Sou o responsável do TI: Posso ver os documentos do CEO?

Em grandes corporações, a informática está presente dos diversos setores da companhia, com vários colaboradores produzindo a cada minuto, uma grande quantidade de informação muito sensível para o sucesso da empresa. Principalmente nos dias de hoje, em que a tecnologia está bem avançada, as informações são produzidas em qualquer lugar graças a mobilidade, seja através de um notebook, tablet ou até mesmo de um smartphone.

A questão é quem pode ter acesso após um documento ser gerado dentro da própria companhia, além do seu próprio “dono”. Certamente, ficaria até estranho que a pessoa que tivesse gerado o documento não pudesse ter o acesso ao próprio material. Entretanto, dependendo da organização, o controle de acesso às informações é tão rígido que isso pode acontecer, principalmente se o funcionário está trabalhando em um projeto secreto ou com valor de mercado muito alto pela sua inovação (nos casos de protótipos de produtos que ainda não existem no mercado).

Partindo dessa situação, temos uma figura muito importante na instituição que dá o suporte aos departamentos da empresa e, principalmente, ao CEO: O Gestor de TI (Tecnologia da Informação). Esse profissional pode ter o nome do cargo diferenciado por localidade, região: pode ser Gerente de TI, Supervisor de TI, Security Officer, etc… Mas a preocupação é a mesma independente do nome do cargo: o acesso não autorizado de pessoas em documentos confidenciais e sigilosas da empresa.

Um problema existente na profissão do responsável do Setor de Tecnologia é a falta de um Conselho Federal da categoria, projeto esse que está se arrastando no Congresso desde a década de 70! Como não existe um órgão fiscalizador desses trabalhadores da área de tecnologia, teoricamente, não existe uma “punição” ao trabalhador no âmbito da profissão quando o mesmo acarreta em desvirtuar o seu papel de garantidor do controle de acesso, permitindo acessos não autorizados nas pastas e diretórios de terceiros que não deveriam ter o acesso. No máximo uma demissão da empresa e esse mesmo profissional em pouco tempo, já estará no mesmo cargo em outro lugar.

Muita das vezes, a própria empresa nem sabe desses “furos” de segurança pois o responsável pela companhia (administrador, gerente administrativo, diretor, CEO, etc) nem sempre tem conhecimento técnico para lidar com essa situação. Ele acredita que os documentos estão seguros pois contratou um responsável do TI com o objetivo exatamente em proteger as informações da empresa.

Entretanto, o mercado erra em selecionar profissionais despreparados, não possui um padrão de qualidade de entrevista ou dinâmica em grupo para escolher pessoas capacitadas e responsáveis para o cargo. Muita das vezes, o Gestor de TI é contratado por indicação, é amigo do dono da companhia, é amigo do amigo do amigo do vizinho do primo do diretor administrativo, enfim, estão na verdade colocando pessoas com falta de experiência e maturidade para serem os responsáveis por dados sensíveis da empresa.

Contudo, o profissional que ocupa esse cargo, tem que ter me mente que ele é um “braço” direito da empresa, ele será o trabalhador que garantirá que as informações da empresa sejam acessadas somente a quem tem direito e deveria, pelo menos, fazer os acessos conforme autorização da chefia e documentar todos os acessos e os privilégios que deu no sistema.

Infelizmente, como temos muitos profissionais imaturos e despreparados, planejam ao seu “crescimento” com base na quantidade de informação confidencial que possui em mãos da própria empresa em que deveria tomar conta. Ele acredita que no momento certo, essas informações sigilosas lhe trarão vantagens competitivas no mercado ou pior, na hipótese de sua demissão, o profissional de TI fará a sua vingança pessoal com a divulgação das informações obtidas ao longo dos anos de trabalho da corporação, acreditando em resultado positivo para si.

Reflitam… Não é porque entendemos de sistemas que somos donos de todos os dados da empresa. Se assim o fosse, você não seria Gestor de TI, e sim, o CEO da companhia.

A arte de investigar

Em um Mundo globalizado, percebemos a velocidade com que as informações trafegam entre o remetente e o destinatario. Esse é o fruto do desenvolvimento de nossa sociedade que está cada vez mais anciosa por novidades tecnológicas e facilidades no cotidiano. As soluções são desenvolvidas e acabamos absorvendo o ritmo acelerado dessa evolução sem muito pensar nas consequências dessa atitude.

O mercado de equipamentos eletrônicos está bem aquecido com consumidores ávidos por novidades. Alguns entram na loja, escolhem pelo preço do equipamento (geralmente parcelam o valor do produto em mensalidades de se perder de vista) sem se importar se o produto ignora as regras de melhores práticas de sigilo de informação confidencial ou pessoal.

Consumidores que gostam de equipamentos mais modernos, por exemplo, as máquinas digitais semi-profissionais (que estão virando moda com preços competitivos) e que vem embutido alguns recursos como o GPS ( mecanismo de geolocalização),  não percebem que dependendo do fabricante, esse recurso poderá vir ativado como opção default (padrão).

Nessa hora, nós (perito forense) agradecemos por esse recurso ativo pois conseguimos através dos metadados do arquivo da imagem, obter exatamente a localização de onde aquela foto foi tirada, ficando a sua informação que deveria ser confidencial (onde, como e por qual máquina utilizada) para qualquer um que detenha um pouco mais de técnica forense.

Do mesmo modo, para o processo de investigação, é fundamental que o GPS (nas máquinas que possuem esse recurso) esteja ativo, pois além de obter as informações básicas como: qual o modelo da máquina utilizada, qual resolução, se usou flash, se usou configurações pré-estabelecids da máquina, etc, teremos a localidade de onde a foto foi capturada. Essa informação será muito útil para derrubar qualquer tese de defesa do advogado do acusado (ou investigado – se tratando no curso de um inquérito policial) de que seu cliente nunca esteve na cena do crime.

Entretanto, outras situações podem parecer como caso perdido se não tivermos qualificação ou experiência no ramo da perícia forense. Para um profissional de TI leigo, ao saber que um acusado acabou de formatar o seu disco rígido com a chegada da equipe da autoridade policial, tentando se desfazer das provas ilícitas que culminariam em sua culpabilidade, acreditaria que nenhum informação poderia ser encontrada pelo simples motivo da ação de “formatar” do acusado.

Todavia, é mister que esse tipo de comportamento não passa de uma tentativa fracassada do acusado de praticar um crime acreditando que tenha conseguido se livrar das provas. A arte de investigar é maior que essas atitudes grotescas e banais. O perito sabe como e quando recuperar as informações que foram apafagas pelo criminoso, é questão de tempo. O conhecimento é alma do sucesso de qualquer atividade profissional. O que mais engrandece ao Perito Forense é que ele tem a convicção que após uma formatação de disco, sem a reutilização do disco após a ação, tudo será recuperado.

Contudo, sabemos que os Peritos não são “Deuses” com poderes mágicos e mirabolantes, nada disso. Relembrando o passado, quando nos mosteiros os únicos que tinham acesso ao acervo de livros da época eram conhecidos como os mestres, os poderosos… o Perito tem o conhecimento forense de saber utilizar as ferramentas certas nos momentos certos, ocasionando em resultados positivos.

Portanto, a Arte de Investigar está mais além que buscar na internet por ferramentas que em um clique, todo o trabalho é realizado de perícia. Tem que interpretar o resultado, pois senão, você não tem conhecimento nem informação, terá somente dados.

Acabei de ler um livro sobre Computação Forense: já sou perito?

A evolução da tecnologia tem nos mostrados que o “homem” é um sábio inventor a cada dia de nossas vidas. Antigamente, para se encontrar uma pessoa que estava fora de casa, era uma verdadeira peregrinação que passava pelo telefone fixo do local de trabalho, casa da mãe, da sogra e quando se tinha o contato, ligava para a casa da amante. Não é difícil de palpitar que naquela época, quando alguém não queria ser encontrado, bastasse não aparecer em nenhum local que tivesse telefone fixo pois senão até na casa do vizinho o indivíduo poderia ser encontrado.

Atualmente, a cada ano que se passa, queremos ter o modelo de última geração do “dedo-duro” vulgarmente conhecido como celular. Pois é, antes achávamos que não seria interessante em ter esse aparelhinho sempre ligado no nosso bolso mas leve engano, tente ficar um dia inteiro com o celular desligado. Parece que uma parte de você está morta, está faltando, acha que alguém está tentando te ligar. Tudo bem, tem gente que consegue ficar sem o celular, mas convenhamos, são poucos os privilegiados.

Isso acontece também quando pensamos que um determinado assunto é moda do mercado, que tem uma expressão chamativa e bonita: “Computação Forense”. Mas quando nos deparamos com esse tipo de pensamento, não estamos dando conta da importância que isso nos faz em nosso cotidiano, assim como pensávamos no passado quando os primeiros celulares invadiram o mercado.

Quem não tem um computador em casa? Um celular? Smartphone? Tablet? Enfim, uma infinidade de aparelhos eletrônicos que quanto mais eles são inventados e colocados no mercado, mais queremos ter em nossas mãos, mesmo pagamos um alto preço para sermos os primeiros a possuir o objeto de desejo mundial (mesmo que ele venha com alguns problemas de segurança na sua primeira versão do software).

Com a divulgação de diversos crimes realizados pela internet, as fraudes bancárias e outros problemas mais críticos como a invasão de sistemas e sites, estamos começando a nos preocupar com as coisas tecnológicas agora. Tudo bem que poucas pessoas pararam para pensar nesse aspecto mas já tem gente pensando, isso é o mais importante.

Todavia, muitos profissionais da área de tecnologia agora estão de olho nesse nicho de mercado, o da Segurança da Informação, que pode ajudar as pessoas menos informadas e experientes nessa área de segurança a se protegerem melhor  ou procurar o responsável por um crime cometido com o advento da tecnologia.

Entretanto, observamos uma enorme busca na internet por ferramentas que são desenvolvidas para resolver algum problema de segurança da informação ou até mesmo para encontrar as evidências necessárias para se responsabilizar o autor do crime. Muitos estão indo pelo caminho da leitura, comprando livros e mais livros sobre Computação Forense.

Primeiro, fico feliz que muitos profissionais estão buscando novos conhecimentos nessa área inovadora e cheia de mistérios, que a cada passo dado durante as etapas de uma investigação ou perícia, descobrem informações que um técnico de informática sem formação em computação forense não ia encontrar.

Contudo, fico preocupado também que esses mesmos profissionais da área de tecnologia estão terminando de ler livros de Computação Forense e já estão correndo para uma gráfica para fazer o seu “cartão de visita” com a chancela de “Perito Forense”. Mesmo sem nenhuma experiência prática ou corporativa, essas pessoas estão indo ao Judiciário para se cadastrar (ou pelo menos tentar) como Perito Forense para pegar o seu primeiro caso de perícia.

Infelizmente, assim como em outras carreiras e profissões, existem vários “peritos” que se dizem conhecedores da área e quando vão efetivamente fazer o seu primeiro trabalho, a verdade aparece. Umas das consequências dessa atitude desses pseudo-profissionais é que vários Peritos sérios com certificação e vários anos de experiência são vistos de outra forma (negativa) por causa desses elementos que não são preparados através de um curso de especialização ou algo do tipo.

O livro é uma referência que precisamos ter para aumentar o nosso conhecimento, não é um curso propriamente dito e nem uma escola. Eu sempre digo que quando estou com dúvida ou quero me aprofundar em algum assunto, corro para a literatura. Mas não é para buscar a formação técnica e sim, um complemento, pois a base de qualquer carreira é formada em sala de aula.

As perguntas de segurança dos sites realmente protegem você?

Qual é o nome de solteira da sua mãe? Parece que essa pergunta tem sido usada como autenticação secundária para verificar a identidade desde sempre. Com o tempo, as perguntas de segurança tornaram-se muito mais diversificadas. Sites agora pedem coisas como “em que cidade você estudou”, ou “quem era seu professor favorito”, ou ainda “qual foi o seu primeiro carro”.

O problema com a maioria das questões, porém, é que a informação pode ser encontrada frequentemente com uma simples busca no Google. Dez anos atrás, ou mesmo há cinco anos, poderia ter sido muito mais difícil de encontrar as respostas a tais questões obscuras. Mas, na era atual de oversharing em redes sociais, é perfeitamente possível – afinal, todos os seus detalhes íntimos estão lá fora em algum lugar.

Você já participou do meme para responder a uma série de perguntas sobre si mesmo e, em seguida, passou os resultados para um grupo de amigos? Muitas pessoas sim. O objetivo do exercício é compartilhar mais informações e conhecer melhor as pessoas, mas a consequência é que esses questionários frequentemente tem os mesmos objetivos obscuros que as perguntas de segurança têm.

Perguntas secretas podem ser adivinhadas ou violadas da mesma forma que uma senha pode. Um cracker pode não saber qual o seu time do coração. Mas, dado algumas pistas contextuais de seus perfis de redes sociais, a realização de uma busca de seus tweets no Twitter, ou simplesmente tentando colocar nas respostas equipes diferentes até achar o caminho certo, o criminoso pode, provavelmente, passar por essa autenticação.

Pode parecer que a pergunta realmente adiciona uma camada de segurança – e até certo ponto isso é verdade. Mas, nomes de usuários são fáceis de adivinhar, e questões de segurança estão se tornando cada vez mais triviais graças às redes sociais. A senha deve ser a parte mais difícil dessa equação, mas muitas pessoas ainda usam o nome de seu gato ou “123456” como resposta, apesar de especialistas em segurança alertarem há anos para a escolha de senhas melhores.

Uma solução que pode ajudar um pouco é fazer uma resposta fictícia. Por exemplo, talvez você foi tenha ido a escola de Omaha, e todo mundo que te segue online sabe disso. Mas, para os fins de sua pergunta de segurança você pode mudar a resposta para “Metropolis” ou “anéis de cebola” e manter apenas a informação para si mesmo.

Alguns sites e serviços permitem que você crie perguntas de autenticação personalizadas. Isso também pode ser uma oportunidade para criar algo único que ninguém, a não ser você, sabe a resposta. Quanto mais tola for a pergunta e resposta, menor a probabilidade que um cracker adivinhe.

Para proteger seus dados contra vírus, ataques de phishing e outros malwares – seja no seu PC, tablet, smartphone – você deve ter algum tipo de ferramenta de segurança. Mas quando se trata de prevenir o acesso não autorizado a informações armazenadas em outro lugar, dois fatores de autenticação fornecem uma melhor proteção.

Um invasor pode ser capaz de adivinhar o seu nome de usuário, buscar respostar às questões de autenticação e descobrir sua senha. No entanto, se o acesso aos seus dados também requer um PIN exclusivo que só pode ser enviado para o smartphone registrado na conta, torna-se mais difícil invadi-la.

Fonte: IDGNOW!

Será que o seu provedor de Internet está espionando você?

Arcticsid perguntou no fórum Answer Line se o seu ISP pode “sentar… assistir a uma tela, e ver tudo o que você está fazendo em determinado momento?”

Não é bem assim, mas ele chegou assustadoramente perto. Provedores de serviços de Internet (ISP) rastreiam endereços de IP que você entra em contato, o que efetivamente significa que eles sabem os sites que você está visitando. Eles também podem ler qualquer coisa não-criptografada que você enviar por meio da Internet. Agora, se eles realmente fazem isso é uma questão em aberto.

De acordo com um especialista em tecnologia da Electronic Frontier Foundation, Dan Auerbach, o que eles mais coletam são metadados – coisas como endereços de IP e números de porta. Com um pouco de trabalho, esta informação pode dizer a eles com quem você está se comunicando e ajudá-los a ter um palpite sobre se você visitou alguma página na web ou enviou algum e-mail. Como Auerbach disse em uma conversa por telefone, eles estão acompanhando “para quem você está enviando e-mail, mas não o conteúdo.”

E quanto ao conteúdo? Eles podem ver quais sites você visitou e o que você escreveu em que o e-mail? Sim, eles podem, se quiserem. Mas isso significa um monte de trabalho com pouco retorno para eles. E há limites legais. Por exemplo, nos Estados Unidos, os ISP só podem compartilhar conteúdo com o governo (Eu vou deixar você decidir se isso é reconfortante). Por outro lado, não existem tais restrições sobre com quem eles podem compartilhar seus metadados.

Há “uma porção de questões em torno do que eles realmente fazem”, diz Auerbach. “É difícil saber o que um determinado ISP está fazendo com os dados.” Políticas de privacidade, é claro, são raramente escritas para serem claras e compreensíveis.

Por quanto tempo eles mantêm a informação? “Entre seis meses e dois anos”, estima Auerbach.

E como você pode se proteger? Primeiro, abrace qualquer tecnologia que criptografa seus dados enquanto você navega pela Internet. Se você precisa de privacidade, utilize o Secure Socket Layer (SSL – páginas da web seguras com URLs que começam com https) ou de uma rede privada virtual (VPN).

Se você for realmente paranóico, você pode querer considerar o Tor, um programa e serviço gratuitos que torna muito mais difícil controlar por onde você anda online. Para mais informações, consulte a Tor Network Cloaks Your Browsing From Prying Eyes (ou Rede Tor disfarça sua navegação de olhos curiosos, em tradução livre).

Fonte: IDGNow