NMAP 4.0!
Pessoal, o novo NMAP parece estar show. Vejam a entrevista com o Fyodor na SecurityFocus.
Terça-feira, Janeiro 31, 2006
Espionagem industrial via malware
Nem vale a pena dizer o quanto eu falei nos últimos dois anos sobre o risco de ataques para roubo de informações corporativas através de trojans/backdoors/phishing. Olha aí uma notícia disso acontecendo "no mundo real"...e aí, será que não está na hora das empresas serem capazes de detectar quando isso acontecer?
Quinta-feira, Janeiro 26, 2006
more than breakable
A Oracle lançou recentemente mais um pacotão de fixes. O mais engraçado é saber que eles erraram na correção de uma vulnerabilidades pela QUARTA vez. É isso mesmo, veja esse trecho de uma reportagem no Securityfocus:
"Other security professionals have also taken Oracle to task for its troubles in effectively handling security researcher and vulnerability disclosure.
"I think Oracle does have some work ahead of it in working better with security researchers," Michael Sutton, director of research for iDefense, a subsidiary of VeriSign, said following the Black Hat presentation. "It is embarrassing for the vendor and bad for users that the same problem has been patched (unsuccessfully) four times. If the vendor and researcher collaborated more closely, this problem would be solved."
While other companies, especially Microsoft, have gotten much better at working with security researchers, Oracle continues to have problems, he said.""
Esse "four times" me lembra aquela cena do "Ferris Bueller's Day Off" na qual o diretor fala pelo telefone para a mãe dele que ele faltou às aulas "Nine Times" :-)
Eu não sou a favor da divulgação de vulnerabilidades sem que o fornecedor tenha um patch pronto antes, mas lidando com uma empresa irresponsável como a Oracle, parece ser o único jeito.
"Other security professionals have also taken Oracle to task for its troubles in effectively handling security researcher and vulnerability disclosure.
"I think Oracle does have some work ahead of it in working better with security researchers," Michael Sutton, director of research for iDefense, a subsidiary of VeriSign, said following the Black Hat presentation. "It is embarrassing for the vendor and bad for users that the same problem has been patched (unsuccessfully) four times. If the vendor and researcher collaborated more closely, this problem would be solved."
While other companies, especially Microsoft, have gotten much better at working with security researchers, Oracle continues to have problems, he said.""
Esse "four times" me lembra aquela cena do "Ferris Bueller's Day Off" na qual o diretor fala pelo telefone para a mãe dele que ele faltou às aulas "Nine Times" :-)
Eu não sou a favor da divulgação de vulnerabilidades sem que o fornecedor tenha um patch pronto antes, mas lidando com uma empresa irresponsável como a Oracle, parece ser o único jeito.
Terça-feira, Janeiro 24, 2006
Blackworm
Qual seria a novidade de mais um vírus? Bom, o Blackworm não faz nada de inédito, mas é uma combinação que nós alertamos há muito tempo que poderia vir a aparecer e agora apareceu. Um vírus que se espalha de múltiplas formas (ainda bem que não utilizaram também vulnerabilidades recentes), desabilita os principais antivírus e, faz tempo que não fazem coisa desse tipo, apaga arquivos. No dia 3 de fevereiro milhões de arquivos Office, "só" aqueles que costumam ser os mais importantes para os usuários.
Ainda bem que mais uma vez os criadores do vírus não foram mais ousados. Um intervalo de dez dias entre o início da disseminação e a destruição dos arquivos acaba dando tempo para que as pessoas encontrem e removam a ameaça. Se fossem apenas alguns dias (um ou dois)...uau, a coisa ia ser feia. Essas ameaças se espalham muito rápido, não é necessário aguardar tanto tempo para atingir o número máximo de infecções.
Outro fator que minimiza o problema é a extensão de arquivo que é anexado, PIF. Alguém aí ainda tem um sistema de correio que deixa chegar arquivos ".PIF" no usuário final? Se tiver, é bom verificar se está tudo ok por aí.
Se a moda volta (vírus destrutivos, bem populares na época do "Michaelangelo") devemos ficar preocupados, principalmente se eles passaram a atingir arquivos em compartilhamentos mapeados. Nossa, imagina você chegar um dia na empresa e descobrir que diversos diretórios de trabalho foram "zerados"?? E aí, como estão os planos de resposta a incidentes e recuperação de backup? Falando nisso, tem testado seus backups? :-)
Ainda bem que mais uma vez os criadores do vírus não foram mais ousados. Um intervalo de dez dias entre o início da disseminação e a destruição dos arquivos acaba dando tempo para que as pessoas encontrem e removam a ameaça. Se fossem apenas alguns dias (um ou dois)...uau, a coisa ia ser feia. Essas ameaças se espalham muito rápido, não é necessário aguardar tanto tempo para atingir o número máximo de infecções.
Outro fator que minimiza o problema é a extensão de arquivo que é anexado, PIF. Alguém aí ainda tem um sistema de correio que deixa chegar arquivos ".PIF" no usuário final? Se tiver, é bom verificar se está tudo ok por aí.
Se a moda volta (vírus destrutivos, bem populares na época do "Michaelangelo") devemos ficar preocupados, principalmente se eles passaram a atingir arquivos em compartilhamentos mapeados. Nossa, imagina você chegar um dia na empresa e descobrir que diversos diretórios de trabalho foram "zerados"?? E aí, como estão os planos de resposta a incidentes e recuperação de backup? Falando nisso, tem testado seus backups? :-)
Freshmeat!
O Bejtlich indicou três sites muito bons no blog dele. O que eu mais gostei foi o "Uninformed", uma espécie de sucessor do Phrack. Logo de cara achei lá um artigo muito legal sobre o risco de aplicações client server com funções de segurança no client. Pelo jeito é conteúdo bom mesmo.
Quinta-feira, Janeiro 19, 2006
Antivírus funciona?
Um post do Danchev muito interessante sobre a quantidade de arquivos maliciosos não detectados pelos antivírus (na casa dos 14000)!!
Rede Interna
Tem um artigo interessante na WindowsSecurity.com sendo publicado em partes, sobre segurança para a rede interna. É um dos meus assuntos prediletos.
Quarta-feira, Janeiro 18, 2006
Problemas dos IPS
Perguntaram p/ mim, na semana passada, por que eu não gostava de IPS. Eu entendo que é muito risco (mais um equipamento no meio do caminho e, como anda acontecendo com vários produtos de segurança, sujeito a ataques) para pouco benefício quando você tem uma gestão de vulnerabilidades eficiente e um firewall bem configurado. Pois bem, um bom exemplo do que eu estou falando está na vulnerabilidade recente do IPS TippingPoint (3com).
Eu ainda acho que pode ser uma boa ferramenta para empresas muito visadas por script kiddies e que tenham um número muito grande de serviços publicados, pois aí fica mais difícil passar alguma coisa desapercebida. Mas, para a maioria dos casos, acho que é dinheiro jogado fora.
Eu ainda acho que pode ser uma boa ferramenta para empresas muito visadas por script kiddies e que tenham um número muito grande de serviços publicados, pois aí fica mais difícil passar alguma coisa desapercebida. Mas, para a maioria dos casos, acho que é dinheiro jogado fora.
Sexta-feira, Janeiro 13, 2006
Vigias de informação
Saiu na InfoWorld um estudo comparativo de produtos que monitoram o tráfego de informações sensíveis na rede. Eu já havia ouvido falar do Vontu, que acabou sendo apontado com o melhor deles, mas parece que os outros também fazem o trabalho direito. Não acho que seja a principal coisa a se fazer para evitar vazamentos de informações (primeiro deve haver um controle de acesso adequado e depois um processo de awareness forte), mas são ferramentas interessantes para identificar deficiências em processos. Imagine, por exemplo, que uma área de operações troca regularmente e-mail com clientes, passando informações confidenciais. Eles estão só trabalhando, mas acabam expondo as informações sem perceber. As ferramentas em questão ajudariam a identificar essas situações. O problema é o preço, bem salgado.
(aposto que uma solução baseada em Snort mais algo para criar assinaturas para as informações em questão funcionaria legal também...)
(aposto que uma solução baseada em Snort mais algo para criar assinaturas para as informações em questão funcionaria legal também...)
Quinta-feira, Janeiro 12, 2006
5 erros comuns em Vulnerability Management
Eu gosto do assunto e do autor, o Anton Chuvakin (TaoSecurity, Security Warrior). Ficou muito bom, simples e inteligente:
5 erros comuns em Vulnerability Management
5 erros comuns em Vulnerability Management
Terça-feira, Janeiro 10, 2006
Que patching tuesday...
Caramba...se não bastasse o carnaval do WMF, as outras duas vulnerabilidades deste mês são bem cabeludas. Uma delas (MS06-003) pode comprometer um servidor Exchange (5.5. e 2000 principalmente) apenas com um arquivo anexo de um tipo específico (TNEF). Pelo menos há uns workarounds para ataque via SMTP.
A outra vulnerabilidade (MS06-002) é no Windows, no tratamento de "web fonts". O que me preocupou é que parece ser mais grave que o WMF, pois pelo visto você pode mandar um e-mail HTML com as tais web fonts e o Outlook ou o Outlook express vai abrir. Some isso ao pessoal que usa webmail...uau, dá um vírus de e-mail que infecta só de ler a mensagem. Creepy...
A outra vulnerabilidade (MS06-002) é no Windows, no tratamento de "web fonts". O que me preocupou é que parece ser mais grave que o WMF, pois pelo visto você pode mandar um e-mail HTML com as tais web fonts e o Outlook ou o Outlook express vai abrir. Some isso ao pessoal que usa webmail...uau, dá um vírus de e-mail que infecta só de ler a mensagem. Creepy...
Malware protection
Esse é o tipo de abordagem que eu gosto:
http://www.neoava.com/
É um projeto de um Iraniano, Arman Nayyeri, para detectar e combater malware desconhecido. Esqueça as assinaturas de antivírus, ele listou uma série de atitudes "suspeitas", características de malware, e montou um sistema de detecção. Caso a pontuação de um determinado software que está sendo executado suba muito (fazendo várias coisas características de malware) ele entra em ação. Parece ser muito interessante. Ele colocou uma mensagem bem descritiva na Bugtraq hoje.
P.S. E se eu tentar integrar esse troço no meu esquema de monitoração integrada que estou montando para minha dissertação? Hum...
http://www.neoava.com/
É um projeto de um Iraniano, Arman Nayyeri, para detectar e combater malware desconhecido. Esqueça as assinaturas de antivírus, ele listou uma série de atitudes "suspeitas", características de malware, e montou um sistema de detecção. Caso a pontuação de um determinado software que está sendo executado suba muito (fazendo várias coisas características de malware) ele entra em ação. Parece ser muito interessante. Ele colocou uma mensagem bem descritiva na Bugtraq hoje.
P.S. E se eu tentar integrar esse troço no meu esquema de monitoração integrada que estou montando para minha dissertação? Hum...
Segunda-feira, Janeiro 02, 2006
Subindo as camadas
É interessante ver a evolução das vulnerabilidades que vem sendo encontradas e os respectivos exploits.
Antigamente tinhamos vulnerabilidades em protocolos de rede básicos, como ICMP, IP, TCP. Era a época do TCP Spoofing, Ataques de fragmentação, Ping of Death.
Depois que as implementações desses protocolos começaram a ficar mais sólidas, os hackers (nos dois sentidos, no original e no deturpado) passaram a focar nos daemons, como serviços HTTP (apache, IIS), SMTP (sendmail!), etc. Acho que aqui, pela diversidade e pela quantidade de instalações de cada um, acabou sendo o terreno mais "produtivo" até hoje.
Só que até mesmo as implementações dos daemons evoluiram e ficaram mais sólidas. E aí, onde procurar vulnerabilidades? Inicialmente imaginou-se que o foco seria nas aplicações Web. Só que achar vulnerabilidades em aplicações Web não era tão interessante para quem as procura. Para os pesquisadores traria pouca publicidade (uma coisa é achar uma vulnerabilidade que afeta todos os usuários de Windows, outra é achar uma vulnerabilidade no sistema de compra de passagens aéreas de uma única empresa), para os mal intencionados, pouco retorno. Qual seria então o próximo alvo?
Aconteceu algo bem natural. Subiram as camadas! Saímos lá de baixo, das camadas 3 e 4, para a camada 6! Sim começaram a achar coisas muito interessantes na camada de Apresentação (que é tão esquisita que pouca gente entende o que ela faz :-)). Existem diversos padrões de representação de informações, sejam elas imagens, áudio, vídeo, etc. O que os hackers começaram a fazer foi buscar falhas nas aplicações na hora de interpretar informações com esses padrões. Aí começaram a surgir vulnerabilidades relacionadas ao uso de ASN.1, diversos tipos de imagens (JPG, TIFF, e a onda do momento, o WMF), vídeo (WMV), etc. E ainda devem achar mais, pois a interpretação dos formatos de dados nunca foi considerada "perigosa", e deve haver muito código "porco" por aí. Mas o que interessa mesmo são os reflexos em termos de segurança que isso está trazendo.
Primeiro, não há mais aquele vínculo entre serviço e vulnerabilidade. Não dá mais para analisar o problema com a ótica "não tenho o serviço, ou ele está bloqueado no firewall, logo, estou tranquilo". Os tipos de arquivos vulneráveis podem ser transmitidos e tratados por diferentes serviços e aplicações, principalmente HTTP e e-mail. É mais difícil entender o impacto da vulnerabilidade no nosso ambiente. Além disso, os ataques não são mais tão voltados aos servidores, uma vez que muitas aplicações que lidam com os arquivos em questão estão nas estações de trabalho. O alvo do ataque passa a ser o usuário, a estação. E aí a coisa pega, pois todo mundo estava entulhando a rede de equipamentos para proteger aqueles servidores na DMZ! E agora? Volta tudo? Hehe, que dá uma certa vontade de dizer "eu disse! Eu disse" dá, mas não é muito produtivo :-)
Um passo importante é tentar reduzir o impacto de uma estação comprometida. As redes hoje ainda estão muito "tudo ou nada", e isso não ajuda nada nesta nova realidade. Outro ponto importante é tentar melhorar as formas de proteção das estações. Hoje o principal componente de proteção de uma estação é o antivírus, essencialmente reativo e baseado em assinaturas. Essas ferramentas tem que evoluir um pouco mais, ter a capacidade de lidar com os "0 days", além de agir de forma mais preventiva. Alguém já está vendendo "IPS de estação"? Hehe, seria uma boa forma, uma "nova categoria de produto", revolucionário. Hehe.
De qualquer forma, essa evolução vem mudando a forma como devemos estruturar nossas defesas. Só isso já é suficiente para tornar a profissão interessante. Pode ser ruim em termos de aumento do risco, mas que torna a coisa mais divertida, ah, com certeza.
Antigamente tinhamos vulnerabilidades em protocolos de rede básicos, como ICMP, IP, TCP. Era a época do TCP Spoofing, Ataques de fragmentação, Ping of Death.
Depois que as implementações desses protocolos começaram a ficar mais sólidas, os hackers (nos dois sentidos, no original e no deturpado) passaram a focar nos daemons, como serviços HTTP (apache, IIS), SMTP (sendmail!), etc. Acho que aqui, pela diversidade e pela quantidade de instalações de cada um, acabou sendo o terreno mais "produtivo" até hoje.
Só que até mesmo as implementações dos daemons evoluiram e ficaram mais sólidas. E aí, onde procurar vulnerabilidades? Inicialmente imaginou-se que o foco seria nas aplicações Web. Só que achar vulnerabilidades em aplicações Web não era tão interessante para quem as procura. Para os pesquisadores traria pouca publicidade (uma coisa é achar uma vulnerabilidade que afeta todos os usuários de Windows, outra é achar uma vulnerabilidade no sistema de compra de passagens aéreas de uma única empresa), para os mal intencionados, pouco retorno. Qual seria então o próximo alvo?
Aconteceu algo bem natural. Subiram as camadas! Saímos lá de baixo, das camadas 3 e 4, para a camada 6! Sim começaram a achar coisas muito interessantes na camada de Apresentação (que é tão esquisita que pouca gente entende o que ela faz :-)). Existem diversos padrões de representação de informações, sejam elas imagens, áudio, vídeo, etc. O que os hackers começaram a fazer foi buscar falhas nas aplicações na hora de interpretar informações com esses padrões. Aí começaram a surgir vulnerabilidades relacionadas ao uso de ASN.1, diversos tipos de imagens (JPG, TIFF, e a onda do momento, o WMF), vídeo (WMV), etc. E ainda devem achar mais, pois a interpretação dos formatos de dados nunca foi considerada "perigosa", e deve haver muito código "porco" por aí. Mas o que interessa mesmo são os reflexos em termos de segurança que isso está trazendo.
Primeiro, não há mais aquele vínculo entre serviço e vulnerabilidade. Não dá mais para analisar o problema com a ótica "não tenho o serviço, ou ele está bloqueado no firewall, logo, estou tranquilo". Os tipos de arquivos vulneráveis podem ser transmitidos e tratados por diferentes serviços e aplicações, principalmente HTTP e e-mail. É mais difícil entender o impacto da vulnerabilidade no nosso ambiente. Além disso, os ataques não são mais tão voltados aos servidores, uma vez que muitas aplicações que lidam com os arquivos em questão estão nas estações de trabalho. O alvo do ataque passa a ser o usuário, a estação. E aí a coisa pega, pois todo mundo estava entulhando a rede de equipamentos para proteger aqueles servidores na DMZ! E agora? Volta tudo? Hehe, que dá uma certa vontade de dizer "eu disse! Eu disse" dá, mas não é muito produtivo :-)
Um passo importante é tentar reduzir o impacto de uma estação comprometida. As redes hoje ainda estão muito "tudo ou nada", e isso não ajuda nada nesta nova realidade. Outro ponto importante é tentar melhorar as formas de proteção das estações. Hoje o principal componente de proteção de uma estação é o antivírus, essencialmente reativo e baseado em assinaturas. Essas ferramentas tem que evoluir um pouco mais, ter a capacidade de lidar com os "0 days", além de agir de forma mais preventiva. Alguém já está vendendo "IPS de estação"? Hehe, seria uma boa forma, uma "nova categoria de produto", revolucionário. Hehe.
De qualquer forma, essa evolução vem mudando a forma como devemos estruturar nossas defesas. Só isso já é suficiente para tornar a profissão interessante. Pode ser ruim em termos de aumento do risco, mas que torna a coisa mais divertida, ah, com certeza.
Links
Previous Posts
- SONAR, da Symantec
- Segurança e o mundo de papel
- MBA
- NBTEnum
- Good Coder
- MS06-040 e NT4 - Finalmente!
- MS06-041
- Ajudando a identificar o privilégio necessário
- Sobre o scheduler no Windows e SYSTEM
- SPI Dynamics e javascript
Archives
- Setembro 2005
- Outubro 2005
- Novembro 2005
- Dezembro 2005
- Janeiro 2006
- Fevereiro 2006
- Março 2006
- Abril 2006
- Maio 2006
- Junho 2006
- Julho 2006
- Agosto 2006
- Novembro 2006
- Dezembro 2006
- Janeiro 2007
"Now witness the firepower of this fully operational battle station."