Segurança da (sua) Tecnologia da Informação e Comunicação

Esperei exatamente o término dos testes de tentativas de quebra da segurança do sistema de votação eletrônica brasileiro referente às urnas informatizadas para escrever este artigo.

Apesar de inscrever-me no processo não fui à Brasília por motivos óbvios atrelados à crise financeira que ainda flutua em algumas regiões. E também por saber que luminares da segurança estariam por lá; inclusive o pessoal das Forças Armadas onde a equipe da Marinha do Brasil muito dignamente formalizou pedido de não constar entre os eventuais agraciados com as premiações.

Tentou-se de tudo nesta primeira vez que a Justiça Eleitoral possibilitou que o público em geral verificasse a confiabilidade do sistema, ou seja, se ele estaria sujeito a eventuais violações ou fraudes. Apesar de nenhum teste ter conseguido violar a urna e os programas, as idéias apresentadas pelos especialistas podem contribuir para o aperfeiçoamento tecnológico da votação.

As três idéias consideradas mais relevantes para o aprimoramento do sistema eletrônico de votação serão premiadas hoje, sexta-feira (20), em cerimônia no Hotel San Marco, em Brasília (DF), a partir das 10h. Antes disso, às 9h30, o ministro Ricardo Lewandowski fará apresentação dos testes de segurança na urna eletrônica e nos componentes do sistema de votação que serão utilizados nas eleições de 2010.

A ISSA Brasil (Information System Security Association) participou dos testes tentando provar que seria possível um eleitor votar mais de uma vez por eleição. Além de não ter conseguido seu intuito declarou ser o sistema “bastante robusto”.

Bastantes robustos também são considerados os carros blindados da Polícia Militar do Rio de Janeiro, mais conhecidos por nós como “caveirões” do BOPE. Também eram resistentes a tiros de fuzis calibre 5,56 mm (AR15) e 7,62 mm (FAL). Até que os traficantes descobriram que ele é vulnerável a tiros de calibre .50 ou algo semelhante.

Acho que o problema dos testes com as urnas eletrônicas é que na sua grande maioria foram focados no software. Não vi nenhuma referência ao hardware.

Quando o TSE – Tribunal Superior Eleitoral – começou a divulgar este concurso lembrei-me de uma das minhas primeiras aulas na faculdade de informática lá nos anos 90. Um professor visionário fez a seguinte pergunta para a turma:

- Vocês imaginam o que poderia acontecer se um hacker ou pessoa mal intencionada adentrasse um CPD com um dispositivo de pulso magnético ou até mesmo um imã? E plantasse este imã perto de algum ativo de rede ou até mesmo sob um servidor de missão crítica?

Vamos adaptar esta pergunta para a realidade das urnas:

- O que aconteceria a uma urna eletrônica se uma pessoa durante o seu momento reservado e único de votação plantasse sob a urna tal dispositivo?

Participei de todas as votações eletrônicas realizadas no Brasil como simples eleitor e jamais vi qualquer tipo de verificação por parte da equipe compulsoriamente convocada ao trabalho de secretário, mesário e presidente de zona eleitoral. Querem mais é que o dia passe rápido para poder curtir o que ainda resta dele após ter trabalhado de graça para o governo. Já fui mesário na época das eleições em papel e tiro e falo por mim somente. Também nunca vi nenhum equipamento detector de metais.

Se em um país como os EUA foi possível derrubar as torres gêmeas o que poderia ocorrer por aqui?

- O que aconteceria a uma urna eletrônica se logo abaixo de seu chassi fosse grudado um dispositivo de pulso magnético programado para entrar em funcionamento logo após o fim do pleito? Qual seria o plano de contingência? Tem plano B? Ou o povo teria que ser convocado novamente para uma nova eleição?

Esta viagem na maionese serve apenas para exemplificar que segurança da tecnologia da informação e comunicação não versa apenas sobre software. É um conjunto de fatores físicos e lógicos que devem ser levados em consideração. Pois; será que as urnas são suficientemente blindadas? O caveirão também era até que,…, coitados dos mesários e secretários.

O que fazer com 8 gigabytes

Um dos grandes artifícios utilizados por hackers é a pseudo arte da engenharia social. Sem sequer tocar em uma tecla ou mouse o vilão se aproxima de funcionários de empresas ou servidores públicos governamentais para obter informações estratégicas que o ajudem no seu intuito ilícito. Esforçam-se em fingirem ser funcionários da própria empresa ou meros fornecedores para chegar aos acessos físicos e virtuais corporativos. Geralmente são pessoas de boa lábia como o famoso Kevin Mitnick que protagonizou o mais badalado case de sucesso da engenharia social já decantado em livro de própria autoria e também por muitos outros.

Incrivelmente por meras questões políticas que envolvem a Casa Civil, Receita Federal e o #forasarney e, também, sem ter sido interpelado por nenhum engenheiro social Romero Jucá falou. Falou demais e ao vivo para milhões de tele espectadores da TV Senado e ouvintes da Rádio Senado. Entregou de lambuja dados e informações que muitos hackers poderiam levar meses para talvez conseguir.

De acordo com as informações fornecidas pelo senador Romero Jucá (PMDB), líder do governo no Senado Federal, ao discursar à tribuna do próprio Senado à tarde de 27/08/2009, percebeu-se que o atual sistema de segurança do Palácio do Planalto é falho. Um queijo suíço cheio de furos bem grandes. Notou-se que certas figuras não possuem o mínimo preparo e a menor habilidade para falar sobre o grave e complexo assunto que é a segurança da informação e comunicação.

Após ter tido um colóquio reservado com o General Jorge Felix que é o atual Ministro Chefe do Gabinete de Segurança Institucional da Presidência da República, o nobre senador informou que os registros do sistema de gravação de imagens estão configuradas para capturar apenas movimentos nos corredores, entradas e saídas do Palácio do Planalto. Não gravam nada dentro dos gabinetes. Nem muito menos no gabinete do presidente Luiz Inácio. Ao contrário, por exemplo, do que fazem os norte americanos que gravam tudo e a todos e, inclusive, absolutamente tudo o que se passa dentro do gabinete presidencial de Barack Obama.

É sabido, público e notório que os EUA são o país mais “psico” quando o assunto versa sobre questões de segurança. O que dizer então sobre segurança nacional?

Mais espanto ainda causou quando Romero Jucá falou já um tanto quanto inflamado que o sistema brasileiro possui apenas 8 gigabytes de memória. Não especificou se são de memória RAM ou de área de armazenagem em HD. Mas o que afinal são 8 Gb hoje em dia?

Há um tempo, creio que no ano passado, escrevi outro artigo citando a existência de um pen drive de 2 Tb (dois terabytes) made in China. 2 Tb são a mesma coisa que 2 mil gigabytes. Ora, quer dizer então que os 8 Gb de Romero Jucá cabem 250 vezes na mão de qualquer um que desembolsar a bagatela de US$1500,00 para comprar o poderoso gadget de 2 Tb? Também é notório que o custo de memória volátil e memória física cada vez mais caem de valor de aquisição. Mas o sistema da mais alta esfera governamental executiva do governo brasileiro somente registra 30 dias de imagens nos seus famigerados 8 Gb. Atingindo-se este limite o próprio sistema começa a gravar por cima de tudo que está em memória. Parece mais coisa de fita K7.

Até posto de gasolina e padaria possuem sistemas capazes de gravar por períodos maiores do que este.

Ou então perguntem a si mesmos o que são 8 Gb para as atuais máquinas e telefones digitais que tudo filmam. Simplesmente nada.

Remotamente e sob forma gratuita faço backup nos mesmos Estados Unidos onde possuo mais de 2 Gb alocados em um dos tantos serviços de backup e restore online.

Mas então que sejam os 8 Gb informados por Jucá apenas para a memória RAM do sistema planaltino. Apenas 8 Gb de RAM para gravar o processamento de todas as imagens do Palácio do Planalto! Poderia aqui discorrer sobre n sistemas de segurança; mas para quê? Se o Palácio do Planalto se contenta com um sistema de apenas 8 Gb. Mas será que pelo menos não existe uma máquina espelho? Aí seriam na pior das hipóteses 16 Gb.

Mas o discurso de Jucá não parou por aí. Continuou a consultar seus alfarrábios destacando datas e horários onde nos quais a sra. Lina Vieira estivera no palácio planaltino. Mas ao ser inquirido, não soube informar o “para que” e o “com quem” a distinta ex-servidora federal foi ter. Posteriormente foi divulgado que em uma das datas divulgadas por Jucá a Sra. Lina Vieira estava em São Paulo e não em Brasília.

E o backup? Ora sempre existe no mínimo um backup. O sistema do meu prédio guarda por 12 meses cada mês gravado pelas câmeras de segurança do hall, da garagem, dos elevadores, etc. Mas o sistema do Jucá parece ser um tanto quanto seletivo.

Romero continuou entusiasmadamente a falar sobre as atuais e futuras medidas de segurança de acessos físicos não só do Planalto, mas também das residências presidenciais. Um de seus grandes trunfos foi informar que alguns sistemas de segurança ainda NÃO estão implantados. Frisou que o sistema de reconhecimento facial ainda está sob implantação devido à problemas de iluminação. Que luminar… Praticamente inviabilizou o sistema com sua boca rota.

Preocupante de fato é esta situação. Pois nota-se que realmente o exemplo vem de cima; uma vez que a segurança também é falha na mais alta governadoria do Brasil.

Como quem vai a um supermercado e pede 1 Kg de carne, no Planalto só poderemos pedir 8 Gb de imagens e nem 1 g de Lula. Aliás, nem 1 byte de Lula.

Exclusivo

O que aconteceria se você perdesse seu notebook no aeroporto? Ou ao fazer o checkout no hotel e perceber que seu laptop já não está mais ao seu lado? Além do valor material da máquina, quanto valem as informações do seu HD?

Uma ferramenta GRATUITA poderá lhe ajudar na árdua tarefa de preservar o seu ativo mais caro. A informação.

O FILELOCKER é mais uma ótima opção para proteger seus arquivos. Muito útil para quem tem notebook ou compartilha o computador com outras pessoas.

1. Após instalar o utilitário você deverá definir uma senha forte para o software.

2. Através do próprio recurso de browser do software escolha pastas e arquivos a serem protegidos.

3. A proteção poderá definida em diversos níveis como: Proteção de Acesso, Escrita, Exclusão e Visibilidade

Outras opções existem, mas o File Locker é uma das mais amigáveis, fáceis e intuitivas. E é grátis.

Caro leitor, não se deixe enganar pela simplicidade do título deste artigo. O mais difícil é enxergar as coisas mais simples que estão a nossa volta. E nem sempre conseguimos realizar esta pequena grande tarefa.

foto: maniacworld.com

Uma das maiores facilidades promovidas pelo Windows desde sempre é o famoso copiar e colar que integra o sistema operacional a toda a gama da camada de aplicativos que o permeia. Aliás, esta sempre foi uma das estratégias características do sistema operacional mais utilizado no mundo. Oferece o básico e outras companhias desenvolvem o avançado. Um exemplo disso pode ser o MS Paint. A seu reboque lá no início da década de ‘90 vieram Corel Draw, Ventura e Pagemaker dentre outros. É o milagre da multiplicação das APIs. Olha aí o Twitter que não me deixa mentir.

Certo. Mas o que isto pode ter a ver com segurança da informação?

Tem a ver com prejuízo financeiro que a evasão de informações e roubo de conteúdo acarreta. Cita-se também o crime de violação do direito autoral. Pois qual é o produto principal dos veículos de informação? Claro que a própria informação em formato de notícias, artigos, imagens, vídeos, podcasts, etc. e tal. Então como controlar esse drag and drop desenfreado pelas nuvens virtuais da vida?

Já está mais do que provado que de nada adianta bloquear o recurso de cópia online. Em questão de poucos minutos transforma-se a página em imagem e através de uma antiga tecnologia, OCR, se obtém o texto. Sons, vídeos e imagens são ‘ripados’ ao toque do mouse.

Foi pensando nisso que um ex-executivo do Yahoo ajudou a fundar na Califórnia a empresa Attributor. Hoje Rich Pearson é VP de marketing desta empresa. E conversando com ele tive o prazer de ver os produtos da Attributor em pleno funcionamento. Através da identificação do conteúdo original do autor é que começa a busca por toda a internet que está praticamente toda indexada no datacenter deles na Califórnia mesmo. A base de dados do Attributor possui mais de 30 bilhões de páginas listadas. E por dia são acrescentadas aproximadamente mais 50 milhões. Meta buscadores de algoritmos e tecnologias próprias varrem websites, redes sociais, blogs e tudo o mais que está público na rede mundial a procura de cópias indevidas de conteúdo que não foi disponibilizado via agências.

O resultado é impressionante ao se perceber o quanto um conteúdo é copiado sem ao menos ter a sua fonte de origem citada. A audiência de determinados veículos é muito maior do que a oficialmente por eles e experts em rating. Aí é que pode estar o ralo financeiro. Exemplo:

A partir de um único texto foram encontradas mais de 3.000 cópias em diversas instâncias de um pouco mais de 600 localidades. Poucas foram as que, no mínimo, citaram a fonte das matérias.

A empresa autora foi lesada e nem sabe. Talvez desconfie mas não sabe como localizar a tungada. Poderia estar alavancando a sua receita seja pela venda do conteúdo ou pelo menos aumentando a sua visibilidade ao requisitar a sua citação. O relatório mostra também que atrelado ao conteúdo roubado estão anexos anúncios e banners que também não deixam de representar uma perda indireta para o autor. Pois quem está percebendo lucro com o conteúdo alheio através de propagandas online é o gatuno oportuno.

Este é então um recurso e um investimento que se paga rapidamente na medida em que identifica por onde anda o trabalho e o suor dos produtores, editores, redatores, jornalistas e repórteres. Ao mesmo tempo em que ajuda a enfrentar os novos desafios propostos pelas tecnologias emergentes, determina uma tendência a virar regra, ferramenta usual e estratégica nas empresas de mídia e grandes veículos.

Artigo exclusivo

Tecnicamente o RIC (Registro de Identidade Civil) já está pronto para entrar em operação. O cartão de identificação do cidadão possibilitará a redução de gastos tanto pelo governo, com fraudes de identidades físicas, quanto para a iniciativa privada que, muitas vezes, sofre golpes de bandidos na aquisição de bens sem o pagamento devido do produto.

Um dos participantes do evento Identidade Digital contra Crimes Virtuais, realizado pela TV Decision no dia 26/05, comentou que o governo gastaria cerca de R$ 300 milhões para investir na implementação de toda a infraestrutura de hardware de uma solução de identidade digital (leia-se cartão com chip, sistema de captura de dados biométricos, leitoras biométricas e câmera). Ele ainda comparou o aporte com o atual gasto da Previdência com a falsificação física de identidades, por volta de R$ 15 bilhões.

Fernando Santos, gerente geral da Check Point para o Brasil, adverte: “se fala de identidade como se fosse a solução para todos os problemas de segurança no combate aos crimes digitais. Isso depende de educação. Não adianta dar um token ao brasileiro, se o cidadão não sabe usar ou empresta para um amigo”, conclui.

Fonte: Decision Report

Sábado, fim de manhã ensolarada no Leblon e saindo da praia quando eu e minha mulher tivemos a luminar e corriqueira idéia. Qual?

- Vamos ali no Bracarense?
- Oi? (disse ela)
- No Braca tomar um chopp.
- Já é. Só se for agora.

Por sorte ainda tinham umas mesas vazias. Birceu a postos na melhor chopeira do bairro. Vai começar a brincadeira.

Papo vai, papo vem e chegam amigos também vindos da praia que logo vão sentando. Resolvo mostrar algumas fotos de Salvador a eles. A beleza da terra de Oxum é tão grande que eles pedem que eu mande as fotos para o celular deles via Bluetooth. OK.

Preparo o envio dos arquivos e ativo o rastreio de outros dispositivos perto do meu telefone. Surpresa! Nova brincadeira inventada.

Começam a aparecer os mais esquisitos nomes para risadaria geral da mesa. “Doido”, “ElDiablo”, “Danadona”, “Tarado90”, “Gostosura”, “Vaca”, etc. e tal.

Ah tinha os nomes como “W510” e outros modelos de aparelhos que também apareceram.

Ficamos a olhar para os outros tentando descobrir quem era quem. E à medida em que as mesas iam fechando e pagando a conta fazíamos novo rastreio para ver qual era o nome que estava faltando na nossa lista. Sim, pois todos os nomes encontrados já estavam devidamente anotados no guardanapo do bar. E tome chopp dourado.

Aí é que a coisa ficou mais engraçada. Víamos as pessoas irem embora e simplesmente não acreditávamos em seus nomes de, quem sabe, seus supostos eus mais íntimos que escondem seus mais profundos desejos e emoções. E como é moda dizer, seus avatares.

A suposta “Danadona” saiu de mão dada com um sujeito bem apessoado. Mas ainda restou a dúvida. Será ela a tal ou será ele. Temos que investigar. Rápido! Rápido!

- Como? Como?
- Manda uma foto pro celular da “Danadona” e vamos ver quem é.
Pimba! Foto enviada. O sujeito bem apessoado pega o telefone do bolso e começa a olhar para a tela sem entender P.N.! A Danadona era ele. Mas vai ver que ele estava apenas guardando o celular da mulher. Aí seria ela então. Fica os dois então.

Depois dessa só tomando um submarino. Chopp + Steinhagger para os leigos.

Olha, vou te falar que foi muito difícil conter a gargalhada. E assim passamos a tarde no Braca jogando conversa fora e descobrindo quem é quem.

Vez por outra faço isto quando viajo a trabalho por este Brasil e saio para jantar sozinho depois de largar o notebook no hotel. Fui fazendo um compêndio dos nomes mais engraçados encontrados por cidades e regiões. Vamos lá:

Região Sul:Chucrute, Leiteira, Vaca, Adolf, Astrovenga, Maçarico,…