Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

terça-feira, 22 de dezembro de 2009

Symantec got Hacked ?

Dia 18 de dezembro foi notificado que um dos sites da Symantec, conhecida empresa de antivirus e segurança, havia sido "hackeado" - (não gosto desse termo, mas ...)
A Symantec diz que foi somente uma mensagem de erro, não relacionado com problema de segurança, mas, continuando ...
Esse mes outras empresas de segurança / AV como a F-secure e Bitdefender, tambem tiveram problemas recentes da mesma natureza.

Aqui o papo vai um pouco alem.

Quantas pessoas iriam instalar o novo TROJAN, se vindo da pagina de um Anti-virus famoso ?? Mais de 90% seria o meu chute...
Se as pessoas instalam trojans vindos da pagina das operadoras de celular, imaginem da pagina da empresa de AV, onde as pessoas confiam a segurança de suas maquinas.

Falamos de reputação, confiança, credibilidade.

É assim na vida, se voce não confia, voce troca.
No mercado, se voce não confia, voce abaixa a cabeça, e mesmo não gostando, não concordando, voce na grande maioria das vezes deixa como está.

Para as empresas de Antivirus. Tem alguem ai lendo / analisando logs ?
Eu vendo esse serviço.

Esquece.. a final .. quem se importa ?

Abraços

sexta-feira, 11 de dezembro de 2009

PANDA Security

A pergunta é sempre a Mesma.
Quem se importa com Segurança ?

Hoje, 11/12/2009 - 10:50am alguns sites da Panda no Brasil (uma empresa que vende anti-virus)-"download.pandasecurity.com.br","press.pandasecurity.com.br"-"intranet.pandasecurity.com.br"- , mostram a pagina abaixo.


Não restam duvidas, foi invadido.
Talvez eles não tenham problema com virus (malware), mas deixam claro que tem outros tipos de problema..

Acredito em todas as historias, sobre volume de trabalho, dos logs, etc,etc,etc, porem em quem confiar ?
Outro ponto, se acontece com eles, pode acontecer com qualquer outro, inclusive VOCE.
Nao fique pensando que é imune.

Porque quem deveria se preocupar ou dar o exemplo não o faz ?


"Do as I say, not as I do".

quinta-feira, 3 de dezembro de 2009

Vale a pena fazer o certo ?

As vezes (na maioria das vezes), fazer o certo :
é mais difícil,
custa mais caro,
consome mais recursos,
da mais trabalho, etc
porem o que é certo é certo.

Muitas vezes, se escolhe fazer o meio certo, ou o errado, mas tudo na vida tem um preço.

Fazer segurança é sempre uma troca, por exemplo: para ter um anti-virus funcionando, voce deve "fornecer" recursos, como processamento de maquina e memória, mesmo que esses recursos sejam minimos.
Ai começa a reclamação, o usuário dizendo que a maquina esta lenta por causa do anti-virus. Este (usuário) se tiver a oportunidade, vai desabilitar o anti-virus. Alguém levou em conta que a maquina que o usuário esta trabalhando é precária, antiga, com poucos recursos ? (memória, processamento, armazenamento=disco)
Assim não adianta querer justificar um problema ( maquina ruim), com outro problema (maquina sem anti-virus).
Voce esta gerando um problema de segurança.
Caso um desastre ocorra, o prejuízo será bem maior que a atualização do parque de maquinas.

A "era do fazer mais como menos" deve acabar. Não existe milagre. Sem recursos (quais quer), sem segurança, assim "fazer menos com menos".
Ser profissional é ajudar a empresa, fazendo mais com menos, mas também fazendo menos com menos, mostrando para os superiores (gerentes,etc ) que o milagre não existe e a contenção de hoje será o prejuízo acumulado de amanhã.

Infelizmente vivemos em um mercado carente de bons profissionais. Profissionais que sabem onde esta o risco e sabem como justificar e mostrar o risco para a empresa. Infelizmente muitos desses profissionais acreditam que ser profissional é bajular o chefe, concordando com tudo que o mesmo diz.

Ai começam a fazer "meio certo" e a fazer errado.
Você até pode fazer "meio certo" desde que exista um projeto de implementação do certo.
Eu prefiro não fazer a fazer o "meio certo" sabendo que nunca acontecerá o certo.
O responsável será você. Você será responsável por ter tentado ajudar, por ter boas intenções, por ter feito "mais com menos".
Fazer mais com menos é fazer gambiarra, é assumir o risco.
E o mais legal no mundo corporativo, quem te pediu para fazer mais com menos, vai sempre negar isso.
Assim é a vida. Temos que aprender a dizer NÃO.

Se houver condições faça o certo, se não, não faça.

Dizer não também é ser profissional.

Agora se o seu chefe te OBRIGAR a fazer mais com menos, formalize TUDO e faça o possível, faça qualquer coisa, "fazer mais com menos" é não se preocupar com segurança. Mas ... afinal, quem se importa com segurança ?

quarta-feira, 25 de novembro de 2009

Shaolin

No dia 11/11/2009 o site shaolin.org.cn foi invadido.
Foi postado um texto falso e difamatório sobre um dos diretores da organização.

Detalhes a parte, sou praticante e fã de artes marciais e os filmes sobre os monges e do Templo Shaolin fizeram parte de minha infância.

Os monges guerreiros e o Templo Shaolin são referencia em artes marciais em todo o mundo, suas historias e lendas se perpetuam pelo tempo.
Uma das historias conta que os monges aprenderam o Kung-fu, pois seus corpos estavam ficando debilitados devido as rotinas de estudo e meditação.
Com o Kung-fu balanceram essa "diferença".
Todas as historias e lendas que eu ouvi são relacionadas ao uso do Kung-fu.

Desde o começo da segurança da informação na internet, termos e estilos do Kung-Fu são utilizados.
No também lendário confronto entre Tsutomu e Mitnick, descritos em varios livros, existem a Kung-fu para dizer que uma pessoa possuia uma tecnica melhor ou mais apurada. Muitos outros exemplos existem.

Mais uma vez o mundo mudou, talvez matérias técnicas devam ser incluidas no curriculun de Shaolin.
Ou talvez a criação de nova escola Shaolin focada em tecnologia (com artes marciais, claro ). Se existe não sei, mas aparentemente eles não estão treinando bem.
Com a peseverança e os metodos de Shaolin, poderiam ser utilizados e eles poderiam se tornar os melhores na arte da segurança de computadores.

Resumo, se preocupar com somente uma da segurança parte ou outra não funciona. Devemos nos preocupar com tudo e nos ATUALIZAR.

Me proponho a ensinar algumas matérias nessa nova escola, claro, em troca de outras.
Como esta o seu Cyber-Fu ?

sexta-feira, 13 de novembro de 2009

ALPINE

Voce sabe o que é alpine ?
Alpine é a senha de SSH do IPHONE desbloqueado (jailbreak).
SSH é a sigla de "Secure Shell" serviço que possibilita conexação segura ao dispositivo para manipulação e acesso a arquivos e execução de comandos dentro do aparelho.
Mas de que adianta poder fazer uma conexão segura, se ninguem troca a senha.
Quando alguem desbloqueia um IPHONE existe a recomendação de "TROQUE SUA SENHA O MAIS BREVE POSSIVEL", porem são poucos os que seguem o conselho.
A maxima continua viva ... " em time que esta ganhando não se mexe".
Para quem não sabe já existem dois WORMs (codigo malicioso que se espalha sozinho, um irmão do virus) para o IPHONE e os dois usam a mesma vulnerabilidade ... a senha padrão ...
Se voce acha que isso não acontece ou que não vai acontecer com voce, pode acreditar voce será a proxima vitima.

A tecnologia é boa, o impeditivo esta sempre nas pessoas ...
Talvez um dia, quando trocar a senha for tão importante e natural quanto trancar uma porta .
Afinal ... trocar a senha para que ? Meu IPHONE esta funcionando mesmo ....


Abraços
ps: eu não tenho IPHONE.

Apagão e o PHPINFO


Algumas horas após o Apagão do dia 10 de novembro, o site www.furnas.gov.br exibia a pagina do PHPINFO.
Para quem não sabe o PHPinfo é um comando do PHP (linguagem de programação WEB) que mostra detalhes e configurações do servidor onde esta instalado. Usado para debug de programadores e administradores, NÃO deve ficar exposto para o Mundo.
Obra de hackers ou não o phpinfo expõe muita informação "desnecessária" para o publico em geral. Na manhã do dia 11 de novembro a pagina continuava sendo a mesma.
Manutenção de servidores no dia do Apagão ?
Já tentou procurar (da maneira correta) PHPINFO no Google ? Se voce se importa com segurança vai ficar triste ao ver quantos sites tem sua pagina incial expondo configurações e detalhes doservidor onde as mesmas estão hospedadas. Muitas estão "fora do ar", porem o cache do Google se encarrega de continuar mostrando tudo.

Uma pena ...

Abraços

domingo, 8 de novembro de 2009

No aeroporto

Estava hoje no aeroporto, quando a pessoa atraz de mim, faz uma ligação ao celular, a conversa foi mais ou menos a seguinte.
- Alo, tudo bem? Faz um favor para mim, acessa a internet ai ..
- Sabe onde esta escrito uol, escreve .. webmail.xxxxxxxx.gov.br, sim, GOV.BR, eu já acessei desse computador ... deveria aparecer facil ...
- Agora deve aparecer uma mensagem ai, que não é confiavel, pode dizer que confia .
- Agora anota o usuário ....
- Deu erro ? Não encontrou ? estranho !!!!
- Tudo bem eu ligo depois, tchau.

Ufa.. para mim já era suficiente.
Podia se tratar de um Phishing onde a vitima seria eu, porem acho que era tudo verdade.
Webmail aberto na internet, .GOV, certificado com problema, somente faltou mesmo o usuário e senha ( para falar a verdade faltou a senha ).

De qualquer maneira, quem se importa com segurança ??
Comentarios e sugestões são bem vindos.

Primeiro POST

Depois de varios anos na área de segurança da Informação, percebi, uma realidade dura.
Ninguem se importa com segurança da informação.
Pessoas insistem em dizer que nunca serão alvo de "hackers" (sei que a palavra esta mal usada aqui), usam anti-virus sem atualizações, não usam firewall, compram softwares em "camelôs" etc ... Isso sem dizer quando esse mesmo senário acontece com empresas. Empresas que veem segurança como um mal necessário e gastando o minimo (quando gastam) com segurança da informação. Dinheiro para upgrades no carro blindado não falta, porem vá falar de firewall.
Em um mercado os empresário, diretores, gestores e funcionários acham que é tudo lenda, como em um filme de ficção, não podemos esperar nada de bom (ou de melhor).
Nesse senário surgem pessoas que continuam a mostrar para as outras que o mundo não é tão confiavel assim e que mudanças são necessárias.
A tecnilogia existe, dificil é mudar as pessoas.

Irei contar situações do dia-a-dia, situações reais.
Se voce ficou interessado, se essas situações acontecem em sua empresa e voce quer mudar, acho que voce se importa.
Se voce se importa, e quer ajuda, eu posso te ajudar.