julho 25, 2006

[Segurança] Security officer demitido !

O blog "A Day in the Life of an Information Security Investigator" publicou um artigo bem interessante, chamado "Security Geek Fired: For Doing His Job?" que conta um caso real, onde uma empresa americana mudou de sede mas não seguiu as recomendações para implantar controles de segurança física no novo prédio (preferiu gastar $100 mil em móveis do que $30 mil em segurança). Após serem assaltados em um fim de semana e ficarem 2 semanas sem conseguir operar, o CEO da empresa resolveu demitir o Security Officer como bode expiatório, embora o CEO foi quem decidiu não seguir as recomendações do CSO.
História triste, mas que parece ser bem real.
Mostra a dificuldade que é implantar controles de segurança, para o bem da empresa, quando a preocupação dos gestores não é esta. Segurança só é percebida quando as coisas dão errado.
De qualquer forma, eu acredito que o bom profissional de segurança não deve ser avaliado pela ocorrência ou não de ataques (pois, acredite, um dia, mais cedo ou mais tarde, nós seremos atacados), mas sim pela sua capacidade em se prevenir o máximo que lhe for permitido e sua capacidade em recuperar rapidamente (e com segurança) a operação normal após um ataque.

julho 21, 2006

[História] Homem na Lua

Ontem, 20 de julho, fizemos 37 anos que o homem colocou o pé na Lua !

Os astronautas da Apolo 11 pousaram na Lua no dia 20 de julho de 1969.

duas fotos muito legais no site da NASA comemorando a data.

julho 20, 2006

[Segurança] Grande Firewall da China

Recentemente recebi através da lista anti-hackers a notícia de que foi "Quebrada segurança do firewall que China usa para censurar a Internet". O título da matéria é sensacionalista, e a redação se enrola um pouco para explicar que pesquisadores de Cambridge (Inglaterra) publicaram um trabalho no qual avaliaram o comportamento dos acessos para sites chineses e deduzidam qual é o sistema de bloqueio utilizado pelo governo Chinês: é baseado no reset das conexões TCP (coisas que os IDS's fazem há anos para interromper ataques e que alguns produtos comerciais de monitoração de conteúdo também fazem).

Na verdade a novidade não é a tecnologia utilizada em si, mas sim o fato de que eles descobriram (deduziram) como o governo chinês faz o bloqueio. Há várias formas de fazer este bloqueio. É falsa a imagem do "Grande Firewall Chinês" (algo equivalente no mundo virtual à Grande Muralha da China). Isto está mais para "um grande IDS" ou "um grande simples filtro de conteúdo".

E o método usado para descobrir foi simples: uma vez que o controle é bidirecional, eles avaliaram o fluxo de pacotes referentes aos acessos que eles faziam. Quando envolvia alguma palavra que poderia ser bloqueada, eles recebiam pacotes forjados de "TCP Reset". Hum... Por que forjados? Simplesmente pq os pacotes de RST tinham um TTL diferente do que os pacotes originais (e, portanto, foram enviados de outro equipamento, localizado antes do site de destino).

Ou seja, se alguém tenta fazer algo "proibido", o "Grande Firewall" envia um reset para a conexão e ela não se finaliza: as duas partes (cliente e servidor) interrompem a comunicação pensando que a outra fez o reset.

Outro ponto sensacionalista da reportagem é que é fácil burlar a comunicação. Na verdade, os pesquisadores conseguiram recuperar os pacotes recebidos durante o reset da conexão (não tratando o pacote de TCP RST). Porém isto não significa que o controle caiu: do outro lado, certamente, o site (ou usuário) também recebeu o reset e, este sim, abortou a conexão. Ou seja, a comunicação inteira, completa, não pode ser mantida - somente é possível recuperar o restante dos pacotes sendo parcialmente transmitidos. Só é possível, neste caso, recuperar os dados recebidos na ponta onde você tem controle, referente aos dados recebidos do último request - porém o "lado chinês" vai inevitavelmente interromper o envio de dados.

A reportagem contém um link para o trabalho dos pesquisadores: "Ignoring the Great Firewall of China".

[Fun] Vídeos legais

Separei abaixo dois vídeos do YouTube que são legais:

O famoso vídeo do Vanucci bêbado... (quase dá p/ sentir o bafo dele saindo do vídeo)



A vida é uma caixinha de suspesas... As coisas sempre podem piorar...
(Parte de uma entrevista muito engraçada no programa do Jô)

julho 14, 2006

[Segurança] Evolução dos ataques de Phishing

Um exemplo do estágio atual de evolução dos ataques de Phishing pode ser observado nas reportagens publicadas no Blog Security Fix (entitulado "Citibank Phish Spoofs 2-Factor Authentication") e no jornal The Register ("Phishers rip into two-factor authentication"), referentes a um ataque de phising ao CitiBank, direcionado a seus clientes corpotativos (Citibusiness), que utilizam tokens para se autenticar online.

Os ataques de Phishing estão se sofisticando a ponto de que, hoje, já é viável construir trojans (local) ou sites (remoto) que permitam a execução de ataques "Man-in-the-middle". Neste cenário, mais do que simplesmente coletar informações dos usuários de internet banking através de páginas de cadastro falsas, o atacante consegue intermediar as conexões válidas entre o cliente e o Banco, injetando informações (ou transações) fraudulentas. Ou, mesmo, pegando dados confidenciais dos clientes de uma forma mais eficiente.

[Geek] Cyborg Namedecoder

Aqui está uma coisinha bem fresca: no Cyborg Namedecoder, você cria uma decodificação nerd para seu nome, com uma fotinha louca de robô.


[Segurança] Phishing Encyclopedia

Para os interessados em acompanhar o surgimento de ataques de Phishing, uma dica interessante é o Phishing Encyclopedia disponibilizado pela Trend Micro.

Para cada mensagem de Phising identificada, há uma página com a descrição do ataque e reprodução (screenshot) da mensagem que foi enviada ao usuário.

julho 12, 2006

[Segurança] Reportagens sobre segurança em vídeo

Navegando no site do programa Olhar Digital, achei alguns vídeos muito interessantes relacionados a segurança da informação. As reportagens são bem feitas, com uma linguagem muito acessível e, ao mesmo tempo, com excelente qualidade técnica. Vários profissionais de segurança conhecidos aparecem (Ricardo Theil, Patricia Peck, renato Opice Blum, Anderson Ramos, Sêmola, Giuliano Giova/Perito, Marcos Prado, Sefer_Zohar etc).

Abaixo tem algumas delas, que achei mais interessante, e mantive parte da descrição original do site:

Segurança na Internet - Cuidados necessários
Reportagem excelente e bem objetiva, sobre os principais riscos associados ao mundo virtual e dicas de proteção.

Profissões Digitais - Segurança de Rede
Na era digital, informação é um bem mais que precioso. As empresas precisam ter seus dados guardados a sete chaves e quem é o responsável por garantir esse sigilo é um profissional chamado de: segurança de redes. (...) Ainda não existem cursos de graduação em segurança de redes. Para se tornar um desses xerifes virtuais, existem cursos complementares, de especialização, para quem já tem uma faculdade na área.

Profissões Digitais - Advogado Digital
(...) existem aquelas profissões tradicionais, que nos tempos modernos estão adquirindo novas características. Um bom exemplo é da consagrada área do direito que ganha uma roupagem nova. É o advogado digital. A diferença do advogado digital é que ele acaba assumindo uma função estratégica, de orientação. (...)

Profissões Digitais - Perito Digital
O Sherlock Homes da era digital é o tema da série profissões da nova era. Ele é o perito digital e atual essencialmente em dois momentos: na perícia e no rastreamento de um computador com ordem judicial. Aí o perito digital começa a atuar, como um policial investigativo. E a primeira medida é preservar as evidências, como na cena de um crime. É necessário também adotar a metodologia adequada de investigação. (...)

Comportamento Hacker
(...) O Olhar Digital foi atrás do perfil de um hacker para descobrir como esses experts em informática se comportam longe do computador. (...)

O que é vírus?
Confira como funcionam essas terríveis pragas digitais.

O que são spywares?
Confira o que são os spywares, e os danos que essas pragas digitais podem causar.

Cavalo de Tróia
Os cavalos de tróia são verdadeiros presentes de grego para seu computador. Algumas vezes, pode ser difícil identificá-los logo que contaminam o computador, e eles podem fazer muito estrago na sua máquina. Para se livrar dessa praga digital, mantenha um programa antivírus sempre atualizado. (...)

Hackers deixam rastros?
[Um espectador] quer saber se um hacker deixa rastro ao invadir uma conta bancária e desviar dinheiro do correntista. (...)

Além destas, há várias outras reportagens relacionadas a segurança: uma sobre Firewall (da época do lançamento do filme do Harrison Ford), uma sobre o projeto Hacker Teen, uma muito boa sobre Roubo de notebooks e duas muuuuuito interessantes sobre Senhas: uma focada em senhas para sistemas bancários / Internet Banking (fala um pouco sobre cuidados com senhas e termina mostrando o uso de tokens por celular da EverySystems), e outra parecida, porém focada em apresentar dicas básicas do uso de senhas (muito útil para campanhas de conscientização).

A reportagem sobre dicas de uso de e-mail ("Abrindo e-mails") e a sobre Monitoramento de e-mails também podem ser utilizadas em campanhas de conscientização. Esta sobr monitoração aborda os Direitos e limites de empresas e funcionários (com o Dr. Renato Opice Blum).

julho 10, 2006

[Segurança] Métricas para as vulnerabilidades

No início deste ano, vários órgãos (CERT, NIST, FIRST, etc) e empresas criaram um novo padrão de métricas para dimensionar o impacto das vulnerabilidades de software de uma forma mais precisa e consistente, chamado Common Vulnerability Scoring System (CVSS).

A capacidade de mensurar as vulnerabilidades é extremamente importante para o mundo profissional, pois fornece a base para um processo padrão de análise de riscos e de priorização das ações e respostas necessárias após a descoberta de novas ameaças.

No CVSS as métricas foram divididas em três grupos, para um total de 12 atributos associados às vulnerabilidades. As métricas básicas (Base Metrics) contêm as qualidades que são intrínsecas a toda vulnerabilidade, uma característica que não muda com o tempo nem mesmo em ambientes diferentes. As métricas temporais (Temporal Metrics) contêm as características que evoluem de acordo com o ciclo de vida da vulnerabilidade, e as métricas ambientais (Environmental Metrics) representam aquelas características que são relacionadas a forma como o ambiente operacional está implantado.

As sete métricas Básicas (Base Metrics), que representam as características mais fundamentais e imutáveis de uma vulnerabilidade são:
  • Access Vector: indica se uma vulnerabilidade é explorada localmente ou remotamente
  • Access Complexity: mede a complexidade requerida para que um atacante consiga explorar o sistema alvo
  • Authentication: indica se um atacante necessita ou não ser autenticado no sistema para conseguir explorar a vulnerabilidade
  • Confidentiality Impact: mede o impacto na confidencialidade (nenhum / parcial / completo)
  • Integrity Impact: indica o impacto na integridade
  • Availability Impact: impacto na disponibilidade
  • Impact Bias: permite atribuir maior impacto em um dos pilares da CIA sobre os demais


São três as características temporais (Temporal Metrics):
  • Exploitability : indica se é possível ou não explorar a vulnerabilidade, podendo ser: "Unproven" (não há um exploit conhecido); "Proof of Concept" (foi criado uma prova de conceito inicando que a ameaça existe); "Functional"(quando um expoit está disponibilizado) e "High" (quando a vulnerabilidade está sendo explorada por um código malicioso ou mesmo manualmente)
  • Remediation Level : informa se há uma solução conhecida: "Official Fix" quando o fabricante disponibilizou uma correção/patch; "Temporary Fix" (fornecida uma correção temporária pelo fabricante); "Workaround" e "Unavailable"
  • Report Confidence: representa o grau de confiança na existência da vulnerabilidade e na credibilidade de sua divulgação (Unconfirmed/Uncorroborated/Confirmed)

As métricas associadas ao ambiente (Environmental Metrics) são as únicas que são definidas de acordo com a realidade de cada empresa, e portanto podem ser manipuladas pelos gestores, consultores e auditores para representar a realidade em sua corporação. São duas:
  • Collateral Damage Potential: mede o potencial de dano, podendo representar o risco de perda do equipamento físico, os danos de propriedade ou a perda de vida.
  • Target Distribution: indica o tamanho relativo da quantidade de sistemas que são suscetíveis à vulnerabilidade (None; Low até 15%; Médio até 49% ou High - se acima de 50% dos sistemas são vulneráveis).

O processo de Scoring irá definir o valor final resultante da aplicação de todas as métricas, combinando todos os valores de acordo com fórmulas específicas.
As Base Metrics são definidas pelo fabricante e não se espera que mudem. As Temporal Metrics também são calculadas pelos fabricantes e representa o nível de urgência existente naquele momento. As Environmental Metrics são calculadas pelas empresas em função de sua realidade. Da combinação destes três grupos obtêm-se o score final.

Pode-se utilizar a calculadora online na página do NIST ("Common Vulnerability Scoring System Calculator") ou uma planilha excel construída pelo FIRST.

Todo este sistema de métricas pode ser representado sinteticamente através de vetores ("CVSS vectors" ). As métricas base ficam da seguinte forma:
AV:[R,L]/AC:[H,L]/Au:[R,NR]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]/B:[N,C,I,A]

e as métricas temporais são anexadas ao final do vetor com a sintaxe a seguir:
/E:[U,P,F,H]/RL:[O,T,W,U]/RC:[U,Uc,C]

Esta sintaxe está descrito em uma página específica no site do NIST (http://nvd.nist.gov/cvss.cfm?vectorinfo).


Exemplo:

A vulnerabilidade do Excel descoberta recentemente em 16/jun/06 (que permite a usuários remotos executarem códigos arbitrários), indicada no site do cert.org como TA06-167A, recebeu a Vulnerability Note VU#802324 e o CVE Name CVE-2006-3059 .

Na página do National Vulnerability Database (NVD) do NIST há a descrição do problema pelo seu identificador CVE-2006-3059 e nele é apontado o score CVSS como sendo 5.6 (médio).

O cálculo detalhado pode ser visto na página específica, acessada por um link colocado no resultado indicado como "CVSS Severity". Neste link as métricas são passadas como parâmetro ((AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N). Nesta página é possível alterar as medidas e obter um novo score de forma a representar a realidade da empresa.


Este novo padrão de métricas para as vulnerabilidades vem sendo adotado pela indústria. A principal vantagem é no auxílio para a padronização das atividades de análise de riscos, e consequentemente pode ajudar numa avaliação mais precisa dos riscos operacionais e na definição do nível de criticidade/urgência na tomada de decisões e ações.

Outras fontes: NIST; FIRST; FAQ; CVSS-Guide

[Segurança] 2006 Global Security Survey

Estava passeando no Blog do meu grande amigo Wagner Elias e vi que a Deloitte divulgou recentemente sua pesquisa anual de segurança, chamada "2006 Global Security Survey" e a mantém disponível no site deles, em formato PDF.

Segundo a pesquisa, 75% das empresas que responderam reportaram incidentes externos e 50% sofreram incidentes internos, e que a maioria dos ataques são relacionados a tentativa de obter ganho financeiro (indicando um aumento da atuação do crime organizado no cyber espaço).

Porém, ao vistar o site de pesquisas deles ("Deloitte Research"), descobri algumas outras pesquisas bem interessantes, que também valem a pena serem lidas:

julho 06, 2006

[Cybercultura] Blogs amigos

Fico muito feliz ao ver que excelentes amigos e profissionais aderiram recentemente ao mundo dos Blogs:

Também não posso deixar de lembrar dos blogs dos amigos Sérgio Dias, Wagner Elias, Willian Caprino e do mestre Jedi Augusto Paes de Barros (também presente no blog DeathStar), além dos sites dos profissionais Ronaldo C Vasconcellos, Eduardo V. C. Neves e Gustavo Bittencourt.

Acho que esqueci de algumas pessoas, mas depois atualizo este post :o)

É muito legal contar com toda essa galera online. São muitas fontes de aprendizagem, troca de informação, discussão e amadurecimento profissional.

julho 04, 2006

[Segurança] Cuidados no Datacenter

No site TechRepublic tem um artigo muito legal chamado "What not to do in a server room", olde foram colocadas várias fotos (aparentemente reais) de problemas encontrados em um datacenter.

Particularmente, já vi coisas muito piores do que isso, o que de qualquer forma não desmerece a iniciativa acima :)

julho 03, 2006

[Segurança] Passeio por sites da cultura Hacker

Estava dando uma olhada na página do Dum_dum e resolvi entrar no site Hackaholic.Org, onde comecei a dar uma passeada na página de links deles.

A partir de lá, acabei caindo na página do e-zine "The Bug Magazine", que lançou sua edição número 1 em março deste ano, com 10 artigos. (Por enquanto li só o sobre IDS, que ficou meio fraquinho, porém bem intencionado)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.