Assim sendo resolvi compilar algumas dicas práticas, que buscam interpretar as regras atuais de como tirar seu visto.

Foto

Levar Foto em Papel

Pode ter certeza, este é o problema de um percentual razoável dos aplicantes. Eu diria pelo menos 20%. E pelos motivos abaixo você verá que as pessoas tem razão de entender as regras de forma equivocada.

Ao que parece o sistema web que eles utilizam é um só em todos os consulados mundo a fora. Muitas vezes a ajuda é fornecida por um link para uma página central em inglês. Em outros casos esta ajuda é traduzida para a língua local. No entanto algumas regras variam ao sabor local. O primeiro exemplo abaixo é sobre a necessidade de levar fotos no dia da entrevista.

Se você navegar nas diversas páginas do consulado americano vai encontrar ainda algumas referências a versão anterior do formulário que era preenchida online e gerava um arquivo impresso que você levava no dia junto com uma foto. Em vários outros locais já é citado o DS-160 que é o formulário novo, totalmente eletrônico. Neste novo formulário você é capaz de submeter uma foto que é anexada a este. Logo a conclusão óbvia de qualquer pessoa é que antigamente você era obrigado a levar uma foto. Hoje em dia não mais. E mesmo o aviso que você deve levar uma foto no dia da entrevista que sai impresso no seu cartão de confirmação provoca dúvidas. Sim, eu tenho que admitir eles te avisam. Mas o aviso diz “Uma fotografia ( tamanho 5×7 cm, com fundo branco) para cada Formulário de Solicitação de
Visto de não-imigrante DS-160″. Uma foto para cada formulário DS-160, justamente para aquele formulário que solicita que você faça upload de uma foto. Fica parecendo que eles estão se referindo a uma foto caso você não tenha optado por fazer o upload digitalmente, porque possivelmente não tem uma câmera digital e não quer scanear sua foto. Para não dizer que é suposição demais vamos analisar o que diz o próprio faq disponibilizado pelo governo americano.

Q:What does it mean when there is an “X” instead of my photo on the confirmation page of my DS-160 or DS-1648 visa application?
a:That means the photo upload failed. Therefore, you should submit one printed photo meeting our requirements, along with the online DS-160 confirmation page, to the U.S. embassy or consulate at which you plan to apply for your nonimmigrant visa. Please contact the U.S. embassy or consulate where you are applying for specific instructions on how to do this. If the confirmation page includes a photo of you, then the photo upload was successful and no separate photo is required.

Se eu entendo um pouco de inglês este trecho acima está me dizendo que não preciso levar a foto, caso eu faça o upload. Indo um pouco além temos outro trecho que diz quais são os requisitos adicionais. Repare que para quem preenche o DS-156 é necessária uma foto. Mas no parágrafo anterior ele fala do DS-160 e diz que você precisa fazer upload da foto. Logo, se precisasse além disso levar uma foto estaria ali indicado, por uma mera questão de lógica.

Additional Requirements for Nonimmigrant Visas

Applicants using Form DS-160 or Form DS-1648

If you are applying for a nonimmigrant visa by filling out the DS-160 or DS-1648 online form, you must upload your digital image as part of completing the online visa application form. Review the Digital Image Requirements, which also provide additional requirements if you are scanning an existing photo.

Applicants using Form DS-156

If you are applying for a K, N, S, T, or U nonimmigrant visa by filling out the DS-156 form, you must provide one (1) photo. Your photo must be:

• Printed on photo quality paper
• 2 x 2 inches (51 x 51 mm) in size
• Stapled or glued to Form DS-156 in the designated space. If the photo is stapled, staples should be placed as far away as possible from the face. Please do not mount or enclose the photo in glassine paper, or any type of envelope.

O que poderia ser mudado é que no documento de confirmação do agendamento, que é em português, ou seja deve ter conteúdo traduzido e adaptado localmente, a mensagem deveria ser:”Uma fotografia ( tamanho 5×7 cm, com fundo branco) para cada Formulário de Solicitação de
Visto de não-imigrante DS-160. Ainda que você tenha feito o upload da foto ao preencher o formulário uma foto em papel será necessária.“

Detalhes da foto

Existe um guia de como deve ser suas fotos. Mas este não conta toda a história. Existem algumas coisas que não são faladas ali, mas que os fotógrafos que atendem perto do consulado já sabem e te dão as dicas. Não pode usar franja para cobrir a testa, e a foto da minha filha foi rejeitada por este motivo. As orelhas tem que aparecer todas e você não pode usar brincos. (Este último eu acho bem estranho porque as regras escritas permitem que você utilize óculos sem reflexo, mas dado que a franja foi realmente um problema eu boto alguma fé).

Agora siga o link para as regras para as fotos. Bem explicado com vários exemplos. Veja se existe alguma explicação ou algum exemplo que mostre que franja na testa não pode. Pois é. Não pode.
Photograph Requirements

Curioso é que muita gente usa franja. Acho muito mais provável as pessoas levarem fotos com franja do que uma foto olhando para o lado, ou de qualidade péssima como mostrada nos exemplos do que não fazer. Mas da franja eles não falam, mas falam de coisas óbvias que qualquer pessoa razoável seria capaz de, usando o bom senso, evitar.

Falhou o upload

Quando eu preenchi meu formulário e de minha esposa havia um campo que pedia para subir a foto e testava. Quando fui fazer o mesmo para a minha filha não havia tal campo. Não comi mosca. Fiquei tão desconfiado que preenchi o formulário todo de novo (bota 30 minutos ai). E no fim não havia ainda esta opção. Concluí que crianças não precisam subir a foto. Afinal de contas se crianças com menos de 14 anos não precisam ir na entrevista e aquele formulário é justamente o que você usa na entrevista concluí que talvez fosse assim mesmo. Mas uma coisa curiosa é que os dizeres do meu formulário estavam em português e no dela em inglês. E não era uma mera tradução. Fato, creio que peguei uma migração de versão de sistema que gerou esta inconsistência. Mas o importante é que se por algum motivo, ou deliberadamente, você não conseguiu subir sua foto você será classificado na fila pelos atendentes como “com problemas no upload”. Não precisa se desesperar. A melhor coisa a fazer é mudar seu agendamento para as 10:30 que é o último horário. Porque você só será atendido depois de todo mundo, a partir de 11:00hs. Leve uma fotinho a tiracolo.

Preenchimento do formulário DS-160

O pessoal está se esforçando, dá para ver a boa vontade neste últimos 5 anos. Antes era em papel. Depois passou a ser online para imprimir em papel. Agora é totalmente online. Mas o sistema de preenchimento é ruim. Siga as dicas:
Anote seu número imediatamente
Ao começar o preenchimento anote o número, se der algum problema, como um timeout que sempre ocorre, e você não tiver anotado pode começar de novo que você perdeu.

Cuidado com o timeout
O formulário é imenso, com muitas páginas. Mas cada uma delas já é grande por si só. Algumas requerem que você consulte alguns documentos. E naquela que você vai lendo o documento aqui, documento ali… foi… timeout. Se você tiver o número perdeu só 10 minutos de trabalho, o que estava no último formulário por exemplo. Se não tiver pode ter perdido tudo. Acredite, vai acontecer com você várias vezes. Desconfio até que o timer é meio bugado e de vez em quando vem rápido demais.

Salve tudo no final
Quando você terminar o formulário salve ele para seu disco. Sempre pode ajudar em um repreenchimento, principalmente para pessoas da mesma família.

Quando gerar a ficha de entrevista
No último passo do formulário ele te gera uma ficha de entrevista. E você tem 3 coisas a fazer. Imprimir o conteúdo total do DS-160, Começar a preencher mais uma ficha de um familiar e Imprimir a própria ficha de entrevista.Atenção nesta hora.

• Se você não imprimir o DS-160 perdeu, então é a primeira coisa a fazer.
• Se você não iniciar um formulário de um familiar a partir desta tela perdeu. Você não consegue reutilizar os dados e tem que preencher cada campo de novo. Por isto a importância de ter o formulário impresso do item anterior. Mas se você fizer este item antes não tem mais volta, apagou o formulário recém-preenchido e não pode mais imprimí-lo. Então atenção para não dar timeout e siga esta ordem sugerida.
• O mais importante dos três é imprimir a ficha da entrevista que é o que você realmente vai precisar depois. Mas isto você sempre pode fazer depois, porque ela sempre está disponível para ser reimpressa. Imprimí-la também não apaga os dados, poderia ser o primeiro passo, mas segui a ordem da volatilidade

Outros detalhes

Na confirmação de agendamento vem a mensagem:

É OBRIGATÓRIO A APRESENTAÇÃO DE AMBAS PÁGINAS DE CONFIRMAÇÃO PARA CADA SOLICITANTE NO DIA DA ENTREVISTA DE SOLICITAÇÃO DO VISTO.

Não está muito claro mas o que você precisa é do formulário que tem um código de barras, sua foto, e seus dados básicos que sai ao fim do preenchimento do formulário DS-160 e da confirmação de agendamento, que também tem um código de barras, umas informações pessoais, o horário e as dicas.

O DS-160 em si não é necessário. E se você não o salvou ao fim do processo perdeu. Nunca mais consegue recuperá-lo.

E qual o “ambiente de trabalho” do peão de escritório moderno. Não exatamente o que é oferecido pela empresa, mas aquele que é constituído pelo que lhe é fornecido e por aquilo que ele possui e que implicitamente pela cultura vigente ele é autorizado a usar. A empresa lhe fornece seu cocho sua baia, onde é colocado um computador, e um telefone e uma deliciosa cadeira de escritório. Seu computador provavelmente vai ter acesso irrestrito a internet, ou se houver restrição não costumam ser tão absurdas. Com sorte se o tempo de casa permitir talvez sua cadeira tenha apoio para os braços e sua baia fique próxima a janela. Ele tem um computador multiuso de bolso com câmera de 5 megapixels, wi-fi, 3G, aplicativos de toda sorte e que ainda por cima em alguns casos serve até para ligar para os amigos, claro se não estivermos falando de um Iphone. James Bond invejaria… Também traz consigo um pen-drive dentro de uma bolsa ou mochila. E em alguns casos (o meu por exemplo) até um laptop pessoal pode ser encontrado no cinto de utilidades. E tirando raras exceções, há uma forte presunção de “direito de uso” de todos estes apetrechos. Qualquer um pode ver que roubar informação da empresa não é problema para este funcionário. Vetores de contaminação por malwares também não faltam. Como também não falta oportunidade de roubar o grampeador. E estranhamente mesmo vivendo em um mundo tão perigoso são raros os episódios de problemas.

SIM… eu li as estatísticas, eu conheço o discurso. O maior risco para a sua empresa está no seu usuário interno, blá-blá-blá. Really??? Releia o parágrafo anterior com atenção. Você acha mesmo que você consegue conter o vazamento de informações quando hospeda um exército de espiões hi-tec se um deles REALMENTE quiser fazê-lo? Sabotagem? Quem realmente pode sabotar sua empresa, tecnologicamente falando, a não ser justamente aqueles que guardam as jóias da coroa e tem as senhas dos servidores? Quis custodiet ipsos custodes? Contra estes a maior parte das políticas de segurança são nulas.

Não quero em nenhum momento dizer que não exista a possibilidade de todo tipo de problema ocorrer, sendo causado por qualquer pessoa. A minha pergunta é “porque não ocorre mais?”

O trabalhador de hoje já se habituou com o mundo digital. Já vive sob outro paradigma se comparado com nossos colegas do papel e caneta de 15 a 20 anos atrás. Quem não nasceu com um computador em casa já teve tempo de se acostumar. Esta ferramenta já deveria ser algo ubíquo na sua vida e tão trivial como um aparelho telefônico. Pois como disse Stroustrup “I have always wished for my computer to be as easy to use as my telephone; my wish has come true because I can no longer figure out how to use my telephone”. Ou seja, ele já é grandinho e já deveria saber usar bem sua ferramenta de trabalho. Se ele sabe usar sua ferramenta e não supomos que ele vá assassinar seu colega de trabalho, roubar o grampeador ou marretar a central telefônica do predio, porque ainda supomos que ele é um marginal digital em potencial?

Isto diz muito mais a nosso respeito do que a princípio parece. É o medo que esta geração recém atirada em um mundo novo ainda tem do desconhecido. Um medo meio irracional.

Quanto gastamos “administrando” as máquinas de nossos amigos para deixá-las no limite do imprestável? Em nome de quê? Não seria melhor confiar em todos e deixar que cada um opte pelo ambiente que deseje usar? Configurado a sua maneira? Com todos os direitos administrativos sobre SUA ferramenta? E o helpdesk atende quem pede arrego… quem não quer seu ambiente próprio, só quer o feijão com arroz.

Isto não quer dizer que a infosec não tenha o que fazer. Da mesma forma que você não deixa o caixa da empresa empilhado em cima da mesa e confia que ninguém vai pegar nada você tem servidores a proteger. O que fica de cara para a rua tem que ter configuração perfeita. Informações do RH são o que todo mundo vai querer fuçar. Permissões de uso de um serviço aqui e acolá tem que ser dadas por alguém.

O ponto final é a política de segurança da informação. Quem é criança é tratado como criança. Quem quer ser gente grande tem que saber se comportar. A política neste caso tem que ser de tolerância-zero. Sem esta herança da lei romana que nos faz querer especificar tudo detalhadamente em regulamento para cada caso. É uma regra por princípio, que quem é gente grande não pode alegar não entender. O princípio é simples “você pode tudo que seja de sua alçada, desde que não faça nada para prejudicar a empresa ou seus demais colegas”. Qualquer comportamento abusivo é punição. No caso mais brando vale a regra do baseball: 3 strikes e você está fora. No caso mais grave é cartão vermelho.

É interessante ver como são limitados os recursos de nossos colaboradores usuais. Os computadores são hoje ferramentas tão necessárias e complexas que para desempenhar da melhor forma suas tarefas profissionais muitos casos se faz necessário a "customização" do seu ambiente de trabalho ao gosto do freguês.

Para mim que me criei aprendendo a escravizar a máquina para me servir, sempre encontro uma aplicação que boa parte dos usuários com menor grau de aculturamento computacional resolvem no braço. E isto faz toda a diferença. Mas agora não tenho mais estas ferramentas a disposição como outrora tinha. Vejo inclusive que disponibilizava para os meus usuários, em todas as empresas que até então trabalhei, um acervo bastante rico de ferramentas que agora me faltam.

Em certos momentos pensamentos malignos me surgem. Qualquer um que trabalhou com infosec, sabe que em um ambiente bem administrado e controlado não faltam oportunidades para um usuário mais esperto burlar as políticas. Imagina em uma rede mal administrada. Já cansei de tomar bola nas costas de usuário, com aquele papo de os fins justificam os meios. E agora não deixo de em algumas situações ser tentado pelo diabinho de fazer as mesmas coisas. Com uma vantagem adicional que acredito ser capaz de avaliar melhor o risco do que estou fazendo do que quem está de fato pilotando o ambiente. O mesmo não valia quando jogava no outro time, muitos usuários não sabiam avaliar os riscos a que expunham a empresa.

O curioso sobre infoseg é que muita gente conhece o pai-nosso e repete os dogmas como tal. E se você que é especialista vai contra este "senso comum" é questionado. É difícil bater de frente porque fica a sensação que você está sendo negligente com seu trabalho, quando na verdade você está vendo o lado do usuário, e avaliando risco e retorno. Afinal você não está sendo pago para isto? Se for para aplicar burramente uma lista de bolo até um help-desk de primeiro nível pode fazer. Então muitas vezes a culpa que os usuários colocam em você, übbergeek da segurança da empresa, não é sua. Vem de cima. E nem sempre é uma briga que valhe a pena ser comprada.

Ao escrever estes devaneios pode parecer que tive uma epifania e agora entendo a infoseg por um novo ângulo. Se voltasse ao mercado faria tudo diferente.

Não meu caro Muanis. Não faria tudo diferente. Faria algumas coisas diferentes, como de um ano para o outro ainda no mesmo emprego você reve algumas posições. Faria outras diferente se me fosse dada a liberdade de fazer o que sempre acreditei. E faria ainda outras se houvesse recursos para atender melhor os usuários. Porém ainda acredito que é valoroso o esforço feito para minimizar os riscos a que a empresa se expõe. E se o mundo não é perfeito para todos é porque via de regra os administradores estão balançando os pratinhos daqui para lá e de lá para cá tentando minimizar os riscos que os usuários criam a todo tempo. Sobra pouco tempo para implantar melhorias, ainda mais porque o alvo é móvel. Muitas vezes o que vai beneficiar todo mundo beneficiaria até a equipe de infosec, mas é uma montanha intransponível.

Isto também não significa que não possam haver break-throughs. Hoje em dia eu acredito que pequenos ambientes isolados, sob a responsabilidade de uma equipe de produtos com alguma estrutura básica herdade de uma administração central e com a consultoria da equipe de segurança podem criar um novo paradigma que permite liberdade com controle e menos carga de trabalho para os administradores. É uma idéia que eu infelizmente nunca vou poder explorar, mas quem sabe no futuro veremos algum modelo assim se firmar…

Nunca me alinhei totalmente com algumas “verdades” que são repetidas por muita gente por aí. Sim elas são pertinentes em alguns contextos, mas não são a panacéia. Algumas servem para alguns casos e outras já foram mais verdade no passado e dada a evolução tecnológica não são mais tão verdade assim.

No entanto a vida muda, e não sou mais profissional da área de segurança da informação, nem mesmo trabalho mais com TI. Durante este processo não me senti motivado a escrever mais neste blog, porque me sentia alheio ao tema. Mas agora estou com vontade de voltar a escrever. Ao invés de passar uma borracha no passado e começar outro blog do zero resolvi ser ecológico e reciclar estes bits. Gosto do meu blog. Gosto do seu nome. E quero poder continuar a escrever sobre infosec se me apetecer. Só não vou escrever apenas sobre este assunto. Vou fazer um refactoring do mesmo e a partir de agora vale tudo: futebol, corrida de cachorro, política, reclamação sobre o síndico e até meus pitacos sobre TI.

Fui…

Muitos profissionais de segurança hoje em dia vem de um passado de “hacker”

A maior parte dos analistas de segurança que eu conheço nunca exploraram o quintal do vizinho. Mas ainda assim conheço muitos que o fizeram. E tem muita empresa que acha isto bacana. Até o Bruce Schneier.(veja também os contrapontos do Markus Ranum(link no artigo) e Richard Beijtlich) Não deixo de concordar com o Bruce e com muitas pessoas que pensam assim que em vários pontos seus argumentos tem sentido. Mas com certeza não sou o único a me perguntar se “Dá para confiar ?”

Porque razão no mundo você colocaria uma raposa para tomar conta do galinheiro. Se a pessoa tem uma formação na sua estrutura de caráter e valores que acha legítimo se valer dos seus conhecimentos para abusar dos direitos dos outros porque esperar que ela de uma hora para outra irá mudar de comportamento e valores ? Só porque você está pagando salário para ela ? Como já convivi com algumas destas peças o que posso dizer é que realmente elas parecem assumir uma postura responsável nos seus empregos. Mas basta sair do escritório para perceber que elas continuam as mesmas. Em coisas simples como o relacionamento pessoal com outras pessoas e entidades, a forma como dirigem no trânsito. Então porque quem é responsável por mitigar riscos colocaria mais esta ameaça na equação ? Basta lembrar que este profissional hoje “está” na sua empresa, e sendo pago para usar todos os seus conhecimentos para fazer avaliação de vulnerabilidades. Se amanhã ele não “estiver” mais funcionário talvez não tenha mais o incentivo para ser tão responsável, e ainda por cima tem todo o conhecimento das suas falhas.

Não que eu esteja defendendo que não se tenha profissionais curiosos quanto as técnicas de segurança. É óbvio que o expertise é necessário para poder oferecer o famoso “teste de invasão” (que se é importante ou efetivo é outra discussão para post futuro), tanto quanto para ser capaz de entender e achar os atalhos no ambiente do cliente. É a questão já comentada antes do security mindset, que é necessário. O que eu estou dizendo é que ter interesse em botar em prática de forma ilícita são duas coisas diferentes. Eu por exemplo sempre fui curioso, mas nunca invadi um site sequer.(Sem falar no ótimo ponto do Ranum, reforçado pelo Beijtilich de que a abordagem de achar vulnerabilidades não tem paralelo na segurança física, onde se tratam as ameaças, o que é a única coisa que funciona.)

Então vamos a analogia. Nos filmes de velho oeste sempre vemos aquela história de faltar um Xerife na cidade. Então pessoal vai lá e cola uma estrela no peito do cara que sabe atirar melhor. Em muitos filmes o cara é até meio safado, aquele velho mocinho com crises morais. Mas ele é o atirador mais rápido da região. Hoje em dia isto não acontece mais porque a sociedade americana se organizou e cada cidade tem seu próprio corpo policial, que optou pela carreira, frequentou academia de polícia e esta lá pronto para defender a ordem e de quebra espancar uns negros e mexicanos, porque é isto que policial americano gosta de fazer nos filmes né ?

Sei que este post é meio polêmico e não digo que não respeite e admire alguns ex-hackers(será que são ex) que conheço. Não digo nem que nunca tenha contratado nenhum. Mas acho que se hoje o mercado é assim é porque é imaturo. Nas próximas gerações quando uma “cabeça de sociedade virtual” estiver mais disseminada um novo consenso sobre o que vale e não vale será consolidado. Existirá muito mais gente que entende este mundo e portanto maior disponibilidade de talentos. Aí não haverá a necessidade de se contratar os poucos que entendem este novo mundo. E aí ser “hacker” será ponto contra, pois haverá oferta suficiente de gente de passado imaculado com competência equivalente.

Ontem, dia das mães e último dia para trocar seus tiquetes de compras para concorrer a um carro em um Shopping Center próximo de casa, fui eu com minha esposa conseguir uns tickets para, com sorte, posar de Jack Bauer (ele fez anúncio do carro em questão recentemente).

O processo consistia em passar por uma atendente que realizava um cadastro seu em um computador, conferia as notas, cadastrava as notas em seu nome e entregava o número correspondentes de coupons. Ai você preenchia o coupon com seus dados: nome, cpf, rg, endereço, telefone, etc. E colocava em uma urna transparente. Ou seja, se você fosse ‘sorteado’ seu coupon poderia estar chapado no vidro para qualquer um ver. E com as profusões de câmeras digitais que temos inclusive no celular é uma forma fácil e rápida de coletar um pequeno cadastro pessoal.

Ai eu fico pensando… nome, telefone, e número da nota de compras vá lá. É uma referência necessária e uma forma rápida de contactar o felizardo. Mas será que os outros dados são necessários ? Algumas perguntas:

1- A promoção é feita pela VISA. Ou seja eu já tenho cadastro com eles ou com algum banco com quem eles tem contato. Eles não tem os meus dados cadastrados ? Suponho que não seja tão fácil assim ter acesso a estes dados… Ok

2- Eu fiz o cadastro no computador e a mocinha registrou todos os meus dados de  novo, em um banco diretamente ligado a promoção. Ela inclusive fez a associação das notas com o cadastro. Eu acredito que se o negócio for minimamente sério algum batimento é realizado antes de se entregar as chaves ao sortudo. Preciso preencher no papel os meus dados de novo ? Todos aqueles ? Não seria mais fácil apenas colocar, nome, telefone e o número da nota ou do cadastro ?

3- Preencho meus dados pessoais e coloco na urna. A urna tem que ser transparente, expondo os dados dos concorrentes ? Precisa mostrar que esta cheia, então não pode ser translúcida ? Um plástico embaçado ?

4- Para onde vão estes papéis depois do sorteio ? Alguém garante a sua destruição ?

Se for começar a entrar nesta seara posso até começar a questionar se uma vez cadastrada a nota para concorrer se eu preciso dar meus dados antes de ganhar, mas aí até entendo que muita gente perderia a nota e isto poderia complicar o processo porque iria requerer vários sorteios, blá-blá-blá…

Tá, o cara tem meus dados e daí ?

• Daí que número de cpf e identidade é passe-livre no Brasil(o que também é um outro problema). Ligue para qualquer call-center e tente mudar algo no seu cadastro. O que vai ser pedido via de regra são estes dois maravilhosos dados. Se não forem naquela ficha ainda tinha telefone, endereço e outras coisas que as vezes ajudam.
• Estes dados facilitam muito uma engenharia social em você ou em alguém relacionado a você.
• E mais um monte de outras gracinhas ou nem tanto que fogem ao escopo do que quero dizer neste post.

O que deveria me assustar é que a VISA, que teoricamente é uma empresa que deveria vender segurança, e principalmente prezar pela segurança dos seus clientes, e em última instância minimizar seu prejuízo. Logo ela promove algo que expõe os dados dos seus clientes desta forma e ainda por cima manda uma mensagem de deseducação para os usuário.

Deveria mas não me assusta. Porque eu sei como são as empresas.  Porque tenho certeza que os profissionais de segurança que lá trabalham tem consciência e devem viver tentando melhorar as coisas. Mas isto é uma ação de marketing e quem tocou este projeto não se consultou com eles, ou no máximo fez pouco porque como sempre o importante é “preencha com qualquer buzzword de marketing que você queira”.

Eu sou da opinião que quem faz pouco de mim como cliente deve receber tratamento recíproco. Se eu realmente perceber que algum outro concorrente se preocupa realmente comigo me ganha para sempre. Para a sorte da VISA ainda não percebo em nenhum dos outros algo consistente, então por hora vou ficando.

E o que esta pessoa faz afinal ? Muitas vezes eu me pergunto se as pessoas sabem qual é o papel dela na organização, o que é trabalhar com segurança, e o que de fato é segurança da informação.

Mas o que fazem os profissionais de segurança afinal ? Dependendo de um lugar ou outro os seus papéis passam por funções tais como:

• Avaliar os riscos a que a empresa está exposta
• Elaborar políticas de segurança da informação
• Desenvolver processos ligados a sua área
• Auditar sistemas
• Compilar boas práticas de trabalho
• Fazer palestras de transferência de conhecimento
• Apontar erros e falhas arquiteturais em sistemas internos
• Criar controles para alertar sobre problemas ou atuarem automaticamente na sua correção
• Mensurar a segurança da empresas através de métricas apropriadas a sua realidade

e por último, mas sempre o mais importante:

• Levar a culpa caso algo dê errado.

Pode parecer uma piada, e obviamente é. Mas é uma piada de mal gosto.

Imagine o desafio desta pessoa:

• Ter que convencer toda uma organização a mudar seu jeito de trabalhar. Quem conhece um pouco de administração sabe que a mudança cultural é a mais difícil de implementar. Imagine  uma mudança cultural que vai contra a produtividade, contra a lei do menor esforço, contra tudo que as pessoas fazem intuitivamente. Isto sem trazer nenhuma recompensa imediata, nenhuma fonte de receita. É um grande teste de política e jogo de cintura.
• Entender o funcionamento da empresa e criar processos para minimizar sua exposição. Claro que existem boas práticas de segurança para se mirar. Mas cada empresa tem sua realidade e a aplicação dosada das boas práticas é fundamental ou então o trabalho não está sendo feito adequadamente.
• Ter conhecimento técnico profundo em cada uma das tecnologias que compõe o funcionamento da empresa, em geral mais profundo do que os técnicos que são especialistas, para ser capaz de visualizar os relacionamentos e interdependências e ainda achar no meio deste palheiro os pontos de falha. (Em geral, no nível de maturidade que estamos eu diria que é achar um paralelepípedo no palheiro, mas pensando no mundo ideal…)

Se você reparar existem atividades que lidam diretamente com um universo humano, com caráter administrativo, com políticas e processos. E existe um universo  que lida com questões absolutamente tecnologicas, abarcando todo espectro das disciplinas de TI.

Em geral os bons praticantes da segunda disciplina são em geral no mínimo  übber-nerd wannabees. Este tipo de pessoa em geral não é o com mais tendência a socialização.  E diria que o contrário também é verdadeiro. Poucos animais políticos tem o tipo de inteligência, a dedicação e o interesse por tecnologia requeridos para atingir um bom kung fu na parte tecnológica.

Existe alguém com este perfil ? Eu duvido. Ainda que existam pessoas com um mix razoável entre as duas coisas é muito difícil ter o domínio total. Alguém com perfil totalmente gerencial existe as pencas como em qualquer área. Übber geeks que manjam de tudo em tecnologia são poucos e cada vez  mais raros, pois cada vez mais crescem as opções entre sistemas operacionais, linguagens de programação, bancos de dados, etc.

Então por que se criou esta figura mítica ? Minha opinião é exatamente esta. É uma figura mítica. Ninguém entende o que é segurança então se terceiriza para um ser mágico capaz de absorver a responsabilidade. Isto salta aos olhos quando se espera que esta pessoa tenha que dar um parecer em um ou dois dias sobre algo novo ao qual esta sendo apresentado naquele momento. Se quem é especialista não foi capaz de perceber problemas será que é um pobre coitado, ainda que com toda uma experiência e um security mindset, que vai bater o olho e imediatamente achar os problemas ? Só acha mesmo porque como eu disse hoje em dia temos muito pouca maturidade, e o que ele faz é mostrar as falhas risíveis. No fundo não é para resolver, mas para eu poder dizer “o pessoal de segurança disse que tava bom” e praticar o bom e velho CYA.

Aonde quero chegar ? Quero dizer que eu acho que no futuro vai chegar um momento em que as pessoas vão ter a consciência de segurança, assim como ninguém sai de casa e não tranca a porta. Que esta responsabilidade vai ser dividida por todos. Se você gerencia um projeto e ele apresenta um problema de segurança a culpa é sua. Se você administra um sistema e ele tem falhas a culpa é sua. Se você é um gestor de RH e os funcionários da sua empresa tem uma cultura que permite o vazamento de informações a culpa é sua.

E qual o papel do “analista de segurança” nesta organização ? Ele é um guru, um consultor. É aquele que as pessoas procuram para ajudá-las a assumir sua responsabilidade. Não tenho o raciocínio de avaliação de riscos da minha área ? Não tem problema procuro o guru e ele vai me dar uns bons toques, me referenciar para a literatura correta, e comigo avaliar a efetividade do que estou implantando. Ele vai dar palestras internas sobre o tema. Seu papel será o de facilitador e não mais de responsável. Afinal de contas para ser responsável é preciso poder de mudar as coisas, e ninguém tem conhecimento, tempo, capacidade intelectual de absorver a empresa inteira e cuidar de todos os riscos pelos outros.

Isto transforma o profissional de segurança em solução e não mais problema. Afinal de contas ele está ali para me ajudar a fazer o meu papel. Quem nunca ouviu um “o pessoal de segurança só atrapalha”. Atrapalha porque é responsabilidade dele deixar a empresa segura, então ele que se dane com seus projetos, prazos, e problemas que eu vou cuidar do meu. Mas mudando a perspectiva quem vai ter que procurar, talvez implorar para ser ajudado é cada um no seu pequeno cubículo, com sua pequena responsabilidade.

Será que eu estou sonhando muito alto ?

Mas afinal os usuários tem que ser educados ou não ?

Eu já pensei que sim, porque afinal de contas a tecnologia está aí para resolver seus problemas e basta que eles saibam utilizar. Mas a complexidade é muito grande e a ferramenta meio acaba virando fim.

Eu já pensei que não, afinal de contas porque não podemos como indústria oferecer um produto seguro para nossos usuários ? Mas a que custo isto viria ? Que funcionalidades teriam que ser eliminadas ? Como se conseguiria uma interface amigável e ao mesmo tempo segura ? É um grande desafio.

Hoje eu procuro andar no caminho do meio.

A coisa toda é muito mais do que isto. Informática não é um carro projetado por engenheiros e produzido em uma fábrica para nós usuários finais leigos. É algo muito mais complexo, orgânico e integrado na nossa vida. Quem produz software é uma software house, mas também é um hobbista, sem formação na área que “coça suas próprias coceiras” e do seu quartinho com um pc velho faz software open-source para o mundo todo.

A coisa toda, este mundo de software/serviços/internet, cresce de uma forma desordenada, meio que por seleção natural. Colocar regras não faz sentido. Porque se ninguém me dá a funcionalidade que eu quero eu mesmo faço. Eu não compro o software de prateleira, mas pego o que alguém disponibilizou na internet. As funcionalidades mais do que nunca estão na mão do usuário e das escolhas que ele faz. Porque de uma forma nunca vista ele pode escolher…

Se ele pode escolher então ele tem que fazer as escolhas certas, e para tal precisa saber mais, pois de suas escolhas dependerá a sua segurança e a dos demais. Mas uma coisa que eu acredito é que ninguém ensina ninguém. Quando você estiver pronto para aprender você o fará. Sim, eu acredito que educar o usuário é necessário, senão não faria este blog. Acho que temos que disponibilizar a informação para aqueles que estão prontos para absorvê-la.

Continuo achando que temos que melhorar sempre o software que produzimos, e estamos muito longe do que pode ser feito sem prejuízo algum em funcionalidade. Podemos entregar o que entregamos muito mais perto de ser bug-free do que hoje.

Mas acima de tudo acredito que o ser humano gosta de liberdade e aprende com seus erros, pagando o preço por isto. Cabe aos usuários as escolhas, e eles sempre escolhem viver no limite de onde sentem que podem ir. Por isto acima de tudo acredito na frase final do Markus Ranun: no futuro as coisas serão tão inseguras quanto poderão ser, de forma que ainda funcionem. Assim como hoje !

Esta citação eu tirei de uma interessante discussão de dois grandes pensadores em segurança Bruce Schneier e Markus Ranum. Vale a pena ver os dois artigos:

http://www.ranum.com/security/computer_security/editorials/point-counterpoint/homeusers.htm

1. Você está tentando proteger o conteúdo de quem deve ter acesso a este. E portanto você tem que dar acesso ao conteúdo de uma forma “controlada”
2. Se sua proteção funciona para 99% dos usuários e apenas uma pequena parte é capaz de burlar seu sistema falhou. Porque provavelmente boa parte dos 99% já seriam usuários que não iriam tentar burlar. E quem conseguiu burlar tem custo nenhum para fazer quantas reproduções desejar, ou distribuir online, etc, etc…
3. O sistema penaliza quem não deveria ser penalizado. Repare que muitas vezes a proteção causa algum tipo de amolação ao usuário, justamente o bom usuário que te sustenta. Muitas vezes ele não consegue usar o produto em todos os seus reprodutores, mesmo os que deveriam legitimamente tocar, ele perde o direito a fazer alguns usos que sempre foram considerados razoáveis (fair use) como ter uma cópia de segurança, e por aí vai. Ou seja é um sistema que causa muito mais problemas para quem é honesto do que para quem não é.
4. Algumas proteções não precisam ser necessariamente quebradas. Se meu dvd possui conteúdo criptografado eu não preciso quebrar a criptografia. Basta conseguir fazer uma cópia 100% fiel da mídia.

Entrando mais em detalhes no ponto 1 temos que entender o que é uma forma “controlada” de prover conteúdo. Como eu já expliquei se eu encripto um conteúdo eu tenho uma chave de criptografia.

(abrindo um parênteses, criptografar nada mais é que aplicar uma função matemática que torna praticamente impossível a um terceiro “ler e entender” o conteúdo. Esta função tem que ter uma função de retorno que permita recuperar o original. Se eu utilizar todas as vezes a mesma função eu perco a capacidade de individualizar a mensagem. Basta eu conhecer a função de retorno da mensagem A para ser capaz de ler a mensagem B, mesmo que eu não deva. Criar um algoritmo de criptografia de qualidade é algo bastante desafiador, e utilizar uma funcao diferente para cada mensagem seria impossível. O que se faz então é utilizar algoritmos muito bons que tem como uma das suas entradas uma chave que permite individualizar aquela “sessão de encriptação”. )

E esta chave criptográfica é necessária ao recipiente para poder decriptar. Logo ela deve vir junto de um conteúdo de mídia com DRM. Recentemente o tão badalado esquema de criptografia dos novos formatos de vídeo de HDTV foi quebrado simplesmente realizando uma busca em todo conteúdo do DVD. A idéia do sujeito foi super simples. Se ela está lá basta fazer uma busca byte a byte. E ele varreu todo o conteúdo do DVD testando todas as seqüências de byte como chave para decriptar o conteúdo. Batata ! Em algum tempo achou.

Então como podemos acrescentar algum controle a isto ? Somente se o usuário não puder fazer o que quiser com os leitores de mídia. Mas os computadores são de propósito geral e fazem tudo que seus donos os “instruem” a fazer dentro do que é computacionalmente possível. E esta arquitetura aberta que é o grande charme do PC. E quando eu digo PC aqui, quero dizer no sentido lato, mas principalmente na família IBM PC, que foi realmente um projeto totalmente aberto. Nã0 é por outro motivo que foi a arquitetura vencedora da guerra mercadológica nas últimas décadas apesar de em muitos casos não ser tecnologicamente a mais avançada.

Então a solução é criar um PC em que seu dono não possa fazer tudo. Isto tem nome e já existe. É a chamada Trusted Computing Plataform (plataforma de computação confiável). Na qual é possível confiar que o usuário não vá bolir com “certas áreas protegidas”. E a proteção é por hardware. Imagine um pc de propósito geral igual ao que você possui. Mas ele tem áreas de memória que você (e nem mesmo o sistema operacional) consegue acessar, e roda códigos que você não pode alterar.

Aí dá para ter DRM. Porque eu mando uma mensagem para o seu TC module e ele cuida das funções de decriptar e te repassar o conteúdo (não exatamente, mas próximo disto). Dá para ter proteção contra cheating em jogos online (MMORPGS), dá para ter ferramentas de segurança mais poderosas (antivírus, antispywares), dá para proteger o conteúdo do HD do seu laptop contra roubo(criptografando). Dá para fazer coisas muito legais como identificar sua máquina na internet de forma única e sem repúdio (e viva a privacidade) !! Dá até para impedir que você troque o sistema operacional da sua máquina. Sua ? Bom… acho que não é mais uma máquina para chamar de sua… Reparou que isto quebrou totalmente o grande charme da arquitetura do PC e a raíz do seu sucesso ?

Outra opção é não sofisticar tanto, não precisa ser por hardware. Se eu consigo simplesmente mexer no seu sistema operacional e colocar um módulo de software rodando no nível mais alto de permissão. Com este módulo eu posso monitorar e controlar muita coisa que o usuário pode tentar fazer mas não é do interesse do proprietário do conteúdo. E eu posso fazer isto tudo sorrateiramente de forma a ficar transparente para o usuário que existe este módulo. Mas os hacker já faziam isto há muito tempo. Era chamada a tecnologia de rootkit. Pois foi exatamente o que a Sony fez há pouco tempo atrás e o resultado foi o maior bafafá quando descobriram. Engraçado que apesar de pedir desculpas em público ela parece que não aprendeu a lição pois recentemente lançou um USB Stick utilizando a mesma tecnologia.

Agora porque você precisa burlar o sistema operacional se você já pode ter todas estas “features” com alta agregação de valor para o usuário final embutidas pelo próprio fabricante. É isto que a Microsoft fez no Vista. Reescreveu o sistema operacional inteiro do zero para incluir nova arquitetura de segurança que inclui um suporte visceral para DRM. Uma análise completa do que implica esta nova arquitetura eu deixo para o Peter Guttman em seu paper Uma análise de custo do Sistema de DRM do Windows Vista. O paper é inglês e esbarra em um certo tecnicismo, mas não é uma leitura difícil.

A idéia nunca foi para frente porque uma página de artigos precisa ser feita e cuidada. Artigos precisam ser escritos e dão trabalho. Nada pior do que fazer algo para nunca ser atualizado e cair na mesmice.

Então sempre fiquei nesta até que há alguns meses comecei a pensar neste blog mais no formato final. Inspirei-me em alguns outros projetos.

Talvez o principal seja o Security Now. Este é um podcast semanal que o Steve Gibson, junto com o apresentador Leo Laporte, faz todas as quintas-feiras explicando segurança para “leigos”.

O Steve Gibson é uma figura controversa. Ganha dinheiro principalmente com um produto de recuperação dados de HDs que até hoje escreve em ASSEMBLY. Para quem não sabe é praticamente linguagem de máquina, a forma mais complexa possível de desenvolver algo.

Hoje em dia desenvolver aplicações totalmente nesta linguagem é uma coisa para “macho”, e totalmente sem sentido pois é plenamente possível escrever apenas partes específicas do seu sistema que requeiram velocidade extrema e chamá-las de um esqueleto mais organizado escrito em uma linguagem de mais alto nível.

O Steve Gibson também já comprou umas brigas esquisitas, meio por causa de sua personalidade de papagaio. Afirmou que uma vulnerabilidade do Windows no ano passado (wmf) só poderia ter sido criada deliberadamente, e nunca um erro de programação, o que foi negado pela MS posteriormente.

O Leo Laport além deste podcast, tem vários outros, cobrindo uma gama de assuntos relacionados a tecnologia. Na verdade ele prefere chamá-los de netcasts, devido a política da Apple que tem processado que usa o afixo Pod em seus produtos. Outro que gosto muito é o TWIT (This Week in Tech) onde ele discute com um grupo de nerds famosos o que aconteceu na semana.

O problema do Security Now é que apesar do Steve Gibson ser muito bom nas suas explicações e procurar ser didático em alguns momentos escorrega na linguagem. Eu diria que é perfeito para quem tem uma boa noção de computação mesmo não sendo profissional. É bem estruturado. Os tópicos vão evoluindo em uma linha lógica. Mas é em inglês falado que derruba muita gente, até quem lê e escreve.

Outra iniciativa que me inspirou foi do Scott Granneman, que é um colunista da Security Focus.  Praticamente quando eu decidi que precisava realmente colocar em prática a idéia deste blog, foi ao ler sua coluna. Ele comentou há um tempo atrás da necessidade de educar o usuário com exemplos simples. E resolveu criar um wiki para hospedar estas explicações. Aberto para quem quiser contribuir. Mas em inglês é claro. Curiosamente ele fala do Steve Gibson também ao explicar a sua iniciativa.

Fora isto devo citar o Bruce Schneier que foi uma pessoa que já colocou muitas idéias no lugar para mim. Conceitos que você aprende de uma forma técnica ou empírica, mas que não sabe como explicar de uma maneira fácil. Ou que nunca correlacionou com outras coisas. A referência básica é o Segredos e Mentiras. Leitura de qualidade para qualquer pessoa independente do nível de conhecimento de segurança e computação. Este livro que me mostrou pela primeira vez que dá para falar de segurança de uma forma simples e clara para que qualquer um possa entender e ainda assim chegar em um nível de profundidade muito bom.