Notícia publicada por brain em setembro 13, 2004 09:57 AM
| TrackBack
Daniel Zilli (daniel@zilli.gulinuxsul.org) enviou este link e anunciou: "Gostaria de informar que já está disponível meu mais novo livro para vocês. Desta vez o assunto é segurança, e o melhor de tudo, segurança 100% ! Espero que gostem da minha contribuição para esse assunto. Todo feedback é bem vindo!"
O download é em PDF, e a descrição informa: "O Guru Estava Errado! Estar 100% seguro é possível e viável! Neste mini livro desmistifico a segurança 100% e mostro como chegar lá. É de fácil leitura, objetivo e muito prático. Aqui não tem enrolação ou enchimento de lingüiça só para ganhar páginas. Proteger-se nunca foi tão fácil!"
O arquivo deve estar corrompido. baixei-o e o reader nao consegue abrir.
Não estou conseguindo abrir ou baixar o livro,creio que o link deva estar com problema... : /
também não consegui baixar nada...nem sequer o download inicia-se...
Se alguem puder dar um toque para o autor...
"segurança 100%". Não querendo ser muito crítico sobre o assunto, mas 100% não é muito prepotência?
PS. Não lí o PDF ainda...
Quase 100% é possível com o computador desligado, dentro de um cofre, em um abrigo nuclear. Mas estes 100% podem ser relativos... A segurança 100% de um desktop usado para editar textos é diferente da de um servidor de impressão, que por sua vez é diferente da de um servidor para e-commerce, que é diferente da de um servidor militar. O contexto é importante.
O site está hospedado no EUA e parece que está OFF line mesmo!
Se alguem tiver um espaço em algum site ON, posso enviar o arquivo.
Mesmo sendo relativo não é 100% nunca...
Mesmo para um usuário de editores de texto não é 100%, só para exemplificar ainda hoje foi divulgada uma falha no OpenOffice/StarOffice que está ligado a arquivos temporários, podendo ser explorada para visualizar arquivos.
Abraços
Daniel,
Manda para o meu email que eu coloco no ar para vc. Estou curioso com seu livro já que trabalho há 6 anos com segurança.
Abraços
Antonio Marcelo
PS : o email é info@plebe.com.br
Grande Antonio Marcelo, tu tá sumido heim! Dá uma ligada. Voltando ao assunto: 100% ? Essa eu vou querer ver. Mas você não acha 100% um exagero? Visto que existem diversos exploits privates rolando por essa Internet a fora. :)
Esse vou querer ver. ehehehe
[]'s
Gondim
Pessoal,
O arquivo do Daniel já estam em http://www.plebe.com.br/freeminds para o download. Eu testei e abri, está legal. Deixa eu ler que eu vou externar a minha opinião, já que o Gondim falou algo super certo...
[]s
Amarcelo
Sem querer ser chato, mas surge uma dúvida, 100% quer dizer segurança completa, nunca falhar, etc, etc, etc...
O link do pdf estar fora do ar... faltou segurança nos servidores que hospedam... acho que seria legal traduzir para inglês e enviar para os administradores.
Tipo na pg 15?
39. Utilize sempre o sistema de arquivos NFTS.
Não seia "NTFS"?
Flws
T+
Bom... acho que não podemos em hipótese alguma tratar a segurança com relatividade, segurança é segurança e ponto final, independente do contexto em que ela está inserida.
Sempre trabalhamos para chegar aos 100%, mas como profissionais sabemos que é bastante complicado afirmar isso.
Parabenizo o Daniel Zilli pelo material, ótima iniciativa, mas acho que pelo nível de segurança abordado no PDF o título do livro talvez tenha sido um pouco infeliz e gerado tanta polêmica.
Discordo, Cassio. Há medidas de segurança que fazem sentido quando em um contexto de aplicações militares, por exemplo, que são impensáveis ou até mesmo inaplicáveis quando se trata da segurança de um terminal de ponto de venda. Ambos podem trabalhar com segurança máxima dentro de seu contexto, mas o que é considerado como ameaça em cada um dos casos é bem diferente.
Gostei muito do livro. Excelente.
Apesar de já trabalhar, também, com seguran(c-cedilha)a, aprendi algumas coisas novas.
Fiquei muito feliz de ler a recomenda(c-cedilha)ão quanto a programas clientes de e-mail e internet.
Eu sempre digo para os meus clientes a mesma coisa.
Achei o livro bom mesmo, e como já foi citado é muito bom pra carragar pra lá e pra cá, distribuir nas empresas, até fazer palestras a respeito.
Creio que o comeco para a seguranca está em ter consciencia de que nao existe 100%. Desculpem se estou sendo muito rigido, mas, este titulo é uma piada, se levado ao pé da letra.
O 100% aplicado a segurança so deve ser usado em uma abordagem especifica, com definicoes especificas, já um titulo é muito amplo.
Espero que o documento seja melhor que o titulo.
Novamente comentando sobre o título.
100% ? Está parecendo aqueles ótimos livros que dizem aprenda tal coisa em 24hs, etc.
Se levar em conta que a segurança está diretamente relacionada a qualidade do software, hardware e ambiente o qual o serviço está inserido e ainda sabendo que todos estes itens foram feitos por pessoas.
Bem, só com isso é possível provar que garantir 100% é algo infundado.
Não li o PDF mas acredito que o autor queira dizer que é possível se proteger bem, porém assumindo um ambiente ideal, onde os aplicativos não possuem vulnerabilidades, etc.
[ ]'s
Emerson
Perfeito Augusto, diante do que você disse eu concordo plenamente. Só que não me referi aos meios que tornam um sistema seguro (ou não) e sim à utilização do termo "segurança".
Independente do contexto a segurança vai ser a segurança, o que vai mudar são as políticas, as ferramentas, as soluções que devem ser implementadas para aquela situação específica.
Espero que tenhas entendido a maneira como quis colocar o termo.
Abraços,
Pessoal,
Como um livro introdutório está muito bem apresentado, mas não vamos levar ao pé da letra a história dos 100% e sim considerar uma obra de iniciação a segurança. Acho muito louvável a iniciativa do Daniel e devemos apoiá-la.
Tem restrições, claro ! Mas temos que dar um crédito ao trabalho e apoiá-lo. Vou procurar dar algumas dicas ao Daniel (se ele aceitar, é lógico...) de como colocar mais informação no doc.
Abraços
Antonio Marcelo
DANIEL ZILLI estava errado!
Pelo menos no título de seu "livro" de 23 páginas. O Daniel diz que pode haver segurança 100% porem não diz como, apenas lança um bando de recomendações óbvias sobre como lidar com segurança da informação. Porem algumas de suas recomendações eu discordo:
"5. A rede deve possuir um sistema de no-breack e ser estabilizada com energia de qualidade."
No-break (é assim que se escreve) sem testes periodicos é quase a mesma coisa não ter no-break. O texto não faz referência ao uso de geradores.
"16. Este passo é muito importante! Atualize sempre seu sistema. Algumas distribuições fazem isso automaticamente outras não, por isso esteja sempre atento aos updates da sua distribuição. Você pode fazer isso assinando boletins de aviso sobre atualizações que algumas distribuições possuem ou visitando diariamente seu repositório. Lembre-se, um sistema atualizado é um sistema seguro."
Nem sempre um sistema atualizado é um sistema seguro:
- a correção pode causar problemas no sistema, testes e um plano de mudanças podem minimizar o risco de problemas na aplicação de correções e atualizações
- sempre corre-se o risco de haver "exploits" privados que possam afetar o sistema.
- essa prática não protege do "zero-day exploit", ou seja de um exploit que seja criado após a vulnerabilidade ser descoberta porem antes da correção ser lançada.
"28. A verdade dói...mas não existe segurança 100% com o Windows."
Lamento mais tambem não há em outros sistemas.
"39. Utilize sempre o sistema de arquivos NFTS."
Já foi falando a cima.
"4. Nada adiante deixar o servidor trancado se as mídias de backup ficam para o lado de fora. O backup deve ficar junto ao servidor ou num outro lugar seguro."
"49. Um último aviso! As mídias de instalação e backup do Windows devem estar livre de vírus e programas maliciosos. Não adianta você formatar sua máquina se o seu cd de instalação vem com vírus junto. Acredite ou não, isso é mais comum do que se imagina, principalmente se o cd é pirata."
Esses dois trecho são os únicos que mencionam a palavra "backup", mesmo assim indiretamente. Convenhamos, o backup é a pedra de salvação de todo o administrador de rede, uma boa gerencia de backup com definição de criticidade, proteção de mídia, teste de backup, descarte entre outros é fundamental.
O "livro" não aborda:
- A possibilidade da vulnerabilidade surgir de um código produzido dentro da própria empresa. Por exemplo uma página web no site da empresa pode permitir um SQL injection.
- O uso de IDS (Intrusion Detection System) de rede e de host, um ferramenta fundamental para monitoramento.
- Segurança quanto a incêndio, desabamentos, e outros desastres.
- O uso de assinatura digital para garantir a integridade das informações.
- Que a estrutura da rede (segmentos, roteadores, firewall, swicth, hub, cabeamento) é importante para melhorar o nível de segurança do seu ambiente.
- Política de backup.
- Definição de normas internas de segurança.
- Plano de continuidade dse negócio.
- Classificação de ativo da informação.
- Divisão de tarefas, rotação de funções, política de contratação e demissão.
- Auditorias periódicas.
- Risco de furtos, assaltos e invasões físicas.
- etc.
Enfim, o "livro" é introdutório e superficial. O grande erro que comente é prometer segurança 100% quando este não aborda muitos aspectos importante da segurança da informação.
O Título é bem impactante, mas este material está muito vago. Não dá para considerar um material de "segurança" que não fassa referência a ISO 17799 ou a COBIT.
Um bom material técnico tem que ter embasamento, senão se transforma em meras opiniões do escritor.
Parabéns pela iniciativa, mas temos que trabalhar neste material para deixá-lo respeitável.
Estou realmente supreso com os feedbacks. Posso adiantar que a maioria deles irei levar em conta e analisar com todo carinho. Claro que as pessoas que nem leram o livro e já desceram lenha eu nem levo a sério.
Perceberam como um título mexe com uma pessoa? O título foi tão comentado quanto o próprio conteúdo.
Aí...se eu vende-se esse livro...seria um best-seller, assim como o "Segurança Máxima". Opts! Segurança Máxima??? Vou mandar um email para o Autor do livro e dizer para ele trocar o título...xi, o autor é Anônimo!
Falando sério. Alguns comentários foram realmente coerentes e vou querer introduzir na próxima edição do livro. Quem quiser contribuir seja bem vindo. Mas para quem acha que é perda de tempo, surigo que escreva o seu próprio ebook e disponibilize para todos nós.
Abraços,
Daniel Zilli
Daniel,
Não desmereço o seu "livro", porem o título é deveras pretencioso. Não há como não comparar a pretenciosidade do título, com o conteúdo da obra.
Gostei do "JAMAIS use o Internet Explorer e o Outlook" - realmente diminue bastante a incidência de pragas da internet.
Página 14, item 23:
"Desabilite a resposta do ping do seu servidor. Seu servidor não precisa ficar respondendo ping"
Ahhh, eu odeio isso. Se o seu computador está ouvindo em alguma porta, ele pode ser detectado, com ping habilitado ou não. Além disso, desabilitar respostas ao ping quebra as RFCs mais básicas, que garantem a padronização necessária para o funcionamento da Internet.
A RFC 1122, diz, no item 3.2.2.6: "Every host MUST implement an ICMP Echo server function that receives Echo Requests and sends corresponding Echo Replies."
MUST é MUST. Parem de inventar pseudo-segurança acabando com a padronização da Internet.
Mais reclamações sobre o bloqueio de pings: http://www.hippy.freeserve.co.uk/nopings.htm
Por último, livro que promete "100% de Segurança" é igual aos livros que prometem "Aprenda XXX em 24 horas". Não presta. Esses livros ficam na fronteira entre os livros técnicos e os livros de auto-ajuda.
Daniel,
Já tive a oportunidade de ler outros trabalhos de sua autoria, como "Engenheiro Linux", e gosto muito da maneira que escreve, uma leitura simples mas ao mesmo tempo não perde em qualidade quanto aos aspectos técnicos. Gostei bastante do e-book e tenho certeza existe muita informação valiosa que com certeza incrementa a segurança de um servidor, seja ele Linux ou Windows.
O titulo é polêmico, mas para quem tem bom senso, sabe que é apenas um titulo e todos nós sabemos que nada é infalivel, principalmente quando se fala em segurança e tecnologia.
Enfim!!! Olhei rapidamente o e-book, depois de tanta polêmica, fiquei bastante curioso.
Parabéns pela iniciativa e em relação aos comentários!! Isto faz parte, afinal ninguem pode ser 100% (por cento).(risos)
Um abraço e continue com seu trabalho.
Pierre
Bem intencionado e bastante pretencioso.
Acredito que com o título, o autor tenha conseguido chamar atenção para que sua obra, tendo assim atingido um de seus objetivos. Chamar este pdf de livro e prometer algo que não é descrito satifatoriamente no documento (100% de segurança) é o que deixou as pessoas incomodadas.
Putz! A empresa na qual eu trabalho tem preocupação com segurança, sim. Chegou a comprar um cofre alemão, de 750 KG, anti-chamas e com ar-condicionado embutido. Porém, acredito que, quando os técnicos que definiram a compra caíram na real, e lembraram que utilizamos Windows NT 4.0 nas nossas máquinas, viram que era jogar dinheiro fora (na época, quase R$ 20.000,00). Em minas só chegaram a instalar cinco, em centenas de unidades. Francamente, fogo em prédio não é tão comum quanto ataques pela rede. Entenderam isso a tempo...
Daniel Zilli, "Segurança Máxima" é *BEM* diferente de "100% de segurança". 90% pode ser o máximo, por exemplo.
Não conheço o Daniel Zilli, mas lendo seus "livros" me parece que ele escreve sem conhecimento profundo de causa. Na verdade o que há no texto é um apanhado de informações que qualquer técnico básico e sem muito estudo sabe. Já li muitos trabalhos de faculdade sobre segurança que são melhores que isso. O seu outro livro mais famoso, "Engenheiro Linux" também me parece, a grosso modo, uma tradução rápida do Linux from Scratch e talvez mais uma ou outra bibliografia. Minha crítica é mais um desabafo, pois existem pessoas que passam 4, 5, 6 anos estudando sobre um assunto para poder escrever algo realmente bom, de cunho científico/prático, pra depois ter que competir com livros que podem ser escritos num fim de semana.
O autor sabe que 100% é impossível, mas a chamada e o texto (bem como o titulo do livro) é bem sensacionalista, e tudo mundo acaba lendo pra saber o que que o cara fala ou se é verdade. Este é o objetivo.
Alguem comentou acima que o dominio estava fora do ar, e isto é uma falha de segurança. Mas, isto não estaria no conceito de alta-disponibilidade e não de segurança? Ou segurança, também abrange alta-disponibilidade?
Nossa!!! Tanta confusão por causa de um titulo!!
Só acho injusto comentários como o do Antonio Klaus,
não conheço o Daniel pessoalmente, mas ninguém pode tirar o mérito dele em escrever, muito barbaro e deselegante falar do trabalho de alguém desta forma.
Se escrever fosse tão simples, todo fim de semana teriamos mais livros no mercado.
Agora já que você está criticando tanto, poderia escrever um e-book e disponibilizar para as pessoas da comunidade, tenho certeza que o Augusto publicaria também com imenso prazer.
Posso até ser um troll, mas criticas nestes níveis tem um nome técnico!! INVEJA.
Aprendam a valorizar o trabalho alheio, principalmente, porque o Daniel ainda quis dividir com a comunidade.
Não me alimentem!!!
Pierre
A política "falem mal mais falem de mim" que o autor adotou a meu ver causa mais problemas que benefício:
- Descrédito sobre um assunto tão importante.
- Falsa sensação de segurança.
- Limitação do debate sobre segurança, pois como disse acima o texto é limitado.
- Desmerecimento do trabalho de outros.
O trabalho do Daniel alêm de pretencioso é limitado e contêm vários erros. O fato de ter colocado disponível ao público não o isenta de críticas.
Alguns que replicaram dizendo que os que criticam deveriam criar um livro e disponibiliza-lo para comunidade. Isso é besteira, assim os críticos de cinema e literatura não poderiam criticar pois deveriam fazer filmes ou escrever um livros. Isso não é argumento. Alguns se predispoem a faze-lo outros não, qual é o problema.
A demais o Daniel não é o único a escrever sobre o assunto, no LinuxSecurity existem inúmeros artigos de qualidade disponíveis sobre o assunto, como esse do Carlos Diego Russo Medeiros:
http://www.linuxsecurity.com.br/info/general/TCE_Seguranca_da_Informacao.pdf
É um artigo de 2001, porem ainda muito útil e muito superior este pretencioso "livro".
Realmente a intenção com este título era chamar atenção. Eu concordo com o Augusto, um micro sem chances de ser invadido é um desligado e guardado no armario trancado. Não li o pdf mas pelos comentarios acredito que é muito superficial para falar sobre segurança 100%. O máximo que ele vai conseguir é a antipatia de algum (já nem sei mais como chamar, já inventaram tantas definições e eu vejo tantos "hackers" por aí que são "hackers" só pq apoiam a filosofia que acho que este termo não serve mais pra nada, coloque o que preferir aqui) e ser bastante importunado por eles.
Agora, este trecho é absurdo:
"4. Nada adiante deixar o servidor trancado se as mídias de backup ficam para o lado de fora. O backup deve ficar junto ao servidor ou num outro lugar seguro."
O backup junto ao servidor????? Duh... ouviu falar do blecaute de 3 dias em Florianopolis, onde uma explosão detonou a linha de transmissão de energia? Tinha backup sim, a linha secundária passava ao lado da primeira... Agora imagina um incendio, mesmo em pequenas proporções, e as midias de backup do ladinho... útil não?
Eu não confio no trabalho de alguém que escreve "vende-se" em vez de "vendesse": são palavras com significado completamente diferente. Falar sem dar ouvidos à semântica só gera coisas duvidosas e/ou contendo erros (a começar pelo título...).
"Protejer-se numca foi tão fácil!"
Socooooooooooooooooooooooooooooro!
Meu último poster neste tópico, mas não poderia deixar de escrever.
Pessoal, olhem o esforço do Daniel e tenham respeito pelo trabalho, pode ser que no texto existam falhas ou equivocos, mas tem muita coisa boa também, só erra quem tenta. E ele não errou, fez um trabalho que com certeza vai ajudar muitas pessoas que estão iniciando no Linux, sempre aprendemos, e o que é ruim para você, pode ser útil para outras pessoas.
O titulo é um detalhe na obra, quantos livros vocês já leram.
Daqui a pouco vão dizer que o livro do Linus Torvalds, "Linux por prazer" não tem haver com o cara.
E todo mundo sabe que o título é o marketing da obra. Engraçado como tem hackers de plantão que sempre estão ai para malhar e criticar de forma destrutiva, mas sequer param para contribuir com algo para a comunidade.
Mas vou ficando por aqui, a esta altura já virei "troll", mas tem atitudes que valem a pena, e a nossa consciência fica tranquila.
Era só isto.
Abraço a todos
Segurança é um processo, não um produto.
Podemos concluir que o autor sofre de carência afetiva, porque só precisando muito de atenção pra usar um título sensacionalista e absurdo desses. Digno de tablóide inglês sem credibilidade.
Como já citaram, nem mesmo um computador desligado, dentro de uma caixa cheia de concreto, jogado no fundo do mar, seria 100% seguro.
Repitam mil vezes o que o guru disse: segurança é um processo. Sem fim.
Primeiro perde-se tempo com discussões filosóficas sobre o título...
Depois, perde-se mais tempo procurando erros de português no texto...
Interessante como boa parte do pessoal busca primeiramente detonar a iniciativa de pessoas que buscam oferecer algo bom para todos.
Quando iremos chegar na fase do "gostei do seu trabalho! como posso colaborar?"
"Quando iremos chegar na fase do "gostei do seu trabalho! como posso colaborar?" "
Quando o trabalho for bom.
"Quando iremos chegar na fase do "gostei do seu trabalho! como posso colaborar?" "
Quando o trabalho for bom.
"Quando iremos chegar na fase do "gostei do seu trabalho! como posso colaborar?" "
Quando houver um trabalho bom para se gostar.
É isso mesmo Sérgio.
Jogar pedra na janela dos outros é fácil, mas é complicado quando nem temos janela para podermos enxergar além de nós mesmos.
Zilli,
Parabéns pela iniciativa, é assim que se faz mesmo, se mete a mão na massa e faz a coisa funcionar, talvez seria bom na próxima pedir uma revisão gramatical antes de publicar na web, quem sabe pra um conhecido seu bom em português ou quem sabe um profissional da área.
Pra finalizar, o link nunca esteve fora do ar, ele foi oferecido ao Zilli pelo Gu Linux Sul, como forma de apoio à iniciativa do Zilli, e o mesmo possui redundância e segurança de link de internet, oferecidos pelo data center contratado nos EUA, o que pode acontecer é falha do link internacional no Brasil ou falha em algum NS no meio do caminho, baixei o livro pelo link do site do Daniel Zilli e consegui ler perfeitamente o PDL.
Daniel ...
Parabens pela contibuição e por ter dedicado alguns kbytes de seu conhecimento a comunidade ...
Só um porem: Escolha nomes melhores e realmente utilize um corretor ortográfico ...
Postei seu livro para Download em minha pagina:
www.opencode.com.br
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.