SPI Dynamics e javascript
A SPI Dynamics publicou um trabalho muito interessante sobre o uso de XSS e javascript para scan de redes.
Quinta-feira, Julho 27, 2006
EFS
Um ótimo artigo sobre o EFS. Uma discussão recente na CISSP-BR mostrou o quanto as pessoas não sabem como funciona esse recurso, que não é de todo mal. Na verdade conceitualmente ele é muito bom, mas na minha opinião tem seu uso um pouco desencorajado em alguns casos por estar diretamente relacionado à senha do Windows, que já sofre há anos com os problemas advindos dos métodos de hashing LM e NTLM.
Terça-feira, Julho 18, 2006
Winternals e Sysinternals adquiridas pela MS
Mais um passo genial da MS em busca de um melhor posicionamento de segurança. A Winternals (que patrocina o site Sysinternals) foi comprada pela Microsoft. Espero ver, por exemplo, o famoso pacote PSTOOLS como parte do sistema operacional. Não são apenas os produtos, mas principalmente as pessoas. Mark Russinovich foi o cara que descobriu o que estava acontecendo com o famoso rootkit da Sony.
Ao pessoal da MS, parabéns novamente! Aproveitem a aquisição (especialmente o excelente "Protection Manager") e integrem tudo o que esses caras fazem no Windows, vai agregar um enorme valor ao produto.
Ao pessoal da MS, parabéns novamente! Aproveitem a aquisição (especialmente o excelente "Protection Manager") e integrem tudo o que esses caras fazem no Windows, vai agregar um enorme valor ao produto.
Quarta-feira, Julho 12, 2006
Schneier e autenticação de dois fatores
O Schneier postou no seu blog uma notícia sobre phishers que driblaram a autenticação de dois fatores de um banco através de um ataque "man in the middle". Eles basicamente faziam o proxy das credenciais do usuário para o site original.
O que mais me impressiona é que todo mundo começa a sugerir soluções para isso pensando no problema "como o site original pode identificar que a requisição não está vindo diretamente do usuário real". ESSA NÃO É A ABORDAGEM CERTA!
No ano passado apresentei no CNASI uma prova de conceito. O código era um BHO, mas poderia ter sido feito de outras formas. Ele tinha como alvo um Internet Banking específico, que usava autenticação de dois fatores. Seu objetivo não era roubar credenciais do usuário, mas utilizar a sessão estabelecida e autenticada por ele. Toda vez que a pessoa fizesse uma transferência de dinheiro, a conta destino era substituída por outra. O comprovante apresentado depois também era alterado para que o usuário não percebesse o que aconteceu. Ele acabava não percebendo nada de diferente em sua experiência ao usar o site, mas o dinheiro acabou de ser transferido para uma conta diferente da correta.
Por que se preocupar em roubar credenciais quando você pode usar a sessão já autenticada pelo próprio usuário para fazer o que você precisa? Se você resolve não roubar credenciais também tem o benefício adicional de não precisar mandá-las para você. Sem preocupações com personal firewalls, NAT, etc.
O problema real (tecnicamente falando) está relacionado às ações do usuário (acessando sites falsos) e seu ambiente (backdoors, trojans, DNS poisoning). Autenticação de dois fatores não resolve nenhum destes
O que mais me impressiona é que todo mundo começa a sugerir soluções para isso pensando no problema "como o site original pode identificar que a requisição não está vindo diretamente do usuário real". ESSA NÃO É A ABORDAGEM CERTA!
No ano passado apresentei no CNASI uma prova de conceito. O código era um BHO, mas poderia ter sido feito de outras formas. Ele tinha como alvo um Internet Banking específico, que usava autenticação de dois fatores. Seu objetivo não era roubar credenciais do usuário, mas utilizar a sessão estabelecida e autenticada por ele. Toda vez que a pessoa fizesse uma transferência de dinheiro, a conta destino era substituída por outra. O comprovante apresentado depois também era alterado para que o usuário não percebesse o que aconteceu. Ele acabava não percebendo nada de diferente em sua experiência ao usar o site, mas o dinheiro acabou de ser transferido para uma conta diferente da correta.
Por que se preocupar em roubar credenciais quando você pode usar a sessão já autenticada pelo próprio usuário para fazer o que você precisa? Se você resolve não roubar credenciais também tem o benefício adicional de não precisar mandá-las para você. Sem preocupações com personal firewalls, NAT, etc.
O problema real (tecnicamente falando) está relacionado às ações do usuário (acessando sites falsos) e seu ambiente (backdoors, trojans, DNS poisoning). Autenticação de dois fatores não resolve nenhum destes
Quinta-feira, Julho 06, 2006
BS25999
Foi publicado o draft da norma britânica BS25999, sobre gestão de continuidade de negócios. É importante dar uma olhada (e fazer comentários), pois sabemos que é o tipo de documento que pode vir a se tornar uma ISO daqui a alguns anos. É possível fazer o download aqui.
Links
Previous Posts
- SONAR, da Symantec
- Segurança e o mundo de papel
- MBA
- NBTEnum
- Good Coder
- MS06-040 e NT4 - Finalmente!
- MS06-041
- Ajudando a identificar o privilégio necessário
- Sobre o scheduler no Windows e SYSTEM
- SPI Dynamics e javascript
Archives
- Setembro 2005
- Outubro 2005
- Novembro 2005
- Dezembro 2005
- Janeiro 2006
- Fevereiro 2006
- Março 2006
- Abril 2006
- Maio 2006
- Junho 2006
- Julho 2006
- Agosto 2006
- Novembro 2006
- Dezembro 2006
- Janeiro 2007
"Now witness the firepower of this fully operational battle station."