entanto, visão na qual os dados de portador de cartão podem ser trafegados, quando falamos de padrões de mercado, estes geralmente "pegam" processados ou armazenados em uma estrutura complexa que quando alcançam um forte apelo ao ganho financeiro no qual sua contemple as redes de dependência presentes no mercado atual. Por aderência resultará, ou por conta das sanções a serem impostas no contemplar este tipo de estrutura, a adequação ao padrão obriga caso da não aderência. todos os atores da cadeia a estarem em conformidade, o que eleva o Acredito que o PCI DSS é um padrão que "pega" porque tenho nível de segurança do mercado como um todo. visto diversos esforços no mercado na busca da aderência. Estes Atualmente nosso país vive uma situação econômica inédita na qual, esforços têm vindo de empresas que já possuem uma cultura na qual embora o mundo esteja em crise, o crescimento possui números a disciplina de conformidade faz parte da realidade. Elas estão nunca vistos antes. Para mantermos o ritmo é necessário que as empurrando os seus fornecedores também à conformidade e penso empresas se organizem e sabemos que quanto mais uma empresa se que em breve esta onda chegará até as companhias menores. organiza, mais ela reduz os seus custos e dinamiza sua atividade, o Entendo também que o PCI DSS não pode ser um padrão "para que proporciona aos seus executivos um horizonte mais favorável a inglês ver" por que seu ciclo de vida não se manifesta somente em boas decisões. Se o motivador desta organização for um padrão de uma relação na qual um órgão cria as regras, outro adequa o segurança reconhecido internacionalmente, todo o ciclo envolvendo ambiente e outro audita. redução de custos, dinamismo e proteção dos ativos se fecha, de Existe outro ator na figura do adquirente que faz a gestão dos maneira a colocar a empresa em pé de igualdade na competição resultados e motiva todas as entidades envolvidas (estabelecimentos, internacional. Em outras palavras, a aderência ao PCI DSS pode ser data centers, fornecedores de soluções de pagamento, etc.) a estarem um dos fatores de modernização de uma companhia, não deixando de acordo com o padrão e a manter o bom nível das análises. Os nada a dever à concorrência internacional em um cenário tão Relatórios de Conformidade ou ROCs tendem a assumir cada vez conturbado, mas com tantas oportunidades ao mercado brasileiro mais o papel de uma certidão de que uma entidade trata os dados quanto o atual. de portador de cartão de acordo com padrões internacionalmente Existem aqueles que dizem que o "jeitinho" e este elevado nível de reconhecidos. informalidade presentes em nossa sociedade são os pais da Somente sinto falta de uma divulgação do padrão ao cidadão criatividade internacionalmente reconhecida do brasileiro. Esta comum, portador de cartão e maior interessado no tratamento de afirmação pode até ser verdadeira e a criatividade do brasileiro é, suas informações com segurança, mas penso que isto será uma em minha o opinião, não só o que torna nossa cultura uma das mais conseqüência óbvia na medida em que as empresas forem se ricas do mundo, mas o que nos torna mais adaptáveis às mais certificando. diversas situações. Referências Bibliográficas No entanto, quando olhamos para a gestão de segurança nas ‣ FRIEDMAN, Thomas L.. O Mundo é Plano: Uma Breve empresas, sabemos que o número de vulnerabilidades é diretamente História do Século XXI. 2. ed. Rio de Janeiro: Objetiva, 2005. proporcional ao da adoção de exceções aos processos oficiais. Diante das potencialidades da tecnologia disponível hoje e da concorrência ‣ DAMATTA, Roberto. Carnavais, Malandros e Heróis: Para uma que vivemos no mercado, a rigidez nos processos pode ser o que Sociologia do Dilema Brasileiro. Rio de Janeiro: Rocco, 1981. determina a vida ou morte de uma empresa. Não pode ser algo Sobre o Autor suscetível a informalidade. Carlos Cabral, MCSO, possui treze anos de experiência na área de O que "pega" tecnologia sendo que há sete se dedica à área de Segurança da Informação. Assim como o "para inglês ver" é uma exclusividade do povo Atualmente coordena o Programa PCI para Estabelecimentos Comerciais da brasileiro dizer que tem "lei que pega e lei que não pega". Em tese, Redecard que tem o objetivo de motivar os estabelecimentos credenciados na busca lei não foi feita para "pegar" e sim para ser cumprida ou refutada pela conformidade ao PCI DSS. Também é sociólogo formado pela Escola de Sociologia e Política de São Paulo. Em 2009 as ferramentas e guias recomendados pelo PCI DSS estarão ao alcance do público brasileiro para discussão, contribuição e evolução. Aguarde, em breve o OWASP Application Security CPLP. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 8
  • 9. Vulnerabilidades em POS Por Jennia Hizver As aplicações embarcadas em equipamentos utilizados nos Pontos caso, qualquer pessoa com de Venda (Point of Sale, POS) processam e armazenam dados de acesso ao arquivo de script cartões, sendo componentes críticos nas redes de autorização de poderia ler o código fonte, fazer pagamentos. Ao reconhecer que as aplicações em POS são alvos as alterações e obter as altamente prováveis para hackers maliciosos, o Payment Card informações do portador do Industry Security Standards Council (PCI Council) introduziu os cartão. processos de certificação conhecidos como Payment Application Este exemplo mostra claramente como a aderência ao PA-DSS pode Data Security Standard (PA-DSS). ser atendida, e ainda assim a aplicação ficar vulnerável quando a O processo de certificação requer um nível mínimo de segurança em lógica utilizada no desenvolvimento permite que dados críticos todas as aplicações de POS, garantindo que as especificações fiquem armazenados em um script. Utilizar linguagens de definidas no padrão estejam aplicadas e funcionando como programação baseadas em script é geralmente uma péssima escolha deveriam para então serem caracterizadas como “testing for no desenvolvimento de aplicações relacionadas ao processamento de positives”. Entretanto esta abordagem não garante a resiliência de informações de cartão de crédito, uma vez que elas não requerem uma determinada aplicação quando atacada. Para ilustrar essa compilação prévia para serem processadas, e ainda mantêm o premissa, duas aplicações validadas como aderentes ao PA-DSS código fonte armazenado como “clear text”. (referenciadas neste artigo como Aplicação A e Aplicação B) foram Linguagens compiladas (como C/C++) são muito mais eficazes em randomicamente selecionadas de uma lista disponível no web site do evitar ataques de “code tampering” e deveriam ser uma escolha PCI Council. natural para este tipo de aplicação. Basear a escolha da linguagem A análise dessas aplicações demonstrou que vulnerabilidades críticas no conforto e conhecimento específico do time de desenvolvimento existem ainda que todos os requisitos do PA-DSS tenham sido mostra um processo de risk management bastante imaturo. Escolher atendidos. As vulnerabilidades incluem falhas na proteção contra a linguagem adequada para a finalidade de uma aplicação deve ser ataques reais que podem ser feitos com baixo ou nenhum um aspecto de segurança pensando nos primeiros momentos do investimento, ou seja, o que realmente acontece quando um processo de desenvolvimento. componente é exposto em um ambiente potencialmente hostil. Análise da Aplicação B Análise da Aplicação A Uma técnica comum para se entender como uma aplicação não Um ataque de “code tampering”, que causa uma alteração no documentada funciona é a engenharia reversa. Linguagens funcionamento original da aplicação, foi empregado contra a compiladas oferecem muito mais segurança contra ataques de “code Aplicação A. Este tipo de ataque foi possível porque o fabricante se tampering” como explicado no exemplo anterior, porém, ainda equivicou ao avaliar o impacto que poderia acontecer à partir da assim são vulneráveis à ataques que usem engenharia reversa. escolha da linguagem de código utilizada na segurança do seu A engenharia reversa é definida como um processo para identificar a produto. lógica de uma aplicação sem acesso e uso do código fonte. A A análise inicial da Aplicação A determinou que ela foi disponibilidade de diversas ferramentas de suporte para esta prática, implementada como uma Aplicação HTML (HTA). Aplicações somada a grande quantidade de cursos que ensinam as técnicas HTA são escritas utilizando códigos de HTML estático e DHTML relacionadas, tornaram-na um método comum para ataques. Um dinâmico e são armazenadas como “clear text scripts”. Para ficar hacker utilizando engenharia reversa pode ver as instruções de uma aderente aos requerimentos do PA-DSS, a Aplicação A foi aplicação durante a sua execução, e aprender como o desenhada para prevenir a exibição e armazenamento de dados do funcionamento ocorre e o relacionamento com os demais portador do cartão por “data masking”, onde vários caracteres componentes. Para impedir este tipo de ataque, técnicas de originais são substituídos por textos como “*”. “obfuscation” foram desenvolvidas. Entretanto, um atacante com acesso ao código fonte poderia “Obfuscation” é um processo que modifica os binários e dificulta a facilmente modificar o texto para forçar a Aplicação A a armazenar análise e extração do código fonte sem prejudicar o funcionamento e e exibir o texto claro, sem a aplicação de “data masking”. Neste desempenho da aplicação. Apesar dessa medida preventiva ser ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 9
  • 10. adotada em vários setores como uma prevenção contra a engenharia ‣ Failure Mode inseguro: Ao se deparar com uma falha que não reversa, os fabricantes de aplicações para POS não a utilizam em tenha sido endereçada na arquitetura da aplicação, o POS pode seus produtos. Para ilustrar a importância deste problema, o falhar e expor dados sensíveis, como os do portador do cartão. algoritmo de criptografia utilizado na Aplicação B foi alvo de ‣ Exposição de dados em memória: Atacantes com acesso físico engenharia reversa depois de determinarmos que a aplicação não direto ao POS podem ler dados sensíveis que ficam armazenados usava “code obfuscation”, o que tornou o processo de cripto análise na memória dos equipamentos. muito mais rápido. Conclusão A análise revelou que a aplicação utilizou um algoritmo proprietário Um processo de “penetration testing” pode identificar e minimizar a de criptografia para mascarar os dados do portador do cartão com probabilidade de exploração de várias vulnerabilidades existentes uma cifra extremamente simples de ser quebrada. Este algoritmo em POS e suas aplicações, possibilitando a implementação de ofereceu pouca proteção contra ataques de criptografia, permitindo recomendações de melhoria e a consequente redução do nível de que um atacante comprometesse os dados armazenados e tivesse risco. Isso já é um requisito para as aplicações web que tenham a acesso às informações do cartão de crédito. A aplicação falhou certificação PA-DSS, uma vez que hackers maliciosos usam porque a arquitetura utilizada para o seu desenho não considerou exatamente a mesma abordagem. Entretanto, não existem medidas de proteção no código binário, além de usar bases para a requerimentos definidos para as aplicações instaladas em terminais criptografia inadequadas. Nada disso foi detectado durante o utilizados nos POS. processo de certificação ao PA-DSS. Entretanto, não existe tal requerimento para aplicações de POS No mínimo, rotinas de missão crítica, tais como os algoritmos de instaladas em computadores (que trabalham como terminais POS), criptografia, poderiam ter sido protegidos em uma camada de embora eles sejam igualmente vulneráveis. Assim, penetration mecanismos contra engenharia reversa para reduzir essas testing devem fazer parte de toda auditoria PA-DSS para descobrir vulnerabilidades. Especialistas em penetration test podem as vulnerabilidades na segurança do software. Isto é extremamente determinar quando essas medidas deve ser implementadas em uma útil para fornecer um bom entendimento sobre como o software aplicação de POS. É uma questão de definir o modelo de segurança opera sob ameaça, como mostrado na análise das aplicações A e B. adequado. O exercício descrito neste artigo demonstra que a compliance com o As Falhas mais Associadas com POS PA-DSS pode potencialmente fornecer uma falsa sensação de Além do “code tampering” e engenharia reversa, existem outras segurança, o que traz questionamentos sobre as limitações do vulnerabilidades comuns que podem ser identificadas na maioria das processo de validação do PA-DSS. Para verificar o verdadeiro status aplicações utilizadas em POS. de segurança de uma aplicação, o artigo propõe que todaas as ‣ Tratamento inadequado de dados sensíveis: Senhas e chaves de aplicações de POS devem ser analisadas por penetration test criptografia são rotineiramente incluídas (embedded) no código durante o processo de validação. Esta análise profissional de como “hard-coded text strings” e podem ser extraídas à partir de segurança irá percorrer um longo caminho para garantir que as ataques contra a rede de dados. aplicações validadas são resistentes a ataques no ambiente do mundo real. ‣ Criptografia mal aplicada ou inexistente: A inexistência de criptografia nos dados transmitidos dentro de redes de dados Sobre a Autora internas pode ser explorada por um atacante. Outro ponto é a Jennia Hizver, CISSP, CCSP, é gerente no Technical Security Services Group captura de dados sensíveis quando transmitidos desta forma, o da VeriSign. É graduada em Matemática Aplicada, Mestre em Ciência da que pode ser feito com uma série de ferramentas de “sniffing” Computação e doutoranda em Segurança da Informação. Está envolvida com preparadas especificamente para coletar e enviar dados de um segurança por vários anos, nos setores financeiro, farmacêutico e de POS para outra localidade. telecomunicações. Seus focos são segurança de software, penetration testing e design de redes seguras. Pode ser contatada em jhizver@verisign.com. Anuncie para um público diferenciado e com poder de decisão. Escreva para revista@issabrasil.org e descubra como é simples e eficiente colocar o seu produto em nossas páginas. Antebellum, a um ano a revista eletrônica bimestral da ISSA Brasil. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 10
  • 11. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 11
  • 12. Conformidade: por onde começar? Por Fábio Juliano Dapper O padrão de segurança de dados da indústria de cartões de padrão não esteja tão perto do que você pagamento chegou e já causa algumas dores de cabeça para as imaginava. Crie um plano de ação para empresas que por exigência de negócio precisam estar em atender as recomendações de forma que conformidade com ele. Para as empresas deste segmento que até fique claro para cada área envolvida o seu papel neste processo, então não seguiam as boas práticas de segurança da informação, esclareça as dúvidas sobre interpretações divergentes dos requisitos e muitas vezes desconhecem por completo as normas da família ISO padronize a documentação utilizada para consulta. 27000, a caminhada para ficar em conformidade poderá ser longa e Algumas traduções na documentação oficial do PCI Council deixam trabalhosa. um pouco a desejar tanto que na versão 1.2 do padrão, PIN Block Se a empresa não sabe por onde começar ou não possui equipe foi traduzido como Bloqueio de PIN. Avalie se sua infra-estrutura interna com conhecimentos suficientes do padrão, é recomendável a consegue atender os requisitos mais complexos como a seção 3 que contratação de uma consultoria especializada. No Brasil, algumas trata da proteção dos dados do portador de cartão e procure se empresas já estão certificadas pelo Council para prestar este serviço, informar melhor sobre controles compensatórios, talvez você apesar de não ser uma exigência. Esta empresa irá fazer uma análise consiga utilizá-los em algumas situações. Apenas tome cuidado para do seu ambiente e verificar qual o GAP para os requisitos do PCI os itens em que nem os controles compensatórios poderão te ajudar, DSS. O custo para a execução desta atividade vai depender de como a proibição do armazenamento de dados de autenticação alguns fatores como o tamanho do ambiente onde os dados do confidenciais após autorização. portador de cartão estão sendo processados, armazenados ou A necessidade de investimento em novas tecnologias pode ser algo transmitidos. Entenda por tamanho do ambiente, o número de que não estava previsto no seu orçamento, mas que poderá se tornar sistemas envolvido em todo o fluxo de transação de cartão e não à medida que você comece a atender as exigências. O padrão se fique surpreso se durante a análise de GAP, outros sistemas sejam manteve neutro em relação a fornecedores e soluções, então cabe a incluídos no escopo da atividade, afinal documentar processos não é empresa avaliar o que melhor atende as suas necessidades e ao seu o ponto forte de muitas empresas. bolso. Pesquise as soluções disponíveis no mercado e pondere bem Outro fator importante além do investimento na contratação da sobre a necessidade de se investir na compra de software consultoria é o envolvimento necessário das áreas de negócio que proprietário ou na utilização de softwares open source. Avalie bem conhecem o ambiente analisado, pois não há consultor que consiga as alternativas e não se precipite em sair gastando todo aquele fazer milagres se não houver a participação de quem realmente budget aprovado a muito custo com o seu diretor. conhece o negócio, seja através do fornecimento de documentações, Apesar de o padrão focar bastante em aspectos muito técnicos como disponibilidade de tempo para a realização de entrevistas e o apoio segmentação da rede, criação de DMZ, controle de acesso físico, de quem está pagando a conta. criptografia e rede sem fio, alguns necessitam bastante atenção como Além do mais, o processo de análise de GAP deve ser conduzido na revisão de processos e documentações. O requisito 12 trata sempre no sentido de informar às pessoas que esta atividade é uma especificamente sobre a manutenção de uma política de segurança possibilidade de melhoria das suas atividades e dos controles da da informação que atenda a todos os requisitos exigidos e também empresa, não leve adiante a idéia de que isso é uma auditoria, afinal sobre a necessidade de gerenciamento de risco e incidentes. este é o pior momento para esconder a sujeira para debaixo do A revisão da política de segurança deve ser um trabalho realizado tapete. Acredite, muita gente tem receio de enfrentar uma auditoria com bastante atenção para que se reflita o que realmente está sendo e pode acabar omitindo alguma informação importante. Procure exigido, pois agora o ponto crítico a ser observado é o ambiente dos acalmar as pessoas! dados do portador de cartão. A ISO 27002 continua sendo uma O resultado final de todo este trabalho deverá ser uma ótima referência com recomendações, mas lembre-se de que quando documentação com observações e recomendações para todo o falamos em PCI DSS, o que antes era recomendação, agora passa a ambiente analisado e que servirá de ponto principal para a criação ser exigência. A política de Segurança da Informação deverá atingir de um plano de ação. Convoque uma reunião com as partes tanto funcionários como prestadores de serviço. interessadas e apresente os resultados, esclareça as dúvidas e À medida que sua equipe interna comece a se habituar a tudo que prepare-se para trabalhar bastante se o índice de aderência ao está envolvido na adequação das exigências do PCI DSS, é possível ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 12
  • 13. que algumas atividades possam ser executadas sem o apoio de com o que é exigido. Então se organize, faça um bom planejamento consultores. Uma boa fonte para ajudar nas atividades é o e mãos à obra. questionário de auto-avaliação disponível no site do PCI Council. Sobre o Autor Para finalizar, lembre-se de que mesmo que ainda não existam datas Fábio Juliano Dapper é graduando no curso Superior em Segurança da confirmadas pelas bandeiras de cartões sobre o prazo para a Informação pela Unisinos, possui 10 anos de experiência em Tecnologia da adequação ao PCI DSS, é sempre recomendável não deixar tudo Informação, destes, 4 em Segurança da Informação. Se especializou através de para depois. Aplicar controles talvez não seja seu maior problema, algumas certificações como LPIC-2 e Cisco CCNA. É Analista de Segurança da mas pense em como você os manterá ao longo do tempo de acordo Informação na empresa GetNet Tecnologia trabalhando com gestão de risco e projetos envolvendo o PCI DSS. Ele pode ser contatado em fjdapper@gmail.com. Conviso Application Hardening A sua tranqüilidade através da garantia de manutenção de um nível de risco aceitável para as suas aplicações corporativas. A segurança de aplicações é um campo relativamente novo no Brasil, mas que deveria ser considerado estratégico pelas empresas frente ao novo comportamento dos crackers que buscam explorar vulnerabilidades conhecidas nesta camada para cometer crimes contra as empresas e cidadãos. Através do entendimento das suas necessidades de negócio e a forma como suas aplicações são desenvolvidas e administradas, podemos elaborar soluções adequadas especificamente para a sua empresa com o Conviso Application Hardening. Combinamos ferramentas de análise com mais de 10 anos de experiência em segurança e desenvolvimento para prestar serviços de alta qualidade e entregar recomendações de melhoria que funcionam e estão em uma linguagem que você entende. Opções de Abordagem do Conviso Application Hardening ๏ Planejamento de Segurança para Aplicações, atuando diretamente no Secure Development Life Cycle. ๏ Revisão de Código para busca de vulnerabilidades através de code coverage e fuzzy. Conviso IT Security ๏ Auditoria de Aplicações através de pen-test específico para o Rua Conselheiro Laurindo 600 Sala 1513 cenário onde os seus negócios são desenvolvidos. 80060-903, Curitiba, PR T. (41) 3075.3080 F. (41) 3075.3001 www.conviso.com.br http://www.convisosec.com/app_hardening ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 13
  • 14. Terceirização Uma análise do ponto de vista de Segurança da Informação Por Kenia Carvalho As empresas estão cada vez mais considerando a terceirização e hoje, é possível mensurar seu valor e nos processos de Tecnologia da Informação e tecnologias em principalmente, protegê-la, assim como geral.  Muitas dessas organizações têm um alto grau de os ambientes e os equipamentos expectativa em relação ao serviço prestado e aos benefícios desta utilizados para o seu processamento. A parceria, porém não há uma preocupação quanto à qualidade e à Segurança da Informação é um termo segurança das informações manipuladas pelas empresas terceiras. que se refere essencialmente à proteção A evolução na área de Tecnologia da Informação também tem dos ativos de uma empresa ou pessoas. contribuído para o crescimento da terceirização. A confidencialidade é garantir que as informações sejam acessadas somente por indivíduos autorizados pelo proprietário Muitos produtos e serviços se tornaram homogêneos e de amplo da informação; a integridade é garantir que as informações não consumo, permitindo assim, dentre outros proventos, a sejam alteradas sem autorização de seu proprietário e a possibilidade de redução de custos, melhoria da tecnologia e da disponibilidade, é garantir que as informações estejam qualidade de serviços através de fornecedores externos. Neste disponíveis quando seu proprietário ou usuário necessitar. Estes sentido, a terceirização contribui para redução no custo dos são os principais atributos que orientam a análise, o recursos humanos e operacionais, e pode propiciar maior planejamento e a implementação da segurança para as flexibilidade na adequação desses recursos às metas estratégicas informações. das empresas. A Gestão da Terceirização Terceirização no Segmento Financeiro Os profissionais da área de Segurança da Informação, Ao analisarmos o segmento financeiro, observamos que este, conhecidos como Information Security Officers ou Chefe de devido às fortes pressões regulatórias, acaba por possuir Segurança da Informação, têm como maior desafio gerenciar preocupação diferenciada sobre o tema Segurança da riscos, antecipar as dificuldades e prever o máximo de variáveis Informação. Nesse contexto, a Resolução 3.380 do Banco que possam ameaçar a continuidade dos negócios. Essas Central do Brasil, publicada em 29 de junho de 2006, e outras atribuições se intensificam quando falamos da adoção de normas do mercado financeiro, pois as Instituições Financeiras terceirização em assuntos relativos à segurança. são precursoras das melhores práticas de segurança da informação, são referência para outros segmentos corporativos. Quando se fala em Segurança da Informação e Terceirização é essencial que haja bom senso e, portanto, seja considerado o Hoje no Brasil as Instituições Financeiras devem atender esta porte da empresa prestadora de serviço e o nível de risco dos Resolução que prevê a implantação de área de Gerenciamento processos transferidos ao Terceiro. de Risco Operacional e que determina que os serviços terceirizados relevantes para o funcionamento da instituição A classificação da informação e a análise de risco são a base para também devem ser monitorados, bem como os demais processos implementação de controles adequados em qualquer processo de da organização. Serviços terceirizados relevantes vão desde a tecnologia. É importante mencionar que muitas empresas compensação de cheques, processamento do SPB (Sistema prestadoras de serviços não consideram os requisitos legais e Brasileiro de Pagamento), Centro de Processamento de Dados regulatórios do seu segmento e principalmente aqueles relativos (Data Centers), redes de caixas eletrônicos, processadoras de aos seus clientes. Tanto para o contratante e contratado, é cartões de débito e crédito até o desenvolvimento de softwares e importante: utilização de aplicativos comercializados por terceiros. ‣ Definir de forma clara o escopo de serviço que será prestado Com a implementação de tais Normas e Regulamentações, o ou contratado; mercado de Tecnologia da Informação deve iniciar um trabalho ‣ Definir o grau de criticidade das informações que envolvem o de gestão da terceirização, para tornar-se mais competitivo e serviço prestado ou contratado; atender às exigências de seus clientes, especialmente se estes ‣ Mensurar o risco (baixo/médio/alto) o qual a empresa poderá forem instituições financeiras. A Tecnologia da Informação é a ser exposta, considerando recursos necessários para execução sustentação dos negócios das empresas - sejam privadas ou públicas – o maior bem que uma empresa possui é a informação, ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 14
  • 15. do serviço contratado, tais como: pessoas, processos, implementação de controles de segurança da informação hardwares, softwares, dados e materiais. alinhados aos padrões e requisitos da empresa. ‣ Definir e executar, quando necessário, ações emergenciais, O provedor deve demonstrar, através de evidências, a sua visando proteger os dados ao qual a empresa se comprometeu capacidade de atender aos requisitos de desempenho a proteger ou é obrigada por Lei a proteger. especificados pelo cliente, e este deve realizar monitoramento Diante da responsabilidade pela segurança de suas informações periódico das atividades do provedor de serviços, para verificar e, principalmente pelas informações de seus clientes, ambas as se os controles implementados operam adequadamente e empresas devem criar uma área de controles internos ou cumprem seus objetivos. É importante considerar o escopo do contratar uma empresa externa especializada em Segurança da serviço que será prestado e elaborar formalmente itens de Informação, para avaliar os controles internos de seus Acordo de Nível de Serviços (SLA) que contemplem a fornecedores, gerenciando os riscos que esta atividade disponibilização de métricas que atendam com eficácia as proporciona. Em todo processo de gestão de segurança da medidas de segurança da informação e cláusulas de melhoria informação, alguns aspectos devem ser considerados: todos os continua. A elaboração de um contrato para este tipo de processos devem ser documentados; ter o apoio da alta prestação de serviços deve ser realizada pela área jurídica e administração; ser um processo dinâmico, contínuo e auditado, e envolver a área comercial e de negócios das empresas ter uma análise de riscos consistente. participantes. A terceirização dos serviços de tecnologia trouxe diversos O que está sendo feito benefícios, porém como em todo negócio, este vêm Hoje no mercado algumas instituições financeiras já executam acompanhado de riscos. Todos os riscos que este tipo de avaliação de segurança da informação em seus provedores de parceria traz podem ser identificados, tratados e monitorados serviços, fazendo a gestão de riscos ao negócio e obtendo um pela empresa contratante. Este procedimento proporciona nível razoável de conforto sobre a integ ridade, maturidade nos negócios e contribui para o sucesso dos confidencialidade e disponibilidade dos dados acessados, objetivos das empresas. A implementação da prática de armazenados, manipulados e processados externamente. Segurança da Informação no âmbito de uma organização Considerando o cenário atual, a competição existente na compreende uma seqüência de ações importantes e economia globalizada leva as empresas a reduzir custos e indispensáveis e estas devem ser estendidas aos prestadores de aprimorar a eficiência dos serviços; uma das ações que serviços. contribuiu e ainda contribui para este objetivo é a terceirização de serviços de tecnologia. O sucesso está diretamente relacionado com a postura dos executivos e funcionários da contratante e da contratada. Os prestadores de serviços apresentam a terceirização como Ambas as empresas devem realizar o gerenciamento, uma parceria em que todos os lados ganham, embora este manutenção e atualização constante das práticas de Segurança objetivo seja positivo e atingível, só é possível através de um da Informação. Em função da crise global vem acontecendo processo de contínua gestão de relacionamento, que considere e uma redução dos orçamentos e investimentos na área de TI e supere as divergências existentes. Afinal, cliente e provedor de Segurança da Informação, e as empresas estão adotando serviços são duas entidades distintas, cada uma com diferentes posturas conservadoras em relação aos custos. Por isso mesmo é visões e objetivos estratégicos. importante considerar que a segurança da informação deve ser Algumas empresas selecionam prestadores de serviços e consistentemente analisada durante o processo de terceirização negociam contratos sem ter uma clara compreensão de seus de serviços, pois somente assim haverá condições de se avaliar objetivos de negócios e da importância da qualidade de serviços os ganhos reais, qualitativos e quantitativos, decorrentes deste de tecnologia. O resultado provável será a frustração, tanto em negócio. relação ao atendimento dos requisitos estratégicos, quanto em relação à eficiência operacional e a redução de custos. Sobre a Autora Kenia Carvalho é especialista em Segurança da Informação, pós-graduada Mais que um simples contrato pelo ITA, e possui 14 anos de experiência em TI com 3 em Segurança da Por este motivo, o processo de terceirização de serviços de Informação. Atualmente trabalha na Área de Segurança da Informação de uma tecnologia requer que a empresa contratante tenha definido instituição financeira internacional, responsável pela gestão de avaliações de claramente os procedimentos adequados de seleção e de segurança da informação em fornecedores de serviços, tendo mais de 50 empresas contratação de fornecedores. É preciso considerar nos contratos avaliadas em seu currículo. Pode ser contatada através do e-mail: o comprometimento dos fornecedores com a qualidade e com a cristina_kenia@yahoo.com.br. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 15
  • 16. ISO/IEC 15.408 Não é para desenvolvimento seguro Por Wagner Elias Começar um artigo com um título negando uma afirmação conjunto de práticas que garantem amplamente divulgada é praticamente um convite a discussões que o princípio de S³+C será intermináveis entre os que defendem uma abordagem ou outra, o garantido durante o processo de que nós conhecemos como flamewar. Mas fique tranquilo, meu desenvolvimento de software. Mas o interesse é simplesmente esclarecer um equívoco que vem sendo que é o S³+C? S³+C é (Segurança repetido amplamente por anos. E quando falamos em PCI-DSS um no projeto, Segurança por padrão, assunto recorrente é a segurança em desenvolvimento de software, Segurança na Implementação + Comunicação). Veja o que a momento extremamente oportuno para esclarecer e acabar com este Microsoft descreve sobre esta classificação: equívoco. ‣ Segurança no projeto: o software deve ser esboçado, projetado e A ISO/IEC 15.408 (Commom Criteria), é um conjunto de critérios implementado de modo a proteger a si mesmo e às informações para avaliação de segurança de um software. Esta avaliação é feita que ele processa, bem como resistir a ataques. através de perfis de proteção e níveis de garantia de avaliação. Com ‣ Segurança por padrão: no mundo real, nenhum software pode ser base nestes critérios, laboratórios credenciados e capacitados irão perfeitamente seguro, portanto os projetistas devem prever a avaliar produtos e determinar que nível de garantia de segurança o presença de falhas na segurança. Para diminuir os danos causados produto será acreditado. quando invasores detectam essas falhas remanescentes, o estado Então como se pode afirmar que a ISO/IEC 15.408 não é para padrão do software deve promover a segurança. Por exemplo, o desenvolvimento seguro? Simples, ela não fornece nenhum tipo de software deve operar com o mínimo necessário de privilégios, e processo, sistema de gestão e/ou guia para implementação de todos os serviços e recursos que não sejam amplamente qualquer controle para garantir a segurança de uma aplicação, necessários devem vir desativados por padrão ou ser acessíveis apenas critérios para avaliar qualquer sistema, produto de somente a um pequeno grupo de usuários. segurança. ‣ Segurança na implantação: O software deve vir acompanhado de ferramentas e guias para ajudar os usuários finais e/ou Quem procura boas práticas para desenvolvimento seguro deve se administradores a usá-lo com segurança. Além disso, as orientar por práticas como o SDL (Security Development Lifecycle) atualizações devem ser fáceis de serem implantadas. da Microsfot ou o CLASP (Comprehensive, Lightweight Application Security Process) da OWASP (Open Web Application Security ‣ Comunicação: os desenvolvedores de software devem estar Project). Estas práticas irão lhe fornecer diversos recursos que irão preparados para a descoberta de falhas na segurança do produto e possibilitar que você implemente um processo que irá aumentar a devem se comunicar de forma aberta e responsável com os qualidade e segurança das suas aplicações. usuários finais e/ou administradores para ajudá-los a tomar medidas preventivas (tais como a instalação de patches ou o uso de SDL (Security Development Lifecycle) medidas paliativas). O SDL é o grande responsável por um aumento considerável na segurança das aplicações desenvolvidas pela Microsoft. O SDL é um Figura 1: Estrutura do SDL proposta pela Microsoft ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 16
  • 17. CLASP (Comprehensive, Lightweight Application ‣ CLASP Best Practices: Apresenta um conjunto de sete melhores Security Process) práticas para o desenvolvimento seguro, que vão das análises de O CLASP tem como propósito ser uma metodologia leve de fácil segurança até a definição e administração de métricas. integração com um modelo tradicional de desenvolvimento de ‣ 24 Atividades CLASP que podem ser direcionadas para o modelo software. Ela fornece recursos e está organizada pelos seguintes de segurança desejado, atendendo não só as boas práticas mas componentes: abordagens para SOX e COBIT. ‣ CLASP Views: Apresenta cinco perspectivas de alto nível que são ‣ CLASP Resources (incluindo CLASP “Keywords”), que crescem a detalhadas em atividades que podem ser aplicadas dentro do cada nova edição do projeto. processo de desenvolvimento: Concepts View, Role-Based View, ‣ CLASP Taxonomy, que é integrada aos demais projetos do Activity-Assessment View, Activity-Implementation View e OWASP e adotada por empresas e organizações do mercado. Vulnerability View. A base para implementação da CLASP são suas visões, as visões se interagem e são suportadas pelos outros componentes. Este processo atende a todas as necessidades de um processo de segurança em desenvolvimento de software e atende as diversas demandas associadas a segurança no desenvolvimento de software. Conclusão Com esta rápida abordagem sobre as duas principais referências em implementação de processos de segurança em desenvolvimento, podemos observar que a ISO/IEC 15.408 pode ser um objetivo a ser alcançado, critérios a serem atendidos, mas nunca irá lhe orientar, fornecer recursos que, servirão de base para a implementação do mesmo. A segurança adequada de uma aplicação varia de acordo com o Figura 2: Estrutura do CLASP comportamento, posicionamento e dinâmica de diversos componentes e relacionamentos que vão muito além do que está escrito em uma norma. Atingir este resultado requer uma metodologia dinâmica, alinhada ao que vem ocorrendo no mercado e que seja capaz de estabelecer melhorias na mesma velocidade que as vulnerabilidades são descobertas. Este é o papel de opções como o Microsoft SDL e o CLASP, use-as e fique seguro. Referências ‣ http://www.commoncriteriaportal.org/ ‣ http://msdn.microsoft.com/en-us/library/ms995349.aspx ‣h t t p : / / w w w. o w a s p. o r g / i n d e x . p h p / Category:OWASP_CLASP_Project Sobre o Autor Wagner Elias, CBCP, SANS GIAC GHTQ , CobiT Foundation, ITIL Foundation, Atua na área de Tecnologia da Informação há mais de 10 anos, tendo acumulado larga experiência em projetos de Segurança da Informação no Brasil e exterior. É co-fundador e sócio da Conviso IT Security, onde atua como Gerente de Pesquisa e Desenvolvimento, responsável pela elaboração de metodologias, gerenciamento de pesquisas em vulnerabilidades e soluções de proteção de informações e gerenciamento das equipes de consultores. Foi responsável pela fundação do capítulo Brasil do OWASP e é Diretor de Eventos do capítulo São Paulo da ISSA. Figura 3: Bases de interações do CLASP ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 17
  • 18. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 18
  • 19. Microsoft Forefront Threat Management Gateway (TMG) A Nova Geração do Firewall da Microsoft agora disponível em Beta 2 Por Yuri Diógenes Antes de falar sobre o TMG Beta 2 é importante mencionar que a perímetro passa a ter um papel Microsoft ano passado já havia lançado uma versão deste produto fundamental para prevenir ataques do porém com menos funcionalidade (bem menos na realidade). Esta mundo externo, porém é preciso muito versão foi chamada de TMG MBE (Medium Business Edition) e foi mais que isso tendo em visto que ataques internos ainda são a lançada principalmente para fazer parte do EBS (Essential Business maioria. Server). Inspeção de Rede O TMG MBE já está em RTM e disponível no mercado, se você O TMG Beta 2 traz um conjunto de funcionalidades que vão além quiser ler mais sobre algumas funcionalidades desta versão reveja o do fator chave da proteção de perímetro. Através de uma nova artigo que escrevi para TechNet Magazine de Fevereiro de 2009 em funcionalidade chamada Network Inspection System (NIS) o TMG parceria com Jim Harrison e Mohit Saxena (ambos co-autores do Beta 2 traz funcionalidade de um IPS (Intrusion Prevention System) livro de TMG que estamos escrevendo para Microsoft Press). Você através do uso do protocolo GAPA (Generic Application-Level pode ler este artigo na edição online da revista. Protocol Analyzer), criado pela Microsoft Reseach. O TMG Beta 2 tornou-se disponível para o público externo no dia 6 de Fevereiro de 2009, após a espera que parecia imensa, esta versão traz um amadurecimento do produto e um novo conjunto de funcionalidades que tornam o TMG um produto robusto para segurança de perímetro. O objetivo deste artigo é mostrar as principais novidades da versão Beta deste produto. Além da Segurança de Perímetro Estudos mostram que usuários em geral demoram em média 50 dias para atualizar seu computador com patches de segurança. Este número cai em um ambiente corporativo devido a políticas de segurança e gerenciamento centralizado para distribuição de patch. Porém ainda há uma janela entre o patch ser lançado e ser efetivamente instalado. Nesta janela o grande risco é que a vulnerabilidade já foi anunciada e na maioria das vezes já existem mecanismos para explorar tal vulnerabilidade. A segurança de Figura 2: Alterando o modo de resposta de uma vulnerabilidade Esta funcionalidade vai permitir que o TMG bloqueie tráfego que é considerado malicioso com base no conjunto de assinaturas disponível no produto. Tais assinaturas serão recebidas do Microsoft Update e a medida que novas vulnerabilidades são anunciadas e assinaturas testadas, o TMG será capaz de fazer tais intervenções. Isso permite com que a janela de vulnerabilidade seja mitigada através desta inspeção preventiva. Na Figura 1 temos a interface do Figura 1: A tela inicial do NIS no TMG Beta 2 NIS que é parte do TMG Beta 2. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 19
  • 20. Na tela do NIS temos as vulnerabilidades que podem ser Além disso, o TMG Beta 2 também permite que clientes organizadas por categoria ou por outros parâmetros. O padrão do utilizando o TMG Client (também conhecido como Firewall TMG Beta 2 é que todas as vulnerabilidades conhecidas pelo NIS Client) sejam notificados que o tráfego está sendo inspecionado. estejam configuradas em modo que ela seja apenas detectada. A A figura 4 mostra a janela de configuração da inspeção HTTPs: vantagem deste modo é que você poderá analisar através dos logs o quão saudável está sua rede antes de colocar em produção (alterando o modo para Bloquear). Nas propriedades de uma vulnerabilidade no NIS é possível ver mais detalhes e alterar o modo de resposta como apresentado na Figura 2. O TMG Beta 2 utiliza o Update Center para fazer atualizações de definições do NIS. O intervalo de verificação de novas atualizações é configurado como padrão nesta versão Beta para 15 minutos, conforme mostra a Figura 3. Figura 4: janela de configuração da inspeção HTTPs Inspeção de Malware Figura 3: Update Center e as configurações de atualização de definições A propagação de pragas virtuais é algo extremamente presente nos dias de hoje. Infelizmente ainda existem diversas empresas Inspeção HTTPs que mantém máquinas des-assistidas, ou seja, sem uma Com o aumento de acessos maliciosos usando entunelamento proteção efetiva contra malware. SSL os dispositivos tradicionais não são capazes de inspecionar O TMG Beta 2 faz uso de uma funcionalidade que foi tráfego criptografado. O TMG Beta 2 traz uma nova inicialmente lançada no TMG MBE chamada de Malware funcionalidade que permite a inspeção de tráfego HTTPs. Ao Inspection. Através desta funcionalidade pode inspecionar receber o tráfego o TMG Beta 2 vai descriptografar, tráfego e usar a engine do Antivírus Forefront para fazer o scan inspecionar, com o uso de um outro certificado criptografar de um tráfego HTTP. Desta forma mesmo as máquinas novamente e então enviar o tráfego seguro para o cliente desassistidas que tentarem acessar sites que contenham malware interno que fez o acesso. podem se beneficiar de uma segurança efetiva no perímetro. É possível imaginar cenários onde o cliente está acessando um Para este assunto recomendo a leitura do artigo “Monitoring site que contém informações pessoais e sigilosas que não devem Malware Through the Edge with Microsoft Forefront Threat ser inspecionados. Management Gateway” que escrevi para a coluna de Dica de Um exemplo é o acesso a um site de Banco ou de uma Segurança do Mês (Novembro de 2008) da Microsoft. instituição de saúde (que contenha registros do paciente) e não Outra novidade do é capacidade de usar os recursos do deve ser inspecionado sem avisar ao usuário ou em alguns casos Exchange Edge Transport e Forefront Security Server for (dependendo da legislação do país) sere inspecionado de forma Exchange para fazer inspeção SMTP. Através desta integração alguma. de tecnologias o TMG Beta 2 é usado como repositório central O TMG Beta 2 permite esta flexibilidade através da criação de para criação de regras Anti-Spam e tais regras são replicadas uma lista de exclusão de sites que não devem ser inspecionados. para o Exchange Edge Transport e para o FSS para Exchange. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 20
  • 21. É importante salientar que o Exchange Edge Transport já Information precisa estar instalado na máquina antes de instalar o TMG, caso contrário você receberá a seguinte tela de alerta durante a instalação do TMG: Systems As políticas de segurança SMTP são criadas na interface do Security Association TMG através do uso das opções abaixo apresentadas em três abas, sendo elas: ‣ E-Mail Policy: permite a configuração da publicação SMTP e conectividade com o servidor SMTP interno. ‣ Spam Filtering: permite a configuração de filtro anti- spam. A comunidade global ‣ Virus and Content Filtering: permite a configuração de antivirus, quantos engines serão usados para fazer o scan SMTP (nesta versão beta até 5 podem ser usados para SMTP) e filtro de conteúdo. para os profissionais de Conclusão Este artigo mostrou algumas das principais características de Segurança da segurança do TMG Beta 2, porém existem muito mais funcionalidades a serem exploradas. Minha recomendação é Informação que você faça o download desta versão beta e comece a testar. Neste site você pode encontrar não só o bits para download mas também uma versão beta do “Deployment Você não está sozinho ... Guide” do TMG Beta 2 que lhe auxiliará a fazer a configuração inicial. Aproximadamente 10.000 membros em todo o mundo Sobre o Autor Yuri Diogenes trabalha na Microsoft no Texas como Sr Security Desenvolvimento profissional Support Engineer do time de CSS Forefront Edge Security. É Conferências e Eventos responsável por receber escalações de casos abertos para os produtos Descontos para associados Forefront Edge (ISA/TMG), co-autor da coluna “Tales from the Recursos sobre Segurança da Informação Edge” no site da comunidade de Forefront Edge (http:// technet.microsoft.com/en-us/forefront/edgesecurity/bb687298.aspx) e Desenvolvimento de carreira também contribui com os artigos publicados no Blog do time de ISA/ Créditos (CPEs) para certificações TMG (http://blogs.technet.com/isablog). Yuri também escreve no seu blog pessoal (http://blogs.techenet.com/yuridiogenes) a respeito da sua experiência com os produtos Forefront Edge. Atualmente Yuri Diogenes está escrevendo um livro pela Microsoft Press em parceria com Jim Harrison (http://www.isatools.org), Mohit Saxena (Líder Técnido do time de Forefront Edge) e tendo como revisor técnico Thomas Shinder (http://www.isaserver.org). O livro deverá ser lançado quando o TMG estiver em versão final no mercado. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 21
  • 22. Segurança da Informação em Tempos de Crise Por Lucas Donato Contrariando a tendência a diminuir investimentos face à crise aquisições entre companhias. Segundo econômica mundial, a necessidade de garantir a Segurança da Steven Katz, é neste período que Informação segue crescente para a continuidade dos negócios, precisamos dar mais atenção para para a conformidade com as regulações vigentes e para a proteção funcionários descontentes, que devido aos dados da empresa e de parceiros de negócio. Nos gráficos da ao nível de acesso a informações privilegiadas, sempre consistiram, Bovespa, mais uma queda é observada. No outro lado do mundo, naturalmente, em uma das principais ameaças à Segurança da as bolsas asiáticas caem pelo temor dos investidores com o Informação de uma empresa. Não devemos esperar que, agora, aumento das perdas e o Japão, segunda maior economia do este risco diminua. mundo, poderá manter-se em recessão durante o início do Pelo contrário. Conforme Katz, relatórios de controle de acesso e próximo ano. Este cenário pessimista tornou-se rotina em todo o atividades de usuários privilegiados devem ser mais monitorados globo, desde Tóquio, passando por Wall Street e chegando no do que nunca. E não só isso: a fusão de companhias envolve Brasil. mudanças significativas na infraestrutura tecnológica e na Economistas e pesquisadores afirmam que a tendência é que, após estrutura de informações de uma empresa, não esquecendo, ainda, o estouro da bolha imobiliária, as perdas agora sigam de políticas, procedimentos... a lista é longa. Nesta situação, a aumentando. A preocupação em proteger-se do pior é realização de uma Análise de Risco é indispensável, contemplando generalizada e atinge cada um de nós. Quadros de funcionários todas as mudanças no novo ambiente e o impacto oferecido na são reduzidos, orçamentos são revistos, novos investimentos são Segurança da Informação da companhia. praticamente eliminados. Em tempos de crise, é fundamental Mais do que nunca, portanto, é fundamental continuar investindo evitar perdas de receita não previstas. No entanto, o simples corte naquilo que é mais crítico para a continuidade do negócio. E, de gastos não protege as empresas contra perdas em pontos que felizmente, é isso que tem ocorrido. Uma pesquisa realizada com exigem processos contínuos de melhoria e monitoração. Quando a executivos de mais de 50 países e divulgada em outubro pela Ernst continuidade dos negócios está em jogo, a Segurança da & Young apresentou que as corporações estão, de fato, aumentando Informação entra em campo. os investimentos na área de Segurança da Informação, com padrões O não cumprimento de regulações como Sarbanes-Oxley, por internacionais de segurança sendo adotados cada vez mais no exemplo, ocasiona prejuízos muitas vezes bem maiores do que a mercado. A pesquisa é corroborada, ainda, pelo (ISC)2 Global adoção de controles adequados para assegurar que os três pilares Information Security Workforce Study, que revelou um paralelo da Segurança da Informação sejam garantidos. Afinal, ninguém entre o ato de realizar uma análise dos riscos e o aumento da pretende hoje em dia deixar de contar com uma solução de anti- confiança na organização. A chave para sobreviver à crise com vírus, por exemplo. Em períodos assim, a freqüência de ataques menos arranhões está nas mãos das empresas onde a confiança vaumenta substancialmente. Segundo a MessageLabs, houve um existe entre seus acionistas, onde a redução de custos ocorre sem a significativo aumento do número de e-mails voltados para roubar redução da segurança, onde a continuidade dos negócios é encarada dados e senhas dos internautas, em um tipo de ataque conhecido como a prioridade e onde a Segurança da Informação é tratada como phishing scam. como um aliado indispensável para a redução das perdas que ameaçam o presente e o futuro que virá. Os criminosos estão aproveitando, e muito, o medo generalizado ocasionado pela crise econômica que se espalhou em todo o Sobre o Autor mundo. E não falamos só de phishing scam quando a ameaça vem Lucas Donato, consultor e sócio da e-trust, CISSP, graduado em Ciência da pelo e-mail. O SPAM, outro fator de perda considerável de receita, Computação pela UFPel e pesquisador em Forense Computacional. Possui pode ser contido em grande parte através de sólidos controles de experiência em Análise de Risco, Testes de Intrusão, Diagnósticos de segurança. Em 2008 identificamos que para uma empresa Vulnerabilidades e Análises de Sistemas Críticos. Possui experiência em Resposta multinacional com um quadro de aproximadamente 2.500 a Incidentes e Perícia Forense. Participou de projetos nos setores Financeiro, funcionários, a economia oferecida por uma solução Anti-SPAM Energia, Governamental, TI, Oil and Gas, Saúde, entre outros. Pode ser em um ano chegou na casa de quatrocentos mil dólares. contatado através do e-mail lucasdonato@gmail.com. Fenômenos muito comuns nestes períodos turbulentos são fusões e ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 22