março 2010


Estudo: 100% dos executivos reportam ciberataques, por Thomas Claburn, InformationWeek EUA, 2010-03-25, em IT Web. A matéria informa que Pesquisa conduzida pelo Ponemon Institute no Reino Unido mostra aumento na preocupação com a proteção de dados na alta gestão (o chamado C-level, do CEO, CIO, CTO, CSO, CFO etc.).

Tão interessante quanto a reportagem, para mim, foi descobrir o trabalho do Ponemon Institute Research, que conduz pesquisas independentes sobre Privacidade e sobre Proteção de Dados e Segurança da Informação. Boa parte dos resultados dos estudos estão livremente disponíveis para download.

Ponemon Institute também é a organização pai do Conselho RIM – Responsible Information Management (RIM) Council, órgão multinacional que promove a prática do gerenciamento de informação responsável nas empresas e instituições, bem como um modelo de trabalho baseado em ética e estratégicas de longo prazo para lidar com informações pessoais e sensíveis de colaboradores, clientes e do próprio negócio.

Uma rápida pesquisa na internet me mostrou várias matérias feitas a partir de estudos publicados pelo Ponemon Institute Research. Alguns exemplos:

Dia 22 de março passado foi lançada a atualização 3.6.2 do Mozilla Firefox. Baixe agora (Firefox 3.6.2, em Português do Brasil par Windows).

A atualiza corrige uma vulnerabilidade crítica de segurança – MFSA 2010-08 (NVD CVE-2010-1028), descoberta pelo pesquisador de segurança Evgeny Legerov da empresa alemã Intevydis, e conserta mais diversas falhas de segurança adicionais e questões de estabilidade. A correção foi rapidamente disponibilizada, apenas quatro dias após a divulgação da falha e bem antes da previsão inicial.

A vulnerabilidade crítica em questão era um estouro de memória que pode ocorrer durante a rotina de descompressão de fonte Web Open Fonts Format (WOFF), que podia ser explorada por um atacante para corromper o navegador da vítima e executar código em seu sistema. O suporte ao formato de fonte baixável WOFF é novo no Firefox 3.6 (mecanismo Gecko 1.9.2), por isso a vulnerabilidade descoberta não afeta versões anteriores do Mozilla Firefox.

O navegador Mozilla Firefox na versão 3.5/3.6, segundo o teste Sunspider, tem desempenho duas vezes mais rápido que o Firefox 3 e dez vezes mais rápido que o Firefox 2. Com a correção da atualização 3.6.2, além de veloz ele permanece muito seguro.

Lançado novo Portal GRC Brasil, sobre Governança, Riscos e Conformidade (ou no original em inglês, Governance, Risk and Compliance), e com seções também sobre Pessoas e Referências Bibliográficas.

Entre os temas abordados, estão Carreira, COBIT, COSO, Gestão de Riscos, Governança Corporativa, Governança de TI, ISO 27001, ISO 38500, ITIL, Políticas de Segurança, ROI & TCO, Sourcing (Terceirização e Aquisições).

Dica do meu colega Luís Cláudio, autor do blog GR Tips.

Outras referências relacionadas ao tema:

Exibo neste artigo o passo a passo de uma fraude do tipo phishing scam (pesca-bobos) que chega por e-mail, para alertar a todos de o que é e como pode aparentar um dos muitos tipos de fraude bancária existentes na Internet.

A mensagem de e-mail

Chega por e-mail um spam, enviados a milhões de pessoas, a seguinte mensagem fraudulenta.

Uma parcela dos destinatários será realmente usuário do banco em questão (Bradesco). Destes, alguns serão ingênuos e desprevenidos o bastante para cair na farsa.

A página web

Quem clica no link da mensagem de correio eletrônico, cujo domínio é muito duvidoso (Pense: por que o banco legítimo usaria um desconhecido atendimento-v6.com e não o domínio do próprio banco bradesco.com.br? Indício claro de fraude) é direcionado para uma página web onde o Passo 1 é escolher o tipo de cliente.

A página web exibe inicialmente uma janela de diálogo para tentar “tranquilizar” o cliente otário…

“FIQUE TRANQUILO – Você está operando em um ambiente seguro e criptografado, apartir (sic) de agora somente o seu computador e os nossos servidores centrais entendem as informações digitadas.”

Ambiente seguro??? Não existe ambiente seguro se não há o protocolo HTTPS (observe nesta página de fraude o http comum, sem s, na barra de endereço), quando aparece o famoso cadeado exibido pelo próprio navegador. O cadeado vermelho exibido é uma mera imagem fajuta na página, não significa nada.

Veja a seguir imagens no Firefox (3.6) e Internet Explorer (8) exibindo uma conexão segura real. O endereço começa sempre com https (S de seguro) e o navegador exibe um cadeado. O do Firefox é no canto inferior direito da janela, na barra de estado; o do Internet Explorer 8 passou a ser exibido no final da barra de endereço.

Pessoa física – passo a passo

Os passos para pessoa física, ou clientes Prime e Private são praticamente idênticas. Veja a seguir os passos exibidos quando se escolhe Pessoa Física.


A digitação da conta inclui o requinte de efetivamente validar o dígito verificador. Se digitado incorreto, a janela de diálogo acima é exibida e não se pode prosseguir.

Na tela de digitação da senha de quatro dígitos, uma mensagem ameaçadora incentiva o usuário a continuar:

“Não cancele a atualização do Plugin de Segurança, pois ocorrerá o bloqueio imediato de sua conta por medidas de segurança.”


O script de digitação pelo telcado virtual não funciona no Firefox. No Internet Explorer a digitação funcionou, embora a diagramação da tela é que ficou incorreta, por causa de um número de controle exibido no alto. Veja a seguir.

No Passo 4 seguinte, o auge do indício total de fraude: Todos os 70 códigos do cartão de segurança emitido pelo banco são solicitados, e não apenas um como é a medida de segurança nas transações legítimas. Só o fraudador é que precisa de todos os códigos, para usar um deles que for solicitado pelo banco quando ele for utilizar os dados que está roubando aqui.


Mais uma vez, a validação. Nenhum código pode ser deixado em branco, senão uma mensagem é exibida e a fraude não prossegue.

O toque final, a senha de seis dígitos do cartão magnético. Novamente, a digitação só funciona no IE.



Pronto, fraude completa! Para quem digitou direitinho e pacientemente tudo, agora o fraudador tem todos os dados secretos da sua conta bancária e está apto a fazer qualquer transação eletrônica nesta conta.

Em um requinte de sofisticação, mais uma validação feita na fraude. Ela salva na sessão do navegador que a fraude foi concluída. Se você fizer tentativa de iniciá-la novamente, é exibida a mensagem a seguir, informando que “sua conta já foi cadastrada (isto é, roubada) com sucesso” pelo programa do fraudador.

Pessoa Jurídica

Na opção para pessoa jurídica, o Passo 2, em duas etapas, é ligeiramente diferente.


Conclusão

Banco nenhum faz recadastramento ou validação desta forma, muito menos solicitando todos os seus dados sigilosos!

Este tipo de fraude é por formulário, induzindo o próprio usuário a informar docilmente todos os seus dados em uma página de fraude que será enviada ao ladrão.

Outra técnica de fraude existente, quase sempre iniciada por uma mensagem de spam por e-mail, apresenta algum pretexto impactante/alarmante que o faça clicar em um link, baixar e instalar um programa. Este programa tipicamente é um cavalo-de-tróia (trojan) espião, que fica em execução para tentar capturar em seu computador dados bancários ou outras informações sigilosas, para enviá-las ao fraudador via internet.

Para ver mais exemplos de fraude de todos os tipos e organizadas por temas dos pretextos, veja meu artigo: Phishing Scam – A fraude inunda o correio eletrônico.

Nota: os avisos de página falsa e de classificação ruim exibidos no alto de algumas imagens são exibidos pelo Antiphishing nativo do Firefox e pelo plugin WOT, respectivamente. Para saber mais, consulte o artigo Quem avisa amigo é – Classificação de sites.

A Módulo Education fechou uma parceria com a organização global EXIN (Examination Institute for Information Science), instituto internacional que oferece certificações em segurança e tecnologia da informação. A companhia é a primeira instituição da América Latina, e a sexta no mundo, credenciada pelo EXIN, com instrutores certificados pelo instituto, para ministrar os treinamentos e provas da linha de certificações “Information Security Based on ISO/IEC 27002” do EXIN.

Com a parceria, a Módulo passa a oferecer inicialmente o curso preparatório para a certificação ISFS (Information Security Foundation Based on ISO/IEC 27002). As primeiras turmas começam já neste mês de abril.

“As certificações da EXIN vêm completar o portfólio de certificações da Módulo, encaixando-se perfeitamente em nosso framework de cursos”, declara Fernando Fonseca, Gerente de Conteúdo da Módulo Education.

Fonte: TI INSIDE Online, da Redação, segunda-feira, 22 de março de 2010, 19h45.

CISSP

Também o (ISC)² – International Information Systems Security Certification Consortium, instituição que mantém o (ISC)² CBK® (Common Body of Knowledge) [PDF], compêndio de tópicos relevantes para profissionais de segurança da informação, está ampliando sua atuação no Brasil quanto à realização da sua mundialmente reconhecida certificação Certified Information Systems Security Professional (CISSP).

A certificação CISSP já era realizada no Brasil desde 2004, trazida pela empresa Etek International (SP). Em 2010, a rede de afiliados educacionais para veiculação de treinamentos e certificações (ISC)² no país foi ampliada com mais três instituições: LanLink Informática (Nordeste, DF), Sec2b – Security to Business (RS), e Strong Security Brasil (SP).

Sugiro o portal GUIA CISSP, um Guia de Certificação CISSP independente em português, mantido pro Luciano Lima. Veja também o artigo Segurança certificada, por Aline Brandão, 28 de junho de 2007, na Revista TI Master.

A (ISC)² disponibiliza também seu Guia de Recursos para o Profissional de Segurança da Informação de Hoje (em inglês), disponível gratuitamente em PDF – Global Edition — com uma relação de centros educacionais, eventos do ano, publicações e recursos on-line relacionados a segurança da informação –, ou na versão (ISC)² Online Resource Guide.

Outras certificações

Outras reconhecidas certificações em segurança da informação são a de auditor CISA – Certified Information Systems Auditor e a de gerente CISM – Certified Information Security Manager, mantidas pela associação internacional ISACA – Information Systems Audit and Control Association, com presença no Brasil.

A própria brasileira Módulo também possui sua própria certificação MCSO – Modulo Certified Security Officer, para a qual oferece treinamentos divididos em dois módulos, MCSO I mais geral e conceitual, e MCSO II mais técnico abordando as ferramentas de segurança de TIC.

Veja também o artigo Certificação anticracker, por Viviane Zandonadi, fevereiro 2005, em INFO Online.

Se você usa uma distribuição Linux como a excelente Ubuntu, já deve estar acostumado à ferramenta de Atualização do Sistema, que regularmente detecta a existência de pacotes atualizados para todos os softwares instalados através dos repositórios e permite baixar e instalar as atualizações de forma fácil e automática.

O Windows não oferece essa mesma capacidade, de atualização centralizada dos softwares que você baixa e instala. Windows Update procura atualizações para o sistema operacional e para outros produtos Microsoft, e só.

Muitos programas oferecem a opção de procurar por suas próprias atualizações. Na maior parte dos casos, requer que você execute o software, ou ainda deixe programas de atualização distintos executando e ocupando o computador. Não costuma ser proativo nem eficiente.

Então, encontrei a ferramenta gratuita CNET TechTracker, disponibilizada por um dos maiores repositórios de software para download, o CNET Download.com.

O TechTracker possui versões para Windows e para Mac OS. A ferramenta varre seu computador e detecta, de uma extensa lista de softwares disponíveis no repositório do CNET Download.com, quais deles estão desatualizados em seu computador. Requer criar uma conta gratuita na CNET.

Testei a ferramenta e gostei do resultado. Ele identificou 26 softwares conhecidos em meu computador, quatro deles desatualizados. A lista incluiu softwares comerciais (Microsoft Office, Kaspersky Security, o utilitário TreeSize Professional etc.), livres (Firefox, Thunderbird, Notepad++, UltraVNC, PuTTY etc.), freeware (Adobe Reader, Skype, iTunes, doPDF, IrfanView etc.) e shareware (GetRight, PowerArchiver etc.).

Muito prático. Após a detecção, abre-se uma página na internet que lista os programas encontrados e oferece links para download de cada uma das atualizações disponíveis.

Pontos fracos que identifiquei:

  1. Em alguns casos, o repositório do CNET Download pode estar desatualizado em relação ao fornecedor original. Para o Skype, o TechTracker me ofereceu o download da versão 4.2.0.152, enquanto no site Skype.com já estava disponível a versão 4.2.0.155 lançada em 10 de março passado.
  2. Não distingue plataformas de 32 e 64-bits. Para o UltraVNC, o TechTracker ofereceu a versão mais recente disponível, porém o download foi para a instalação de 32-bits, quando existe instalação específica para Windows 64-bits, meu caso.

Pode não resolver todos os problemas, mas pareceu útil. Que tal você também experimentar e deixar aqui um comentário com a sua impressão?

A oferta e variedade no mercado de banda larga do Brasil tem crescido muito. Com isso, aumenta a concorrência, as promoções e ofertas de provedores.

Mas tenha muito cuidado com estas promoções. Os famosos micro preços anunciados “Banda larga por apenas R$ X*” têm sempre o famigerado asterisco no final, que aponta para as reais condições em letras miúdas.

Via de regra, as letras miúdas indicam que aquele preço é promocional apenas nos primeiros 3 — ou no máximo 6 — meses.

Por isso, recomendo fortemente que o usuário avalie o custo real considerando um prazo acumulado de no mínimo 36 meses (três anos).

Veja o que uma pequena comparação de provedores banda Oi Velox (ADSL) em Minas Gerais me revelou (sem o custo do meio de conexão, apenas o provedor de acesso):

Provedor Condições mensais ofertadas 24 m. R$ 36 m. R$ 48 m. R$
Terra 6 meses a R$ 5,90 + 18 meses a R$ 8,90; depois R$ 14,90 195,60 374,40 553,20
Uai 6 meses a R$ 3,90; depois R$ 14,90 291,60 470,40 649,20
Globo.com 3 meses a R$ 3,90; depois R$ 19,90 429,60 668,40 907,20
Oi Internet 3 meses a R$ 3,90; do 4º ao 24º mês R$ 8,50; depois R$ 29,90 190,20 549,00 907,80
UOL 3 meses a R$ 9,90; depois R$ 19,90 447,60 686,40 925,20

Valores encontrados nos URLs apontados na tabela acima, na data de hoje, para acesso Oi Velox residencial em Belo Horizonte, MG.

Análise: Antes de mais nada, não se deixe enganar pelo preço promocional dos primeiros meses. Em seguida, note que dadas as condições promocionais vigentes, até o final do segundo ano (24 meses), algumas promoções podem tornar transitoriamente o preço de alguns provedores mais vantajoso, mas no terceiro ano em diante é que a situação de longo prazo dos custos se define.

Conclusão: A menos que você pretenda usar um provedor por menos de dois anos, ou ficar todo ano horas no telefone renegociando com o provedor (com direito à tradicional ameaça do “quero cancelar!”), avalie os custos acumulados no horizonte de 36 meses ou mais. Acrescente à avaliação de custos outros benefícios oferecidos que podem ser realmente úteis a você, como conteúdo exclusivo, descontos em outros produtos e serviços etc. Estes benefícios adicionais eu não abordei aqui, pois são muito variados e sua relevância é subjetiva, depende de perfil, necessidades e interesses de cada um.

Este artigo não tem a pretensão de ser um comparativo de preços nem avaliação criteriosa. Apenas tomo uma pequena amostra para embasar o seguinte conselho: Não deixe de pesquisar suas opções!

Artigos meus já cobriram aspectos básicos de Validação de formulários HTML com JavaScript e até mais específicos como Tratamento de CPF e CNPJ em JavaScript.

Para completar, você pode querer também um controle maior de vallidação durante a digitação de um campo de formulário HTML, com o recurso de máscara de formatação.

Neste caso, não vamos reinventar a roda. Já há artigos e bibiotecas prontas para realizar esse trabalho disponíveis livremente na Internet. Em especial, gostei muito do plugin Masked Input para a bibioteca jQuery.

jQuery

Prototype

Rails

Revisei meu artigo introdutório PMBOK e Gerenciamento de Projetos, que não sofria alteração desde a primeira revisão em 6 de maio de 2007.

Atualizei um diagrama, incluí a citação de outro (com o devido crédito ao seu autor Mauro Sotille) e fiz constar a nova Quarta Edição do Guia PMBOK. Detalhes a seguir.

Diagrama das Áreas de Conhecimento — A qualidade no centro

Quando concebi o diagrama que ilustra e interrelaciona as nove áreas de conhecimento abordadas pelo PMBOK, coloquei o Escopo no centro de um triângulo ladeado por Tempo, Custos e Qualidade. Minha crença até então era que o Escopo, ou seja, o que deve ser feito no projeto, era o elemento central que realmente interessava.

Hoje, transcorridos alguns anos e várias experiências em gerenciamento de projetos, vejo que o essencial é que todo projeto existe com um objetivo. Escopo é o que deve ser feito no projeto para atingir esse objetivo, mas não necessariamente se confunde com o objetivo em si.

Dependendo de restrições e condicionantes em fatores como disponibilidade de Prazo/Tempo, Orçamento/Custo, de Recursos Humanos e capacidade ou viabilidade de Aquisições, o Escopo pode ser afetado e negociado para se equilibrar com estes demais fatores, diminuindo ou mesmo aumentando, desde que o objetivo do projeto possa ser satisfatoriamente alcançado.

E aí ocorre a palavra chave: satisfatoriamente. A condição de satisfação do objetivo está essencialmente ligada à Qualidade.

A essência da qualidade pode ser entendida como o cumprimento satisfatório das necessidades e expectativas do patrocinador e demais partes interessadas, levando em consideração principalmente o balanceamento da chamada “restrição tripla” de escopo, tempo e custo do projeto.

Portanto, é a Qualidade que agora ocupa o centro da figura, pois ela em geral é decorrência do dimensionamento do triângulo Escopo – Tempo – Custos que a envolve, bem como dos insumos de RH e Aquisições, mantendo viáveis os níveis de risco e comunicações. Ou então há a situação recíproca: os requisitos de Qualidade necessários para a satisfação do objetivo do projeto determinam o dimensionamento dos outros fatores.

Os defensores da Qualidade Total e ISO 9000 também verão mais harmonia com “a qualidade no centro de tudo”.

Portanto, uma pequena mudança na figura, mas uma razoável evolução na compreensão e interpretação por trás dela.

Para saber mais:

Quarta Edição do Guia PMBOK

Em 31 de dezembro de 2008, o PMI lançou versões atualizadas de quatro de seus padrões globais, incluisive A Guide to the Project Management Body of Knowledge – PMBOK ® Guide — Fourth Edition. A versão em português brasileiro do Guia PMBOK 4ª Edição (Um Guia do Conhecimento em Gerenciamento de Projetos) foi publicada em outubro 2009 (o PDF já fora disponibilizado aos membros do PMI em junho).

Aproveito para resumir a seguir as principais diferenças da Terceira para a Quarta edições do PMBOK:

  1. Todos os nomes de processos agora estão no formato verbo-substantivo. Antes alguns nomes de processo seguiam este formato, como “Realizar o controle da qualidade”, enquanto outros usavam o substantivo da ação e foram padronizados, por exemplo: Planejamento da qualidade se tornou Planejar a qualidade, e assim por diante: “Controle” por “Controlar”, “Definição” por “Definir”, “Estimativa” por “Estimar” etc.
  2. O número de processos foi reduzido de 44 para 42. Dois processos foram excluídos, dois foram adicionados e seis foram reconfigurados em quatro processos na área de conhecimento em Gerenciamento das Aquisições do Projeto. A saber:
    • Eliminado 4.2 – Desenvolver a declaração do escopo preliminar do projeto, já que o termo de abertura do projeto contém vários dos objetivos preliminares e já que esses objetivos são elaborados na declaração de escopo.
    • O 4.7 – Encerrar o projeto foi renumerado e alterado para 4.6 – Encerrar o projeto ou fase.
    • 5.1 – Planejamento do escopo foi substituído por 5.1 – Coletar os requisitos.
    • 9.4 – Gerenciar a equipe do projeto mudou de um processo do grupo de Controle para o grupo de Execução.
    • Adicionado 10.1 – Identificar as partes interessadas.
    • 10.4 – Gerenciar as partes interessadas foi alterado para Gerenciar as expectativas das partes interessadas e passou do grupo de Controle para o de Execução.
    • 12.1 – Planejar compras e aquisições e 12.2 – Planejar contratações foram unificados como 12.1 – Planejar as aquisições.
    • 12.3 – Solicitar respostas de fornecedores e 12.4 – Selecionar fornecedores foram unificados como 12.2 – Realizar as aquisições.
  3. A fim de proporcionar maior clareza, uma distinção foi feita entre o plano de gerenciamento do projeto e os documentos do projeto usados para gerenciá-lo.
  4. Foi empregada uma abordagem padrão à discussão de fatores ambientais da empresa e de ativos de processos organizacionais.
  5. Foi empregada uma abordagem padrão à discussão de mudanças, ações preventivas e corretivas e reparos de defeitos.

Para saber mais:

Diagrama dos processos de gerenciamento de projeto

O artigo abordava resumidamente as nove áreas de conhecimento do PMBOK e os cinco grupos de processos do gerenciamento de projetos. Faltava porém fazer um breve visão geral dos processos em si, correlacionando-os com os grupos em que são organizados e com as respectivas áreas de conhecimento relativa a cada um.

Um diagrama do professor Mauro Afonso Sotille, da PM Tech Capacitação em Gerenciamento de Projetos, cumpre essa lacuna de forma simples, clara e brilhante. Assim, incluí a reprodução e referência de uma versão deste diagrama, já atualizada para a 4ª Edição do PMBOK. Muito obrigado e parabéns, caro Mauro!

Direitos autoriais e de uso

Contudo, termino este post com uma triste e indignada constatação de que os brasileiros na internet ainda não compreendem a seriedade e importância de respeito aos direitos autorais.

Há mais de 15 anos eu mantenho um web site onde escrevo e publico considerável volume de conteúdo, compartilhando conhecimento e informação com toda a internet.

Todo o material que crio em meu site e em meu blog está publicamente disponível, contudo, tanto no blog quando no rodapé de todos os artigos do site há uma simples e clara indicação dos direitos autorais e condições de uso:

© Márcio d’Ávila, mhavila.com.br, direitos reservados. O texto e código-fonte apresentados podem ser referenciados, distribuídos e utilizados, desde que expressamente citada esta fonte e o crédito do(s) autor(es).

A licença formal que escolhi para reger os direitos reservados é a simples e liberal Creative Commons BY-SA versão 2.5, cujos termos não são nada burocráticos, jurídicos ou incompreensíveis. Pelo contrário, são muito simples e claros em bom português:

Você tem a liberdade de:

  • Compartilhar — copiar, distribuir e transmitir a obra.
  • Remixar — criar obras derivadas.

Sob as seguintes condições:

  • Atribuição — Você deve creditar a obra da forma especificada pelo autor ou licenciante (mas não de maneira que sugira que estes concedem qualquer aval a você ou ao seu uso da obra).
  • Compartilhamento pela mesma licença — Se você alterar, transformar ou criar em cima desta obra, você poderá distribuir a obra resultante apenas sob a mesma licença, ou sob uma licença similar à presente.

E não é que ainda assim encontro na Internet reproduções de meus textos feitos com um descarado copiar-e-colar sem as duas coisas tão simples que peço: citar minha autoria e a referência à página original? Francamente!…

Só sobre este artigo, eis dois maus exemplos:

Atualizações para os usuários Windows amantes das belas fontes do processador de documentos TeX, criado pelo célebre professor Donald Knuth no final da década de 70 mais ainda popular no meio técnico-científico acadêmico.

Revisei novamente meu artigo Fontes para os amantes do TeX, contemplando as versões atualizadas Computer Moder Unicode (CMU) 0.7.0, de junho 2009, e Latin Modern (LM) 2.004, de outubro 2009.

Incluí também imagens de amostra das duas famílias de fontes no artigo, para quem quiser conferir a aparência delas.

Próxima Página »