Quarta-feira, Novembro 30, 2005

Endpoint security

Artigo um pouco duro, mas que não deixa de ter razão: http://www.securityfocus.com/columnists/372
O título "Regaining control", indica um problema sério que deve ser combatido nas corporações, o excesso de privilégios para os usuários em suas estações de trabalho. Eu gostaria que não precisasse ser assim, mas pelo visto, não tem outro jeito.

posted by Augusto at 5:24 PM 0 comments  

Terça-feira, Novembro 22, 2005

Artigo sobre serviços de segurança

Escrevi um artigo para o mestrado sobre o mercado de serviços de segurança. Está disponível aqui.

posted by Augusto at 4:49 PM 1 comments  

Leis estúpidas - cadastramento de usuários de e-mail

Boas intenções nem sempre geram boas ações...é gritante de tão
ineficaz. E ainda vai afugentar os usuários dos serviços nacionais,
prejudicando as empresas que quiserem concorrer com gmail, hotmail,
etc...

Segue texto na íntegra:

PROJETO DE LEI DO SENADO Nº 279 DE 2003

Dispõe sobre a prestação dos serviços de correio eletrônico, por
intermédio da rede mundial de computadores - Internet, e dá outras
providências.

O Congresso Nacional decreta:

Art. 1º Os prestadores dos serviços de correio eletrônico, por
intermédio da rede mundial de computadores - Internet, deverão manter
um cadastro detalhado dos titulares de suas respectivas contas.

Parágrafo 1º
Entre outras, deverão ser cadastradas as seguintes informações:
a) Pessoas Físicas: nome completo; endereço residencial;
número do documento de identidade, data de expedição e Órgão
Expedidor; e número do Cadastro de Pessoa Física - CPF junto à
Secretaria da Receita Federal;
b) Pessoas Jurídicas: razão social; endereço completo; número do
Cadastro da Pessoa Jurídica - CNPJ junto à Secretaria da Receita
Federal.

Parágrafo 2º
Os prestadores dos serviços de correio eletrônico são co-responsáveis
pela veracidade das informações constantes em seus cadastros, podendo
valer-se de informações compartilhadas com outras instituições.

Art. 2º Os prestadores dos serviços de correio eletrônico terão um
prazo de noventa dias a partir da vigência desta Lei, para regularizar
as contas atualmente existentes.

Parágrafo Único. As contas não regularizadas no prazo determinado no
caput, deverão ser imediatamente canceladas.

Art. 3º É garantido o sigilo das comunicações realizadas por
intermédio dos serviços de correio eletrônico, em conformidade com a
Constituição Federal.

Art. 4º Nos termos da legislação em vigor, os prestadores dos serviços
de correio eletrônico deverão apresentar à autoridade competente,
quando requisitado, um extrato das comunicações eletrônicas realizadas
por uma conta específica, por um período de tempo determinado,
retroativo até 10 anos da data da solicitação, informando o
destinatário ou remetente das mensagens, a data e a hora de seu envio
ou recebimento e a identificação do computador ou terminal que efetuou
o acesso à conta de correio eletrônico.

Art. 5º O não cumprimento do disposto nesta lei, sujeitará o prestador
dos serviços de correio eletrônico a uma multa não inferior a R$
10.000,00 (dez mil reais).

Art. 6º Compete à Agência Nacional de Telecomunicações - ANATEL fazer
cumprir o disposto nesta Lei.

Art. 7º Esta lei entra em vigor na data de sua publicação.

posted by Augusto at 4:47 PM 0 comments  

Proteção própria

Li um post de um blog de segurança que acompanho muito bom. Ele faz uma análise da tendência de hoje de se confiar nos IPS-salva-tudo para proteger a rede, ignorando-se as dicas que podem vir do ambiente interno, que seriam melhor detectadas por sistemas de "anomaly detection". É uma das "cismas" em segurança, fiquei feliz de ver mais gente falando a mesma coisa:

http://esphion.blogs.com/esphion/2005/11/your_private_th.html

posted by Augusto at 10:52 AM 0 comments  

Segunda-feira, Novembro 21, 2005

0-days!

Dois 0-days para software Microsoft em uma semana. O que aconteceu com os pesquisadores, recaída de irresponsabilidade?

A última é para IE fully patched...que beleza para os phishers!

posted by Augusto at 3:34 PM 0 comments  

Sexta-feira, Novembro 18, 2005

Tecnica Anti-Rootkit II

Pronto o codigo está aqui.
O projeto (VS 7) + versao compilada se encontra aqui.
Minha ideia agora é: fazer algo (Filtro de File System ??) para interceptar os executaveis antes de serem carregados pelo Loader e verificar se a tabela de endereçamento das funçoes importadas de dlls como kernel32.dll, ntdll.dll estao corretas ou se existe algum hook pendurado nelas... mmm será ?

posted by Victor Pereira at 4:25 PM 0 comments  

Quinta-feira, Novembro 17, 2005

Tecnica Anti-Rootkit

A idéia é a seguinte: Enumerar os processos via API e enumerar os processos via System Call ou outra coisa low-level e comparar.
Caso haja diferença.. algo está errado :-)

O codigo para enumerar via API está aqui Para enumerar via Low-level está em...her bem, ainda nao fiz mas vou fazer (Strauuuuuuuuusss).

posted by Victor Pereira at 11:38 AM 0 comments  

Quarta-feira, Novembro 09, 2005

Pobre usuário

Nunca foi tão fácil (quer dizer, já foi, antes tinhamos os "9X") atacar um usuário. Temos um histórico recente de vulnerabilidades em engines de tratamento de imagens, browsers e até no flash player (que aposto que se fuçarem mais vão achar mais coisa). Com isso acaba sendo praticamente impossível para o usuário comum ler um simples e-mail sem ser contaminado por algo. E depois vem todo aquele esforço para implementação de autenticação forte nos bancos. Pra quê, se a ponta do usuário está cada vez menos confiável?

posted by Augusto at 8:52 AM 0 comments  

Notícias da black tuesday

Lembra daquela história de que só ler um e-mail não pode trazer risco de infecção por vírus ou coisa do gênero? Pois é, com a vulnerabilidade divulgada no MS05-053 não é bem assim, um e-mail HTML contendo uma imagem com um exploit para ela pode rodar código na máquina. Se surgir um exploit muito cedo é bem capaz que surja um vírus bem poderoso por aí. O workaround é desabilitar e-mail HTML. Aliás, por que ninguém ainda não fez um add-in para o Outlook com um "liga/desliga" para HTML no preview panel? Eu faria se soubesse programar mais do que um Hello World :-)

posted by Augusto at 8:29 AM 0 comments  

Terça-feira, Novembro 08, 2005

Bugs!

Qual o impacto de um bug de software? Veja em um artigo muito interessante, levantando casos conhecidos, escrito pelo Simson Garfinkel:

History's Worst Software Bugs

posted by Augusto at 2:20 PM 1 comments  

Quinta-feira, Novembro 03, 2005

IIS 7 - Vai acabar a graça!

O Blog do Michael Howard tem informações interessantes sobre a segurança do IIS 7. O que mais chama a atenção são os três bullets que ele listou:

* It's not installed by default
* When you do install it, it serves up static files only
* All user interaction is handled by a low-privilege process

Já vi que vai ficando para trás a época na qual o IIS era a porta de entrada das invasões.

posted by Augusto at 1:41 PM 1 comments  

Compliance x Security

Uma notícia me chamou a atenção por confirmar algo que eu venho notando:

IT security weakened by compliance issues

Eles acabam descambando para a velha ladainha techie de correr atrás do rabo, mencionando algumas medidas de segurança de eficiência questionável (vide meu artigo na Security Review no.3), mas o "core" da notícia é algo realmente válido. Quanto as empresas estão abrindo mão de "real security" por conta de Compliance?

posted by Augusto at 1:27 PM 0 comments