Sobre o H2HC 2008
Hackers To Hackers Conference (H2HC) é uma conferência organizada por pessoas que trabalham ou que estão diretamente envolvidas com pesquisas e desenvolvimento na área de segurança da informação, cujo principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação entre os participantes e também entre as empresas envolvidas no evento. O site do evento pode ser acessado em http://www.h2hc.org.br.

Sobre a Conviso IT Security
O fundamental papel que a tecnologia assumiu em nossa sociedade gera novos desafios para os profissionais que buscam manter a confidencialidade, integridade e disponibilidade dos dados e informações dentro de níveis aceitáveis. A Conviso IT Security tem como objetivo contribuir neste cenário, atuando como fornecedora de serviços de análise de vulnerabilidades e adequação de segurança para os componentes da infra-estrutura de TI.

O Flickr é um dos mais populares sistemas de publicação e compartilhamento de fotos da Internet. Agora estamos lá, onde iremos mostrar imagens curiosas e interessantes dos lugares onde desenvolvemos nossas atividades, e cidades pelo Brasil e mundo onde nossos projetos são conduzidos. Dê uma olhada em http://www.flickr.com/photos/conviso_it_security/.

Enquanto isso, empresas de renome continuam indo na contramão desta tendência e compartilhando suas descobertas. A Fortify mantém um enorme repositório disponível na Internet, o iDefense Labs segue a mesma linha, e o OWASP publica cada vez mais informações e recursos que podem ser acessados pela comunidade para o incremento geral do nível de proteção dos componentes técnicos.

Se você está preocupado em como a sua empresa trata este tipo de assunto, recomendamos ler a descrição do Conviso Security Training, onde a nossa equipe capacita o seu pessoal na inclusão de processos de segurança no desenvolvimento de aplicações, o que é claro, inclui componentes web.

Dados de 41 mil pessoas vazam na internet

Os dados dos mais de 41 mil entrevistados da firma de pesquisa de mercado TNS Infratest/Emnid estavam acessíveis através de uma URL simples. A falha, embora não seja a primeira do tipo, se trata de um erro de segurança banal, normalmente cometido por programadores principiantes.

Além dos dados citados acima, também podiam ser visualizados datas de nascimento, endereços de email e números de telefone e, até mesmo, dados mais críticos como números de cartões de crédito e informações bancárias. A falha chegava a expor informações muito pessoais e potencialmente perigosas como o número de crianças na casa e eletrodomésticos utilizados na residência. Segundo o site Chaos Computer Club é possível encontrar, com um pouco de "garimpo", informações ainda mais sigilosas.

Os 41 mil registros "pescados" pelo Chaos Computer Club foram obtidos com um simples script em linguagem Python. Não foi preciso "hackear" nem invadir o site da TNS Infratest/Emnid, bastando apenas manipular a URL. Basicamente, o endereço de cadasto de cada pesquisado no site se parecia com o seguinte: www.report-global.com/blablabla/data.aspx?id=11XXXX. O campo "id" na URL é, exatamente, o número de cadastro de cada entrevistado. Basta alterar manualmente esse valor para ter acesso irrestrito e sem precisar de senhas aos dados dos outros entrevistados. O site Wired Security considerou a falha, pelo seu amadorismo, "chocante e estúpida". A descrição do procedimento (em alemão) pode ser obtida aqui.

Dirk Engling, porta-voz do Chaos Computer Club, afirma que é um caso absurdo de negligência e um erro de iniciantes em desenvolvimento de software. Ele ainda afirma que o mínimo que a companhia se deve prestar a fazer é comunicar os entrevistados sobre o vazamento das informações. Finalizando, alerta que é hora de se atentar para as políticas de segurança na manipulação de dados tão sensíveis.

A notícia foi divulgada também no site Slashdot.org e no portal alemão All About Security. Embora preocupante, o caso, reportado na última sexta-feira, não é único. Recentemente as empresas alemãs German Telecom e Meldeämtern também apresentaram ocorrências de informações vazadas na rede, bem como muitas outras em inúmeros países.

Copenhagen, 04 de julho de 2008 – A Conviso anuncia a assinatura de um contrato de parceria com a FortConsult, empresa dinamarquesa líder no mercado de IT Security para o mercado escandinavo. As empresas, que atuavam em um modelo de cooperação comercial mútua desde dezembro de 2007, assinaram nesta data em Copenhague um contrato de sociedade firmado entre Eduardo Vianna de Camargo Neves, Gerente de Operações da Conviso, e Ulf Munkedal, CEO da FortConsult.

A FortConsult passa a ser sócia da Conviso, resultando em duas grandes mudanças para as empresas:

• A Conviso passa a representar a FortConsult no mercado latino-americano, ficando responsável por atender diretamente clientes em serviços de consultoria para IT Security e em ações para atendimento de compliance com o padrão Payment Card Industry Data Security Standard (PCI DSS).
• A FortConsult passa a contar com a experiência e especialização da Conviso na prestação de serviços para o mercado europeu, onde profissionais brasileiros irão desenvolver diversos serviços à partir dos escritórios de Curitiba e São Paulo para clientes do mercado europeu.
  

O início das atividades resultantes desta sociedade irão começar no dia 08 de julho de 2008, quando a Conviso irá executar um road show na Lituânia e Letônia apresentando os produtos das empresas para clientes do mercado financeiro na região.

Sobre a Conviso
Atuando como fornecedora de serviços de análise de vulnerabilidades e adequação de segurança para os componentes da infra-estrutura de TI, a conviso tem em seu corpo gerencial profissionais com mais de 10 anos de experiência no mercado de Segurança da Informação, acumulando experiências nos mercados latino-americano, norte-americano e europeu como consultores, auditores e gestores em multinacionais de segmentos altamente regulamentados.

Sobre a FortConsult
A FortConsult é especializada em serviços técnicos no campo de Segurança da Informação, atuando desde 2002 no mercado europeu, com um crescimento intenso e sustentável, sendo considerada pelo jornal de negócios Børsen como uma das melhores empresas de Segurança da Informação nos Países Escandinavos.
 

A Conviso investe na disseminação do conhecimento em Segurança da Informação. Esta prática é saudável por criar um ambiente mais seguro, onde empresas, clientes e a sociedade ganham da mesma forma.

Além de participarmos ativamente da ISSA e OWASP, mantemos este novo espaço em nosso web site para publicar artigos e white papers inéditos relacionados à Segurança Técnica.

Durante muito tempo a única pesquisa de referência em Segurança da Informação era o documento anual “Computer Crime and Security Survey” publicado em conjunto pelo Computer Security Institute e o FBI desde 1997. Nos cinco primeiro anos, em média 48% dos eventos relacionados à falhas de segurança foram atribuídos ao “inimigo interno”, funcionários que causavam problemas por desconhecimento, abuso de privilégios e mesmo por pura vontade de prejudicar suas organizações.

Nos anos seguintes, este percentual não variou muito e boa parte do mercado assumiu uma unanimidade: o grande culpado pelas falhas de segurança é o funcionário. Houve então um direcionamento para o desenvolvimento e enforcement de políticas de segurança, sessões de treinamento e capacitação, adoção de ferramentas automatizadas e uma série de outros processos que tiveram o seu papel em criar ambientes mais seguro. Só foi esquecido de combinar isso com os crackers.

O que eu vi em muitos lugares foi um completo esquecimento da base da segurança, a adoção de processos seguros no planejamento dos sistemas, desenvolvimento de aplicações, instalação de componentes e claro, na manutenção de tudo isto em cenários onde a velocidade do mercado acaba atropelando a forma como os sistemas automatizados suportam os processos de negócio. Investiu-se muito em gestão de riscos e quase nada em práticas mais simples e bastante eficazes.

O resultado está bem claro no relatório 2008 Data Breach Investigations Report, publicado pela Verizon Business. Em mais de 500 casos investigados pela empresa, 75% dos vazamentos de dados foram executados por ameaças externas em múltiplas combinações de eventos, mas com um dado impressionante: 90% das vulnerabilidades exploradas com sucesso por estes ataques, tinham correções disponíveis pelo menos seis meses antes do problema ocorrer.
Continuando nos percentuais apresentados, 87% dos problemas poderiam ter sido evitados com a adoção de controles de segurança adequados, uma vez que a maioria dos ataques foram oportunistas e utilizaram brechas existentes nos sistemas para acessar dados que estavam em locais inadequados. Em uma primeira análise, parece que as empresas estudadas pela Verizon Business eram extremamente amadoras, mas não é bem assim.

É necessário mudar a postura

É fundamental entender e aceitar que a segurança ainda não é uma prioridade para as empresas, e infelizmente este quadro parece nunca mudar. Quantos projetos não tem as práticas de proteção preventiva cortadas durante o planejamento por serem consideradas dinheiro perdido ou acréscimo de tempo desnecessário? Quantos gerentes de TI não se submeteram a uma ordem expressa para alterar uma base de dados sem passar pelo processo de Change Management porque o produto “tem que estar na rua hoje”?

Este é o cenário da maioria das organizações, e por mais que as pesquisas mostrem, parece que é mais fácil culpar a “mão invisível do cracker” ou trocar a equipe “incompetente” que deixou isso acontecer. Que não existe segurança absoluta é óbvio, mas deixar de seguir um plano mínimo de proteção dos dados e aceitar falhas de segurança que poderiam ter sido evitadas em 90% dos casos com um processo simples e de baixo custo beira a irresponsabilidade.

Navegando um pouco mais no relatório, são apresentados dados sobre a causa de 57% dos problemas: os parceiros de negócio com suas conexões à empresa atacada e seus componentes que não seguiam critérios adequados de proteção. Possivelmente ocorreram problemas similares a coisas que já vi como rotina em alguns lugares, uma conexão direta entre as redes de duas empresas – por fora do firewall – porque era necessário “suportar o negócio e ia levar muito tempo pedir a abertura de uma porta”.

As recomendações de melhoria do relatório não fogem do que sempre recomendamos a nossos clientes como boas práticas de segurança técnica, mas que de nada adiantam sem uma mudança de postura em relação à segurança, que tomei a liberdade de incluir em meus comentários para cada tópico sugerido.

Alinhamento de Processos e Políticas

O relatório aponta que em 59% dos casos, a organização vitimada contava com uma Política de Segurança estabelecida, mas que não era efetivamente cumprida. Neste caso, não existe solução técnica completa, pois processos e aplicações de enforcement estão sujeitos a erros e omissões. O que eu recomendo é que a política seja revista e modificada para equilibrar as necessidades de negócio da organização com suas premissas de proteção. Depois disso, é implementar os procedimentos e manter um processo de monitoramento ativo, o que é abordado mais adiante.

Primeiro o essencial e depois o ótimo

De todas as recomendações, eu achei essa a melhor de todas. Como 83% das brechas foram exploradas em processos de baixa e média dificuldade, e 85% dos ataques foram oportunistas, fica claro que faltou completar a lição de casa. Voltando a um tema que abordei em um artigo sobre malware, existem guias de configuração segura disponíveis em várias fontes confiáveis na Internet.

Basta fazer o download, ler, usar e continuar usando. O problema que vejo com mais frequência é uma boa implementação desta prática e uma péssima manutenção, o que deixa o ambiente vulnerável novamente em pouco tempo. Recomendo que a implementação seja feita uma parte da equipe e pessoas diferentes fiquem responsáveis por analisar com frequência se as configurações estão sendo mantidas como esperado.

Proteger as conexões com parceiros de negócio

Como 39% das falhas foram originadas nesta fonte, a recomendação é simples: aumentar a proteção em conexões com parceiros de negócio, o que pode ser feito dentro e fora do seu ambiente. Além de manter controles lógicos nestas conexões (ex. Firewall e IDS), é recomendado que os parceiros de negócio sejam periodicamente auditados para garantir o cumprimento de práticas mínimas de segurança em seus ambientes. Isso não é aceito com muita simpatia por algumas empresas, mas se existe um negócio em conjunto, a proteção deve seguir este mesmo conceito, pois as perdas também poderão atingir ambos os lados.

Criar um Plano de Retenção de Dados

Como 60% das brechas envolveram dados que a vítima não sabia que estava no sistema, a recomendação de criar um processo de retenção de dados (na minha opinião, classificação de informação) é fundamental. Este tópico pode ficar bastante complicado, mas existem processos simples que podem ser utilizados para caminhar nesta direção de forma eficaz:

• Classificar as informações em importante para o negócio e descartável. Claro que é simplista e depois pode evoluir para o confidencial/restrito/público ou algo assim, mas lembre-se da segunda recomendação: primeiro o essencial e depois o ótimo.
• Restringir o fluxo de dados, como é recomendado no PCI DSS, pois você consegue estabelecer um modelo de proteção eficiente e com uma excelente relação custo benefício. Em termos práticos, se uma informação tem que estar no ERP da sua empresa, impeça seus usuários de manter planilhas com uma cópia de tudo “porque é mais fácil”.
• Quando a informação tiver que ser descartada, tenha certeza de que isto ocorra. Use ferramentas de degaussing para limpar dados de computadores que estão na sua empresa e os que são descartados, lembre-se que boa parte das notícias de vazamento de dados nos EUA incluem notebooks e hard disks usados e uma  venda no E-Bay.

Monitorar os Logs de Eventos

De acordo com o relatório, 82% das brechas podiam ser identificadas pelas empresas antes de acontecerem. Claro que revisar logs de eventos é uma tarefa chata e que beira a insanidade, mas existem ferramentas de IDS e IPS que podem dar uma boa ajuda neste processo. Porém, instalar e deixar rodando é algo que vejo acontecer e dá a velha sensação de segurança que não existe, as ferramentas devem ser administradas por pessoas capacitadas e dedicadas a tarefa.

Além disso, é fundamental criar um plano de resposta a incidentes como complemento, mais uma recomendação do relatório. Este processo permite que a empresa não só identifique possíveis tentativas de acesso não autorizado e vazamento de informações, como também define que ações devem ser tomadas em cada caso. Isto inclui o relacionamento interno e externo, tal como o contato com a política, advogados e outros profissionais especializados que devem ser acionados.

Conclusão

Trabalhar com estes processos é parte comum de qualquer conjunto de boas práticas em Segurança da Informação, mas os resultados do relatório deixam claro que a situação em algumas empresas não é esta. Tratar as práticas de segurança como um gargalo, um problema com que se deve conviver ou algo que se faz para agradar os auditores, é uma abordagem ingênua e irresponsável desde que os computadores começaram a suportar os processos de negócio.

É fundamental ter uma mudança de postura e entender que a segurança é mais um processo que suporta o seu negócio, e deve ser tratado como tal. Os processos recomendados pelo relatório não são complicados e podem custar muito menos do que você imagina. Como faria em qualquer análise, que tal olhar o custo x benefício de um vazamento de informações contra estabelecer a segurança como parte do seu dia-a-dia?

A Microsoft liberou esta semana ferramentas para combater ataques por injeção de SQL em web sites.

Recentemente, atacantes invadiram sites legítimos que usam o SQL da Microsoft e injetaram nas páginas códigos maliciosos em JavaScript. Esses códigos redirecionam o browser para servidores que abrigam programas nocivos e infectam a máquina do visitante.

Voltada para desenvolvedores web, as novas ferramentas são gratuitas e objetivam prevenir esse tipo de ataque. São três aplicações. A primeira é HP Scrawlr. Desenvolvida pela HP, identifica se o site é suscetível a injeção de SQL.

Outro produto é o URL Scan 3.0 Beta, da própria Microsoft, que tem a função de defesa. O URL Scan restringe os tipos de requisições HTTP que o servidor IIS processa. O produto pode ser instalado no IIS 5.1 e versões posteriores.

Por fim, vem o Source Code Analyzer for SQL Injection, ferramenta também assinada pela Microsoft. Seu objetivo é detectar códigos ASP e ASP.net vulneráveis a ataques de injeção de SQL. Detalhes técnicos sobre os três produtos encontram-se no boletim de segurança 954462, de 24 de junho de 2008.

Já tem algumas semanas que uma notícia curiosa foi publicada em vários meios de comunicação: o juiz Mário Jambo, da 2ª Vara Criminal da Justiça Federal do Rio Grande do Norte, concedeu habeas corpus a três crackers presos pela Polícia Federal.  A liberdade provisória determina que eles leiam obras clássicas, façam um resumo para cada livro, se matriculem e freqüentem assiduamente uma escola, além de estarem proibidos de usar computadores.

Não consegui encontrar dados suficientes para entender porque o juiz em questão tomou uma decisão tão curiosa, que me parece bastante adequada para adolescentes que foram pegos fazendo alguma bobagem. Tendo em vista que eles foram presos durante a Operação Colossus, cujo objetivo era desarticular uma quadrilha especializada em furto de senhas de correntistas de bancos e falsificação de cartões de crédito, a decisão me parece mais irresponsável do que curiosa.

Prefiro pensar que o juiz em questão não estava bem informado sobre o impacto que o malware tem causado para a sociedade e como a motivação criminosa há muito já substituiu a pura curiosidade intelectual de quem pratica estes atos. Afirmo isto com base em várias pesquisas que circularam recentemente, tais como o Boletim de Segurança 2007 da Kaspersky Lab (www.kaspersky.com) e os documentos publicados pelo Panda Labs (www.pandalabs.com).  Ambos são unânimes em demonstrar que essa tendência ganhou força em 2007 e não parece mudar nos próximos anos. O motivador dos eventos que envolvem quebra de segurança é o mesmo: cibercrime.

O volume das perdas

Os números são bastante relevantes. Além dos resultados da 12th Computer Crime and Security Survey publicada este ano pelo CSI (www.gocsi.com) mostrarem que a perda média anual das empresas participantes com cibercrime passou de US$ 168 mil para mais de US$ 350 mil, somente nos EUA as projeções para 2007 passam de US$ 105 bilhões. O grande problema de se calcular com mais precisão o quanto é perdido com o cybercrime está na capilarização dos ataques e na grande diferença utilizada pelas autoridades para calcular a estatística referente. Mas que é um valor elevado e que cresce anualmente, isto é um fato.

A pesquisa do CSI fala em um total de quase US$ 67 milhões, e eu não consegui achar em nenhum lugar o volume de perdas colaterais. Mas imagine o custo envolvido somente em duas situações comuns à maioria das pessoas que usam a Internet como canal de acesso a serviços e produtos:

• Se você vai comprar um produto em uma loja on-line, que passa por um risk assessment regular, têm ferramentas de segurança implementadas e uma equipe de resposta a incidentes, quem será que vai pagar este custo?
• Sua conta bancária está protegida por criptografia em vários sistemas, o acesso ao Internet Banking requer um cartão de códigos variáveis, no back office existem processos de Intrusion Detection Systems, quem será que vai pagar este custo?

Como você já deve ter imaginado, o custo com a proteção é repassada para o cliente, assim como a alta do trigo aumentou o preço do pão que você come no café da manhã. Este custo, caro leitor, é impossível de ser calculado e certamente ultrapassa em muito os valores estimados pelas pesquisas disponíveis. No final das contas, a verdade é que o aumento do malware e o direcionamento para o cibercrime incrementa a demanda por proteção, onera as empresas e este custo passa a fazer parte da composição de preços de vários segmentos. E como podemos reduzir o impacto deste problema em nossos bolsos?

A solução é uma responsabilidade direcionada para a Área de Segurança da Informação?

De forma alguma. O aumento dos casos, abrangência dos ataques e interesse criminoso é uma evolução natural do mercado, uma vez que o e-commerce e outros setores que fazem uso intenso de tecnologia crescem a taxas incríveis, e dois componentes se mantêm: empresas que não consideram segurança como parte dos seus negócios e profissionais que desconhecem as boas práticas em suas atividades.

Falando das empresas, minha experiência de mais de 10 anos no mundo corporativo mostrou uma coisa: as empresas estão interessadas em resultados imediatos e em como isto pode reverter em benefício delas. Até aí, nada demais, pura lei da sobrevivência. O problema é que até hoje a segurança é vista como um gargalo nos projetos de TI, e dificilmente como parte integrante do processo. Sempre que existe um custo ou um esforço da equipe em implementar os processos de segurança em um projeto, a cara feia do gerente de projeto e a reação imediata de tentar reduzir ambos, mostra que o desconhecimento ainda é uma constante.

Se onde você trabalha não é assim, parabéns, a sua empresa é uma das poucas que já estão com um nível de conscientização elevado, mas levando em consideração a pesquisa do CSO no mercado norte-americano (com o qual o nosso regula bastante), onde menos de 1% das empresas participantes vão investir mais do que 22% do orçamento em segurança em  conscientização, esta encrenca está longe de terminar.

Da parte dos profissionais, além do resultado citado no parágrafo anterior também incluí-los, existe uma resistência incrível em adotar processos simples de segurança por parte das pessoas. E pelo que está apresentado no relatório Gartner's Top Predictions for IT Organizations and Users, 2008 and Beyond: Going Green and Self-Healing, isto vai piorar se não tomarmos uma attitude agora.
De acordo com este documento, as empresas estão tomando suas decisões relacionadas a estratégia de TI cada vez mais com base no que os consumidores – ou clientes – querem.

E como boa parte dos CEOs e CIOs tomam decisões com base em documentos deste tipo, a recomendação do Gartner de “Estabelecer iniciativas de comunicação e colaboração entre os usuários e os tomadores de decisão em TI quando selecionarem novas tecnologias e serviços” deve ser entendida como um motivador para mudar a postura, e mudar agora.

Quanto custa combater o malware?

Além dos passos básicos de instalar ferramentas de segurança adequadas a cada ambiente – muitas das quais Open Source e de excelente qualidade – existem documentos públicos que devem ser usados por qualquer empresa como parte de seus processos de negócio, e não de TI ou Segurança da Informação.

O Open Web Application Security Project (www.owasp.org) é um excelente começo. São projetos, ferramentas e guias de implementação que estão disponíveis a distância de um clique de mouse. O OWASP Top 10 mostra as vulnerabilidades mais comuns em web site, e para cada, mostra como o processo de proteção deve ser conduzido. Ferramentas aplicáveis a qualquer ambiente que tenha frameworks baseados em J2EE, .NET, LAMP, Cold Fusion, Struts, Web Services, IIS, WebSphere, WebLogic ou Tomcat têm guias de proteção já publicados e podem ser usadas por pessoas que tenham conhecimento técnico das tecnologias, e não necessariamente de segurança.

E se o problema for na parte processual, o NIST (http://csrc.nist.gov) tem disponíveis mais de 100 documentos que cobrem desde a configuração de servidores até o estabelecimento de um programa de métricas. Basta ler e usar as instruções, que uma vez colocadas podem ser gerenciadas através de metodologias também disponíveis ... de graça.

Se o problema é a língua, você deve aprender inglês rapidamente, porque a maioria absoluta dos recursos está neste idioma. Mas no Brasil temos boas iniciativas também, que tal começar lendo o material publicado pelo CERT.BR (www.cert.br)? Lá você irá encontrar listas de ferramentas, práticas profissionais e um documento de conscientização excelente, a Cartilha de Segurança para Internet publicada em http://cartilha.cert.br.

É de graça e ninguém usa?

Se fosse simples desta forma o problema estava resolvido, mas para concluir temos que voltar ao tópico “falta de conscientização”. Em um momento onde o buzzword da hora é GRC (Gestão, Riscos e Compliance), vejo empresas buscando padronizar seus processos, documentar o que é feito e ficarem cada vez mais alinhadas às boas práticas e padrões de excelência em gestão de risco. É sensacional ver como nosso mercado se transformou nos últimos anos, e finalmente chegamos ao campo da gestão nas organizações.

Mas de um modo geral, será que as empresas que estão investindo em tudo isso já fizeram o dever de casa e protegeram sua infra-estrutura de TI? Pelos resultados das pesquisas e as notícias da mídia, não. E ainda assim, recursos são alocados para todo e qualquer ferramenta de gestão de riscos, e dificilmente para aquele baseline que deveria proteger a organização.

A minha sugestão é que você, caro leitor, comece a mudar este cenário. Organizações como a ISSA, OWASP, ISC2 e outras têm uma representatividade pífia no Brasil porque a própria comunidade não se envolve. Sei que todos nós temos nossos trabalhos, famílias, lazer, mas participar de algo que será benéfico para nosso mercado também é trabalho, com remuneração a longo prazo e benefício para todos que participam desta cadeia de valores.

É necessário participar, escrever artigos, publicar trabalhos, pesquisar, se envolver e usar tudo isto em prol da comunidade. Os resultados serão excelentes para todos, afinal o uso de recursos de TI faz parte da vida comum à boa parte da nossa sociedade, inclusive o juiz Mário Jambo que poderá entender o que um cracker faz para ganhar dinheiro.

Qualquer atividade com certa complexidade e que envolva um conjunto de atividades que devem ser executadas de forma estruturada para que se alcance o objetivo desejado, necessita de um método claro e documentado.

Muitos profissionais citam alguns pontos negativos da utilização de uma metodologia:

• Um método previamente descrito limita as ações/técnicas do analista;
• Teste de intrusão é uma arte e não uma prática;

Eu vejo um certo desconhecimento do que é metodologia quando vejo citações como essa. Afinal, metodologia não é instrução de trabalho e sim uma descrição dos métodos para chegar aos resultados.

O que são métodos?

“A palavra método vem do grego méthodos, (caminho para chegar a um fim). O método científico é um conjunto de regras básicas para desenvolver uma experiência a fim de produzir novo conhecimento, bem como corrigir e integrar conhecimentos pré-existentes. Na maioria das disciplinas científicas consiste em juntar evidências observáveis, empíricas (ou seja, baseadas apenas na experiência) e mensuráveis e as analisar com o uso da lógica. Para muitos autores o método científico nada mais é do que a lógica aplicada à ciência (Haddad).
Metodologia literalmente refere-se ao estudo dos métodos e, especialmente, do método da ciência, que se supõe universal. Embora procedimentos variem de uma área da ciência para outra (as disciplinas científicas), diferenciadas por seus distintos objetos de estudo, consegue-se determinar certos elementos que diferenciam o método científico de outros métodos (filosófico, algoritmo – matemático, etc.).”
Fonte: Wikipedia

Para que serve a Instrução de Trabalho?

“a mesma tem como função básica definir todo o funcionamento de um processo, para que os envolvidos entendam o mesmo de um forma só, considerando que todas as suas etapas são fundamentais, e quando no caso de uma auditoria o mesmo tenha os seus processos definidos e documentados e sendo o mesmo deverá realizar através de inspeção e ou auditoria interna se o mesmo processo atende o documento elaborado ou vice e versa.”
Fonte: ISO 9001

Esclarecendo este ponto, fica claro que um pen-test necessita sim de uma metodologia clara. Os seguintes pontos podem estar descritos na metodologia:

• Quais as etapas serão seguidas para atingir o resultado;
• Qual o papel de cada analista no processo;
• Como será manuseada e armazenada a informação do cliente;
• Como serão divulgadas informações confidenciais que forem identificadas;

Ao contrário de que alguns pregam, metodologia não é diferencial é obrigação, exija sempre que contratar um serviço de consultoria.

Os comentários de nossos clientes foram fundamentais, pois todos pediram que nossas atividades fossem melhor detalhadas. Pedido atendido, nosso web site está agora configurado para apresentar os nossos serviços como vocês pediram.

O Open Web Application Security Project (OWASP) está suportando 31 iniciativas para pesquisadores em Segurança da Informação, como parte do projeto OWASP Summer of Code 2008. Os resultados deste projeto estarão disponíveis gratuitamente e no modo open source para todos.

Tendo o período de seleção de projetos encerrado, anunciamos que 31 projetos foram selecionados, representando um investimento de US$ 104.000. A escolha dos vencedores, deu-se pela inovação dos temas e a capacidade de entregar resultados de alta qualidade até o dia 15 de setembro de 2008.

OWASP é uma organização gerenciada e desenvolvida por voluntários, então 100% das taxas cobradas são usadas para patrocinar projetos inovadores de pesquisa na área. Esta é a terceira “Season of Code” patrocinada pelo OWASP, os detalhes de todos os projetos estão disponíveis no site da organização:

• OWASP Summer of Code 2008: Orçamento de US$ 104.000
• OWASP Spring of Code 2007: Orçamento de US$ 117.500
• OWASP Autumn of Code 2006: Orçamento de US$ 20.000

Os programas do OWASP são únicos, e produziram dezenas de livros e ferramenta de grande utilidade para a comunidade, incluindo:

• OWASP Code Review Guide (livro gratuito)
• OWASP Testing Guide (livro gratuito de 300 páginas)
• OWASP AntiSamy, biblioteca de segurança em rich content (biblioteca gratuita)
• OWASP CSRFGuard e CSRFTester (ferramentas gratuitas)
• E muitos outros recursos…

Os projetos selecionados para o Summer of Code 2008, incluem novos livros e ferramentas inovadoras para ajudar desenvolvedores, arquitetos de TI e especialistas em Segurança da Informação em garantir que suas aplicações são seguras.

O OWASP convida pessoas e empresas a se beneficiarem dos projetos desenvolvidos, unindo-se como um membro da organização. Além dos benefícios comuns a todos, os novos membros terão a opção de alocarem os valores de suas taxas diretamente em projetos nos quais estejam interessados.

Cronograma do Spring of Code 2008

• 03 de março: Aplicações aceitas
• 25 de março: Prazo para entrega das Aplicações
• 05 de maio: Anúncio das Aplicações selecionadas
• 29 de junho: Relatório de Status
• 15 de setembro: Entrega dos projetos

Contatos para a Imprensa

• Dinis Cruz: diniz.cruz (at) owasp.org
• Paulo Coimbra: paulo.coimbra (at) owasp.org

Principais Links Relacionados:

• OWASP Summer of Code:
• https://www.owasp.org/index.php/OWASP_Summer_of_Code_2008
• Projetos Selecionados para o OWASP Summer of Code: https://www.owasp.org/index.php/OWASP_Summer_0f_Code_2008_:_Selection
• Open Web Application Security Project (OWASP): https://www.owasp.org/index.php/Main_Page
• OWASP Membership: http://www.owasp.org/index.php/Membership

Sobre o OWASP

O Open Web Application Security Project (OWASP), a comunidade gratuita e de aplicações open source em Segurança da Informação, é dedicada a ajudar organizações a desenvolver, comprar e manter aplicações confiáveis. Desde a sua criação em 2000, o OWASP cresceu para mais de 115 Chapters em todo o mundo, milhares de contribuidores voluntários e milhões de usuários.

Os projetos open source e os Chapters locais produzem livros, guias e ferramentas gratuitas e imparciais, que são usadas em boa pate das empresas listadas no Fortune 500, e entidades governamentais. A comunidade OWASP também atua como facilitadora em conferências, Chapters locais, publicação de papers, apresentações e listas de distribuição. Fundada como uma organização sem fins lucrativos (501c3), a OWASP Foundation suporta a comunidade OWASP.

Informações adicionais estão disponíveis em http://www.owasp.org.