Eu acho extremamente apelativas e sem nexo iniciativas como a Hacker Safe da McAfee.
Uma pena que muitos C-Levels achem interessante deixar sua marca/negócio exposto desta maneira. Colocar um selo dizendo que seu site é seguro porque está sendo monitorado por um grande player é um tremendo chamariz.
Dêem uma olhada neste vídeo.
Um assunto comum entre profissionais de segurança recentemente é a disponibilização ou não, de acesso a porta USB de computadores corporativos. Com acesso USB pode se conectar desde de dispositivos de mass storage (pendrive), até periféricos como impressoras.
O problema é que através deste recurso pode-se roubar informações, conectar dispositivos que possam comprometer a segurança do computador, até dar boot em sistemas operacionais.
Esta breve introdução é apenas para dizer que, se já era necessário atenção quando o acesso a porta era físico, imagine se o recurso for acessado via rede?
É exatamente o que o projeto USB/IP Project se propõe a implementar.
Comments(1)
Já não é novidade que eu me interesso por segurança em aplicações SCADA. Sempre que encontro uma notícia eu dou pesquisada para ver se encontro mais informações. O próximo passo é brincar com um simulador, afinal ainda não tive a oportunidade de mexer em um ambiente deste.
Se os riscos já são bem divulgados nos EUA a tendência é aumentar os riscos e a exposição. Encontrei alguns projetos relacionados a SCADA bem interessante.
1 - Um cliente web para SCADA;
4 - Link Encryption para SCADA.
O SCADA trabalha usando usando o protocolo DNP3. Protocolo que pode trabalhar via TCP/IP.
A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado.
A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.
O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.
A estrutura do documento é a seguinte:
1 - Introdução
2 - Information Security Testing Overview
3 - Review Techniques
4 - Target Identification and Analysis Techniques
5 - Target Vulnerability Validation Techniques
6 - Information Security Test Planning
7 - Security Testing Execution
8 - Post-Testing Activities
Há algum tempo as notícias relacionadas a Cyber-Crime estão em evidência nas discussões sobre segurança.
O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.
Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.
A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.
A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possuí um centro de segurança em SCADA no Sandia Labs.
O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.
Estou há algum tempo me organizando e desenvolvendo métodos para classificar e cuidar melhor das informações que eu trabalho e manuseio.
A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.
Dentro do volume criptografado eu criei as seguintes pastas:
- Projetos
- Desenvolvimento
- Comercial
- Diversos
Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:
- Projetos
- - Projeto x
- - Projeto y
Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:
- Desenvolvimento
- - Projeto x
- - Projeto y
Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.
Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.
Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!
Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.
A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).
Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.
Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.
A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.
Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.
Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.
Comments(1)
Web scraping é uma técnica que consiste em capturar dados, informações de forma automatizada em sites na internet. Alguém lembra do script criado por Kevin Poulsen para procurar profiles de pessoas que poderiam ser pedófilos? Esse é um bom exemplo de web scraping.
A técnica de web scraping é geralmente executada utilizando linguagens de script (python, bash, perl, etc...). Utilizando expressões regulares é possível capturar dados em sites web facilmente.
Mas o que tem haver web scraping com password cracking? Todo mundo sabe que além de uma boa ferramenta de ataque de dicionário é importantíssimo uma boa wordlist (lista de palavras). É ai que entra o web scraping, na criação desta wordlist.
Também não é novidade que geralmente os usuários comuns criam senhas associando coisas de seu cotidiano. Pensando nesta características, já pensou o estrago que podemos fazer se criarmos nossos dicionários com base nas informações que as pessoas disponibilizam em sites de redes sociais (orkut, myspace, 1grau, etc...)?
Se você reclama que as wordlists disponiveis na internet são na sua maioria em inglês e não existe wordlist em português, vou dar uma dica! A maioria esmagadora de usuários do orkut são Brasileiros.
Não conhece muitos sites de redes sociais? O wikipedia dá uma forcinha!
Quer procurar dados sobre uma pessoa especifica? A ferramenta evolution da Paterva dá uma forcinha!
Conhece o NGrep? NGrep é um sniffer que acumula a característica do Grep do Unix (utilizado para encontrar padrões de texto em fluxos de caracteres). Ele também pode ser uma mão na roda para criar sua wordlist.
Um termo bastante conhecido entre os profissionais de segurança é FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida). Este termo é usado pelos profissionais para influenciar decisões de compra ou implementações de serviços de segurança.
Usar FUD como justificativa para implementar segurança é pura incompetência e imaturidade do nosso segmento. Usar argumentos como: "Se você não implementar X, vai parar Y" só mostra nossa incapacidade de gerar valor ao negócio e mostrar métricas tangíveis.
Já que o mercado mostra uma dita WEB 2.0 como uma nova visão da antiga internet, porque nós não podemos criar o FUD 2.0 para nosso segmento.
O FUD 2.0 seria uma visão totalmente nova para conseguir o comprometimento do negócio com nossos objetivos e soluções. O acrônimo FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida) seria substiuído por: FUD (Feasibility, Usability, Dashboard - Praticabilidade, Usabilidade, Dashboard).
Qualquer iniciativa de segurança deve no mínimo ter o FUD 2.0, que seria as seguintes características:
Praticabilidade: conceitualmente o melhor dos mundos é uma gestão de alto nível com uma visão estratégica, tática e operacional, mas, antes de qualquer coisa, uma implementação deve ser prática e viável para a organização. Muitas vezes precisamos abrir mão do certo pelo justo. Isto é gestão de riscos. Quando colocamos todos os pontos necessários como mandatório estamos fazendo Compliance e não gestão de riscos.
Usabilidade: de nada adianta implementar vários controles se a organização não se adaptar e não se tornar parte da cultura da organização.
Dashboard: sim, segurança também deve mostrar seus indicadores, métricas comprovando a eficácia dos controles implementados. É necessário mostrar o valor que se criou ao negócio após a implementação de segurança.
Alguém deve estar se perguntando, qual é a grande novidade do FUD 2.0? Nenhuma! Existe alguma novidade na Web 2.0? Também não. Assim como a web 2.0 o FUD 2.0 é apenas uma visão mais adequada e buscando resultados melhores.
Um futuro estudante do California Institute of Technology chamado Virgil Griffith desenvolveu uma ferramenta que procura por alterações na Wikipedia.
A ferramenta chamada Wikipedia Scanner ficou muito comentada após a divulgação de que, foi encontrado alterações questionáveis por empresas como Wal-Mart, CIA e Diebold.
Para pesquisar as alterações você pode informar o nome e localização da organização ou escolher entre as opções já cadastradas no site.
As alterações são atribuídas por IP da organização, ou seja, se um funcionário de uma organização escrever qualquer bobagem o IP da organização é que vai estar na alteração. Além das reclamações sobre a qualidade/veracidade das informações incluídas na wikipedia, agora você corre o risco de ter o nome da sua empresa associado a informações de caráter duvidoso.
O Augusto Campos do efetividade.net escreveu um post sobre o método John Sawatsky de entrevistas.
O que tem haver segurança com entrevistas? Bom, não só na minha atuação como consultor de segurança com foco em BCP (Business Continuity Plan), mas em qualquer outra atuação em segurança, as entrevistas com usuários, gestores, desenvolvedores é atividade frequente. Portanto, recomendo a leitura.
Seguindo os tópicos citados no post dele, vou comentar alguns pontos que são interessantes em um entrevista voltada para análise de segurança:
Sempre que possível, prepare suas perguntas antecipadamente.
Isso é fundamental, qualquer boa metodologia/padrão deve possuir formulários de entrevistas que sejam claros e preparados antecipadamente.
Pergunte questões abertas, especialmente as que começam com “como”, “por que” ou “o que”, e encoraje o entrevistado a descrever, explicar ou exemplificar algo.
Muitas vezes o entrevistador leva o entrevistado a responder o que ele quer e perde a oportunidade de conhecer detalhes que só o entrevistado que conhece pode informar.Faça uma pergunta por vez, e não tente misturar mais de um tema na mesma pergunta.
Objetividade e clareza são fatores chaves para qualquer entrevista.Entrevistador não faz discurso e nem inclui o editorial nas suas perguntas.
Cada pergunta deve ser claramente explicada e se possível com exemplos práticos. Lembre-se o formulário é apoio e não um checklist.A estrela de uma entrevista bem-sucedida nunca pode ser o entrevistador.
Como diria os manos...Sem palavras...Deixe as perguntas fazerem o seu trabalho.
Se as perguntas forem claras o trabalho será muito mais eficaz.
Resista ao impulso de incluir opinião ou tentar antecipar na pergunta uma possível resposta do seu entrevistado.
Não leve o entrevistado a falar o que você quer, ele deve responder com as informações que ele possui.Grave e transcreva suas entrevistas, compare-as com as técnicas que você conhece, e tente melhorá-las.
Estude entrevistas publicadas na imprensa - as boas e as ruins.
Esses dois tópicos podem ser usados para aprendizagem e crescimento.
