domingo, 2 de março de 2008

Reconhecimento de padrões e segurança nacional

Software para reconhecimento de placas automotivas é desenvolvido por pesquisadores da UFRJ

Com tecnologia desenvolvida por uma equipe de pesquisadores do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (UFRJ), um projeto composto por uma tecnologia de leitura de placas automotivas promete sanar diferentes demandas na segurança, monitoração e controle de tráfego viário. Denominado de Família Kapta, o sistema é composto de quatro aplicativos distintos: o Kapta Acesso, o Kapta Parking e os Kapta Alertas Fixo e Móvel, todos operando com tecnologia de reconhecimento de placas de veículos. A pesquisa tem apoio do edital Rio Inovação 2 da FAPERJ. Leia mais em:Boletim da Faperj, 21/02/2008




Espero que o trabalho dos pesquisadores da UFRJ seja objeto de atenção do Programa Nacional de Proteção ao Conhecimento, pois vale milhões para o povo do nosso Brasil ! Veja as reportagens abaixo e conclua...




Combinando Biometria da Face e da Íris Para Verificação de Identidade

A identificação da iris e da face têm sido empregadas em várias aplicações biométricas. Além de aumentar a performance da verificação, a união das duas biometrias traz várias outras vantagens. Duas estratégias diferentes têm sido usadas para unir classificadores de face e íris.
A primeira estratégia é calcular uma soma ponderada e uma não ponderada e comparar os resultados com um limite. A segunda estratégia é tratar as distâncias dos classificadores da face e da íris como vetores bi-dimensionais e usar um classificador, como o a análise discriminante de Fischer e a rede neural com função de base radial (RBFNN), para classificar o vetor como genuíno ou impostor. Os resultados do classificadores combinados do indivíduo são comparados com os resultados da face e da íris no estudo.

Leia mais em:
http://whitepapers.techrepublic.com.com/whitepaper.aspx?&kw=biometrics&docid=132931

Reconhecimento de Rosto Agora é Possível Através de Novo Programa de Computador

Hung-Son Le, da Universidade Umeå - Suécia, desenvolveu em sua dissertação de PHD os algoritmos que dão ao computador a possibilidade de identificar uma face, mesmo quando apenas uma imagem é obtida. Os resultados podem ser usados para controle de identidade seguro e confiável ou, no lado mais lúdico, para descobrir com qual pessoa famosa você se parece.

Leia mais em:
http://www.thought-criminal.org/article/node/1210

domingo, 17 de fevereiro de 2008

Onde estão as regras de negócio ?

Está na hora de criar um novo sistema corporativo, utilizando as informações do sistema antigo ? Você precisa conhecer as regras de negócio. Onde estão elas ?

Primeiramente essas regras estão nas mentes das pessoas que trabalham na atividade-fim. Os trabalhadores mais antigos são os mais valorizados e devem ser ouvidos com atenção. É natural que um trabalhador domine apenas sua área; você terá de entrevistar várias pessoas, cobrindo todas as áreas de atuação. Deve-se ter cuidado na documentação das entrevistas e revisar periodicamente as prováveis alterações.Em instituições pulverizadas geograficamente (órgãos públicos, redes de franquias, grandes empresas com filiais etc.) é importante selecionar pessoas de vários grupos, para dar credibilidade política às informações e pegar o quadro mais completo possível.

As regras de negócio podem ser encontradas também em leis, publicações, normas, decisões, etc. Essas regras devem ser monitoradas constantemente, pois sempre há novidades. Uma equipe deve estar atenta aos pontos de quebra – os momentos que caracterizam o “antes” e o “depois” – pois é comum o novo sistema conviver com regras diferentes para fatos ocorridos em épocas diferentes.

No caso de sistemas legados, as regras de negócio estão guardadas dentro do código. Esta é uma fonte de informação ao mesmo tempo rica e perigosa. As instituições que adotaram boas práticas na criação do software antigo, verão que a análise do código será esclarecedora. Os programadores terão documentado as datas de alteração, o que foi alterado, quem autorizou, seu e-mail ou telefone etc. Se as boas práticas não foram seguidas, o código pode tornar-se uma armadilha, podendo ser necessário abandonar sua análise, por falta de legibilidade.

A última fonte de regras de negócio esconde-se no banco de dados. As tabelas e seus relacionamentos são fontes óbvias de informação mas às vezes os analistas desprezam a importância das triggers, stored procedures e functions (TSFs). Elas podem ser usadas de modo tão intenso que às vezes constituem-se num sistema paralelo, fugindo muitas vezes ao controle. As modificações das TSFs dificilmente aparecem nos sistemas de controle de versão.

[A seguir, o que fazer com as regras aprendidas.]

sábado, 26 de janeiro de 2008

Dicas do DSIC - Proteja sua senha

O DSIC - Departamento de Segurança de Informação e Comunicações, órgão da Presidencia da República, dá dicas de escolha de senhas.


Existem senhas extremamente fracas, como as compostas de apenas um caractere, ou com todos os caracteres iguais, ou comuns como NOVA, GUEST, TESTE, VISITOR, etc, que devem ser evitadas.

As seguintes recomendações devem ser observadas para dificultar a tarefa de um possível atacante (usuário que pretende penetrar em um sistema no qual não possui autorização):

NÃO usar o próprio nome, letras iniciais do nome, nome de parentes ou datas particulares. Evita que a senha seja descoberta através da análise de cadastro de dados pessoais.

NÃO escolher palavras que estejam em dicionários, ou seja, as senhas não devem ser palavras com sentido. Evita o ataque por dicionário, onde todas as palavras são experimentadas sequencialmente.

NÃO utilizar nome de marcas.

p.ex.: COCACOLA

NÃO utilizar a própria identificação (User ID)

NÃO utilizar composição de apenas uma mesma letra.
p.ex.: aaaaaaa.

NÃO utilizar sequências particulares do teclado.
p.ex.: ASDFG

NÃO utilizar palavras de forma invertida.
p.ex.: EVAHC (chave)

NÃO utilizar senhas compostas apenas por letras.

NÃO utilizar senhas sequenciais.
p.ex.: TODCEB1, TODCEB2, TODCEB3, ...

UTILIZAR senhas pronunciáveis, ou seja, uma cadeia de caracteres composta de consoantes e vogais de forma alternada. Escolher uma sequência que gere uma palavra sem sentido.

p.ex.: BACEDIFO

UTILIZAR as iniciais de uma frase fácil de lembrar, para a memorização da senha.
p.ex.: Todos os dias chove em Brasília
TODCEB

UTILIZAR pares de palavras separadas por caracteres de pontuação válidos, ou números.
p.ex.: ACB?RLN3

UTILIZAR senhas de pelo menos 7 caracteres.
Dificulta o ataque da força bruta, onde todas as combinações de letras são experimentadas.

Uma vez escolhida uma boa senha, alguns cuidados ainda devem ser seguidos :

NÃO divulgar a senha ou o processo de geração da senha.

NÃO introduzir a senha quando alguém mais puder observar suas mãos.

NÃO anotar a senha em locais públicos (mesas, paredes ou terminais). Memorizar a senha atual. Se for realmente necessário, anotá-la em uma agenda pessoal e de forma invertida, por exemplo.

Trocar a senha periodicamente, ou quando suspeitar que ela ficou comprometida.

Quanto maior o tempo em que uma senha é usada, maior é a oportunidade de exposição.

RECOMENDAÇÕES PARA OS USUÁRIOS

O usuário tem responsabilidades no processo de gerenciar suas senhas. As sugestões recomendadas devem ser adotadas :

• Manter a senha individual.
• Manter o sigilo de sua senha, não a revelando à secretária, chefe, colega, etc.
• Informar ao administrador as alterações no seu status (licença, movimentação funcional, desligamento, etc).
• Trocar periodicamente sua senha, quando o sistema solicitar ou quando houver suspeita de exposição da senha.
• Gerar suas senhas de acordo com as regras e orientações definidas, de forma a torná-las fáceis de serem lembradas e difíceis de serem adivinhadas.
• Memorizar suas senhas e não escrevê-las em lugar algum.
• Trocar sua senha inicial no primeiro acesso.
• Observar as informações fornecidas pelo sistema, referentes a data e hora do último acesso, a partir de qual terminal, ou as últimas tentativas sem sucesso.
• Relatar ao administrador as suspeitas de violação de segurança.
• Identificar-se sempre que o sistema solicitar (geralmente sistemas remotos ou de
maior segurança).
• Assinar um termo de compromisso reconhecendo suas responsabilidades relativas aos sistemas de infomação e senhas.

Material original aqui.

Núcleos de segurança da informação serão criados em todos os órgãos públicos federais.

Representante da Presidência da República faz palestra sobre segurança da informação.



É alto o número de incidentes de segurança nas cerca de 320 redes de órgãos da administração pública. Foram mais de 1,1 milhão no primeiro quadrimestre de 2007. Em palestra ontem (15 de maio de 2007) na Escola Superior de Redes da RNP, o diretor do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República, Raphael Mandarino Júnior, demonstrou como é importante a questão da segurança da informação na Administração Pública Federal e informou que núcleos de segurança da informação devem ser criados em todos os órgãos públicos.

Leia mais

Veja a palestra aqui.

sexta-feira, 25 de janeiro de 2008

Cisco Self-Defending Network

Para quem pensa que IDS ainda está na moda...
Veja a palestra de Alexandre Lessa no NCE. Material muito bom !!!

http://tv.ufrj.br/cisco/

Plano estratégico da CIA

Este texto foi retirado do Plano Estratégico da CIA - 2007-2011. O plano pode ser encontrado em inglês aqui.
A tradução livre /adaptação não é a aprovada pelos autores e serve apenas como objeto de estudo e exemplo de boas práticas de gerência.
Não é minha intenção discutir seu conteúdo político mas sim sua forma e o modo como foi elaborado.

O Plano Estratégico pode ser baixado aqui.

---

Visão

Uma Agência. Uma Comunidade. Uma Agência incomparável em suas capacidades básicas, funcionando como um único time, completamente integrada como a Comunidade de Inteligência.

A missão

Somos a primeira linha de defesa da Nação. Nós realizamos o que outros não podem realizar e vamos aonde outros não podem ir. Nós realizamos nossa missão através de:


  • Coleta de informação que revela os planos, intenções e capacidades de nossos adversários e fornece a base para decisão e ação.
  • Produção de análise para fornecer o entendimento, aviso e oportunidade ao Presidente e tomadores de decisão encarregados da proteção e desenvolvimento dos interesses da América.
  • Condução de ações secretas, sob a coordenação do Presidente, para evitar ameaças ou alcançar os objetivos da política americana.

Valores básicos


  • Serviço. Nós colocamos a Nação em primeiro e a Agência antes de nós mesmos. O patriotismo silencioso é nossa marca registrada. Nós somos dedicados à missão e nos orgulhamos de nosso extraordinário comprometimento com as necessidades de nossos clientes.
  • Integridade. Nós apoiamos os mais altos padrões de conduta. Nós procuramos e falamos a verdade com nossos colegas e clientes. Nós honramos aqueles servidores que vieram antes de nós e os colegas com os quais trabalhamos hoje.
  • Excelência. Nós nos mantemos de acordo com os melhores padrões. Nós nos comprometemos com a confiabilidade pessoal. Nós refletimos sobre nossa performance e aprendemos com essa reflexão.


O ambiente estratégico


  • Nós operamos num mundo instável e perigoso onde o terrorismo, a ascensão de novas potências e a aceleração da mudança econômica e tecnológica causam tremenda pressão na habilidade dos estados em governar. Isso aumenta notavelmente as surpresas estratégicas em potencial.
  • Nossos adversários na longa guerra contra o terrorismo estão espalhados pelo globo; eles são persistentes, impiedosos, pacientes e compromissados com o assassinato em massa de nossos cidadãos.
  • A posse e proliferação de armas de destruição em massa trazem perigo à estabilidade internacional e à segurança de nossa pátria.
  • A ascensão da China e da Índia e a parição de novos "centros" econômicos transformarão a geopolítica e o panorama econômico.
  • Governos fracos, economias atrasadas, competição por recursos e crescimento da população jovem irão gerar crises em diversas regiões.



As expectativas da Nação

O povo da América olha para nós de modo inédito. O nível foi determinado bem alto e de modo apropriado. Ele nos procura para proteger seu modo de vida, para garantir a segurança dos Estados Unidos e para dar suporte e defender a Constituição. Ele espera que nossos líderes nos mantenham confiáveis. ele espera que, na execução de nossa missão, nós corramos riscos e honremos todos os valores nacionais que procuramos proteger. Ele espera que mantenhamos segredos mas que não tenhamos nada a esconder. Ele espera que trabalhemos com integridade e falemos a verdade com o poder.


--------------------------------------------------------------------------------

Nosos objetivos

1. Integração das capacidades de Inteligência.

1.1 Alinhamento das missões, atividades e capacidades com a Estratégia Nacional de Inteligência.

1.2 Criação de um ambiente para efetiva colaboração dentro da CIA.

1.3 Procura contínua de cooperação com a comunidade nacional de segurança.

1.4 Ampliação e aprofundamento dos laços com parceiros internacionais para aumento da performance das missões.

1.5 Fortalecimento de nossa habilidade em capturar e compartilhar sistematicamente lições aprendidas de nossos sucessos e falhas.

2. Preenchimento de um papel de liderança na Comunidade de Inteligência.

2.1 Criação de um serviço nacional de HUMINT e estímulo do relacionamento da Comunidade de Inteligência com serviços de inteligência estrangeiros.

2.2 Liderar o centro integrado dedicado à coleta, análise e disseminação de alta qualidade de material de fontes públicas.

2.3 Métodos analíticos pioneiros e inovadores que podem ser adotados em toda a Comunidade de Inteligência.

3. Reforço de capacidades básicas.

3.1 Expansão e aprofundamento de habilidades em todas as áreas de missão.

3.2 Desenvolvimento e lançamento de modos inovadores para penetração dos alvos mais resistentes.

3.3 Continuação das melhorias em espionagem, reforço de análise estratégica e expansão da sinergia.

3.4 Melhoria da convergência global, aumentar nossa habilidade em antecipar e responder aos crescentes desafios e oportunidades.

3.5 Desenvolvimento de capacidades mais robustas e ágeis em ações secretas.

3.6 Avanço da missão através do desenvolvimento, introdução e aplicação de tecnologias inovadoras, estimulando avanços feitos em qualquer área da Comunidade de Inteligência, Governo Americano e Indústria.

4. Investimento em nosso pessoal

4.1 Desenvolvimento e sustentação da cultura da Agência – Um Time, Um Conjunto de Valores – onde objetivos são mutuamente compartilhados e honrados.

4.2 Alinhamento dos programas de premiação e incentivo para apoiar os objetivos deste Plano Estratégico – tornando-nos uma organização que encoraja e premia contribuições às missões, de modo tradicional e não tradicional.

4.3 Recrutamento, desenvolvimento e manutenção de indivíduos excepcionais de fontes diversas de talentos.

4.4 Desenvolvimento dos líderes da Agência, com as habilidades e capacidades necessárias para promover a performance mais efetiva da instituição e contribuir para os objetivos comuns da Comunidade de Inteligência.

4.5 Melhoria na saúde, segurança e qualidade de vida dos empregados, para criar um ambiente que permita às pessoas trabalhar de modo mais efetivo.

5. Criação de uma infra-estrutura para o século 21.

5.1 Melhoria da infra-estrutura de TI, para integração mais efetiva de nossa capacidade e para servir a uma força de trabalho cada vez mais dispersa.

5.2 modernização e expansão de nossa infra-estrutura para atender as necessidades de uma crescente força de trabalho.

5.3 Garantia da habilidade da CIA em continuar operações essenciais mesmo em condições adversas, através da expansão de nossas capacidades distribuídas de atuação.




Traduzido em: 25/1/2008 08:29 por zahid@uniredes.org

Originalmente:

Publicado em: 2007-04-09 08:12
Última atualização: 2007-10-25 07:11
Última revisão: 2007-04-09 08:12

quarta-feira, 2 de janeiro de 2008

Por onde começar ?

Sim, ITIL é complexo, grande e lento. Mas você pode se preparar de maneira simples e ir aumentando a complexidade de sua governança de TI. Aí vão algumas dicas:

1. Conhecer os recursos

A - Estrutura da organização

Como se estrutura a organização ? Quais são os locais de ação ? Qual é a área de negócios ? Como é a estrutura hierárquica ? Quais são as atribuições de cada unidade ? Onde você se situa ?

B - Equipe e colaboradores

Quem são as pessoas que trabalham na área de TI ? Quais são os contratados, quais são os terceirizados ? Como estão os horários e cargas de trabalho ? Como estão as férias ? Qual o grau de stress ocupacional a que estão submnetidos ? Quais são suas formações e anseios ? Quais são as dificuldades ? Qual o grau de satisfação de cada um ? Que acordos podem ser feitos com cada um ? Quem é mais confiável ? Quais são as competências ? Quem deve ser reciclado ? Quais as necessidades de treinamento ?

C - Usuários em geral

Quem são os meus usuários / Como eles se dividem em grupos ? Temos AD (MS - Active Directory) ou LDAP ? Os dados no serviço de diretório estão completos e atualizados ? Há usuários não identificados (internet) ? Como a situação externa e interna influencia no acesso de usuários aos nossos serviços e produtos ?

D - Máquinas / equipamentos

Como está o meu inventário ? Que equipamentos estão em que condições ? Qual o custo desse parque ? Como consomem energia ? Onde estão localizados ? Qual a sua atualização tecnológica ?
Quais as necessidades de atualização ? Quem usa o que ?

E- Software

Quais são os softwares que a unidade / instituição possui ? Quais são os critérios de licenciamento ? Quando vencem as licenças ? Quanto foi gasto ? Quanto e quando se gastará mais ? Como está a atualização ? Há documentação adequada para os softwares corporativos ?

F - Apoio político

Quais são as pessoas que supostamente deveriam dar apoio a sua unidade ? Essas pessoas / entidades estão satisfeitas ? Que metas / objetivos podem ser negociados ? Que metas / objetivos são essenciais ? De que você, administrador de TI, precisa para trabalhar em boas condições ?

G - Dinheiro (afinal)

De onde vem seu dinheiro ? Como deve ser gasto ? Quais as rubricas contábeis associadas ? Quanto dinheiro você vai ter e quando ? Como economizar sem perder a competitividade ?

2. Conhecer os serviços e produtos

Quais são seus produtos e serviços ? Quais são as condições básicas para que eles funcionem ? Como está a satisfação dos usuários / apoio político em relação a esses produtos ? Como podem ser melhorados ? Quais são os aspectos críticos ? Que é o "fiel" de cada produto / serviço ? Quem é o segundo responsável por cada um ?

3. Analisar o ambiente

Quais são as metas da organização à qual você pertence ? Como o ambiente influencia a operação de sua unidade ? Quais são as normas / regras / leis pertinentes ? Você está de acordo com essas normas ? Algo precisa mudar ? Como pode ser feito ? Quais são os riscos de seu negócio ? Como se proteger desses riscos ? Quem são os seus oponentes / colaboradores ?

4. Metas, projetos e muito mais

O que você pretende fazer em quais períodos ? O que motivou suas decisões ? Como verificar se está dando certo ? Quem serão seus colaboradores ? Quais são os projetos associados ? Como os projetos se ajustam às metas da instituição ? O seu apoio político concorda com essas metas ? Há recursos disponíveis ? Quando eles virão ? De onde virão (rubricas contábeis) ?

Se você conseguir responder a todas essas perguntas ? Estará pronto para começar com ITIL (rs...) !