Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

sexta-feira, 17 de junho de 2011

Com Segurança, SemGas

Eu sempre fico perguntando ... Quem se importa com segurança ?
Acho que encontrei uma empresa...

A alguns dias, um amigo meu ligou para a concessionária de Gas da região, reportando, um problema.
No meio da conversa, ele disse a palavra " vazamento " .
De acordo com ele, e como em um filme de Hollywood, a atendente mudou o tom de voz, mudou o script de atendimento, e disse que o tecnico estaria na residencia dele em menos de 1 ( uma ) hora.
Alguem ja viu isso ? Geralmente as promessas de atendimento são genericas, tipo, periodo da manhã( que vai das 8:00 as 18:00) sem respeitar o cliente que na maioria das vezes TRABALHA.

Voltando .. Acreditem ou não, mesmo dizendo que irai sair para Trabalhar a atendente disse que o Tecnico já estava a caminho. Mais uma vez, caso raro de se screditar, o Tecnico apareceu, em MENOS de UMA HORA.
Desligou o GAS, fez testes, deu recomendações e antes de ir embora, removeu o Relógio de Gas e Lacrando os canos e impedindo que o Gas daquela residencia, fosse irresponsavelmente ligado.
O tecnico, não estava preocupado com o possivel banho frio, ou com o almoço das crianças.
Estava preocupado com a segurança do meu amigo e do predio como um todo.
Meu amigo, ficou .. SEMGAS !

O Triste é que nos espantamos com aquilo, que era para ser normal.

Tenho só mais uma coisa a dizer.

PARABENS COMGAS !

quarta-feira, 1 de junho de 2011

Aprendemos com nossos erros ?

Algumas pessoas sim, outras não ! E as empresas ?
Um amigo me disse uma vez que "as empresas eram perfeitas, mas elas tinham um problema: as pessoas !!".
Assim dependendo do tipo de pessoa que essa empresa tenha, o aprendizado será bem mais lento e dolorido.

Depois de anos no mercado, sofrendo ataques em seus sistemas operacionais, a Microsoft aprendeu a lição. Reescreveu alguns de seus softwares, montou grupos especificos para tratar de assuntos de segurança, e hoje tem um processo formal para trabalhar essas questões.

Nos ultimos meses, temos visto a Sony virar a bola da vez.
Foi invadida tantas vezes que ninguem sabe o número correto mais.
Varias ações foram tomadas, dentre elas, notas na midia, que ao meu ver foram super desastrosas. dentre as frases, algumas para entrar na categoria de pérolas:

"até o momento, nosso grupo responsavel pelos serviços de rede foi incapaz de determinar, que tipo de dados foram transferidos, e por isso eles desativaram a PlayStation Network" (At the time, the network service team was unable to determine what type of data had been transferred, and they therefore shut the PlayStation Network system down)

"A detecção foi dificil devido ao nivel de sofisticação da invasão "("Detection was difficult because of the sheer sophistication of the intrusion," )

"Segundo, a detecção foi dificil porque os Hackers criminosos exploraram uma vulnerabilidade de software no sistema"
("Second, detection was difficult because the criminal hackers exploited a system software vulnerability.")
Porem um executivo da empresa havia informado que os hackers haviam ganho acesso atravez de uma "vulnerabilidade conhecida" que a empresa não sabia da existencia.

http://arstechnica.com/gaming/news/2011/05/sony-wont-testify-on-psn-attack-names-anonymous-in-written-answers.ars
http://graphics8.nytimes.com/packages/pdf/technology/20110504-sony-letter.pdf
http://pastebin.com/vQcdsm48

Não bastando isso, a SONY começou a enviar email para os clientes da PSN cada hora com um endereço de email diferente. "Playstation_Network@playstation.sony.com", "PlayStation_Network@playstation-email.com", "PlayStation_Network@playstation.innovyx.net" .
Sabendo que a empresa foi invadida, voce recebe um email com um remetente suspeito, voce faz, oque ?
Conheço diversas pessoas que acharam que estavam sendo vitimas de golpe ( os forums ao redor do mundo estão lotados de gente questionando). Infelimente ou felizmente os emails são verdadeiros.

Isso me lembra uma empresa onde trabalhei, onde o objetivo era executar, sem chance de pensar (isso na área de segurança). Era permitido fazer 100 vezes errado, mas não era permitido pensar, visando acertar na primeira ou segunda (ou mais).

As coisas mais tristes ( ao meu ver ) já começaram a acontecer.
Em alguns paises, comerciantes, estavam oferecendo XBOX em troca do PS3.

As empresas, independente do ramo de atividade, tem que considerar, que são dependentes da tecnologia, e a mesma tecnologia que as levanta, pode derruba-las. Não adianta executar, tem que pensar primeiro.

A Microsoft usou a experiencia dos sistemas operacionis e outros sistema online para utilizar em seu video game. 100% seguro ? Claro que não, isso não existe, porem mais seguro que o concorrente.

Acho que o segredo é sempre pensar ... " e se ? ". Com tudo isso implementado, "e se" acontecer algo diferente ? e por ai vai .

Segurança é igual manutenção de casas ou carros. Existem alguns cuidados que vc tem que tomar de tempos em tempos. Se for deixando para tomar esses cuidados de uma unica vez, o preço será muito maior.

As ações da Sony na NASDQ, cairam e muito, desde o começo do ano.

O negócio é ganhar dinheiro, sempre funcionou assim !!

Será que eles vão aprender ?

Segurança ! Quem se importa ?