Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

terça-feira, 22 de dezembro de 2009

Symantec got Hacked ?

Dia 18 de dezembro foi notificado que um dos sites da Symantec, conhecida empresa de antivirus e segurança, havia sido "hackeado" - (não gosto desse termo, mas ...)
A Symantec diz que foi somente uma mensagem de erro, não relacionado com problema de segurança, mas, continuando ...
Esse mes outras empresas de segurança / AV como a F-secure e Bitdefender, tambem tiveram problemas recentes da mesma natureza.

Aqui o papo vai um pouco alem.

Quantas pessoas iriam instalar o novo TROJAN, se vindo da pagina de um Anti-virus famoso ?? Mais de 90% seria o meu chute...
Se as pessoas instalam trojans vindos da pagina das operadoras de celular, imaginem da pagina da empresa de AV, onde as pessoas confiam a segurança de suas maquinas.

Falamos de reputação, confiança, credibilidade.

É assim na vida, se voce não confia, voce troca.
No mercado, se voce não confia, voce abaixa a cabeça, e mesmo não gostando, não concordando, voce na grande maioria das vezes deixa como está.

Para as empresas de Antivirus. Tem alguem ai lendo / analisando logs ?
Eu vendo esse serviço.

Esquece.. a final .. quem se importa ?

Abraços

sexta-feira, 11 de dezembro de 2009

PANDA Security

A pergunta é sempre a Mesma.
Quem se importa com Segurança ?

Hoje, 11/12/2009 - 10:50am alguns sites da Panda no Brasil (uma empresa que vende anti-virus)-"download.pandasecurity.com.br","press.pandasecurity.com.br"-"intranet.pandasecurity.com.br"- , mostram a pagina abaixo.


Não restam duvidas, foi invadido.
Talvez eles não tenham problema com virus (malware), mas deixam claro que tem outros tipos de problema..

Acredito em todas as historias, sobre volume de trabalho, dos logs, etc,etc,etc, porem em quem confiar ?
Outro ponto, se acontece com eles, pode acontecer com qualquer outro, inclusive VOCE.
Nao fique pensando que é imune.

Porque quem deveria se preocupar ou dar o exemplo não o faz ?


"Do as I say, not as I do".

quinta-feira, 3 de dezembro de 2009

Vale a pena fazer o certo ?

As vezes (na maioria das vezes), fazer o certo :
é mais difícil,
custa mais caro,
consome mais recursos,
da mais trabalho, etc
porem o que é certo é certo.

Muitas vezes, se escolhe fazer o meio certo, ou o errado, mas tudo na vida tem um preço.

Fazer segurança é sempre uma troca, por exemplo: para ter um anti-virus funcionando, voce deve "fornecer" recursos, como processamento de maquina e memória, mesmo que esses recursos sejam minimos.
Ai começa a reclamação, o usuário dizendo que a maquina esta lenta por causa do anti-virus. Este (usuário) se tiver a oportunidade, vai desabilitar o anti-virus. Alguém levou em conta que a maquina que o usuário esta trabalhando é precária, antiga, com poucos recursos ? (memória, processamento, armazenamento=disco)
Assim não adianta querer justificar um problema ( maquina ruim), com outro problema (maquina sem anti-virus).
Voce esta gerando um problema de segurança.
Caso um desastre ocorra, o prejuízo será bem maior que a atualização do parque de maquinas.

A "era do fazer mais como menos" deve acabar. Não existe milagre. Sem recursos (quais quer), sem segurança, assim "fazer menos com menos".
Ser profissional é ajudar a empresa, fazendo mais com menos, mas também fazendo menos com menos, mostrando para os superiores (gerentes,etc ) que o milagre não existe e a contenção de hoje será o prejuízo acumulado de amanhã.

Infelizmente vivemos em um mercado carente de bons profissionais. Profissionais que sabem onde esta o risco e sabem como justificar e mostrar o risco para a empresa. Infelizmente muitos desses profissionais acreditam que ser profissional é bajular o chefe, concordando com tudo que o mesmo diz.

Ai começam a fazer "meio certo" e a fazer errado.
Você até pode fazer "meio certo" desde que exista um projeto de implementação do certo.
Eu prefiro não fazer a fazer o "meio certo" sabendo que nunca acontecerá o certo.
O responsável será você. Você será responsável por ter tentado ajudar, por ter boas intenções, por ter feito "mais com menos".
Fazer mais com menos é fazer gambiarra, é assumir o risco.
E o mais legal no mundo corporativo, quem te pediu para fazer mais com menos, vai sempre negar isso.
Assim é a vida. Temos que aprender a dizer NÃO.

Se houver condições faça o certo, se não, não faça.

Dizer não também é ser profissional.

Agora se o seu chefe te OBRIGAR a fazer mais com menos, formalize TUDO e faça o possível, faça qualquer coisa, "fazer mais com menos" é não se preocupar com segurança. Mas ... afinal, quem se importa com segurança ?