janeiro 10, 2008

[Segurança] Estatísticas e dados sobre incidentes

O site etiolated mantém informações sobre incidentes relacionados a perda de dados e roubo de informações privadas.

Ele é uma ótima ferramenta para quem está preocupado em acompanhar incidentes relacionados a roubo ou publicação indevida de dados pessoais. Além de manter uma base de dados com os principais incidentes, também permite buscas e consultas diversas, inclusive apontando o local do incidente em um mapa (cool!!!).

A página inicial por si só é bem interessante, pois apresenta um sumário dos incidentes mais recentes e um gráfico histórico.

Os dados são, em sua grande maioria, relativos aos EUA. Não é de se adimirar, pois o serviço se baseia nos dados do bom e velho site attrition. Porém os autores reconehcem isso e estão dispostos a receber contribuições de outros países. Além do mais, os americanos são muito preocupados com a privacidade de seus dados pessoais e com os crimes de roubo de identidade, além de contar com várias legislações estaduais que obrigam as empresas avisarem quando forem vítimas de ataques que causem comprometimento nas informações de seus clientes e usuários.

Uma ótima referência para quem tem interesse neste assunto é o site do Privacy Rights.

janeiro 08, 2008

[Segurança] É possível hackear o Boeing 787 ???

Foi publicado recentemente na Wired a notícia de que o novo Boeing 787 Dreamliner pode ser vulnerável a ataques hacker. ("FAA: Boeing's New 787 May Be Vulnerable to Hacker Attack")

Segundo um relatório da agência americana FAA (Federal Aviation Administration), o novo jato tem uma vulnerabilidade séria de segurança na arquitetura de suas redes internas de computadores, que pode permitir que passageiros acessem os sistemas de controle do avião a partir da rede criada para prover acesso internet durante o vôo. De acordo com o relatório, a rede destinada aos passageiros está conectada com as redes dos sistemas de controles de vôo, de navegação, comunicação e a rede administrativa da compania aérea (responsável por sistemas administrativos e de manutenção da equipe de terra). No atual design, a conexão física entre estas redes, anteriormente isoladas, faz com que todo o sistema seja mais facilmente vulnerável a hackers.
"These novel or unusual design features are associated with connectivity of the passenger domain computer systems to the airplane critical systems and data networks."
(FAA)

Este tipo de ameaça é real, e tem sido discutida por vários profissionais de Segurança da Informação. Conforme lembrou o colega Javed Ikbal em um post enviado para a lista cisspforum, no ano passado foi demonstrado no site da CSO online como é possível derrubar o sistema de entretenimento a bordo (os jogos nos monitores) de um vôo da JetBlue utilizando o telefone a bordo para passar um parâmetro inválido para o jogo Tetris.

A própria reportagem da Wired cita uma apresentação muito interessante do pesquisador Mark Loveless, ("Hacking the Friendly Skies") onde ele apresenta como hackear computadores vizinhos durante o vôo e, no final da apresentação, faz várias considerações sobre os projetos existentes de disponibilização de acesso internet nos vôos.

Segundo a matéria, a Boeing diz que está ciente do risco e está trabalhando na separação física das redes e na adoção de proteção baseada em softwares de firewall. Infelizmente (como lembrou o colega Les Bell na lista cisspforum), manter todas estas redes totalmente isoladas fisicamente implicaria em ter equipamentos e cabeamento redundante em toda a aeronave, um custo muito pesado para a indústria aeronáutica. Por isso, o compartilhamento da infra-estrutura pareceria algo óbvio aos olhos de um leigo.

Lamentavelmente, muitas vezes os profissionais de segurança não são envolvidos na fase de design do projeto, cabendo então a árdua tarefa de criar mecanismos adicionais de proteção, depois que o problema é encontrado.

janeiro 07, 2008

[Segurança] Gripe WiFi

O portal ars technica publicou recentemente um artigo interessante entitulado "WiFi flu: viral router attack could hit whole cities" onde apresenta o trabalho de alguns pesquisadores da Universidade de Indiana (veja o texto original, em PDF, "WiFi Epidemiology: Can Your Neighbors’ Router Make Yours Sick?") que simularam a possibilidade de um verme atacar access points WiFi e qual seria o impacto desta ameaça.

De acordo com o estudo, um ataque direcionado aos roteadores wireless e que se espalhasse através deles poderia rapidamente e facilmente se propagar por toda uma cidade. Os pesquisadores utilizaram dados reais sobre a cobertura WiFi em 7 cidades americanas e criaram um modelo matemático para simular a infecção causada por um suposto malware que se propagaria de roteador wireless a roteador wireless através de falhas simples (acesso remoto através de exploração de redes protegidas por protocolo WEP e roteadores utilizando senhas de acesso facilmente descobertas - senhas default ou descobertas através de ataque de dicionário).

Os cenários de infecção obtidos para as cidades analisadas (Chicago, Boston, New York, San Fransisco Bay area, Seattle, e Indiana do Norte e do Sul) mostram que uma infecção inicial em um pequeno número de roteadores WiFi pode atingir milhares de dispositivos em uma semana, com a maioria sendo atingida nas primeiras 24 horas. Em uma epidemia hipotética em Chicago, por exemplo, o código malicioso rapidamente se propagaria nas redes WiFi nas primeiras horas, tomando controle de aproximadamente 37% dos routers após 2 semanas.

O artigo, embora teórico, mostra como uma ameaça deste tipo pode causar um grande impacto. Embora ainda não tenhamos tido notícias de algo similar, este tipo de situação já vem sendo previsto por diversos especialistas. A infecção de um roteador wireless ocorre quando um código malicioso, especialmente criado para este fim, utiliza um roteador (ou outro tipo de dispositivo WiFi) previamente infectado para se comunicar com um outro sistema vulnerável, através de sua interface administrativa pelo canal wireless. Este acesso entre os dispositivos pode ser facilitado por alguma falha de configuração (como uso de senhas fracas) ou vulnerabilidades conhecidas. Uma vez que o malware estabelece o acesso administrativo, ele faria o upload de seu código no firmware do roteador (um processo simples, que leva poucos minutos).

Este tipo de ameaça já foi apresentado na Defcon 14, em agosto de 2006, pela equipe do Church Of WiFi (na palestra "New Wireless Fun From the Church Of WiFi"). Na ocasião, eles apresentaram um bug real nos roteadores wireless de um grande fabricante e como, teoricamente, isto poderia ser utilizado por um código malicioso.

As duas melhores formas de se prevenir contra este tipo de ameaça continuam sendo o uso de criptografia nas redes wireless (WEP e WPA, principalmente esta última) e o uso de senhas fortes para controle de acesso (tanto no acesso dos usuários a rede quanto no acesso administrativo aos equipamentos).
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.