10 mitos, mais uma vez

Estava lendo mais um "10 mitos sobre segurança" de maneira meio cética, pois a coisa estava com cara de vendors pitch, mas pesquei um negócio em um deles que foi muito bem dito e pouca gente sabe (destaque meu):

"8. Full-disk encryption on workstations and laptops will protect my data against unauthorized access.
Probably not. Most full-disk encryption software only protects computers that happen to be turned off at the time. When they’re turned on, everything is automatically decrypted when read, and delivered to anyone with access to the computer. If you’re afraid of your laptop being stolen, full disk encryption will keep the data from being read as long as it’s stolen while turned off. But it probably won’t protect at all against someone logging in to your computer remotely while it’s attached to the network."

Ou seja, fitas de backup ou laptops, faz sentido, pois eles podem ser "stolen while turned off". Agora, encriptar bases de dados de produção...ainda não acredito que traga benefícios em termos de segurança que compensem o custo em termos de performance.

Hash de senhas do Oracle é fraco

O super-banco-de-dados-unbreakable Oracle apresenta mais uma deficiência em termos de segurança. As senhas não são case sensitive e o salt usado para calcular o hash é o nome do usuário (imagino quantos usuários com nome "oracle", "system" existem nos Oracles por aí), o que também abre espaço para ataques com tabelas de hashes pré-calculadas. Um estudo muito bom sobre o assunto está no Reading Room do SANS:

http://www.sans.org/rr/special/index.php?id=oracle_pass

Microsoft Command Shell

Demorou, mas a Microsoft lancou a "MCH".. ficou DO C*RALHO!!!

Tem um guide sobre o assunto: http://arstechnica.com/guides/other/msh.ars/1 muito bem feito e extenso, perceba a sintax SQL LIKE e estruturas Perlhash like.

Demorou mais saiu e pra variar.. muito bem feita!

Minix 3 Released!

Demais, o Senhor Andy Tanenbaum lançou oficialmente o Minix v3.

Agora temos realmente em nossas mãos um sistema operacional verdadeiramente "Microkernel based" . Isso me faz lembrar da vez que o Tanenbaum falou para o Linus em plena comp.os.minix "Se você fosse meu aluno, receberia apenas um 7 pelo seu sistema operacional"

Mal posso esperar para por a mão no livro "Operating Systems Design and Implementation" terceira edição :-)))

ACL em Socket

Novidade legal no Windows 2003 SP1: ACLs (e SACLs) em Sockets! Assim, até mesmo um processo rodando com privilégios de administrador, ao tentar conectar-se a um socket, vai ser bloqueado. Bem legal:

http://blogs.msdn.com/michael_howard/archive/2005/10/23/484026.aspx

Rootkits à venda

Um dos pontos no qual eu mais bato quanto à segurança de redes é a tendência de mudança de alvo dos ataques, do perímetro para as estações. E os códigos que estão sendo criados para atacá-las estão cada vez mais sofisticados, como mostrei com o meu VBzinho no CNASI. E a facilidade de criar backdoors e spyware mais sofisticados pode ser constatada na notícia abaixo:

http://www.vnunet.com/vnunet/news/2144149/rootkits-turn-professional

Já tem gente vendendo rootkits. E as empresas de antivírus estão preocupadas com a qualidade deles. Sabe por que? Porque elas sabem que seus produtos não vão conseguir ganhar a luta contra rootkits bem elaborados. A única saída é ter certeza de que há código de defesa em um nível mais alto de privilégio do que o código malicioso. E enquanto o usuário for administrador da própria máquina...

Gartner de novo

Uau, uma notícia sobre opiniões vindas do Gartner que vale a pena comentar (comentários intercalados):

Gartner: segurança se faz com melhores processos
Quinta-feira, 20 outubro de 2005 - 08:31
COMPUTERWORLD
O conceito de que uma empresa só poderá reforçar a segurança de suas operações com investimentos vultosos não é necessariamente verdadeiro. Pelo menos, na visão do Gartner.

Augusto: Depende do estágio de segurança da empresa. Uma empresa com uma organização de segurança atrasada vai ter que fazer investimentos "vultuosos" se quiser resolver o problema em curto prazo. Empresas que negligenciaram o assunto por muito tempo e que agora estão sendo pressionadas por clientes e orgãos reguladores são um bom exemplo.

Analistas do instituto explicaram nesta quarta-feira (19/10) durante do Gartner Symposium ITxpo, realizado nos EUA, que quando tecnologias, forças organizacionais e mercados múltiplos se combinam, o custo total da segurança da informação pode ser reduzido.

Até 2010, quando tais elementos continuarão a trabalhar juntos, apenas uma em dez ameaças de segurança necessitará da aplicação de uma tática específica ou solução pontual para ser dizimada. O resultado é bem inferior ao verificado em 2005, quando oito em cada dez ameaças exigem essas soluções.

Augusto: Produtos mais robustos e tecnologias agregadas (como vem acontecendo com as funcionalidades de segurança em equipamentos de conectividade e com os produtos da Microsoft) com certeza farão com que caixinhas mágicas para cada tipo de ameaça não sejam mais necessárias. Alias, algum dia elas foram? Ou era só p/ matar a ansiedade dos desesperados?

A consolidação e a convergência de funções em plataformas de segurança terão um grande efeito em termos de redução de custos totais ao longo do tempo. No entanto, a tecnologia é apenas uma parte da história. Coletivamente, a melhoria dos processos e a disciplina de organização da TI ocuparão a segunda colocação em reduzir custos e aumentar a segurança das empresas.

"À medida em que as ameaças de segurança e as tecnologias para lidar com elas amadureçam, tais atividades deverão se tornar parte da organização de TI de uma companhia. A organização da segurança da informação deve ser focada nas novas ameaças e nas tecnologias", aponta John Pescatore, vice-presidente e analista do Gartner.

Já na avaliação de Neil MacDonald, também integrante da organização, as empresas devem focar nos processos e não nos produtos, a fim de tornarem-se mais seguras e gastar menos. Entre os principais processos que devem garantir o sucesso da segurança de uma companhia estão: controle de acesso a redes, prevenção de ataques e gerenciamento de vulnerabilidades e interfaces.

Augusto: Aqui está a parte interessante. Para quem vêm trabalhando com CMM, Sarbanes-Oxley, ITIL ou outras metodologias/regulamentações/frameworks/modelos da moda sabe que implementar processos não é algo barato. Pode (e provavelmente vai) trazer benefícios (ROI??) no futuro, mas implementá-los é caro e pode exigir aumento de headcount e aquisição de ferramentas que os suportem. Logo, devagar com o andor, ou vai ter muito executivo negando investimentos em segurança pois, afinal, "basta criar processos". Eu já vi uma empresa fazer isso, e o nível de segurança dela hoje, comparando com o de 3 anos atrás, é praticamente o mesmo (ruim).

Boas praticas em desenvolvimento WEB

No site do W3C tem um bom documento descrevendo boas praticas no desenvolvimento web.

Um ponto importante citado é quando utilizar GET e POST em FORMs WEB.
Resumindo: Para ações de consulta USE GET, para qualquer ação que seja diferente de consulta, use POST. Detalhe: Por mais que em alguns sistemas se resuma a um SELECT, a autenticação não é uma consulta.

O "bizinês" e a segurança

Essa é para um grande amigo meu, sobre uma discussão que tivemos sábado, sobre o peso da Segurança da Informação nas decisões dos grandes executivos de TI.

Concordo com ele de que o que importa, de fato, são as condições financeiras/comerciais. Ele pegou no meu pé porque eu estava reclamando da postura da Oracle com relação ao assunto, dizendo que um executivo de TI não levaria em conta isso, mas sim as variáveis tradicionais brand/performance/custo. Pois bem, concordo com o fato de que é assim hoje. Mas não concordo que seja o correto. E acredito que isso vai mudar.

Primeiro, Sarbanes-Oxley está aí. A responsabilidade do executivos aumentou muito, e colocar um peso maior nos quesitos de segurança não é mais um luxo para eles, e sim questão de ser ou não ser preso depois de um problema.

Segundo, empresas como a tal Cardsystems americana. A empresa ACABOU. O negócio dela era processar cartões, e a Mastercard e a Visa vão deixar de trabalhar com ela, ou seja, fim. Tudo isso por conta de um vazamento de informações de clientes. E se essas informações tivssem sido acessadas com a ajuda de um exploit para uma das vulnerabilidades que a Oracle teima em não corrigir?

OK, argumentos semelhantes são usados há tempos e não se nota uma mudança grande. Pois bem.

Um dia desses vi uma empresa contratando um sistema de CRM com péssimas características de segurança. Era barato e as funcionalidades eram perfeitas. Só que na hora de vender o serviço com base nele as medidas adicionais necessárias para tornar o risco aceitável eram tão caras que anularam a viabilidade comercial do produto. Como o CIO vai explicar isso para o CEO? "Ah, os caras de segurança é que exageraram nas medidas de proteção"?

É claro que no fundo a decisão é de negócio. Isso eu nunca vou discutir. Mas a decisão é "nível de risco" x "margem". No caso acima, a margem criada pelo sistema mais barato trazia um risco muito maior do que a média daquele segmento. O CEO pode até querer correr o risco, mas a decisão tem que ser consciente. Hoje o que acontece é o que entre o CEO e o cara que mostra essa equação costuma ter um "ixperto" que manipula a informação. E aí surgem as CardSystems.

complementando o post anterior...

Complementando o post anterior...

Um problema sério é que a tendência do mercado em termos de análise de segurança de redes é justamente o contrário. Hoje todo mundo está comprando appliances, instalando Nessus, etc, ferramentas que apenas automatizam a parte "burra" da análise. Nada contra, se não houvesse a visão de que isso é suficiente. Quanto trabalho inteligente não foi dispensado em troca de um relatório coloridinho "generated by Tool-XYZ"??

Análises de redes

Metodologia de 9 entre 10 análises de risco em ambientes de rede por aí:

- Define ativos e valor dos ativos
- Para cada tecnologia, verificar ativos com base em checklist com as milhares de vulnerabilidades existentes e settings de segurança
- Usar o valor do checklist que define a probabilidade, multiplicar pelo valor do ativo e achar o risco, para cada vulnerabilidade e a soma de cada ativo/ambiente/entidade.

Muito bonito, mas caro e de eficiência duvidosa para quem já tem um programa de segurança razoável. Por quê?

Quando eu fazia essas análises, percebia que a conclusão era quase sempre a mesma: a máquina está com configuração default. Sendo assim, não é necessário checar 100 itens, é mais fácil perguntar para os responsáveis "vocês tem um padrão de configuração de segurança?". Quanto aos patches, "vocês tem um processo de patch management?".

É claro que é bom auditar, afinal de contas é importante verificar se esses processos são eficazes. Mas aí a abordagem já é diferente, a começar que deve haver um discovery na rede ao invés de trabalhar com uma lista de máquinas fornecida pelo cliente. Afinal de contas, as máquinas "escancaradas" costumam ser aquelas que nasceram "por fora" dos processos, os responsáveis pela rede nem costumam saber de sua existência (ou sabem mas assumem que elas não trazem riscos, pois é "só teste").

Com uma entrevista, um bom processo de discovery (viva NMAP!) e alguns testes simples já é possível matar o problema das máquinas e serviços não autorizados, configurações inadequadas e patches faltando. A maior parte das análises por aí para neste ponto. O mais poderia agregar valor (hugh) ficou faltando. A inteligência.

Quando eu fazia essa análises (replay :-)), gostava de sentar na frente da máquina e "passear" pelo desktop, pelos diretórios, bases de dados, etc. Era nessa hora em que eu conseguia identificar alguns absurdos, como arquivos com senhas de aplicação em compartilhamentos, bases de dados rodando com excesso de privilégios, etc. Coisas que nem sempre "cabem" em um checklist, mas que a visão de alguém com mais experiência no assunto e sem estar contaminado pelo dia a dia da empresa ("nós deixamos esse arquivo assim em todos os servidores") pegam com muita facilidade.

A consultoria que for capaz de trabalhar assim, reduzindo o custo da análise "burra" e agregando a inteligência, vai se destacar. Por enquanto, quase tudo é "more from the same".

Melhorias no MYSQL

Até que enfim o MySQL está virando um banco de dados de gente grande!
A versão 5.0 do mysql traz algumas features interessantes como por exemplo SSL, Trigger SQL e Stored Procedures.
Por que utilizar Stored Procedure ? Dois motivos. Primeiro é mais rapido, não do ponto de vista computacional, uma vez que não há codigo compilado, entretanto é mais rápido do pontode vista de rede, pois caso sua procedure envolva verificação e ações (validação,insert, drop e etc) isso tudo será executado no banco de dados.Outro motivo importante é do ponto de vista de segurança, pois quanto menos expormos do nosso banco e inteligencia de nosso sistema para o mundo, menor a superficie de ataque possivel de ser explorada.
Por exemplo, caso alguem tenha acesso ao codigo de acesso ao banco de dados é melhor que esta pessoa visualize CALL sp_DoUpdate(registro) do que : DROP IF EXISTS TB_BLABLA;CREATE TABLE TB_BLABLA(...);
Infelizmente as informações na documentação está meio fraca, mas fuçando achei algumas coisas interessantes:
Penei para achar as Stored Procedures criadas por mim. Depois de muita cabeçada achei como listar as stored procedures existentes, assim como mostrar o codigo delas. Pode ser interessante utilizar tais comandos via SQL Injection em algum Pen-test (set evil_bit = on ;-)
Para listar:SELECT * FROM mysql.proc; (Eu consigo listar o codigo tb, entretanto o proximo comando o output é melhor)
Para visualizar o codigo utilizado para dar criar a procedure:show CREATE PROCEDURE sp_MinhaProcedure;
É isso :-)

Perigo nas redes P2P

Uma coisa interessante que eu ainda não vi ninguém comentar. Comecei a perceber nos sistemas de P2P que quase todas as buscas traziam resultados "perfect match" para arquivos .wmv e .jpg, extensões que foram palco recente de vulnerabilidades no Windows ou no Media Player. Parece que há sistemas nessas redes escutando todas as queries e respondendo sempre para o mesmo arquivo, que, obviamente, deve conter código malicioso. Bastante engenhoso, imagino que muita gente que usa essas redes deve estar caindo no golpe. Se tiver tempo espero conseguir baixar um desses arquivos para fazer a análise do conteúdo.