| Profissionais trocam experiências no 2º Workshop de Segurança da América LatinaCerca de 200 pessoas se reúnem para discutir segurança na Internet Segurança. Esse é o desafio do novo cenário das redes acadêmicas nacionais que já dispõem de tecnologia avançada para o uso de aplicações em rede. “É necessário criar capacidade humana para continuar evoluindo, utilizando a infra-estrutura e as aplicações desenvolvidas com segurança”, explicou Nelson Simões, diretor-geral da Rede Nacional de Ensino e Pesquisa (RNP), na abertura do II Workshop de Segurança da América Latina, no dia 9 de outubro, no Rio de Janeiro. O evento, que reuniu cerca de 200 pessoas, integrou a II Conferência Latino-Americana de Resposta a Incidentes de Segurança (Colaris) e é o espaço, promovido pela RNP e pelo Fórum Internacional de Grupos de Resposta a Incidentes de Segurança (do inglês, FIRST), para a comunidade de Tecnologia da Informação e Comunicação (TIC) discutir temas relacionados à segurança computacional e de redes. A gerente do Centro de Atendimento a Incidentes de Segurança (CAIS) da RNP, Liliana Solha, defendeu a necessidade de promover e disseminar a cultura da segurança e explicou que a RNP tem o compromisso de incentivar a criação de novos Grupos de Resposta a Incidentes de Segurança (os CSIRTs). Também no discurso de abertura do evento, que foi patrocinado pelo Banco do Brasil, Banco Real, Visanet, Extreme Networks, Serpro, Rede Iris e Arcert, o diretor do FIRST, Chris Gibson, argumentou que a confiança é a chave para o estabelecimento da cultura da segurança. A teia de relacionamento dos CSIRTs é baseada na confiança entre grupos e na sua idoneidade para detectar, tratar, prevenir e relatar incidentes de segurança. O FIRST reúne cerca de 200 grupos de resposta a incidentes de segurança no mundo: desses, apenas 6 estão na América Latina e 2, no Brasil. “A realização de eventos como a Colaris visa à integração das pessoas, buscando com isso diminuir os efeitos dos problemas”, explicou Chris Gibson. No início da manhã, já começava a primeira palestra do workshop. O advogado Omar Kaminski, do Instituto Brasileiro de Política e Direito da Informática, falou sobre os crimes de informática sob a ótica jurídica. Segundo Kaminski, a legislação brasileira vem se tornando mais específica para tratar crimes de informática, mas ainda está longe do ideal. Para ele, o panorama sinaliza uma Internet mais burocrática, apesar do cenário de inclusão digital, talvez por falta de legisladores com conhecimento técnico, como engenheiros e profissionais de ciência da computação. Kaminski relatou a existência de projetos de lei já tramitando no Senado, que responsabilizam os proprietários de dispositivos de comunicação e de sistemas informatizados pela prática de crime de um de seus usuários, o que, para ele, é um desestímulo para atividades como a de provedores gratuitos, lan houses etc. Na seqüência, Patrick Cain, do Grupo de Trabalho Anti-Phishing (APWG), proferiu palestra sobre sua experiência na batalha contra o phishing. Cain discutiu as formas de combate ao phishing, que tantos prejuízos traz para empresas e usuários da Internet. Para ele, é importante que se compreenda que phishing significa fraude. A prática não está sendo utilizada apenas para roubo de dinheiro. A experiência americana aponta que há casos de phishing para falsificação de passaportes americanos, por exemplo. Uma das principais formas de se combater é por meio da educação de usuários da Internet. “As pessoas precisam entender a importância da sua identificação no site.” Além disso, Patrick acredita que o compartilhamento de experiências é uma das formas de se prevenir os incidentes de segurança com maior eficiência. “É preciso que construamos relacionamento, nos aproximemos de organizações internacionais e troquemos informações, para conseguir superar as técnicas dos phishers”, explicou ele. O representante do Grupo de Resposta a Incidentes de Segurança do governo argentino (ArCert), Rodolfo Baader, deu sua contribuição ao evento, relatando a experiência argentina para o estabelecimento da política de segurança obrigatória para o setor público. Baader afirmou que o principal desafio foi mudar a visão que as pessoas tinham a respeito de segurança na Internet. Esta, que antes era vista como um problema do grupo de TI, se tornou responsabilidade de todos da organização. A participação do CERT.br, Grupo de Resposta a Incidentes de Segurança do Comitê Gestor da Internet no Brasil, foi muito importante. Seu representante, Marcelo Chaves, apresentou estatísticas de respostas a incidentes de segurança no Brasil. O número de 2006, até setembro, já supera em mais de 100% o número de todo o ano de 2005. Esse quadro revela um aumento no número de incidentes, mas também um aumento na detecção, tratamento e relato desses casos de quebra de segurança. Para Chaves, essa situação exige uma combinação de soluções e tecnologias, além de maior investimento no treinamento e atualização dos profissionais de TI e na educação dos usuários de Internet. O coordenador do Centro de Tratamento de Incidentes em Redes do Governo Federal do Brasil (Ctir.gov), André Caricatti, falou sobre as estratégias de interação com redes do governo federal do Brasil. Ele explicou que o Ctir.gov, que representa a rede do Poder Executivo Federal, desenvolve relacionamento com outras redes do governo e com outros centros de resposta a incidentes baseado na confiança e não na hierarquia. O relacionamento é estabelecido por meio de seminários, reuniões, distribuição de informações e contatos individuais. Para ele, a interação proporciona muitas vantagens: intercâmbio de dados, fortalecimento dos canais de confiança, acompanhamento das inovações nos ambientes de TI e a melhora da visão dos riscos associados ao contexto da administração pública federal. Em seguida, Guilherme Vênere, do CAIS/RNP, relatou os desafios de segurança nas redes acadêmicas. Além do tratamento de incidentes de segurança e do monitoramento e detecção de atividade maliciosa, o CAIS dispõe de um serviço de divulgação de informações. “Estamos aproveitando para divulgar a necessidade de se pensar em segurança.”, explicou ele. Para isso, o CAIS promove, participa e realiza eventos como I Encontro dos CSIRTs acadêmicos, que aconteceu em maio deste ano. No dia 30 de novembro, o CAIS realizará atividades pelo Dia Internacional de Segurança em Informática, com o intuito de disseminar conceitos e práticas de segurança para pessoas e sistemas informatizados. Além disso, o CAIS produz e divulga alertas de segurança. Em 2005, foram distribuídos 84 alertas para mais de 3,4 mil inscritos na sua lista rnp-alerta@cais.rnp.br. Desses, 13 foram produzidos pelo próprio CAIS. Encerrando o primeiro dia de atividades do workshop, seis profissionais da área discutiram as diversas perspectivas de um incidente de segurança. Foram abordadas as diferenças das legislações. A americana, por exemplo, entende que o usuário precisa ser protegido e atribui o prejuízo sempre às instituições. Já no Brasil, há jurisprudências que entendem que os usuários são responsáveis e outras que responsabilizam as instituições. A importância da conscientização dos usuários também foi tema do debate. Iniciativas como a do governo brasileiro de elaborar cartilhas para os usuários de Internet vêm sendo questionadas. Um dos argumentos é que o treinamento dos usuários é mais importante que a sua conscientização. No fim do painel, todos os participantes reconheceram a vulnerabilidade da Internet e afirmaram apostar na constituição de uma rede de confiança com grupos de tratamento incidentes de segurança para efeitos das práticas criminosas. [RNP, 16.10.2006] | Notícias relacionadas: Cooperação é receita para combate aos incidentes de segurança na Internet Evento demonstra importância da construção de relacionamentos com grupos que cuidam da segurança na Internet [RNP, 16.10.2006] RNP e First promovem workshop de segurança Brasil sedia, pela primeira vez, o First Technical Colloquium [RNP, 13.09.2006] |