31 de maio de 2007

EndPoint Security

Hoje eu li uma notícia no Slashdot e fiquei impressionado com as características de uma solução de EndPoint Security. Confesso que me pareceu uma faca ginsu, muitas funcionalidades para uma solução barata e prática. Será uma panacéia?



Uma solução composta por nada menos que 13 controles de segurança, inclusive um controle batizado de L8, isso mesmo, Layer 8. Olha que esse layer 8 não é nenhum usuário inexperiente, e sim, um recurso que promete detectar detectar código malicioso baseado em comportamento.

Vamos a lista de recursos:
  • Anti Virus
  • Anti Spam
  • Anti Phishing
  • Anti Spyware
  • Intrusion Detection (IDS)
  • Intrusion Prevention (IPS)
  • Firewall (Stateful Inspection)
  • VPN
  • Web Filtering
  • Parental Content Control
  • Adaptive Security Policy™
  • Multi-Layer Security Agent™
  • Layer-8 Security Engine ™
Segundo esse paper: Yoggie Pico Personal Datasheet a solução de filtro de conteúdo é da SurfControl; Anti Vírus e Anti Spyware da Kaspersky; e o resto linux-like.

EndPoint Security

Hoje eu li uma notícia no Slashdot e fiquei impressionado com as características de uma solução de EndPoint Security. Confesso que me pareceu uma faca ginsu, muitas funcionalidades para uma solução barata e prática. Será uma panacéia?



Uma solução composta por nada menos que 13 controles de segurança, inclusive um controle batizado de L8, isso mesmo, Layer 8. Olha que esse layer 8 não é nenhum usuário inexperiente, e sim, um recurso que promete detectar detectar código malicioso baseado em comportamento.

Vamos a lista de recursos:
  • Anti Virus
  • Anti Spam
  • Anti Phishing
  • Anti Spyware
  • Intrusion Detection (IDS)
  • Intrusion Prevention (IPS)
  • Firewall (Stateful Inspection)
  • VPN
  • Web Filtering
  • Parental Content Control
  • Adaptive Security Policy™
  • Multi-Layer Security Agent™
  • Layer-8 Security Engine ™
Segundo esse paper: Yoggie Pico Personal Datasheet a solução de filtro de conteúdo é da SurfControl; Anti Vírus e Anti Spyware da Kaspersky; e o resto linux-like.

27 de maio de 2007

Security Research

Você quer dar os primeiros passos como security research? O site Security-Freak.net dá uma forcinha!

Você pode assistir uma série de vídeos educacionais sobre os seguintes temas:
  • Basic Socket Programming;
  • Packet Sniffing Using Raw Sockets
  • Packet Injection Using Raw Sockets;
  • Architecture of a Proactive Security Tool;
  • Encryption Basics Using RC4.
Videos: Security-Freak.net

Security Research

Você quer dar os primeiros passos como security research? O site Security-Freak.net dá uma forcinha!

Você pode assistir uma série de vídeos educacionais sobre os seguintes temas:
  • Basic Socket Programming;
  • Packet Sniffing Using Raw Sockets
  • Packet Injection Using Raw Sockets;
  • Architecture of a Proactive Security Tool;
  • Encryption Basics Using RC4.
Videos: Security-Freak.net

23 de maio de 2007

CERT Resiliency Engineering Framework

CERT Resiliency Engineering Framework é um projeto novo do CERT. Desenvolvido em conjunto com instituições financeiras renomadas e especialistas em continuidade de negócios como: DRII, DRJ, SunGard e IBM, tem um objetivo bastante ambicioso: desenvolver ferramentas, técnicas e metodologias para garantir a resiliência das organizações unindo segurança e continuidade de negócios.


Bom, o que seria Resiliência?

"A resiliência é um termo oriundo da física. Trata-se da capacidade dos materiais de resistirem aos choques. Esse termo passou por um deslizamento em direção às ciências humanas e hoje representa a capacidade de um ser humano de sobreviver a um trauma, a resistência do individuo face às adversidades, não somente guiada por uma resistência física, mas pela visão positiva de reconstruir sua vida, a despeito de um entorno negativo, do estresse, das contrições sociais, que influenciam negativamente para seu retorno à vida. Assim, um dos fatores de resiliência é a capacidade do individuo de garantir sua integridade, mesmo nos momentos mais críticos."

Fonte: Professora Sandra Maia Farias Vasconcelos, Dr.

Resumindo, tornar uma organização resiliente é desenvolver estratégias, controles que garantam a sobrevivência em situações adversas. Ah! Então é o mesmo propósito de um Plano de Continuidade de negócios? Isso. Muito bem "friper"!



Deixando a brincadeira de lado, lendo os materiais disponíveis no site do projeto é possível chegar a uma conclusão: o material vai ser excelente e a abordagem excepcional. Só espero não ser tão complicado quanto a OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) também do CERT.

O framework irá ser organizado em quatro áreas:


Enterprise Management
Engineering
Operations Management
Process Management

Irá possuir 24 processos mais monitoramento, com o objetivo de garantir a resiliência de pessoas, informações, tecnologia e facilities (Infra-Estrura básica) no contexto de serviços e objetivos da organização.



Cada área possui um conjunto de processos. Divididos da seguinte forma:

Enterprise Management Process

RSKM - Risk Management
EF - Enterprise Focus
COMP - Compliance Management
FRM - Financial Resource Management
HRM - Human Resource Management

Operations Management Process

SAM - Supplier Agreement Management
SRM - Supplier Relationship Management
AMC - Access Management and Control
IMC - Incident Management and Control
VM - Vulnerability Management
EC - Environmental Control
KIM - Knowledge and Information Management
SOM - Security Operations Management
ITOPS - IT Operations Management

Engineering Process

RD - Requirements Definition
RM - Requirements Management
AM - Asset Management
COOP - Continuity of Operations Planning
REST - Restoration of Operations Planning
CSI - Control Selection and Implementation
RAD - Resilient Architecture Development

Process Management Processes
OT - Organizational Training
OPF - Organizational Process Focus
OPD - Organizational Process Definition
MA - Measurement and Analysis
MON - Monitoring

Como podemos ver o framework irá tratar dos mais diversos assuntos relacionados a gestão de ativos, segurança e continuidade.

Assim como o CobiT ele não reinventa nada, ele se utiliza de estudos e boas práticas já amadurecidas e disseminadas para atender os assuntos relacionadas a garantia da resiliência das organizações.



O framework também irá utilizar o conceito de níveis de maturidade por processo e será divulgado ainda esse ano.

Proxypot

Depois do Honeypot, sistemas na sua maioria em perl que simulavam serviços como Telnet, SMTP entre outros, surgiram os honeypots voltados para identificar ataques voltados a aplicações web.

Após algum tempo pesquisadores do WASC (Web Application Security Consortium) concluiram que o esforços para desenvolver honeypots "atrativos" consomem muito tempo e esforço. A solução proposta é o Proxypot.


Proxypot é um sensor que irá analisar tráfego em Open Proxys, isso mesmo, a idéia é que contribuintes ao redor do mundo disponibilize proxy aberto para que pessoas mal intencionadas o utilizem e um sensor desenvolvido pelo o WASC vai analisar o tráfego e identificar tendências e ataques conhecidos, armazenando os logs em um local centralizado para pesquisas.


A idéia me parece interessante, mas, vou esperar um tempo para ter uma visão melhor da solução.

Quem quer disponibilizar um Proxypot o projeto disponibiliza imagens prontas para VMWARE, basta enviar um e-mail e solicitar.



O primeiro relatório está disponível no site do projeto The WASC Distributed Open Proxy Honeypot

9 de maio de 2007

CERT Resiliency Engineering Framework

CERT Resiliency Engineering Framework é um projeto novo do CERT. Desenvolvido em conjunto com instituições financeiras renomadas e especialistas em continuidade de negócios como: DRII, DRJ, SunGard e IBM, tem um objetivo bastante ambicioso: desenvolver ferramentas, técnicas e metodologias para garantir a resiliência das organizações unindo segurança e continuidade de negócios.


Bom, o que seria Resiliência?

"A resiliência é um termo oriundo da física. Trata-se da capacidade dos materiais de resistirem aos choques. Esse termo passou por um deslizamento em direção às ciências humanas e hoje representa a capacidade de um ser humano de sobreviver a um trauma, a resistência do individuo face às adversidades, não somente guiada por uma resistência física, mas pela visão positiva de reconstruir sua vida, a despeito de um entorno negativo, do estresse, das contrições sociais, que influenciam negativamente para seu retorno à vida. Assim, um dos fatores de resiliência é a capacidade do individuo de garantir sua integridade, mesmo nos momentos mais críticos."

Fonte: Professora Sandra Maia Farias Vasconcelos, Dr.

Resumindo, tornar uma organização resiliente é desenvolver estratégias, controles que garantam a sobrevivência em situações adversas. Ah! Então é o mesmo propósito de um Plano de Continuidade de negócios? Isso. Muito bem "friper"!



Deixando a brincadeira de lado, lendo os materiais disponíveis no site do projeto é possível chegar a uma conclusão: o material vai ser excelente e a abordagem excepcional. Só espero não ser tão complicado quanto a OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) também do CERT.

O framework irá ser organizado em quatro áreas:


Enterprise Management
Engineering
Operations Management
Process Management

Irá possuir 24 processos mais monitoramento, com o objetivo de garantir a resiliência de pessoas, informações, tecnologia e facilities (Infra-Estrura básica) no contexto de serviços e objetivos da organização.



Cada área possui um conjunto de processos. Divididos da seguinte forma:

Enterprise Management Process

RSKM - Risk Management
EF - Enterprise Focus
COMP - Compliance Management
FRM - Financial Resource Management
HRM - Human Resource Management

Operations Management Process

SAM - Supplier Agreement Management
SRM - Supplier Relationship Management
AMC - Access Management and Control
IMC - Incident Management and Control
VM - Vulnerability Management
EC - Environmental Control
KIM - Knowledge and Information Management
SOM - Security Operations Management
ITOPS - IT Operations Management

Engineering Process

RD - Requirements Definition
RM - Requirements Management
AM - Asset Management
COOP - Continuity of Operations Planning
REST - Restoration of Operations Planning
CSI - Control Selection and Implementation
RAD - Resilient Architecture Development

Process Management Processes
OT - Organizational Training
OPF - Organizational Process Focus
OPD - Organizational Process Definition
MA - Measurement and Analysis
MON - Monitoring

Como podemos ver o framework irá tratar dos mais diversos assuntos relacionados a gestão de ativos, segurança e continuidade.

Assim como o CobiT ele não reinventa nada, ele se utiliza de estudos e boas práticas já amadurecidas e disseminadas para atender os assuntos relacionadas a garantia da resiliência das organizações.



O framework também irá utilizar o conceito de níveis de maturidade por processo e será divulgado ainda esse ano.

Proxypot

Depois do Honeypot, sistemas na sua maioria em perl que simulavam serviços como Telnet, SMTP entre outros, surgiram os honeypots voltados para identificar ataques voltados a aplicações web.

Após algum tempo pesquisadores do WASC (Web Application Security Consortium) concluiram que o esforços para desenvolver honeypots "atrativos" consomem muito tempo e esforço. A solução proposta é o Proxypot.


Proxypot é um sensor que irá analisar tráfego em Open Proxys, isso mesmo, a idéia é que contribuintes ao redor do mundo disponibilize proxy aberto para que pessoas mal intencionadas o utilizem e um sensor desenvolvido pelo o WASC vai analisar o tráfego e identificar tendências e ataques conhecidos, armazenando os logs em um local centralizado para pesquisas.


A idéia me parece interessante, mas, vou esperar um tempo para ter uma visão melhor da solução.

Quem quer disponibilizar um Proxypot o projeto disponibiliza imagens prontas para VMWARE, basta enviar um e-mail e solicitar.



O primeiro relatório está disponível no site do projeto The WASC Distributed Open Proxy Honeypot

8 de maio de 2007

VOIP Security Tools

Foi divulgado pela VOIPSA (VOIP Security Aliance) uma lista de ferramentas para análise e teste de segurança em dispositivos VOIP.

A lista está classificada da seguinte forma:

  • VoIP Sniffing Tools
  • VoIP Scanning and Enumeration Tools
  • VoIP Packet Creation and Flooding Tools
  • VoIP Fuzzing Tools
  • VoIP Signaling Manipulation Tools
  • VoIP Media Manipulation Tools
  • Miscellaneous Tools

Ainda está disponível uma lista com tutoriais e apresentações.

Voip Security Tools

VOIP Security Tools

Foi divulgado pela VOIPSA (VOIP Security Aliance) uma lista de ferramentas para análise e teste de segurança em dispositivos VOIP.

A lista está classificada da seguinte forma:

* VoIP Sniffing Tools
* VoIP Scanning and Enumeration Tools
* VoIP Packet Creation and Flooding Tools
* VoIP Fuzzing Tools
* VoIP Signaling Manipulation Tools
* VoIP Media Manipulation Tools
* Miscellaneous Tools

Ainda está disponível uma lista com tutoriais e apresentações.

Voip Security Tools

5 de maio de 2007

XML Firewall

Muito tem se falado sobre XML Firewall devido a abundância de aplicações na web utilizando webservice/xml, um trabalho publicado por Don Patterson no SANS Institute dá uma visão da solução : XML Firewall Architecture and Best Practices for Configuration and Auditing.



Para os desenvolvedores web eu recomendo fortemente os excelentes artigos, Charset e Encoding e XHTML Media Types escrito por Henrique C. Pereira do Revolução Etc e Entendendo um pouco mais sobre o protocolo HTTP escrito por Nando Vieira do Simples Idéias.

XML Firewall

Muito tem se falado sobre XML Firewall devido a abundância de aplicações na web utilizando webservice/xml, um trabalho publicado por Don Patterson no SANS Institute dá uma visão da solução : XML Firewall Architecture and Best Practices for Configuration and Auditing.

xml-firewall.gif

Para os desenvolvedores web eu recomendo fortemente os excelentes artigos, Charset e Encoding e XHTML Media Types escrito por Henrique C. Pereira do Revolução Etc e Entendendo um pouco mais sobre o protocolo HTTP escrito por Nando Vieira do Simples Idéias.

4 de maio de 2007

BCI x DRII

Calma, não é nenhuma comparação ou defesa de um time ou outro, sim, as vezes parece que os profissionais tem um time de futebol e não uma base de informações e estudos para desenvolver um plano de continuidade de negócios.

Estou afirmando isso pois, ultimamente tenho visto atitudes no mínimo questionáveis de players de mercado. Ontem levantavam a bandeira do DRII (Disaster Recovery Institute International) e por motivos puramente comerciais começam a levantar a bandeira do BCI (Business Continuity Institute).

Ok, escolhas são escolhas! E quando não se aplica escolhas?

O DRII e BCI são as duas principais escolas sobre continuidade de negócios e ambas tem a mesma filosofia e práticas, com um único objetivo que é garantir a continuidade. Continuidade no sentido amplo da palavra, pois, a ciência se aplica a tudo não apenas a negócios.

Nunca vamos saber se as atitudes são devido a incapacidade intelectual ou falta de ética, mas, cabe a profissionais neutros e que atuam deixar claro questões como essa: BCI é continuidade e DRI é Recuperação de Desastres!

Eu começo com uma simples pergunta: você conhece as dez práticas profissionais do DRI e o The BCI Guide?

Se o profissional que faz tal afirmação estudasse um pouco mais essas duas fontes ele iria encontrar essas informações:

Professional Practices - DRII

1 - Project Initiation and Management
2 - Risk Evaluation and Control
3 - Business Impact Analysis
4 - Developing Business Continuity Strategies
5 - Emergency Response and Operations
6 - Developing and Implementing Business Continuity Plans
7 - Awareness Programs and Training
8 - Maintaining and Exercising the Business Continuity Plans
9 - Crisis Communications
10 - Coordination with External Agencies

Qualquer profissional que tenha um pouco de boa vontade identificaria as práticas número 3 - Business Impact Analysis; Developing and Implemententing Business Continuity Plans; e Maintaining and Exercising the Business Continuity Plans. Essas três práticas só por seu enunciado já desmistificam tal afirmação feita por profissionais que desconhecem os institutos e a ciência continuidade de negócios.

Se não bastasse uma simples análise superficial ainda podemos identificar também nos enunciados do guide do BCI a sinergia entre os institutos.

Good Practices Guideline 2007 - BCI

1 - BCM Policy and Programme Management
2 - Understanding the organisation
3 - Determining BC Strategies
4 - Developing and Implementing a BCM Response
5 - Exercising, Maintenance and Review
O capítulo um do guide tem o mesmo propósito da primeira prática do DRI, que é basicamente definir um escopo para o desenvolvimento do plano e estabelecer um comitê de continuidade de negócios, além dos cuidados para implementação de um processo em uma organização.

O capítulo dois do guide tem o mesmo propósito das práticas 2 - Risk Evaluation and Control e 3 - Business Impact Analysis (aqui também temos sérios problemas de conceito, mas, isso fica para um outro post) do DRI, que é avaliar os riscos e identificar os principais processos de negócios que servirão como principal análise para a seleção de estratégia.

O Capítulo três do guide tem o mesmo propósito da prática 4 - Developing Business Continuity Strategies do DRI, que define que deve-se identificar e implementar soluções para atender os principais processos em situações adversas.

O Capítulo quatro do guide tem o mesmo propósito da prática 6 - Developing and Implementing Business Continuity Plans do DRI, que tem como objetivo implementar a cultura, processo de continuidade de negócios na organização.

O Capítulo cinco do guide tem o mesmo propósito da prática 8 - Maintaining and Exercising the Business Continuity Plans do DRI que tem como objetivo testar e exercitar o processo de continuidade e atualizar o plano mediante a novas demandas do negócio.

Bom, acho que consegui deixar as coisas mais claras por aqui. Sugiro que todos os interessados estudem as 10 práticas profissionais do DRI e o The BCI Guide para ter mais informações e não cometer gafes como essas.

BCI x DRII

Calma, não é nenhuma comparação ou defesa de um time ou outro, sim, as vezes parece que os profissionais tem um time de futebol e não uma base de informações e estudos para desenvolver um plano de continuidade de negócios.

Estou afirmando isso pois, ultimamente tenho visto atitudes no mínimo questionáveis de players de mercado. Ontem levantavam a bandeira do DRII (Disaster Recovery Institute International) e por motivos puramente comerciais começam a levantar a bandeira do BCI (Business Continuity Institute).

Ok, escolhas são escolhas! E quando não se aplica escolhas?

O DRII e BCI são as duas principais escolas sobre continuidade de negócios e ambas tem a mesma filosofia e práticas, com um único objetivo que é garantir a continuidade. Continuidade no sentido amplo da palavra, pois, a ciência se aplica a tudo não apenas a negócios.

Nunca vamos saber se as atitudes são devido a incapacidade intelectual ou falta de ética, mas, cabe a profissionais neutros e que atuam deixar claro questões como essa: BCI é continuidade e DRI é Recuperação de Desastres!

Eu começo com uma simples pergunta: você conhece as dez práticas profissionais do DRI e o The BCI Guide?

Se o profissional que faz tal afirmação estudasse um pouco mais essas duas fontes ele iria encontrar essas informações:

Professional Practices - DRII
1 - Project Initiation and Management
2 - Risk Evaluation and Control
3 - Business Impact Analysis
4 - Developing Business Continuity Strategies
5 - Emergency Response and Operations
6 - Developing and Implementing Business Continuity Plans
7 - Awareness Programs and Training
8 - Maintaining and Exercising the Business Continuity Plans
9 - Crisis Communications
10 - Coordination with External Agencies

Qualquer profissional que tenha um pouco de boa vontade identificaria as práticas número 3 - Business Impact Analysis; Developing and Implemententing Business Continuity Plans; e Maintaining and Exercising the Business Continuity Plans. Essas três práticas só por seu enunciado já desmistificam tal afirmação feita por profissionais que desconhecem os institutos e a ciência continuidade de negócios.

Se não bastasse uma simples análise superficial ainda podemos identificar também nos enunciados do guide do BCI a sinergia entre os institutos.

Good Practices Guideline 2007 - BCI
1 - BCM Policy and Programme Management
2 - Understanding the organisation
3 - Determining BC Strategies
4 - Developing and Implementing a BCM Response
5 - Exercising, Maintenance and Review

O capítulo um do guide tem o mesmo propósito da primeira prática do DRI, que é basicamente definir um escopo para o desenvolvimento do plano e estabelecer um comitê de continuidade de negócios, além dos cuidados para implementação de um processo em uma organização.

O capítulo dois do guide tem o mesmo propósito das práticas 2 - Risk Evaluation and Control e 3 - Business Impact Analysis (aqui também temos sérios problemas de conceito, mas, isso fica para um outro post) do DRI, que é avaliar os riscos e identificar os principais processos de negócios que servirão como principal análise para a seleção de estratégia.

O Capítulo três do guide tem o mesmo propósito da prática 4 - Developing Business Continuity Strategies do DRI, que define que deve-se identificar e implementar soluções para atender os principais processos em situações adversas.

O Capítulo quatro do guide tem o mesmo propósito da prática 6 - Developing and Implementing Business Continuity Plans do DRI, que tem como objetivo implementar a cultura, processo de continuidade de negócios na organização.

O Capítulo cinco do guide tem o mesmo propósito da prática 8 - Maintaining and Exercising the Business Continuity Plans do DRI que tem como objetivo testar e exercitar o processo de continuidade e atualizar o plano mediante a novas demandas do negócio.

Bom, acho que consegui deixar as coisas mais claras por aqui. Sugiro que todos os interessados estudem as 10 práticas profissionais do DRI e o The BCI Guide para ter mais informações e não cometer gafes como essas.