[SOX] Tudo e mais um pouco sobre Sarbanes-Oxley

Esse foi um achado: uma imensa coleção de artigos tratando da lei Sarbanes-Oxley. Tem de tudo um pouco - vale uma visita demorada.

http://www.s-ox.com/resources/index.cfm

[Computer Forensics] Information Assurance & Digital Evidence

Pesquisa interessante publicada no site do FBI entitulada "Information Assurance Applied to Authentication of Digital Evidence" dividida em sub-tópicos que incluem:

• Authentication of Evidence
• Information Assurance Services
• Information Assurance Applied to Digital Evidence
• Digital Video Evidence System
• Generalized Information Assurance Solution
• Daubert Compliance

http://www.fbi.gov/hq/lab/fsc/backissu/oct2004/research/2004_10_research01.htm

[Joke] Acesse o celular da Paris Hilton agora!

[News] Falhar não é feio... Feio é errar no óbvio

Essa chega a ser ridícula. Uma falha nos antivírus da Trend Micro permite que o programa execute vírus ao invés de bloqueá-los. Feeeeeio.

http://info.abril.com.br/aberto/infonews/022005/25022005-3.shl

[Reflexão] A infecção pela curiosidade

Não é de hoje que os vírus de computador estão ativos. Desde que me conheço por gente-plugada (mais ou menos desde os 10 anos de idade) essas pequenas e engenhosas formas de vida são disseminadas não por mecanismos elaborados, mas em grande parte por quem se julga seu maior algoz: o próprio usuário. Mas o que promove esse auto-flagelo? Em outras palavras: em que diabos você estava pensando quando abriu aquele arquivo?

Segue algumas causa prováveis...

Ganância: O ditador da Lafônia foi deposto. Caçados pelos civis, o ditador, seus homens de confiança e suas famílias foram executados em praça pública... exceto um - o filho do contador. Sim, ele sobreviveu e se esconde em becos escuros. Ele está aflito pois, apesar de ter em mãoes todos os códigos bancários que abrigam a fortuna do finado ditador, só poderá gozar de tal benefício fora de seu país. E é aí que você entra - se você adiantar uma grana para o pobre futuro-defunto, em retribuição, ele te garante 70% da fortuna. Essa história é muito velha, já virou um mito na internet e parece ridículo para pobres mortais. Mas o mundo não é feito apenas de pobres mortais - alguém com muito dinheiro pode receber a mensagem e imaginar que essa possa ser uma "excelente" oportunidade de engordar seus dividendos... Existem casos mais adequados ao mundo dos gente-como-a-gente - um sem número de ofertas que vão de carros a viagens. Sem esforço, sem suor, sem perguntas... e lá vamos nós clicando no link...

Curiosidade: Faça o teste na sua empresa crie um link para um contador em uma página interna e envie no título da mensagem temas envolventes do tipo: Demissões 2005, Promoções, Cargos e Salários ou outros. Ah, claro. Não se esquece de especificar no rodapé que a mensagem é confidencial e que deve ser apagada em caso de ter sido enviada por engado...

Luxúria: Antigamente os homens eram taxados de tarados, amorais e outras coisas mais por receber nos escritórios uma verdadeira enxurrada de fotos de mulheres em fotos, vídeos e até animações com contextos que variavam de leve sensualidade ao bizarro. Até o dia em que as mulheres acharam as fotos "dos mano". Agora elas não podem dizer muito mais.. Estão igualmente expostas ao mal da luxúria virtual, onde todos os dias escândalos envolvendo celebridades são divulgados e oferecidos em forma de vídeo, fotos ou seja lá o que estiver contido naquele arquivo compactado...

Carência: Ah. Alguém que me ama e me mandou um cartão virtual. I LOVE YOU no título, além de bilingüe é romântico. Que guti-guti, adoro apresentação com musiquinha e fotos de bebês, animais fofos, etc. O que? Minha esposa está me traindo? E as fotos estão no arquivo anexo?

Pró-atividade: Agora vou ser apedrejado, mas em uma história recente uma secretária-executiva altamente qualificada e engajada com os objetivos da empresa havia acabado de sair de um treinamento sobre pró-atividade. Curiosamente ela recebeu um email com uma promoção de um grande Banco brasileiro - sorteio de uma viagem para o Caribe bastando apenas preencher um "formulário anexo". Imperdível não? Mas as lições aprendidas recentemente falaram mais alto: ao invés de se beneficiar da oportunidade, encaminhou a mensagem para todos os empregados da empresa. Um simples phishing havia acabado de ganhar o status de "informação da Diretoria"... E quem não abriria?

A Simple Guide to Securing USB Memory Sticks

Artigo bacana sobre segurança envolvendo os famosos USB Keys ou Memory Sticks.

http://www.net-security.org/article.php?id=764

What did I learn today?

(1) A vida não é sempre um mar de rosas, e invariavelmente nos defrontamos com grandes desafios e enigmas a serem solucionados. "Decifra-me ou devoro-te". E não me refiro apenas aos enigmas técnicos: os que mais tem tomado meu tempo e demandado atenção não são os computadores, mas sim as pessoas - o quebra-cabeça das relações inter-pessoais. Contudo <pausa dramática> existem momentos em que a bucha é tão grande, a encrenca é tão pesada que não existe outra saída: você tem que afrouxar o nó da gravata, arregaçar as mangas, estufar o peito e dizer em alto e bom som "Agora Fodeu!".

(2) Hoje fui obrigado a vasculhar, sem sucesso, documentações de trabalhos de uns 4 anos. Tudo para encontrar um único comando para auditar uma rede Netware. E depois de achar o maldito comando, aprendi uma nova lição - o tempo passa, o tempo voa, mas o NLIST continua funcionando numa boa!

[Cursos] COBiT

A ISACA SP está promovendo de 15 a 17 deste mês o curso COBiT, que apesar de básico, é um dos mais instrumentais já oferecidos pela Associação. Na verdade é um dos mais instrumentais já oferecidos por qualquer empresa / instituição que eu conheça. Serão 3 dias onde os participantes poderão entender os fundamentos do Framework e efetivamente exercitar seu entendimento do tema. Para conhecer o programa completo visite o site da ISACA SP (www.isaca.org.br) ou o site da ABBC (www.abbc.org.br). Membros da ISACA têm desconto!

[News] Blogs na internet viram "caça-jornalistas"

Falar bobagem sempre foi fácil e a mídia incentiva esse tipo de comportamento - polêmica sempre rende mais. Os poucos especialistas capazes de identificar farsas ou nunca ganharam papel de destaque nessa mídia, no máximo uma nota de rodapé que tenta rebater uma manchete de primeira página. Golias e Davi, com a vantagem de que Golias tem o apoio da maioria e Davi é ignorado... até agora.

http://ultimosegundo.ig.com.br/materias/mundovirtual/1888001-1888500/1888498/1888498_1.xml

Engenharia social: atacando o elo mais fraco

Excelente artigo de Rafael Cardoso dos Santos sobre engenharia social. Aliás, muito oportuno para a essa época do ano.

Handbook of Information Security Management

Não sei se esse documento é oficial, mas pelo que eu li não tem informações erradas. O Handbook of Information Security Management foi disponibilizado pelo ccure para quem está se preparando para o exame CISSP.

[Hacking] Derrotando a Criptografia

Não são apenas os mocinhos que usam criptografia.

Blogs cada vez mais vistos. Por advogados

Faz muito tempo que acompanho o conteúdo de determinados blogs. A maioria deles não passa de entretenimento, mas tem uma turma que força a barra. O anonimato da internet, em parte, é baseado na dificuldade das pessoas em acessar determinadas informações - procurar sem se saber o que realmente pretende achar. Assim sendo, seu chefe/colega de trabalho/desilusão amorosa, que mal sabe usar a máquina de café no final do corredor, não teria como descobrir suas "opiniões secretas" sobre eles. Essa barreira está cada vez menor e o tão sonhado anonimato cai na mesma proporção.

Portanto o blog, aquele cantinho escolhido por tantos para extravasar o estresse diário agora passa a ser olhado como um cartaz pendurado no quadro de avisos, aquele em frente à máquina do café.

[Pesquisa] Crimes Digitais na Alemanha

O blog Dislexia 3000 trouxe recentemente dados sobre os Crimes Digitais na Alemanha. Tem de tudo um pouco, desde a ação da polícia até o aumento de sabotagens e espionagem em computadores. Muito do aumento nesses dois últimos índices, imagino, não deve ser exclusividade da comunidade européia. E acredito que esse aumento deve-se principalmente à oferta aberta de ferramentas para a exploração de vulnerabilidades... Sabotagem e espionagem geralmente tem motivação clara - principalmente o ganho financeiro - mas não creio que 90% dos atacantes de hoje tenham intenção de ganhar um centavo com sua prática. A questão é que tudo ficou tão fácil, tão acessível... por que não fazê-lo.

Depois de quase 2 semanas

As últimas semanas foram complicadas, como diria o Faustão, tanto no pessoal como no profissional. Primeiro foi o novo estatuto e a eleição da diretoria 2005 da ISACA - fui reeleito, agora como Diretor de Associados. Vai ser um desafio e tanto para 2005 - imaginando que durante o mesmo ano ainda vou ter que preparar a dissertação de mestrado. Acho que agora vou começar a perder os cabelos...

País terá banco com digitais de criminosos

Putz. Estava vendo o Gil Gomes falando disso hoje na TV.

[Eventos] Sarbanes-Oxley para boa Governança Corporativa

Apesar do evento ter sido divulgado em cima da hora, esse painel patrocinado pela Microsiga foi bem interessante. Mais adiante prometo criar uma seção aqui só para eventos...

[Sarbanes-Oxley] IT Control Objectives for Sarbanes-Oxley

Muitos profissionais responsáveis pela manutenção e segurança das informações ainda não tem "no sangue" a real idéia do quão crítico os controles internos são importantes em organização. E também não tem idéia da importância de ter esses controles internos adequadamente formalizados para atender as determinações da Sarbanes-Oxley. Esse documento é destinado, não só ao público técnico, mas a todos que ainda não conseguiram enxergar a relação entre os controles de TI e os controles que vão garantir números contábeis sadios no final do dia...

[Computer Forensics] PDA Forensics Guidelines

Saiu a versão final do protocolo PDA Forensics Guidelines. Cortesia do NIST.

[Bit Brushing] Malicious Code Analysis

Procurando por drivers de rede acabei achando esses dois artigos sobre análise de códigos maliciosos.

• Reverse Engineering Hostile Code
  
• Alien Autopsy: Reverse Engineering Win32 Trojans on Linux