Antivírus como porta de entrada

Saiu hoje um advisory do FrSIRT sobre um Buffer Overflow na rotina que trata arquivos RAR no antivírus da Symantec. É o tipo de coisa que passa desapercebida mas é um monstro em termos de risco. Por quê? Porque é só uma pessoa mandar um e-mail para uma empresa que tenha um antivírus de correio Symantec, por exemplo, com um arquivo RAR anexado que explore a vulnerabilidade que acaba-se obtendo acesso à rede. Quantas empresas tem servidores de antivírus em redes protegidas? Normalmente está junto com os outros servidores...crítico, não é? Por isso que defendo que a monitoração de advisories seja feita por pessoas da própria empresa ou por terceiros responsáveis e que trabalhem em cima do conhecimento sobre o ambiente da empresa. Se deixar em rotinas automáticas ou com simples estagiários que procuram palavras específicas na Bugtraq, não vai funcionar.

Saiu no Certinews

Saiu no Certinews, da Certisign, meu artigo sobre o mercado de serviços de segurança da informação: Veja lá.

Analise de Pacotes II

Eu escrevi um perlzinho para gerar estatisticas de rede e o interessante é como o resultado é utilizado.
No meu caso estou usando para contabilizar os SMTP top spammers e as regras de firewall que mais fazem match, para reodernar minha rulebase.
O Script se encontra aqui e como argumento é necessario se passar um arquivo pcap.
Eu acho boa essa solução pois assim fico livre de plataforma e ferramenta.
O arquivo pcap precisa estar no formato do tcpdump, para transformar outros pcap files no formato do tcpdump basta utilizar o editcap (vem junto com o ethereal).

A saida do program gera algo assim: (Os IPs foram alterados e sao ficticios):

nagios:~# ./netstat.pl tcpdump.out
NETWORK STAT - Victor Pereira <darthvader@deathstar.com.br>
-=[ TOP 10 ]=-----------------------------------------
00000226 [UDP]0.0.0.0:8116->180.187.183.192:8116
00000131 [TCP]180.187.183.197:22->180.168.238.6:1804
00000078 [TCP]180.168.238.6:1804->180.188.183.197:22
00000057 [VRRP]180.187.183.202->224.0.0.18
00000057 [VRRP]180.187.183.200->224.0.0.18
00000032 [ICMP]180.187.183.220->180.188.183.195:0
00000032 [ICMP]180.187.183.195->180.188.183.220:80
0000028 [IP]82.79.70.156->0.0.0.0
00000012 [UDP]180.118.183.220:1985->224.0.0.2:1985
00000012 [UDP]180.118.183.219:1985->224.0.0.2:1985
-=[ STATISTIC ]=---------------------------------------
TCP [3613] 87%
UDP [256] 6%
ICMP[100] 2%
OUTROS [153] 3%
Throughput: 4505 bytes/s.
nagios:~#

Pesquisa

Saiu mais uma pesquisa com números sobre Segurança, mas dessa vez focada na América Latina. É interessante pois não sai contaminada com os dados dos EUA. Está no IDG now. Segundo eles, a pesquisa "Ações dos gerente de TI na América Latina em relação à segurança" é realizada pela Kaagan Research & Associates, e patrocinada pela Cisco Systems e pela IBM. Foram ouvidas empresas do Brasil, Chile, Venezuela, Colômbia, Argentina e México.

Alguns dados interessantes:

63% dos entrevistados não contam com um Security Officer
Porém, 51% das empresas com mais de mil funcionários tem (e ainda é pouco)
14,5% do orçamento de TI será investido em segurança. Não seria ruim se isso não estivesse indo p/ um monte de caixinhas de eficácia discutível. De fato, a pesquisa diz que 51% deste valor vai p/ hardware!

Analise de pacotes de forma estruturada

Com intuito de desmistificar o ato de analisar pacotes TCP/IP e transformar esta atividade em uma atividade mais clara e bem definida e que, possa ser executada por qualquer fornecendo resultados mais "palpaveis" podendo estes, serem analisados posteriormente ou em conjunto de outras areas, eliminando assim a palavra do "dito especialista" que normalmente fornece um parecer a respeito da situação, baseado em "feeling" e outras fontes de informações um tanto quanto obscura.
Eu tenho algo que tento seguir quando sou envolvido em alguma atividade deste tipo ou informações, que eu gostariade receber se estivesse envolvido em um processo que depende de uma analise de pacotes feito por terceiros (Acredite, abrir o tcpdump e fazer cara de entendido, não adianta :-))
Dados importantes da analise:
- Alvo da analise (Qual servidor/firewall/gateway, interface eth0/eth1/eth2, etc);
- Periodo da analise (minutos, numero de pacotes e etc);
- Identificar e sumarizar todos os protocolos e servicos contindos no trafego analisado (Top 10,Top 5, Numeros absolutos e etc);
- Identificar todos endereços IPs e Portas (TCP/UDP,etc) envolvidos no trafego; e
- Identificar dados das sessoes/conexoes;
Com estas informações já se é possivel ter algumas respostas importantes como:
- Qual o volume de trafego meu gateway (Ou qualquer outro dispositivo) estava processando no momento da analise (Capturar o trafego na interface interna e externa);
- Quais são os protocolos e servicos mais utilizados; - Quem fala com quem (ip de origem e destino,portas de origem e destino, qual o volume de dados trocados entre as maquinas e etc);
- Identificar a presença de algum trafego anomalo;
- Identificar a presença de ações degradantes e gargalos; e
- Violações da politica de segurança vigente;
- Etc, Etc, Etc :-)

fupids!

Acabei de encontrar um trabalho muito interessante, de um cara chamado Steffen Wendzel. Ele desenvolveu o FUPIDS, ou Fuzzy Userprofile Intrusion Detection System. É um IDS que analisa o comportamento do usuário em termos de horário e localização (física). Útil se você puder mapear aonde está cada estação, pois ele vai indicar se a pessoa logar em uma máquina muito longe de onde ele costuma logar, etc. Muito legal.

Security Radio

Achei a idéia da Security Radio bem legal entretanto com "entrevistas" sobre assuntos muito basicos ou até mesmo repetitivos. Ok, ok não vou reclamar, eu vi o link: http://www.securityradio.org/colabore.html, apenas vi muito assunto já debatido incluindo com os mesmos personagens. (Bom, alguns vão ser ainda comentados no GTS, acho que posso dormir até mais tarde no domingo).

Se não me engano o ACME (não, acho que eles não sao os animaniacs :-)) é basicamente o pessoal da unesp. Só não entendi por que não rodam tudo dentro da propria infra da unesp.
Link e máquinas é o que não faltam.