Pois é, meus amigos e amigas, desta vez vamos fazer um gathering na cidade dos estudantes, organizado lá pela malta do nuorte : ) uma iniciativa do Francisco Rente, um dos bacanos do CERT.

O programa vai incluir o seguinte:

Ok... Parece-me interessante. Continua lá...

Muito bem. Onde? No Auditório do IPN, no piso 0, no primeiro edifício do campus do Instituto Pedro Nunes. Mapa? Ok. Como indicam as boas práticas de formatação HTML : ) devem clickar AQUI.

O custo? Bem... para os membros do AGK-DT1 há um desconto: népia; Para os outros, é de borla.

Ah... eu até gostava de ir mas não tenho carro... nem onde dormir... e 'tou desempregado... a mulher não deixa / o namorado não quer ir...

E mais o caraças. Bom, os mais enrascados podem optar pelo avião até ao Porto, e descer de taxe até Coimbra. Há por lá uns hotéis de 5* à maneira, coisa muito fina e polida, que podem procurar pelo Google — não são o Ritz mas não são maus; os outros, os que estão mais à vontade, podem seguir confortavelmente no comboio, e há por lá umas pensões da coxinha que não vos deixam dormir mal. Selecções, instruções e horários? No site da Confraria: novamente, AQUI.

Então e a mulher/marido/namorada/namorado?...

Finalmente, as the last but not the least, falta-me referir o almoço; Uma coisa levezinha, bem boa para inspirar a plateia: Leitãozinho da Bairrada, na casa do Rui dos Leitões. Quem quiser cousa mais fina, pode optar pelo bacalhau à moda da casa ou pelas costeletas de novilho. A ementa completa, para encerrar o panfleto, pode ser encontrada por AQUI. Não deixem de confirmar o repasto (!)

E pronto, 'tá tudo dito. Não se esqueçam que a confraternização e o mingling não são o que mais importa; o importante é o palheto da segurança ; ) Ok? Mesmo? Boa. Be there!

Não existe nenhuma dúvida que alguns Estados extraíram quantidades enormes de propriedade intelectual, planos completos para motores para aeronáutica, coisas que levaram anos e anos a serem desenvolvidas (...) Se algum Estado patrocinador continuar a tentar entrar nos seus sistemas, provavelmente para espionagem industrial, você vai retaliar? Somos todos capazes de fazer estas coisas. Neste momento não faríamos isso, mas talvez seja neste ponto que temos que focar as discussões.

in Britain fends off flood of foreign cyber-attacks.

Merece um comentario breve, naturalmente. Dois pontos apenas.

Primeiro ponto: É evidente que a legitimidade para contra-ataques, num cenário de guerra electrónica, não pode ser posta em causa, desde que seja muito claro, muito evidente, quem são os nossos inimigos. No entanto, no contexto da Internet, nem tudo é claro, muito pouco é óbvio.

Segundo ponto: Parece-me muito mais útil, em face do estado que podemos observar na segurança da informação — num âmbito global, note-se (!) — parece-me mais útil, dizia eu, focar a nossa atenção, focar os nossos esforços, na concretização de controlos técnicos e processuais que, na verdade, já estão disponíveis há muito tempo, são conhecidos e evangelizados pelos profissionais há muitos anos, e que continuam a ser ignorados sistematicamente.

Terceiro ponto (eram só dois pontos, eu sei, mas apeteceu-me pôr mais um): Enquanto as organizações continuarem a aceitar que os erros na construção das infra-estruturas, na configuração dos sistemas, e no desenvolvimento das aplicações, enquanto continuarem a aceitar que estes erros podem ser corrigidos aligeirando os controlos de segurança, não vai haver defesa possível contra atacantes bem motivados.

Retaliação? Defesa efectiva em primeiro lugar, digo eu, que nem percebo nada disto.

1. O software é, numa grande parte, muito inseguro;
2. O software desenvolvido por entidades externas, third-parties, representa uma percentagem significativa na infra-estrutura de software empresarial, e dos componentes integrados na maioria das aplicações;
3. Os projectos opensource apresentam, em comparação com o software comercial ou desenvolvido em regime de outsourcing, uma segurança equivalente, tempos de correcção mais expeditos, e um número menor de portas-do-cavalo¹ potenciais;
4. Uma quantidade significativa de software comercial e opensource é escrito em C/C++, tornando-o desproporcionadamente susceptível a vulnerabilidades que permitem, aos atacantes, ganhar o controlo sobre os sistemas;
5. A prevalência de vulnerabilidades que podem ser facilmente corrigidas, indica falta de formação dos programadores sobre codificação segura;
6. Software de todos os tipos nos sectores financeiro e governamental, é relativamente mais seguro, pelos testes realizados na Veracode; e
7. O software desenvolvido em outsourcing é o menos auditado, o que sugere a ausência de critérios de segurança para a aceitação, assegurados contratualmente.

in State of software security report — The intractable problem of insecure software.

Vale a pena fazer umas diagonais sobre o documento, e prestar uma atenção especial às recomendações, sobretudo aquelas que visam directamente a componente humana, e.g. a formação.

Nota: o acesso ao relatório é condicionado pelo registo no site da Veracode.

¹ Backdoors.

Numa entrevista recente, reportada no The Register, deixaram umas notas interessantes que me despertaram os sentidos. Dizem eles, mais ou menos assim:

A parte social da nossa indústria, nunca iremos corrigi-la. A indústria, como um todo, tem que compreender isto. É sobre essa componente que os ataques sociais incidem (...) Estas técnicas funcionam, mesmo em organizações e indivíduos que consideram ter conhecimentos sobre segurança, embora os truques tenham que ser personalizados à sua medida. Eles passam imenso tempo a falar sobre segurança; se lhes mandarmos um email que diga Faça esta coisa importante para a segurança, eles dizem OK, e são comprometidos. As coisas que funcionam na maioria das organizações não funcionam com estes indivíduos, mas se conseguirmos compreender o que funciona, eles são tão facilmente comprometidos como qualquer outro, mesmo com a sua preparação.

in Hacking human gullibility with social penetration.

É uma provocação interessante, de facto... mas que não deve estar muito longe da verdade, digo eu. Se juntarmos um texto bem elaborado e uma técnica de Cross-Site Scripting — que também é referida na entrevista — é provável que muitas defesas sejam ultrapassadas, sim...

What say U?

Por esta altura já deve ter sido corrigido (?) mas ficou a imagem para a posteridade. Ao original, chega-se por aqui: testemunhos.novasoportunidades.gov.pt/...

(Passe a publicidade, talvez fosse boa ideia fazerem uns testes de segurança antes de lançarem o site em produção, certo?
Fica a sugestão ; ) ... )

A pergunta não impõe limites, e as respostas podem ser as que quiserem (dentro do âmbito da questão, naturalmente : ) ... )

Os comentários estão abertos: shoot at will ; )

1. Manage the Federal Enterprise Network as a single network enterprise with Trusted Internet Connections;
2. Deploy an intrusion detection system of sensors across the Federal enterprise;
3. Pursue deployment of intrusion prevention systems across the Federal enterprise;
4. Coordinate and redirect research and development (R&D) efforts;
5. Connect current cyber ops centers to enhance situational awareness;
6. Develop and implement a government-wide cyber counterintelligence (CI) plan;
7. Increase the security of our classified networks;
8. Expand cyber education;
9. Define and develop enduring “leap-ahead” technology, strategies, and programs;
10. Define and develop enduring deterrence strategies and programs;
11. Develop a multi-pronged approach for global supply chain risk management; and
12. Define the Federal role for extending cybersecurity into critical infrastructure domains.

Parecem-me boas iniciativas, vectores importantes para reforçar a segurança das organizações governamentais, e podem até servir de inspiração para definir programas de segurança noutros países. O detalhe? Cinco páginas que descrevem estes pontos principais, disponíveis por aqui: The Comprehensive National Cybersecurity Initiative, no site da Casa Branca.