Por que o phishing funciona?
Essa pergunta é respondida neste ótimo artigo.
Quinta-feira, Março 30, 2006
Sexta-feira, Março 24, 2006
x.805 -> ISO18028-2
Foi anunciado recentemente que a x.805 se tornou também ISO18028-2. É uma norma de segurança para redes. Conheci o documento através do Nelson Correa . Ele foi desenvolvido por pessoas ligadas a telecom, e tem a cara dos padrões de telefonia, com planos, dimensões, etc.
De qualquer forma, acho um ótimo documento. Gosto dele por ser extremamente pragmático, ele é bem mais focado que, por exemplo, a ISO17799. Sugiro a todo o pessoal de Infosec dar uma olhada nessa norma. Há um draft disponível aqui.
De qualquer forma, acho um ótimo documento. Gosto dele por ser extremamente pragmático, ele é bem mais focado que, por exemplo, a ISO17799. Sugiro a todo o pessoal de Infosec dar uma olhada nessa norma. Há um draft disponível aqui.
Quinta-feira, Março 23, 2006
Problemas em IPS
O Anton Chuvakin publicou os resultados de uma pesquisa que ele fez sobre as principais formas de mal funcionamento de IPS. É muito interessante ver que realmente há problemas bloqueios não relatados em logs, o que faz com que processos de troubleshooting se tornem pesadelos. Reforça minha opinião sobre essa tecnologia.
Segunda-feira, Março 20, 2006
Crimeware
Matéria legal da Sientific American sobre impressoes colhidas na ultima conferencia da RSA.
A idéia é que os bad-guys estão vencendo a queda de braço.
http://blog.sciam.com/index.php?title=the_rise_of_crimeware&more=1&c=1&tb=1&pb=1
A idéia é que os bad-guys estão vencendo a queda de braço.
http://blog.sciam.com/index.php?title=the_rise_of_crimeware&more=1&c=1&tb=1&pb=1
Sexta-feira, Março 17, 2006
Port Knocking
Uma idéia simples e que eu sempre gostei é o Port Knocking, uma medida de segurança por obscuridade (ok, ok, eu sei) que pode ser útil para camuflar acessos que precisam ser mantidos abertos. É claro que não pode ser a única medida de proteção de um serviço, mas acho uma ótima idéia para reduzir o perfil de exposição de uma rede. Há um site só sobre o assunto em www.portknocking.org
Quinta-feira, Março 16, 2006
Blitzkrieg e infosec
Um bom texto sobre uma das características da tática alemã de guerra Blitzkrieg e segurança de sistemas.
O texto fala sobre Systempunkts:
"It is the point [...] where the enemy line may be pierced by an explosive combination of multiple weapon systems. Once the line is pierced, armored forces dive deep into enemy territory to disrupt command, control, and logistics systems"
O que assusta nas redes de hoje é que quase toda estação tem capacidade de ser um systempunkt...
O texto fala sobre Systempunkts:
"It is the point [...] where the enemy line may be pierced by an explosive combination of multiple weapon systems. Once the line is pierced, armored forces dive deep into enemy territory to disrupt command, control, and logistics systems"
O que assusta nas redes de hoje é que quase toda estação tem capacidade de ser um systempunkt...
trojans p/ teclado virtual
Não sei se o problema é conosco (profissionais de segurança brasileiros) ou com os gringos, mas saiu uma notícia no The Register sobre os "inovadores" trojans que capturam cliques de mouse. Caramba! Isso já está circulando aqui no Brasil há mais de 2 anos, como é que o cara diz que isso é novidade agora? Será que nós estamos falhando em mostrar a ameaça que circula aqui para o resto do mundo ou eles que são perdidos?
Sexta-feira, Março 10, 2006
Elemental
De vez em quando parece que eu não acredito em nenhum produto de segurança, por conta das constantes críticas que faço a eles. Porém hoje li sobre um produto que parece ser algo diferente. É o Elemental Security Platform.
O objetivo dele é fazer um controle de diversas características de segurança de uma rede corporativa, principalmente nas estações. Composto por um server e agentes para diversos sistemas operacionais, o ESP tem um recursos legal de discovery de máquinas desconhecidas (deve ser o bom e velho scan :-)). Quando a máquina é "legal" e recebe o agente você passa a ter a possibilidade aplicar regras e políticas de segurança. Coisas como "Desenvolvedores (pega a informação de grupos do AD, por exemplo) não podem utilizar dispositivos USB", "Apenas funcionários da contabilidade acessam o ERP", etc. Ele faz o controle de acesso na camada de rede/transporte, bloquando conexões para e a partir das máquinas com agentes de acordo com as regras. Note que interessante, você criou uma regra de bloqueio de conexão de acordo com características do usuário. Poderia ser também de acordo com características da máquinas, há realmente várias possibilidades.
Alguém pode perguntar, "mas se o controle é feito por agentes, como ele vai bloquear o tráfego de máquinas sem agentes?". Bom, o agente deve ser instalado nos servidores também. Como ele tem agentes para várias plataformas, não é tão difícil. Em vários lugares implementar isso seria mais simples do que segmentar e colocar firewalls na rede interna, algo que costuma ser visto com maus olhos pelo pessoal de rede.
Resta saber se o trem funciona e se custa os olhos da cara.
Outra coisa que estive observando é o Core FORCE, que é open source. Ele também faz uma série de controles na máquina, desde acesso a arquivos até a parte de rede. A configuração da política de segurança pode ser distribuída (manualmente) para uma instalação corporativa, por exemplo, obtendo um resultado semelhante ao ESP. Será que não há gente suficiente interessada em criar um sistema desses open? Acho que um dos motivos do alto custo dessas ferramentas é a falta de opções mais baratas. Como muito do que se deseja fazer já é possível (em ambientes Windows) com GPOs, talvez um sistema para automatizar mais isso seria fácil de fazer.
O objetivo dele é fazer um controle de diversas características de segurança de uma rede corporativa, principalmente nas estações. Composto por um server e agentes para diversos sistemas operacionais, o ESP tem um recursos legal de discovery de máquinas desconhecidas (deve ser o bom e velho scan :-)). Quando a máquina é "legal" e recebe o agente você passa a ter a possibilidade aplicar regras e políticas de segurança. Coisas como "Desenvolvedores (pega a informação de grupos do AD, por exemplo) não podem utilizar dispositivos USB", "Apenas funcionários da contabilidade acessam o ERP", etc. Ele faz o controle de acesso na camada de rede/transporte, bloquando conexões para e a partir das máquinas com agentes de acordo com as regras. Note que interessante, você criou uma regra de bloqueio de conexão de acordo com características do usuário. Poderia ser também de acordo com características da máquinas, há realmente várias possibilidades.
Alguém pode perguntar, "mas se o controle é feito por agentes, como ele vai bloquear o tráfego de máquinas sem agentes?". Bom, o agente deve ser instalado nos servidores também. Como ele tem agentes para várias plataformas, não é tão difícil. Em vários lugares implementar isso seria mais simples do que segmentar e colocar firewalls na rede interna, algo que costuma ser visto com maus olhos pelo pessoal de rede.
Resta saber se o trem funciona e se custa os olhos da cara.
Outra coisa que estive observando é o Core FORCE, que é open source. Ele também faz uma série de controles na máquina, desde acesso a arquivos até a parte de rede. A configuração da política de segurança pode ser distribuída (manualmente) para uma instalação corporativa, por exemplo, obtendo um resultado semelhante ao ESP. Será que não há gente suficiente interessada em criar um sistema desses open? Acho que um dos motivos do alto custo dessas ferramentas é a falta de opções mais baratas. Como muito do que se deseja fazer já é possível (em ambientes Windows) com GPOs, talvez um sistema para automatizar mais isso seria fácil de fazer.
Quarta-feira, Março 08, 2006
Doom Worm
O que faz um worm "perder a força"? Obviamente, a redução da base de computadores vulneráveis. Isso acontece porque a vulnerabilidade utilizada por ele é corrigida em massa pela Internet, tornando sua disseminação muito difícil. E se um worm pudesse se atualizar?
Isso faria com que ele continuasse com poder de contaminação alto, tornando-se extremamente difícil de se remover. Porém, isso não seria tão simples para o criador desse monstrinho, pois ele tem que estabelecer um contato com as máquinas infectadas para fazer o update. E como fazer isso? Já vimos coisas semelhantes que tentam pegar payload via IRC, HTTP, etc, mas o que acontece de fato é que os lugares onde este payload está armazenado são rapidamente retirados do ar ou bloqueados. Qual seria a alternativa?
SPAM! Sim, algo que continua sempre chegando em nossas máquinas, mesmo com os diversos filtros que usamos. Imagine que o criados precise atualizar seu worm. Ele envia um SPAM para milhares de endereços, na esperança de atingir uma máquina que esteja contaminada. Essa máquina fica verificando nas mensagens que o usuário lê um campo comum, como por exemplo o Subject.
O worm pega cada subject e verifica se ele está encriptado com uma chave assimétrica que só o criador tem (e que o componente "público está no código do worm) e, se estiver, conseguirá obter ou uma palavra chave ou uma URL. Ele pode ir diretamente na URL buscar o novo exploit ou fazer uma busca no google pela palavra chave enviada. Na atualização também vem uma conta de um serviço de webmail gratuito nova, que será usada para disseminar ainda mais o SPAM com a string que contém a URL da atualização.
Depois disso o worm passa a explorar máquinas com o novo exploit, até atingir uma situação onde são tão poucas as máquinas infectadas com sucesso que ele entra em um modo "dormente", apenas analisando as mensagens recebidas em busca de uma nova atualização.
A coisa pode se tornar mais negra se, além de uma atualização, também puderem ser postados comandos para o worm, como instruções de ataque. Seria uma botnet com crescimento constante e atualizável. Ainda podemos somar nas atualizações uma forma de tentar driblar assinaturas de antivírus, como "instruções de polimorfismo".
Uma coisa interessante é que o criador não se comunica diretamente com sua rede de zumbis, ele apenas envia spams buscando atingir um pedaço dela, estimulando uma reação em cadeia que eventualmente atualizará a rede toda. Se a coisa é bem implementada realmente seria uma grande dor de cabeça evitá-la.
Isso faria com que ele continuasse com poder de contaminação alto, tornando-se extremamente difícil de se remover. Porém, isso não seria tão simples para o criador desse monstrinho, pois ele tem que estabelecer um contato com as máquinas infectadas para fazer o update. E como fazer isso? Já vimos coisas semelhantes que tentam pegar payload via IRC, HTTP, etc, mas o que acontece de fato é que os lugares onde este payload está armazenado são rapidamente retirados do ar ou bloqueados. Qual seria a alternativa?
SPAM! Sim, algo que continua sempre chegando em nossas máquinas, mesmo com os diversos filtros que usamos. Imagine que o criados precise atualizar seu worm. Ele envia um SPAM para milhares de endereços, na esperança de atingir uma máquina que esteja contaminada. Essa máquina fica verificando nas mensagens que o usuário lê um campo comum, como por exemplo o Subject.
O worm pega cada subject e verifica se ele está encriptado com uma chave assimétrica que só o criador tem (e que o componente "público está no código do worm) e, se estiver, conseguirá obter ou uma palavra chave ou uma URL. Ele pode ir diretamente na URL buscar o novo exploit ou fazer uma busca no google pela palavra chave enviada. Na atualização também vem uma conta de um serviço de webmail gratuito nova, que será usada para disseminar ainda mais o SPAM com a string que contém a URL da atualização.
Depois disso o worm passa a explorar máquinas com o novo exploit, até atingir uma situação onde são tão poucas as máquinas infectadas com sucesso que ele entra em um modo "dormente", apenas analisando as mensagens recebidas em busca de uma nova atualização.
A coisa pode se tornar mais negra se, além de uma atualização, também puderem ser postados comandos para o worm, como instruções de ataque. Seria uma botnet com crescimento constante e atualizável. Ainda podemos somar nas atualizações uma forma de tentar driblar assinaturas de antivírus, como "instruções de polimorfismo".
Uma coisa interessante é que o criador não se comunica diretamente com sua rede de zumbis, ele apenas envia spams buscando atingir um pedaço dela, estimulando uma reação em cadeia que eventualmente atualizará a rede toda. Se a coisa é bem implementada realmente seria uma grande dor de cabeça evitá-la.
Quinta-feira, Março 02, 2006
Ursos e monitoração
O Richard Bejtlich colocou no blog dele três fotos que mostram claramente alguns princípios que devem ser lembrados na implementação de um sistema de monitoração de segurança. Vale a pena ver!
Links
Previous Posts
- SONAR, da Symantec
- Segurança e o mundo de papel
- MBA
- NBTEnum
- Good Coder
- MS06-040 e NT4 - Finalmente!
- MS06-041
- Ajudando a identificar o privilégio necessário
- Sobre o scheduler no Windows e SYSTEM
- SPI Dynamics e javascript
Archives
- Setembro 2005
- Outubro 2005
- Novembro 2005
- Dezembro 2005
- Janeiro 2006
- Fevereiro 2006
- Março 2006
- Abril 2006
- Maio 2006
- Junho 2006
- Julho 2006
- Agosto 2006
- Novembro 2006
- Dezembro 2006
- Janeiro 2007
"Now witness the firepower of this fully operational battle station."