Alternate Data Stream

Por motivos de compatibilidade o NTFS possui um recurso que pode se tornar uma ameaça facilmente, basta o usuário ser um pouco mais desligado ou inexperiente.

O Recurso é o Alternate Data Stream, com esse recurso um usuário mal intencionado pode “esconder” um trojam, ferramenta ou qualquer outro arquivo em um arquivo de sua confiança. Isso só irá funcionar na maquina onde foi executado, não é possivel um invasor esconder o trojam em um arquivo e enviar para você, mais existe várias maneiras de um invasor executar isso na sua maquina e deixar alguma coisa escondida sem que você perceba.

Eu fiz um teste aqui escondendo o nmap na minha inofensiva calculadora.

Escondendo o nmap usando o comando type

Executando o nmap escondido em minha calculadora

Ok, mais certamente meu antívírus irá detectar isso. Não foi o que meus testes apresentaram, eu fiz um scan na minha maquina com o nmap em seu local original o antivírus acusou como uma ferramenta potencialmente perigosa, em seguida eu apaguei o nmap original e passei o antívirus novamente para verificar se ele iria encontrar o nmap que havia escondido na calculadora, não encontrou nada. E o nmap continua escondido e posso utilizar normalmente. Perigoso não?

O Alternate Data Stream tambem é criado quando adicionamos informações a propriedades do arquivo, as ferramentas de detecção ainda tem dificuldades com essa “técnica”, mais a kasperky já usa um stream para guardar informação sobre os scans realizados e já existe ferramentas que possibilitam a identificação de stream em seus arquivos.

Chkdsk - http://www.microsoft.com/resources/documentation/
windows/xp/all/proddocs/en-us/chkdsk.mspx

Lads - http://www.heysoft.de/Frames/f_sw_la_de.htm

Streams - http://www.sysinternals.com/utilities/streams.html

Algumas pessoas indicam um tripwire para identificar qualquer iniciativa de stream, eu particularmente não acho viável, porque geralmente usamos o tripwire em arquivos críticos e não em todos os arquivos.

Mais informações:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003
/library/TechRef/8cc5891d-bf8e-4164-862d-dac5418c5948.mspx

Alternate Data Stream

Por motivos de compatibilidade o NTFS possui um recurso que pode se tornar uma ameaça facilmente, basta o usuário ser um pouco mais desligado ou inexperiente.

O Recurso é o Alternate Data Stream, com esse recurso um usuário mal intencionado pode “esconder” um trojam, ferramenta ou qualquer outro arquivo em um arquivo de sua confiança. Isso só irá funcionar na maquina onde foi executado, não é possivel um invasor esconder o trojam em um arquivo e enviar para você, mas existe várias maneiras de um invasor executar isso na sua maquina e deixar alguma coisa escondida sem que você perceba.

Eu fiz um teste aqui escondendo o nmap na minha inofensiva calculadora.

Escondendo o nmap usando o comando type

Executando o nmap escondido em minha calculadora

Ok, mais certamente meu antívírus irá detectar isso. Não foi o que meus testes apresentaram, eu fiz um scan na minha maquina com o nmap em seu local original o antivírus acusou como uma ferramenta potencialmente perigosa, em seguida eu apaguei o nmap original e passei o antívirus novamente para verificar se ele iria encontrar o nmap que havia escondido na calculadora, não encontrou nada. E o nmap continua escondido e posso utilizar normalmente. Perigoso não?

O Alternate Data Stream tambem é criado quando adicionamos informações a propriedades do arquivo, as ferramentas de detecção ainda tem dificuldades com essa “técnica”, mais a kasperky já usa um stream para guardar informação sobre os scans realizados e já existe ferramentas que possibilitam a identificação de stream em seus arquivos.Chkdsk - http://www.microsoft.com/resources/documentation/
windows/xp/all/proddocs/en-us/chkdsk.mspx

Lads - http://www.heysoft.de/Frames/f_sw_la_de.htm

Streams - http://www.sysinternals.com/utilities/streams.html

Algumas pessoas indicam um tripwire para identificar qualquer iniciativa de stream, eu particularmente não acho viável, porque geralmente usamos o tripwire em arquivos críticos e não em todos os arquivos.Mais informações:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003
/library/TechRef/8cc5891d-bf8e-4164-862d-dac5418c5948.mspx

Covert Channel

Gray World.net Team é um projeto que se propõe a estudos sobre Cover Channel e Tunneling, no site deles você pode, não só encontrar técnicas para detecção, como também exemplos de ambos.



Gray World.net Team - http://gray-world.net/pr_cctde.shtml

Covert Channel

Gray World.net Team é um projeto que se propõe a estudos sobre Cover Channel e Tunneling, no site deles você pode, não só encontrar técnicas para detecção, como também exemplos de ambos.



Gray World.net Team - http://gray-world.net/pr_cctde.shtml

Hash...

Alocado em um projeto de software, acompanhando os estudos sobre hash e a possibilidade de colisões em Sha-1 e Md5 como o Anchises retratou em "O Hash subiu no telhado" fui dar uma "googlada" e encontrei bastante coisa sobre implementação de hash usando Sha-256. A performance é um caso a ser pensado, mais como diria Augusto Celebridade Paes de Barros, "Não é interessante ter um hash muito performatico, você fica mais suscetível a força bruta".

Exemplos de implementação em diversas linguagens.

Sha-256 para implementar em java
http://elvin.dstc.com/projects/je4/api/org/elvin/util/SHA256.html

Sha-256 para implementar em .net
http://msdn.microsoft.com/library/default.asp?url=/library/
en-us/cpref/html/frlrfsystemsecuritycryptographysha256classtopic.asp

Sha-256 para implementar em delphi
http://www.cityinthesky.co.uk/cryptography.html

Sha-256 para implementar em perl
http://rpmfind.net/linux/RPM/sourceforge/p/pe/perl-strip/
perl-Digest-SHA256-0.01b-1.i386.html

Uma biblioteca que implementa vários tipos de hash em diversas linguagens
http://www.slavasoft.com/quickhash/

Várias informações sobre implementação de Diffie-Hellman, RSA, hash em diversas linguagens
http://www.di-mgt.com.au/crypto.html

As vezes é interessante implementar criptografia, hash no banco, eu encontrei o XP_CRYPT_GUI para Sql Server, me pareceu muito interessante.

XP_CRYPT_GUI
http://www.xpcrypt.com/xpho/xpcrypt_help1.htm

Hash...

Alocado em um projeto de software, acompanhando os estudos sobre hash e a possibilidade de colisões em Sha-1 e Md5 como o Anchises retratou em "O Hash subiu no telhado" fui dar uma "googlada" e encontrei bastante coisa sobre implementação de hash usando Sha-256. A performance é um caso a ser pensado, mas como diria Augusto Celebridade Paes de Barros, "Não é interessante ter um hash muito performatico, você fica mais suscetível a força bruta".

Exemplos de implementação em diversas linguagens.

Sha-256 para implementar em java
http://elvin.dstc.com/projects/je4/api/org/elvin/util/SHA256.html

Sha-256 para implementar em .net
http://msdn.microsoft.com/library/default.asp?url=/library/
en-us/cpref/html/frlrfsystemsecuritycryptographysha256classtopic.asp

Sha-256 para implementar em delphi
http://www.cityinthesky.co.uk/cryptography.html

Sha-256 para implementar em perl
http://rpmfind.net/linux/RPM/sourceforge/p/pe/perl-strip/
perl-Digest-SHA256-0.01b-1.i386.html

Uma biblioteca que implementa vários tipos de hash em diversas linguagens
http://www.slavasoft.com/quickhash/

Várias informações sobre implementação de Diffie-Hellman, RSA, hash em diversas linguagens
http://www.di-mgt.com.au/crypto.html

As vezes é interessante implementar criptografia, hash no banco, eu encontrei o XP_CRYPT_GUI para Sql Server, me pareceu muito interessante.

XP_CRYPT_GUI
http://www.xpcrypt.com/xpho/xpcrypt_help1.htm

Security Analysis RFID

O Bruce Schneier vêm há um bom tempo falando sobre RFID, encontrei um post onde ele fala sobre os testes de segurança feito em equipamentos RFID. Muito interessante, muitas imagens e vídeos!

Post do Schneier: http://www.schneier.com/blog/archives/2005/03/rfid_security_a.html

Testes: http://rfidanalysis.org/

Security Analysis RFID

O Bruce Schneier vem há um bom tempo falando sobre RFID, encontrei um post onde ele fala sobre os testes de segurança feito em equipamentos RFID. Muito interessante, muitas imagens e vídeos!

Post do Schneier: http://www.schneier.com/blog/archives/2005/03/rfid_security_a.html

Testes: http://rfidanalysis.org/

Segurança Física...

Em meu último projeto na venezuela pesquisei muito sobre segurança física, por se tratar de uma refinadora de petróleo, as ameaças eram inúmeras. Separei um link que achei fantastico, onde encontrei muita coisa interessante sobre segurança física e CPTED.

CPTED (Crime Prevention Through Environmental Design) é basicamente um estudo sobre construções que oferecem segurança e ao mesmo tempo são agradáveis. Os conceitos de CPTED foram desenvolvidos na década de 60, o conceito se estende não só para edificações, mais para toda área de condomínios e vizinhança.

Nesse link você vai encontrar artigos sobre como planejar a segurança de escolas, prisões, cidades, etc...

http://www.cpted-security.com/publications.htm

Segurança Física...

Em meu último projeto na Venezuela pesquisei muito sobre segurança física, por se tratar de uma refinadora de petróleo, as ameaças eram inúmeras. Separei um link que achei fantástico, onde encontrei muita coisa interessante sobre segurança física e CPTED.

CPTED (Crime Prevention Through Environmental Design) é basicamente um estudo sobre construções que oferecem segurança e ao mesmo tempo são agradáveis. Os conceitos de CPTED foram desenvolvidos na década de 60, o conceito se estende não só para edificações, mas para toda área de condomínios e vizinhança.

Nesse link você vai encontrar artigos sobre como planejar a segurança de escolas, prisões, cidades e outros tipos de edificações.

http://www.cpted-security.com/

Classificação da Informação...

Tem uma coisa que ainda me intriga em segurança. Hoje as consultorias vendem projetos de segurança pra tudo, análise de vulnerabilidades, análise de impactos, análise de riscos, análise de quase tudo, e ainda temos dificuldade para classificar informação, alguma coisa está errado.

Quando entrevistamos um usuário para levantar quais os processos ele está envolvido e qual os ativos que suportam esses processos, é desastroso, só chegamos a essa informação após entrevistar a empresa inteira 3 vezes e aos 47 do segundo tempo. Agora quando mudamos a pergunta para, "quando tempo você pode ficar sem o seu computador?" A resposta é sempre a mesma, não posso ficar sem ele, se eu ficar sem ele a empresa para.

A eu me questiono, se o usuário não sabe exatamente qual processo ele está envolvido, qual a importância da informação que ele trata, como ele pode chegar a brilhante conclusão de que não pode ficar sem o seu computador?

Eu particularmente não gosto de culpar os usuários nesses casos, eu acho que quem peca é a empresa, que não trás uma política de alinhamento de processos com as espectativas do negócio, quase nunca o usuário sabe qual é o impacto no processo todo se a parte que lhe compete falha, ou pior nem sabe de qual processo ele faz parte, só sabe que tem que inserir os dados no ERP e naquelas dezenas de planilhas que toda empresa tem.

Enquanto as empresas não se derem conta desse problema, vai continuar as consultorias montando o grande quebra-cabeça naquele projeto de 90 dias e entregando aquele belo relatório, cheio de gráficos e que 90 dias após a entrega dos relatórios já se esqueceu tudo, e a empresa volta ao mesmo ponto, sem saber nada dos seus processos e executando o que sempre executaram.

Isso me lembra a estória do maquinista que bateu pneu de trem durante 30 anos e quando alguém resolveu endagar o porque, ele simplemente disse, "Porque quando entrei me mandaram fazer assim".

Classificação da Informação...

Tem uma coisa que ainda me intriga em segurança. Hoje as consultorias vendem projetos de segurança pra tudo, análise de vulnerabilidades, análise de impactos, análise de riscos, análise de quase tudo, e ainda temos dificuldade para classificar informação, alguma coisa está errado.

Quando entrevistamos um usuário para levantar quais os processos ele está envolvido e qual os ativos que suportam esses processos, é desastroso, só chegamos a essa informação após entrevistar a empresa inteira 3 vezes e aos 47 do segundo tempo. Agora quando mudamos a pergunta para, "quando tempo você pode ficar sem o seu computador?" A resposta é sempre a mesma, não posso ficar sem ele, se eu ficar sem ele a empresa para.

A eu me questiono, se o usuário não sabe exatamente qual processo ele está envolvido, qual a importância da informação que ele trata, como ele pode chegar a brilhante conclusão de que não pode ficar sem o seu computador?

Eu particularmente não gosto de culpar os usuários nesses casos, eu acho que quem peca é a empresa, que não trás uma política de alinhamento de processos com as espectativas do negócio, quase nunca o usuário sabe qual é o impacto no processo todo se a parte que lhe compete falha, ou pior nem sabe de qual processo ele faz parte, só sabe que tem que inserir os dados no ERP e naquelas dezenas de planilhas que toda empresa tem.

Enquanto as empresas não se derem conta desse problema, vai continuar as consultorias montando o grande quebra-cabeça naquele projeto de 90 dias e entregando aquele belo relatório, cheio de gráficos e que 90 dias após a entrega dos relatórios já se esqueceu tudo, e a empresa volta ao mesmo ponto, sem saber nada dos seus processos e executando o que sempre executaram.

Isso me lembra a estória do maquinista que bateu pneu de trem durante 30 anos e quando alguém resolveu endagar o porque, ele simplemente disse, "Porque quando entrei me mandaram fazer assim".

Atualização...

Estou executando um projeto na venezuela que deve me impossibilitar de escrever no blog pelo menos até o dia 15 de Dezembro quando retorno ao Brasil.

Mais deixo aqui um link para uma rádio que trata sobre assuntos de segurança, um trabalho muito interessante desenvolvido e mantido pelo Laboratório ACME.



Laboratório ACME - http://www.acmesecurity.org/

Atualização...

Estou executando um projeto na venezuela que deve me impossibilitar de escrever no blog pelo menos até o dia 15 de Dezembro quando retorno ao Brasil.

Mas deixo aqui um link para uma rádio que trata sobre assuntos de segurança, um trabalho muito interessante desenvolvido e mantido pelo Laboratório ACME.


Laboratório ACME - http://www.acmesecurity.org/

ISO 27000

Para quem ainda não está familiarizado com a ISO 17799 esquece, já parte para a série 27000. Segue uma breve descrição da série.

ISO 27000 - Vocabulário e definições (terminologia para todos os padrões da série 27000).

ISO 27001 - Principal padrão das exigências do sistema de gerência da segurança da informação (especificação), semelhamte a parte 2 da BS 7799, baseado nesses padrões que as organizações serão certificadas.

ISO 27002 - Este é o guia de referência como a ISO 17799, descreve detalhadamente os objetivos de controle da segurança da informação e esboça um menu de controles de segurança baseado nas melhores praticas.

ISO 27003 - Será um guia de implementação, ainda não foi publicada.

ISO 27004 - Indicadores para medir a eficiência do sistema de gestão de segurança da informação.

ISO 27005 - Um padrão para gerenciamento de risco em segurança da informação.

ISO 27006 - Um guideline para implementação de um plano de recuperação de desastres.

ISO 27000

Para quem ainda não está familiarizado com a ISO 17799 esquece, já parte para a série 27000. Segue uma breve descrição da série.

ISO 27000 - Vocabulário e definições (terminologia para todos os padrões da série 27000).

ISO 27001 - Principal padrão das exigências do sistema de gerência da segurança da informação (especificação), semelhamte a parte 2 da BS 7799, baseado nesses padrões que as organizações serão certificadas.

ISO 27002 - Este é o guia de referência como a ISO 17799, descreve detalhadamente os objetivos de controle da segurança da informação e esboça um menu de controles de segurança baseado nas melhores praticas.

ISO 27003 - Será um guia de implementação, ainda não foi publicada.

ISO 27004 - Indicadores para medir a eficiência do sistema de gestão de segurança da informação.

ISO 27005 - Um padrão para gerenciamento de risco em segurança da informação.

ISO 27006 - Um guideline para implementação de um plano de recuperação de desastres.

VOIP

VOIP

Para quem já está ligado nas ameaças que projetos de voz sobre ip mal implementados pode trazer ao seu negócio segue um site que vale a visita.

Voip Security Alliance - http://www.voipsa.org/

Muitos papers e artigos. Eu destaco um guide feito por Defense Information Systems Agency.

VOICE OVER INTERNET PROTOCOL (VOIP)SECURITY TECHNICAL IMPLEMENTATION GUIDE

VOIP

Para quem já está ligado nas ameaças que projetos de voz sobre ip mal implementados pode trazer ao seu negócio, segue um site que vale a visita.

Voip Security Alliance - http://www.voipsa.org/

Muitos papers e artigos. Eu destaco um guide feito por Defense Information Systems Agency.

VOICE OVER INTERNET PROTOCOL (VOIP)SECURITY TECHNICAL IMPLEMENTATION GUIDE

Fraude

Essa semana tivemos algumas notícias apresentadas atualmente na mídia que valem um post, apesar de eu não gostar nada do tema e achar que a mídia quase sempre é sensacionalista.

A mídia está inflando o ego dos "hacker" como ela mesmo gosta de chama-los, quando na verdade os ataques quase na sua totalidade são ocasionados devido a inocência e confiança dos usuários. Como disse Rafael Hashimoto na CISSP-BR essa semana, "Hackers de verdade faz tempo que eu não os vejo". O que temos hoje causando panico a usuários lesados em golpes na internet são chamados erroneamente de "programadores" como eu ouvi em uma matéria recentemente na televisão.

Quando eu digo que o usuário é o responsável pelo roubo de suas senhas eu vou explicar o porque. A pessoa mal intencionada envia e-mail, scrap no orkut (novidade), arquivos via MSN, ICQ e os usuários sem informação e mal educado como diria os mais enérgicos acabam instalando um arquivo em sua maquina que possibilita que a pessoa mal intencionada receba suas senhas sem esforço algum, tudo porque você foi desatento ou curioso.

Mais que programas são esses que os mal intencionados enviam para os usuários? Keyloggers, são essas ferramentas, basicamente ele captura tudo que você digita e envia para o mal feitor, lá estão suas senhas, conta corrente, usuário e tudo que você digita na maquina. Não esses programas não são desenvolvidos pelos mal feitores, eles existem a rolo pela internet. Segue exemplo, diga-se de passagem esse é um bem profissional, mais existem vários outros.


Nesse exemplo o keylogger capturou a palavra testes que eu digitei no notepad.

Portanto não sai clicando em tudo que você vê pela internet, evite qualquer coisa que você desconheça a origem, uma dica bem básica e que pode ser usada apesar dos teclados virtuais já serem vitímas de fraude é usar o teclado que o windows XP possui, nele você clica nas teclas do teclado ao invés de teclar.



Portanto de hacker não tem nada esses malfeitores, estelionátários, meliantes, mal fazejos ou qualquer outro nome que se refere as pessoas de má fé pode ser usado, menos o termo hacker, que infelizmente é mal interpretado e por isso muitos profissionais de segurança tem evitado mencionar.

Fraude

Essa semana tivemos algumas notícias apresentadas atualmente na mídia que valem um post, apesar de eu não gostar nada do tema e achar que a mídia quase sempre é sensacionalista.

A mídia está inflando o ego dos "hacker" como ela mesmo gosta de chama-los, quando na verdade os ataques quase na sua totalidade são ocasionados devido a inocência e confiança dos usuários. Como disse Rafael Hashimoto na CISSP-BR essa semana, "Hackers de verdade faz tempo que eu não os vejo". O que temos hoje causando panico a usuários lesados em golpes na internet são chamados erroneamente de "programadores" como eu ouvi em uma matéria recentemente na televisão.

Quando eu digo que o usuário é o responsável pelo roubo de suas senhas eu vou explicar o porque. A pessoa mal intencionada envia e-mail, scrap no orkut (novidade), arquivos via MSN, ICQ e os usuários sem informação e mal educado como diria os mais enérgicos acabam instalando um arquivo em sua maquina que possibilita que a pessoa mal intencionada receba suas senhas sem esforço algum, tudo porque você foi desatento ou curioso.

Que programas são esses que os mal intencionados enviam para os usuários? Keyloggers, são essas ferramentas, basicamente ele captura tudo que você digita e envia para o mal feitor, lá estão suas senhas, conta corrente, usuário e tudo que você digita na maquina. Não esses programas não são desenvolvidos pelos mal feitores, eles existem a rolo pela internet. Segue exemplo, diga-se de passagem esse é um bem profissional, mas existem vários outros.


Nesse exemplo o keylogger capturou a palavra testes que eu digitei no notepad.

Portanto não sai clicando em tudo que você vê pela internet, evite qualquer coisa que você desconheça a origem, uma dica bem básica e que pode ser usada apesar dos teclados virtuais já serem vitímas de fraude é usar o teclado que o windows XP possui, nele você clica nas teclas do teclado ao invés de teclar.



Portanto de hacker não tem nada esses malfeitores, estelionátários, meliantes, mal fazejos ou qualquer outro nome que se refere as pessoas de má fé, pode ser usado qualquer termo, menos o termo hacker, que infelizmente é mal interpretado e por isso muitos profissionais de segurança tem evitado mencionar.

Security Tools

Frequentemente vejo post em listas de discussão procurando por ferramentas de análise de vulnerabilidades, temos inúmeras ferramentas como as da ISS, nessus, GFI, etc...

Mais o que muitos profissionais não sabem é que a própria microsoft disponibiliza ferramentas freeware que podem ser usadas para "arrumar" sua casa. Separei algumas.

Microsoft Baseline Security Analyzer 2.0
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx

O MBSA dá uma geral nos hosts da sua rede procurando por patchs que não foram instalados, usuários com perfil de administrador, configurações do IIS e SQL Server.
---------------------------------------------------------------
Exchange Server Best Practices Analyzer
http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/analyzers/default.mspx

Ferramenta excelente, procura por brechas na configuração do exchange.
---------------------------------------------------------------
Best Practices Analyzer Tool for Microsoft SQL Server 2000 1.0
http://www.microsoft.com/downloads/details.aspx?familyid=B352EB1F-D3CA-44EE-893E-9E07339C1F22&displaylang=en

Procura por brechas na configuração do SQL Server
---------------------------------------------------------------
Microsoft Security Risk Self-Assessment
https://www.securityguidance.com/v1/

Ferramenta que faz uma análise de riscos de TI.

Essas são algumas ferramentas que podem ser encontradas no site da microsodt, os sites dos fabricantes sempre "escondem" informações interessantes.

Security Tools

Frequentemente vejo post em listas de discussão procurando por ferramentas de análise de vulnerabilidades, temos inúmeras ferramentas como as da ISS, nessus, GFI, etc...

O que muitos profissionais não sabem é que a própria microsoft disponibiliza ferramentas freeware que podem ser usadas para "arrumar" sua casa. Separei algumas.

Microsoft Baseline Security Analyzer 2.0
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx

O MBSA dá uma geral nos hosts da sua rede procurando por patchs que não foram instalados, usuários com perfil de administrador, configurações do IIS e SQL Server.
---------------------------------------------------------------
Exchange Server Best Practices Analyzer
http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/analyzers/default.mspx

Ferramenta excelente, procura por brechas na configuração do exchange.
---------------------------------------------------------------
Best Practices Analyzer Tool for Microsoft SQL Server 2000 1.0
http://www.microsoft.com/downloads/details.aspx?familyid=B352EB1F-D3CA-44EE-893E-9E07339C1F22&displaylang=en

Procura por brechas na configuração do SQL Server
---------------------------------------------------------------
Microsoft Security Risk Self-Assessment
https://www.securityguidance.com/v1/

Ferramenta que faz uma análise de riscos de TI.

Essas são algumas ferramentas que podem ser encontradas no site da microsoft, os sites dos fabricantes sempre "escondem" informações interessantes.

Biometria

Algum tempo atrás eu me meti a desenvolver um sistema de ponto com leitor biométrico, criar o sistema de ponto não era o problema.

O problema foi integrar o leitor biométrico ao sistema, comprei o leitor e nele veio um software básico, quando instalado ele substituía a GINA do windows por uma tela por autenticação biométrica. Funcionava muito bem.

Mais era somente isso que ele fazia, não tinha nenhum componente que permitia que eu integrasse ele ao meu sistema, pesquisei durante um bom tempo e encontrei uma empresa que vendia o SDK para o desenvolvimento usando o leitor que eu tinha, pensei, problema resolvido, até estaria se a empresa não cobrasse a bagatela de R$ 3.500,00 pelo SDK, óbvio que desisti.

Onde eu quero chegar com essa ladainha toda? É que uma empresa disponibiliza hoje um sistema prontinho, com sdk e exemplos para linguagens vb, .net, java, delphi, etc. E o melhor totalmente grátis.

A empresa GRIAULE está disponibilizando gratuitamente esse pacote, instalei o pacote para dar uma olhada e ele possibilita que desenvolva inúmeras coisas, possui documentação vasta e funciona com a maioria dos leitores vendidos por aí.

Site da Empresa: http://www.griaule.com/br/product_grfinger.php
Site para download: http://free.griaule.com/br/

Biometria

Algum tempo atrás eu me meti a desenvolver um sistema de ponto com leitor biométrico, criar o sistema de ponto não era o problema.

O problema foi integrar o leitor biométrico ao sistema, comprei o leitor e nele veio um software básico, quando instalado ele substituía a GINA do windows por uma tela por autenticação biométrica. Funcionava muito bem.

Era somente isso que ele fazia, não tinha nenhum componente que permitia que eu integrasse ele ao meu sistema, pesquisei durante um bom tempo e encontrei uma empresa que vendia o SDK para o desenvolvimento usando o leitor que eu tinha, pensei, problema resolvido, até estaria se a empresa não cobrasse a bagatela de R$ 3.500,00 pelo SDK, óbvio que desisti.

Onde eu quero chegar com essa ladainha toda? É que uma empresa disponibiliza hoje um sistema prontinho, com sdk e exemplos para linguagens vb, .net, java, delphi, etc. E o melhor totalmente grátis.

A empresa GRIAULE está disponibilizando gratuitamente esse pacote, instalei o pacote para dar uma olhada e ele possibilita que desenvolva inúmeras coisas, possui documentação vasta e funciona com a maioria dos leitores vendidos por aí.

Site da Empresa: http://www.griaule.com/br/product_grfinger.php
Site para download: http://free.griaule.com/br/

Malware

Um paper bem interessante descrevendo etapas, metodologias, ferramentas para montar um laboratório de análises de malware.

http://www.zeltser.com/reverse-malware-paper/

Malware

Um paper bem interessante descrevendo etapas, metodologias, ferramentas para montar um laboratório de análises de malware.

http://www.zeltser.com/reverse-malware-paper/

Palestra...

Estou disponibilizando um pdf com a palestra que eu fiz na Faculdade Impacta.

Ameaças Digitais - 01 de Outubro de 2005

Palestra...

Estou disponibilizando um pdf com a palestra que eu fiz na Faculdade Impacta.

Ameaças Digitais - 01 de Outubro de 2005

Desenvolvimento

Quando falamos em desenvolvimento imaginamos aquela "confusão" generalizada, falar em processo para desenvolvedor é algo muito distante.

É possível desenvolver boas aplicações, com segurança, custo estimado, entregando o que o cliente realmente solicitou sem processos? O mercado já está aprendendo e está ciente que não é possivel fazer isso sem processos.

Mais porque os programadores ainda estão muito longe disso? Acredito que seja por conceitos errados que são divulgados a muito tempo. Desenvolver usando metodologia/processos é custoso e desnecessário, bom programador faz na raça.

Quem acredita que criar processos para desenvolvimento é caro e só se aplica em empresas grandes e com muitos recursos está um pouco enganado, para se conquistar o nível de maturidade 5 da CMM-I em pouquissimo tempo como estamos vendo ai no mercado é bem complicado e caro.

Mais usar metodologias conhecidas e criar processos é caro? Diria que não, hoje temos vasto material gratuito na internet. Um pouco de vontade você consegue iniciar o desenvolvimento aplicando metodologias e processos, isso leva tempo, precisa ir aferindo a efetividade dos processos implantados e adequando a sua necessidade, mais garanto que o custo é mais baixo do que perda de mercado por aplicações com custos e problemas acima do esperado.

A Softex têm um trabalho bem interessante a respeito de processos de software é o MPS.br baseado em normas ISO e no próprio CMM-I.

Para pequenas empresas e poucos desenvolvedores aconselho utilizar a XP (Extreme Programming) como metodologia, ao contrario do que muita gente pensa XP não é uma bagunça organizada ela simplesmente trás mais agilidade, documentação e principalmente clareza na comunicação entre equipe e cliente.

Desenvolvimento

Quando falamos em desenvolvimento imaginamos aquela "confusão" generalizada, falar em processo para desenvolvedor é algo muito distante.

É possível desenvolver boas aplicações, com segurança, custo estimado, entregando o que o cliente realmente solicitou sem processos? O mercado já está aprendendo e está ciente que não é possivel fazer isso sem processos.

Porque os programadores ainda estão muito longe disso? Acredito que seja por conceitos errados que são divulgados há muito tempo. Desenvolver usando metodologia/processos é custoso e desnecessário, bom programador faz na raça.

Quem acredita que criar processos para desenvolvimento é caro e só se aplica em empresas grandes e com muitos recursos está um pouco enganado, para se conquistar o nível de maturidade 5 da CMM-I em pouquissimo tempo como estamos vendo ai no mercado é bem complicado e caro.

Mas usar metodologias conhecidas e criar processos é caro? Diria que não, hoje temos vasto material gratuito na internet. Um pouco de vontade você consegue iniciar o desenvolvimento aplicando metodologias e processos, isso leva tempo, precisa ir aferindo a efetividade dos processos implantados e adequando a sua necessidade, mas garanto que o custo é mais baixo do que perda de mercado por aplicações com custos e problemas acima do esperado.

A Softex têm um trabalho bem interessante a respeito de processos de software é o MPS.br baseado em normas ISO e no próprio CMM-I.

Para pequenas empresas e poucos desenvolvedores aconselho utilizar a XP (Extreme Programming) como metodologia, ao contrario do que muita gente pensa XP não é uma bagunça organizada ela simplesmente trás mais agilidade, documentação e principalmente clareza na comunicação entre equipe e cliente.

Criptografia...

O Anchises colocou um post sobre uma ferramenta encontrada no cccure.org muito interessante, vale replicar por aqui.

A ferramenta é a Cryptool é uma ferramenta para aprender criptografia/criptoanalise, ela é for windows e freeware.

Criptografia...

O Anchises colocou um post sobre uma ferramenta encontrada no cccure.org muito interessante, vale replicar por aqui.

A ferramenta é a Cryptool é uma ferramenta para aprender criptografia/criptoanalise, ela é for windows e freeware.

Dados a "salvo"

Ontem iniciei uma discussão na CISSP-BR sobre a confidencialidade e integridade das mídias de backup.

Hoje é comum empresas entregarem suas mídias para empresas especializadas em armazenamento de mídias. Essas empresas possuem infra-estrutura adequada para armazenamento, mais meu questionamento vai um pouco mais longe e o Rafael Hashimoto descreveu bem isso na lista.

Ok, transferimos a responsabilidade de armazenar as mídias para uma empresa com expertise e infra-estrutura adequada para armazena-las, mas, e o processo como fica? Já tive oportunidade de visitar algumas empresas e nenhuma delas tinha nenhum processo definido sobre essa modalidade.

A empresa retira as mídias com equipamentos adequados, recepientes que protegem as mídias de calor excessivo, chuva, humidade, etc... Mas, e as informações? Sei que existem alternativas, um box lacrado, somente a empresa dona da informação abre, a empresa de estore só armazena em local apropriado ou criptografar o backup, mais não vejo isso com frequência, geralmente as empresas entregam seus dados a terceiros sem a preocupação devida, existem contratos firmados entre as partes, mais contrato garante um vazamento de informação? Valores financeiros cobrem esse tipo de impacto na imagem da empresa? Eu acredito que não.

Sem contar outros problemas, como é feito os testes dessas mídias, com qual periodicidade, se é que é feito, são analisados e restaurados os backups?
Se alguém têm uma experiência mais agradável do que a que eu tenho tido nas empresas poderia compartilhar com a gente.

Dados a "salvo"

Ontem iniciei uma discussão na CISSP-BR sobre a confidencialidade e integridade das mídias de backup.

Hoje é comum empresas entregarem suas mídias para empresas especializadas em armazenamento de mídias. Essas empresas possuem infra-estrutura adequada para armazenamento, mas meu questionamento vai um pouco mais longe e o Rafael Hashimoto descreveu bem isso na lista.

Ok, transferimos a responsabilidade de armazenar as mídias para uma empresa com expertise e infra-estrutura adequada para armazena-las, mas, e o processo como fica? Já tive oportunidade de visitar algumas empresas e nenhuma delas tinha nenhum processo definido sobre essa modalidade.

A empresa retira as mídias com equipamentos adequados, recepientes que protegem as mídias de calor excessivo, chuva, humidade, etc... Mas, e as informações? Sei que existem alternativas, um box lacrado, somente a empresa dona da informação abre, a empresa de estore só armazena em local apropriado ou criptografar o backup, mas não vejo isso com frequência. Geralmente as empresas entregam seus dados a terceiros sem a preocupação devida, existem contratos firmados entre as partes. Contrato garante um vazamento de informação? Valores financeiros cobrem esse tipo de impacto na imagem da empresa? Eu acredito que não.

Sem contar outros problemas, como é feito os testes dessas mídias, com qual periodicidade, se é que é feito, são analisados e restaurados os backups?
Se alguém têm uma experiência mais agradável do que a que eu tenho tido nas empresas poderia compartilhar com a gente.

Hardening

Conversando com o Anchises e o Augusto ontém tocamos no assunto GINA (Graphical Indentification and Authentication DLL) a dll que é responsável pelas telas de logon do Windows.

Viajando um pouco eu pensei em fortalecer um pouco o sistema de autenticação do windows customizando a MsGina.dll, evitando ataques de keyloger e dificultando a quebra de senhas da SAM (Security Account Manager).

Como? substituindo as senhas digitadas pelo usuário por senhas mais fortes geradas por um algoritmo. Dessa forma o usuário continuaria criando as senhas fracas como nome, data de aniverssário sem enfraquecer o sistema de autenticação da maquina.

Ex.:

Portanto apesar de a senha memorizada e usada pelo usuário ser fraca a senha que vai estar na SAM vai ser sempre a senha forte gerada pelo algoritmo. Logicamente esse algoritmo deve ser implementado em todos os processos de criação, alteração de senha e autenticação.

Com essa implementação dificultariamos muito a quebra de senhas da SAM e eliminariamos o problema dos keyloger, o keyloger irá capturar a senha "joão" digitada pelo usuário, essa senha não é a senha gravada na SAM e só será validada quando digitada na GINA adaptada, portanto usuários externos que capturarem a senha não poderão fazer nada com ela.

Vou pensar melhor nessa solução e fazer um protótipo, breve colocarei algo aqui.

Hardening

Conversando com o Anchises e o Augusto ontém tocamos no assunto GINA (Graphical Indentification and Authentication DLL) a dll que é responsável pelas telas de logon do Windows.

Viajando um pouco eu pensei em fortalecer um pouco o sistema de autenticação do windows customizando a MsGina.dll, evitando ataques de keyloger e dificultando a quebra de senhas da SAM (Security Account Manager).

Como? substituindo as senhas digitadas pelo usuário por senhas mais fortes geradas por um algoritmo. Dessa forma o usuário continuaria criando as senhas fracas como nome, data de aniverssário sem enfraquecer o sistema de autenticação da maquina.

Ex.:

Portanto apesar de a senha memorizada e usada pelo usuário ser fraca a senha que vai estar na SAM vai ser sempre a senha forte gerada pelo algoritmo. Logicamente esse algoritmo deve ser implementado em todos os processos de criação, alteração de senha e autenticação.

Com essa implementação dificultariamos muito a quebra de senhas da SAM e eliminariamos o problema dos keyloger, o keyloger irá capturar a senha "joão" digitada pelo usuário, essa senha não é a senha gravada na SAM e só será validada quando digitada na GINA adaptada, portanto usuários externos que capturarem a senha não poderão fazer nada com ela.

Vou pensar melhor nessa solução e fazer um protótipo, breve colocarei algo aqui.

Least Privilege

Não vou falar na integra o que é least privilege, com um find no google você consegue isso fácil. Vou somente alertar alguns pontos que serão resolvidos com um pouco de vontade e conhecimento do conceito least privilege.

Quando exploramos uma vulnerabilidade em uma aplicação ela irá utilizar os "privilégios" que o usuário que iniciou ela possui, portanto o ideal seria que um usuário que inicia qualquer aplicação tenha privilégio somente para disponibilizar os recursos da aplicação, nada mais que isso.

Mais ai o que encontramos, geralmente as aplicações são iniciadas por usuários com privilégios muito superiores, com o mesmo usuário que iniciou uma aplicação pode ser feito tudo na maquina, é comum as pessoas setarem o Administrador da maquina para iniciar aplicações, isso é um perigo enorme.

Esse problema se estende aos usuários e administradores, é comum o desenvolvedor ou administrador da rede/maquina logar com um usuário administrador, quando falo administrador falo de qualquer usuário que tenha privilégios master na maquina.
Isso não deve acontecer, um desenvolvedor deve possuir um usuário que tenha acesso somente aos recursos que ele irá utilizar, um administrador de rede analista de suporte deve possuir dois usuários, um com privilégio mínimo e outro com privilégio master quando for necessário. Como?

No linux é comum se usar o SU para chamar um usuário com mais privilégio para executar alguma atividade que exija mais privilégio, já é uma cultura nos usuários do linux, agora quando falamos em windows a coisa muda um pouco, mais é perfeitamente possível usar um recurso semelhante para conseguir o mesmo resultado.

Podemos usar o "runas" do windows pra isso.

Least Privilege

Não vou falar na integra o que é least privilege, com um find no google você consegue isso fácil. Vou somente alertar alguns pontos que serão resolvidos com um pouco de vontade e conhecimento do conceito least privilege.

Quando exploramos uma vulnerabilidade em uma aplicação ela irá utilizar os "privilégios" que o usuário que iniciou ela possui, portanto o ideal seria que um usuário que inicia qualquer aplicação tenha privilégio somente para disponibilizar os recursos da aplicação, nada mais que isso.

Não é o que encontramos por aí. Geralmente as aplicações são iniciadas por usuários com privilégios muito superiores, com o mesmo usuário que iniciou uma aplicação pode ser feito tudo na maquina, é comum as pessoas setarem o Administrador da maquina para iniciar aplicações, isso é um perigo enorme.

Esse problema se estende aos usuários e administradores, é comum o desenvolvedor ou administrador da rede/maquina logar com um usuário administrador, quando falo administrador falo de qualquer usuário que tenha privilégios master na maquina.
Isso não deve acontecer, um desenvolvedor deve possuir um usuário que tenha acesso somente aos recursos que ele irá utilizar, um administrador de rede analista de suporte deve possuir dois usuários, um com privilégio mínimo e outro com privilégio master quando for necessário. Como?

No linux é comum se usar o SU para chamar um usuário com mais privilégio para executar alguma atividade que exija mais privilégio, já é uma cultura nos usuários do linux, agora quando falamos em windows a coisa muda um pouco, mais é perfeitamente possível usar um recurso semelhante para conseguir o mesmo resultado.

Podemos usar o "runas" do windows pra isso.

Convergência

Quem ficou "chateado" sobre meus comentarios sobre convergência segue algumas informações.

No site da Blackberry aquele aparelhinho que vai deixar você conectado 26 horas por dia, aquele que se você não responder um e-mail do seu chefe em 5 minutos ele vai ficar muito bravo e que está sendo vendido pela TIM tem um material sobre como implementar ele com um pouco mais de segurança.

BlackBerry Security Overview

BlackBerry® by Research In Motion

E quem não vive mais sem o skype tem novidades por ai, ele não está mais sozinho, existe uma versão opensource chamado Openwengo de origem francesa e a skype foi vendido para o e-Bay.

Convergência

Quem ficou "chateado" sobre meus comentarios sobre convergência segue algumas informações.

No site da Blackberry aquele aparelhinho que vai deixar você conectado 26 horas por dia, aquele que se você não responder um e-mail do seu chefe em 5 minutos ele vai ficar muito bravo e que está sendo vendido pela TIM tem um material sobre como implementar ele com um pouco mais de segurança.

BlackBerry Security Overview

BlackBerry® by Research In Motion

E quem não vive mais sem o skype tem novidades por ai, ele não está mais sozinho, existe uma versão opensource chamado Openwengo de origem francesa e a skype foi vendido para o e-Bay.

Insegurança...

A cada dia me pergunto de quem é a culpa das ameaças e porque os ataques aumentam em números assustadores todos os anos. Ainda não consegui apontar um culpado nessa história mais já sei que não vai diminuir tão cedo.

Os usuários sequer cairam em si que um e-mail é um envelope aberto na grande rede, e que seus dados podem facilmente serem interceptados e a indústria segue “construindo” novas caracteristicas baseadas em tecnologias insegura.

Se o e-mail é um problema o que podemos falar da dita convergência? Não sou contra a convergência, mas, gostaria que ela acontecesse baseada em coisas sólidas e bem planejadas, o que está acontecendo é que o número de implementações aumentam muito e os profissionais de security vão atrás remendando.

Pouca gente sabe a brecha que o Skype abre em sua rede, não estou falando na possibilidade de as conversas serem interceptadas, porque essa todo mundo sabe, as ferramentas e artigos do tipo “how to” pipocam na internet, falo de vulnerabilidades sérias na sua infra-estrutura de rede e controle de acesso.

As pessoas ainda não identificaram o risco do Skype em sí e a indústria já solta um aparelho wireless para skype. Imaginou? O skype inseguro junto com o wireless que apesar das mudanças de protocolos, algoritimos de criptografia e tudo, o sistema ainda é mal implementado.

E os sistema de CFTV (Circuíto Fechado de Televisão) que já eram mal planejados e não acrescentavam muito em modo analógico agora estão convergindo para IP. Que ótimo então aquele ladrão pé de chinelo acessa suas câmeras e faz o que quer com elas.

Quero meu atari e todas minhas velharias de volta.

Insegurança...

A cada dia me pergunto de quem é a culpa das ameaças e porque os ataques aumentam em números assustadores todos os anos. Ainda não consegui apontar um culpado nessa história mas já sei que não vai diminuir tão cedo.Os usuários sequer cairam em si que um e-mail é um envelope aberto na grande rede, e que seus dados podem facilmente serem interceptados e a indústria segue “construindo” novas caracteristicas baseadas em tecnologias inseguras. Se o e-mail é um problema o que podemos falar da dita convergência? Não sou contra a convergência, mas, gostaria que ela acontecesse baseada em coisas sólidas e bem planejadas, o que está acontecendo é que o número de implementações aumentam muito e os profissionais de security vão atrás remendando. Pouca gente sabe a brecha que o Skype abre em sua rede, não estou falando na possibilidade de as conversas serem interceptadas, porque essa todo mundo sabe, as ferramentas e artigos do tipo “how to” pipocam na internet, falo de vulnerabilidades sérias na sua infra-estrutura de rede e controle de acesso. As pessoas ainda não identificaram o risco do Skype em sí e a indústria já solta um aparelho wireless para skype. Imaginou? O skype inseguro junto com o wireless que apesar das mudanças de protocolos, algoritimos de criptografia e tudo, o sistema ainda é mal implementado. E os sistema de CFTV (Circuíto Fechado de Televisão) que já eram mal planejados e não acrescentavam muito em modo analógico agora estão convergindo para IP. Que ótimo então aquele ladrão pé de chinelo acessa suas câmeras e faz o que quer com elas. Quero meu atari e todas minhas velharias de volta.

Resumo...

Final de semana segurança física era o foco de minhas indagações, estudos...

Agradecer o Fernando Fonseca da Microsoft que vêm fazendo um trabalho importante na área de security da microsoft, iniciado pelo amigo Sergio Dias que voltou para Recife.

No CSO Meeting o Fernando fez contato com o Gilberto C. Padilha Donadio da Aceco TI que acrescentou muito ao nossos estudos e a apresentação que o Victor Bonomi havia feito.

Agradecer a todos e desejar boa sorte para o amigo Anchises que dentro de algum dias vai ser CISSP...

Deem uma passada no blog do Anchises, materiais bem interessante.
http://anchisesbr.blogspot.com/

Resumo...

Final de semana segurança física era o foco de minhas indagações, estudos...

Agradecer o Fernando Fonseca da Microsoft que vêm fazendo um trabalho importante na área de security da microsoft, iniciado pelo amigo Sergio Dias que voltou para Recife.

No CSO Meeting o Fernando fez contato com o Gilberto C. Padilha Donadio da Aceco TI que acrescentou muito ao nossos estudos e a apresentação que o Victor Bonomi havia feito.

Agradecer a todos e desejar boa sorte para o amigo Anchises que dentro de algum dias vai ser CISSP...

Deem uma passada no blog do Anchises, materiais bem interessante.
http://anchisesbr.blogspot.com/

Vazamento de informação...

Mais rápido que Bruce Schneier que após anos lançou um livro desmistificando o que ele havia falado sobre criptografia em um livro anos antes, eu após ler o artigo do Augusto na Security Review sobre vazamento de informações decidi comentar um post anterior.

Quando falo em bloqueios falo somente em bloqueios sem métricas, baseado simplesmente em ferramentas, sem objetivos claros, consequentemente sem o retorno esperado. No post o foco principal foi o vazamento de informações e desperdicio de recursos com estratégias furadas, sem foco.

Todo mundo sabe que o vazamento de informação se inibe com classificação da informação, treinamento, as ferramentas como quase sempre servem somente de apoio a estratégia de controle de informações.

Recomendo uma leitura não só no artigo sobre vazamento da informação como em todos os outros escritos pelo Augusto.

Augusto Paes de Barros
http://www.paesdebarros.com.br

Vazamento de informação...

Mais rápido que Bruce Schneier que após anos lançou um livro desmistificando o que ele havia falado sobre criptografia em um livro anos antes, eu após ler o artigo do Augusto na Security Review sobre vazamento de informações decidi comentar um post anterior.Quando falo em bloqueios falo somente em bloqueios sem métricas, baseado simplesmente em ferramentas, sem objetivos claros, consequentemente sem o retorno esperado. No post o foco principal foi o vazamento de informações e desperdicio de recursos com estratégias furadas, sem foco.Todo mundo sabe que o vazamento de informação se inibe com classificação da informação, treinamento, as ferramentas como quase sempre servem somente de apoio a estratégia de controle de informações.Recomendo uma leitura não só no artigo sobre vazamento da informação como em todos os outros escritos pelo Augusto.Augusto Paes de Barros
http://www.paesdebarros.com.br

Palestra...

Fui convidado para dar uma palestra na Faculdade Impacta.

Aos interessados:

Tema: Segurança da Informação. Como diminuir os riscos frente as ameaças da era digital.
Link: http://www.impacta.com.br/eventos/eve_eventos.asp
Data: 01/10/2005

Gestão da segurança

Já faz tempo que segurança vêm ganhando espaço, sendo comentada e cobrada por diversos órgãos e setores. Mais será que estamos no caminho certo? Estamos tratando segurança como ela deve ser tratada?

Com diversos atentados contra a segurança das informações das empresas e ganhando a mídia regulamentações como Sarbanes Oxley, cobrando medidas para a gestão da segurança nas empresas, o mercado de segurança está aquecido, empresas investem alto em projetos de segurança, BS 7799, NBR ISO/IEC 17799, Análise de risco, BCP (Business Continuity Plan) entre outros, são tema de discussões constantes entre os executivos.

Os profissionais precisam estar cada vez mais capacitados e preocupados com a conscientização, educação e treinamento dos ativos pessoas envolvidos nos negócios, profissionais de segurança que estejam à volta puramente com segurança lógica, networking, firewall, antivírus, continuarão tendo seu espaço nas empresas, serão parte de um processo de gestão de segurança, apenas parte, esses profissionais sozinhos não serão capazes de mitigar os riscos que atormentam as empresas.

Ainda é difícil vender projetos que não sejam de infra-estrutura ou adequação a normas, quantas empresas têm investido no ciclo da segurança, o após implementação os conceitos do PDCA (Plan – Do – Check – Act)?

Segurança depende de um acompanhamento de indicadores, métricas para a gestão da segurança, um trabalho contínuo de acompanhamento e conscientização, mais geralmente as empresas investem apenas no planejamento e implementação, achando alto e desnecessário o custo com a gestão da segurança.

O mercado têm que deixar de investir somente em soluções complexas de software e hardware e caminhar para soluções completas de segurança, Planejamento, implementação, acompanhamento e atualizações constantes, o ciclo de segurança têm que ser um habito nas empresas, não um ato isolado.

Palestra...

Fui convidado para dar uma palestra na Faculdade Impacta.

Aos interessados:

Tema: Segurança da Informação. Como diminuir os riscos frente as ameaças da era digital.
Link: http://www.impacta.com.br/eventos/eve_eventos.asp
Data: 01/10/2005

Gestão da segurança

Já faz tempo que segurança vêm ganhando espaço, sendo comentada e cobrada por diversos órgãos e setores mas, será que estamos no caminho certo? Estamos tratando segurança como ela deve ser tratada?Com diversos atentados contra a segurança das informações das empresas e ganhando a mídia regulamentações como Sarbanes Oxley, cobrando medidas para a gestão da segurança nas empresas, o mercado de segurança está aquecido.  Empresas investem alto em projetos de segurança, BS 7799, NBR ISO/IEC 17799, Análise de risco, BCP (Business Continuity Plan) entre outros, são tema de discussões constantes entre os executivos. Os profissionais precisam estar cada vez mais capacitados e preocupados com a conscientização, educação e treinamento dos ativos pessoas envolvidos nos negócios. Profissionais de segurança que estejam à volta puramente com segurança lógica, networking, firewall, antivírus, continuarão tendo seu espaço nas empresas, serão parte de um processo de gestão de segurança, apenas parte. Esses profissionais sozinhos não serão capazes de mitigar os riscos que atormentam as empresas. Ainda é difícil vender projetos que não sejam de infra-estrutura ou adequação a normas, quantas empresas têm investido no ciclo da segurança, o após implementação, os conceitos do PDCA (Plan – Do – Check – Act)? Segurança depende de um acompanhamento de indicadores, métricas para a gestão da segurança, um trabalho contínuo de acompanhamento e conscientização, mas geralmente as empresas investem apenas no planejamento e implementação, achando alto e desnecessário o custo com a gestão da segurança. O mercado têm que deixar de investir somente em soluções complexas de software e hardware e caminhar para soluções completas de segurança, planejamento, implementação, acompanhamento e atualizações constantes, o ciclo de segurança têm que ser um habito nas empresas, não um ato isolado.

Procurando entender...

Espiões, Jovens programadores, pesquisadores financiados por empresas fabricantes de antivírus, manifestantes, de onde vêm à infinidade de códigos maliciosos que batem em nossas portas todos os dias?

Cada dia causando mais danos e exigindo mais expertise dos usuários e administradores de ambiente, esse mundo ainda têm muito a ser explorado, muitas coisas ainda continuam sem resposta.

O que é um Spyware? O que é um Malware? O que é um Trojan? O que é um Worm? Existem milhares de definições, qual é a correta ninguém sabe dizer, sempre confiamos na fonte mais antiga e confiável, mais quem garante que ela é a correta? Ninguém.

O mais correto no meu ponto de vista é ter a simples definição “Código maliciosos”. Simples? O que é um código malicioso? É algo que me causa dano. Mais o que causa dano a você nem sempre vai causar dano a outras pessoas, hum... Entramos na mesma confusão das classificações anteriores.

Enquanto isso continuamos usando aquele arsenal de ferramentas, AntiSpyware, Antivírus, Personal Firewall e os mais avançadinhos ainda podem usar outras artimanhas como um TripWire analisando seus arquivos.

A verdade é que mesmo com tudo isso ainda não podemos fechar os olhos, as ameaças vão continuar e nenhuma ferramenta é 100% eficiente.

Vocês já experimentaram instalar vários antivírus? Cada antivírus que você instala encontra um vírus diferente e quando você formata a maquina e instala o antivírus e ele já encontra um vírus. Mesmo com o antivírus desatualizado e sem qualquer contato com a Internet. Será que isso é realmente certo?

E quando você baixa aquele AntiSpyware e ele varre a sua maquina e encontra inúmeras pragas, ele apaga 99% mais sempre sobram aquelas que você precisa da versão “PRO” que é paga. Será que isso é realmente certo?

Procurando entender...

Espiões, Jovens programadores, pesquisadores financiados por empresas fabricantes de antivírus, manifestantes, de onde vêm à infinidade de códigos maliciosos que batem em nossas portas todos os dias?

Cada dia causando mais danos e exigindo mais expertise dos usuários e administradores de ambiente. Esse mundo ainda têm muito a ser explorado, muitas coisas ainda continuam sem resposta.

O que é um Spyware? O que é um Malware? O que é um Trojan? O que é um Worm? Existem milhares de definições, qual é a correta ninguém sabe dizer. Sempre confiamos na fonte mais antiga e confiável, mais quem garante que ela é a correta? Ninguém.

O mais correto no meu ponto de vista é ter a simples definição “Código maliciosos”. Simples? O que é um código malicioso? É algo que me causa dano. Mas o que causa dano a você nem sempre vai causar dano a outras pessoas, hum... Entramos na mesma confusão das classificações anteriores.

Enquanto isso continuamos usando aquele arsenal de ferramentas, AntiSpyware, Antivírus, Personal Firewall e os mais avançadinhos ainda podem usar outras artimanhas como um TripWire analisando seus arquivos.

A verdade é que mesmo com tudo isso ainda não podemos fechar os olhos, as ameaças vão continuar e nenhuma ferramenta é 100% eficiente.

Vocês já experimentaram instalar vários antivírus? Cada antivírus que você instala encontra um vírus diferente e quando você formata a maquina e instala o antivírus e ele já encontra um vírus. Mesmo com o antivírus desatualizado e sem qualquer contato com a Internet. Será que isso é realmente certo?

E quando você baixa aquele AntiSpyware e ele varre a sua maquina e encontra inúmeras pragas, ele apaga 99% mas sempre sobram aquelas que você precisa da versão “PRO” que é paga. Será que isso é realmente certo?

Em busca dos Logs

Vocês já pensaram na quantidade de logs que temos para analisar nos ambientes e não analisamos? Firewall, ERP, Banco de dados, Sistemas Operacionais, entre outros, conheço profissionais extremamente competentes que sabem o que fazer com todos esses logs, agora também sou obrigado a dizer que a maioria não têm a menor idéia do que fazer com eles.

Troubleshooting? Acompanhar anormalidades e identificar possíveis ameaças? Pois é muita gente não consegue responder essas perguntas, ou simplesmente respondem com um: eu não faço nada, deixo lá pra quando precisar; eu desabilito tudo (sábia resposta quando não se têm skill para analisar os mesmos).

Se ainda não amadurecemos essa questão com os logs que temos hoje, porque procuramos incessantemente novas ferramentas para gerar mais log, IDS, IPS, Honeypot, XPTO, XPTE, x sei lá o que.

Novamente, muitos profissionais conseguem atingir bons resultados com IDS, IPS, Honeypot (pesquisa), mais esses profissionais são exatamente os mesmos que citei no inicio do texto, sabem o que fazer com os logs do firewall, das aplicações, sistemas operacionais, têm procedimentos claros para o tratamento dos mesmos.

Esses profissionais já estão procurando ferramentas para correlacionarem os dados, diminuindo esforço, quantidade de trabalho manual aumentando a eficiência na analise e não eliminando a necessidade do bom profissional.

Então eu acho que os profissionais precisam investir no aprendizado de boas praticas para gestão do mesmo, antes de sair atrás de IDS, ou outras ferramentas para gerar mais logs, o mais interessante é que a maioria dessas ferramentas têm como principal objetivo gerar logs, informações para que você analise e ai sim faça planos de ação para corrigir, ajustar.

Adotem o protocolo NSD (Não Sabe Deixa) enquanto não possuírem tal habilidade, preocupe-se em fazer um hardening em seus sistemas operacionais, configurar seus firewalls (duvido que consigam sem uma boa analise nos logs gerados).

Em busca dos Logs

Vocês já pensaram na quantidade de logs que temos para analisar nos ambientes e não analisamos? Firewall, ERP, Banco de dados, Sistemas Operacionais, entre outros, conheço profissionais extremamente competentes que sabem o que fazer com todos esses logs, agora também sou obrigado a dizer que a maioria não têm a menor idéia do que fazer com eles.Troubleshooting? Acompanhar anormalidades e identificar possíveis ameaças? Pois é muita gente não consegue responder essas perguntas, ou simplesmente respondem com um: eu não faço nada, deixo lá pra quando precisar; eu desabilito tudo (sábia resposta quando não se têm skill para analisar os mesmos).Se ainda não amadurecemos essa questão com os logs que temos hoje, porque procuramos incessantemente novas ferramentas para gerar mais log, IDS, IPS, Honeypot, XPTO, XPTE, x sei lá o que. Novamente, muitos profissionais conseguem atingir bons resultados com IDS, IPS, Honeypot (pesquisa), mas esses profissionais são exatamente os mesmos que citei no inicio do texto, sabem o que fazer com os logs do firewall, das aplicações, sistemas operacionais, têm procedimentos claros para o tratamento dos mesmos. Esses profissionais já estão procurando ferramentas para correlacionarem os dados, diminuindo esforço, quantidade de trabalho manual aumentando a eficiência na analise e não eliminando a necessidade do bom profissional. Então eu acho que os profissionais precisam investir no aprendizado de boas práticas para gestão do mesmo, antes de sair atrás de IDS, ou outras ferramentas para gerar mais logs. O mais interessante é que a maioria dessas ferramentas têm como principal objetivo gerar logs, informações para que você analise e ai sim faça planos de ação para corrigir, ajustar. Adotem o protocolo NSD (Não Sabe Deixa) enquanto não possuírem tal habilidade, preocupe-se em fazer um hardening em seus sistemas operacionais, configurar seus firewalls (duvido que consigam sem uma boa analise nos logs gerados).

Bloqueios...

Cansado de ouvir sobre controle de conteúdo, bloqueio de e-mail, bloqueio de Instant Messenger (MSN, ICQ, etc...), resolvi viajar um pouco por aqui, eu falei que ia falar um monte de besteiras, mais quem quiser ler, boa sorte...

Os argumentos para bloquear tudo isso são pifeis, atrapalha a produtividade, usuários deixam vazar informações da empresa, e um monte de abobrinha que todo mundo está cansado de ouvir.

Amigo, segurança está no todo e não em atitudes isoladas, se gasta dinheiro e tempo implementando e gerenciando essas ferramentas e os problemas continuam, vazamento de informação, falta de produtividade, etc...

Ah! Mais aqui na empresa bloquearam tudo e a produtividade aumentou os índices de infecções por códigos maliciosos diminuirão e todo mundo (da área de ti) está contente.

Gente vocês conseguiriam isso e muito mais, com gestão de conhecimento, conscientização dos usuários, gestão de patchs, hot fixes e antivírus, sem invadir, sem coibir os usuários.

Os usuários improdutivos continuam improdutivos e perigosos, eles deixaram de bater papo no MSN e agora ficam no telefone, vão ao banheiro 50 vezes ao dia, tomam a garrafa toda de café, ficam utilizando aquele proxy que ainda não foi barrado pela área de TI e que sabe-se lá a procedência e aquele executivo que fica com o laptop aberto e falando tudo pelo celular em um lugar comum como aeroportos.

Bloqueios não resolvem, o que resolve é gestão das atividades, se alguém está fazendo algo improdutivo é porque não deram o que fazer há ele ou não estão cobrando o que ele tem pra fazer, crie métrica de controle de produtividade, metas e não proíba quem sabe utilizar os meios que a empresa lhe oferece.

Chega de revolta...rs...esses são meus pontos de atenção aos gestores e profissionais de segurança como eu.

Bloqueios...

Cansado de ouvir sobre controle de conteúdo, bloqueio de e-mail, bloqueio de Instant Messenger (MSN, ICQ, etc...), resolvi viajar um pouco por aqui, eu falei que ia falar um monte de besteiras, mas quem quiser ler, boa sorte... Os argumentos para bloquear tudo isso são pifeis, atrapalha a produtividade, usuários deixam vazar informações da empresa, e um monte de abobrinha que todo mundo está cansado de ouvir.Amigo, segurança está no todo e não em atitudes isoladas, se gasta dinheiro e tempo implementando e gerenciando essas ferramentas e os problemas continuam, vazamento de informação, falta de produtividade, etc...Mas aqui na empresa bloquearam tudo e a produtividade aumentou, os índices de infecções por códigos maliciosos diminuirão e todo mundo (da área de ti) está contente. Gente vocês conseguiriam isso e muito mais, com gestão de conhecimento, conscientização dos usuários, gestão de patchs, hot fixes e antivírus, sem invadir, sem coibir os usuários. Os usuários improdutivos continuam improdutivos e perigosos, eles deixaram de bater papo no MSN e agora ficam no telefone, vão ao banheiro 50 vezes ao dia, tomam a garrafa toda de café, ficam utilizando aquele proxy que ainda não foi barrado pela área de TI e que sabe-se lá a procedência e aquele executivo que fica com o laptop aberto e falando tudo pelo celular em um lugar comum como aeroportos. Bloqueios não resolvem, o que resolve é gestão das atividades, se alguém está fazendo algo improdutivo é porque não deram o que fazer a ele ou não estão cobrando o que ele tem pra fazer. Crie métrica de controle de produtividade, metas e não proíba quem sabe utilizar os meios que a empresa lhe oferece. Chega de revolta...rs...esses são meus pontos de atenção aos gestores e profissionais de segurança como eu.