Blog do Márcio d'Ávila

A equipe de analistas de segurança da empresa russa Kaspersky, fornecedora de um dos mais eficientes e conceituados antivírus do mercado e outros produtos para segurança de computadores e redes, divulgou em 17 de fevereiro deste ano o boletim anual de segurança relativo a 2009.

O Kaspersky Security Bulletin 2009 é dividido em três partes:

1. Malware Evolution 2009, por Eugene Aseev, Alexander Gostev e Denis Maslennikov. Analisa tendências dos últimos anos, análise de 2009 (aumento da sofisticação, epidemias, fraudes, malware para plataformas e dispositivos não usuais), previsões.
2. Statistics, 2009, por Eugene Aseev e Alexander Gostev. As estatísticas abordam programas maliciosos na Internet (ataques via Web), e os Top 20 em 2009 para códigos maliciosos na Internet, países hospedando malware e países atacados.
3. Spam Evolution 2009, por Elena Bondarenko, Darya Gudkova e Maria Namestnikova. Aborda uma visão geral do ano, spam no tráfego de correio, fontes de spam, categorias, fraudes (phishing, scam), tipos e tamanhos, métodos e truques dos spammers, spam nos sites de redes sociais, malware em email, e conclusões.

Os dados e informações, como sempre infelizmente, assustam.

Além do boom de novos malwares observados em 2008 — devido a fatores como rápida evolução da criação de virus na China, evolução das tecnologias de infecção de arquivos, e solidificação de vetores de ataque –, 2009 manteve taxa de surgimento de malware próxima a 2008 e ainda os programas maliciosos se tornaram significativamente mais complexos e sofisticados.

Com a evolução e popularização dos smartphones, observa-se um razoável movimento de surgimento de malware para dispositivos móveis. Embora o número absoluto de novos malwares em 2009 não pareça grande, 257, representa um aumento próximo a 80% em relação a 2008.

China aparece como hospedeiro de mais da metada de todo malware mundial (52,7%), seguida por Estados Unidos (19,02%). Em terceiro e quarto no ranking vem Países Baixos (5,86%) e Alemanha (5,07%). Brasil aparece em décimo-terceiro da lista, responsável por apenas 0,44%.

A China também é o maior alvo de ataques, 46,75% deles. EUA também são segundo como alvo, mas em apenas 6,64% do total. Rússia em terceiro (5,83%), Índia quarto (4,54%), seguidos por Alemanha (2,53%), Reino Unido (2,25%), Arábia Saudita (1,81%) e, em oitavo, Brasil (1,78%).

Softwares populares têm suas vulnerabilidades mais exploradas. Não por acaso, Microsoft (Office, serviços XML), Apple (QuickTime + iTunes), Adobe (Flash Player) e Sun (Java) fecham o ranking das 20 vulnerabilidades mais críticas que responderam por 90% dos arquivos/aplicações vulneráveis no ano.

Considerando a base instalada de programas, os aplicativos mais perigosos de 2009 foram, nessa ordem:

1. Apple QuickTime
2. Microsoft Office
3. Adobe Flash Player

Quantos aos insuportáveis spams, é muito triste constatar que mais de 80% de todo o tráfego de correio eletrônico no mundo é de lixo.

Estados Unidos (16%), Rússia (8,5%) e Brasil (7,6%) são as maiores origens de spam, proliferando a divulgação de medicamentos (“viagra” e afins), diplomas e outros lixos.

No segundo semestre de 2009, quase 10% do spam envolveu mensagens fraudulentas, em phishing e scam. Eu apostaria que especificamente no Brasil, esse percentual deve ser bem maior, pela quantidade enorme de fraudes que vejo circular por aqui.

A Módulo Education fechou uma parceria com a organização global EXIN (Examination Institute for Information Science), instituto internacional que oferece certificações em segurança e tecnologia da informação. A companhia é a primeira instituição da América Latina, e a sexta no mundo, credenciada pelo EXIN, com instrutores certificados pelo instituto, para ministrar os treinamentos e provas da linha de certificações “Information Security Based on ISO/IEC 27002″ do EXIN.

Com a parceria, a Módulo passa a oferecer inicialmente o curso preparatório para a certificação ISFS (Information Security Foundation Based on ISO/IEC 27002). As primeiras turmas começam já neste mês de abril.

“As certificações da EXIN vêm completar o portfólio de certificações da Módulo, encaixando-se perfeitamente em nosso framework de cursos”, declara Fernando Fonseca, Gerente de Conteúdo da Módulo Education.

Fonte: TI INSIDE Online, da Redação, segunda-feira, 22 de março de 2010, 19h45.

CISSP

Também o (ISC)² – International Information Systems Security Certification Consortium, instituição que mantém o (ISC)² CBK® (Common Body of Knowledge) [PDF], compêndio de tópicos relevantes para profissionais de segurança da informação, está ampliando sua atuação no Brasil quanto à realização da sua mundialmente reconhecida certificação Certified Information Systems Security Professional (CISSP).

A certificação CISSP já era realizada no Brasil desde 2004, trazida pela empresa Etek International (SP). Em 2010, a rede de afiliados educacionais para veiculação de treinamentos e certificações (ISC)² no país foi ampliada com mais três instituições: LanLink Informática (Nordeste, DF), Sec2b – Security to Business (RS), e Strong Security Brasil (SP).

Sugiro o portal GUIA CISSP, um Guia de Certificação CISSP independente em português, mantido pro Luciano Lima. Veja também o artigo Segurança certificada, por Aline Brandão, 28 de junho de 2007, na Revista TI Master.

A (ISC)² disponibiliza também seu Guia de Recursos para o Profissional de Segurança da Informação de Hoje (em inglês), disponível gratuitamente em PDF – Global Edition — com uma relação de centros educacionais, eventos do ano, publicações e recursos on-line relacionados a segurança da informação –, ou na versão (ISC)² Online Resource Guide.

Outras certificações

Outras reconhecidas certificações em segurança da informação são a de auditor CISA – Certified Information Systems Auditor e a de gerente CISM – Certified Information Security Manager, mantidas pela associação internacional ISACA – Information Systems Audit and Control Association, com presença no Brasil.

A própria brasileira Módulo também possui sua própria certificação MCSO – Modulo Certified Security Officer, para a qual oferece treinamentos divididos em dois módulos, MCSO I mais geral e conceitual, e MCSO II mais técnico abordando as ferramentas de segurança de TIC.

Veja também o artigo Certificação anticracker, por Viviane Zandonadi, fevereiro 2005, em INFO Online.

O interessante artigo A ITIL E A ISO/IEC 20000 – O que elas têm em comum?, por Luciene Rosa, publicado em 11 de janeiro no portal de conteúdo da empresa Módulo, aborda e correlaciona dois dos principais modelos amplamente reconhecidos para o Gerenciamento de Serviços de TI (GSTI): ITIL e ISO 20000.

ITIL — Information Technology Infrastructure Library — é um conjunto de melhores práticas aplicáveis a infraestrutura, operação e manutenção de serviços de tecnologia da informação (TI). Foi desenvolvido no final dos anos 1980 pela CCTA (Central Computer and Telecommunications Agency) e atualmente está sob custódia do OGC (Office for Government Commerce) da Inglaterra.

Já a NBR ISO/IEC 20000 — Tecnologia da Informação – Gerenciamento de serviços — é a primeira norma internacional que visa definir um padrão mundial para o GSTI, através da uniformização dos conceitos e da visão dos processos que o implementam. Oriunda do padrão britânico BS 15000, foi evoluída para norma internacional pelo ISO/IEC em 2005, e publicada em português no Brasil pela ABNT em 2008.

Ficou de fora do artigo citado o modelo COBIT — Control Objectives for Information and related Technology — publicado pelo IT Governance Institute (ITGI), Information Systems Audit and Control Association (ISACA), EUA, que tem foco na gestão dos serviços de TI, abordando aspectos como controle, segurança e governança nos domínios de planejamento e organização, aquisições e implementação, entrega e suporte, e monitoramento e avaliação.

Para saber mais: referências sobre Governança e Gerenciamento de Serviços de TI, por Márcio d’Ávila.

“Para realizar grandes conquistas, devemos não apenas agir, mas também sonhar; não apenas planejar, mas também acreditar.”

– Anatole France

Anatole France é pseudônimo do escritor francês Jacques Anatole François Thimbaut (☆ 16/abr/1844 – † 12/out/1924), ganhador do Prêmio Nobel de Literatura em 1921. Nasceu em Paris e, filho de livreiro, dedicou-se desde cedo às atividades literárias.

São atribuídas a ele a frase citada e muitas outras interessantes.

Jakub Korab postou no dia 12 passado, em Javalobby, uma listagem comentada muito interessante chamada The Best Java Tools You Never Knew Existed, ou “As melhores ferramentas Java que você nem sabia que existiam”.

Muito útil, vale a pena a ler e conhecer as ferramentas que você eventualmente ainda não conheça. O post apresenta links para todas as ferramentas listas.

Por falar nisso, eu mantenho listagens de Ferramentas de Software e de Bibliotecas e APIs para Java em meu site de referências Márcio’s Hyperlink, ambas organizadas em sub-categorias. Apesar de minha coletânea ser bem mais ampla, depois que li o artigo citado, vejo que tenho algumas novidades para acrescentar lá.

Terminou dia 9 nos Estados Unidos o JavaOne 2008, maior evento Java mundial, e as novidades e reflexões sobre o universo Java decorrentes desta conferência ainda devem ecoar em artigos de portais, blogs e revistas nas próximas semanas.

Chamo a atenção para uma nota curta postada pelo Java Champion Adam Bien, durante o evento no dia 8, da qual faço uma tradução livre aqui:

Durante um painel no Comunity Corner [do JavaOne] (java.net booth) com James Gosling, um participante lhe perguntou uma questão interessante: “Qual linguagem de programação você usaria *agora* sobre a JVM, exceto Java?”. A resposta foi surpreendentemente rápida e muito clara: – Scala.

Scala é uma linguagem de programação que incorpora recursos de linguagens orientadas a objetos e funcionais. A implementação de Scala é software livre de código aberto e roda sobre a JVM (JDK 1.4 ou superior), sendo interoperável com Java.

O paradigma de programação funcional, que trata a computação como uma avaliação de funções matemáticas e que evita estados ou dados mutáveis [Wikipédia] — baseado na teoria do cálculo lâmbda –, tem começado a ganhar evidência como tendência no meio acadêmico e na mídia técnica especializada.

Talvez por isso a escolha de Gosling por Scala, que incorpora programação funcional, tenha sido tão imediata. Alternativas existentes de linguagem de programação para a JVM atualmente, além de Java e Scala, incluem Groovy, JRuby (Ruby) e Jython (Python).

Um bom artigo introdutório sobre programação funcional é Functional Programming For The Rest of Us (em inglês), 2006-06-19, em defmacro.

E no tópico Outros Ambientes e Linguagens JVM em meu site de referências você encontra mais links úteis, inclusive a série de artigos Roundup: Scala for Java Refugees, recomendado por Ron Francis para quem quer transitar de Java para Scala, um caminho suave segundo Joel Neely.

Para quem começar a programar em Scala, é bom saber que há um Scala Plugin para Eclipse 3.3. E um plug-in Scala para NetBeans 6 está a caminho, sendo desenvolvido por Caoyuan Deng.

Para saber mais:

• Referências sobre Scala.

Elomar França, de Natal, RN, está fazendo em seu blog um trabalho super legal e útil de tradução dos tutoriais do portal HTML Dog para o português.

Em ritmo de um post por capítulo, na segunda quinzena de fevereiro ele traduziu o Tutorial Iniciante de HTML. E no início de março já veio todo o Tutorial Iniciante de CSS.

O portal HTML Dog ainda oferece mais quatro tutoriais, nos níveis Intermediário e Avançado para HTML e CSS, que Elomar promete traduzir. Parabéns pela iniciativa e pelo trabalho excelentes, Elomar!

Você sabe O que é e como lidar com um Troll na web?

Eu não sabia, mesmo já tendo me deparado com alguns internet afora.

Para saber o que são Trolls na web e ainda aproveitar dez dicas de como lidar com eles, basta seguir o link anterior e ler o interessante artigo do repórter Guilherme Neves, de 29 de janeiro.

Junto com André Crespani, Guilherme edita o blog Infosfera, canal de Tecnologia do portal ClickRBS, RS/SC.

Lendo o artigo ODF em 2008 (2007-12-14) no blog de Cezar Taurion, Gerente de Novas Tecnologias da IBM Brasil, fiquei sabendo que o padrão ISO/IEC 26300:2006 — que normatiza o OpenDocument Format (ODF) — foi recentemente traduzido para o português pela ABNT.

O trabalho foi liderado por Jomar Silva, Coordenador do GT2 da Comissão de Estudo CE-21:034.00 ABNT e Diretor da ODF Alliance no Brasil.

Tanto o documento do padrão ISO/IEC 26300:2006 original em inglês quanto a tradução para português estão livremente disponíveis para baixar:

• Information technology — Open Document Format for Office Applications (OpenDocument) v1.0. ISO/IEC 26300:2006(E) Second Edition, 2006-07-19: download do ZIP contendo a segunda edição, nos formatos XHTML e ODT (requer o aceite dos termos de licenciamento antes de baixar).
• ISO/IEC 26300:2006(E) First Edition, 2006-12-01: download do ZIP contendo o PDF da primeira edição (requer aceite).
• Formato Aberto de Documento para Aplicações de Escritório (OpenDocument) v1.0, Segunda Edição (PDF).

OpenDocument Format (ODF) é o formato aberto de documentos de escritório (texto, planilha, apresentação), utilizado por pacotes de escritório software livre como OpenOffice.org e IBM Symphony, padronizado pela OASIS e que se tornou um padrão internacional ISO em 2006.

A leitura do artigo de Cezar Taurion é interessante. Recomendo também meus posts OOXML não aprovado como padrão ISO e Microsoft Office “Open” XML, que dão uma visão geral do debate entre ODF e a tentativa (frustrada até agora) da Microsoft em tornar o formato OOXML do Microsoft Office 2007 também um padrão ISO.

Se você busca alguma inspiração em tecnologia de sistemas de informação durante o fim de semana, eis aqui dois artigos que recomendo.

Bruce Eckel, palestrante e autor do excelente livro “Thinking in Java”, escreveu o provocativo Java, Evolutionary Dead End (em inglês), 2008-01-03. O autor afirma que Java não deveria mudar muito mais, pois ele considera mais importe a linguagem buscar se manter estável (como C ou C++) do que do que evoluir incorporando recursos.

A tecnologia Java pode evoluir (plataformas, APIs) sem que a linguagem de programação Java mude tanto? São alternativas viáveis novas linguagens de programação como Groovy e Scala — sem falar das adaptações JRuby e Jython — que vão surgindo e podem rodar sobre JVM?

Veja também a discussão do artigo em TSS.

The 50 Most Popular Web Design Blog Posts, Resources & Cheat Sheets of 2007 (em inglês), por Eric Hebert, 2008-01-03, em Crestock.com Blog, faz um interessante tour por 2007 em uma coletânea de 50 artigos de destaque sobre temas de design gráfico e de interação: fundamentos e princípios, cor, gráficos e ícones, fotos, CSS, fonte e texto, layout e outros. Se o assunto interessa a você, vale a viagem.

Aproveito para dizer que atualizei o artigo Codificação de caractere e o Ubuntu pt_BR, de 2006-09-24, após refletir sobre o comentário do leitor ZeroA4 e o artigo Unicode de Rafael Benevides. Como resultado, adicionei um tópico final “Olhando à frente para internacionalização”.