Terei que parar (já) com os posts para meu blog por tempo indeterminado.
Estarei agora escrevendo para o blog da Securstar.
O endereço é http://blog.securstar.com
Visitem!
sexta-feira, 24 de julho de 2009
segunda-feira, 15 de junho de 2009
Piando pelos cotovelos
Long time no see...
Já há algum tempo entrei na mais nova onda da internet, o Twitter. Nas primeiras vezes que ouvi falar sobre o assunto, simplesmente não entendi do que se tratava o negócio. Depois quando descobri o que era, não vi utilidade. Como sou curioso e "fução", tive que criar uma conta pra mim. Mandei meu primeiro "Tweet", inútil, pensando se eu não tinha nada melhor pra fazer da vida. E logo depois desse pensamento tive uma visão que mudaria para sempre minha opnião sobre o twitter: um campo de formulário escrito "search".
Na minha primeira busca, "segurança informação", tive a surpresa de descobrir uma quantidade realmente grande de pessoas trocando informações sobre o assunto, e o melhor, a maioria eram profissionais ligados diretamente a área. Descobri que o Twitter não era só um lugar para você dizer "agora estou regando o jardim", mas uma lugar de informações valiosas e de alto nível de networking. Era mais uma grandiosa ferramenta de comunicação que estava se formando.
Como toda ferramenta popular que se destaca na internet, sua utilidade começa a deixar de ser apenas pessoal e passa também a ser corporativa. As empresas já começam a "Tweettar" por ai, junto a seus clientes, e está formando mais um canal de marketing na internet. Fácil, rápido e segur...seguro?
No twitter existe a expressão "Follow", você pode "seguir" um usuário, que significa acompanhar as mensagens desse usuário. Ao "tweetar", você precisa ter a consciência que está sendo seguido. Vem a imagem clássica do espião se escondendo de poste em poste atrás da vítima. Quando você anda na rua, várias pessoas estão lhe observando, mas qual delas é confiável? Qual delas reparou que você entra e sai de seu escritório em determinado horário, ou qual o banco que visita sempre? Muitas pessoas "twittam" suas rotinas, deixando um rastro de suas vidas diárias na tela de pessoas estranhas, já que (se você não bloquear) qualquer pessoa pode começar a segui-lo. Eu sou 1 dos 879.932 seguidores (até as 11:30hs de hoje) do Evan Williams, um dos criadores do Twitter. Acha que ele deve tomar cuidado com o que "pia" por ai com todos esses olhos seguindo-o-o? I think so.
O Twitter está só na fase inicial. Várias outras funcionalidades irão surgir. Já exitem projetos que o utilizam como mecanismo de alerta. Como, por exemplo, saber se seu gato de estimação chegou em casa para uma refeição depois de uma noitada. Sei que essa solução anterior é incrível, principalmente para mim que não tenho gato, mas imagine outras funções, como por exemplo, criar um profile que receba "tweets" alertando sobre falhas de segurança ou informações relevantes de um sistema, para seguidores que tenham interesse nessa informação. Caso essa funcionalidade seja viável, quanta informação preciosa estaria sendo jogada no Twitter?
Sobre vulnerabilidades técnicas, basta buscar no google ou youtube "twitter hack" e encontrar várias informações interessantes. Inclusive, já existem notícias de algumas pichações famosas, como o Twitter de Barack Obama, e um outro de um apresentador de televisão dizendo "não consegui fumar crack essa manhã". Também cuidado com gadgets e complementos, eles andam "clicando" onde não devem por você. Outro ponto a se tomar cuidado é a grande utilização de "Short URLs", devido ao limitado número de caracteres (140) que um "tweet" pode conter. Essas urls curtas mascaram os links e não permitem saber onde o usuário será levado ao clica-las. Algumas soluções como um complemento do firefox da bit.ly (usada por padrão) permitem visualizar a URL final antes de clica-la.
Outras funções e consequentemente vulnerabilidades, estão ainda por vir. Aguardemos, de pé...
Abaixo, uma palestra de Evan Williams falando sobre sua criação:
Ah, meu twitter: twitter.com/michel_security
be safe
quarta-feira, 13 de maio de 2009
It's Evolution, baby!!
Aproveitando a deixa do último post sobre Clouding Computing, mas principalmente o post no twitter do meu colega e professor Luiz Cabuloso, tenho lido sobre algo que achei fantástico e que realmente seja um daqueles acontecimentos que mudam paradigmas para sempre. Estou falando do ONLIVE.
Se trata de uma tecnologia a ser lançada até o final desse ano, onde pessoas poderão comprar, alugar e jogar games estando em qualquer lugar, através de uma conexão com a internet. São os games indo para a nuvem. Mas as pessoas já jogam pela internet, bobão! Qual a diferença?...Primeiro, e principal, você não precisará ter um console. Você poderá jogar em sua televisão, bastando usar um pequeno modem que é fornecido pela empresa. Segundo, o processamento do jogo é feito totalmente em datacenter da própria Onlive (que devem ser parrudos pacas), o que você recebe é somente streaming de áudio e vídeo, isso quer dizer que você pode jogar jogos de altíssima qualidade gráfica em um computador mediano (a maior prova é que você nem precisa de computador, joga direto na televisão como eu já disse).
Fora essas duas caracteristicas, existem várias outras que não vou ficar citando aqui, basta você assistir o video abaixo (quem não tiver tempo pra assistir a 1 hora de video, assista nos 9 minutos que é onde ele faz a demonstração do sistema em si).
Esse blog é sobre segurança! Não games. Então o que podemos falar de segurança sobre esse sistema? Não vou citar os aspectos de segurança sobre Clouding computing, basta você ler o post anterior. Os consoles lançados nos últimos tempos já possuem funcionalidade de conexão com a internet, mas não podemos considerar que haviam tantos riscos nesse cenário, pois os consoles em si não possuiam informações críticas que poderiam ser roubadas. O maior risco vem das contas de usuários que necessitam ser criadas para que os jogos possam ser jogados. Essas possuem informações pessoais dos jogadores, que podem ser roubadas e utilizadas para fins maliciosos. Acho que a chegada dessa plataforma de "games só online" apenas aumenta a superfície de ataque, já que traz todos esses jogadores de consoles caseiros para uma rede insegura (leia-se Internet).
Sinceramente, eu não to nem ai pra segurança. O que me preocupa é o vício, porque vo joga isso pra cacete.
be safe.
Se trata de uma tecnologia a ser lançada até o final desse ano, onde pessoas poderão comprar, alugar e jogar games estando em qualquer lugar, através de uma conexão com a internet. São os games indo para a nuvem. Mas as pessoas já jogam pela internet, bobão! Qual a diferença?...Primeiro, e principal, você não precisará ter um console. Você poderá jogar em sua televisão, bastando usar um pequeno modem que é fornecido pela empresa. Segundo, o processamento do jogo é feito totalmente em datacenter da própria Onlive (que devem ser parrudos pacas), o que você recebe é somente streaming de áudio e vídeo, isso quer dizer que você pode jogar jogos de altíssima qualidade gráfica em um computador mediano (a maior prova é que você nem precisa de computador, joga direto na televisão como eu já disse).
Fora essas duas caracteristicas, existem várias outras que não vou ficar citando aqui, basta você assistir o video abaixo (quem não tiver tempo pra assistir a 1 hora de video, assista nos 9 minutos que é onde ele faz a demonstração do sistema em si).
Esse blog é sobre segurança! Não games. Então o que podemos falar de segurança sobre esse sistema? Não vou citar os aspectos de segurança sobre Clouding computing, basta você ler o post anterior. Os consoles lançados nos últimos tempos já possuem funcionalidade de conexão com a internet, mas não podemos considerar que haviam tantos riscos nesse cenário, pois os consoles em si não possuiam informações críticas que poderiam ser roubadas. O maior risco vem das contas de usuários que necessitam ser criadas para que os jogos possam ser jogados. Essas possuem informações pessoais dos jogadores, que podem ser roubadas e utilizadas para fins maliciosos. Acho que a chegada dessa plataforma de "games só online" apenas aumenta a superfície de ataque, já que traz todos esses jogadores de consoles caseiros para uma rede insegura (leia-se Internet).
Sinceramente, eu não to nem ai pra segurança. O que me preocupa é o vício, porque vo joga isso pra cacete.
be safe.
segunda-feira, 4 de maio de 2009
Segurança em Nuvem
O termo "Cloud Computing", ou computação em nuvem, é perfeito para descrever do que realmente se trata o negócio. Quando pensamos em uma nuvem, o que imaginamos? Uma névoa? Sem um formato definido? É exatamente isso que se trata o clouding computing. É o uso de infraestrutura e software como serviço, vindo de terceiros, e que não é armazenada ou processada em um lugar fisico fixo, pode estar dividida em vários hosts e estar sempre mudando de lugar.
Muito se fala hoje sobre clouding computing, e é dito que sua dominação é inevitável. Creio que isso ainda não aconteceu não tanto por falta de tecnologia de armazenamento e processamento, mas principalmente por ser algo ainda não confiável no que se diz respeito a segurança.
Falar de segurança em Clouding Computing é complexo. Já começamos com o fato que usar uma infraestutura terceirizada para tratamento de informação, muitas vezes crítica e confidencial, é uma grande preocupação para a segurança. Para que a informação seja manipulada por terceiros, devem ser levados em conta boas políticas e tecnologias utilizadas pela empresa prestadora do serviço. Para ter essa certeza (e nem tanta assim), é importante cobrar certificações internacionais relacionadas a segurança da informação, como ITIL e ISO/IEC 27001/27002, entre outras. Criptografia e gestão de chaves devem ser utilizadas e levadas muito a sério, já que não se pode confiar em pessoas.
Outro ponto importante a ser destacado é o fato de que você precisa usar uma rede insegura como a internet para poder acessar as informações na nuvem. Isso esta sujeito a vulnerabilidades de sniffing, spoofing, entre outros. Talvez quando você esteja usando o serviço, a comunicação entre você e o host esteja criptograda, mas e ao trafegar de um host a outro dentro da infraestrutura terceirizada. Será que está tudo protegido mesmo?
Há outros problemas que não são levados em conta ou que não são sabidos por muitos, como quanto a ações legais. Caso suas informações sejam de interesse para alguma investigação, a comissão investigadora irá requisitar o acesso da informação para a empresa que armazena, e caberá a ela dificultar ou não esse acesso, e não você. Você acha que a empresa dona do serviço estará muito interessada em dificultar uma investigação policial? Talvez se a informação estivesse no seu host você não abriria com tanta facilidade dependendo da situação, não é verdade?
Provalvelmente você não usa computação em nuvem, ainda, para tratar informações relevantes de sua empresa (isso é o que você pensa), mas com certeza já passou pela sua cabeça essa possibilidade, principalmente quando pensamos em custos. Pois então, realmente pense, repense, e va pensando....pelo menos enquanto pode, pois logo, não utiliza-la poderá ser algo impensável.
be safe.
sexta-feira, 17 de abril de 2009
Crimes de fim de semana
Essa semana tive conhecimento de dois casos interessantes relacionados a incidentes de seguraça. Provavelmente você deve estar pensando que vou falar sobre o roubo de informações de uma grande organização ou a pichação de algum website grande e famoso. Nada disso. Vou falar sobre os casos da amiga da minha namorada, e do meu vizinho de mesa no escritório.
O que achei interessante nesses casos é exatamente o fato de serem pessoas comuns, que passam longe de serem criminosos, hmm...ou será que não?! Bom, vamos rapidamente aos casos:
Essa "amiga da minha namorada", mantém contato pela internet com um ex-namorado (detalhe, casado). O fato é que os dois estão meio que tendo um relacionamento virtual, e entre as declarações e promessas do rapaz, essa "amiga da minha namorada" resolve tentar saber se realmente o que ele falava era verdade. Ela soube que ele possuia um endereço de email que era utilizado por ele e pela esposa, e então teve a brilhante idéia de tentar adivinhar a senha de acesso a caixa de webmail. Ferramenta de força bruta? bah, esqueceu que ela é a "amiga da minha namorada"?! Ela nem imagina o que isso seja. Foi é na unha mesmo. Com tanto tempo de relacionamento com o rapaz, ela sabia tudo sobre a vida dele, e após várias (ou nem tantas) tentativas ela conseguiu o acesso (fico imaginando a cara dela nesse momento). Não sei muitos detalhes sobre a façanha, e nem se ela encontrou o que procurava, mas ela conseguiu saber até o que eles comem na janta. o_O
Sobre o segundo caso, um colega de trabalho conhece um e-commerce de peças de moto. Entrando em contato com o próprio dono do site, ele consegue o contato do desenvolvedor alegando que queria contratar os serviços do rapaz. Após conversar bastante com ele (online), o prezado profissional fornece o login e senha do ftp do respectivo e-commerce (o_O). Acessando o FTP, verifica-se que o banco de dados é em...ACCESS! e que o MDB está la prontinho para download.
Voltando a dúvida inicial desse post. Será que eles podem ser considerados criminosos? No Brasil, depende! Já que por enquanto ainda não foi aprovada a lei de crimes eletrônicos (para quem acessar o link, Rony Vainzof foi meu professor de Direito Eletrônico na pós). Teriam que ser usadas analogias as Leis atuais, ou Jurisprudência para ser definida a senteça. Só que de qualquer modo será que os atos em si justificariam um julgamento e uma possível condenação? Isso vai depender do Impacto causado pelo incidente. Enquanto não há problemas morais ou financeiros para as vítimas, então também não há motivo para maiores ações. Só que isso não quer dizer que esses ou talvez outros incidentes pequenos, não podem se tornar grandes problemas.
Na organização, o controle e monitoração de pequenos incidentes são muito importantes, não para punir ninguém, mas para saber quais os possíveis focos de problemas futuros, e saber onde procurar caso um incidente ocorra.
be safe!
O que achei interessante nesses casos é exatamente o fato de serem pessoas comuns, que passam longe de serem criminosos, hmm...ou será que não?! Bom, vamos rapidamente aos casos:
Essa "amiga da minha namorada", mantém contato pela internet com um ex-namorado (detalhe, casado). O fato é que os dois estão meio que tendo um relacionamento virtual, e entre as declarações e promessas do rapaz, essa "amiga da minha namorada" resolve tentar saber se realmente o que ele falava era verdade. Ela soube que ele possuia um endereço de email que era utilizado por ele e pela esposa, e então teve a brilhante idéia de tentar adivinhar a senha de acesso a caixa de webmail. Ferramenta de força bruta? bah, esqueceu que ela é a "amiga da minha namorada"?! Ela nem imagina o que isso seja. Foi é na unha mesmo. Com tanto tempo de relacionamento com o rapaz, ela sabia tudo sobre a vida dele, e após várias (ou nem tantas) tentativas ela conseguiu o acesso (fico imaginando a cara dela nesse momento). Não sei muitos detalhes sobre a façanha, e nem se ela encontrou o que procurava, mas ela conseguiu saber até o que eles comem na janta. o_O
Sobre o segundo caso, um colega de trabalho conhece um e-commerce de peças de moto. Entrando em contato com o próprio dono do site, ele consegue o contato do desenvolvedor alegando que queria contratar os serviços do rapaz. Após conversar bastante com ele (online), o prezado profissional fornece o login e senha do ftp do respectivo e-commerce (o_O). Acessando o FTP, verifica-se que o banco de dados é em...ACCESS! e que o MDB está la prontinho para download.
Voltando a dúvida inicial desse post. Será que eles podem ser considerados criminosos? No Brasil, depende! Já que por enquanto ainda não foi aprovada a lei de crimes eletrônicos (para quem acessar o link, Rony Vainzof foi meu professor de Direito Eletrônico na pós). Teriam que ser usadas analogias as Leis atuais, ou Jurisprudência para ser definida a senteça. Só que de qualquer modo será que os atos em si justificariam um julgamento e uma possível condenação? Isso vai depender do Impacto causado pelo incidente. Enquanto não há problemas morais ou financeiros para as vítimas, então também não há motivo para maiores ações. Só que isso não quer dizer que esses ou talvez outros incidentes pequenos, não podem se tornar grandes problemas.
Na organização, o controle e monitoração de pequenos incidentes são muito importantes, não para punir ninguém, mas para saber quais os possíveis focos de problemas futuros, e saber onde procurar caso um incidente ocorra.
be safe!
quinta-feira, 2 de abril de 2009
Confickando as idéias
Olá
Resolvi falar sobre o assunto do momento, o Conficker.
Para quem talvez não sabe (existe gente que não lê coluna de tecnologia sempre), o conficker é uma espécie de vírus, mais exatamente um worm, que se instala em um computador e fica lá entocado embaixo dos seus bytes fazendo alguma coisa que não deveria.
Ok, então você pergunta, e daí? Mais um vírus de computador no meio de tantos que existem por ai. Qual a diferença? Bom, pra responder esse pergunta, é preciso saber o que é uma Botnet, ou uma "Rede Zumbi". As botnet são uma das maiores pragas que existem na internet hoje. Existem várias botnets ativas por ai. Trata-se de uma série de máquinas (talvez a sua) contaminadas por um mesmo malware, e que recebem comandos de um servidor "mestre" na internet. As botnets podem ser usadas para vários fins maléficos, mas os principais são o DDOD (Distributed Denial of Service), onde os computadores pertencentes a botnet enviam pacotes de dados todos de uma vez para um só host, causando congestionamento do link daquele host, e os Spams, que são mais populares, onde as "maquinas zumbis" enviam emails entupindo uma caixa de correio alvo.
Quantas máquinas podem fazer parte de uma botnet para que possam causar esses danos? Ai é que está o motivo do conficker estar causando tanto estardalhasso. Antes dele, as botnets conseguiam cerca de 1 milhão de host infectados no máximo. É estimado que o Conficker esteja entre 2 e 12 milhões!
Para conseguir se espalhar dessa maneira a praga utiliza uma falha de segurança do windows, que só foi descoberta por causa dele. A microsoft correu e fez atualização para corrigir a falha, mas lógico que é tarde. "Tá tudo dominado".
Só que não culpe só a microsoft pelo problema. Se os computadores estivessem com antivirus atualizado, compartilhamentos de pastas não estivessem escancarados e sendo feita administração de patches nas maquinas, a coisa poderia estar bem mais amena.
Pra finalizar, estava prevista uma "ativação" do malware no dia 1º de abril. Nada de monstruoso aconteceu, mas não faz diferença pois pode acontecer a qualquer momento e muitas vezes. Para eliminar algo assim só identificando o servidor mestre, e as pessoas por trás da coisa. A microsoft está oferencendo 250.000 USD para quem entregar os caras. E ai, alguém sabe?
Be safe!
Resolvi falar sobre o assunto do momento, o Conficker.
Para quem talvez não sabe (existe gente que não lê coluna de tecnologia sempre), o conficker é uma espécie de vírus, mais exatamente um worm, que se instala em um computador e fica lá entocado embaixo dos seus bytes fazendo alguma coisa que não deveria.
Ok, então você pergunta, e daí? Mais um vírus de computador no meio de tantos que existem por ai. Qual a diferença? Bom, pra responder esse pergunta, é preciso saber o que é uma Botnet, ou uma "Rede Zumbi". As botnet são uma das maiores pragas que existem na internet hoje. Existem várias botnets ativas por ai. Trata-se de uma série de máquinas (talvez a sua) contaminadas por um mesmo malware, e que recebem comandos de um servidor "mestre" na internet. As botnets podem ser usadas para vários fins maléficos, mas os principais são o DDOD (Distributed Denial of Service), onde os computadores pertencentes a botnet enviam pacotes de dados todos de uma vez para um só host, causando congestionamento do link daquele host, e os Spams, que são mais populares, onde as "maquinas zumbis" enviam emails entupindo uma caixa de correio alvo.
Quantas máquinas podem fazer parte de uma botnet para que possam causar esses danos? Ai é que está o motivo do conficker estar causando tanto estardalhasso. Antes dele, as botnets conseguiam cerca de 1 milhão de host infectados no máximo. É estimado que o Conficker esteja entre 2 e 12 milhões!
Para conseguir se espalhar dessa maneira a praga utiliza uma falha de segurança do windows, que só foi descoberta por causa dele. A microsoft correu e fez atualização para corrigir a falha, mas lógico que é tarde. "Tá tudo dominado".
Só que não culpe só a microsoft pelo problema. Se os computadores estivessem com antivirus atualizado, compartilhamentos de pastas não estivessem escancarados e sendo feita administração de patches nas maquinas, a coisa poderia estar bem mais amena.
Pra finalizar, estava prevista uma "ativação" do malware no dia 1º de abril. Nada de monstruoso aconteceu, mas não faz diferença pois pode acontecer a qualquer momento e muitas vezes. Para eliminar algo assim só identificando o servidor mestre, e as pessoas por trás da coisa. A microsoft está oferencendo 250.000 USD para quem entregar os caras. E ai, alguém sabe?
Be safe!
segunda-feira, 30 de março de 2009
Será que esses caras tão recrutando?
Bem vindo a meu mais novo (e único até agora) blog. A intenção é trazer minhas opiniões (e discuti-las, por favor) sobre os vários temas que envolvem a segurança da informação.
E como primeiro post vou começar já colocando algo que todo mundo gosta: videos.
Se trata de um programa de televisão americano, que tem como tema um grupo que executa pen tests digamos "de choque". Nunca tinha ouvido falar do programa e se alguem souber se passa no Brasil me fale. Embora não deixe de ser uma produção no maior estilo "11 homens e um segredo", vale assistir pois mostra fragilidades de segurança reais dentro de uma organização. Bom, nem tão "reais" assim, principalmente a parte da invasão física...
O que acho mais interessante no video não é tanto os artificios tecnologicos usados pelos Geeks, mas sim o que realmente torna um sistema de segurança frágil: PESSOAS. Nossos "queridos" elos fracos na maioria das organizações.
A técnica que realmente levou ao sucesso da invasão foi a tão famosa Engenharia Social. Alias os caras são bons nisso, hein?! Duas tacadas de uma vez, primeiro convencendo a recepcionista a espetar um device USB na maquina da recepção, e então logo depois dando uma de jornalistas para o cara que havia contratado eles, recolhendo informações preciosas (aniversário da filha era a senha do cofre, baahhh). Firewalls, DMZ, ACL??? Para todos a melhor técnica de invasão é uma boa "lorota"...
Por hoje é só pessoal. Be Safe!
E como primeiro post vou começar já colocando algo que todo mundo gosta: videos.
Se trata de um programa de televisão americano, que tem como tema um grupo que executa pen tests digamos "de choque". Nunca tinha ouvido falar do programa e se alguem souber se passa no Brasil me fale. Embora não deixe de ser uma produção no maior estilo "11 homens e um segredo", vale assistir pois mostra fragilidades de segurança reais dentro de uma organização. Bom, nem tão "reais" assim, principalmente a parte da invasão física...
O que acho mais interessante no video não é tanto os artificios tecnologicos usados pelos Geeks, mas sim o que realmente torna um sistema de segurança frágil: PESSOAS. Nossos "queridos" elos fracos na maioria das organizações.
A técnica que realmente levou ao sucesso da invasão foi a tão famosa Engenharia Social. Alias os caras são bons nisso, hein?! Duas tacadas de uma vez, primeiro convencendo a recepcionista a espetar um device USB na maquina da recepção, e então logo depois dando uma de jornalistas para o cara que havia contratado eles, recolhendo informações preciosas (aniversário da filha era a senha do cofre, baahhh). Firewalls, DMZ, ACL??? Para todos a melhor técnica de invasão é uma boa "lorota"...
Por hoje é só pessoal. Be Safe!
Assinar:
Comentários (Atom)
Postagens
