Espionagem na Tecnologia: a sua vida está sendo “monitorada” há muitos anos

As revelações bombásticas de ex-analista contratado pela NSA (Agência de Segurança Nacional dos EUA), Edward Snowden, que deixou o EUA e foi-se refugiar na Rússia trouxe a discussão em todo o mundo a respeito do tema: Espionagem.

Já sabemos que o conhecimento é o ativo mais importante de uma empresa, assim como as pessoas que trabalham dentro dela. Uma informação sigilosa mal guardada, é passível de levar a quebra de uma empresa. Basta que um determinado projeto revolucionário seja de conhecimento do concorrente que pronto, o estrago já está feito.

Imagina então quando informações sigilosas de uma sociedade inteira está disponível para um determinado Governo? E pior, sem o consentimento e nem de conhecimento dos coitados cidadãos que acreditam que possuem algum tipo de privacidade nos dias de hoje, que tanto nos esbarramos nos verdadeiros “Big Brothers” nas ruas e nos estabelecimentos comerciais.

Não é a toa que diversos países e autoridades mundiais ficaram em uma saia justa quando determinados documentos oficiais foram divulgados para o mundo, principalmente através da organização, sem fins lucrativos, WikiLeaks. Diversos problemas diplomáticos surgiram com a divulgação de informações secretas. Espionagem?!

Vamos nos remeter ao nosso cotidiano e verificar se também não estamos passíveis de espionagem tecnológica sem ao menos termos noção desse “monitoramento” diário. Antes de tudo, posso afirmar com total convicção: se você usa a tecnologia no seu cotidiano, nem que seja para receber ou realizar ligações de celular, desculpe mas… você está sendo monitorado.

A telefonia de celular, pelo próprio nome que caracteriza a forma de funcionamento do serviço móvel de telecomunicação, que se utiliza de antenas transmissoras de sinal de celular (as chamadas ERB – Estações Rádio Base) para levar o sinal da telefonia ao seu aparelho telefônico.

É a comunicação do seu celular com as várias antenas de celular em sua cidade que permite você se deslocar entre os bairros e municípios, falando no celular sem que a ligação seja interrompida (conhecido como Roaming). Quando isso acontece (a queda de sinal e é um gerador de reclamação nos Procons Estaduais) é porque uma determinada região está fora da área de cobertura de uma dessas antenas.

Mas o que tem a ver o sistema de telefonia celular com a espionagem tecnológica? Vou explicar: o seu celular enquanto passa de antena a antena para garantir que tenha sinal eu seu aparelho, existe uma comunicação entre as antenas ERB e o seu celular. Com isso, todo os seu percurso e trajeto dentro da cidade, fica registrado no sistema informatizado da operadora de telefonia por onde você passar, por onde passou e onde você está nesse momento. Em qual antena ERB, qual latitude e longitude (geolocalização).

Ou seja, se você tiver inimigos dentro da operadora de celular e alguém, mesmo que de forma ilícita, quiser saber onde você se encontra, basta acessar o sistema interno da operadora e te localizar em qual antena seu celular está “conectado”, ou melhor, recebendo o sinal de celular. Isso não é espionagem?

Não vamos muito longe. A navegação na internet é rica em rastros deixados no computador para indicar quando você acessou determinados sites, quais assuntos você frequentemente pesquisa no Google e assim, as empresas conseguem traçar o seu Perfil Econômico para divulgar produtos e serviços que tendem a se encaixar nas suas preferências.

Alguns vão falar que basta não aceitar os “cookies”, realizar a navegação privativa e outros recursos que dificultam essa “espionagem eletrônica”. Certíssimos! Mas convenhamos, esse procedimento de navegação é o padrão de todos internauta conectado na internet?

Claro que não! Você usa o gmail, hotmail, ou outro webmail gratuito? Já percebeu que os anúncios que aparecem em sua caixa postal ou dentro da plataforma do webmail, em forma de banners, são de produtos ou serviços que encaixam nas suas preferências pessoais ou profissionais?

Por exemplo, no gmail recebo anúncios de softwares, equipamentos de informática, ferramentas, etc. Como o gmail sabe disso? Bola de cristal? Nada, nesse caso, basta um algorítmico no webmail do gmail para percorrer os meus e-mails recebido e enviados e realizar uma indexação das palavras mais trocadas nos e-mails para se montar um perfil meu e assim, oferecer os produtos que mais tenho falado em meus e-mails.

O caso que mais chamou a atenção na mídia é os EUA gravarem todas as suas conversas que um dia você teve no Skype, MSN e outros meios. O servidor principal dessas plataformas ficam onde mesmo? Quando você loga, a sua base de dados com o seu cadastro na rede social está aonde? Em um servidor no Brasil? Claro que não. Está lá, na terra do Tio Sam.

Basta o Governo americano suspeitar de uma mensagem sua para você ser monitorado 24h. Se tiver conteúdo de terrorismo então, nem pense nas consequências. Aí que a espionagem acontecerá mesmo.

Ainda no Gmail, você pode perceber que as informações de quem acessa a sua conta e de qual IP você conectou o seu gmail, está tudo disponível para eles. Quer ver? Entre na sua conta do Gmail e ao final da página da caixa de entrada, no canto direito inferior da tela, procure por “Details” (“detalhes” para quem usa o tema em português – Brasil). Ficou surpreso? Olha a lista dos IP’s de onde você estava para entrar na sua conta, a data, a hora, a versão no navegador… Se você tem a informação é porque eles também tem. E pior, desde de quando você criou a sua conta.

Poderia dar inúmeros exemplos aqui mas eu só quero levar ao debate que não podemos nos surpreender quando alguém falar que estamos sendo espionados na internet. Já abrimos há muito tempo mão da privacidade em nome da comodidade (no casos de ter uma conta de e-mail sem pagar em troca do servidor saber o que eu gosto e o que eu ando fazendo).

Tem gente que se inscreve para determinados programas de televisão para expor toda a sua intimidade em troca de dinheiro. O que esperar então da tecnologia?

Só nos resta uma coisa: ter cuidado com aquilo que ainda temos controle porque de resto, o que você achava que era só seu, já faz parte da internet (e de todos) há muito tempo.

Até a próxima!

A Importância do uso de uma Real-Time Blackhole List dentro de uma organização corporativa

O desenvolvimento da informática faz com que as empresas se automatizem cada vez mais nos seus processos internos, trazendo inúmeros benefícios para os empresários e para os seus funcionários. Essa automatização tem um papel fundamental no sucesso do negócio pois a concorrência no mercado é tão grande que se o empresário não souber gerir direito o seu empreendimento, estará fadado ao fracasso financeiro ou perder grandes clientes por falta de agilidade e competência.

Agregado a otimização, a empresa necessita divulgar o seu produto/serviço no mercado para conseguir alcançar o consumidor final para que ele compre ou pelo menos tome ciência do que está sendo comercializado. Essa divulgação nada mais é do que a realização da publicidade do produto, uma técnica utilizada no marketing que tem como objetivo de criar ou mudar os hábitos do consumidor para levá-los a adquirir o que se está ofertando.

E com isso, podemos observar a utilização de uma das estruturas do Marketing (conhecidos como os 4 P’s – Produto, Preço, Ponto de Vendas e Promoção) que é a promoção do produto, um esforço persuasivo de comunicação a respeito da organização como forma de comunicação promocional comumente utilizada pelas empresas e organizações para se comunicarem com o seu mercado.

Entretanto, o que temos visto ultimamente é a utilização de ferramentas de promoção em massa que se contrapõe à venda pessoal, abusando excessivamente de envio de e-mails promocionais diários sobre o mesmo produto/serviço, ocasionando em um recebimento e envio de milhares de e-mails de divulgação para toda a parte do mundo.

A consequência imediata desse uso de divulgação em massa é o trânsito de milhares de mensagens virtuais trafegando na internet e muito desses e-mails acabam só fazendo volume desnecessários nas caixas postais dos destinatários, que nem sempre possuem o perfil do consumidor relacionado ao produto em questão.

Esses e-mails indesejáveis que acabam poluindo as caixas postais dos usuários são conhecidos como spam. Para uma empresa, é perda de tempo e produtividade ficar deletando esses spam pelos seus funcionários, que gastam minutos preciosos de produção para simplesmente limpar a sua caixa postal com mensagens virtuais promocionais. E o pior que o recebimento desse tipo de e-mail se repete todos os dias e se não tiver uma solução adequada, seria o mesmo que secar o gelo com toalha de papel.

Uma forma de minimizar esse impacto na organização, é fundamental que os profissionais de TI configurem em seus servidores de e-mail o uso do Real-Time Blackhole List, que são listas “negras” de IP (endereços ip de computador) gerados por organizações internacionais relacionando os computadores que geram spam na internet.

Cada órgão tem o seu critério para inserir ou remover da lista os endereços IP suspeitos de enviar spam pela internet. Quando queremos que o nosso servidor de e-mail, dentro da empresa, consulte uma dessas lista para verificar se o IP de origem é um spam conhecido, o servidor tem que está configurado para buscar o ip do servidor de origem na Blacklist (lista negra) informada nas configurações de nosso servidor corporativo. Caso esteja cadastrado, o seu servidor de e-mail irá ignorar a conexão e assim, sua caixa postal corporativa não receberá o tal temível spam.

Agora, se você quer utilizar uma outra forma de controlar o recebimento de spam (e que dá mais trabalho) é fazer com que, por padrão (default), o seu servidor de e-mail negue todas as conexões de servidores de origem e somente receberá o e-mail origem após o seu servidor de e-mail consultar uma Whitelist (lista branca) onde constará o IP dos servidores de e-mail de origem que não são conhecidos como spam.

Eu não aconselho utilizar a técnica do whitelist porque basta uma oportunidade do servidor “legítimo” que se encontra nesse tipo de lista branca enviar um spam para que a sua empresa receba o e-mail indesejável. Se você pesquisa em uma lista negra antes de receber um e-mail, é mais provável a recusa de um servidor que você nunca teve contato pois esse servidor de spam basta entrar na lista negra que automaticamente o seu servidor de e-mail começará a recurar o recebimento de e-mails dessa origem.

Já na lista branca, um servidor que antes não era classificado como spam e agora passa a ser, você como administrador de TI vai ter que retirar da lista branca manualmente para que impeça o recebimento de e-mails.

Portanto, a importância no uso de uma lista de consulta em tempo real de possíveis servidores como spam, torna o processo de recebimento de e-mails mais otimizado e diminui o risco das caixas postais corporativas ficarem repletas de mensagens indesejáveis. Claro que alguns desses e-mail vão ser entregues mas como sabemos, nada na informática é possível ter 100% de êxito.

Segue abaixo alguns exemplos de listas RBL para se configurar no seu servidor de e-mail:

Você também pode pesquisar manualmente se um determinado IP está em alguma lista negra. Acesse o link abaixo e digite o IP suspeito:

Até a próxima!

A Visão Corporativa da Segurança da Informação

Na sociedade contemporânea, ao mesmo tempo em que as informações são consideradas os principais patrimônios de uma organização, estão também sob o constante risco. A sua perda ou roubo constitui um prejuízo para a organização e é um fator decisivo na sua sobrevivência ou descontinuidade.

A informação é um recurso que não se deteriora nem se deprecia facilmente, é reutilizável e tem seu valor determinado exclusivamente pelo usuário. A informação só se perde quando se torna obsoleta, quando não há o devido cuidado, é um tipo de recurso útil às organizações e precisa ser administrado.

O propósito básico da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis, nos quais se inserem pessoas, materiais, equipamentos, tecnologia, dinheiro, cultura, além da própria informação. Esse conjunto tem que está alinhado aos objetivos da organização.

O que aconteceria se uma empresa perdesse todas as informações relativas aos seus clientes, fornecedores ou mesmo sobre os registros funcionais de seus empregados? As consequências seriam enormes, acarretando em prejuízos financeiros ou até mesmo, a descontinuidade do negócio.

Para garantir a segurança da informação de qualquer empresa, é necessário que haja normas e procedimentos claros, que deverão ser seguidos por todos os usuários da empresa. A maior dificuldade das grandes organizações é assegurar que todos os seus funcionários conheçam e sigam corretamente as normas e políticas de segurança, entendendo a sua importância.

A utilização de controles de segurança para garantir o adequado acesso aos programas, arquivos de dados, aplicações e acesso a rede deve ser rigorosamente tratada pelos gestores de todas as áreas da organização e, principalmente, pela alta administração. Não se pode deixar que os mecanismos de segurança fiquem sem um responsável pela coordenação e eventual responsabilização pelos eventuais incidentes de segurança que possam a vir ocorrer.

Quando se pensa em Segurança da Informação, a primeira ideia que vem em mente é a proteção da informação, não importando onde ela esteja. Um sistema computacional é considerado seguro se houver uma garantia de que é capaz de atuar exatamente como esperado.

Porém, a segurança é um conceito amplo. Espera-se que informação armazenada em um sistema computacional permaneça guardada sem que as pessoas tenham acesso ao seu conteúdo, ou seja, é a expectativa de qualquer usuário que as informações estejam em local adequado, disponíveis no momento desejado, que sejam confiáveis, corretas e permaneçam protegidas contra acessos indesejáveis.

Tem sido prática comum do mercado, as organizações passarem a considerar o ambiente externo, com suas oportunidades e ameaças assim como o ambiente interno, com as forças e fraquezas em relação à organização. Considerando todos os riscos possíveis, é necessário um planejamento estratégico de segurança para minimizar os impactos na organização.

Como resultado, estabelece-se estratégias de atuação de longo prazo que, para sua eficiente obtenção, devem ser divididos em objetivos de curto prazo e distribuídos em suas linhas de processos, como por exemplo, em desenvolvimento de sistemas, gerenciamento de operações e comunicações, segurança ambiente e física, continuidade de negócios dentre outros citados na ISO/IEC 27002 (antiga NBR ISO/IEC 17799).

Faz-se necessário realizar ações que mapeiem e identifiquem a situação atual na instituição, seja ela pública ou privada, suas ameaças, vulnerabilidades, riscos, sensibilidades e impactos, a fim de permitir o adequado dimensionamento e modelagem da solução.

O primeiro passo a ser observado é que não existe risco zero. O que existe são vários níveis de segurança e cada nível tem que está de acordo com a informação que se quer proteger e a natureza do negócio da empresa. Um alto nível de segurança pode gerar a perda da velocidade em função da burocratização de processos, insatisfação de clientes, fornecedores e até mesmo desinteresse dos investidores.

Em qualquer empresa, isso deveria ser levado literalmente ao pé da letra, mas não é o que acontece. Desprezam, ignoram, fazem corpo mole, adiam sempre para uma data que nunca chega, esperando assim até que um incidente um transtorno ou algo parecido que traga um impacto quase que irreversível, um verdadeiro choque para que enfim, enxerguem de verdade que segurança da informação não é uma despesa e sim um investimento obrigatório.

Fontes:

– SÊMOLA, M. Gestão da Segurança da Informação, Uma Visão Executiva. 7 ed. Rio de Janeiro: Elsevier, 2003

– FERREIRA, F. N. F.; ARAÚJO, M. T. Política da Segurança da Informação: Guia Prático para Elaboração e Implementação. 1. ed. Rio de Janeiro: Ciência Moderna, 2006.

A Influência da Tecnologia na Vida Profissional e Social

O mercado de trabalho na área de tecnologia está sempre em busca de profissionais de TI para suprir a demanda das empresas e algumas pesquisas indicam que sobram vagas e faltam pessoas especializadas para as oportunidades de trabalho.

Mas como justificar a sobra de vagas no mercado de trabalho se existem diversos profissionais de TI qualificados com graduação, especialização e até mesmo certificação em tecnologias específicas? Uma das respostas para essa situação no mercado pode está relacionado a uma palavra: comportamento.

Alguns sites de rede social profissional, como o LinkedIn, tem como objetivo que as pessoas criem sua rede (networking) profissional para ser um referência de trabalho no mercado. Desse modo, os profissionais podem ir em busca de oportunidade de emprego e apresentar o seu currículo no formato digital, bastando indicar o link de seu perfil profissional para que o empregador tenha como se embasar na decisão de contratar ou não o candidato ao cargo.

Entretanto, nada disso adianta se o profissional de TI que está em busca de oportunidades não tiver um comportamento adequado nas redes sociais. Não é de hoje que observamos pessoas perdendo emprego, sendo processadas ou até mesmo sendo hostilizadas na internet devido a um comentário ou uma opinião postada em uma rede social com cunho racista ou criminosa.

As empresas estão cada vez mais pesquisando na internet o perfil dos candidatos às vagas ofertadas para saber qual é o perfil de cada pretendente. E é nessa hora que os profissionais dão conta que as suas ações no passado nas redes sociais vão refletir no mercado de trabalho.

A nova geração, a conhecida “geração y” (os nascidos a partir da década de 90), está hoje mais preocupada em virar uma celebridade virtual e esses jovens fazem de tudo para ter o maior número de acessos em seus vídeos engraçados postados no youtube, mas não pensam que esse mesmo vídeo de hoje, pode ser o fator eliminador de uma futura vaga dentro de uma empresa.

É normal dentro das empresas, que em determinadas fases de um processo de contratação de novos funcionários, que os candidatos tenham a sua vida social consultada pelas redes sociais.

Entretanto, quem souber aproveitar, vai utilizar a tecnologia como uma ferramenta alavancadora para o seu sucesso profissional. A velocidade com que as informações são transmitidas, tecnologias sendo discutidas, legislação necessária para atender a demanda da sociedade… tudo isso são fontes enriquecedoras para criar formadores de opinião e não para criar artistas virtuais momentâneo.

Segue abaixo, um vídeo muito enriquecedor com um debate em uma mesa redonda sobre a influência da tecnologia na vida profissional e social:

A Influência da Tecnologia na Vida Profissional e Social – Parte 1

A Influência da Tecnologia na Vida Profissional e Social – Parte 2

Questões de TI: Você está preparado para ter um aumento de salário?

O setor de tecnologia da informação emprega milhares de profissionais que estão diariamente em contato com as mais diversas informações e tecnologia existente no mundo. A internet possibilitou encurtar a distância entre as empresas e os criadores de ideias tecnológicas com o consumidor final: o usuário de tecnologia.

A cada novo produto lançado no mercado, existe um batalhão de profissionais de marketing, vendas, suporte, desenvolvedores, enfim, um verdadeiro arsenal de profissionais capacitados para manter o negócio de uma empresa e levar um determinado produto/marca ao sucesso.

Esse reconhecimento do mercado para o sucesso de algo, tem muito a ver com a qualidade que foi concebido um serviço/produto. A dedicação das pessoas para concretizar a ideia primitiva no tempo de projeto, a perseverança em caminhar para o sucesso do produto ou serviço e não deixando que os obstáculos normais de linha de planejamento/produção possam abalar a credibilidade do resultado final.

O mercado de Tecnologia da Informação é uma área voraz, que a cada dia novas vagas vão surgindo na proporção que outros profissionais vão deixando as empresas. É uma ordem natural do mercado. O profissional de TI que “veste” a camisa da empresa, possui melhores condições de realizar o seu sucesso profissional na carreira, basta ser empenhado, procurar sair da sua linha de conforto e está aberto a novos desafios.

Em um mundo globalizado, é primordial ao profissional de TI ter conhecimento de outras línguas (pelo menos nível avançado), exceção de cargo de gerência e em empresas multinacionais, cujo o inglês fluente é quase que uma obrigação para ocupar a vaga.

Contudo, o profissional de TI que já possui alguns anos labutando na área de tecnologia, é normal pensar que em determinado momento precisa ter um aumento de salário. Não é justo ficar trabalhando na mesma empresa durante anos com o mesmo salário (não estamos considerando os aumentos referente ao dissídio coletivo anual) e não ser valorizado monetariamente.

Nesse caso, é preciso fazer algumas considerações para evitar que o funcionário fique desiludido com o mercado ou achar que a empresa o está menosprezando, o que na verdade, pode ser culpa exclusivamente dele mesmo. Afinal, quem não gostaria de trabalhar na mesma função, com as mesmas responsabilidades e ganhando um salário maior?

Um ponto crucial antes de ir bater na porta da sala do chefe e pedir aumento de salário, é preciso se perguntar: “O que estou trazendo de benefício para a empresa nesse momento? Estou realizando meramente a minha obrigação do dia a dia ou eu estou inovando nas atividades laborais que ultrapassam a minha obrigação profissional?”

Tem gente que acha que fazer as atividades previamente acordadas no contrato de trabalho desde a sua entrada na empresa até os dias atuais, já o qualifica para um aumento de salário pelo fato “tempo” de casa. Grande engano, as empresas se esforçam para reter os bons profissionais que possuem anos de trabalho na corporação, desde que sejam produtivos ainda.

Os bons profissionais, com visão privilegiada para o mercado de trabalho, vão se sobressair na equipe de profissionais de TI toda vez que der um retorno financeiro direto ou indireto para a empresa. Por exemplo, o funcionário que otimizou o código fonte do sistema ou do site que conseguir reduzir pela metade o tempo da operação de uma determinada rotina na empresa, gerando uma economia do custo para o cliente da empresa ou para a própria companhia.

Aqueles que são proativos e buscam novas formas de trabalho ou formas de rotinas otimizadas, serão os primeiros a receberem uma proposta de aumento de salário. Esses profissionais, quando realizam tarefas primordiais para a saúde econômica das empresas, podem bater na porta do chefe e dizer: “Estou preparado para novas responsabilidades e consequentemente, receber pelos novos desafios”.

Uma dica importante: saia de sua zona de conforto. Não espere o seu salário no final do mês achando que trabalhou o necessário e que deve receber pelo trabalho realizado conforme o combinado de suas tarefas. Seja audacioso, criativo, busque novos desafios…

O melhor profissional é aquele que promete resolver um desafio na empresa sem ao menor ter a ideia de como começar. O administrador da empresa quer é isso, pessoas com garra que só o compromisso de tentar, já lhe garante uma oportunidade de aumento de salário no futuro, principalmente se conseguir realizar o desafio.

Agora, se após tudo isso e bater na porta do chefe e não conseguir o tal aumento, você então tem um problema. Volte para o mercado de trabalho em busca de empresas que valorizam os proativos ou monte a sua própria empresa.

E você, está preparado para um aumento de salário?

Até a próxima!

Consequência da vida moderna: tudo é culpa do TI

Computador de última geração, notebook, smartphone, tablet... equipamentos modernos que atraem a sensação de prazer nas pessoas mais consumistas, quando falamos de novidades tecnológicas. Quem nunca teve um desejo de ter um equipamento moderno desde a data de seu lançamento no mercado?

Desse modo, percebemos a evolução de vários dispositivos eletrônicos que acabaram virando sucata em um curto espaço de tempo devido a novos lançamentos de produtos mais avançados e atraentes. Isso aconteceu com as extintas fitas K-7, VHS e outras mídias que não são mais utilizadas devido ao grande momento que estamos passando sobre tecnologia.

Hoje, você compra um equipamento que em pouco tempo já não é mais novidade e pior, a qualidade em torno de sua durabilidade está ficando a desejar. Antigamente, os fabricantes se preocupavam com a durabilidade dos produtos tecnológicos pois era importante no mercado uma certa qualidade do produto. Não que hoje os produtos não possuem qualidade mas a durabilidade dos equipamentos de hoje não são equivalentes aos fabricados no passado.

Não é a toa que as televisões de nossos avós, que foram fabricados no século passado, funcionam até os dias atuais. Quando compramos a nossa de LCD, Plasma ou LED, percebemos que dificilmente a televisão passará dos 5 anos de vida. Tudo culpa da tecnologia.

Mas o que isso tem a ver com a TI? Simples, quem já não recebeu uma reclamação no Setor de TI quando a energia na empresa simplesmente acaba? O primeiro setor que é acionado pela diretoria é o Setor de TI com a mesma pergunta de sempre: “o que aconteceu? Qual a previsão de retorno?”. Eu não entendo essa relação de energia com o TI (logicamente naquelas empresas que não tem um setor de elétrica, por exemplo, como um funcionário eletricista).

Ainda fosse só a energia, até que dava para levar mas com a evolução dos equipamentos eletrônicos temos até vinculação do funcionamento das televisões de Led na empresa com o Setor de TI. Se a televisão parar de funcionar, é aberto um chamado reclamando do funcionamento para o TI?! Eu fico pasmo com essa relação que tudo é problema do TI.

Nesses vários anos de mercado de TI, tive chamados abertos para resolver problemas em aparelho de telefone fixo, conserto de luz de emergência, tomadas de energia, rádio de comunicação, aparelho de celular, enfim, equipamentos longe de ser de competência tecnológica do profissional de TI. No máximo, um certo apoio para indicar quem ou para onde deve ser redirecionado esse atendimento que não é atividade fim do responsável por Tecnologia da Informação.

Entretanto, vejo esse pensamento de dependência do profissionais de TI em tudo que se relaciona tecnologia pois querendo ou não, os equipamentos modernos possuem tecnologia e com isso, o usuário (incluindo o chefe) vislumbra Tecnologia = Setor de TI, simples assim. É como se o TI fosse responsável por tudo na empresa.

O pior disso tudo é que o profissional de TI sofre duas vezes com essa teoria que tudo é culpa do TI. Se você termina o expediente de trabalho e quando chegar em casa o controle remoto do portão eletrônico, o ferro de passar, o chuveiro elétrico, a televisão ou se a máquina de lavar roupa não funcionar, adivinha a quem será atribuído a culpa? Ou pelo menos será a primeira pessoa a tentar consertar porque a(o) companheira(o) vai logo dizendo: oras, você não é de TI, então conserta?!!!

Até a próxima!

Segurança da Informação: a falha do TI em alterar dados do ERP com comandos SQL

As empresas brasileiras, diariamente processam milhões de bytes em informação com os mais variados tipos de dados a serem armazenados nos bancos de dados existentes nas corporações. São utilizados inúmeros aplicativos de informática para gerenciar esse contingente todo de dados que são importantes tanto para o empresário como para o governo.

O mercado está repleto de soluções tecnológicas para suprir a necessidade de se armazenar e gerenciar um conteúdo cada vez mais importante para as atividades empresariais e para tanto, necessita acompanhar a evolução tecnológica garantido a integridade e a confiabilidade de seus sistemas de computadores, transparecendo cuidado e zelo para os clientes e acionistas.

Profissionais de TI são contratados todos os dias para conseguir manter esse ritmo de backup, desenvolvimento de sistemas, análise de vulnerabilidade dos aplicativos e outras funções bem específicas envolvendo banco de dados. Não se imagina mais uma empresa controlando os seus lançamentos contábeis nos históricos “livro caixa” ou algo semelhante. É necessário o uso da informática.

Passamos todo o tempo escutando que devemos criar senhas seguras para evitar um acesso não autorizado nos sistemas e assim, manter as informações confidenciais longe das pessoas que não precisam ter um acesso às informações sigilosas e que possam realizar alguma ação que traga prejuízo para a empresa.

Observamos nas empresas que os softwares de gerenciamento de informação, os conhecidos ERP (Enterprise Resource Planning) que são os sistemas integrados de gestão empresarial, não é qualquer usuário que consegue entrar no software e muito menos tem permissão livre para fazer o que bem entender na plataforma corporativa.

Normalmente, o responsável pelo setor de TI possui uma conta de acesso com permissões mais permissivas que uma conta de um usuário de qualquer outro setor. Entretanto, para efeito da premissa de Segurança da Informação, o responsável de TI deveria ter uma conta de acesso como usuário e sem permissão de alteração, inserção e muito menos conseguir deletar qualquer informação no banco de dados, através do sistema.

Não é função do TI ser usuário do sistema ERP. Na verdade, e esse ponto é muito difícil para que os empresários tenham em mente, é que o TI não faz parte do grupo de pessoas que precisam trabalhar no ambiente do ERP. TI não é usuário de ERP. No máximo é o setor de apoio para a empresa, digamos: Setor de TI é SUPORTE!

Entretanto, cansei de observar grandes gestores da informática recebendo solicitação de departamentos internos na empresa para fazer um “favor” em determinados casos, facilitando a vida dos verdadeiros usuários do ERP. Isso deveria ser crime!

O motivo dessa opinião é que como já disse, o TI não é usuário do sistema, e sim, é apoio. Na segurança da informação, deve existir um mecanismo para identificar as mudanças que ocorrem no banco de dados tais como um log, que fica registrado qual o usuário que alterou uma informação no banco de dados, que dia, que horas, motivo e outras informações importantes para contribuir para uma possível auditoria no futuro.

Contudo, profissionais de TI gostam de demonstrar que tem o “poder” na mão e realizam a façanha de usar as aptidões de SQL (quando o banco de dados é possível ser alterado por sql) e realiza as devidas alterações dos dados conforme solicitação de terceiros. Dessa forma, essa mudança de informação diretamente no banco fere o princípio da inviolabilidade, confidencialidade, integridade e autenticidade.

Uma pergunta que é necessário fazer: qual o sentido de existir um login e uma senha para acesso ao ERP e que cada login tem as suas permissões estabelecidas para configurar o que o usuário pode ou não pode fazer dentro do sistemas corporativo se é mais fácil burlar essas regras pedindo ao setor de TI que faças as alterações cujo usuário comum não pode?

As informações gravadas no banco de dados não são de autoria do pessoal de TI. Eu disse autoria. Não se discute a responsabilidade para atender o princípio da disponibilidade. O que eu tento levantar é que, mesmo tendo um DBA na empresa, ele não altera as informações gravadas pelos usuários. No máximo ele cuida da manutenção do banco de dados, quanto a sua estrutura, índices das tabelas e um possível “roll back” quando ele mesmo erra um comando de manutenção no banco.

Se um DBA que é o especialista em banco de dados não deve alterar os dados inseridos no banco, qual a razão para que os meros mortais em tecnologia o devem fazer?

Nesse caso, eu simplesmente vejo que o sistema ERP não tem mais a segurança devida pois se o setor de TI pode alterar as informações gravadas no banco, como confiar que uma determinada informação foi registrada por um usuário e posteriormente não foi alterada?

Até a próxima!

A Fibra Óptica e a Formiga: uma relação proibida

Antigamente, no meados da década de 90, as conexões de rede nas universidades federais americanas tinham uma taxa de transferência entre os computadores em torno de alguns KB/s (Kilobyte por segundo) e para a época, era uma velocidade fantástica que atendia as necessidades do momento.

Atualmente, com o desenvolvimento da tecnologia e o surgimento da internet de forma comercial, observamos em algumas redes de computadores uma taxa de transferência de dados na casa dos GB/s (Gigabyte por segundo) e até em TB/s (Terabyte por segundo), o que não me surpreende pois a tendência é termos uma rede com grande capacidade de transferência de dados a cada dia que se passa.

O mercado disponibiliza uma enorme gama de equipamentos e ativos de rede para proporcionar uma melhor qualidade no sinal dos dados transmitidos e recebidos, permitindo uma performance considerável e trazendo inúmeros benefícios com um custo aceitável.

Dependendo da tecnologia empregada, pode-se usar os cabos UTP de categoria 6 para distâncias curtas (conforme recomendação técnica para cabeamento estruturado) que não ultrapassem 100 metros entre os ativos de rede pois distâncias acima desse patamar, não existe a garantia da qualidade do sinal. Para locais mais distantes, a opção é utilizar os cabos de fibra óptica, que podem levar o sinal de rede por quilômetros de distância.

Não vou entrar no mérito se a melhor fibra é a do tipo monomodo ou multimodo, apenas retratar que podemos usar a infraestrutura desejável conforme as condições do ambiente e do poder de investimento que a empresa pode realizar, sendo esses fatores os determinantes na escolha da tecnologia utilizada.

Uma situação, em especial, eu tive o prazer (nesse caso o desprazer) de ter contato com um caso muito interessante que quase nenhum profissional de TI imagina que um dia possa acontecer. Normalmente, lançamos a fibra óptica de um ponto a outro, dentro das respectivas canaletas, calhas, conduítes e qualquer outro tipo de meio para suportar a fibra óptica e após as devidas fusões na fibra, o backbone entre ativos de rede vai funcionar perfeitamente.

Entretanto, para minha surpresa, recebi um chamado do pessoal da Guarda Patrimonial Portuária informando que 10 câmeras IP de CFTV tinham parado de funcionar misteriosamente, sem nenhum fator aparente. Analisando o software de monitoramento, a equipe de analistas de suporte já tinha detectado a queda do sinal dessas câmeras e já estavam acionando a equipe de elétrica quando a guarda entrou em contato com o setor de tecnologia.

Entrei no “circuito” para checar o que estava acontecendo e o pessoal da elétrica informou que as câmeras no local estavam ligadas, com o led acesso de cada uma delas que indicava que as câmeras IP estavam sendo energizadas normalmente com a voltagem apropriada. Deduzi então, problema era de dados mesmo.

Equipe de analistas de suporte em campo, passaram a abrir e fechar backbones, trocar fontes de alimentação dos conversores de fibra para cabos UTP, patch cords de fibra e nada das câmeras funcionarem. Resolvi sair do escritório e analisar mais de perto a situação para verificar se não houve uma falha de procedimento na verificação das possíveis causas de interrupção de sinal, conforme previsto no plano de recuperação de desastres.

Parecia tudo normal, switchs ligados, conversores de fibra ligados, UTP respondendo até que me veio na mente, verificar um DIO (distribuidor interno óptico) que fica em uma torre de 15 metros de altura que interliga o switch das câmeras com o switch do primeiro backbone da área. Com a cara e coragem, subi na torre e abri o armário de distribuição e verifiquei que o switch está ligado com as portas funcionando.

Faltava ter a certeza se a fibra que interliga o switch ao backbone da área estava funcionando. Mas como testar encima de uma torre tão alta. Ao pensar em como realizar tal teste, observei que dentro do armário, existiam algumas formigas andando pelo ambiente e nem imaginei que elas poderiam ser as culpadas pela situação. Até o momento em que precisei levantar o distribuidor óptico para ter acesso a tomada de energia para reiniciar o switch.

Parecia um ambiente de guerra. Nesse momento, dezenas de formigas começaram a sair de dentro do DIO e tomei um susto com a situação. Nunca tinha visto formiga aos montes saírem disparadas de dentro de um distribuidor óptico, muito menos daquele jeito, Tive que esperar uns 10 minutos para que a rebelião de formigas saísse de dentro do DIO e resolvi abrir o distribuidor para verificar a situação.

Bingo! Achei o problema de queda de sinal de um perímetro do CFTV. As formigas fizeram um ninho dentro do distribuidor óptico e resolveram se “alimentar” da fibra óptica. Tudo parecia está propício para a criação do ninho: ambiente quente, fechado e dentro do DIO tem espuma que traz conforto para as formigas.

Resultado: 3 pares de fibra rompido e meio dia de trabalho de fusão. Além da conta no final do dia sobre a fusão e deslocamento de equipe de manutenção, tem o tempo sem registro das imagens enquanto o perímetro estava descoberto com a falta de sinal da CFTV.

Contudo, depois disso tudo, uma conclusão: a fibra óptica e a formiga definitivamente é uma relação proibida!

Até a próxima!

Como um administrador de redes pode monitorar o tráfego dentro de um switch gerenciável?

A informação é uma matéria-prima lapidada que se bem empregada, pode gerar um determinado conhecimento. O conhecimento gera uma perspectiva positiva ou negativa, dependendo de quem a possua. É como a eletricidade, ela pode servir para o bem ou para o mal. Ela pode dar a luz ou também pode matar, vai depender de como será utilizada. Se para o bem, servirá para iluminar os locais escuros. Para o mal, será utilizada para eletrocutar e matar alguém com choques intermináveis, como se fosse uma sessão de tortura de guerra.

Dentro de uma ambiente corporativo, existem diversos assuntos que são tratados utilizando a rede de computadores para que as informações sejam enviadas e recebidas pelas pessoas, transformando em conhecimento. Geralmente, a maior parte do conhecimento produzido em um ambiente de trabalho, tem como o objetivo as tarefas inerentes a cada função dentro da corporação, sejam elas meramente operacionais ou de cunho gerencial.

Entretanto, não é de se surpreender que determinadas informações acabam sendo trocadas entre funcionários ou pessoas desconhecidas fora do ambiente da empresa e que não deveriam ser divulgadas por se tratarem de informações sigilosas. É muito importante para as empresas terem um certo controle nas informações geradas fruto do trabalho de seus funcionários principalmente quando se trata de negócios novos ou produtos em lançamento. Basta um descuido e o protótipo é enviado ao concorrente por alguns milhares de dólares e pronto, o estrago está feito.

Quando se desconfia de algum funcionário ou determinado setor, a empresa possuindo dentro de suas políticas de segurança, com o devido conhecimento do funcionário quando ele entra para o cargo concorrido, que os computadores e e-mail podem ser monitorados, é ora do empresário agir e contar com o conhecimento técnico de seu responsável de TI para evitar prejuízos maiores a companhia. Resumindo: monitoramento.

O switch possui um papel fundamental dentro de uma rede de computadores e melhor ainda se ele for do tipo gerenciável. Esse recurso possibilita ao administrador da rede realizar um monitoramento do tráfego gerado em determinadas portas e verificar o que se passa dentro da infraestrutura de dados, que passa dentro do switch.

Com o devido acesso dentro do switch, basta ir nas configurações de porta onde tem a opção de criar “mirror”. Essa opção, você irá “copiar” o tráfego de uma determinada porta que será o alvo de monitoramento e fazer um espelho, que é o mirror, para a porta onde o seu notebook ou computador desktop está conectado no switch. Após criar o mirror, execute em sua máquina um programa de monitoramento de rede (como o wireshark, por exemplo) e capture os pacotes de dados por um determinado tempo, a fim de verificar posteriormente os dados que foram trafegados na porta alvo ou verifique em tempo real, adicionando determinados filtros no programa de monitoramento para saber se as suas suspeitas vão se concretizar.

É importante observar que nada adianta capturar os pacotes de dados se o profissional de TI não sabe analisar os dados capturados. É como procurar uma coisa que não sabe o que é. Nessa hora, é importante o conhecimento técnico e dedicado, que um pacote de dados mal analisado pode fazer toda a diferença no resultado.

Desse modo, não coloque meramente no seu currículo que você tem experiência em roteamento, firewall e segurança da informação, quando na verdade, você nem sabe qual a diferença entre pacotes TCP e UDP.

Até a próxima!

A tecnologia como uma aliada nas manifestações pelas cidades do Brasil

O Brasil, há 20 anos atrás, perdia o seu primeiro presidente do Brasil após o regime militar, pelo processo de impeachment de Fernando Collor. Era uma época em que o povo também se manifestava com a insatisfação do caminho político que o nosso país estava indo. Essa força humana, que se tornou unânime em todo o Brasil, teve o seu desfecho: a queda do presidente.

A diferença da manifestação do povo daquela época para os dias atuais que estamos vivendo é que antes, nascia os chamados “cara-pintada”, grupo de estudantes e jovens que foram na rua após um pedido do então presidente da república, Fernando Collor, que solicitou que todos fossem para rua com um lenço branco para mostrar lealdade ao presidente da nação brasileira.

O que vimos foi uma verdadeira ação contrária, o povo lutando contra a roubalheira, a corrupção e bastou um chamado na televisão para que os brasileiros se manifestassem contra o gestor nacional de nosso país.

Atualmente, as manifestações contam com vários aliados tecnológicos e que permitem uma melhor organização nos protestos e assim, gerar uma comoção nacional de amplitude até então ignorada pelos políticos. Temos as redes sociais, os torpedos de celulares, GPS e outros recursos tecnológicos que proporcionam uma verdadeira manifestação em potencial, articulando grupos de manifestantes e projetando a forma de como tudo vai acontecer nas ruas pelas cidades brasileiras.

Os políticos estão percebendo que o povo não está mais aguentando a forma como o nosso país está resolvendo as pendências sociais. A tecnologia existe e é utilizada para aumentar o efetivo de insatisfeitos que demonstram a sua raiva e insatisfação com os políticos e conseguem se organizar no mundo virtual para ter consequência no mundo real.

Essa é a nossa realidade, dessa geração que nasceu com a internet no berço. A expressão bem conhecida pela população faz jus ao seu sentido: “O povo unido, jamais será vencido!”. Com a tecnologia, essa consequência ultrapassa barreiras e chega ao noticiário dos países desenvolvidos. Estamos estampados nas capas dos principais jornais do mundo. A tecnologia nos ajuda a demonstrar que estamos insatisfeitos com a política brasileira.

A internet é uma grande aliada nesse processo democrático pois viabiliza a nossa manifestação em tempo real para todo o mundo. E já estamos colhendo os frutos dessa organização do povo. As consequências são inevitáveis. O preço das passagens de ônibus voltaram a patamares menores e outras medidas ainda virão a acontecer. Pois essa demonstração de manifestação é mais que o preço da passagem que teve um aumento no seu preço mas a qualidade do serviço prestado continua ruim. Não há uma coerência entre o que se paga e o que se tem de contraparte.

O que se via até então, era pessoas insatisfeitas que se expressavam em pequenos grupos nas redes sociais contra a política brasileira. Mas hoje, a população “acordou” e utilizou a mesma rede social que usavam para reclamar e planejaram algo novo, um protesto nacional com força e vigor.

Contudo, espero que a partir de agora, os políticos percebam a máxima da lei da física que não mente: “Toda ação gera uma reação”. Tem que ser com muita cautela qualquer tipo de ação realizado pelo poder público pois agora, sem medo de errar, basta uma ação errada do governo para o povo voltar as ruas e protestar novamente.

Para frente Brasil!

Até a próxima!