Usando IAM para detecção de intrusos

A IBM percebeu o pulo do gato para quem implementa uma solução de Identity Management, a enorme capacidade de detecção de desvios de comportamento de usuários. Estão lançando um produto para fazer isso. Legal.

Biblioteca anti-XSS Microsoft

A Microsoft disponibilizou um recurso que é ótimo para combater ataques de cross site scripting contra sites criados em .Net. Vejam a descrição da biblioteca em http://blogs.msdn.com/dansellers/archive/2006/02/23/538187.aspx

O download está disponível aqui

ROI em segurança??

Hoje li um excelente artigo sobre o assunto. É uma das melhores descrições do problema de justificativa de investimento em segurança. Leiam se puderem. O principal ponto:

"Cost justifications usually require ROI calculations. ROI usually involves annualized loss expectancies (ALE). ALEs are calculated by summing the products of event probabilities by their expected costs (e.g., the probability that a disaster will happen times the cost of the disaster, plus the probability that the disaster won’t happen times the cost of the disaster-prevention-mitigation-recovery efforts).

Unfortunately, we don’t know the probabilities because (1) people don’t notice all the security incidents that happen; (2) people don’t report all the incidents that they notice; (3) there is no central database of reported incidents; (4) there is no classification scheme allowing actuarial accuracy in predicting the rates of occurrence of security incidents as a function of the nearly infinite range of user classes, network and system configurations, software products and software versions implemented in organizations."

Kaminsky de novo

Em 2004, quando estive na Defcon, assisti à apresentação de um maluco meio barrigudo com uma camiseta "azul calcinha" baby look. Foi a melhor apresentação técnica que vi no evento (incluindo o Black Hat uns dias antes), sobre tunelamento em DNS. O cara era o Dan Kaminsky. Comecei a prestar atenção no que ele já tinha feito e no que vinha fazendo/escrevendo. O cara é foda. Visitem o site dele.

Agora ele escreveu um pequeno artigo sobre o problema do rootkit da Sony e a complascência dos antivírus com ele. Vale a pena ler.

ISS e Anomaly Detection

A ISS parece que resolveu arriscar na praia de Anomaly Detection:

http://www.infoworld.com/article/06/02/14/75365_HNissnewsecurity_1.html

Se alguém que já viu o produto quiser palpitar, é bem-vindo.

Dica de livro

Estou lendo um livro muito legal, "Stealing the Network: How to Own the Box" (ISBN: 1931836876). São vários grandes nomes de Infosec contando histórias fictícias de invasões, etc, mas com detalhes técnicos e tudo mais. Li as primeiras e achei muito legal, é raro encontrar livros que não sejam mero "bê-a-bá". E além disso, é divertido, sugiro p/ quem quer se divertir e aprender alguma coisa.

A incompetência dos atuais IDS/IPS

Estava lendo um texto de um cara fazendo a investigação de um incidente no servidor dele. O que mais chama a atenção é que ele tinha um IDS na rede, que não pegou o ataque. Sabe por quê? Porque a aplicação que ele tinha usava um nome de arquivo diferente daquele presente na assinatura que tinha no IDS (na assinatura tinha xmlrpc.php, a aplicação dele usava adxmlrpc.php). Uma pequena bobagem dessas e o IDS (e se fosse um IPS a mesma coisa) babou. Realmente, essa tecnologia ainda precisa evoluir muito.

(está certo que é um belo exemplo de assinatura mal feita, mas quem garante a qualidade das assinaturas?)

Vulnerabilidade no JRE

Mais uma que pode pegar os browsers: http://secunia.com/advisories/18760/

Vulnerabilidades na JRE como esta são críticas pois permitem a execução de código apenas pela "visita" a um website. Considerando a quantidade de instalações de JRE (quase onipresente, um pouco menos que o flash) é algo mais grave que a vulnerabilidade do WMF, por exemplo. Curioso como gera menos barulho. Seria pelo fato de afetar uma empresa/tecnologia "queridinha" dos geeks, oposto ao que acontece com software Microsoft em geral?

Esse efeito diferente no tratamento bem que merecia um estudo mais detalhado. Algo comparando a quantidade de mensagens nas listas, advisories lançados, tempo para aparecimento e quantidade de exploits, etc.

NSA, hilário!

Vejam essa foto, do Bush visitando a NSA:

Uau, que sistema legal de monitoramento deles! Que nada, é só a página do site: http://securitywizardry.com/radar.htm

P/ quem já participou de teatrinhos de visitas de NOC/SOC sabe bem como é esse negócio :-)

CD phishing

Acabei de ler uma notícia sobre criadores de spyware japoneses que foram presos. Um dos métodos deles me chamou a atenção: enviavam CDs para as vítimas!

Pense em quantas pessoas desabilitam o autorun do CD. Agora pense na reação da maioria das pessoas ao receber um CD sem identificação pelo correio. Uau, deve ser mais efetivo que phishing por e-mail...hehe já vou me adiantar e inventar um nome, "cishing" :-)