Páginas

quarta-feira, 23 de dezembro de 2009

E a historia continua

Desde os primórdios até hoje em dia .... pouca coisa mudou.


SEATTLE - Um tribunal americano de apelações confirmou um veredicto do júri contra a Microsoft por infração de patente de uma pequena empresa de software canadense.

A gigante deverá pagar uma multa de 290 milhões de dólares e não poderá comercializar versões do Word que contem o programa relacionado com a patente.

A decisão pode sinalizar o final de uma longa disputa entre a Microsoft e a i4i, com sede em Toronto.

No dia 12 de agosto, um júri federal dos EUA decidiu um favor da i4i, acusando a Microsoft de desrespeitar uma patente relacionada com o uso de XML nas versões de 2003 e de 2007 do Word.

O júri chegou à conclusão de que a gigante deve pagar 290 milhões de dólares pelos prejuízos causados à i4i e o tribunal aceitou a solicitação da i4i para que a Microsoft seja proibida de vender versões do software que contenham a tecnologia.

A Microsoft não poderá mais comercializar esses produtos a partir do dia 11 de janeiro de 2010.

Entretanto, analistas da indústria acreditam que provavelmente haverá um acordo entre as empresas e a fabricante do Word pagará um royalty à i4i pela patente.

"A i4i está satisfeita com a decisão do tribunal, porque representa uma importante vitória dos direitos autorais dos pequenos inventores", declarou em comunicado a companhia canadense.


terça-feira, 22 de dezembro de 2009

Segurança de Informação - Engenharia Social x Paranóia





PDF Imprimir E-mail
Por Lino Garzón Sandoval*   

A segurança da informação começa muito antes de quebrarmos as cabeças idealizando algoritmos e ferramentas de proteção de dados contidos em meios físicos. O objetivo do presente artigo é familiarizar os leitores com o termo Engenharia Social, que pode parecer raro e distante mas, na prática, nos acompanha bem de perto.

1. INTRODUÇÃO
Começaremos por trazer o conceito dado de Engenharia Social pela Wikipédia, a enciclopédia livre e que textualmente diz:
"Engenharia Social consiste em uma série de técnicas utilizadas por fraudadores a fim de obter acesso não autorizado a sistemas computacionais e não computacionais. De uma forma geral, é considerada engenharia social o ato de invadir sistemas aproveitando-se de falhas humanas. A maioria das técnicas de engenharia social consiste em obter informações privilegiadas, enganando os usuários de um determinado sistema por meio de identificações falsas, aquisição de carisma e confiança da vítima."
O objetivo do presente artigo é familiarizar os leitores com o termo Engenharia Social, que pode parecer raro e distante mas, na prática, nos acompanha bem de perto.

2. COMPORTAMENTOS

Seremos apresentados à chamada arte de enganar pessoas para obter ganhos e lucros, que variam desde informações sigilosas até dinheiro.
É bom salientar que existem manifestações destas práticas já contempladas e punidas no nosso código penal.

2.1 O Erro Humano
O conceito de Engenharia Social coloca no centro da definição o erro humano. Mais do que isso, devemos entender o comportamento involuntariamente indiscreto das pessoas, que facilita a abordagem dos atacantes.
    É bom destacar que nem sempre os virtuais inimigos chegam com as intenções de sondagem e procurando informações. No entanto, o nosso proceder pode favorecer o surgimento de posturas inesperadas por parte dos interlocutores, que inquestionavelmente estão prestes a reagir a qualquer estímulo e são capazes de achar brechas nos lugares mais recônditos do pensamento.
Nos tempos atuais, em que são levantadas as bandeiras de atendimento ao cliente, se proliferam técnicas e metodologias de CRM  e de cruzamentos impensáveis de informações. O objetivo destas ações é descobrir regularidades do mercado e dos atuantes e assim tomar providências certeiras para alavancar os negócios. Neste momento, as organizações se descuidam de um elemento que pode ou poderá causar danos consideráveis à estrutura empresarial, às vezes tão cara e cuidadosamente concebida: o capital humano.
Refiro-me ao funcionário ou colaborador interno, que deve ser visto como cliente primário, primordial e não menos importante do que todos os que fazem parte do cenário da organização, incluindo o chamado cliente final.
    Os prejuízos causados pelo descuido e a não observância de pequenos detalhes do dia a dia conduzem a hecatombes a curto, médio ou longo prazo.
Um trabalhador insatisfeito vira cruelmente alvo de sujeitos ávidos e sedentos de informações e, como consequência, a empresa fica cada vez mais vulnerável, jogando por terra todos os esforços e medidas tomadas para alcançar um objetivo.
A solução em hipótese alguma seria demitir profissional, porque estes podem surgir todos os dias e a estabilidade da empresa estaria comprometida se não conseguíssemos diminuir a rotatividade da equipe, melhorando o ambiente de trabalho.
Pessoas insatisfeitas, seja com as condições de trabalho, seja com os seus superiores, constituem um elemento frágil. Explorá-las é muito mais simples do que alguém atine a imaginar. Elas podem falar e intencionalmente prejudicar seus superiores de alguma forma.
Dados do concorrente são até legalmente acessíveis e números nem sempre falam nem condizem com realidades que só o contato com os diretamente envolvidos nos processos podem oferecer.
Existem questões do afazer cotidiano da organização, pormenores impossíveis de mensurar e que acontecem nas células motoras da empresa. É nestas áreas que opera aquele sujeito desvalorizado, que ao tempo que desempenha uma função vital, é tido como menos importante, quando de fato não o é, nem em respeito, nem em consideração e muito menos em remuneração.
Quero alertar sobre o termo remuneração que, de maneira geral, é direta e estritamente associado ao salário. Pensar assim é um erro. Existem inúmeras formas de valorizar um funcionário, mas este é tema para outra oportunidade.
O ambiente em que acontecem os processos, as pequenas falhas, os detalhes da dinâmica cotidiana da empresa, pormenores, comumente não estão escritos. Pareceres, diferentes pontos de vista, reportam significativos aportes para quem está interessado em se aproveitar de qualquer deslize.

2.2 Manipulação das fraquezas
Como todo ser social, o indivíduo ao precisar exteriorizar as mágoas, ao fazer comentários, de maneira reiterada transmitirá particularidades da sua vida para pessoas mais próximas, ou para receptores por vezes não vinculados a sua história. Os assuntos do trabalho não fugirão, pelo contrário, o lugar em que trabalhamos ocupa um espaço essencial nas nossas vidas e negar esta realidade seria condenar um resultado.
Compete a todos os envolvidos a responsabilidade pelo comportamento dos processos nos quais nos inserimos, assim como os prováveis efeitos das nossas ações.
Os manuais e procedimentos regulam como deve ser o desenvolvimento das atividades, mas as peculiaridades de cada circunstância se transformam em experiências, cujo conhecimento tem um valor inestimável. Cada um dos participantes terá a sua própria visão de um mesmo assunto, e estes ângulos podem ser muito proveitosos para quem procura informações.
Estes dados podem servir aos adversários para criar uma espécie de vantagem, se preparando melhor do que nós, sendo esta talvez a menos nociva das consequências, já que corresponde a cada um crescer cada dia mais e constantemente se superar. Mas, na realidade, sem pretender colocar o mercado como um campo de batalhas, os concorrentes poderiam usar estas informações para corroer nossas estruturas e debilitar nossas forças.
Os incapazes preferem destruir o mundo dos outros a construir o próprio. Desafortunadamente, o espaço para os inaptos não se esgota, sempre há lugar para novos entrantes.
Informações, resquícios de novos empreendimentos e vestígios de futuros direcionamentos são muito importantes. Na atualidade, o intelecto diferenciado, num mundo em que a inteligência atingiu níveis elevados e o conhecimento se dissemina a velocidades supersônicas, encontrar um "a mais" tem um valor incalculável.
Não é menos certo que os recursos estão ao alcance de todos. No entanto, a maneira de usá-los e a eficiência na aplicação das doses desejadas de cada componente da fórmula perseguida estão associadas às capacidades do homem, que está no centro do processo.

2.3 Vulnerabilidade da informação que carregamos
Os chamados invasores munem-se de técnicas, em ocasiões, bastante sofisticadas e, em outras, se valem das situações mais comuns no contato direto com as pessoas. Dessa forma, estão providos das mais básicas regras de relacionamento, fazendo um uso racional de cada ardil previamente estudado.

3. MODOS DE OPERAÇÃO

Qualquer um pode se tornar um destruidor da calma alheia. Sempre confiamos que o lado do mal terá cada vez menos adeptos, mas cabe a nós nos manter na área do bem, fortes e protegidos.
Para alguns, a engenharia social é a combinação de "espiões", que muitas vezes não se autocatalogam como tal, e de "traidores", que na maioria das ocasiões se convertem inconscientemente.
    Às vezes, a confiança e a segurança transitam por caminhos diametralmente opostos. Existem pessoas que convivem com a máxima de que, na medida em que menos confiam e praticam mais a discrição, ficam ou se sentem mais seguras.
     O lixo empresarial pode conter um arsenal, que faria inveja a qualquer invasor. Geralmente, rascunhos, senhas e anotações podem ser facilmente encontrados.
    Vale observar que os ataques podem ser precedidos de todo um processo de estudo da vítima – costumes, hábitos e horários para estabelecer as bases da aproximação fatal.
    Eles alinham as redes de contatos, criam empatias e identificações súbitas e espontâneas, chegam até a ficar íntimos. Estudam a cultura das organizações e de seus funcionários em particular.
    Indiscutivelmente, a internet com seu caráter extremamente democrático, que permite a cada um ser quem quiser do outro lado do teclado, tem facilitado brincar com as debilidades humanas.
    Pode parecer incrível, mas eles se apoiam em muitos casos no fator sorte e ficam a espera de descuidos ou provocando-os. Estas reflexões visam a ir um pouco além da conhecida atividade incessante de hackers e intrusos de várias categorias.
    As ações no domínio da Engenharia Social enfatizam a interação humana, compreendendo habilidades de enganar pessoas para conseguir violar os procedimentos de segurança estabelecidos e obter as informações procuradas.
    Por erros nas políticas empresariais, às vezes os indivíduos não têm ciência exata do valor da informação que possuem e por esta mesma razão, não se preocupam em protegê-la.
As organizações precisam investir em educar e treinar seus colaboradores.  Nesta sociedade do conhecimento, em que um altíssimo percentual da atividade humana se reduz a processar informações e a informação eleva-se a um ativo cada vez mais valioso, vale a pena assumir esta linha de investimento.
    A própria idiossincrasia dos humanos faz com que sejamos o elo mais vulnerável dentro de um sistema de segurança. Egos, inconformidades, anseios, necessidades de expressão, de aparecer, de reconhecimento e de socialização facilitam o trabalho dos "caçadores".
Podemos concluir que as soluções técnicas, por si só, não são suficientes para garantir a segurança da informação. É frequente ouvir nas empresas usuários reclamarem de ser "constantemente" impelidos a trocar de senha. Haja tempo!, haja paciência!.
Talvez isto aconteça em razão de o departamento de TI não ter escolhido a opção mais idônea para garantir a relativa segurança. Os motivos podem ser variados, desde escassez de recursos finaceiros até problemas de gestão.
O trabalho diário e bem estruturado com o capital humano pode minimizar a vulnerabilidade de um sistema de segurança. Explorar a ingenuidade humana é um dos meios mais eficientes de quebrar a segurança das redes.

4. CONSIDERAÇÕES GERAIS

Sobriedade e discrição podem ser treinadas. Faça um pequeno teste de autoconhecimento: suponhamos uma situação em que você vai se encontrar pela primeira vez com uma pessoa e, para o encontro, você fez uma autopreparação, definindo os assuntos a tratar e, mais do que isso, quais informações pessoais passará. Finalizado o encontro, faça o seu balanço, seja bem crítico consigo mesmo. Sempre é bom saber até que ponto podemos contar conosco e o quanto sabemos de nós.
Isto não é uma arenga ao desânimo nem uma apologia a se alienar num submundo estreito e pouco rico. É simplesmente um aviso para nos tornarmos cada vez mais inteligentes e não permitirmos a entrada impiedosa de espertos de plantão.
A palavra certa está próxima de sigilo, de segredo e de discrição, sem beirarmos a desconfiança absoluta nem atolarmos na paranóia patológica de doentes mentais.
É apenas um chamado a fazermos um compêndio de todas as posições citadas na medida certa para cada caso, acharmos um equilíbrio e sabermos que existem coisas e objetivos de vida que, infelizmente, para se conseguir, têm que ficar ocultos.
O fator surpresa não é só inerente às guerras, é aplicável também às lutas que ganhamos e que às vezes também perdemos.

5. CONCLUSÃO

Muito cuidado, mas sem neuras!
Fica em aberto o impasse sobre o que é correto e o que é inadequado. Uns poderão seguir o caminho dos que não se preocuparão, até levarem um susto, já que infelizmente ninguém costuma escarmentar por cabeça alheia. Outros adotarão o tradicional provérbio de que "o seguro morreu de velho". Do contrário, nos restará simplesmente sermos coerentes com o curso dos acontecimentos.
Para finalizar, uma dica no mínimo interessante: É bom ir perdendo o costume de responder sempre à pergunta quando alguém liga para sua casa ou para o seu celular: Quem fala? A melhor resposta seria outra pergunta: Deseja falar com quem?
Zele pelo seu espaço, não deixe os invasores entrarem para, posteriormente, se lamentar: Como ele soube que eu moro aqui? Como obteve essas informações?
Estimule as pessoas a se apresentarem, elas podem até cometer erros grosseiros por não estarem preparadas para reações imprevistas, entenda-se oferecer esclarecimentos ou responder a perguntas que não foram contempladas no espectro das possibilidades do invasor.
Fique atento a cada detalhe por pequeno que ele pareça. E agora vem a pior parte, aquilo que talvez não gostaríamos de ler, nem de ouvir ao chegarmos a esta altura da leitura. Mesmo tomando todos os cuidados aqui descritos e outros que não foram abordados no corpo do artigo, não ficaremos isentos do ataque com certa eficiência por parte dos invasores.
Contando supostamente com 100% de imunidade e proteção, a preservação não está totalmente garantida. O que sim, é certo, é que não conseguirão tudo o que se propuseram e saberão que estamos atentos. Em outras palavras, dificultaremos as intenções.
    Lembre que sempre há tempo para mudanças positivas. Ser loquaz não implica ser obrigatoriamente indiscreto. Não só as palavras têm a capacidade de dizer. Será que o silêncio fala?

6. REFERÊNCIAS

[1] Wikipédia – A Enciclopédia livre.
 

Lino Garzón Sandoval é engenheiro de Automação da Schneider Electric e professor da Fundação Getúlio Vargas

( lino.garzon@br.schneider-electric.comEste endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo )


quinta-feira, 3 de dezembro de 2009

Por que sobram vagas e faltam candidatos qualificados em TI?


http://imasters.uol.com.b

Não é de hoje que se fala que o mercado brasileiro de TI está carente de bons profissionais. Pessoas com formação acadêmica, contudo, não conseguem boas colocações e muitas até desistem da área. O que está errado?

Uma pesquisa de outubro deste ano, divulgada pela Você S/A e realizada pela H2R, mostra que a falta de habilidade técnica é o principal problema para que o candidato consiga um emprego, especialmente na área de TI. Segundo a pesquisa, 57% das empresas qualificam a habilidade técnica como a mais importante característica desejável do candidato. Em segundo lugar está a formação acadêmica (23%), seguida pela disputa de talentos (19%), idiomas (12%) e habilidades comportamentais (11%).

Inicialmente, temos que considerar que o mercado brasileiro de TI tem crescido nos últimos anos a taxas superiores às da economia. Como há escassez de profissionais qualificados, cada vez fica mais difícil contratar os especialistas. E as empresas vão aumentando a quantidade de vagas abertas, sem profissionais qualificados para preenchê-las.

Por qual motivo isso acontece? A carreira de TI nem sempre é a primeira escolha dos estudantes universitários. Muitos confundem o profissional de TI com os "nerds" que não possuem vida social e só pensam e vivem em função dos computadores. Isso é um grande engano. Claro que há áreas e setores em que os "nerds" são necessários, mas isso acontece muito mais no exterior do que no Brasil. Aqui as empresas precisam de profissionais que saibam analisar sistemas, programar, gerenciar redes de computadores e banco de dados. Precisam de profissionais que entendam de negócio e saibam aplicar o conhecimento técnico na solução de problemas. Poucas empresas se dedicam a "criar" novas tecnologias - ambiente natural onde o "nerd" se desenvolve.

Muitas das melhores universidades brasileiras na área de TI, porém, se dedicam a formar "nerds". E muitos dos que se aventuram na área pensam que somente estes cursos darão a formação necessária para se entrar no mercado de trabalho.

Miopia de ambos os lados. Cursos mais rápidos, mais diretos e com foco no mercado de trabalho existem. São os cursos superiores de tecnologia, que propõem formar um profissional preparado para atuar em segmentos específicos na área de TI. E, por serem especializados, terão a habilidade necessária e requisitada pelas 57% das empresas pesquisadas. A mesma reportagem da Você S/A indica a necessidade de "Engenheiros Tecnólogos", ou seja, profissionais que ponham a mão na massa. Afinal, não adianta ter muitos caciques e quase nenhum índio... Ao optar por um curso de Engenharia, o aluno faz um curso mais longo, demora para entrar no mercado de trabalho e, depois que entra (se entrar), terá que se especializar para dar resultado à empresa.

Enquanto as universidades não formarem profissionais para as vagas em aberto no Brasil, este panorama continuará igual. Enquanto as empresas, por sua vez, não perderem o preconceito de contratar tecnólogos, continuarão recebendo alunos com habilidade aquém da necessária para cumprir seus contratos e os inúmeros postos de trabalho continuarão em aberto.

quarta-feira, 25 de novembro de 2009

Quem é mais veloz? Seven, Vista ou XP

Nas medições do INFOLAB, comparando o Windows 7 com seus antecessores XP e Vista, nota-se que algumas operações são mais rápidas com o Windows 7, mas não todas. Um exemplo em que o XP sai ganhando é o tempo de partida. Um PC AG31AP, da Positivo (Core 2 Duo E7500, de 2,4 GHz, e 3 GB de DDR2 de 1 066 MHz) demorou, no INFOLAB, 28 segundos para dar a partida com o XP, 30 segundos com o Vista e 35 com o Windows 7.

Já ao duplicar uma pasta com 171 MB de arquivos, o XP gastou 12 segundos. O Vista demorou 5 segundos, e o Windows 7, menos de 1 segundo. Este último resultado sugere que o Windows 7 criou um ponteiro para a segunda cópia e a liberou para uso, deixando para fazer a duplicação física quando isso for necessário. Esse processo, também adotado em outros sistemas operacionais, torna mais ágeis certas operações com arquivos. É um aperfeiçoamento importante no sistema de arquivos. Em operações que fazem uso intenso da CPU, a diferença não é tão nítida. Ao compactar um arquivo de 171 MB, o Windows 7 empatou com o XP. Ambos demoraram 9 segundos, contra 13 do Vista.



Cinco tendências de TI e problemas que deixam os CIOs de cabelos em pé

IT Careers - Convergência Digital
:: Da redação :: 24/11/2009

A crescente geração de dados a partir de computadores e dispositivos corporativos com acesso à internet traz consigo uma série de tendências e práticas às quais os profissionais de Tecnologia da Informação devem ficar atentos. Algumas delas já preocupam os responsáveis por TI nas empresas desde o início da era do computador. Outras, mais recentes, foram trazidas por novas e diferentes maneiras de trabalho, que por sua vez demandaram modelos até então pouco adotados de infraestrutura de TI.

Confira aqui uma lista com as tendências e problemas que têm deixado CIOs de cabelos em pé.

Gestão web
Monitorar aquilo que as pessoas fazem na internet é uma das tarefas às quais os gerentes de TI têm dedicado cada vez mais tempo. E a tarefa de gerenciar e monitorar o acesso à internet tem se tornado mais difícil à medida que cresce o interesse dos usuários por novos serviços web.

Integração de ferramentas de Web 2.0
Blogs, wikis e redes sociais são cada vez mais utilizados pelas companhias como ferramentas internas. E sua implementação pode ser um tanto quanto complicada para a equipe de TI, especialmente quando ninguém sabe exatamente como as ferramentas serao utilizadas. As ferramentas de Web 2.0 podem ser muito valiosas para as companhias, mas apenas se forem implementadas corretamente e utilizadas de forma a aprimorar as comunicações e colaboração nessas empresas.

Integração de cloud computing
Um dos maiores problemas da integração da computação em nuvem é que nem tudo vai exatamente para a nuvem. Como resultado, as companhias têm de aprender a lidar com um mix de soluções armazenadas localmente e serviços baseados na nuvem. Isso implica uma série de dores de cabeças, sendo que a integração é exatamente a primeira delas.

Funcionários remotos
Para a equipe de TI, o trabalho remoto traz consigo outros problemas. Além da dor de cabeça de deixar a rede aberta para conexões externas, também há a questão de controle de acesso e monitoramento das informações acessadas e armazenadas na rede. Algumas companhias já optam por configurar e gerenciar suas redes especificamente para os teletrabalhadores. Mas essas ainda são minoria - e nem por isso seus profissionais de TI têm menos preocupação com o problema.

Armazenamento
Este é, sem dúvida, a força motriz da sobrecarga de informações. Usuários criam mais conteúdo do que nunca, através de uma quantidade de canais nunca antes vista e com mais ferramentas do que nunca. E tudo isso precisa de um destino.

Independentemente de quantos analistas, fabricantes de hardware ou provedores de serviços com quem conversemos, o alerta é sempre o mesmo: não adianta simplesmente colocar novos hardwares na rede. Os arquivos estão tão grandes e complexos que não basta simplesmente elevar o volume de storage. De fato, com orçamentos cada vez mais enxutos, isso sequer é possível para muitas empresas.

sexta-feira, 20 de novembro de 2009

Nas empresas, falta de backup é igual a apagão

Nas empresas, falta de backup é igual a apagão
Do site - http://webinsider.uol.com.br

13 de novembro de 2009, 10:55
Blecautes e quedas de energia apenas acentuam um problema antigo: sem cópias de segurança, falhas aparentemente simples podem apagar toda a existência de sua empresa. Pesquisas recentes no Brasil comprovam o hábito.

Por Redação Webinsider

Beth Matias/Agência Sebrae

Estudo recente organizado pela Symantec revela que 79% das micro e pequenas empresas entrevistadas na América Latina declaram “estar satisfeitas ou muito satisfeitas com seus planos de recuperação de desastre”. Além disso, 82% delas consideram-se protegidas ou muito protegidas contra ameaças virtuais.

No entanto, o mesmo estudo mostra que 25% delas não realizam backups (cópias de segurança); 49% fazem backup apenas uma vez por mês; 50% não possuem um plano formal para recuperação em caso de desastres; 63% esperam perder informações importantes caso alguma coisa aconteça.

A média de incidentes de tecnologia para o segmento das MPE na América Latina é de dois desastres por ano para cada empresa.

A divergência entre as informações prestadas na pesquisa revela claramente a falta de informação do que é um sistema de segurança da informação no mundo dos pequenos negócios. “Muitos dizem que não investem na segurança por ser um produto caro. O problema é que a pequena empresa desconhece o tamanho do risco que corre”, diz Carlos Augusto Cruz, sócio da CTech Informática, empresa do setor de segurança digital.

Segundo Cruz, às vésperas de grandes datas, como o Natal, aumenta muito o número de tentativa de violações na internet. “É uma época em que todo mundo abre os arquivos com mensagens de empresas”. Por isso, ele faz um alerta: “Normalmente um antivírus não é a solução. É preciso fazer um plano de recuperação de desastres e já colocar no orçamento de 2010″.
Risco de morte

Relatório de spam da McAfee, publicado em outubro de 2009 pelo McAfee Labs, aponta que foram geradas mais de 150 bilhões de mensagens de spam diariamente durante o mês de setembro de 2009. Isso significa que, de todos os e-mails enviados no mundo durante todo este período, 95% era de spam.

Cruz adverte que “a indústria do cybercrime está cada vez mais especializada. Já não há mais e-mails com erros de português ou endereços que não existem. Os sistemas de banco e governo são seguros, mas o cybercriminoso entra nestes sistemas pela ponta mais fraca, o cliente”.

A maior parte das empresas no Brasil utiliza o internet banking para fazer pagamentos e transferências. Muitas empresas desconhecem formas de obtenção de dados e têm seus computadores transformados em “zumbis” – passando a ser utilizado para obter dados de outros computadores.

Mas não só a internet é um problema nos sistemas de segurança. A queda de energia, muito comum na capital paulista, pode ocasionar perdas de grande volume de dados.

Cruz cita como exemplo o caso de sua própria empresa. “Chegamos numa segunda-feira para trabalhar e a Ctech não existia. Todos os dados foram apagados. Como tínhamos um plano de restauração de desastre, na própria segunda-feira à tarde tínhamos todos os dados disponíveis”, garante.

Outro exemplo é a manutenção de servidores e sobrecarga. Segundo o empresário, uma grande empresa do mercado estava com servidor carrregado e o backup inadequado. “Um belo dia o servidor não ligou mais e a empresa parou. Não havia como trabalhar. Até o momento em que conseguiram recuperar os dados”, explica.
Sobre o autor

sexta-feira, 6 de novembro de 2009

Área de TI ganha nova certificação ITIL




IT Careers - Convergência Digital
:: Da redação     :: 30/10/2009

O APM Group (APMG), órgão oficial de homologação de ITIL, anunciou a criação de uma nova certificação complementar ITIL específica para profissionais da área de TI envolvidos com a elaboração e manutenção de melhores práticas em Catálogos de Serviços, proposta pela Pink Elephant e pela NewScale, fornecedora de soluções em software Service Catalog.

Com a nova certificação, a Pink criou o curso How To Create A Service Catalog According To ITIL Best Practices, desenvolvido para atender a necessidade de uma orientação específica sobre definição de serviços e a apresentação dos mesmos em um Catálogo de Serviços de TI.

Assim que o processo de certificação em Service Catalog for finalizado e lançado no final deste ano, as empresas autorizadas para treinamento (ATOs) poderão então desenvolver e apresentar conteúdo/materiais próprios (de treinamento) para a homologação.

Além disso, o novo curso também dará direito a créditos para 1.5 ITIL V3 e será apenas o segundo curso reconhecido em Complementary Guidance de ITIL V3, uma série de cursos sobre melhores práticas que visa complementar o conteúdo já existente de exames e certificações em ITIL V3.

Clebert Mattos, diretor da Pink Elephant do Brasil, afirma que o novo curso já está disponível para turmas em São Paulo e, em pouco tempo, ganhará abrangência nacional. "É muito importante que o APMG tenha reconhecido a necessidade de uma certificação específica para Catálogo de Serviços e certamente iremos promover essa iniciativa."


Maddog inicia projeto para criar 3 milhões de empregos com Linux no Brasil


Isso mesmo. O diretor-executivo da Linux International garante que o Brasil é o melhor país para o Linux e inicia projeto para criação de pelo menos 3 milhões de empregos.

O diretor da Linux International pretende implantar o projeto-piloto no país em abril do ano que vem. "E, depois de três meses de piloto, se obtivermos sucesso, então começaremos a abri-lo, para que as pessoas sejam capazes de obter a informação e gerar seus próprios serviços", destacou.

Maddog acredita ser possível, ainda, "dobrar o número de programadores de software livre no mundo, melhorar a educação de forma geral, permitir que o mundo todo economize cerca de R$ 10 bilhões por dia e, acima de tudo, conseguir tudo isso sem nenhum dinheiro dos contribuintes". Para ele, "tudo é possível. Só depende do quão arduamente nós tentarmos".

O Projeto baseia-se em três pilares: hardware, rede e empreendedorismo. John Maddog Hall garante que com o uso de vários computadores de baixíssimo custo (ThinClient), com Linux e um servidor, ele pretende conectar todos os computadores de forma a criar uma grande bolha de rede sem fio. Cada ThinClient também será um roteador e compartilhará parte da sua banda de rede para os demais usuários.

Imagine a demanda por profissionais preparados para instalar e configurar o servidor, vender o serviço em prédios e vizinhança, instalar os ThinClients, treinar os clientes usuários, agregar novos serviços, como construção de websites, firewall, prestar serviços de pós-vendas e manter a rede operacional.

E VOCÊ, ESTÁ PREPARADO??

Garanta-se no mercado. Comprove seus conhecimentos. Certifique-se!

Veja os detalhes em http://www.certificacaolinux.com.br/treinamento.htm O Brasil tem a demanda e nós temos uma oferta especial para você!

Um abraço e obrigado!

Prof. Uirá Ribeiro
Certificação Linux - Curso à distância para prova LPI
(31) 3231 2347
(11) 3717-5661
MSN: uira@pib.com.br
http://www.certificacaolinux.com.br



--
Atenciosamente,


Zenildo de Araújo Silva
MSN: zenildoaraujo@ubbi.com.br
Tecnólogo em Redes de Computadores
71 9141-3983

quinta-feira, 5 de novembro de 2009

Configurando IP estatico nos Debian Like



edit e o arquivo:

# vim /etc/network/interfaces

Depois

Para configurar ip estático troque o texto abaixo....

iface eth0 inet dhcp

pelo texto ...


iface eth0 inet static
address 192.168.x.xx
netmask 255.255.255.0
network 192.168.x.0
broadcast 192.168.x.255
gateway 192.168.x.xxx

Skype para Linux será open source

A empresa desenvolvedora do Skype anunciou que irá lançar o cliente Linux como open source.
Pelo que foi dito não está claro se somente a interface será aberta, portanto utilizando uma biblioteca fechada para comunicação, ou se o conjunto completo será aberto. Resta aguardar.

Migração de Samba para Active Directory

Extraido de: http://blogs.technet.com/brzad/archive/2009/05/02/migra-o-de-samba-para-active-directory.aspx

Conseguimos provar em Laboratório que é possível realizar uma migração de um diretório baseado em Linux (Samba) para Active Directory, sem desenvolver nenhum tipo de script para importar as informações de um ambiente para o outro. E melhor, sem gerar impactos para o usuário!

Utilizando a ferramenta ADMT 3.0 conseguimos migrar todos os objetos para o Active Directory, baseado em Windows Server 2003.

Nota: Não conseguimos sucesso na utilização da versão 3.1 da ferramenta ADMT para migrar os objetos do Samba para um Active Directory baseado em Windows Server 2008. Portanto, crie um AD baseado na versão Windows 2003 e use o ADMT 3.0. Após a finalização da migração e término da convivência dos ambientes Samba e AD, atualize o AD para a versão 2008.

Considerações importantes para uma migração aonde o domínio de origem é um Samba emulando um PDC NT:

1. No Samba, deve-se criar um usuário chamado “Administrator”, com as mesmas permissões do usuário “root”, e com a mesma senha do usuário Administrator do domínio de destino;
2. Para que as estações possam ser migradas, a propriedade “DNS Suffix for this Connection” (em Advanced/DNS) deve estar em branco;
3. As senhas dos usuários não podem ser migradas do Samba;
4. O SIDHistory no domínio de destino não pode ser populado (A funcionalidade “tcpipclientsupport” não está disponível no Samba. Com isso, a migração dos SID’s torna-se inviável);
5. Durante a fase de Convivência dos ambientes, devemos manter a Relação de Confiança aonde o Active Directory confia no Samba.

Para contornar o problema da migração dos SID’s, devemos utilizar uma funcionalidade da Ferramenta ADMT que se chama “Conversor de Segurança”. Esta funcionalidade, basicamente, analisa o sistema operacional em busca de permissões atribuídas a usuários do domínio antigo. Os objetos analisados são:

* Arquivos e Pastas
* Grupos Locais
* Impressoras
* Registro
* Compartilhamentos
* Perfis de Usuário
* Direitos de Usuario

Para entender como esta funcionalidade funciona, devemos antes analisar a migração de usuários e grupos. O ADMT, no momento da migração entre domínios, cria um banco de dados local que associa as contas do domínio antigo com as do domínio novo, conforme exemplo abaixo:

Usuário Domínio Antigo


Usuário Domínio Novo

\contoso


\contoso

\jtraders


\jtraders

OBS: O mesmo princípio vale para os grupos.

No momento da migração de um computador (seja ele uma estação de trabalho ou um servidor de arquivos), o ADMT envia um agente para o mesmo, e com isso, antes de inserir o computador no novo domínio, o agente analisa todos os objetos citados anteriormente. Ao analisar um objeto qualquer:

1. Analisa a sua ACL e coleta os usuários que possuem permissões;
2. Busca no banco de dados do ADMT quem são os novos usuários (do novo domínio) associados a estes usuários do domínio antigo;
3. Espelha as permissões NTFS do usuário antigo ao usuário novo.

Nota: O Conversor de Segurança não funciona para objetos Built-In do domínio antigo (ex: Domain Admins, etc).
Estratégia para Migração

Nesta estratégia, a ordem de migração do ambiente deve ser:

1. Todos os Objetos do Samba para o Active Directory;
2. Migração de todos os Serviços de Rede (Servidores de Arquivos, Aplicações, etc) para o Active Directory;
3. Migração das estações de trabalho.

Fase de Convivência dos 2 Ambientes

Durante esta fase, os usuários continuarão logando em suas estações com os usuários antigos (Samba). Os usuários continuarão acessando os servidores já migrados para o Active Directory normalmente. Isso é possível devido a relação de Confiança existente entre os 2 domínios, conforme a ilustração abaixo:

image

1. O usuário realiza a autenticação no domínio Samba;
2. O usuário tenta acesso ao servidor que está no domínio Active Directory;
3. O Servidor que recebeu a requisição verifica a credencial do usuário no domínio Samba, via Relação de Confiança;
4. Após verificação das credenciais, o acesso ao Servidor é liberado para o usuário.

Algumas Informações Importantes para a fase de Convivência:

* Qualquer usuário que for criado no ambiente deverá ser criado no domínio Samba, e depois ser migrado para o Active Directory via ADMT;
* Qualquer modificação em membros de grupos deve ser feita no domínio Samba, e depois realizar um “Merge” via ADMT do grupo Modificado;
* Toda migração deve ocorrer com o mesmo servidor ADMT, então recomendamos o Backup regular deste servidor.

Passos Necessários para Realizar a Migração

É importante ressaltar que todos os passos abaixo devem ser testados em laboratório antes de serem implementados em Produção!

1. Criar um usuário “Administrator” no domínio Samba, com a mesma senha do usuário “Administrator” do Active Directory, com as mesmas permissões que o usuário “root”;
2. Criar uma relação de Confiança aonde o Domínio Active Directory confia no domínio Samba;
3. Instalar o ADMT em um servidor que esteja no domínio Active Directory;
4. Migrar Grupos para o Active Directory via ADMT;
5. Migrar Usuários para o Active Directory via ADMT;
6. Migrar Servidores de Arquivos para o Novo Domínio via ADMT;
7. Migrar demais Serviços de Rede para o Novo Domínio Active Directory;
8. Após Migração de todos os serviços de Rede, migrar as estações gradualmente;
9. Após a Migração de todas as Estações, aguardar estabilização do ambiente;
10. Após estabilização, desfazer a Relação de Confiança;
11. Desligue o Servidor Samba!

terça-feira, 28 de abril de 2009

Quebrando a senha de root

Veja como é fácil quebrar a senha de root.

Os exemplos abaixo são comuns em casos que precisamos desse procedimento:
  • Administrador de rede que perdeu o serviço de manutenção de um servidor e não deixou a senha de root.
  • Um administrador, querendo dá uma de esperto, não deu a senha do root para o DONO DO COMPUTADOR.
  • Para resolver um problema de invasão, quando alguém descobre a senha do root, muda, e passa a brincar com o seu servidor;
  • Quando você usou um teclado ruim para mudar a senha do root. Já aconteceu comigo também. Mudei uma senha de root remotamente num PC cujo teclado não funcionava a tecla 7. É claro que mesmo pedindo confirmação, digitei a senha errada (sem saber) duas vezes e assim ficou. No dia que tentei entrar diretamente no servidor a senha não funcionava;
  • A mais comum: quando esquecemos a senha.

O processo

Na verdade, para quebrar a senha do root temos que editar o arquivo /etc/shadow e apagar os caracteres referentes a senha do root. É SÓ ISSO E PRONTO!
Para isso você deve dar o boot por uma distribuição live ou outra forma de boot. As distribuições live já montam a partição referente ao HD da máquina, mas a maioria monta como somente leitura, ou seja, você pode ver os arquivos mas não pode salvar nada. Temos então que alterar esta propriedade para permitir leitura/gravação. Ou você faz isso pelo modo gráfico facilmente, ou desmonta e monta de novo. Após a partição montada você já poderá editar o arquivo shadow e apagar a senha criptografada do root.
ATENÇÃO: Você deve editar o arquivo da partição montada e não os da distribuição live.
Para apagar a senha criptografada do root, entre no arquivo shadow, procure a linha do root e apague todos os caracteres entre o primeiro : (dois pontos) e o segundo. Exemplo:
Linha original do arquivo:
root:458:13360:0:99999:7:::
Linha modificada (sem a senha):
root::13360:0:99999:7:::
Depois disso é só reiniciar o PC normalmente e logar como root. Ele não pedirá a senha. Você deve, é claro, definir sua senha logo após o login através do comando passwd. Simples assim.

É por essas e outras que as normas de segurança e as boas práticas recomendam acesso restrito aos servidores.

Adaptado de:
Fonte: http://olinux.uol.com.br/artigos/458/1.html "

segunda-feira, 20 de abril de 2009

Três maneiras livres e fáceis de proteger sua rede

Para proteger a sua rede nem sempre é necessária a participação de um consultor de segurança.

Traduzido de Zack Stern, PC World
Publicada em 01 de abril de 2009 às 15h20


Se o worm Conficker retrancas ou fizzles, tomá-lo como um lembrete para manter as suas redes seguras. Você poderia gastar dinheiro com um consultor de segurança, o que não é tão mau investimento-se útil, mas aqui estão os três livre truques para aumentar a segurança da sua rede.

Use OpenDNS


Use OpenDNS tráfego Internet recebe encaminhados através de endereços IP; o texto que você digita uma URL como só se sente em cima desses números. Normalmente, quando você digita "pcworld.com," torna-se referenciada em um Domain Name Server diretório, depois que você rotas para o próprio endereço IP. Mas o que acontece se essa estrutura está comprometida e um atacante pode enviar o seu pedido para um endereço IP diferente?

No ano passado, um novo, desonesto ataque materializado com essa técnica. Você digita um nome confiável como uma URL, mas em vez de ser encaminhado para o servidor correto, você pode ser enviados noutro local. Você pode até ver o nome de um banco na barra de URL, mas que você não tem idéia do que você está inserindo os dados pessoais directamente para o site de um hacker.

Nome de domínio servidores e sistemas operacionais foram finalmente corrigidos para se proteger contra esse ataque. Mas o OpenDNS servidor já antecipou o problema e é rápido a reagir às ameaças. Usá-lo em vez de confiar em seus servidores de DNS do ISP.

No lado do cliente, você pode abrir as Conexões de Rede no Painel de Controle. Clique com o botão direito conexão ativa, e escolha Propriedades. Selecione Internet Protocol (TCP / IP) e clique em Propriedades. Clique no botão Usar os seguintes endereços de servidor DNS e digite 208.67.222.222 e 208.67.220.220.

Ou você pode ativá-lo em seu router, o envio de clientes DHCP esses detalhes sem intervenção adicional. O processo específico varia, mas você essencialmente login e digite os endereços IP no NAT área. Visite OpenDNS.org para alguns detalhes específicos de hardware.

Seu roteador Firmware Update

Psyb0t é um worm que foi escrito para atacar roteador de hardware directamente, incorporando dentro de si mesmo. Ele simplesmente adivinha o login ea senha para uma variedade de roteadores, começando com os padrões. No mínimo, você deve estar usando uma senha forte, especialmente porque muitos baixos final roteadores não permitem que você alterar o login ID. (Experimente uma palavra-passe de cerca de 12 caracteres com uma combinação de números, letras e símbolos.)

Tal como o seu sistema operacional, hardware empresas tipicamente patch roteadores ao longo do tempo, especialmente quando são descobertas falhas de segurança. Olha o seu modelo específico e ver se há uma atualização do firmware. Se assim for, faça o download e aplicar a revisão, que provavelmente vai protegê-lo de muitos ataques.

Desactivar administração remota


Além de atualizar o seu router firmware e dando-lhe uma senha forte, você pode fechar uma porta, desativando a administração remota. Esta opção é muitas vezes fora do padrão, mas verifique as configurações do seu roteador para dizer com certeza.

Com sobre a administração remota, alguém pode entrar em sessão a partir de fora. Eles normalmente precisam de uma senha válida, embora este acesso apresenta um outro ponto fraco na sua defesa.
Se você precisa de administrar a rede remotamente, criar uma conexão segura a um gateway VPN em sua rede, em vez de ligar a esse método aberto. (Ou use o seu router's built-in ligação segura se disponível).

quinta-feira, 16 de abril de 2009

Melhores Backups por meio da Replicação

Qual a melhor forma de proteger dados críticos? Tecnologias de replicação que combinadas fornecem o melhor backup.

Os dados críticos para os negócios estão constantemente aumentando e a maioria dos gerentes de TI é responsável por sua proteção. No entanto, ao pensar em software de replicação, eles supõem que devem escolher entre alta disponibilidade e recuperação de desastres. Embora isso possa ser verdadeiro, a rotina e a proteção automatizada de dados sempre incluirão um aspecto de fita - para o arquivamento de dados a longo prazo.

Nos últimos anos, a indústria descobriu que software de replicação e backup em fita não se excluem reciprocamente. Na realidade, as tecnologias de replicação podem complementar e aprimorar as opções existentes de software e hardware para fornecer um backup melhor.

Aprenda a criar pastas protegidas com senhas no Windows XP

Por Guilherme Felitti, repórter do IDG Now!

Publicada em 24 de novembro de 2006 às 18h35
Atualizada em 15 de março de 2009 às 17h53

São Paulo - Quer evitar que seus documentos caiam nas mãos erradas? Aprenda neste tutorial como proteger seus diretórios com senhas pessoais.

Reportagem feita a partir de dúvida de leitor; saiba mais
Na vida real ou virtual, basta que você decida ter acesso exclusivo a algo para que uma fechadura ou uma senha especial barrarem estranhos.

Por que com o Windows teria que ser diferente? Os motivos para que o usuário proteja pastas com senhas são os mais diversos.

Você pode usar um PC compartilhado, querer proteger informações confidenciais ou apenas contar com dados fundamentais que você não pode se dar ao luxo de perder.

Independente da opção, é bom aprender que o sistema operacional da Microsoft oferece a opção de trancar informações.

A função que protege seus dados estipulando senhas para pastas, no entanto, nunca foi comum ao Windows - apenas na versão XP o usuário se deparou com a possibilidade.

A falta de idéia que muitos usuários têm sobre a função se explica pelo fato de a Microsoft não permitir a definição de uma senha diretamente no diretório – todo o sistema é feito por meio da compactação de arquivos.

O processo é simples. Crie uma nova pasta no seu disco rígido para organizar todos os documentos que deverão ficar longe dos olhos alheios.

Após terminar sua seleção, selecione todos os documentos e, após apertar o botão direito do mouse sobre o grupo, escolha a opção “Pasta Compactada” dentro do menu “Enviar para”.

A pasta zipada será criada instantaneamente no mesmo diretório onde estão os arquivos originais.

Antes de estipular a senha, vale um lembrete: caso os documentos sejam realmente necessários, seria sensato guardá-los em outra mídia, no freqüente caso dos usuários se esquecer da senha definida.
Além das clássicas instruções sobre backup, outra opção é enviar sua pasta compactada, sem qualquer senha ainda, para serviços de armazenamento online ou para seu próprio e-mail, se o tamanho permitir.

Clique sobre a nova pasta compactada, que deverá ter todos os documentos selecionados, e, após clicar sobre o menu “Arquivo”, escolha a opção “Adicionar Senha”.

Na nova janela aberta, o Windows pede que o usuário digite duas vezes a senha escolhida. Confirme o termo que você escolheu e aperte “Ok”.

Pronto. Desta maneira, você criou uma pasta compactada que só pode ser acessada por usuários que saibam a senha pessoal.

Para aumentar a segurança, o usuário pode criptografar os dados. Ainda que não prime por ser a mais forte, a função impede que documentos sejam abertos fora do computador onde foram protegidos - o seu, no caso.

Selecione os documentos e, com o botão direito, clique em “Propriedades”. Na aba “Geral”, clique em “Avançado” e selecione a opção “Criptografar o conteúdo para proteger dados”.

Uma última dica: por mais difícil que seja a senha criada - confira aqui dicas para formular senhas mais fortes -, a ferramenta do Windows não impede que um usuário mal intencionado delete toda sua pasta.

Por isto, vale frisar o lembrete de que, se os dados são realmente importantes, a definição senha deve ser acompanha de um back-up.

quarta-feira, 15 de abril de 2009

Grupo baiano de desenvolvedores do KDE assume o br.kde.org

O grupo baiano de desenvolvedores do KDE, Live Blue (http://liveblue.wordpress.com
), assume a manutenção do site KDE Brasil (http://br.kde.org). O grupo é formado por estudantes e professores de Salvador responsáveis pelo desenvolvimento do Rocs (software do pacote KDE-edu para criação e manipulação de grafos), por contribuições no projeto KDevelop e participam como mentores e estudantes do Google Summer of Code 2009.

quinta-feira, 9 de abril de 2009

Apt-get atrás de um proxy

Dica útil para atualizar linux atrás de um proxy via linha de comando utilizando o apt.

Como root edite o arquivo bash.bashrc:

$ vim /etc/bash.bashrc

Acrescente as linhas abaixo no final do arquivo, substituindo os dados pelos seus:

export http_proxy=http://seu_login:sua_senha@seu_proxy.seu_domínio.com.br
:3128/

export ftp_proxy=http://seu_login:sua_senha@seu_proxy.seu_domínio.com.br
:3128/

quarta-feira, 8 de abril de 2009

Conficker

By http://penguim.wordpress.com/

No dia 1o. abril todas as midias estavam focadas em um único assunto relacionado a redes e internet. Todo o planeta estava em alerta por causa da ação de um worm chamado Conficker.
No Slashdot e em todos os sites especializados no assunto segurança da informação surgiam a cada momento novos posts sobre este o worm,.
Isto me lembra muito cerca de 09 anos atrás um worm devastador chamado Sircam, esse cara fez um estrago imenso na rede Petrobrás onde eu trabalhava na época.
Porém como não poderia deixar ser Fyodor e sua trupe criaram uma nova feature no NMAP. Esta feature permite scanear uma rede a procura por hosts infectados com o worm Conficker. .
Para isso digite o seguinte comando:
nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery --script-args safe=1 [Rede_Alvo]
Se a máquina estiver limpa surgirá o aviso: Conficker: Likely CLEAN, senão surigirá Conficker: Likely INFECTED
Divirtam-se!!!

Conhecendo o mundo do Software em Dias D'avila - Bahia

Em uma parceira com o Projeto Fedora Brasil e Projeto de Software Livre da Bahia acontecerá na cidade de Dias D'avila no dia 15 de abril de 2009.O evento tem como objetivo introduzir conceitos sobre software em geral para um público iniciante, sendo assim teremos palestras das plataformas mais populares da atualidade (Gnu/Linux e Windows).
Veja Mais: http://www.projetofedora.org/conhecendo-o-mundo-do-software-em-dias-davila-bahiaPostada por: Rafael Gomes, rafaelgomes(SEM_SPAM)projetofedora.org

Nftables, o novo firewall do Linux

» Tal como ocorreu no passado com ipfwadm e ipchains, agora toca ao iptables ir preparando-se para acabar no baú de memórias. O grupo encarregado do Netfilter publicou uma versão preliminar do que previsivelmente será seu sucessor: nftables. A nova ferramenta é mais adaptável, tem uma sintaxe mais simples e permite executar mais de uma ação por linha. O nftables é formado por três componentes: a implementação no kernel, a biblioteca de comunicação (libnl) e o frontend. O desenvolvimento do zero foi necessário, já que cada vez estavam sendo incluídas mais extensões ao netfilter que tornavam-se difíceis de manejar para quem administrava os sistemas. Foi decidido támbem remover do kernel a maior parte do sistema de avaliação de regras. O código se encontra atualmente em estado alpha, o que quer dizer que se pode começar a testá-lo.
Mais em: http://lwn.net/Articles/324251/Fonte: http://softlibre.barrapunto.com/softlibre/09/04/06/117240.shtml

sexta-feira, 20 de março de 2009

8 erros de segurança que os usuários mais cometem

(http://idgnow.uol.com.br/seguranca/2009/01/16/conheca-os-8-erros-de-seguranca-que-os-usuarios-mais-cometem-nas-empresas)
Por Lygia de Luca, repórter do IDG Now!
Publicada em 19 de janeiro de 2009 às 07h00
Atualizada em 19 de janeiro de 2009 às 10h45

São Paulo - Falta de treinamento faz com que usuários comprometam dados sigilosos e abram a porta para a entrada de malwares. Saiba mais.

erros_seguranca_88.jpgEm empresas, usuários corporativos também são usuários finais e, justamente por isso, podem comprometer a segurança do ambiente profissional, já que nem sempre sabem que põem a empresa em risco com algumas ações.

De acordo com o gerente de engenharia de sistemas da Symantec, Paulo Vendramini, é possível dizer que “alguém querendo se dar bem com um dado sigiloso corresponde a apenas 5% dos problemas". "O restante, é falta de treinamento”, explica.

Conheça os 8 erros de segurança mais comuns cometidos pelos funcionários nas empresas.

Acessar Wi-Fi público
Muitos funcionários não sabem que, quando ingenuamente conectam seus notebooks ou smartphones a uma rede aberta, todos os seus dados transitam sem proteção.

“Ali, não há criptografia ou proteção. Eu poderia até usar uma ferramenta para ficar ‘escutando a rede’”, afirma o gerente de segurança da Trend Micro, Eduardo Godinho. “Ou seja, se você acessou seu e-mail, o nome de usuário e senha trafegarão livremente na rede do aeroporto, por exemplo”.

A solução, caso o funcionário precise trabalhar nestes momentos, acessando Wi-Fi público, seria a empresa fornecer uma espécie de chave de segurança para o equipamento, segundo o gerente da Trend Micro.

Salvar dados online ou em mídias removíveis
Se a pessoa não tem um notebook da empresa, ela pode salvar arquivos no pen drive, CDs ou em aplicativos online.

“Ela não sabe se pode ou não fazer isso, e a máquina onde a mídia for usada pode estar contaminada ou o dado ser roubado”, expõe Godinho.

Além de colocar em risco as informações confidenciais da empresa, os funcionários podem contaminar o PC corporativo um código malicioso adquirido na máquina impropriamente utilizada.

Encaminhar arquivos para e-mail pessoal
Mesmo sem a intenção de burlar políticas de segurança, o usuário muitas vezes quer aproveitar um dado para usar depois, e daí o erro. “Ali, geralmente ele sai de uma estrutura segura criada, como uma Virtual Private Network (VPN)”, aponta Vendramini.

Clicar em links maliciosos
Caso a empresa não imponha limites de navegação aos seus funcionários, é comum a prática dos mesmos saírem clicando por aí, sem avaliar a procedência dos links.

“Alguns usuários dizem que, se recebem algo que desperte dúvida sobre ser malicioso ou não, eles preferem clicar na empresa, pois alegam que ali é mais seguro porque há antivírus e firewall instalados”, diz Godinho.

Segundo o gerente regional da Kaspersky Labs no Brasil, Eljo Aragão, um relatório do FBI aponta que “40% das empresas entrevistadas investem menos de 1% do budget voltado à segurança da informação na educação dos usuários”.

Por isso, “é preciso de fato definir o que pode ou não, incluindo regras para uso de e-mail, e mostrar por que há um monitoramento ou bloqueio”, aponta Aragão.

Navegação pessoal demais
A maioria dos funcionários não vê problemas em pagar uma conta pelo bankline ou acessar alguns sites, como redes sociais e lojas virtuais, durante o expediente.

Godinho cita o exemplo de uma usuária que costumava acessar com frequência um site de cosméticos, e que um spyware instalado em sua máquina detectou este hábito.

“O cracker criou um phishing especial, dizendo que ela ganharia alguns cosméticos por ser cliente preferencial, e pediu seus dados para cadastro”, conta.

O golpe é típico, mas afetou a empresa porque ela tinha acesso a sua conta bancária, informações que foram roubadas junto aos seus dados pessoais.

Cuidar mal de senhas
Aragão conta que os usuários não percebem, muitas vezes, que nas empresas cada funcionário ganha sua própria senha no sistema para mantê-la em segredo.

“Se eles compartilham, pode haver o acesso a dados que não são da competência do outro”, exemplifica o executivo da Kaspersky.

Vendramini lembra também que é preciso configurar a ativação de senhas para o bloqueio veloz de aparelhos móveis, como smartphones. “Afinal, o dispositivo não precisa ser necessariamente roubado, mas pode ter sido deixado em cima da mesa ao ir para o banheiro, e um e-mail com dados importantes ser encaminhado sem autorização”, exemplifica.

Usar PCs desconhecidos
Ao manipular dados sigilosos, é preciso ficar atento com o meio de acesso. Abrir um e-mail com informações da empresa em um PC de Lan House, por exemplo, é definitivamente má ideia, segundo Vendramini.

“Evite os computadores públicos, use a máquina da empresa ou o PC de casa, nos quais você conhece o nível de segurança”, resume.

Aragão lembra que a empresa deve incentivar que o computador do usuário seja seguro. “Para a máquina de casa, o que as empresas podem fazer é adquirir licenças para o uso doméstico, que não é exatamente o mesmo software de segurança da rede dela.”

Burlar o bloqueio de aplicativos
Hoje é comum que os usuários ignorem as ordens da empresa relacionadas aos limites de acesso - como bloquear redes sociais e comunicadores instantâneos.

“Com ferramentas de web proxy, você acessa o que quer usando um servidor de proxy, que não é o da empresa”, explica Godinho.

O bloqueio de sites não é feito à toa pelas empresas. Em recados deixados no Orkut, por exemplo, são distribuídos vários malwares, em golpes simples que pedem para o usuário 'clicar para ver fotos' - e é aí que acontece a contaminação do PC do funcionário.



O que os funcionários adoram fazer que prejudica a segurança?

(http://computerworld.uol.com.br/seguranca/2009/01/19/o-que-os-funcionarios-adoram-fazer-que-prejudica-a-seguranca)
Por Vinicius Cherobino, do COMPUTERWORLD
Publicada em 19 de janeiro de 2009 - 07h00
Atualizada em 20 de janeiro de 2009 - 16h08

Conheça histórias de gestores de segurança e educadores sobre as atitudes preferidas dos funcionários e saiba o que eles fizeram para controlá-las ou minimizar as suas consequências.

Insatisfeito com as restrições de segurança da faculdade, um aluno desenvolveu um software. Chamado U2, o programa permitia o acesso a qualquer porta do computador ao simular a passagem do tráfego pela port 80, de tráfego HTTP.

Em outras palavras, este aluno fazia tudo o que queria – navegava sem restrições, instalava programas e, até, chegou a criar uma rede P2P que funcionava 24 horas por dia.

A história é contada por Nilson Ramalho, instrutor do curso de redes na Impacta e também gerente de suporte técnico da faculdade. Segundo ele, o caso – acontecido 5 meses atrás – foi descoberto por conta do consumo na banda e gerou mudanças na estratégia de defesa. “Depois disso, adotamos gestão de identidade e acesso (IAM) para evitar problemas”, conta.

Vários outros incidentes deste tipo acontecem a todo o momento em universidades e empresas. Acostumados a navegar e usar o computador livremente em suas casas, os funcionários muitas vezes colocam as informações da empresa e a própria corporação em risco por conta dos seus hábitos.

Sites maliciosos, pornografia, programas desconhecidos, correntes de e-mail com ppts, pastas no servidor com mp3 e vídeos, portas abertas no computador, etc, etc... A lista de comportamento hostil para segurança poderia seguir indefinidamente.

Estratégia de defesa
O que o gestor de segurança ou o profissional de TI responsável pela proteção pode fazer para contornar esses comportamentos?

Álvaro Teófilo, superintendente do Centro de Operações de Segurança da Produban, empresa de Tecnologia do Grupo Santander Brasil, conta a iniciativa do grupo para o controle do vazamento de informações. A estratégia do banco pode ser encarada como uma maneira de estabelecer toda a política de segurança da informação.

“Minimizar o risco de vazamento de informação tem três dimensões: a definição das regras de manipulação de informações (por meio de políticas organizacionais), a divulgação destas regras (que chamamos de ‘planos de conscientização’) e a implantação de controles que permitam minimizar incidentes e orientar as pessoas”, conta Teófilo, em entrevista por e-mail.

Ramalho compartilha a idéia. Para ele, o maior desafio está em deixar claro para os funcionários quais são as regras e que tipo de comportamento é exigido. Depois, aconselha, é preciso apresentar as regras de maneira clara e criar maneiras de garantir que ela está sendo cumprida. “Se a regra de segurança não for auditada, ela cai em descrédito e não funciona. Só ter a ferramenta não resolve”, defende.

Para Sergio Alexandre, coordenador do MBA de segurança da informação na FIAP, a educação é o ponto principal para garantir a eficiência da política de defesa. “Só assim os usuários não vão tomar decisões que podem conflitar com a política de segurança. O papel do CSO é de facilitador, para garantir que tudo aconteça da maneira correta, mas também opressor”, afirma.

Eterno conflito
Mesmo com a educação e as normas claras, o que nenhum profissional de segurança pode esperar é plena aceitação.

Curiosidade é o motor do usuário, afirma Ramalho, ele quer descobrir o porquê ele não pode acessar ou ter determinados comportamentos. “O papel da pessoa de segurança é orientar o indivíduo e explicar as escolhas”, acredita.

Outro problema comum é a vontade dos usuários de querer ajudar os colegas de trabalho – driblando as políticas de segurança para isso. Conta Teófilo: “O compartilhamento de logins, por exemplo, é um velho problema. Ao tentar agilizar um processo, um funcionário cede o seu login para um colega. Se este colega realizar um mau uso do sistema, o funcionário que cedeu o login será responsabilizado”.

No final, a relação entre funcionários ou alunos e profissionais de segurança será sempre tensa. “O funcionário ou aluno passa por várias fases para aceitar as restrições, de negação a fúria. O desafio do profissional de segurança é ter o apoio dos funcionários”, completa Ramalho.


quinta-feira, 19 de março de 2009

Multa De 3.000 Vezes - A Grande Mentira Das Campanhas Antipirataria

Colaboração: Renato da Veiga

Data de Publicação: 08 de Setembro de 2004

Renato da Veiga é advogado

02/08/2004

O que mais se ouve dizer a propósito de pirataria de software no Brasil é que a Justiça não funciona e que, assim, a melhor solução seria fazer uma réplica do Titanic e mandar todos os juízes e advogados na viagem inaugural, como propõe um desses sites engraçadinhos na Internet. Mas é bom que se diga que, se fosse o caso, muitos empresários mereceriam também uma cabine de primeira classe nesta jornada rumo ao andar de baixo.

Como advogado, e faço questão de frisar, sou um ferrenho defensor da lei e da propriedade privada, de modo que não compactuo de modo algum com a pirataria. Mas daí a concordar com as mentiras divulgadas publicamente nas bombásticas campanhas antipirataria vai muita distância. Acho que é chegada a hora de alguém desmistificar a questão:

Existem, a rigor, dois tipos de pirataria: a primária, que é a simples duplicação de conteúdo da mídia, e a secundária, mais elaborada, que envolve a apropriação de programas-fontes e segredos internos de um produto. A primeira ocorre mais em nível de usuário e tem como alvo geralmente os produtos padronizados, de prateleira, fabricados pelas grandes corporações; já a segunda acomete mais as pequenas e médias empresas, verificando-se geralmente pela ação interna de colaboradores, que têm acesso aos fontes.

O combate à pirataria primária, que, segundo estimativas, já atinge cerca de 60% das cópias em uso no mercado, se dá basicamente através de campanhas publicitárias e ações judiciais, onde as empresas, reunidas em torno de associações de classe, ao invés de propostas educativas, tentam atemorizar o usuário irregular com ameaça de multa de 3.000 vezes o valor de cada cópia pirateada.

Só que isso é uma mentira da grossa, pois a reparação devida, para os usuários comuns, é apenas e tão somente o valor de mercado das cópias contrafeitas. A história das 3.000 vezes vem de um dispositivo da Lei de Direito Autoral que manda o contrafator, que vende produtos piratas, pagar o valor equivalente ao preço de mercado de uma edição completa da obra, arbitrada na lei em três mil exemplares, na hipótese de não ser possível apurar-se o número exato de cópias vendidas ilegalmente. Em todos os demais casos, isto é, tanto de contrafação para uso próprio como para fins de venda, a indenização é de um para um, pois, do contrário, existiria enriquecimento sem causa do fabricante, isto é, estaria ganhando mais do que ganharia vendendo o produto.

Quando flagram um usuário irregular, algumas empresas utilizam este falso argumento para extorquir o infeliz, exigindo até dez vezes mais do que o devido, dizendo que ainda estão sendo condescendente, em comparação com a tal multa de 3.000 vezes, e que esta "módica" compensação seria devida a título de dano moral, o que também é mentira: dano moral, em matéria de propriedade intelectual, só cabe quando alguém vende produto falso como se fosse verdadeiro, de modo a atingir a imagem da empresa frente ao mercado, o que jamais seria o caso de quem apenas copia irregularmente software para uso próprio.

Para sustentar esta rapinagem, as empresas costumam acenar com duas sentenças judiciais de primeira instância, uma de São Paulo e outra aqui de Porto Alegre, onde juízes que obviamente não conhecem a matéria decidiram favoravelmente a esta tese, em ações que não tiveram seguimento porque as partes rés se intimidaram e fizeram acordos. Mas é bom que se saiba que os tribunais superiores vêm matando a pau a questão, em decisões como esta:

  TRIBUNAL DE JUSTIÇA DO RIO DE JANEIRO

Apelação Cível nº 2001.001.27116.
MICROSOFT CORPORATION X ASSOCIACAO UNIVERSITÁRIA SANTA URSULA;

Direito Autoral. Ação ordinária movida por empresa titular de
programas de computador. Preliminar de extinção do processo, sem exame
do mérito, rejeitada, porque, ao contrário do que sustenta a ré, a
caução foi prestada pela autora, atendido, portanto, o disposto no
art. 835 da Lei de Ritos. No mérito, restou evidente a violação dos
direitos da autora, que detém mundialmente a propriedade dos programas
de computador que somente podem ser usados por terceiros mediante sua
autorização. No que tange ao cálculo da indenização, devem ser,
entretanto, observadas as características específicas dos programas de
computador, não podendo a indenização ultrapassar ao valor da
aquisição do programa, sob pena de enriquecimento sem causa.
Provimento parcial do recurso. Votação unânime - julgado em
16/04/2002

Assim, fica fácil entender por que certas empresas, em um primeiro momento, fazem vista grossa para a pirataria de seus produtos: é que as campanhas de regularização formam um canal de vendas dos mais polpudos, pois se aproveita da desinformação e da fragilidade jurídica do contrafator pego em flagrante para faturar os tubos. É a verdadeira doutrina do ladrão que rouba ladrão...

Então, caro leitor, ouça o meu conselho: ande na linha, não pirateie software, pois você não está sendo esperto, pelo contrário: está bancando o otário para gente muita mais esperta do que você ! Falta de dinheiro não é justificativa: vá de Linux, que é melhor e é de graça. Mas se você for pego com software proprietário em situação irregular, não se intimide. Defenda-se e jamais aceite pagar mais do que o valor das cópias em uso. A Justiça lhe dará respaldo, com toda certeza.