Lançamento para 2015: Livro de BYOD pela Microsoft Press

Após quase quatro anos sem escrever para Microsoft Press (meu último livro lançado nos Estados Unidos foi em 2013 pela Syngress), estarei lançando um novo livro no primeiro semestre de 2015 (mais precisamente durante o Ignite em Chicago) que trata do tema de BYOD, o nome do livro é:  Enterprise Mobility Suite – Managing BYOD and Company-Owned Devices.

Hoje eu e o meu co-autor Jeff Gilbert, chegamos a marca de 50% do livro e os outros 50% ficarão prontos até final de Janeiro de 2015.  O livro já está com prevenda no site da Amazon:

image

image

http://www.amazon.com/Enterprise-Mobility-Suite-Managing-Company-Owned/dp/0735698406

O livro vai estar disponível apenas em inglês, porém terá versão impressa e em formato Kindle. Esse será o primeiro lançamento que estou oficialmente anunciando, breve também irei falar do lançamento de Security+ 3a. Edição e do meu primeiro livro não técnico chamado Achieve your Best que será lançado pela editora Morgan James Publishing aqui nos Estados Unidos.

Até breve!

Posted in BYOD, mobilidade, segurança | Leave a comment

O Último Suspiro da Prova de Security+ SYS-301 em PT-BR

Olá Pessoal,

Quem acompanha esse blog e também é meu aluno do curso oficial de Security+ da Clávis Segurança da Informação sabe que vinha divulgando que a prova da CompTIA Security+ SYS-301 em PT-BR iria expirar em Janeiro de 2015 (ver este post aqui para mais informações sobre isso). Pois bem, hoje recebi a notificação que a prova de Security+ SYS-301 em PT-BR vai ser extendida e vai expirar apenas dia 1 de Abril de 2015.

Isso é uma ótima notícia para os alunos e candidados que estavam estudando para essa prova e ainda não estavam prontos para fazer a mesma em Janeiro de 2015. Pronto, agora é sua chance!

Mas Yuri, e o livro novo para a prova 401, vai sair?

Vai macho, tenha calma o negócio é mais complicado que parecia. Mas sério, vai sair sim, porém lhe adianto que essa será a mudança mais radical do livro, pois muita coisa vai sair e muita coisa vai entrar, sem contar na distribuição do livro, totalmente diferente. Eu e o Daniel Mauser estamos trabalhando arduamente nestes meses de Dezembro e Janeiro para terminar essa atualização, mas vai valer a pena pois está ficando muito bom.

Posted in Certificação, Security+, segurança | 8 Comments

Curso de Mobilidade Empresarial

Não é mais novidade que as empresas já entenderam o valor do uso de dispositivos móveis para aumentar a produtividade e manter-se competitivo. Porém, também não é novidade dizer que fatores relacionados a segurança da informação causam receio na adoção da mobilidade empresarial e principalmente do BYOD. Com intuito de sanar estas dúvidas e fornecer uma base de entendedimento a respeito deste assunto, a Microsoft Brasil lançou hoje o curso de MVA de Mobilidade Empresarial. O curso está disponível no link abaixo:

image

http://www.microsoftvirtualacademy.com/training-courses/vis-o-geral-do-enterprise-mobility-suite

Aproveito para agradecer ao amigo Fabio Hara por ter me dado a oportunidade de contribuir com a comunidade na gravação deste curso. Espero que gostem.

Posted in BYOD, curso, mobilidade, MVA | Leave a comment

Os Riscos Reais do BYOD

Em Outubro estive em Atlanta participando do Hacker Halted 2014 e minha palestra (ver mais detalhes aqui) foi justamente sobre BYOD (Bring Your Own Device). Sem dúvida este é um tema importante, pois não há como escapar da consumerização de dispositivos móveis e com isso a natural demanda para uso destes dispositivos na rede empresarial. Porém, a adoçao de dispositivos de usuários para acesso a dados corporativos deve ser planejada com bastante cautela. Em um artigo que escrevi para a ISSA Fort Worth Chapter e publicado na ISSA Journal de Março deste ano (você pode fazer o download do artigo aqui), proponho antes de mais nada um desenho de uma solução neutra de fabricante, onde todas considerações de segurança sejam levantadas e somente depois do desenho completo é que se deve fazer a reunião com os fabricantes que iram endereçar as necessidades da empresa.

Porém, este arigo tem como intuito lhe guiar para um cenário real, que aconteceu comigo e expõe a fragilidade do uso de dispositivos pessoais para negócio caso não exista um planejamento e um conjunto de tecnologias que dê suporte ao BYOD. A seguir vou descrever em detalhe tudo que ocorreu.

Era Apenas um Simples E-Mail

Já estou bastante acostumado a receber e-mails falsos, uma grande parte vai direto para o lixo eletrônico, outra passa, mas com simples cuidados vejo que é um phishing email e deleto. Na grande maioria das vezes chego a debugar em um ambiente isolado para ver o que está ocorrendo e documento estas ações no meu blog. Seguem alguns exemplos:

Com esse fiz a mesma coisa, o email tinha o seguinte conteúdo:

image

Note que imediatamente já da para saber que é falso, pois um banco como o Itaú não terá como remetente de um e-mail com esse uma conta que não seja do seu próprio domínio. Ao passar o ponteiro do mouse sobre o link que o e-mail sugere aparece o seguinte destino:

image

Mais uma prova que o e-mail era falso, pois estava apontando para outro site e não o do Itaú. Ao tentar acessar o site fui direcionado para a seguinte página:

image

Note que agora já estou em outro site (ver barra de endereço) e sem o tradicional cadeado do HTTPS, pois afinal neste caso está trafegando tudo via HTTP. Porém o mais intrigante não foi isso, ao verificar os logs do meu Firewall vi a seguinte sequencia:

image

Note que este servidor fornece o HTTP 302, que por natureza faz um redirect para uma outra localização, e no log seguinte de fato apareceu para onde a requisição foi:

image

Chegando neste novo destino (que por sinal está na Russia) ele tenta executar um arquivo chamado Function.php. Este era um artigo que fazia chamadas Java ao invés de executar no Browser, resolvi usar o WGET para baixar o arquivo. Ao tentar baixar este arquivo, ele foi buscar um outro arquivo (veja novamente outro HTTP 302), agora na Ucrania conforme mostra abaixo:

image

A razão pela qual digo que foi na Ucrania é devido a este domínio final ser de lá e ao abrir o Index.html o que vejo é a seguinte chamada:

image

Como você deve saber, um arquivo APK é um arquivo de um pacote do Android, ou seja, este programa (seja o que ele vai fazer foi criado com intuito de explorar um dispositivo com Android). Usei um Android que tenho instalado em um Hyper-V para fazer a instalação do aplicativo e recebi as seguintes mensagens:

image

Nota: essa mensagem também pode aparecer pelo fato desta app não está sendo distribuida via Google Store, ou seja, estou instalando ela por fora do método normal.

A instalação com as configurações padrões do Android já me alertava do risco, porém, como queria testar troquei as configurações e continuei a instalação:

image

Note que esta App precisa de acesso a tudo isso, ou seja, um usuário desinformado que apenas quer de alguma forma usar a app poderá simplesmente dizer sim nesta tela. Ao instalar recebi a seguinte mensagem:

image

Mais uma vez fui alertado do perigo e resolvi continuar, a app não funcionou mas isso ocorreu devido ao fato de que não havia os outros arquivos (previamente instalados – que no meu caso foram instalados na máquina com Windows 7) no mesmo host.

Conclusão

Ao passo que nada ocorreu no final (pois fiz testes em hosts separados e buscando arquivos individuais) é possível concluir que o intuito do e-mail era fazer com que usuários de dispositivos móveis, clicassem no link e com isso fazer com que a app fosse instalada no sistema. Sem saber o código da app não da para dizer ao certo o que seria realizado, mas as hipoteses mais comuns são:

  • Roubo de credentiais (devido ao fato de que a página do Itaú era fake e iria capturar seus dados)
  • Transformar o dispositivo móvel em um bot agent. Isso ficou claro para mim quando no arquivo index.html a chamada para o APK era feito e o id da chamada era “bots”

Este é o típico cenário que um usuário com seu dispositivo pessoal poderia comprometer não só suas informações pessoais, mas também da empresa devido a falta de políticas de segurança que resguarde a empresa em cenários de BYOD.

Caso você foi uma vítima de golpe online, leia este artigo para saber como proceder. Você também pode ver a lista de contatos disponíveis neste artigo para saber como denuciar este tipo de fraude online.

Posted in BYOD, E-Mail Malicioso, Phishing, segurança | 6 Comments

Um Resumo das Eleições do Ponto de Vista de Segurança da Informação

Este post tem como objetivo expressar minha opinião de quem acompanhou de fora do Brasil as manifestações sobre as eleições por meios de comunicação que incluem: redes sociais, e-mail, páginas web e outros métodos como WhatsApp e SMS. Este post não tem como objetivo classificar partido A ou B como sendo o fomentador de mentiras, calúnias ou difamações. Por fim, o objetivo deste post é alertar e educar o usuário destas ferramentas quanto a propagação da informação inacurada.

imageMuito bem, após este primeiro parágrafo de esclarecimento, vamos ao que interessa. O que aprendemos (ou não pois só o futuro vai dizer) com estas eleições? Eu aprendi por exemplo que muitas pessoas compartilharam os famosos “memes” sem sequer olhar a origem da informação, desde que fosse ou a favor do candidato ou contra o outro candiato. O usuários das redes sociais mostrou claramente uma coisa: o que vale é o sentimento. Por muitas vezes tive que intervir em posts de amigos para alertar (mesmo que isso fosse contra o candidato pelo qual eu estava torcendo a favor) que tal informação era falsa, e colocava sempre a fonte acurada da informação. Hoje mesmo, na mala direta do amigo e Delegado Higor Jorge, recebi um email dele com a matéria abaixo:


“Matéria sobre os cuidados que o usuário de computador deve tomar antes de compartilhar conteúdos pela internet, produzida pela TV Tem de São José do Rio Preto, afiliada da TV Globo.

Basta um clique no celular e você pode se complicar com a polícia. compartilhar mensagens ofensivas, pornográficas ou até preconceituosas também é crime.

As redes sociais (Facebook, Twitter, etc) e os aplicativos (WhatsApp, ZapZap, etc), se tornaram tão presentes na nossa rotina que é difícil imaginar a vida sem eles.

Mas é por meio dessa mesma tecnologia, que pessoas mal intencionadas têm agido.

O delegado Higor Vinicius Nogueira Jorge conversou com a equipe de reportagem e afirmou que os integrantes da Polícia Civil do Estado de São Paulo estão preparados para enfrentar esse tipo de crime.

Assistam o vídeo em https://www.youtube.com/watch?v=kPWGL-Hs88w.”


O Delegado Higor Jorge é um colega a qual tenho bastante apreço e também autor de um livro que endorsei na sua segunda edição. Ao passo que essa matéria dele enfatiza o lado da propagação de mensagens ofensivas, pornográficas ou até preconceituosas, durante a eleição vimos muito a propagação de notícias falsas. Novamente, independente do candidato, estou falando do “repost” de informações por você, eleitor! A recomendação é clara: procure a fonte antes de fazer qualquer propagação de informação via rede social, pois caso seja mentira, você está colaborando com esta mentira.

A engenharia social usado nas redes sociais está tomando uma proporção fenomenal, não só no Brasil. Recentemente na India um rapaz de 27 anos, chegou a criar um perfil no Facebook anunciando que seria um cientista da NASA. Ele criou um cenário perfeito, falsificando dados sobre sua faculdade (alegando ter estudado no MIT), e começou a “se vender”como sendo uma autoridade no assunto. Ganhou milhares de fãs, mas a farça foi descoberta pela polícia (ver reportagem completa aqui).

Estamos vivendo mais que nunca em um mundo virtual, onde verdades são criadas a partir de mentiras, que são replicadas pela grande massa e com isso de fato se tornam verdades. Mais que nunca todos precisam tomar cuidado com o que propagam, pois o custo pode ser muito alto não só para quem você está acusando mas também para você que acaba sendo um agente de propagação da inverdade.

Posted in Uncategorized | 4 Comments

Resumo do Hacker Halted 2014

Semana passada participei pela primeira vez do Hacker Halted, evento organizado pelo EC-Council, entidade a qual tenho a honra de ser certificado como CEH e CSA. Minha palestra foi no primeiro dia, e devido a isso não assisti muitas outras pois fiquei revendo o material e estudando um pouco. Mas vi o keynote com o grande Johnny Long, responsável pelo projeto www.hackersforcharity.org . O Johnny Long, um ethical hacker que abandonou tudo nos EUA para ajudar uma comunidade na África. Ele levou toda família, e lá ele criou um centro de treinamento, com cursos básicos de Windows, Office e treina a comunidade “de graça”.

No primeiro ano ele treinou 1600 pessoas, e 200 conseguiram emprego imediatamente após o curso, fazendo com isso que 200 famílias fosse diretamente afetadas positvamente com sua iniciativa. Isso no primeiro ano, ele já está lá a 5….e ele não é um zé mané, ele é autor de vários livros, tinha sucesso total aqui nos EUA e preferiu viver no anonimato por uma causa.  Quem sustenta ele lá é a entidade Hackers for Charity (inclusive se vc quiser contribuir, compre qualquer coisa no sitehttp://www.hackersforcharity.org/ ).

O Centro de Convenções era muito bom, já houve inclusive um TechEd lá no passado, aqui uma foto da entrada:

WP_20141016_008

Ao chegar, tínhamos essa beleza de cartaz:

WP_20141016_005

Aqui momentos antes da minha apresentação com o Erdal:

WP_20141016_007

Nossa apresentação começa, e começo falando sobre os motivos que levam as empresas à adotarem BYOD e também os riscos de abraçar o BYOD sem uma estratégia de segurança corretamente preparada para as necessidades da empresa:

CEO_0192

No fim da palestra recebi o certificado de apreciação da E-Council por ter palestrado no evento:

image

Todas apresentações foram gravadas e podem ser compradas separadamente (apenas U$ 9.99 cada) em http://iclass.eccouncil.org/?p=6583 . O PPT da minha palestra está disponível aqui. Pode usar para pesquisa e caso for usar para reapresentar apenas mencione a origem.

Posted in BYOD, palestra | 1 Comment

Planejando seu próximo passo na carreira de TI? Assegure que está alinhado com as expectativas dos CIOs

Ontem um colega profissional de TI que estava palestrando em um evento em Manaus pediu que eu fizesse uma carta/vídeo de abertura para o evento com algumas palavras motivacionais. Você pode baixar a carta na íntegra aqui, e para minha surpresa, hoje ao ler um artigo do site CIO.COM, vi uma matéria que tocava justamente em uma das coisas que escrevi na carta: computação em nuvem. Um dos pontos mais interessantes da matéria é esse:

“You don’t need people to build servers anymore. You need somebody good at managing another organization responsible for doing that. That’s a different skill.” ~ Josh Jewett, CIO at Family Dollar

Ler matéria completa aqui: http://www.cio.com/article/2824726/cloud-computing/cios-share-must-have-cloud-skills.html

Já venho dizendo isso a um bom tempo, o profissional de TI que é geek e só quer investir em “escovar bit” tende a ficar com a sobra do mercado, ou seja, vai ficar com a fatia que sobrar do bolo. É preciso ter “broad knowledge”, é preciso sair do resolver problema em um componente que não funciona, para resolver um problema de negócio aplicando tecnologia, que por sua vez vai de alguma forma envolver computação em nuvem. Esse é o caminho para aqueles profissionais de TI que não querem no futuro ser o que os operadores de mainframe são hoje: mosca branca. Não é que ele será extinto, mas a empregabilidade dele vai diminuir consideravelmente. Então, se você deseja manter-se relevante e avançar na sua carreira, inclua no seu roadmap de atualização tecnológica a computação em nuvem.

Poxa Yuri, mas essa área de TI é fogo…tem que ficar se reinventando todo tempo. Para você que pensa assim, vou citar o John Marcante, CIO da The Vanguard Group que disse nesta mesma matéria:

“If you don’t like to learn, you’re in the wrong field.”

Faça acontecer!

Posted in carreira, nuvem | 1 Comment