Prêmio Produto Estúpido do Ano

O pior é que ainda vira notícia.

Por que comprar um produto que te protege contra ataques que exploram 15 vulnerabilidades se provavelmente você vai achar alguém que já oferece proteção para milhares e também para essas 15?

Vista e os incontáveis Pop-ups

O clamor por mais controle sobre privilégios no Vista parece estar sendo atendido pelas funcionalidades do UAP (User Account Protection). O problema, pelo que parece, é que a quantidade de intervenções do sistema operacional perguntando ao usuário se a ação realmente deve ser realizada estourou um pouco a conta. O Bruce Schneier colocou um relato impressionante no blog dele, vale a pena ler.

Segurança Sun Ray

Estava avaliando uma solução de Thin Client da Sun, o Sun Ray, e um aspecto me chamou a atenção.

Os Thin Clients Sun Ray rodam apenas com um firmware, sem um Sistema Operacional (bom, pode-se considerar o firmware o SO). O firmware é responsável por obter as configurações iniciais via DHCP, inclusive o servidor da solução. Uma vez em contato com o servidor inicia-se a comunicação, com uma emulação X11 em cima de um protocolo da própria Sun chamado ALP (Appliance Link Protocol). Eventuais necessidades de update do firmware são enviadas pelo servidor no momento do boot dos clients.

Opa! Então o client recebe a informação de quem é o servidor via DHCP, e é esse cara que manda o novo firmware? É isso mesmo. Quer dizer que se alguém responder ao request DHCP do client, acaba com o "poder" de enviar um firmware qualquer para o equipamento. Será que alguém já começou a fuçar no código desse firmware para saber o quanto é possível manipular esses Thin Clients? Eu sei que eles tem uma funcionalidade de reporte via syslog, por exemplo. E se alguém alterasse o firmware para fazer com que ele enviasse keystrokes para um servidor de syslog? Caramba. Bom, acho que poderia usar algum recursos dos switches para permitir respostas provenientes apenas do servidor ou relay agent DHCP. Não sei se há granularidade a este ponto nos switches.

Outra coisa, não há recursos para utilizar uma autenticação 802.1X, por exemplo. Logo, na rede na qual os Thin Clients estão presentes eu ficaria vulnerável a alguém que desplugasse o equipamento para ligar sua própria máquina. Acho que isso poderia ser mitigado através do uso de ACLs e PVLANs.

Em resumo, é uma plataforma da qual um dos principais argumentos de venda do fornecedor é a segurança. Uso de Java Cards para logon, etc. Mas e essas situações de rede, como ficam? Já que o equipamento não tem nenhuma configuração estática (outro argumento de venda), nem mesmo uma verificação de identidade do servidor eu poderia fazer de forma confiável. Talvez com o uso dos Java Cards (algum tipo de desafio/resposta), mas não sei se tem.

Bom, coloquei um pouco da minha viagem sobre o assunto. Se alguém já analisou esses aspectos com mais profundidade, gostaria de ouvir as conclusões.

Pesquisa de vulnerabilidades

Saiu um artigo muito bom sobre pesquisa de vulnerabilidades na Information Week. É um histórico dos últimos casos de divulgação de vulnerabilidades, analisando os efeitos no mercado, para os usuários e a opinião de diversos pesquisadores. Vale a pena ler.

Ferramentas!

Acho que todo dia alguém escreve um "as X melhores ferramentas". Esse da darknet, porém, está muito bom.

O engraçado é ver que existem algumas unanimidades , como o NMAP, Nessus, etc...

Endpoint security já!

A notícia de um "negócio" baseado em trojans criados para roubo de informações era algo que eu esperava ver mais cedo um mais tarde. Para mim, tendo isso em vista, monitoração mais eficiente de redes (principalmente estações de trabalho!) e proteção de estações de trabalho (endpoint security) centralizada são direções sem volta para a segurança de informações corporativas. Um produto interessante que vi para fazer isso é o Protection Manager, da Winternals. Há outros que vão na mesma linha, como o Elemental, que comentei há alguns dias. O importante mesmo é termos noção que patch+av não é mais suficiente.

Schneier e VoIP

O Schneier anda tão envolvido nas discussões sobre privacidade e Homeland Security lá nos EUA que o blog dele anda um pouco monótono. Felizmente hoje ele mencionou um assunto interessante, a segurança em VoIP.

O interessante é a análise comparativa das ameaças (apenas relativo a escutas = confidencialidade) da telefonia tradicional e da telefonia IP. É o tipo de exercício de pensamento que devemos fazer sempre que migramos uma determinada atividade para outra tecnologia ou meio. Mesmo que sem novidades, vale a pena ler por conta da abordagem. Quem gostar pode ver mais no livro dele "Beyond Fear".

Link: http://www.schneier.com/blog/archives/2006/04/voip_encryption.html