O switch gerenciável e a sua utilidade dentro de um ambiente corporativo

O bom funcionamento de uma rede de computadores está ligado diretamente ao funcionamento dos ativos de redes, como roteadores, switch e modens adsl. Dependendo da criticidade ou do objetivo de uma rede, é necessário uma redundância desses equipamentos e assim, um trabalho dobrado ao gestor de tecnologia para monitorar e gerenciar o funcionamento de cada um deles.

Antigamente, era predominante a utilização de HUB’s nos projetos de rede de computadores que tinham a função de interligar os computadores de uma rede local. Com a evolução da tecnologia e a necessidade de atender a demanda de certas funções, ocasionou no surgimento do switch, que ao longo do tempo, foi o substituidor natural do hub.

A grande diferença do funcionamento de um hub para um switch está na falta da comutação entre as portas de comunicação no hub. Quando um computador quer “conversar” com outro computador, se ambos tiverem conectados por um HUB, o computador origem envia um pacote de dados e quando esse pacote chega no hub, a informação é transmitido para todas as portas do hub, ficando o computador destino com a obrigação de responder ao computador origem que a informação chegou até ele.

Dessa forma, se existirem outros computadores conectados em outras portas do hub, “escutarão” o pacote do computador origem para não responderão pois as informações não são destinados a eles. Com isso, existia um problema de captura de dados em rede utilizando programas de computador do tipo “sniffer” que capturava todos os pacotes de dados que passavam pelas portas do hub, ficando a comunicação entre os computadores envolvidos na comunicação (origem e destino) vulneráveis quanto à privacidade.

Com o advento do switch, a comutação entre as portas fez com que os pacotes de dados vindo de um computador de origem não mais são replicados em todas as portas do switch em busca do computador destino e sim, somente é transmitido para a porta específica onde o computador destino está conectado fisicamente no switch, evitando assim, uma “escuta” clandestina dos fuçadores de informação nas demais portas do equipamento.

Contudo, no switch gerenciável, é possível realizar um monitoramento do tráfego de dados que esteja passando em uma determinada porta do switch, utilizando o recurso disponível conhecido como mirror. É a possibilidade de se “espelhar” os dados que passam por uma porta e copiar as informações, transmitindo uma cópia de todas as informações de uma porta para outra porta determinada pelo administrador do switch.

Dessa forma, por exemplo, quando um administrador de rede necessitar monitorar um tráfego de dados em uma determinada porta, ele faz o mirror da porta 1 do switch para a porta 2 e assim, rodando um sniffer (como o wireshark – aplicativo modo gráfico ou um simples tcpdump – ferramenta modo texto) obter as informações de tudo o que se passa na porta 1 do ativo de rede.

Em um ambiente corporativo, esse recurso disponível no switch gerenciável pode ajudar ao especialista em TI a resolver alguns problemas relacionado ao tráfego em si ou até mesmo servir como um recurso para monitoramento dos empregados dentro da empresa pois como todo o tráfego de dados será recebido pela porta espelhada (mirror), as conversas de chat, msn, navegação na internet, envio de e-mails e vários outras informações serão conhecidas pelo gestor de TI, a exceção daquelas informações que trafegam pela rede de forma criptografada (o que ainda é uma exceção em nosso cotidiano).

Outros benefícios também pode ser utilizados com um switch gerenciável dentro de uma empresa, como por exemplo, a criação e o roteamento entre VLAN’s, verificação de throughput, consulta de tabela ARP e muito mais.

Até a próxima!

Segurança da Informação: Eu odeio a Segurança!!

O papel do especialista em segurança da informação é fazer, entre outras tarefas, com que as informações sigilosas e confidenciais sejam acessadas somente pelas pessoas autorizadas dentro de uma empresa. Para tanto, atingir esse objetivo pode demandar algumas atitudes que algumas pessoas não concordam ou acreditam que é muita preocupação para pouca coisa.

As informações possuem, dependendo do ramo de atividade da empresa dentro da economia, um valor considerável cujo o custo de se manter uma certa proteção tem o seu retorno garantido. O empresário não pode correr o risco no seu negócio, acreditando que todas as pessoas que tem algum tipo de contato com informações privilegiadas não sofrerão assédios financeiros para vender algum tipo de documento restrito da empresa.

A cada dia que passa, quadrilhas especializadas em furtar informações empresariais estão recrutando pessoas para obterem informações de concorrentes e assim, antecipar as decisões de investimento e lançamento de novos produtos no mercado.

Todavia, para evitar um acesso não autorizado, as empresas estão criando diversos controles que inibem ou pelo menos tentam amenizar as consequências de um vazamento de informação não autorizado, criando regras e controles de acesso à determinadas áreas dentro da empresa.

Entretanto, sabemos que a maioria das pessoas possuem um ódio às regras de restrição impostas dentro da empresa para realizar o controle de segurança da informação que, em muitos casos, interferem na nossa liberdade de ir e vir, ler, escrever e falar. Só de imaginar que os e-mails da empresa podem ser monitorados, deixam o funcionário sempre em alerta sobre o que anda lendo e escrevendo nas mensagens eletrônicas, geram um pouco de stress no trabalho.

Levando essa questão um pouco para o nosso dia a dia, realmente ninguém gosta de ficar carregando um molho de chaves da casa, do carro, do escritório, etc. Muito menos ter que ficar lembrando de centenas de senhas que precisamos decorar: senha do cartão do banco, cartão de crédito, e-mail, compras on-line e tantas outras.

Essa irritação já é percebida quando vamos, por exemplo, entrar em um prédio público e precisamos passar pelo procedimento de cadastro de visitantes. É um tempo enorme ali dispensado para informar o nome completo, RG, CPF, endereço, o andar que vai visitar, falar com quem e, para piorar a situação, tirar aquela bendita foto justamente no dia que você não fez a barba ou não cortou o cabelo. Nem vou citar as condições femininas que dependendo do caso, desistem de entrar no prédio e retornam em outro dia com uns ajustes na maquiagem.

Reclamamos constantemente do processo de verificação de segurança nas portas giratórias dos bancos, isso quando não somos “travados” pela porta e temos que demonstrar que não somos criminosos e nem portamos armas de fogo. E para que isso? É a tal Segurança da Informação.

Em todo o momento nos é pedido uma confirmação se nós somos nós mesmos. Incrível! Ao longo do dia, quantas vezes você tem que se identificar e provar que você é você?! Mas tudo tem o seu preço, afinal, é a segurança da informação.

Afinal, se não fosse assim, estaríamos vivendo em uma sociedade em que não teríamos identidade, seríamos mais um na contagem geral da população com acesso a tudo e a todos, ficando sem sentido a própria existência. Exagerado essa afirmação? Não sei, só sei que existe uma tal de Segurança da Informação e pela quantidade de vezes que tenho que me identificar que eu sou eu mesmo, as vezes fico me imaginando se eu também não…. odeio a segurança?!

Até a próxima!

A importância de se realizar com qualidade a fase de análise dos requisitos dentro de um projeto de desenvolvimento de sistema

Desenvolver um sistema de computador não é uma atividade tão simples como pode parecer, até mesmo para os programadores mais experientes do mercado. É necessário se manter atualizado com as novas tecnologias na área, saber lidar com o cliente e acima de tudo, entender o que o seu cliente necessita e colocar em forma de um programa de computador tudo aqui se seja pedido (dentro os limites tecnológicos viáveis atuais).

A cada novo sistema de computador criado é um novo projeto a ser desenvolvido e executado pelo profissional de tecnologia. É fundamental para quem vai desempenhar o papel de analista de sistemas, dentro de um projeto, descobrir realmente o que o usuário final do programa quer com o sistema.

Durante a fase de análise do projeto é crucial investigar o problema a ser resolvido e fazer com que o programa a ser criado possa atender as necessidades pontuais do empresário, que vão desde as telas básicas de cadastros até a emissão de relatórios gerenciais que vão auxiliar o cliente nas decisões estratégicas da empresa.

Para que a etapa de análise dos requisitos seja realizada em um menor tempo possível e com uma maior precisão, deve-se ter um bom método de trabalho para evitar algum tipo de problema nessa fase que, no futuro, possa impactar na qualidade e no funcionamento do sistema quando colocado em produção dentro do ambiente corporativo do cliente.

A qualidade do processo de análise do levantamento dos requisitos é importante porque se existir um erro na concepção da ideia em que o cliente relata e o desenvolvimento do sistema seguir um rumo diferente que não vá suprir uma necessidade relatada, esse erro não detectado nessa etapa terá um custo não planejado para realizar as devidas correções no sistema no final do projeto.

A diferença entre o sucesso de um projeto e o fracasso de um projeto está no momento de se detectar a disparidade entre o que se pediu e o que se fez. Ou seja, quanto mais rápido for detectado um entendimento equivocado pelos responsáveis pelo projeto sobre a necessidade que um cliente precisa e não foi bem entendido, menor será o custo de reparação no projeto. Com isso, realizar com qualidade a fase de análise dos requisitos evita-se um custo desnecessário na fase de implantação do sistema.

O momento de se levantar os requisitos está associado ao processo de descobrir quais são as operações que o sistema deve realizar para atender as necessidades da empresa cliente, quais as restrições que o programa deve ter e nas fases seguintes, garantir que essas premissas sejam verdadeiras e testadas durante o processo de desenvolvimento do sistema.

É importante salientar que diversos tipos de requisitos devem ser levados em conta nessa fase de análise como, por exemplo, descobrir quais são os requisitos de usuários necessários para possibilitar a criação do programa. Nesse tipo de requisito estão as declarações, em linguagem natural, de quais serviços são esperados do sistema e as restrições sob qual ele deve operar (usuário).

Contudo, para que o projeto possa caminhar respeitando o cronograma planejado, é importante escolher os profissionais que estarão empenhados no projeto e a responsabilidade de cada um nas diversas etapas do processo de desenvolvimento do sistema, garantindo assim um certo controle nas ações desenvolvidas em cada fase do projeto e a qualidade final do programa que será entregue ao cliente.

Até a próxima!

As técnicas de manipulação utilizadas por criminosos virtuais e a vulnerabilidade humana

O ser humano é dotado de sentimentos, razão, fé e esperança que garantem um convívio harmonioso na sociedade em que cada pessoa está inserido. Logicamente que a intensidade e a existência desses pontos varia de cada pessoa e que deve ser levado em conta a trajetória de vida de cada um.

Passamos boa parte de nossa vida aprendendo que devemos dar atenção aos outros, ajudar o próximo, fazer o bem e tudo mais de positivo que nos foi concebido para termos uma relação de paz e tranquilidade com as pessoas ao nosso redor. Pelo menos deveria ser assim em toda a Humanidade mas sabemos que por motivos políticos, históricos e até religiosos, determinadas sociedades vivem em eterno conflito.

E é nesse contexto, que determinadas pessoas dentro da sociedade se aproveitam do momento e praticam ações criminosas para benefício próprio, levando em consideração a boa fé e a ingenuidade dos outros que acabam caindo em golpes virtuais e são vítimas dos inúmeros crimes eletrônicos praticados principalmente na internet nos dias atuais.

Os criminosos virtuais utilizam algumas técnicas de manipulação para conseguir o apoio e a confiança da vítima para que seu objetivo seja alcançado, enganando e ocasionando em muitos dos casos em prejuízo financeiro para aqueles que acabam caindo no “conto do vigário”.

Uma dessas técnicas é manipular o sentimento das pessoas, levando à vítima uma falsa sensação que ela está ajudando uma pessoa necessitada. Por exemplo, quantas vezes não recebemos em nosso e-mail uma mensagem eletrônica informando que uma determinada pessoa está com uma doença rara e precisa urgentemente de um transplante de um órgão doente e para isso, como a família da possível vítima da doença não tem condições financeiras, é solicitado uma ajuda de custo e informa um número de conta bancária para realizar um depósito em qualquer quantia.

Esse tipo de golpe, com suas exceções, é uma forma rápida de se levantar uma grande soma de dinheiro levando em consideração a quantidade de e-mails que são enviados e o elevado número de pessoas que se comovem com a intenção de ajudar e acabam depositando valores acreditando que estão ajudando alguém necessitado.

Não muito diferente dessa técnica, os criminosos tem se utilizado de ações que prometem retorno financeiros rápidos e vultuosos, necessitando somente de um pequeno “investimento” financeiro pela vítima para proporcionar esse lucro tão esperado. Acredito que essa técnica de manipulação de aspirações é tão antiga que podemos observar nos dias de hoje como as pessoas são iludidas com promessas de ganhos futuros altamente rentáveis mas que para isso, precisa pagar uma certa quantia antecipadamente para obter uma lucro que na verdade não é bem o que se promete.

Logicamente, nos dias atuais, os criminosos se aproveitam do certo “anonimato” que a internet proporciona e realizam vários tipos de tentativa de manipulação contra as vítimas para que seja possível obter algum tipo de vantagem. Essa manipulação pode implicar em mexer com os sentimentos das pessoas, trabalhar a curiosidade, tentar estabelecer uma confiança, cativar a simpatia da vítima e no final, se essa manipulação resultar em algum prejuízo para a pessoa enganada, muita das vezes por razões de medo ou culpa, as vítimas acabam abafando o problema e não tomam iniciativas que deveriam ser feitas como denunciar esses criminosos para evitar que novas vítimas sejam enganadas.

Portanto, devemos ficar atentos para essas ações criminosas que tem aumentado consideravelmente no ambiente da internet para e desconfiar de qualquer atitude alheia que desperte uma promessa tentadora. É a máxima: “Confie desconfiando”.

Até a próxima!

A Internet como fonte primária para a realização de investigações sociais

O processo de aquisição de um novo funcionário em uma empresa privada ou pública é caracterizado por diversas etapas necessárias para que um candidato a uma vaga em aberto possa ser avaliado e, se aprovado, conquistar o seu espaço no mercado de trabalho.

Os documentos necessários para se candidatar a uma oportunidade de emprego, os requisitos básicos ou outras exigências são ditadas pelas empresas e cada uma segue o roteiro de ações a serem praticadas da forma que bem entender.

Não é necessário lembrar que a cada ano que passa, o número de candidatos por vaga tem crescido vertiginosamente e isso tende a ser ainda maior a partir do momento que a cada ano, novos profissionais são formados nas diversas áreas de atuação e que a demanda de vagas abertas não acompanha o número de novos profissionais formados pelas faculdades brasileiras.

Entretanto, ignorando o fator candidato x vaga, observamos um aumento do uso da internet por parte dos empresários (recrutadores) para fins de pesquisa social sobre os interessados nas vagas abertas. Com o passar do tempo e com a popularização da grande rede de computadores, é possível imaginar que a grande maioria dos futuros empregados estejam de alguma forma conectados na internet, e assim, é um caminho fundamental para se levantar determinadas informações pessoais que poderão ser a chave final para o tão sonhado emprego.

Nas oportunidades de trabalho em que se oferece um cargo estratégico e, principalmente os de confiança, em que algumas atividades centrais da jornada de trabalho é gerenciar pessoas e processos internos, é fundamental uma pesquisa mais profunda nos meios sociais sobre a pessoa que se interessou pela vaga. Essa busca pela informação deve priorizar, no primeiro momento, aprofundar nos antecedentes profissionais do candidato para traçar em quais empresas ele trabalhou e confirmar se as informações inseridas no currículo, entregue durante o processo de seleção, são realmente verdadeiras.

No segundo momento, é prudente que se levante o perfil social do candidato nas redes sociais e fazer um comparativo com o perfil social que a empresa busca no processo de recrutamento. Em determinadas ocasiões, é nessa hora de se utilizar a internet como fonte primária da investigação social é que a empresa descobre certos fatos que foram omitidos pelo candidato que já poderia ter o eliminado no processo de seleção.

Todavia, checar o resultado das informações obtidas por uma consulta nas redes sociais ainda é o melhor caminho para se evitar problemas ou enganos sobre uma conduta realizada na internet e que pode ser muito bem explicado pelo candidato.

Contudo, as pessoas que buscam uma oportunidade de emprego devem ficar cientes que cada vez mais, a internet está fazendo parte do processo seletivo dos futuros empregados de uma empresa ou instituição. Deve-se efetivamente separar o perfil pessoal do perfil profissional nas redes sociais e sempre pensar antes de publicar uma nova foto ou um pensamento, se aquilo pode influenciar no futuro quando tentar uma vaga de emprego.

Geralmente, os jovens de hoje não estão pensando no amanhã (momento de se procurar uma vaga de trabalho e no processo de seleção) e sim, só querem saber do dia de hoje (tentando emplacar um vídeo engraçado na internet dançando o “quadradinho de oito” e virar um sucesso na internet).

Até a próxima!

Segurança da Informação: As ameaças que preocupam o administrador de redes

O crescimento exponencial da tecnologia da informação tem potencializado os riscos digitais, principalmente no momento em que se tem falado muito de mobilidade, acessibilidade e disponibilidade da informação a qualquer hora e em qualquer lugar.

A demanda por nova tecnologia e novos equipamentos eletrônicos tem feito a indústria uma refém da modernidade, com a obrigação de realizar lançamentos inovadores de dispositivos eletrônicos que agregam uma layout moderno e com recursos computacionais de dar inveja em qualquer concorrente no mercado.

Afinal, estamos vivendo na geração da tecnologia em que para qualquer lugar que se ande, sempre se esbarra na informática para realizar qualquer tipo de ação. Hoje, você já é acordado pela própria modernidade: quantas pessoas não usam o alarme do celular para acordar? É a tecnologia ditando as nossas vidas.

Todavia, junto com essa facilidade de acesso à informação temos as ameaças naturais para uma sociedade tecnologicamente interligada, ocasionando em novas preocupações para os administradores de redes a cada dia que se passa.

Com o surgimento dos dispositivos de armazenamento móveis, como por exemplo o pen drive, aumentou consideravelmente o risco de informações sigilosas serem “furtadas” ou divulgadas, tamanha a facilidade de se guardar um dispositivo desse no bolso ou em uma pasta. O seu manuseio é simples e tem a capacidade de guardar milhares de informações sobre uma empresa.

Através de um pequeno pen drive, as ameaças são as mais diversas possíveis. Basta a criatividade e o objetivo da mente criminosa para se colocar em prática as suas intenções e necessidades.

O administrador de redes se não tiver uma política de segurança estabelecida dentro de uma empresa para permitir ou não o uso de pen drive, algumas ameaças poderão ser colocadas em prática ocasionando em efeitos negativos.

Podemos citar algumas ameaças como: violação da propriedade intelectual, fraudes em documentos, pirataria, sabotagem digital, furto de informação, espionagem, falsificações e tantas outras oriundas de um acesso não autorizado e com objetivos nebulosos.

Entretanto, não é somente pela “porta” do acesso não autorizado que as ameaças se manifestam. Poder ser um e-mail malicioso enviado para um funcionário leigo, um vírus não tratado pelo sistema de segurança da empresa, aparelhos móveis como smartphones e tablet que sem um controle de permissão podem propagar informações confidenciais da empresa e outros meios preocupantes para o profissional de tecnologia.

É necessário entender que por mais que os riscos e as ameaçam sejam de natureza digital, eles são “reais”. As consequências de uma devastação digital terão enormes impactos na vida real. Imagine alguns sistemas fora do ar como: controle de tráfego aéreo, bolsa de valores, sistemas bancários e outros.

Existe a necessidade de se identificar essas ameaças e entender os riscos quando se assume a não tratá-las. Em determinadas situações, existe um custo muito elevado para amenizar certas ameaças e fica mais barato assumir as consequências que podem ocorrer com os problemas oriundos da concretização da ameaça que a própria solução para evitar a ameaça. É o que chamamos de risco assumido.

Contudo, um administrador de redes tem suas mãos uma série de atividades que extrapolam a simples função de ficar gerenciando servidores e impressoras. A cada dia que passa, é necessário uma visão mais de gestão que puramente técnica e é nesse sentido que o mercado seleciona naturalmente aqueles que devem permanecer na profissão e aqueles que precisam escolher outra área de atuação.

E você, já pensou em uma outra área de atuação?!

Até a próxima!

Segurança da Informação: Questões que englobam a Autenticação

A necessidade de se garantir que determinadas informações sigilosas ou confidenciais não sejam de conhecimento de terceiros sem a devida autorização, está levando diversas empresas a investir mais em segurança da informação. Em um mercado competitivo, é preciso um mínimo de cuidado especial com o principal ativo da empresa: a informação.

Atualmente, os bancos estão desenvolvendo cada vez mais uma nova forma de acesso do correntista à sua conta bancária de forma segura evitando ao máximo a ação dos criminosos eletrônicos. Entre algumas medidas adotadas por algumas instituições bancárias está o uso de dispositivos de segurança (Token) para aumentar o nível de segurança aos correntistas e evitar as fraudes bancárias contra os usuários desatentos que acreditam está navegando no site oficial do seu banco quando na verdade não estão.

Entre os pilares da Segurança da Informação está a Autenticação. O grande desafio para a promoção da segurança da informações dentro da autenticação é provar que o usuário/sistema é realmente quem diz ser.

O usuário quando tenta acessar a sua conta de seu banco, é preciso comprovar para o seu banco que realmente ele é o titular da conta corrente acessada. A necessidade de se autenticar no banco é para garantir ao banco que a pessoa que diz ser é a que possa ter acesso as informações bancárias sigilosas e evitar que terceiros tenham acesso a essas informações.

Principalmente quando esse acesso não é efetuado dentro da agência de forma pessoal, e sim pela internet, o cuidado ainda é maior pela imensidão que é a internet e a origem do acesso à conta é mais amplo, podendo o correntista tentar o acesso de qualquer parte do mundo.

Por outro lado, o correntista precisa ter a certeza que o sistema que ele está tentando acessar realmente é o banco de sua conta para evitar passar as informações confidenciais como número da conta e senha de acesso para os criminosos. É comum as pessoas acessarem os sites de banco em Lan House ou em computadores de terceiros, cujo a utilização do computador é compartilhado por várias pessoas.

Na autenticação, que é um ponto crítico de qualquer sistema de segurança, é intrínseco existir a identificação do titular visto que o acesso garantido ao sistema é uma garantia (ou deveria ser) que somente a pessoa que tem o acesso poderia se autenticar, logo, quem autentica se identifica. Mas sabemos que não é uma verdade essa lógica.

Um descuido ou o vazamento das informações necessárias para se autenticar em um sistema coloca em xeque a identificação. Isso ocorre quando utilizamos um único método de checagem das informações para permitir a liberação do acesso das informações confidenciais.

É necessário que o sistema de autenticação possibilite o uso de mais de um método de autenticação para aumentar o nível de segurança e garantir a identificação mais real do titular da conta.

Um método para realizar a autenticação: é enviar algo que você sabe: um login e senha (conta corrente, agência e senha de autoatendimento – no caso de conta bancária). Entretanto, não precisamos lembrar que muitos usuários colocam essas informações atrás do próprio cartão do banco, embaixo do teclado, no monitor, etc.

Além de enviar algo que você sabe, poderia ser usado algo que você tem: um dispositivo de identificação ou SmartCard. São conhecidos como Token, aqueles dispositivos que geram uma sequência numérica diferente a cada botão pressionado e que só tem validade geralmente por 30 segundos. Útil para forçar a segurança em casos em que o login e a senha foram descobertos mas ainda é necessário informar algo que se tem para continuar com a autenticação e nesse caso, somente quem possuir o dispositivo poderia comprovar a sua identidade.

E ainda sim, além de se utilizar as formas acima citadas, em combinação, algumas soluções permitem trabalhar com algo que você é: através da leitura de biometria (impressão digital) ou leitura da retina ou até mesmo a leitura da palma da mão. Essa forma de informação seria a mais difícil de ser burlada e a autenticação teria um alto grau de confiabilidade.

Trabalhando a autenticação com esses três métodos, é quase que certo que a autenticação realizada terá a sua identificação também validada uma vez que dificilmente os criminosos poderão utilizar todos os três métodos para fraudar um acesso autenticado.

Contudo, ainda sim, não se pode garantir a identidade de quem está acessando pela mera informação enviada pela internet do que se sabe e do que se tem. Afinal, quantas pessoas não emprestam o seu cartão de crédito para amigos e junto, emprestam a senha? Assim vale para o cartão do plano de saúde, do cartão do banco (junto com o token), etc.

Até a próxima!