Stallings em português sobre segurança

Há poucos meses, no artigo Referências sobre segurança, eu citei os livros sobre segurança de computadores do pesquisar Matt Bishop.

Ele tem um livro de “introdução” sobre segurança de computadores, com 784 páginas, e outro ainda mais completo, com 1.136 páginas. Os livros, por enquanto disponíveis apenas em inglês, podem ser usados como livro texto em cursos acadêmicos sobre segurança de computadores, em nível de regular (graduação) e avançado (pós), respectivamente. O autor disponibiliza inclusive slides para um curso baseados em cada um dos livros, em seu site.

Outro grande autor acadêmico que segue a mesma linha de oferecer um livro mais fundamental e outro mais avançado em segurança de computadores é William Stallings.

Com foco em criptografia e segurança de redes, os livros de Stallings também são excelentes como livro texto em cursos acadêmicos introdutório e avançado. As edições originais americanas dos livros de Stallings foram atualizadas recentemente em 2010.

Capa do livro: Network Security Essentials Capa do livro: Crytography and Network Security

Network Security Essentials: Applications and Standards
Autor: William Stallings. 432 páginas. Publisher (Editora) Prentice Hall, 4th edition, 2010-03-12. ISBN-10: 0136108059, ISBN-13: 9780136108054.

Cryptography and Network Security: Principles and Practice
Autor: William Stallings. 744 páginas. Publisher Prentice Hall, 5th edition, 2010-01-14. ISBN-10: 0136097049, ISBN-13: 9780136097044.

Capa do livro Stallings em português

A boa nova que descobri recentemente foi que o livro mais completo do Stallings também está disponível em português. Embora tradução da penúltima edição de 2008, já é um importante incentivo para ampliar a popularidade e adoção do livro em escolas no Brasil.

Melhor ainda será se a Pearson Brasil continuar o trabalho de localização, trazendo para o português a atualização de edições e também a tradução do livro introdutório.

Criptografia e segurança de redes – Princípios e práticas
Autor: William Stallings. 512 páginas. Editora Pearson Brasil. 4ª edição, 2008. ISBN-13: 9788576051190, ISBN-10: 8576051192.

Recursos adicionais para professores e estudantes.

Compare preços no Buscapé (8576051192).

Para saber mais:

Livros sobre segurança em sistemas de informação

O Brasil está mandando bem em bibliografia relativa a segurança em sistemas de informação. Há pelo menos dois bons livros de autores brasileiros neste segmento.

Capa do livro: Segurança e Auditoria em Sistemas de Informação Segurança e Auditoria em Sistemas de Informação
Autor: Maurício Rocha Lyra.
264 páginas, Editora Ciência Moderna, 1ª edição, 2009.
ISBN-10: 8573937475. ISBN-13: 9788573937473.

Esta obra procura tratar da integração entre a Engenharia de Software e a Segurança da Informação, apresentando o conteúdo em quatro grupos: Segurança da Informação, Segurança no Contexto do Desenvolvimento de Software, Auditoria em Sistemas de Informação, Administração Estratégica da Segurança da Informação. O livro traz ainda um resumo das normas NBR ISO/IEC 17.799 (27002) e ISO/IEC 15.408.

Compare preços no Buscapé (8573937475).

Capa do livro: Segurança no Desenvolvimento de Software Segurança no Desenvolvimento de Software – Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com base na ISO 15.408.
Autores: Ricardo Albuquerque; Bruno Ribeiro.
336 páginas, Editora Campus/Elsevier, 1ª edição, 16/08/2002.
ISBN-10: 85-352-1095-4. ISBN-13: 978-85-352-1095-8.

O livro foi elaborado em parceria com a gigante de software Microsoft e com especialistas da empresa brasileira Modulo Security.

Compare preços no Buscapé (8535210954).

Para saber mais:

Também no tema de certificação digital, cuja utilização cada vez mais se populariza no Brasil e no mundo, estamos bem servidos de autores brasileiros.

Capa do livro: Certificação Digital Certificação Digital – Conceitos e Aplicações – Modelos Brasileiro e Australiano
Autores: Luiz Gustavo Cordeiro da Silva; e outros — Paulo Caetano da Silva; Marcelo Ferreira de Lima; Ivanildo José de Sousa Aquino Júnior; Eduardo Mazza Batista; Herbert Otto Homolka.
224 páginas, Editora Ciência Moderna, 1ª edição, 2008.
ISBN-10: 857393655X. ISBN-13: 978857393655.

Compare preços no Buscapé (857393655x).

Capa do livro: PKI Public Key Infrastructure – PKI – Conheça a Infraestrutura de Chaves Públicas e a Certificação Digital
Autor: Lino Sarlo da Silva.
352 páginas, Novatec Editora, 1ª edição, 2004.
ISBN-10: 85-7522-046-2.

Compare preços no Buscapé (8575220462).

Capa do livro: CCD Centro de Certificação Digital: Construção, Administração e Manutenção
Autora: Clarissa P. da Luz.
352 páginas, Editora Ciência Moderna, 1ª edição, 2008.
ISBN-10: 8573936932. ISBN-13: 9788573936933.

Compare preços no Buscapé (8573936932).

Para saber mais:

E sobre segurança da informação em geral, começo citando a série de livros de Edison Fontes, profissional, orientador acadêmico e consultor de segurança da informação desde 1989, colunista do site IT Web.

Capa do livro: Praticando a Segurança da Informação Capa do livro: Segurança da Informação: O Usuário Faz a Diferença Capa do livro: Vivendo a Segurança da Informação

Praticando a Segurança da Informação
308 páginas, Editora Brasport Livros e Multimídia, 1ª edição, 28/07/2008.
ISBN-10: 8574523828. ISBN-13: 9788574523828.

Comparece preços no Buscapé (8574523828).

Segurança da Informação: O Usuário Faz a Diferença
280 páginas, acompanha CD-ROM, Editora Saraiva, 1ª edição, 2005-2006.
ISBN-10: 8502054422. ISBN-13: 9788502054424.

Comparece preços no Buscapé (8502054422).

Vivendo a Segurança da Informação
208 Páginas, Editora Sicurezza, 1ª edição, 2000.
ISBN-10: 8587297031. ISBN-13: 9788587297037.

Comparece preços no Buscapé (8587297031).

Também sobre os aspectos de gestão da segurança da informação e a implantação de políticas há bibliografia nacional.

Capa do livro: Política de Segurança da Informação Política de Segurança da Informação – Guia prático para elaboração e implementação
Autores: Fernando Nicolau Freitas Ferreira; Márcio Tadeu de Araújo.
264 páginas, Editora Ciência Moderna, 2ª edição revisada e ampliada, 2008. Acompanha CD-ROM.
ISBN-10: 8573937718. ISBN-13: 9788573937718.

No site do autor você encontra mais informações sobre seus livros.

Comparece preços no Buscapé (8573937718).

Capa do livro: Segurança da Informação Segurança da Informação – Uma Visão Inovadora da Gestão
Autor: Gustavo Alberto Alves.
128 páginas, Editora Ciência Moderna, 1ª edição, 2006.
ISBN-10: 8573934727.

O crédito da imagem aqui exibida da capa do livro é do Linux Mall.

Comparece preços no Buscapé (8573934727).

Capa do livro: Gestão da Segurança da Informação Gestão da Segurança da Informação: uma visão executiva
Autor: Marcos Sêmola.
184 páginas, Editora Campus Elsevier, 1ª edição, 11/12/2002.
ISBN-10: 85-352-1191-8. ISBN-13: 978-85-352-1191-7.

Este livro, também produzido em parceria com a empresa Modulo Security, foi indicado ao Prêmio JABUTI 2003. No site do autor você encontra o índice do livro.

Comparece preços no Buscapé (8535211918).

Para saber mais:

Oracle compra empresa de segurança para bancos de dados

Fonte: IT Web
Por Charles Babcock, InformationWeek EUA, 21/05/2010.

Secerno oferece firewalls para proteção externa para banco de dados.

A Oracle irá adquirir a Secerno, fornecedora de firewalls que trabalha para proteger sistemas de bancos de dados. O valor pago pela companhia de capita fechado sediada em Oxford (Inglaterra) não foi revela. A expectativa é de conclusão do negócio no final de junho.

A companhia já oferece uma série de soluções para proteção interna de seus sistemas. A Secerno acrescenta uma camada externa de proteção à solução, comentou Andrew Mendelsohn, vice-presidente-sênior de tecnologias para servidores de banco de dados.

O appliance de firewall Secerno DataWall inspeciona comandos e consultas nos bancos de dados para se certificar que não contêm comandos falsos ou representem alguma espécie de demanda inadequada.

Informação postada no site da empresa adquirida diz que a solução pode ser configurada para bloquear atividades com base no perfil de usuários, nome de domínio, aplicação ou origem de programa de comando.

Um relatório de dezembro de 2009 da Forrester Research diz que “o acesso inapropriado por funcionários sem privilégios continua a ser uma questão de segurança a ser considerada”.

A Oracle enxerga a compra como uma forma de reduzir riscos e incrementar níveis de segurança, pontos apontados como desafiadores no cenário atual. A tecnologia da companhia adquirida é tida como uma primeira linha de defesa.

Referências sobre segurança

Referências que conheci recentemente sobre segurança da informação e de computadores e redes. Não necessariamente são novas, mas ainda não adicionei ao meu portal de referências Hyperlink. Confira aqui desde já.

Livros

Livros sobre segurança de computadores do pesquisador Matt Bishop.

Publicações especiais sobre segurança em tecnologia, do Instituto de Padrões e Tecnologia (NIST), Administração de Tecnologia do Departamento de Comércio dos EUA. A primeira e mais famosa publicação é o Handbook de introdução a segurança de computadores, mas existem dezenas de outras disponíveis.

Recursos

Java

Para saber mais:

Pesquisas de privacidade e segurança – Ponemon Institute

Estudo: 100% dos executivos reportam ciberataques, por Thomas Claburn, InformationWeek EUA, 2010-03-25, em IT Web. A matéria informa que Pesquisa conduzida pelo Ponemon Institute no Reino Unido mostra aumento na preocupação com a proteção de dados na alta gestão (o chamado C-level, do CEO, CIO, CTO, CSO, CFO etc.).

Tão interessante quanto a reportagem, para mim, foi descobrir o trabalho do Ponemon Institute Research, que conduz pesquisas independentes sobre Privacidade e sobre Proteção de Dados e Segurança da Informação. Boa parte dos resultados dos estudos estão livremente disponíveis para download.

Ponemon Institute também é a organização pai do Conselho RIM – Responsible Information Management (RIM) Council, órgão multinacional que promove a prática do gerenciamento de informação responsável nas empresas e instituições, bem como um modelo de trabalho baseado em ética e estratégicas de longo prazo para lidar com informações pessoais e sensíveis de colaboradores, clientes e do próprio negócio.

Uma rápida pesquisa na internet me mostrou várias matérias feitas a partir de estudos publicados pelo Ponemon Institute Research. Alguns exemplos:

Firefox 6.3.2 corrige falha em nova funcionalidade

Dia 22 de março passado foi lançada a atualização 3.6.2 do Mozilla Firefox. Baixe agora (Firefox 3.6.2, em Português do Brasil par Windows).

A atualiza corrige uma vulnerabilidade crítica de segurança – MFSA 2010-08 (NVD CVE-2010-1028), descoberta pelo pesquisador de segurança Evgeny Legerov da empresa alemã Intevydis, e conserta mais diversas falhas de segurança adicionais e questões de estabilidade. A correção foi rapidamente disponibilizada, apenas quatro dias após a divulgação da falha e bem antes da previsão inicial.

A vulnerabilidade crítica em questão era um estouro de memória que pode ocorrer durante a rotina de descompressão de fonte Web Open Fonts Format (WOFF), que podia ser explorada por um atacante para corromper o navegador da vítima e executar código em seu sistema. O suporte ao formato de fonte baixável WOFF é novo no Firefox 3.6 (mecanismo Gecko 1.9.2), por isso a vulnerabilidade descoberta não afeta versões anteriores do Mozilla Firefox.

O navegador Mozilla Firefox na versão 3.5/3.6, segundo o teste Sunspider, tem desempenho duas vezes mais rápido que o Firefox 3 e dez vezes mais rápido que o Firefox 2. Com a correção da atualização 3.6.2, além de veloz ele permanece muito seguro.

GRC Brasil

Lançado novo Portal GRC Brasil, sobre Governança, Riscos e Conformidade (ou no original em inglês, Governance, Risk and Compliance), e com seções também sobre Pessoas e Referências Bibliográficas.

Entre os temas abordados, estão Carreira, COBIT, COSO, Gestão de Riscos, Governança Corporativa, Governança de TI, ISO 27001, ISO 38500, ITIL, Políticas de Segurança, ROI & TCO, Sourcing (Terceirização e Aquisições).

Dica do meu colega Luís Cláudio, autor do blog GR Tips.

Outras referências relacionadas ao tema:

Fraude “Bradesco” – cara de pau passo a passo

Exibo neste artigo o passo a passo de uma fraude do tipo phishing scam (pesca-bobos) que chega por e-mail, para alertar a todos de o que é e como pode aparentar um dos muitos tipos de fraude bancária existentes na Internet.

A mensagem de e-mail

Chega por e-mail um spam, enviados a milhões de pessoas, a seguinte mensagem fraudulenta.

[photopress:fraude_bradesco_email.png,full,centered]

Uma parcela dos destinatários será realmente usuário do banco em questão (Bradesco). Destes, alguns serão ingênuos e desprevenidos o bastante para cair na farsa.

A página web

Quem clica no link da mensagem de correio eletrônico, cujo domínio é muito duvidoso (Pense: por que o banco legítimo usaria um desconhecido atendimento-v6.com e não o domínio do próprio banco bradesco.com.br? Indício claro de fraude) é direcionado para uma página web onde o Passo 1 é escolher o tipo de cliente.

A página web exibe inicialmente uma janela de diálogo para tentar “tranquilizar” o cliente otário…

[photopress:fraude_bradesco_web_01.png,full,centered]

[photopress:fraude_bradesco_web_01_dlg.png,full,centered]

“FIQUE TRANQUILO – Você está operando em um ambiente seguro e criptografado, apartir (sic) de agora somente o seu computador e os nossos servidores centrais entendem as informações digitadas.”

Ambiente seguro??? Não existe ambiente seguro se não há o protocolo HTTPS (observe nesta página de fraude o http comum, sem s, na barra de endereço), quando aparece o famoso cadeado exibido pelo próprio navegador. O cadeado vermelho exibido é uma mera imagem fajuta na página, não significa nada.

Veja a seguir imagens no Firefox (3.6) e Internet Explorer (8) exibindo uma conexão segura real. O endereço começa sempre com https (S de seguro) e o navegador exibe um cadeado. O do Firefox é no canto inferior direito da janela, na barra de estado; o do Internet Explorer 8 passou a ser exibido no final da barra de endereço.

[photopress:https_firefox.png,full,centered]

[photopress:https_ie8.png,full,centered]

Pessoa física – passo a passo

Os passos para pessoa física, ou clientes Prime e Private são praticamente idênticas. Veja a seguir os passos exibidos quando se escolhe Pessoa Física.

[photopress:fraude_bradesco_web_pf_02.png,full,centered]
[photopress:fraude_bradesco_web_pf_02_dlg.png,full,centered]

A digitação da conta inclui o requinte de efetivamente validar o dígito verificador. Se digitado incorreto, a janela de diálogo acima é exibida e não se pode prosseguir.

Na tela de digitação da senha de quatro dígitos, uma mensagem ameaçadora incentiva o usuário a continuar:

“Não cancele a atualização do Plugin de Segurança, pois ocorrerá o bloqueio imediato de sua conta por medidas de segurança.”

[photopress:fraude_bradesco_web_pf_03.png,full,centered]
[photopress:fraude_bradesco_web_pf_03_dlg.png,full,centered]

O script de digitação pelo telcado virtual não funciona no Firefox. No Internet Explorer a digitação funcionou, embora a diagramação da tela é que ficou incorreta, por causa de um número de controle exibido no alto. Veja a seguir.

[photopress:fraude_bradesco_web_pf_03_ie.png,full,centered]

No Passo 4 seguinte, o auge do indício total de fraude: Todos os 70 códigos do cartão de segurança emitido pelo banco são solicitados, e não apenas um como é a medida de segurança nas transações legítimas. Só o fraudador é que precisa de todos os códigos, para usar um deles que for solicitado pelo banco quando ele for utilizar os dados que está roubando aqui.

[photopress:fraude_bradesco_web_pf_04.png,full,centered]
[photopress:fraude_bradesco_web_pf_04_dlg.png,full,centered]

Mais uma vez, a validação. Nenhum código pode ser deixado em branco, senão uma mensagem é exibida e a fraude não prossegue.

O toque final, a senha de seis dígitos do cartão magnético. Novamente, a digitação só funciona no IE.

[photopress:fraude_bradesco_web_pf_05.png,full,centered]
[photopress:fraude_bradesco_web_pf_05_dlg.png,full,centered]

[photopress:fraude_bradesco_web_pf_06.png,full,centered]
[photopress:fraude_bradesco_web_pf_07.png,full,centered]

Pronto, fraude completa! Para quem digitou direitinho e pacientemente tudo, agora o fraudador tem todos os dados secretos da sua conta bancária e está apto a fazer qualquer transação eletrônica nesta conta.

Em um requinte de sofisticação, mais uma validação feita na fraude. Ela salva na sessão do navegador que a fraude foi concluída. Se você fizer tentativa de iniciá-la novamente, é exibida a mensagem a seguir, informando que “sua conta já foi cadastrada (isto é, roubada) com sucesso” pelo programa do fraudador.

[photopress:fraude_bradesco_web_01_again.png,full,centered]

Pessoa Jurídica

Na opção para pessoa jurídica, o Passo 2, em duas etapas, é ligeiramente diferente.

[photopress:fraude_bradesco_web_pj_02A.png,full,centered]
[photopress:fraude_bradesco_web_pj_02B.png,full,centered]

Conclusão

Banco nenhum faz recadastramento ou validação desta forma, muito menos solicitando todos os seus dados sigilosos!

Este tipo de fraude é por formulário, induzindo o próprio usuário a informar docilmente todos os seus dados em uma página de fraude que será enviada ao ladrão.

Outra técnica de fraude existente, quase sempre iniciada por uma mensagem de spam por e-mail, apresenta algum pretexto impactante/alarmante que o faça clicar em um link, baixar e instalar um programa. Este programa tipicamente é um cavalo-de-tróia (trojan) espião, que fica em execução para tentar capturar em seu computador dados bancários ou outras informações sigilosas, para enviá-las ao fraudador via internet.

Para ver mais exemplos de fraude de todos os tipos e organizadas por temas dos pretextos, veja meu artigo: Phishing Scam – A fraude inunda o correio eletrônico.

Nota: os avisos de página falsa e de classificação ruim exibidos no alto de algumas imagens são exibidos pelo Antiphishing nativo do Firefox e pelo plugin WOT, respectivamente. Para saber mais, consulte o artigo Quem avisa amigo é – Classificação de sites.

Certificações em Segurança da Informação

A Módulo Education fechou uma parceria com a organização global EXIN (Examination Institute for Information Science), instituto internacional que oferece certificações em segurança e tecnologia da informação. A companhia é a primeira instituição da América Latina, e a sexta no mundo, credenciada pelo EXIN, com instrutores certificados pelo instituto, para ministrar os treinamentos e provas da linha de certificações “Information Security Based on ISO/IEC 27002” do EXIN.

Com a parceria, a Módulo passa a oferecer inicialmente o curso preparatório para a certificação ISFS (Information Security Foundation Based on ISO/IEC 27002). As primeiras turmas começam já neste mês de abril.

“As certificações da EXIN vêm completar o portfólio de certificações da Módulo, encaixando-se perfeitamente em nosso framework de cursos”, declara Fernando Fonseca, Gerente de Conteúdo da Módulo Education.

Fonte: TI INSIDE Online, da Redação, segunda-feira, 22 de março de 2010, 19h45.

CISSP

Também o (ISC)² – International Information Systems Security Certification Consortium, instituição que mantém o (ISC)² CBK® (Common Body of Knowledge) [PDF], compêndio de tópicos relevantes para profissionais de segurança da informação, está ampliando sua atuação no Brasil quanto à realização da sua mundialmente reconhecida certificação Certified Information Systems Security Professional (CISSP).

A certificação CISSP já era realizada no Brasil desde 2004, trazida pela empresa Etek International (SP). Em 2010, a rede de afiliados educacionais para veiculação de treinamentos e certificações (ISC)² no país foi ampliada com mais três instituições: LanLink Informática (Nordeste, DF), Sec2b – Security to Business (RS), e Strong Security Brasil (SP).

Sugiro o portal GUIA CISSP, um Guia de Certificação CISSP independente em português, mantido pro Luciano Lima. Veja também o artigo Segurança certificada, por Aline Brandão, 28 de junho de 2007, na Revista TI Master.

A (ISC)² disponibiliza também seu Guia de Recursos para o Profissional de Segurança da Informação de Hoje (em inglês), disponível gratuitamente em PDF – Global Edition — com uma relação de centros educacionais, eventos do ano, publicações e recursos on-line relacionados a segurança da informação –, ou na versão (ISC)² Online Resource Guide.

Outras certificações

Outras reconhecidas certificações em segurança da informação são a de auditor CISA – Certified Information Systems Auditor e a de gerente CISM – Certified Information Security Manager, mantidas pela associação internacional ISACA – Information Systems Audit and Control Association, com presença no Brasil.

A própria brasileira Módulo também possui sua própria certificação MCSO – Modulo Certified Security Officer, para a qual oferece treinamentos divididos em dois módulos, MCSO I mais geral e conceitual, e MCSO II mais técnico abordando as ferramentas de segurança de TIC.

Veja também o artigo Certificação anticracker, por Viviane Zandonadi, fevereiro 2005, em INFO Online.