Em 64 a publicação de um artigo no Bell System Technical Journal expôs as entranhas do sistema telefônico norte americano a uma sangria de fraudes que viria a durar anos e mais anos. Hoje as máquinas ultra secretas cujo funcionamento aquele artigo expôs são apenas peças de colecionador porém parece que o passado se repete com freqüência.

Lembro de uma reunião do GT-ER onde algum especialista de Juniper apresentava o recém criado MPLS e a miríade de protocolos que o cerca... Inband Signaling. Essa era uma da features da recém apresentada tecnologia. Chocado comentei com os amigos ao redor que não conseguia acreditar que estavam falando de inband signaling e pior, com aquela convicção que convence até o mais cético de que aquilo é bom! A coceira de comentar era enorme mas para mim comentar algo no GT-ER sempre fora algo um tanto complicado. :-) Lá pelas tantas Durval Menezes da TMP levantou-se e questionou o palestrante se ele estava ciente de que estava apresentando uma solução com inband signaling...

O MPLS amadureceu e hoje é realidade. Apesar daquela palestra hoje é possível implementar redes MPLS com segurança mas aquele incidente ilustra que a segurança por obscuridade sempre retorna. Fora assim como o CCIS, o SS5, A5/1.

Mais do que isso, aquele incidente ilustra como por mais especializados, sempre haverá algo que não sabemos, algo correlato e de menor importância mas que pode servir como guia de aprendizado. Olhar ao redor é muitas vezes tão ou mais importante do que afundar nas tripas de uma só disciplina.

E lá estávamos eu, minha namorada e amigos assistindo o Codigo da Vinci até que lá pelas tantas o alarme do cinema começa a soar. Ficou para a próxima assistir a conclusão da história mais tosca da modernidade.

Mas voltemos ao alarme... imagino que o leitor típico desse blog deve achar que alarme em Israel é sinônimo de bomba e o povo deve sair correndo a gritar em pânico.

Pânico? Correria? Gritos? Nada disso! Muito pelo contrário, assim que começou a tocar o alarme todos olharam ao redor em uma tentativa de se convencer de que se tratava apenas de um alarme apitando. Os segundos passavam e o danado do alarme continuava apitando! 15 segundos se passaram até que fôssemos convencidos de que o alarme iria continuar apitando. Em menos de 2 minutos o cinema já estava evacuado e bombeiros, policiais e ambulâncias estavam na porta do cinema, alguns clientes dirigiam-se para a bilheteria para conseguir informações sobre o que estava acontecendo enquanto outros simplesmente dirigiam-se para suas casas em uma reação um tanto interessante.

Ao participar desse incidente durante o final de semana fiquei pensando, será que a capacitação do usuário irá realmente fazer algo pela segurança da informação? Ficou claro durante aqueles 15 segundos de ameaça que uma vez transformada em rotina a segurança e a falta dela estimulam o desenvolvimento de uma certa fleuma frente aos incidentes enfrentados. Se essa fleuma se caracterizar também na segurança da informação e no dia a dia corporativo como garantir a constante atenção aos problemas de segurança? Boa pergunta... boa pergunta

EMV é a reunião entre Europay, Mastercard e Visa e define um dos mais fortes padrões de uso de smartcards em transações financeiras. Daniel Rosa, membro da lista cisspbr alertou para as diferenças entre os sistemas de smartcards e eu fui correr atrás para verificar a informação passada. Eis que encontro a assustadora afirmação no site da Multos.

EMV Terminals need to be able to authenticate that the EMV transaction data generated by the card is genuine. This can be performed without the terminal needing to go on-line with “Static Data Authentication” (SDA) or “Dynamic Data Authentication” (DDA). In the case of SDA, the same digital signature is used by the card to authenticate itself each time an offline transaction takes place. This means that it may be possible to copy that card’s data, and create a duplicate card using programmable smart cards. Cloned SDA cards cannot be blocked if they are used in off-line terminals, but can be detected as soon as the terminal goes on-line. For this reason the threat of SDA card cloning is judged to be less of a threat than the current magnetic stripe technology. SDA is the most common deployment of EMV smart cards to date, since they do not require RSA cryptographic support in the chip, and so are less expensive.

The solution recommended for greater security is “Dynamic Data Authentication”, because it protects against the cloning of chip cards and against so-called "replay attacks". This is because a DDA terminal can dynamically authenticate that a DDA card is a genuine card off-line, by sending a challenge to the card which is processed by the card’s RSA co-processor, and responded to. The disadvantage of DDA is that the requirement for an RSA co-processor makes the smart card more expensive than a simple SDA card. Both MasterCard and Visa have defined EMV smart card implementation options for DDA and SDA.

Ao que parece o o inclonável não é tão inclonável assim. Ponto para o paranóico Nelson Corrêa que sempre reclamou dos cartões com chip. Vamos ver quanto tempo vai demorar para a novidade chegar no Brasil e se nossas instituições financeiras resolveram escolher SDA pois é "mais barato".

Muito se fala em crime organizado mas o que falar sobre o Estado desorganizado no Brasil?

Em 16 de maio de 2006 a Anatel publicou nota informando sobre o uso de bloqueadores de sinais de celular em determinados presídios. nota deixa clara, o bloqueio é temporário e terá duração de 20 dias. Curiosamente um juiz determinou que a obrigação de bloquear os sinais caberia às próprias empresas e não ao governo (que teoricamente deveria ser responsável pela segurança pública...)

Aproveitando a notícia da Anatel resolvi dar uma olhada em um tema relacionado, a interceptação de conversas telefônicas com autorização. Enquanto no mundo inteiro essa interceptação é padronizada e até mesmo discutida no Brasil pelo que minhas fontes indicam o assunto ainda é um tanto nebuloso. Se nos EUA a discussão hoje é sobre se o CALEA - Communications Assistance for Law Enforcement Act - deveria ou não se extender aos serviços broadband, aqui ainda sequer possuímos uma interceptação de sinais padronizada. Fico pensando como anda a interceptação de comunicação IP, VoIP, etc.

Duvido que essa interceptação não exista! O que me surpreende é, será que alguém sabe como é feita? Quem discutiu esse assunto? Nesse universo de transparência que é o Estado brasileiro aposto que deve ser feita naquela conformidade legal tupiniquim que deixa o escândalo da NSA parecendo história de dormir.

Será que algum dia esse Estado irá se portar com Estado de Direito? Tenho minhas dúvidas. Infelizmente.

Um thread iniciado na cisspbr rendeu bastante pano pra manga. O autor estava procurando uma tecnologia simples para combater o furto de laptops. Dentre muitas outras sugestões começou-se a flutuar ao redor dos sistemas anti-furto utilizados por lojas e livrarias. Sensores como aqueles produzidos pela Sensormatic.

Seria perfeito e simples exceto por um pequenos problema. Esses produtos são desenhados tendo em mente o chamado "shoplifter" e foram pensados no roubo de produtos de pequeno valor. Vocês por exemplo já perceberam que ao entrar em uma BestBuy ou CompUSA os objetos de maior valor estão presos por alguma espécie de cabo ao estande onde são expostos?

Geralmente os dispositivos são tão simples e facilmente burlados que uma pesquisa rápida no google revela como burlá-los. Ok que não imagino nenhum leitor daqui carregando uma mochila forrada de papel-estanho, uma espécie de primo do papel alumínio, porém não podemos ignorar que indivíduos determinados a roubar um laptop poderiam facilmente ultrapassar esses limites, especialmente se informações sigilosas estiverem envolvidas.

Eu particularmente acredito que se é para combater seriamente esse problema o ideal é utilizar sistemas de clearance aliados seja à revista manual, seja à máquinas de raios-x e detectores de metais. Afinal o dono da empresa não é forte candidato a roubar laptops com informações sigilosas da própria empresa dele e por isso não precisa ficar na fila. Essa obviamente não é uma solução barata ou até mesmo inviável para outras empresas devido ao perfil de seus clientes e visitantes.. Entra em cena o fator custo benefício.

Se usar etiquetas de segurança não resolve e ao mesmo tempo comprar um raio-x nem pensar será que vale a pena levar o projeto adiante? Difícil responder mas promessas não concretizadas de segurança são ainda mais devastadoras para quem as faz do que o mero incidente de segurança em si. Tome cuidado ao instalar seu detector de etiquetas!

Uma das coisas mais interessante que percebi durante os meses que trabalhei com IPTV security é o fato de que as tecnologias de DRM estão excepcionalmente desenvolvidas. Especialmente as de IPTV pois permitem comunicação bidirecional entre o set-top-box e o servidor de DRM.

A principal diferença no momento é uma só. Enquanto o DRM para IPTV foca em um conteúdo de streaming os sistemas de DRM para documentos lidam com conteúdos um tanto mais estáticos. No final das contas só com iniciativas como o Trusted Computing é que será possível garantir alguma confiabilidade nos softwares que lidam com os documentos protegidos.

A pergunta que fica é a seguinte:

Considerando que por obra do destino nos tornemos security officers da empresa de um desses alvos do James Bond, como poderemos escapar das microcameras e outras parafernalhas inventadas pelo Q?

E foi a tarde e a manhã

Cercas, carros blindados e seguranças privados têm sido nos últimos anos as armas do cidadão paulistano contra o crime crescente. Demorou alguns anos mas são paulo finalmente sentiu na pele aquilo que para os cariocas já virou rotina. Toques de recolher, delegacias metralhadas, pânico no metrô e o pior de tudo, a imobilidade do Estado.

Ontem chegou-se no fundo do poço. Da imprensa à polícia vimos exemplo de como o Brasil anda mal das pernas e com valores um tanto duvidosos. A imprensa brasileira há anos um mero apanhado de notas implantadas por assessores de imprensa fez sua parte na obra dantesca de ontem. Boatos tornaram-se fatos sem que fossem sequer investigados. Enquanto isso a polícia partia para o bang-bang ao invés de orientar e proteger o cidadão, mostrando claramente o porque do caos urbano vivenciado ontem. Os políticos como de costume partiram pra politicagem típica de ano eleitoral. E o cidadão?

O cidadão fez aquilo que já fazia por anos a fio e mais uma vez portou-se vergonhosamente. Há nos nos rendemos atrás de grades e blindagens ao invés de exigir o uso adequado de nossos impostos. Não é de hoje que acompanhamos felizes a construção de tuneis e avenidas enquanto escolas, saúde, segurança e transporte públicos eram sucateados pela roubalheira multipartidária. Acompanhamos em silêncio o patrimônio de políticos, juízes, sindicalistas e empresários crescer de forma ilegal e nos acostumamos com as pizzarias instaladas na Praça dos Três Poderes.

O verdadeiro culpado estava ontem sentado no sofá assistindo o jornal da globo e hoje estará lendo os editoriais baratos dos jornais impressos. Ontem o paulistano foi para casa falando em pena de morte e nos tempos da ditadura, ou então culpou a ditadura e a injustiça social pelos incidentes de ontem. Esquecem-se de gente como o General Lott que lutou mais por esse país do que José Dirceu e Lula, ou que a truculência e autoritarismo do MR-8 em nada deixavam a dever aos criminosos fardados que nos usurparam durante anos nossa própria cidadania.

Vergonha! Esse tornou-se um país sem lei, sem justiça e sem governo. Pior, esse tornou-se um país sem cidadãos! Nas eleições de 2006 teremos gente votando naqueles que supostamente defendem a palavra de deus mas roubam mais do que Barrabás! Veremos gente votando naqueles que defendem o autoritarismo militar e aqueles que defendem o autoritarismo vermelho. Quantos dias e anos de caos se passrão até que votemos naqueles que defendam um país democrático e uma constituição verdadeiramente protetora dos filhos desse país?

Ontem ficou claro porque existe uma grande diferença entre pagar impostos e sonegá-los. Ou porque anular o voto não é um ato sério! O futuro de nossos filhos não estará garantido até entendermos que não podemos fugir de nossas responsabilidades de cobrar respeito por nosso dinheiro e confiança. Não se trata de escolher bem em que votamos mas ao menos não esquecermos do nome dele e acompanhar suas atitudes.

São Paulo não tornou-se o Iraque apenas pela violência mas pelo total desprezo do brasileiro pela a democracia e às responsabilidades que ela nos trás. Que esse dia de caos sirva como um marco de mudança mais do que de pânico e que São Paulo não se una em um estúpido pedido de brutalidade mas em um clamor por seriedade, planejamento, inteligência e respeito! Vergonhosamente o crime percebeu antes do Estado e do cidadão que a força bruta é apenas uma das faces mais baratas do poder.

Pequeno quiz sobre a situação em são paulo. Os leitores do blog acham que é um acerto do comando da polícia do estado ou um grande erro?

Comente!

Porque tanto barulho por conta de uma série de simples clonagem de alguns cartões através de fallback?

Porque o Royal Bank of Scotland e Shell não foram capazes de cruzar os casos de clonagem em postos de gasolina específicos e cancelar apenas os cartões já clonados e aqueles que foram utilizados nesses postos suspeitos?

Se os pinpads foram realmente violados qual o será o impacto fraude em outras instituições?

BTW, parece que o RBS, responsável pelos cartões é cliente da FairIsaac, o que reforça minha surpresa quanto a reação da Shell.

O emissor de um dos meus cartões de crédito no Brasil usa um sistema deles e há menos de 6 meses quando fui à Alemanha depois de uns meses trabalhando no Oriente Médio fui presenteado com uma chamada no meu celular antes de terminar de colocar minha jaqueta. O diálogo foi um tanto divertido.

- Sr. André, aqui quem fala é fulano de tal do seu cartão de crédit...
- Já sei... o Falcon alertou. Sim, estou na alemanha.
- Ah. Era isso mesmo que eu ia perguntar pro Sr.

:-)

The register publicou hoje um artigo de quatro páginas acerca da eterna polêmica das urnas eletrônicas nos EUA. Como de costume o alvo é a Diebold (que diga-se de passagem é dona da Procomp que fabrica as urnas brasileiras...).

Desde meu primeiro contato com o sistema de votação eletrônica em 96 eu me divirto ao ler sobre a reatividade do americano no que tange os sistemas de votações eletrônicas. Artigo após artigo parece que os americanos esperam que os sistemas de votação sejam naturalmente 100% seguros, ignorando qualquer processo não eletrônico que se faça necessário. Pelo visto os sistemas de votação nos EUA precisam amadurecer um pouco mais.

O sistema eleitoral clássico é REPLETO de exemplos de processos de segurança tais como separation of duties, auditorias, lacres, etc. Mas ainda assim parece que os norte americanos não ficarão jamais satisfeitos em aplicar esses conceitos em um sistema eleitoral informatizado.

Por sinal o já falecido Brizola e Lula eram críticos vorazes do sistema eletrônico, mas depois que um morreu e o outro foi eleito sobrou para o Gar... deixa pra lá. :-)

Forbes publicou (e slashdot repassou) uma matéria paga pela nova menina dos olhos da RSA, a Cyota uma startup israelense adquirida em dezembro.

A matéria em si impressiona pelo enorme foco em cartões de crédito e comunidades online especializadas na troca deles. Achei engraçado visto que o chamado carding é mais velho que andar para trás e que o problema vai muito além de carding... mas considerando-se a atual posição brasileira no ranking do phishing essa é uma empresa da qual vocês vão ouvir falar com certeza.

Augusto Barros mostra mais uma vez porque é um dos mais promissores profissionais de segurança da informação brasileira.

Esse link é algo que espero há anos.

Em dezembro do ano passado um colega pediu que eu escrevesse um capítulo sobre gerenciamento de segurança da informação em novas tecnologias para o livro que estava organizando. Lá pelas tantas concluiu-se que o capítulo destoaria dos demais por não dar respostas imediatas aos problemas do dia a dia.

Eu pessoalmente acho que ao se falar de novas tecnologias olhando apenas para o presente acaba-se criando um texto que ficará datado semana que vem mas em todo caso respeito a decisão do colega.

Como o texto já estava praticamente concluído não custa nada disponibilizá-lo aqui no blog e ver o que os leitores acham. Peço desculpas pelo número de páginas e pela conclusão um tanto abrupta. Comentários serão super bem vindos.

Por volta do ano novo tive uma conversa engraçada com um dos meus colegas de trabalho. Ele me perguntava se havia segurança 100% segura e eu lhe respondi que não havia. Ele insistiu o quanto pode até ir embora (provavelmente pensando que eu não sabia do que estava falando).

Já outro amigo detesta cartões de crédito com chips por achar que eles carregam um esteriótipo de 100% seguros, o que segundo ele pode ser fonte de dor de cabeça no futuro.

Parece que a Shell acaba de descobrir que a combinação "chip & pin" não é infalível...

Se serve como alívio a associação responsável pela introdução do método de pagamento eletrônica "está certa de que o problema é específico ao sistema da Shell". :-)

Ainda sobre a censura segue o c&p de um diálogo via MSN entre eu e meu irmão mais novo, que no momento está fazendo intercâmbio na china.

andre fucs @ :
http://afucs.blogspot.com/
Fabien:
vou dar uma olhada
Fabien:
bem que eu acho que blogspot ta bloqueado na China
Fabien:
exato
andre fucs @ :
ahhaahahah

A letra da banda inglesa Bauhaus torna-se cada vez mais interessante. A paranóia cresce sem sinais de limites. Embarcar em um vôo tornou-se um exercício de direitos individuais sem precedentes. Na cabeça dos agentes de segurança vale tudo, até mesmo discutir religião!

Um colega de trabalho entrou para uma lista negra depois que ligou para o Iraque a partir de seu quarto de hotel. Outro amigo, um americano nascido em Boston tinha dores de cabeças ao desembarcar em seu país. O motivo? Ele estava de férias em Bali em outubro de 2002. Ele se animava a contar a o diálogo com um agente de imigração que o questionara porque Bali ao invés da Flórida.

Mesmo no mundo eletrônico o direito de ir e vir anda sendo excessivamente cerceado. Não são raros os provedores censurando páginas de concorrentes assim como a invasão de privacidade tornou-se prática cada vez mais comum.

Lembro-me de um dia ter recebido a orientação de fazer um treinamento online sobre "boas práticas no uso da internet no trabalho". Nunca vou esquecer, terminei o treinamento com a impressão de que para cada dois ou três funcionários da empresa havia outro encarregado de observar o que eu estava fazendo. Passei até a prestar atenção no cursor para ver se ele não se movia sozinho. :-)

Mas se as empresas e coorporações têm uma boa justificativa para monitorar uma parte da vida de seus funcionários os governos não... ainda assim parece que cresce no mundo a prática da censura eletrônica feita por governos.

Engraçado é pesquisar a fonte da matéria da BBC e descobrir que a respeitada agência de notícias demorou quase 6 meses para publicar o relatório do Reporters sans frontières.
:-)

Uma hilária notícia no The Register lembrou-me de um blog de um só post. A notícia fala sobre uma insólita ofensa ao primeiro ministro canadense. Passageiros de alguns trens de Toronto espantaram-se ao ler nos letreiros luminosos "Stephen Harper Eats Babies".

O incidente canadense lembra-me de um conto publicado em http://whomomlikes.blogspot.com/. :-)