Archive for category Segurança da Informação (SI)
Calculo do ROI – Banners
Publicado por Aldo Silva em Processo de Negócio, Segurança da Informação (SI) em 15/05/2012
Você desenvolveu um site sobre sua empresa e precisa divulgá–lo. Um site que ninguém vê é como um folder de sua companhia no meio do deserto do Saara.
Sem clientes não há negócios. Para atrair visitas, que serão os possíveis clientes, é preciso divulgação dentro e fora da internet. Vamos nos deter aqui em um método de divulgação de baixo investimento, partindo do princípio básico que é evitar gastos de retorno incerto.
Como saber o quanto é seguro investir? Para descobrir se o dinheiro que emprega em publicidade na internet está valendo a pena ou é tudo prejuízo existe o ROI.
ROI é o Retorno do Investimento sobre suas campanhas. Seu cálculo é simples. ROI = Lucro Líquido – Custo da Campanha.
Vamos usar como exemplo uma campanha de banners, que podem ser comparados ao outdoor no mundo fora da internet. A forma mais popular de comercialização de banners é o CPM ou Custo por Mil Impressões (impressões em tela).
Uma campanha simples, onde você não seleciona quem será sua audiência, não deve custar mais de R$ 20,00 CPM. O veículo deve pedir um mínimo de 10.000 impressões, o que daria R$ 200,00.
Já a performance de um banner é medida em “Click Through” (CT), valor que representa o número de vezes em que um banner é clicado. A média mundial é menor que 1%, portanto vamos trabalhar com esta figura.
Em nosso exemplo você comprou 10.000 impressões, que resultaram em 100 visitas (1%), pagou R$ 200,00 pelos 100 internautas, ou seja, R$ 2,00 por visitante.
O próximo passo é saber a Taxa de Conversão (TC) que representa o número de pessoas que precisam visitar seu site para realizar uma venda. Seu provedor deve oferecer um relatório de estatística de acessos para você calcular a TC, dividindo o total de visitas em determinado período pelo número de vendas ocorridas. Se seu provedor não oferece nenhum tipo de estatística, você pode usar um serviço baseado na internet (WebTrends, por exemplo) ou procurar um provedor melhor. Pense nisso!
O valor que vamos usar aqui é 2%, uma taxa de conversão bem realista. Significa que a cada 50 internautas que vêm ao site uma venda é concluída.
Agora você sabe que cada visita custou R$ 2,00 e você precisa 50 visitantes, então o custo para vender uma unidade do seu produto é de R$ 100,00. O Lucro Líquido por produto tem que ser maior que isto ou o ROI fica menor que zero e você estará jogando dinheiro fora. Vamos mostrar o esquema de outra forma e você mesmo poderá adapta–lo a suas campanhas e ficar sempre no lado seguro.
Custo da Campanha
Trata–se do custo total da campanha que está sendo estudada. 10.000 impressões a R$ 20,00 CPM = R$ 200,00
CT (número de pessoas que clicam no banner) = 1% = 100 visitantes
CV (custo de cada visita) = 10.000 impressões / CT = 1% de R$ 200 = R$ 2,00
TC (taxa de conversão ou número que visitas por venda) = 2% (realista) Isto significa 50 visitas para cada venda.
CC (custo de conversão ou quanto custa cada venda) – Para R$ 200,00 houve 100 visitas e apenas duas vendas, ou seja, R$ 100,00 por negócio.
Parecia tão baratinho pagar apenas R$ 20,00 para cada mil vezes que seu banner ia aparecer, não é? Mas neste exemplo a realidade é bem diferente. Usamos banners para uma audiência não selecionada. Se você puder anunciar em sites segmentados e mais próximo de seu público alvo, os resultados podem ser melhores.
Agora você está pronto para proteger seu investimento, sabendo como calcular o custo de venda de seus produtos baseado em campanhas de publicidade.
Há ferramentas para controlar o resultado de suas campanhas de banners. Sugiro neste caso o ROIbot, que é fácil de usar para estas e outras tarefas.
Use este conhecimento fora da internet também. Com pequeno esforço você pode saber o ROI de campanhas de outdoor, tv, rádio, jornal, etc. E principalmente saber se está empregando bem o seu dinheiro.
fonte :uol
Desmotivação Profissional
Cinco parâmetros para medir a qualidade das aplicações
Publicado por Aldo Silva em Processo de Negócio, Segurança da Informação (SI) em 08/05/2012
Um software bem concebido, bem arquitetado e bem executado possui alta qualidade. É fácil trabalhar com ele, mantê-lo e melhorá-lo para suprir as demandas dos negócios. Nós sabemos que medir a qualidade do software é bom, mas podemos, de fato, medi-lo? Sim, graças a produtos que realizam essa tarefa.
Em uma aplicação, a qualidade de qualquer componente depende de outros componentes que ele está integrado. A qualidade de um aplicativo como um todo é, portanto, mais do que simplesmente a soma da qualidade de seus componentes. O erro mais frequente em engenharia de software é esquecer esse fato.
Por isso, qualquer sistema que possa ajudá-lo nessa tarefa deverá medir cinco pontos:
1. Alcance: deve ser capaz de lidar com várias tecnologias. A maioria dos aplicativos modernos contém vários idiomas e sistemas que são ligados entre si de forma complexa.
2. Profundidade: deve ser capaz de gerar mapas completos e detalhados da arquitetura do aplicativo do Graphical User Interface (GUI), ferramenta de captura, processamento e análise de imagem, para o banco de dados. Sem essa detalhada arquitetura, seria impossível obter contextualização da aplicação.
3. Tornar o conhecimento explícito de engenharia de software: deve ser capaz de verificar a aplicação inteira contra centenas de padrões de implementação que codificam as melhores práticas de engenharia.
4. Métricas acionáveis: as métricas de qualidade não devem apenas informar, mas também orientar sobre como realizar a melhoria da qualidade do software, mostrando o que fazer primeiro, como fazê-lo, próximos passos etc.
5. Automatização: finalmente, deve ser capaz de realizar todos os pontos descritos acima de forma automatizada. Nenhum profissional ou equipe pode fazer essa tarefa, muito menos fazê-la em um curto espaço de tempo.
É importante medir a qualidade do software, mas é igualmente importante executar a atividade de forma correta. Essa ação é muito útil no desenvolvimento de software, mas, muitas vezes, é melhor não ter medição alguma do que contar com uma errada.
fonte : http://cio.uol.com.br/tecnologia/2012/05/08/cinco-parametros-para-medir-a-qualidade-das-aplicacoes/
Veja também: Organização Funcional X Centrada em Processos
Kerberos
Publicado por Aldo Silva em Segurança da Informação (SI), Segurança de TI em 17/04/2012
Kerberos é um protocolo desenvolvido para fornecer poderosa autenticação em aplicações usuário/servidor, onde ele funciona como a terceira parte neste processo, oferendo autenticação ao usuário.
Para garantir a segurança, ele usa criptografia de chave simétrica, com o DES.
O Kerberos foi desenvolvido como parte do Project Athena, do Massachussets Institute of Technology (MIT). Seu nome vem da mitologia, onde Cerberus (Kerberus para os gregos) é um cão com três cabeças que tem por missão proteger a entrada do inferno de Hades.
O que faz o Kerberos:
Para explicar o que faz o Kerberos, vamos usar algumas analogias baseadas The Moron’s Guide to Kerberos, Version 1.2.2.
Na vida real, usamos rotineiramente uma autenticação, na forma de (por exemplo) uma carteira de motorista. A carteira de motorista é fornecida por uma agência, na qual podemos supor confiável, e contém dados pessoais da pessoa como nome, endereço e data de nascimento. Além disto pode conter algumas restrições, como necessidade de óculos para dirigir, e mesmo algumas restrições implícitas (a data de nascimento pode ser usada para comprovar maioridade). Finalmente, a identificação tem um prazo de validade, a partir do qual é considerada inválida.
Para ser aceita como autenticação, algumas regras devem ser observadas: ao apresentar a carteira, não se pode ocultar parte dela (como foto ou data de nascimento). Além disto, quem verifica a autenticação deve reconhecer a agência que forneceu a autenticação como válida (uma carteira de motorista emitida no Brasil pode não ser aceita fora do território nacional).
Kerberos trabalha basicamente da mesma maneira. Ele é tipicamente usado quando um usuário em uma rede tenta fazer uso de um determinado serviço da rede e o serviço quer se assegurar de que o usuário é realmente quem ele diz que é. Para isto, o usuário apresenta um ticket, fornecido pelo Kerberos authenticator server (AS), assim como a carteira de motorista é fornecida pelo DETRAN. O serviço então examina o ticket para verificar a identidade do usuário. Se tudo estiver ok o usuário é aceito.
O ticket deve conter informações que garantam a identidade do usuário. Como usuário e serviço não ficam face a face uma foto não se aplica. O ticket deve demonstrar que o portador sabe alguma coisa que somente o verdadeiro usuário saberia, como uma senha. Além disto, devem existir mecanismo de segurança contra um atacante que “pegue” um ticket e use mais tarde.
Explicando como funciona:
Vejamos como o Kerberos trabalha. Usuários e serviços que utilizem o Kerberos possuem chaves armazenadas no AS. As chaves dos usuários são derivadas de senhas escolhidas por estes, e as chaves dos serviços são geradas aleatoriamente.
Diferença entre Chefe & Líder
Publicado por Aldo Silva em Processo de Negócio, Segurança da Informação (SI) em 05/04/2012
leia também : Gerenciamento de Problemas
Técnicas de ataques hacker
Publicado por Aldo Silva em Segurança da Informação (SI), Segurança de TI em 30/03/2012
Abaixo Técnicas mais comuns de invasões :
Ataques de canal de comando
Esta técnica ataca diretamente um serviço específico, através do envio de comandos da mesma forma que o servidor geralmente recebe. Muito usados em forma de Worm causando negação de serviço.
Ataques direcionados à dados
É o que envolve as informações transmitidas pela rede, ou vírus transmitidos por correio eletrônico, geralmente para roubo de informações que trafegam pela rede, com senhas de internet e números de cartão de crédito
Ataques de terceiros
Caso se permita conexão entrante em qualquer porta acima da 1024, na tentativa de dar suporte a algum protocolo, bastaria utilizar um firewall configurado para não permitir conexões em portas não usadas acima de 1024.
Falsa autenticação
Um dos maiores riscos à redes de computadores, por exemplo, criptografar uma senha e enviá-la pela rede por si só não funciona, pois um hacker pode estar coletando informações que trafegam pela rede com um sniffer (programa que permite capturar dados que trafegam pela rede) e depois usa a senha de forma criptografada mesmo para acessar o sistema.
Packet sniffing
O sniffing é um software que captura as informações que trafegam pela rede, dados importantes devem ser criptografados antes de serem transmitidos de forma que somente o computador de destino possa descriptografá-los. Porém, mesmo um arquivo autenticação criptografado pode ser usado para ataques, mesmo sendo impossível descriptografa-lo: Imagine capurar um pacote usado em hashes (utilização de usuário e senha) se um invasor obter um pacote destes, mesmo sem descriptografar, ele pode apresentar ao servidor de autenticação como sendo dele, o arquivo pode ser usado como credencial. Uma boa estratégia é utilizar servidor Kerberos (A versão 5 do kerberos que é uma versão simplificada, já é nativo no Windows 2003 server quando configurado para controlador de domínio), este método de autenticação tem tempo limite de concessão de tickets que serão usadas na autenticação, deve ser usadas em até 5 minutos, mas este tempo pode ser configurado de acordo com as necessidades da empresa no secpol.msc do servidor.
Injeção de dados
Um invasor que tenha acesso ao roteador que faz a conexão cliente-servidor, pode alterar os arquivos capturados ao invés de somente le-los, causando problemas na integridade do arquivo.
Syn Flod
É um dos ataques mais comuns de negação de serviço, visa impedir o funcionamento de um host ou de um serviço específico. Tudo se baseia na forma com que funciona as conexões a um servidor como no exemplo:
O computador cliente envia um pacote para o servidor com um flg-syn, que indica que deseja fazer uma conexão, o servidor responde um pacote contendo os flags SYN e ACK, indicando que aceitou a solicitação e aguarda o cliente se identifique para que o requerimento seja atendido, o ataque consiste em se enviar várias solicitações com endereço de origem forjado, com isso os usuários autênticos ficam impedidos de fazer uso dos serviços. Causando indisponibilidade.
Ping of death
Consiste em enviar vários pacotes ICMP Echo-request (usados em testes de conexões) com um tamanho muito grande 65500 Bytes, que são muito maiores que o padrão de 32 bytes ocasionando um congestionamento e problemas no servidor, pode ser facilmente evitado com a utilização de um firewall que não permita ping´s superiores à 32 bytes ou simplesmente negue estes pedidos.
IP spoofing
É o nome dado a falsificação de endereços IP, esta técnica permite ao invasor assumir a identidade de qualquer outro computador da rede, através desta técnica, o atacante pode tirar proveito de hosts confiáveis, aí é só acessar os dados. Em um servidor linux este tipo de ataque pode ser evitado facilmente com um firewall, porem a maioria das distribuições já vem com anti-spoofing ativado por padrão.
Ataques com uso de BOTS
Bots são malwares usados para ataques, um computador infectado com um BOT não tem sintoma algum (travamentos, lentidão etc..) O bot fica inativo no sistema até uma data e hora específica (coordenado a distância pelo criador do bot). Geralmente, hackers usam estes bots, espalhando-os pela internet até infectar milhões de computadores, após este periodo e muitos sistemas infectados, o hacker dá início a ação dos bots atacando um servidor por exemplo, com milhõs de “computadores zumbís” como seus aliados, e os donos dos computadores nem se dão conta disso.
Este ataque é capaz de “tirar do ar” grandes servidores de empresas globais.
Kerberos:
Da mitologia, existe o Cerberus, que é um cachorro de trez cabeças que guarda as portas do inferno, baseado nisso, o sistema de autenticação Kerberos é um sistema de autenticação baseado em 3 servidores, (concessão de tickets, autenticação e Serviços)
fonte : Professor André Silvertone
Leia também: Ataque com SSLStrip
-
Está a visualizar o arquivo da categoria Segurança da Informação (SI).
Parceiros
