21 de março de 2007

Security is not TI

Problemas antigos de segurança estão cada dia mais em evidência atualmente. Confira as notícias da semana:

Caso 1 - Vazamento de Informação na operação de venda da Ipiranga

"No mesmo dia em que Petrobras, Braskem e Ultra confirmaram a compra do Grupo Ipiranga por cerca de US$ 4 bilhões, cresceram os indícios de vazamento de informação durante as negociações."



Caso 2 - Aeroporto de "Cãogonhas"

"E esta: cachorro invade pista e interdita Congonhas por meia hora. Então é o aeroporto de CÃOgonhas! Só faltou o cachorro mijar na torre. Por isso que se chama zona aérea. Tá uma puta zona!

Passageiros rumo ao caos, dirijam-se ao aeroporto de Congonhas! E ANAC quer dizer: Aviões Não Aterrissam em Congonhas! E o problema é que o ministro se chama Pires. Pires não tem asa. Muda pra xícara, que xícara tem asa e voa! Waldir Xícara. Ministro da Defesa do Palmeiras. Rarará! Aliás, peguei a gripe Congonhas: aquela que te deixa no chão! Rarará!"



Como segurança ainda pode ser tratada pela área de TI?

As análises dos fatos segundo um profissional de TI:

Caso 1
Talvez se fosse proibido o acesso ao MSN e aos e-mails pessoais poderia ter sido evitado o vazamento das informações!

Caso 2
Se houvesse um controle de acesso ou uma pista de contingência o aeroporto não teria parado!

Isso são pequenos exemplos. E quando o cara se apresenta como "da área de TI" e diz: "Eu nunca vi ninguém analisar os ativos que suportam os processos em um uma análise de riscos" ou "Treinamento e conscientização não é controle".

Security is not TI

Problemas antigos de segurança estão cada dia mais em evidência atualmente. Confira as notícias da semana:

Caso 1 - Vazamento de Informação na operação de venda da Ipiranga

"No mesmo dia em que Petrobras, Braskem e Ultra confirmaram a compra do Grupo Ipiranga por cerca de US$ 4 bilhões, cresceram os indícios de vazamento de informação durante as negociações."



Caso 2 - Aeroporto de "Cãogonhas"

"E esta: cachorro invade pista e interdita Congonhas por meia hora. Então é o aeroporto de CÃOgonhas! Só faltou o cachorro mijar na torre. Por isso que se chama zona aérea. Tá uma puta zona!

Passageiros rumo ao caos, dirijam-se ao aeroporto de Congonhas! E ANAC quer dizer: Aviões Não Aterrissam em Congonhas! E o problema é que o ministro se chama Pires. Pires não tem asa. Muda pra xícara, que xícara tem asa e voa! Waldir Xícara. Ministro da Defesa do Palmeiras. Rarará! Aliás, peguei a gripe Congonhas: aquela que te deixa no chão! Rarará!"



Como segurança ainda pode ser tratada pela área de TI?

As análises dos fatos segundo um profissional de TI:

Caso 1
Talvez se fosse proibido o acesso ao MSN e aos e-mails pessoais poderia ter sido evitado o vazamento das informações!

Caso 2
Se houvesse um controle de acesso ou uma pista de contingência o aeroporto não teria parado!

Isso são pequenos exemplos. E quando o cara se apresenta como "da área de TI" e diz: "Eu nunca vi ninguém analisar os ativos que suportam os processos em um uma análise de riscos" ou "Treinamento e conscientização não é controle".

18 de março de 2007

Firefox Hacking

FireCAT (Firefox Catalog of Auditing Toolbox) segundo o Security Database Team é um framework que mapeia extensões do firefox que podem ser utilizadas para auditoria ou testes de segurança.



O mind map classifica as extensões pelos seguintes temas:

  • Security Auditing;
  • Editors;
  • Information Gathering;
  • Network Utilities;
  • Proxying/Web Utilities; e
  • Misc.
FireCAT (Firefox Catalog of Auditing Toolbox)

Firefox Hacking

FireCAT (Firefox Catalog of Auditing Toolbox) segundo o Security Database Team é um framework que mapeia extensões do firefox que podem ser utilizadas para auditoria ou testes de segurança.



O mind map classifica as extensões pelos seguintes temas:

  • Security Auditing;

  • Editors;

  • Information Gathering;

  • Network Utilities;

  • Proxying/Web Utilities; e

  • Misc.


FireCAT (Firefox Catalog of Auditing Toolbox)

16 de março de 2007

SECMASTER

O SECMASTER é a principal premiação do segmento de Gerenciamento de Risco e Segurança da Informação, e é uma iniciativa conjunta do Capítulo Brasileiro do ISSA e da Via Forum

O SecMaster é uma iniciativa significativa de desenvolvimento do setor, e tem como objetivo reconhecer os profissionais de gerenciamento de risco e segurança da informação que mais contribuiram no ano de 2006 para que o segmento crescesse, fosse reconhecido, fosse debatido, fosse melhorado, fosse divulgado, fosse capacitado, fosse desenvolvido e aumentasse a conscientização da sua importância.

Este ano teremos premiação para as seguintes categorias:

  1. Melhor Profissional do Ano
  2. Melhor Contribuição para o Setor Privado
  3. Melhor Contribuição para o Setor Público
  4. Melhor Contribuição para o Desenvolvimento de Mercado
  5. Melhor Trabalho Acadêmico
  6. Melhor Contribuição Editorial e Jornalística

Teremos também um prêmio especial de Honra ao Mérito.

Participe! Divulgue! Indique! Candidate-se!

Sua participação é importante para fazermos deste prêmio o encontro nacional do segmento e premiarmos aqueles que realmente fizeram diferença.

Dúvidas sobre conteúdo, estou a disposição representanto o Capítulo Brasileiro da ISSA como diretor de educação e conteúdo.

SECMASTER

O SECMASTER é a principal premiação do segmento de Gerenciamento de Risco e Segurança da Informação, e é uma iniciativa conjunta do Capítulo Brasileiro do ISSA e da Via Forum



O SecMaster é uma iniciativa significativa de desenvolvimento do setor, e tem como objetivo reconhecer os profissionais de gerenciamento de risco e segurança da informação que mais contribuiram no ano de 2006 para que o segmento crescesse, fosse reconhecido, fosse debatido, fosse melhorado, fosse divulgado, fosse capacitado, fosse desenvolvido e aumentasse a conscientização da sua importância.


Este ano teremos premiação para as seguintes categorias:




  1. Melhor Profissional do Ano

  2. Melhor Contribuição para o Setor Privado

  3. Melhor Contribuição para o Setor Público

  4. Melhor Contribuição para o Desenvolvimento de Mercado

  5. Melhor Trabalho Acadêmico

  6. Melhor Contribuição Editorial e Jornalística


Teremos também um prêmio especial de Honra ao Mérito.

Participe! Divulgue! Indique! Candidate-se!


Sua participação é importante para fazermos deste prêmio o encontro nacional do segmento e premiarmos aqueles que realmente fizeram diferença.
Dúvidas sobre conteúdo, estou a disposição representanto o Capítulo Brasileiro da ISSA como diretor de educação e conteúdo.



9 de março de 2007

SWOT and Risk Analysis

Como profissional de segurança eu me considero um gestor de riscos, assim como qualquer profissional de segurança envolvido em qualquer fase da análise dos riscos e implementação de controles para mitigação.

Eu vejo empresas, profissionais e estudantes sempre a busca de uma fórmula perfeita para análise de riscos, isso se deve há um mito que foi criado sobre tal tema. Sim, na minha humilde opinião um mito, pois, o que realmente importa é identificar os riscos e trabalhar para que as ameaças não se concretizem.

Ferramentas com formulas mirabolantes e guardadas a sete chaves e métodos que são tão complicados quanto cálculo 1 e 2 para estudantes de engenharia, só colaboram para aumentar esse mito.

Lembro que há algum tempo atrás um amigo me informou que estava aprendendo na pós-graduação, SWOT para realisar análise de riscos. Naquela época eu achei que SWOT não era uma ferramenta adequada, pois, existiam inumeros métodos mais eficiêntes, como, Mosler, Fault Tree Analysis, Monte Carlo, OCTAVE e uma série de modelos complicados. Hoje eu acredito que é bem interessante a análise de SWOT na gestão de riscos.



Como a visão de SWOT poderia ser usada para análise de riscos?

Para responder isso vou falar um pouco de SWOT. Segundo a wikipedia a análise de SWOT não tem registros precisos de sua origem, a quem diga que Sun Tzu já utilizava esse conceito.

"Concentre-se nos pontos fortes, reconheça as fraquezas, agarre as oportunidades e proteja-se contra as ameaças ” (SUN TZU, 500 a.C.)

A análise busca identificar seus pontos fortes (Strengths), suas fraquesas (Weaknesses), oportunidades (Opportunities) e ameaças (Threats), que pode ser interpretada da seguinte forma:

Internamente
  • Como explorar nossos pontos fortes?
  • Como diminuir nossas fraquezas?
Externamente
  • Como explorar nossas oportunidades?
  • Como diminuir as ameaças?
Não é exatamente isso que a segurança da informação busca? Para que utilizar ferramentas complexas e manuais estilo NSA?

Eu não estou querendo pregar que as metodologias citadas são ruins, elas podem ser úteis quando já existe uma cultura, um entendimento claro de conceitos como:
  • Apetite por risco;
  • Mitigação;
  • Redução;
  • Tranferência;
  • e aceitaição.
Em situações onde já existe maturidade, os modelos citados podem ajudar a mensurar e apurar as variáveis que compoem a análise de riscos. De preferência que esses modelos mais precisos sejam implementados utilizando uma ferramenta. Afinal, nosso desafio é evitar que as ameaças se concretizem e não tornar-se um perito em cálculos complexos!

SWOT and Risk Analysis

Como profissional de segurança eu me considero um gestor de riscos, assim como qualquer profissional de segurança envolvido em qualquer fase da análise dos riscos e implementação de controles para mitigação.

Eu vejo empresas, profissionais e estudantes sempre a busca de uma fórmula perfeita para análise de riscos, isso se deve há um mito que foi criado sobre tal tema. Sim, na minha humilde opinião um mito, pois, o que realmente importa é identificar os riscos e trabalhar para que as ameaças não se concretizem.

Ferramentas com formulas mirabolantes e guardadas a sete chaves e métodos que são tão complicados quanto cálculo 1 e 2 para estudantes de engenharia, só colaboram para aumentar esse mito.

Lembro que há algum tempo atrás um amigo me informou que estava aprendendo na pós-graduação, SWOT para realisar análise de riscos. Naquela época eu achei que SWOT não era uma ferramenta adequada, pois, existiam inumeros métodos mais eficiêntes, como, Mosler, Fault Tree Analysis, Monte Carlo, OCTAVE e uma série de modelos complicados. Hoje eu acredito que é bem interessante a análise de SWOT na gestão de riscos.



Como a visão de SWOT poderia ser usada para análise de riscos?

Para responder isso vou falar um pouco de SWOT. Segundo a wikipedia a análise de SWOT não tem registros precisos de sua origem, a quem diga que Sun Tzu já utilizava esse conceito.

"Concentre-se nos pontos fortes, reconheça as fraquezas, agarre as oportunidades e proteja-se contra as ameaças ” (SUN TZU, 500 a.C.)

A análise busca identificar seus pontos fortes (Strengths), suas fraquesas (Weaknesses), oportunidades (Opportunities) e ameaças (Threats), que pode ser interpretada da seguinte forma:

Internamente

  • Como explorar nossos pontos fortes?



  • Como diminuir nossas fraquezas?


Externamente

  • Como explorar nossas oportunidades?



  • Como diminuir as ameaças?


Não é exatamente isso que a segurança da informação busca? Para que utilizar ferramentas complexas e manuais estilo NSA?

Eu não estou querendo pregar que as metodologias citadas são ruins, elas podem ser úteis quando já existe uma cultura, um entendimento claro de conceitos como:

  • Apetite por risco;



  • Mitigação;



  • Redução;



  • Tranferência;



  • e aceitaição.


Em situações onde já existe maturidade, os modelos citados podem ajudar a mensurar e apurar as variáveis que compoem a análise de riscos. De preferência que esses modelos mais precisos sejam implementados utilizando uma ferramenta. Afinal, nosso desafio é evitar que as ameaças se concretizem e não tornar-se um perito em cálculos complexos!

OWASP Top10 2007 RC

Estive analisando o Release Candidate do Top 10 2007 do OWASP (Open Web Application Security Project) e pude perceber que o projeto está sempre pesquisando e atendendo as tendências no desenvolvimento seguro de aplicações web.

A1 – Cross Site Scripting (XSS)

XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victim’s browser which can hijack user sessions, deface web sites, etc.

A2 – Injection Flaws

Injection flaws, particularly SQL injection, are common in web applications. Injection occurs when user-supplied data is sent to an interpreter as part of a command or query. The attacker’s hostile data tricks the interpreter into executing unintended commands or changing data.

A3 – Insecure Remote File Include

Code vulnerable to remote file inclusion allows attackers to include hostile code and data, resulting in devastating attacks, such as total server compromise.

A4 – Insecure Direct Object Reference

A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, database record, or key, as a URL or form parameter. Attackers can manipulate those references to access other objects without authorization.

A5 – Cross Site Request Forgery (CSRF)

A CSRF attack forces a logged-on victim’s browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim’s browser to perform a hostile action to the benefit of the attacker.

A6 – Information Leakage and Improper Error Handling

Applications can unintentionally leak information about their configuration, internal workings, or violate privacy through a variety of application problems. Attackers use this weakness to violate privacy, or conduct further attacks.

A7 – Broken Authentication and Session Management

Account credentials and session tokens are often not properly protected. Attackers compromise passwords, keys, or authentication tokens to assume other users dentities.

A8 – Insecure Cryptographic Storage

Web applications rarely use cryptographic functions properly to protect data and credentials. Attackers use weakly protected data to conduct identity theft and other crimes, such as credit card fraud.

A9 – Insecure Communications

Applications frequently fail to encrypt network traffic when it is necessary to protect sensitive communications.

A10 – Failure to Restrict URL Access

Frequently, the only protection for sensitive areas of an application is links or URLs are not presented to unauthorized users. Attackers can use this weakness to access and perform unauthorized operations.

A principal novidade é a inclusão do Cross Site Request Forgery uma variação do Cross Site Scripting que está entre as principais ameaças da Web 2.0.

Atendendo a demanda dos profissionais que desenvolvem em php que, segundo o NIST é a linguagem com mais aplicações web vulneráveis, o OWASP hoje possui não só o Stinger, um sanitizador, filter de inputs para aplicações desenvolvida em java, mas, um projeto semelhante para PHP.
Top 10 2007 RC
OWASP

8 de março de 2007

OWASP Top10 2007 RC

Estive analisando o Release Candidate do Top 10 2007 do OWASP (Open Web Application Security Project) e pude perceber que o projeto está sempre pesquisando e atendendo as tendências no desenvolvimento seguro de aplicações web.

A1 – Cross Site Scripting (XSS)

XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victim’s browser which can hijack user sessions, deface web sites, etc.

A2 – Injection Flaws

Injection flaws, particularly SQL injection, are common in web applications. Injection occurs when user-supplied data is sent to an interpreter as part of a command or query. The attacker’s hostile data tricks the interpreter into executing unintended commands or changing data.

A3 – Insecure Remote File Include

Code vulnerable to remote file inclusion allows attackers to include hostile code and data, resulting in devastating attacks, such as total server compromise.

A4 – Insecure Direct Object Reference

A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, database record, or key, as a URL or form parameter. Attackers can manipulate those references to access other objects without authorization.

A5 – Cross Site Request Forgery (CSRF)

A CSRF attack forces a logged-on victim’s browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim’s browser to perform a hostile action to the benefit of the attacker.

A6 – Information Leakage and Improper Error Handling

Applications can unintentionally leak information about their configuration, internal workings, or violate privacy through a variety of application problems. Attackers use this weakness to violate privacy, or conduct further attacks.

A7 – Broken Authentication and Session Management

Account credentials and session tokens are often not properly protected. Attackers compromise passwords, keys, or authentication tokens to assume other users dentities.

A8 – Insecure Cryptographic Storage

Web applications rarely use cryptographic functions properly to protect data and credentials. Attackers use weakly protected data to conduct identity theft and other crimes, such as credit card fraud.

A9 – Insecure Communications

Applications frequently fail to encrypt network traffic when it is necessary to protect sensitive communications.

A10 – Failure to Restrict URL Access

Frequently, the only protection for sensitive areas of an application is links or URLs are not presented to unauthorized users. Attackers can use this weakness to access and perform unauthorized operations.

A principal novidade é a inclusão do Cross Site Request Forgery uma variação do Cross Site Scripting que está entre as principais ameaças da Web 2.0.

Atendendo a demanda dos profissionais que desenvolvem em php que, segundo o NIST é a linguagem com mais aplicações web vulneráveis, o OWASP hoje possui não só o Stinger, um sanitizador, filter de inputs para aplicações desenvolvida em java, mas, um projeto semelhante para PHP.
Top 10 2007 RC
OWASP

6 de março de 2007

PCI Compliance Demystified

O PCI Compliance Demystified é um excelente blog sobre segurança em meios de pagamentos eletrônicos. Ele foca em questões relacionadas ao padrão PCI (Payment Card Industry) e os meios de pagamento eletrônico.

Um exemplo é um vídeo que mostra como é simples (com ferramentas adequadas) clonar um cartão de crédito.

PCI Compliance Demystified

O PCI Compliance Demystified é um excelente blog sobre segurança em meios de pagamentos eletrônicos. Ele foca em questões relacionadas ao padrão PCI (Payment Card Industry) e os meios de pagamento eletrônico.

Um exemplo é um vídeo que mostra como é simples (com ferramentas adequadas) clonar um cartão de crédito.





1 de março de 2007

Metasploit and OSSTMM video

Estão disponíveis no site do FOSDEM - Free and Open Source Software Development dois vídeos fantásticos.

Simplesmente duas apresentações sobre duas ferramentas essenciais em pentest, metasploit e a metodologia OSSTM (Open Source Security Testing Methodology Manual). E não é uma simples apresentação, são duas apresentações de duas horas tendo como apresentador os pais das crianças H. D. Moore e Pete Herzog respectivamente. Imperdível!
Metasploit
OSSTMM
FOSDEM

Metasploit and OSSTMM video

Estão disponíveis no site do FOSDEM - Free and Open Source Software Development dois vídeos fantásticos.

Simplesmente duas apresentações sobre duas ferramentas essenciais em pentest, metasploit e a metodologia OSSTM (Open Source Security Testing Methodology Manual). E não é uma simples apresentação, são duas apresentações de duas horas tendo como apresentador os pais das crianças H. D. Moore e Pete Herzog respectivamente. Imperdível!
Metasploit
OSSTMM
FOSDEM