Notícias
Gerais Secunia melhora freeware que detecta programas inseguros
A empresa de segurança Secunia lançou, no final do ano passado, uma ferramenta capaz de detectar versões inseguras dos programas. O programa rodava apenas no navegador e era limitado no número de aplicativos que ele conseguia verificar.
A ferramenta foi melhorada e agora é um aplicativo que pode ser instalado no PC. O Personal Software Inspector (PSI) é um programa gratuito capaz de verificar o estado de segurança de mais de 4200 programas. Quando ele encontra um aplicativo instalado que possui uma versão mais segura disponível, o programa informa um link direto para o download da mesma.
O software também conta com uma proteção residente que avisa sempre que um programa que está instalado no computador precisa de uma atualização.
Dados publicados em maio pela Secunia com base na versão web do Software Inspector mostram que 28% dos softwares detectados eram inseguros (estavam desatualizados). Isto é preocupante porque muitos ataques e invasões podem ser evitadas se o sistema operacional e os demais aplicativos instalados estiverem protegidos contra as mais novas falhas, o que só acontece nas versões mais novas.
Faça o download do programa no site da Secunia e descubra quais softwares que estão instalados no seu PC precisam de uma atualização. É provavelmente uma das melhores coisas que você pode fazer pela segurança do seu comptuador. E não custa nada.
Leia mais...
A ferramenta foi melhorada e agora é um aplicativo que pode ser instalado no PC. O Personal Software Inspector (PSI) é um programa gratuito capaz de verificar o estado de segurança de mais de 4200 programas. Quando ele encontra um aplicativo instalado que possui uma versão mais segura disponível, o programa informa um link direto para o download da mesma.
O software também conta com uma proteção residente que avisa sempre que um programa que está instalado no computador precisa de uma atualização.
Dados publicados em maio pela Secunia com base na versão web do Software Inspector mostram que 28% dos softwares detectados eram inseguros (estavam desatualizados). Isto é preocupante porque muitos ataques e invasões podem ser evitadas se o sistema operacional e os demais aplicativos instalados estiverem protegidos contra as mais novas falhas, o que só acontece nas versões mais novas.
Faça o download do programa no site da Secunia e descubra quais softwares que estão instalados no seu PC precisam de uma atualização. É provavelmente uma das melhores coisas que você pode fazer pela segurança do seu comptuador. E não custa nada.
Segurança Criptografia: faça hoje ou você vai pagar por não ter feito amanhã
Superficialmente, a criptografia sempre pareceu uma escolha óbvia. Para quê expor informação confidencial a olhos bisbilhoteiros se você pode protegê-la embaralhando-a? Porém, apesar de amplamente disponíveis há mais de 10 anos, as tecnologias de criptografia demoravam a decolar.
Agora, finalmente, este cenário está mudando. Uma sucessão de infortúnios expressivos, como laptops roubados, fitas perdidas e litígios associados a vulnerabilidades de dados, atraiu a atenção da gerência, e não apenas da gerência de TI. Enquanto isso, fornecedores de hardware e software reduziram gradualmente as barreiras tradicionais à criptografia, incluindo prejuízo à performance e dificuldade de gerenciar chaves.
As empresas com grande volume de dados sigilosos estão começando a migrar de produtos pontuais táticos para “plataformas” de criptografia de alto nível que fornecem serviços para aplicativos, bancos de dados e redes em nível corporativo.
“Estamos implementando uma arquitetura que nos dará a capacidade de gerenciar a criptografia com alta integração em múltiplos sistemas operacionais e múltiplos sistemas back-end, e criptografar tudo que considerarmos sigiloso”, diz Harvey Ewing, diretor sênior de segurança de TI da Accor North America. Os dados criptografados podem ser informação de identificação pessoal, como nome, endereço, RG e número de telefone, ou dados médicos ou financeiros sujeitos a regulamentações governamentais.
A Accor, que administra cadeias de hotéis econômicos, entre eles a Red Roof Inn, utiliza o Key Manager da RSA Security para gerenciar centralmente as chaves de criptografia de suas 1,3 mil propriedades. O produto permite que aplicativos diferentes compartilhem dados criptografados sem que cada um precise ter suas próprias chaves. “O servidor de gerenciamento de chaves é o centro de todos os nossos processos de criptografia e tira de cena o gerenciamento de chaves individuais”, explica Ewing.
Um dos maiores problemas da criptografia foi resolvido na Accor. O gerenciamento de chaves, além de complexo e arriscado, representava um obstáculo significativo à ampla adoção da criptografia.
A dificuldade surge porque a criptografia entra nas empresas “organicamente, não estrategicamente”, diz Jon Oltsik, analista do Enterprise Strategy Group.
“Muita gente ainda terá dificuldade para lidar com isso nos próximos dois a três anos.”
Oltsik prevê que unidades de disco rígido e de fita, novas versões de software de banco de dados e coisas do gênero vão acabar incorporando funções de criptografia, e as empresas vão adotá-las uma de cada vez. “De repente, você se vê com cinco sistemas de gerenciamento de chaves e todos os tipos de complexidades”, observa Oltsik.
“O risco maior, agora, é disaster recovery. Ou você precisará recuperar cinco diferentes sistemas de gerenciamento de chaves para erguer um processo de negócio ou fará um backup de quatro deles, mas vai perder as chaves no quinto e afundar o processo inteiro”, ressalta.
O gerente de segurança de TI Marc Massar conta que sua empresa – que ele preferiu não identificar – processa mais da metade de todas as transações de cartões ao redor do mundo.
Durante muitos anos, a empresa protegeu as transações com produtos de escopo limitado que executam tarefas específicas como criptografar uma senha em um caixa eletrônico. Estes produtos são desenvolvidos para proteger “dados em movimento”, segundo Massar.
Existem várias maneiras de criptografar dados em movimento: Secure Sockets Layer (SSL) para a internet e o padrão IPsec para “tunelamento”, ou seja, criação de um túnel seguro em uma rede não segura. “Estes tipos de produtos estão bem estabelecidos e prepararam o caminho para o comércio eletrônico muitos anos atrás, principalmente SSL”, diz Massar. “Ninguém questiona mais a necessidade de criptografar um número de cartão de crédito na internet”, explica.
Hoje, é muito menos comum as empresas criptografarem “dados em repouso” – em servidores, desktops, laptops e fitas de backup. Mas, recentemente, proteger arquivos e bancos de dados tornou-se o foco dos projetos de criptografia em muitas empresas.
Massar, por exemplo, implementou o DataSecure Platform, um appliance de criptografia dedicado da Ingrian Networks que fica entre aplicativos e bancos de dados. O hardware e o software são ajustados especialmente para processos criptográficos que dependem de computação intensa.
Massar usa os dispositivos da Ingrian para aplicar um dos princípios básicos da criptografia de dados em repouso. “Pense em uma informação como tendo um ciclo de vida”, diz. “Quero protegê-la o mais próximo possível de seu ponto de origem de forma que já possa criptografá-la ao entrar no meu primeiro sistema.”
Se Massar quiser afunilar a informação para um sistema back-office, ela permanecerá criptografada. E, se precisar fazer um backup em fita, ela também continuará criptografada.
“Estamos implantando primeiro para nossos sistemas baseados na internet porque é onde há maior risco”, acrescenta Massar. Mas a meta é ter um serviço de criptografia para que os desenvolvedores de aplicativos não sejam obrigados a criar uma nova rotina de criptografia toda vez que uma informação sigilosa é obtida.
Massar admite, no entanto, que esta criptografia abrangente e altamente integrada é mais fácil de imaginar do que fazer. Ele tem mais de mil sistemas sujeitos às diretrizes de criptografia do Payment Card Industry Data Security Standard, o que “exige muitas decisões arquiteturais”.
As organizações que estão aderindo à criptografia da informação em repouso naturalmente se concentram primeiro nos dados mais vulneráveis, que podem sair da empresa em laptops, dispositivos handheld e assim por diante.
Há pouco tempo, uma empresa de serviços de informática estabeleceu a política de criptografar as unidades de disco rígido em todos os laptops com o Whole Disk Encryption da PGP, conta Lawrence Hale, chief information security officer (CISO), solicitando que seu empregador não fosse mencionado.
Com freqüência, as empresas resistem a criptografar grandes volumes de dados porque os algoritmos matemáticos utilizados para criptografar e descriptografar demandam computação intensiva. De acordo com Hale, pode levar de seis a oito horas para criptografar um disco rígido de 60GB a 80GB desde o começo.
Mas é um trabalho realizado uma vez para cada disco. Depois de pronto, a criptografia e descriptografia cotidianas incrementais ocorrem em background, imperceptíveis para os usuários. “Os arquivos que você cria abrem muito rápido”, ressalta Hale.
Riscos para a performance
Embora a Lei de Moore tenha fechado grande parte da ferida da criptografia, um servidor que processa muitas transações envolvendo um banco de dados pode se tornar inaceitavelmente lento se não houver atenção, alerta Hale. A solução não é a criptografia do disco inteiro, mas a criptografia seletiva, no nível do aplicativo ou até do elemento de dado.
“Vamos criptografar números de Previdência Social, nomes, endereços — tudo que represente uma identificação pessoal”, diz Hale. Em alguns casos, isso é possível com recursos embutidos em software comercial, como os aplicativos de banco de dados. Mas este nível de granularidade, apesar de economizar ciclos de processamento, tem seu custo: o esforço necessário para inventariar e classificar aplicativos e dados.
Na realidade, a tecnologia em si não é a parte mais difícil de uma ampla implementação de criptografia, acredita Matt Haynes, arquiteto de segurança de uma importante empresa de telecomunicações que ele quis manter no anonimato. “O grande esforço é identificar onde estão os dados. Levamos um trimestre para fazer isso. O segundo aspecto é estabelecer políticas e procedimentos: como viver com essa coisa nova chamada criptografia?”
Haynes recomenda que duas equipes distintas assumam o projeto de criptografia: “Uma descobre e classifica os dados e outra se especializa nas ferramentas e nos processos de criptografia”.
O trabalho não pára depois que a criptografia está feita. “Há um overhead de processos, um overhead administrativo e você, obviamente, tem que gerenciar este sistema muito de perto.”
Sem falar no gerenciamento de chaves. “Quando há muitos dados criptografados, você precisa ter muita certeza de que eles poderão ser descriptografados e saber de antemão quem vai fazer a descriptografia.”
Ainda assim, existem opções de tecnologia capazes de reduzir extremamente o esforço de implementação, salienta Haynes. Algumas abordagens de criptografia, por exemplo, requerem que aplicativos sejam modificados em cada ponto onde acessam um banco de dados criptografado.
“Quando começamos a pensar em criptografar os dados”, recorda Haynes, “entendemos que a necessidade de fazer alterações numerosas e complicadas transformaria o conceito em um projeto de muitos anos e muitos milhões de dólares”. Mas ele conseguiu evitar uma empreitada hercúlea utilizando o appliance de criptografia da Ingrian. Posicionado entre o banco de dados e os aplicativos, é invisível para os aplicativos. As mudanças no nível do aplicativo foram mínimas.
“Criptografia é uma iniciativa estratégica”, define Massar. “No último ano, enfocamos algumas coisas muito táticas — criptografar fitas, laptops, BlackBerries e assim por diante. Estas são situações de rápida solução. Mas que tal se seu tivesse adotado uma abordagem mais estratégica uns dois anos atrás?”
Se Massar tivesse promovido uma re-arquitetura em seus aplicativos para não armazenar dados em clientes, por exemplo, talvez não precisasse criptografar os laptops. Se a fonte que Massar está copiando para fita tivesse sido criptograda, para início de conversa, ele não precisaria criptografar as fitas de backup. “Se eu tivesse feito alguma coisa lá atrás, não precisaria tomar algumas atitudes táticas depois.”
Leia mais...
Agora, finalmente, este cenário está mudando. Uma sucessão de infortúnios expressivos, como laptops roubados, fitas perdidas e litígios associados a vulnerabilidades de dados, atraiu a atenção da gerência, e não apenas da gerência de TI. Enquanto isso, fornecedores de hardware e software reduziram gradualmente as barreiras tradicionais à criptografia, incluindo prejuízo à performance e dificuldade de gerenciar chaves.
As empresas com grande volume de dados sigilosos estão começando a migrar de produtos pontuais táticos para “plataformas” de criptografia de alto nível que fornecem serviços para aplicativos, bancos de dados e redes em nível corporativo.
“Estamos implementando uma arquitetura que nos dará a capacidade de gerenciar a criptografia com alta integração em múltiplos sistemas operacionais e múltiplos sistemas back-end, e criptografar tudo que considerarmos sigiloso”, diz Harvey Ewing, diretor sênior de segurança de TI da Accor North America. Os dados criptografados podem ser informação de identificação pessoal, como nome, endereço, RG e número de telefone, ou dados médicos ou financeiros sujeitos a regulamentações governamentais.
A Accor, que administra cadeias de hotéis econômicos, entre eles a Red Roof Inn, utiliza o Key Manager da RSA Security para gerenciar centralmente as chaves de criptografia de suas 1,3 mil propriedades. O produto permite que aplicativos diferentes compartilhem dados criptografados sem que cada um precise ter suas próprias chaves. “O servidor de gerenciamento de chaves é o centro de todos os nossos processos de criptografia e tira de cena o gerenciamento de chaves individuais”, explica Ewing.
Um dos maiores problemas da criptografia foi resolvido na Accor. O gerenciamento de chaves, além de complexo e arriscado, representava um obstáculo significativo à ampla adoção da criptografia.
A dificuldade surge porque a criptografia entra nas empresas “organicamente, não estrategicamente”, diz Jon Oltsik, analista do Enterprise Strategy Group.
“Muita gente ainda terá dificuldade para lidar com isso nos próximos dois a três anos.”
Oltsik prevê que unidades de disco rígido e de fita, novas versões de software de banco de dados e coisas do gênero vão acabar incorporando funções de criptografia, e as empresas vão adotá-las uma de cada vez. “De repente, você se vê com cinco sistemas de gerenciamento de chaves e todos os tipos de complexidades”, observa Oltsik.
“O risco maior, agora, é disaster recovery. Ou você precisará recuperar cinco diferentes sistemas de gerenciamento de chaves para erguer um processo de negócio ou fará um backup de quatro deles, mas vai perder as chaves no quinto e afundar o processo inteiro”, ressalta.
O gerente de segurança de TI Marc Massar conta que sua empresa – que ele preferiu não identificar – processa mais da metade de todas as transações de cartões ao redor do mundo.
Durante muitos anos, a empresa protegeu as transações com produtos de escopo limitado que executam tarefas específicas como criptografar uma senha em um caixa eletrônico. Estes produtos são desenvolvidos para proteger “dados em movimento”, segundo Massar.
Existem várias maneiras de criptografar dados em movimento: Secure Sockets Layer (SSL) para a internet e o padrão IPsec para “tunelamento”, ou seja, criação de um túnel seguro em uma rede não segura. “Estes tipos de produtos estão bem estabelecidos e prepararam o caminho para o comércio eletrônico muitos anos atrás, principalmente SSL”, diz Massar. “Ninguém questiona mais a necessidade de criptografar um número de cartão de crédito na internet”, explica.
Hoje, é muito menos comum as empresas criptografarem “dados em repouso” – em servidores, desktops, laptops e fitas de backup. Mas, recentemente, proteger arquivos e bancos de dados tornou-se o foco dos projetos de criptografia em muitas empresas.
Massar, por exemplo, implementou o DataSecure Platform, um appliance de criptografia dedicado da Ingrian Networks que fica entre aplicativos e bancos de dados. O hardware e o software são ajustados especialmente para processos criptográficos que dependem de computação intensa.
Massar usa os dispositivos da Ingrian para aplicar um dos princípios básicos da criptografia de dados em repouso. “Pense em uma informação como tendo um ciclo de vida”, diz. “Quero protegê-la o mais próximo possível de seu ponto de origem de forma que já possa criptografá-la ao entrar no meu primeiro sistema.”
Se Massar quiser afunilar a informação para um sistema back-office, ela permanecerá criptografada. E, se precisar fazer um backup em fita, ela também continuará criptografada.
“Estamos implantando primeiro para nossos sistemas baseados na internet porque é onde há maior risco”, acrescenta Massar. Mas a meta é ter um serviço de criptografia para que os desenvolvedores de aplicativos não sejam obrigados a criar uma nova rotina de criptografia toda vez que uma informação sigilosa é obtida.
Massar admite, no entanto, que esta criptografia abrangente e altamente integrada é mais fácil de imaginar do que fazer. Ele tem mais de mil sistemas sujeitos às diretrizes de criptografia do Payment Card Industry Data Security Standard, o que “exige muitas decisões arquiteturais”.
As organizações que estão aderindo à criptografia da informação em repouso naturalmente se concentram primeiro nos dados mais vulneráveis, que podem sair da empresa em laptops, dispositivos handheld e assim por diante.
Há pouco tempo, uma empresa de serviços de informática estabeleceu a política de criptografar as unidades de disco rígido em todos os laptops com o Whole Disk Encryption da PGP, conta Lawrence Hale, chief information security officer (CISO), solicitando que seu empregador não fosse mencionado.
Com freqüência, as empresas resistem a criptografar grandes volumes de dados porque os algoritmos matemáticos utilizados para criptografar e descriptografar demandam computação intensiva. De acordo com Hale, pode levar de seis a oito horas para criptografar um disco rígido de 60GB a 80GB desde o começo.
Mas é um trabalho realizado uma vez para cada disco. Depois de pronto, a criptografia e descriptografia cotidianas incrementais ocorrem em background, imperceptíveis para os usuários. “Os arquivos que você cria abrem muito rápido”, ressalta Hale.
Riscos para a performance
Embora a Lei de Moore tenha fechado grande parte da ferida da criptografia, um servidor que processa muitas transações envolvendo um banco de dados pode se tornar inaceitavelmente lento se não houver atenção, alerta Hale. A solução não é a criptografia do disco inteiro, mas a criptografia seletiva, no nível do aplicativo ou até do elemento de dado.
“Vamos criptografar números de Previdência Social, nomes, endereços — tudo que represente uma identificação pessoal”, diz Hale. Em alguns casos, isso é possível com recursos embutidos em software comercial, como os aplicativos de banco de dados. Mas este nível de granularidade, apesar de economizar ciclos de processamento, tem seu custo: o esforço necessário para inventariar e classificar aplicativos e dados.
Na realidade, a tecnologia em si não é a parte mais difícil de uma ampla implementação de criptografia, acredita Matt Haynes, arquiteto de segurança de uma importante empresa de telecomunicações que ele quis manter no anonimato. “O grande esforço é identificar onde estão os dados. Levamos um trimestre para fazer isso. O segundo aspecto é estabelecer políticas e procedimentos: como viver com essa coisa nova chamada criptografia?”
Haynes recomenda que duas equipes distintas assumam o projeto de criptografia: “Uma descobre e classifica os dados e outra se especializa nas ferramentas e nos processos de criptografia”.
O trabalho não pára depois que a criptografia está feita. “Há um overhead de processos, um overhead administrativo e você, obviamente, tem que gerenciar este sistema muito de perto.”
Sem falar no gerenciamento de chaves. “Quando há muitos dados criptografados, você precisa ter muita certeza de que eles poderão ser descriptografados e saber de antemão quem vai fazer a descriptografia.”
Ainda assim, existem opções de tecnologia capazes de reduzir extremamente o esforço de implementação, salienta Haynes. Algumas abordagens de criptografia, por exemplo, requerem que aplicativos sejam modificados em cada ponto onde acessam um banco de dados criptografado.
“Quando começamos a pensar em criptografar os dados”, recorda Haynes, “entendemos que a necessidade de fazer alterações numerosas e complicadas transformaria o conceito em um projeto de muitos anos e muitos milhões de dólares”. Mas ele conseguiu evitar uma empreitada hercúlea utilizando o appliance de criptografia da Ingrian. Posicionado entre o banco de dados e os aplicativos, é invisível para os aplicativos. As mudanças no nível do aplicativo foram mínimas.
“Criptografia é uma iniciativa estratégica”, define Massar. “No último ano, enfocamos algumas coisas muito táticas — criptografar fitas, laptops, BlackBerries e assim por diante. Estas são situações de rápida solução. Mas que tal se seu tivesse adotado uma abordagem mais estratégica uns dois anos atrás?”
Se Massar tivesse promovido uma re-arquitetura em seus aplicativos para não armazenar dados em clientes, por exemplo, talvez não precisasse criptografar os laptops. Se a fonte que Massar está copiando para fita tivesse sido criptograda, para início de conversa, ele não precisaria criptografar as fitas de backup. “Se eu tivesse feito alguma coisa lá atrás, não precisaria tomar algumas atitudes táticas depois.”
Gerais Saiba um pouco sobre SPIM
Você já ouviu o termo SPIM? Ele se refere a spam via instant messaging, ou seja, spam pelo messenger.
Leia mais...
Bugs Depois de discussão, Mozilla admite que tem mesma falha que IE
Uma brecha descoberta pelo pesquisador Thor Larholm gerou discussão entre programadores da Microsoft e da Mozilla. Larholm afirmava ter encontrado uma brecha no Internet Explorer que permitia que um link malicioso executasse o Firefox de tal forma que um invasor poderia comprometer o sistema. A Microsoft afirmou que o problema era do Firefox e não do Internet Explorer. Mas outro pesquisador revelou que o Firefox possui o mesmo “problema” que o Internet Explorer, e a Mozilla confirmou esta informação na segunda-feira (23/06).
Larholm revelou informações sobre a falha no dia 10 de julho. O problema, de acordo com ele, estaria no fato de que o Internet Explorer não codifica as aspas em uma URL que é passada para outro programa configurado como Protocol Handler. Isto permite que um link malicioso, ao ser clicado, adicione parâmetros perigosos ao programa que será executado. Larholm demonstra o problema usando o protocolo “firefoxURL://”, que pertence ao Firefox.
A Microsoft respondeu dizendo que o problema é do Firefox e não do Internet Explorer. A Mozilla, por sua vez, disse que é um problema no Internet Explorer, já que este não estaria codificando corretamente as URLs passadas aos programas. Mesmo assim, a Mozilla começou a trabalhar em uma correção para o Firefox.
O Firefox 2.0.0.5 foi lançado para corrigir a brecha. No boletim de segurança. a Mozilla dizia que a atualização “não corrigia a falha crítica do Internet Explorer” e que o uso do Firefox era recomendado para que usuários navegassem na web com segurança.
No dia 20, o pesquisador de segurança especialista em Windows Jesper Johansson publicou um post em seu blog demonstrando que o Firefox possui a mesma falha “crítica” que a Mozilla dizia somente existir no Internet Explorer.
A Fundação Mozilla confirmou as descobertas de Johansson, admitindo que o Firefox sofre do mesmo problema que ela havia criticado a Microsoft por não corrigir. Johansson, no entanto, não acredita que isto é um problema. Ele acha que os navegadores não devem codificar as aspas e pensa que a melhor maneira é deixar que os próprios protocol handlers gerenciem os comandos e URLs que receberem.
Problema é conhecido desde junho
Apesar de Larholm ter tornado público o erro no dia 10 de julho, um boletim da iDefense, publicado no dia 19, mostra que a Mozilla e a Microsoft foram avisadas do problema no dia 13 de junho. Greg MacManus teria descoberto a falha de forma independente para a iDefense.
Apenas depois de um mês da notificação da iDefense, no dia 17 deste mês, a Microsoft atualizou a página de documentação de protocol handlers, enfatizando a necessidade de cuidados de segurança.
Em uma nota no blog oficial do Internet Explorer, o Gerente de Produto Markellos Diorinos diz que é muito difícil proteger usuários de tecnologias de extensão — como é o caso dos handlers –, pois o número de aplicativos e protocolos “não tem limite”.
Diorinos explicou que o Internet Explorer, no Modo Protegido (Win2003/Vista), dá uma proteção adicional ao exibir um alerta aos usuários dizendo que um aplicativo externo será lançado (o que o Firefox também faz). De acordo com ele, é possível compreender que, no entendimento da Microsoft, mesmo uma alteração na codificação das aspas pode não ser suficiente para evitar que dados maliciosos sejam enviados a aplicativos externos.
A Mozilla, por outro lado, está investigando soluções para o problema, aparentemente insistindo na posição de que o navegador web deve enviar os endereços já codificados aos aplicativos externos.
Padronização pode ser a solução
Uma solução para este caso, como sugere o site heise Security, seria um diálogo entre a Microsoft e a Mozilla, que atualmente desenvolvem os navegadores mais comuns do mercado, para decidir qual seria a melhor saída: filtrar as aspas e seguir as normas que regem os formatos de URL, ou continuar com o comportamento atual, que a Microsoft diz estar “documentado”.
Na semana passada, um pesquisador de segurança demonstrou falhas semelhantes no Trillian e outros programas que se registram como responsáveis por protocolos podem ter brechas semelhantes. Se os navegadores não admitirem uma única maneira para efetuar o processamento de links que referenciam aplicativos externos, novos problemas de segurança, ou incompatibilidades, podem ocorrer.
Com esta discordância, quem perde são os usuários.
Leia mais...
Larholm revelou informações sobre a falha no dia 10 de julho. O problema, de acordo com ele, estaria no fato de que o Internet Explorer não codifica as aspas em uma URL que é passada para outro programa configurado como Protocol Handler. Isto permite que um link malicioso, ao ser clicado, adicione parâmetros perigosos ao programa que será executado. Larholm demonstra o problema usando o protocolo “firefoxURL://”, que pertence ao Firefox.
A Microsoft respondeu dizendo que o problema é do Firefox e não do Internet Explorer. A Mozilla, por sua vez, disse que é um problema no Internet Explorer, já que este não estaria codificando corretamente as URLs passadas aos programas. Mesmo assim, a Mozilla começou a trabalhar em uma correção para o Firefox.
O Firefox 2.0.0.5 foi lançado para corrigir a brecha. No boletim de segurança. a Mozilla dizia que a atualização “não corrigia a falha crítica do Internet Explorer” e que o uso do Firefox era recomendado para que usuários navegassem na web com segurança.
No dia 20, o pesquisador de segurança especialista em Windows Jesper Johansson publicou um post em seu blog demonstrando que o Firefox possui a mesma falha “crítica” que a Mozilla dizia somente existir no Internet Explorer.
A Fundação Mozilla confirmou as descobertas de Johansson, admitindo que o Firefox sofre do mesmo problema que ela havia criticado a Microsoft por não corrigir. Johansson, no entanto, não acredita que isto é um problema. Ele acha que os navegadores não devem codificar as aspas e pensa que a melhor maneira é deixar que os próprios protocol handlers gerenciem os comandos e URLs que receberem.
Problema é conhecido desde junho
Apesar de Larholm ter tornado público o erro no dia 10 de julho, um boletim da iDefense, publicado no dia 19, mostra que a Mozilla e a Microsoft foram avisadas do problema no dia 13 de junho. Greg MacManus teria descoberto a falha de forma independente para a iDefense.
Apenas depois de um mês da notificação da iDefense, no dia 17 deste mês, a Microsoft atualizou a página de documentação de protocol handlers, enfatizando a necessidade de cuidados de segurança.
Em uma nota no blog oficial do Internet Explorer, o Gerente de Produto Markellos Diorinos diz que é muito difícil proteger usuários de tecnologias de extensão — como é o caso dos handlers –, pois o número de aplicativos e protocolos “não tem limite”.
Diorinos explicou que o Internet Explorer, no Modo Protegido (Win2003/Vista), dá uma proteção adicional ao exibir um alerta aos usuários dizendo que um aplicativo externo será lançado (o que o Firefox também faz). De acordo com ele, é possível compreender que, no entendimento da Microsoft, mesmo uma alteração na codificação das aspas pode não ser suficiente para evitar que dados maliciosos sejam enviados a aplicativos externos.
A Mozilla, por outro lado, está investigando soluções para o problema, aparentemente insistindo na posição de que o navegador web deve enviar os endereços já codificados aos aplicativos externos.
Padronização pode ser a solução
Uma solução para este caso, como sugere o site heise Security, seria um diálogo entre a Microsoft e a Mozilla, que atualmente desenvolvem os navegadores mais comuns do mercado, para decidir qual seria a melhor saída: filtrar as aspas e seguir as normas que regem os formatos de URL, ou continuar com o comportamento atual, que a Microsoft diz estar “documentado”.
Na semana passada, um pesquisador de segurança demonstrou falhas semelhantes no Trillian e outros programas que se registram como responsáveis por protocolos podem ter brechas semelhantes. Se os navegadores não admitirem uma única maneira para efetuar o processamento de links que referenciam aplicativos externos, novos problemas de segurança, ou incompatibilidades, podem ocorrer.
Com esta discordância, quem perde são os usuários.
Gerais iPhone roda Apache, vim e Python
De acordo com reportagem publicada ontem (25/07) no website Gizmodo, o hacker NerveGas e colaboradores do canal de bate-papo IRC #iphone-shell conseguiram fazer com que o iPhone executasse programas de terceiros como Apache, Python, vim e outros usando um conjunto de ferramentas que previamente havia conseguido executar um programa “Hello World” (“Olá Mundo”).
Antes mesmo de seu lançamento, muitas pessoas já criticavam o iPhone por ele não permitir que programas criados por desenvolvedores independentes fossem executados. Desenvolvedores só podem utilizar alguns recursos especiais do navegador web (Safari) para programar qualquer tipo de utilitário. O Safari para Windows foi lançado para que desenvolvedores pudessem criar aplicativos para o iPhone sem precisar de um sistema da Apple.
A restrição, uma forma de DRM (Digital Rights Management) que limita artificialmente a capacidade do aparelho, torna o iPhone mais seguro, mas não há confirmação de que este é o principal (ou o único) motivo de ela existir. Para quebrar a proteção, uma série de passos é necessária e, sem ela, os programas não poderão ser executados.
A ferramenta utilizada pelos hackers ainda possui diversos problemas e é considerada “pre-alpha”, o que significa um estágio bem inicial. Ela está sendo desenvolvida pela comunidade iPhone Dev.
A Apple ainda não se pronunciou sobre o assunto. Caso a empresa não aprove a iniciativa, usuários que instalarem seus programas no iPhone poderão perder a garantia do aparelho.
Leia mais...
Antes mesmo de seu lançamento, muitas pessoas já criticavam o iPhone por ele não permitir que programas criados por desenvolvedores independentes fossem executados. Desenvolvedores só podem utilizar alguns recursos especiais do navegador web (Safari) para programar qualquer tipo de utilitário. O Safari para Windows foi lançado para que desenvolvedores pudessem criar aplicativos para o iPhone sem precisar de um sistema da Apple.
A restrição, uma forma de DRM (Digital Rights Management) que limita artificialmente a capacidade do aparelho, torna o iPhone mais seguro, mas não há confirmação de que este é o principal (ou o único) motivo de ela existir. Para quebrar a proteção, uma série de passos é necessária e, sem ela, os programas não poderão ser executados.
A ferramenta utilizada pelos hackers ainda possui diversos problemas e é considerada “pre-alpha”, o que significa um estágio bem inicial. Ela está sendo desenvolvida pela comunidade iPhone Dev.
A Apple ainda não se pronunciou sobre o assunto. Caso a empresa não aprove a iniciativa, usuários que instalarem seus programas no iPhone poderão perder a garantia do aparelho.
Hackers e Cia Spams apostam em arquivos Excel para driblar filtros de segurança
A empresa de segurança de e-mail Commtouch informou ter registrado diversos spams no último final de semana contendo anexos de Excel com nomes de arquivos como “invoice20202.xls” e “stock information-3572.xls”.
Nas planilhas, os criminosos digitais classificam diversas pequenas companhias como ótimas oportunidades de investimentos e “prontas para estourar”. Como eles compraram ações dessas empresas, eles esperam a alta artificial causada pelo spam enviado a milhares de investidores para venderem estas ações com lucro.
De acordo com Amir Lev, chefe de tecnologia da Commtouch, a aposta no Excel é apenas a última novidade desse tipo de técnica. “O Excel é um avanço natural do spam em PDF, que, por sua vez, foi uma evolução do spam por imagem”, diz Lev.
O especialista sinaliza que outros formatos vão seguir a tendência, com potencial para arquivos em PowerPoint ou Word.
Leia mais...
Nas planilhas, os criminosos digitais classificam diversas pequenas companhias como ótimas oportunidades de investimentos e “prontas para estourar”. Como eles compraram ações dessas empresas, eles esperam a alta artificial causada pelo spam enviado a milhares de investidores para venderem estas ações com lucro.
De acordo com Amir Lev, chefe de tecnologia da Commtouch, a aposta no Excel é apenas a última novidade desse tipo de técnica. “O Excel é um avanço natural do spam em PDF, que, por sua vez, foi uma evolução do spam por imagem”, diz Lev.
O especialista sinaliza que outros formatos vão seguir a tendência, com potencial para arquivos em PowerPoint ou Word.
Network MySpace tem 29 mil suspeitos de crimes sexuais
A comunidade online MySpace identificou mais de 29 mil usuários com intenções ligadas a abuso sexual em seu serviço. O número supera em quatro vezes o divulgado em maio, após uma investigação conduzida pela empresa, afirma Roy Cooper, procurador geral do Estado da Carolina do Norte, nos Estados Unidos.
Cooper divulgou a informação em um comunicado, no último domingo (22/07), como base para um projeto de lei que exige autorização dos pais para o acesso de menores de 18 anos a redes socials, na Carolina do Norte.
[Esse número de 29 mil] inclui somente pessoas mal-intencionadas que se registraram usando nomes verdadeiros, detalha Cooper, em seu comunicado. Cooper é um dos oito procuradores gerais que pediram ao MySpace a lista de nomes registrados sob suspeita de abuso sexual. A empresa acabou revelando a informação após ter tido pressionada, no mês passado.
Em maio, quando se opôs à divulgação da lista, o MySpace havia divulgado publicamente a descoberta de 7 mil suspeitos de uso da comunidade com intenções de abuso sexual. A empresa não se pronunciou sobre a divulgação do relatório de Cooper até o momento.
O projeto de lei da Carolina do Norte sugere que redes sociais verifiquem a identidade dos pais dos menores que desejam acessar o site por meio de um banco de dados público. Em seguida, os dados são confirmados por telefone ou carta para assegurar que o pai ou responsável realmente autorizou o acesso do menor ao serviço.
Em junho, o procurador geral do Estado do Texas, Greg Abbott, anunciou que seu Estado havia detido sete suspeitos de abuso sexual que haviam se registrado no MySpace.
Leia mais...
Cooper divulgou a informação em um comunicado, no último domingo (22/07), como base para um projeto de lei que exige autorização dos pais para o acesso de menores de 18 anos a redes socials, na Carolina do Norte.
[Esse número de 29 mil] inclui somente pessoas mal-intencionadas que se registraram usando nomes verdadeiros, detalha Cooper, em seu comunicado. Cooper é um dos oito procuradores gerais que pediram ao MySpace a lista de nomes registrados sob suspeita de abuso sexual. A empresa acabou revelando a informação após ter tido pressionada, no mês passado.
Em maio, quando se opôs à divulgação da lista, o MySpace havia divulgado publicamente a descoberta de 7 mil suspeitos de uso da comunidade com intenções de abuso sexual. A empresa não se pronunciou sobre a divulgação do relatório de Cooper até o momento.
O projeto de lei da Carolina do Norte sugere que redes sociais verifiquem a identidade dos pais dos menores que desejam acessar o site por meio de um banco de dados público. Em seguida, os dados são confirmados por telefone ou carta para assegurar que o pai ou responsável realmente autorizou o acesso do menor ao serviço.
Em junho, o procurador geral do Estado do Texas, Greg Abbott, anunciou que seu Estado havia detido sete suspeitos de abuso sexual que haviam se registrado no MySpace.
Segurança Segurança corporativa: código aberto é sinônimo de fragilidade?
É uma discussão antiga em segurança da informação. O que é mais confiável: as soluções pagas de fornecedores com atuação de anos e nomes consolidados ou uma ferramenta de código aberto desenvolvida pela comunidade de software livre? Especialmente quando essa discussão é levada para a esfera corporativa, a tendência é uma discussão quase sem fim.
Por um lado, o cansado argumento de que não há confiança no open source não é mais válido. Além da forte adoção de Linux nos servidores, também nas máquinas de missão crítica, a utilização disseminada de ferramentas como o snort, dedicado à identificação e prevenção de intrusos, mostra como a situação mudou. “Há cinco anos atrás, podia-se dizer que havia medo, que era válido o discurso ‘se é possível ver o código, é mais fácil quebrá-lo’. Hoje, não é mais possível”, defende John Pescatore, diretor de pesquisas do Gartner, em entrevista por telefone.
Além disso, resultados de testes como o realizado pela David Matousec, que colocou as firewalls gratuitas de código aberto na frente das soluções pagas para Windows, têm servido para consolidar a argumentação favorável a uma estrutura de segurança em código aberto. Sem a pressão do ‘time to market’, as soluções desenvolvidas pela comunidade poderiam se focar exclusivamente na qualidade e não precisam se preocupar em manter um modelo de negócios viável. Por terem sido criadas por paixão – contando com estudantes e acadêmicos destacados – as ferramentas não teriam as brechas causadas pela pressa.
Do outro lado, fala-se da importância de ter uma empresa formal com escritórios em várias partes do mundo, com armadilhas prontas (honeypots) para colher pragas. E, num mundo fortemente baseado em criação de vacinas, conta muito ter profissionais contratados para criá-las várias vezes por dia. Acima de tudo, destacam-se os milhões de clientes mandando respostas e amostras de malware de todas as partes do globo, assim como a capacidade de investimento que os 2,09 bilhões de dólares gerados apenas no segmento de antivírus corporativo em 2006, segundo dados do Gartner.
A pergunta, portanto, que surge na cabeça dos gestores de tecnologia ou de segurança é imediata. De que vale gastar recursos para comprar a licença de uso de uma solução se existe uma alternativa gratuita? Além disso, em um mundo em que as ameaças mudam tanto e que até os fornecedores do setor afirmam que nada é 100% seguro, não vale mais apostar no que é – no final – mais barato?
“Não, em segurança é preciso balancear as decisões. Em alguns setores da empresa você efetivamente precisa de um parceiro estabelecido e não pode depender somente da comunidade”, acredita Eduardo Moura, CIO da cadeia de hotéis Rede Plaza. Para o executivo, ele mesmo um entusiasta de sistemas operacionais em código aberto, apesar das boas alternativas em open source, muitas demandas corporativas – especialmente relacionadas com aderência as regulamentações – impedem uma atuação 100% em software livre.
Código Aberto igual à Segurança?
John Pescatore, do Gartner, não compartilha a mesma visão do executivo. Ele garante que é possível sim ter todas as ferramentas de segurança em software livre. “Existem soluções de código aberto para qualquer ferramenta de segurança, dos antivírus ao IPS”, comenta. O problema, destaca, está no nível acima das ferramentas: a gestão das diversas soluções pontuais.
“Só há segurança efetivamente se todas as ferramentas estiverem atuando combinadas. Como fazer toda essa estrutura funcionar sob uma única interface, ganhando tempo e eficiência?”, questiona. Ele destaca que existe uma iniciativa aberta para cuidar exclusivamente do gerenciamento em segurança, a Open Source Security Information Management (OSSIM), mas o projeto ainda não é equivalente às ofertas de gestão centralizada das empresas tradicionais – tanto em nível de adoção quanto em qualidade.
O mesmo questionamento é feito por Marcelo Okano, professor de pós-graduação em gestão de redes de computadores da FIAP. O desafio, resume o acadêmico, é a gestão. Outro ponto importante, ele destaca, está no que está ao redor da estrutura de defesa. “A empresa não paga o software, mas onde estão os recursos para a definição de políticas e para análises dos diversos logs gerados pelas ferramentas?”, diz.
Pescatore destaca um outro problema das soluções de código aberto em segurança. Como as soluções em código aberto têm uma grande demanda por customização, destaca o diretor de pesquisa, aumenta muito a importância do profissional à frente do projeto de segurança. Ele argumenta: “Em um ambiente aberto, a empresa terá problemas sérios se perder esse engenheiro. Na customização de soluções abertas, em geral, não existe a formalidade necessária para documentar mudanças, é difícil saber o que ele fez”.
O caminho da segurança rumo ao código aberto está, então, condenado. Eduardo Moura, da Rede Plaza, é enfático em rechaçar a idéia. Para ele, o fator fundamental para garantir a proteção está em adotar sistema operacional em código aberto. “É preciso deixar a crença de que ‘aplicar patches’ faz parte do trabalho regular de TI. Nossos técnicos merecem mais do que pressionar next, next e finish e esperar a máquina reiniciar. Há mais no mundo do que janelas”, ironiza.
Em relação às ferramentas de segurança em código aberto, defende o executivo, uma boa alternativa é avaliar cada solução individualmente, optando por soluções de código aberto quando fizer sentido para a estratégia da companhia. A estratégia é tão eficiente que empresas como a Sourcefire, proprietária do snort, encontraram um nicho de mercado e vendem a ferramenta com hardware e serviços integrados, em uma atuação semelhante a brasileira ProckWork. “A força da comunidade se mostra em várias iniciativas, como nas listas de controle de spam. Nem todas as empresas de segurança precisam competir com a comunidade, alguns podem ajustar o foco e aproveitar a sinergia”, diz.
Na prática, contudo, as empresas de segurança têm parcerias fortes com os fornecedores de banco de dados e sistemas operacionais tradicionais. Perscatore distaca a atuação conjunta de fornecedores de proteção com companhias como Microsoft e Oracle, o que significa – na prática – uma vulnerabilidade identificada já é avisada ao parceiro, encurtando o processo blindando a parte da aplicação que tem uma brecha até que chegue a atualização oficial.
O diretor de pesquisas do Gartner aponta, também, outra utilização para as ferramentas de segurança em código aberto. Especialmente nas grandes organizações, elas podem ser utilizadas como uma maneira de negociar com os fornecedores de segurança um preço mais interessante nos serviços. “Com a oferta de código aberto, aumentou a concorrência nos serviços. Isso é interessante para a companhia, mas depende do profissional que ela tem disponível”, defende.
Okano, no entanto, acha que essa visão não pode descer até o ponto de a empresa cliente esperar um bom resultado sem ter que investir nada. Destacando que a segurança é, hoje, parte do custo de fazer negócios na era da internet, ele arremata: “De graça, não existe um bom serviço. Isso vale para diversos setores, especialmente para segurança da informação”.
A opinião da indústria
Como não poderia deixar de ser, a indústria. Ao falar com duas das maiores empresas de segurança da informação – Trend e Symantec – foi ressaltada as vantagens únicas das tecnologias proprietárias de defesa. Mesmo com um discurso cuidadoso, os dois representantes ouvidos pela reportagem do COMPUTERWORLD não consideram que as ferramentas em código aberto representam uma real competição no segmento corporativo.
Paulo Vendramini, engenheiro de sistemas da Symantec, acredita que o maior diferencial que a estrutura das empresas tradicionais podem oferecer está na possibilidade de uma atuação pró-ativa, trabalhando com diversos grupos de clientes para definir as pragas específicas de cada vertical. “Nós estamos mais próximos de quem está mais exposto. A parceria com associações de bancos do mundo inteiro, por exemplo, nos ajuda a cuidar dos clientes mais vulneráveis”, defende.
Para Fabio Picolli, da Trend Micro, afirma que a natureza das pragas, em contínua auto-revolução, demanda níveis altos de investimento em pesquisa e desenvolvimento. “As comunidades online, os blogs e fóruns são importantes, mas não é um suporte oficializado de uma empresa estruturada. É diferente”, acrescenta. Ele destaca que técnicas que passaram a ser utilizadas com mais freqüência recentemente pelas empresas, como a heurística e o bloqueio por comportamento, são caras e estão recebendo investimentos pesados.
É evidente que as empresas de segurança tradicionais vão defender o seu modelo em detrimento da concorrência em código aberto. Da mesma forma, está clara a penetração das ferramentas no universo corporativo. Pescatore resume: “Nas soluções em que as ameaças são conhecidas e há trabalho longo, como firewall, AV, IDS e IPS, já está acontecendo o boom das ferramentas de código aberto”. Resta saber qual é a melhor solução para você, leitor, e para a sua empresa.
Leia mais...
Por um lado, o cansado argumento de que não há confiança no open source não é mais válido. Além da forte adoção de Linux nos servidores, também nas máquinas de missão crítica, a utilização disseminada de ferramentas como o snort, dedicado à identificação e prevenção de intrusos, mostra como a situação mudou. “Há cinco anos atrás, podia-se dizer que havia medo, que era válido o discurso ‘se é possível ver o código, é mais fácil quebrá-lo’. Hoje, não é mais possível”, defende John Pescatore, diretor de pesquisas do Gartner, em entrevista por telefone.
Além disso, resultados de testes como o realizado pela David Matousec, que colocou as firewalls gratuitas de código aberto na frente das soluções pagas para Windows, têm servido para consolidar a argumentação favorável a uma estrutura de segurança em código aberto. Sem a pressão do ‘time to market’, as soluções desenvolvidas pela comunidade poderiam se focar exclusivamente na qualidade e não precisam se preocupar em manter um modelo de negócios viável. Por terem sido criadas por paixão – contando com estudantes e acadêmicos destacados – as ferramentas não teriam as brechas causadas pela pressa.
Do outro lado, fala-se da importância de ter uma empresa formal com escritórios em várias partes do mundo, com armadilhas prontas (honeypots) para colher pragas. E, num mundo fortemente baseado em criação de vacinas, conta muito ter profissionais contratados para criá-las várias vezes por dia. Acima de tudo, destacam-se os milhões de clientes mandando respostas e amostras de malware de todas as partes do globo, assim como a capacidade de investimento que os 2,09 bilhões de dólares gerados apenas no segmento de antivírus corporativo em 2006, segundo dados do Gartner.
A pergunta, portanto, que surge na cabeça dos gestores de tecnologia ou de segurança é imediata. De que vale gastar recursos para comprar a licença de uso de uma solução se existe uma alternativa gratuita? Além disso, em um mundo em que as ameaças mudam tanto e que até os fornecedores do setor afirmam que nada é 100% seguro, não vale mais apostar no que é – no final – mais barato?
“Não, em segurança é preciso balancear as decisões. Em alguns setores da empresa você efetivamente precisa de um parceiro estabelecido e não pode depender somente da comunidade”, acredita Eduardo Moura, CIO da cadeia de hotéis Rede Plaza. Para o executivo, ele mesmo um entusiasta de sistemas operacionais em código aberto, apesar das boas alternativas em open source, muitas demandas corporativas – especialmente relacionadas com aderência as regulamentações – impedem uma atuação 100% em software livre.
Código Aberto igual à Segurança?
John Pescatore, do Gartner, não compartilha a mesma visão do executivo. Ele garante que é possível sim ter todas as ferramentas de segurança em software livre. “Existem soluções de código aberto para qualquer ferramenta de segurança, dos antivírus ao IPS”, comenta. O problema, destaca, está no nível acima das ferramentas: a gestão das diversas soluções pontuais.
“Só há segurança efetivamente se todas as ferramentas estiverem atuando combinadas. Como fazer toda essa estrutura funcionar sob uma única interface, ganhando tempo e eficiência?”, questiona. Ele destaca que existe uma iniciativa aberta para cuidar exclusivamente do gerenciamento em segurança, a Open Source Security Information Management (OSSIM), mas o projeto ainda não é equivalente às ofertas de gestão centralizada das empresas tradicionais – tanto em nível de adoção quanto em qualidade.
O mesmo questionamento é feito por Marcelo Okano, professor de pós-graduação em gestão de redes de computadores da FIAP. O desafio, resume o acadêmico, é a gestão. Outro ponto importante, ele destaca, está no que está ao redor da estrutura de defesa. “A empresa não paga o software, mas onde estão os recursos para a definição de políticas e para análises dos diversos logs gerados pelas ferramentas?”, diz.
Pescatore destaca um outro problema das soluções de código aberto em segurança. Como as soluções em código aberto têm uma grande demanda por customização, destaca o diretor de pesquisa, aumenta muito a importância do profissional à frente do projeto de segurança. Ele argumenta: “Em um ambiente aberto, a empresa terá problemas sérios se perder esse engenheiro. Na customização de soluções abertas, em geral, não existe a formalidade necessária para documentar mudanças, é difícil saber o que ele fez”.
O caminho da segurança rumo ao código aberto está, então, condenado. Eduardo Moura, da Rede Plaza, é enfático em rechaçar a idéia. Para ele, o fator fundamental para garantir a proteção está em adotar sistema operacional em código aberto. “É preciso deixar a crença de que ‘aplicar patches’ faz parte do trabalho regular de TI. Nossos técnicos merecem mais do que pressionar next, next e finish e esperar a máquina reiniciar. Há mais no mundo do que janelas”, ironiza.
Em relação às ferramentas de segurança em código aberto, defende o executivo, uma boa alternativa é avaliar cada solução individualmente, optando por soluções de código aberto quando fizer sentido para a estratégia da companhia. A estratégia é tão eficiente que empresas como a Sourcefire, proprietária do snort, encontraram um nicho de mercado e vendem a ferramenta com hardware e serviços integrados, em uma atuação semelhante a brasileira ProckWork. “A força da comunidade se mostra em várias iniciativas, como nas listas de controle de spam. Nem todas as empresas de segurança precisam competir com a comunidade, alguns podem ajustar o foco e aproveitar a sinergia”, diz.
Na prática, contudo, as empresas de segurança têm parcerias fortes com os fornecedores de banco de dados e sistemas operacionais tradicionais. Perscatore distaca a atuação conjunta de fornecedores de proteção com companhias como Microsoft e Oracle, o que significa – na prática – uma vulnerabilidade identificada já é avisada ao parceiro, encurtando o processo blindando a parte da aplicação que tem uma brecha até que chegue a atualização oficial.
O diretor de pesquisas do Gartner aponta, também, outra utilização para as ferramentas de segurança em código aberto. Especialmente nas grandes organizações, elas podem ser utilizadas como uma maneira de negociar com os fornecedores de segurança um preço mais interessante nos serviços. “Com a oferta de código aberto, aumentou a concorrência nos serviços. Isso é interessante para a companhia, mas depende do profissional que ela tem disponível”, defende.
Okano, no entanto, acha que essa visão não pode descer até o ponto de a empresa cliente esperar um bom resultado sem ter que investir nada. Destacando que a segurança é, hoje, parte do custo de fazer negócios na era da internet, ele arremata: “De graça, não existe um bom serviço. Isso vale para diversos setores, especialmente para segurança da informação”.
A opinião da indústria
Como não poderia deixar de ser, a indústria. Ao falar com duas das maiores empresas de segurança da informação – Trend e Symantec – foi ressaltada as vantagens únicas das tecnologias proprietárias de defesa. Mesmo com um discurso cuidadoso, os dois representantes ouvidos pela reportagem do COMPUTERWORLD não consideram que as ferramentas em código aberto representam uma real competição no segmento corporativo.
Paulo Vendramini, engenheiro de sistemas da Symantec, acredita que o maior diferencial que a estrutura das empresas tradicionais podem oferecer está na possibilidade de uma atuação pró-ativa, trabalhando com diversos grupos de clientes para definir as pragas específicas de cada vertical. “Nós estamos mais próximos de quem está mais exposto. A parceria com associações de bancos do mundo inteiro, por exemplo, nos ajuda a cuidar dos clientes mais vulneráveis”, defende.
Para Fabio Picolli, da Trend Micro, afirma que a natureza das pragas, em contínua auto-revolução, demanda níveis altos de investimento em pesquisa e desenvolvimento. “As comunidades online, os blogs e fóruns são importantes, mas não é um suporte oficializado de uma empresa estruturada. É diferente”, acrescenta. Ele destaca que técnicas que passaram a ser utilizadas com mais freqüência recentemente pelas empresas, como a heurística e o bloqueio por comportamento, são caras e estão recebendo investimentos pesados.
É evidente que as empresas de segurança tradicionais vão defender o seu modelo em detrimento da concorrência em código aberto. Da mesma forma, está clara a penetração das ferramentas no universo corporativo. Pescatore resume: “Nas soluções em que as ameaças são conhecidas e há trabalho longo, como firewall, AV, IDS e IPS, já está acontecendo o boom das ferramentas de código aberto”. Resta saber qual é a melhor solução para você, leitor, e para a sua empresa.
Antivírus Conheça os vírus mais curiosos de 2007
Conheça as pragas mais curiosas de 2007, de acordo com relatório da Panda Software.
Leia mais...
Hackers e Cia Acusado de manipular e-mails para incriminar colegas tem habeas-corpus negado
O técnico em informática R.D.C., de Santa Catarina, deve continuar preso até que se apure sua participação no crime de formação de quadrilha e corrupção ativa. O presidente do Superior Tribunal de Justiça (STJ), ministro Raphael de Barros Monteiro Filho, negou pedido de liberdade impetrado pelo autor com a justificativa de haver indícios suficientes de crimes praticados por ele. R.D.C. é acusado juntamente com o prefeito do município de Erval Velho (SC) de forjar crimes contra o ex-prefeito e servidores da administração anterior.
Pela acusação, o réu teria cooperado com o atual prefeito, Fernando Coelho, do PT e também com o denunciado R.C. para desqualificar o ex-prefeito Vilmar Einsfeld, do PP. Em uma série de artifícios, eles teriam tentado inserir dados nos sistemas de informação e forjaram e-mails que acabaram induzindo o Ministério Público a formular denúncia contra três servidores, bem como contra o ex-prefeito. Eles foram acusados de desviar parte dos recursos do Programa de Erradicação do Trabalho Infantil, entre outros crimes.
As mensagens de internet foram forjadas a partir de diferentes domínios e se originaram do endereço na casa dos denunciados e dos endereços dos locais onde trabalham. R.D.C. reclamou na Justiça o direito de responder ao processo em liberdade, mas, segundo o TRF da 4ª Região, os réus podem embaraçar a instrução do processo, pois, se, por vingança e divergência política, não tiveram receio de forjar provas contra inocentes, certamente irão fazer o mesmo para se livrar da punição pelos crimes praticados.
Leia mais...
Pela acusação, o réu teria cooperado com o atual prefeito, Fernando Coelho, do PT e também com o denunciado R.C. para desqualificar o ex-prefeito Vilmar Einsfeld, do PP. Em uma série de artifícios, eles teriam tentado inserir dados nos sistemas de informação e forjaram e-mails que acabaram induzindo o Ministério Público a formular denúncia contra três servidores, bem como contra o ex-prefeito. Eles foram acusados de desviar parte dos recursos do Programa de Erradicação do Trabalho Infantil, entre outros crimes.
As mensagens de internet foram forjadas a partir de diferentes domínios e se originaram do endereço na casa dos denunciados e dos endereços dos locais onde trabalham. R.D.C. reclamou na Justiça o direito de responder ao processo em liberdade, mas, segundo o TRF da 4ª Região, os réus podem embaraçar a instrução do processo, pois, se, por vingança e divergência política, não tiveram receio de forjar provas contra inocentes, certamente irão fazer o mesmo para se livrar da punição pelos crimes praticados.