Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

quinta-feira, 23 de agosto de 2012

AV Batalha Perdida ?



Quando você vai ao supermercado, você procura produtos novos e com datas de validade aceitáveis ou você compra (propositalmente) produtos vencidos ?
De quem é a responsabilidade de retirar produtos vencidos ( ou próximos da data de vencimento) das prateleiras ? O supermercado, ou os distribuidores dos produtos ?
Eu não sei a resposta, porem sei que alguém faz isso .

(Eu tento me controlar, mas as vezes é muito difícil.)
Entrem em seu site de comércio eletrônico favorito e façam uma busca por Antivírus.
O cenário é no mínimo triste.
Você tem produtos com datas de 2007 para frente. Parece a técnica de baixar o preço quando o produto esta perto do vencimento.
Porem existem Antivírus mais velhos custando mais caros que os Antivírus mais novos. ( será que os mais antigos eram melhores ?)

Qual a diferença de um antivírus e um antivírus PLUS da mesma marca ?
Qual a diferença entre 0, 45, 90, 180 e 360 ? (aula de trigonometria)
Qual a diferença da versão normal para a versão PRO, se a PRO custa mais barato ?

O usuário vai comprar o que for mais barato e pronto . Ele raramente vai abrir toda a especificação técnica e tentar entender o que significa TCP/IP.

Muita opção é igual a confusão.

Se o usuário já clica errado quando aparece a mensagens do tipo.
" Irá apagar tudo, confirma ", com 2 botões " Ok" e "Cancela" , mesmo " sem querer, o usuário " clica no "OK". Imagina na hora de escolher um produto desses !!!

Será que o objetivo é causar confusão ?  Ou algum marketing do tipo, se na busca aparecer 10 produtos meus, sou considerado melhor ?

Vamos mudar o cenário .
Você levou seu filho para tomar VACINA (antivírus). A pessoa te ofereceu a vacina de 2007, você daria essa vacina para seu filho, ou você escolheria a mais nova ???

Empresas de Antivírus, cadê vocês ?  Solicitem a retirada de produtos antigos das prateleiras .
É difícil explicar para um cliente que TALVEZ, comprando uma versão antiga, ele tenha direito ao download da versão nova.
Quem quer ver versão antiga vai ao museu !!!


Outra pergunta . Qual o problema com usuários de Linux ? "Linux não pega vírus ?" (essa frase é ótima)
Porque não consigo comprar licenças via Internet ?

A cereja do bolo.
Se o valor médio de um antivírus é de R$ 100,00, porque eu ia pagar R$ 9.999,00 ?
( existe uma boa noticia ). Mesmo sendo cartão de download, o frete é grátis !!!



Tudo bem, alguém errou, porem de quem é a responsabilidade de retirar ou de solicitar a retirada de produtos da prateleira de um e-commerce ?
Eu sei que é complicado administrar milhares de itens, porem do lado da empresa representante do produto, existe alguém que se importe ? Com o produto e com a imagem do produto. ( e com seus consumidores )
Por R$ 9.999,00 prefiro me infectar todo dia com um "vírus" novo e ir comprando um computador novo cada vez.

Descaso ? Não sei .
Será que as empresas de AV estão dando a devida atenção aos sites de comércio eletrônico e aos clientes residenciais, pessoas físicas ?

Se você trabalha em uma empresa de Antivírus e se importa com segurança, faça a sua parte. Facilite a vida dos seus clientes e futuros clientes.

terça-feira, 21 de agosto de 2012

Bloqueador de escrita USB


Adquiri um bloqueador de escrita USB

A pergunta é : Para que serve isso ?

Bloqueador de escrita é um dispositivo usado geralmente em analise forense que impede que o dispositivo analisado seja alterado, mantendo assim a integridade.

Assim voce conecta o dispositivo a ser analisado em uma das pontas do bloqueador e conecta a outra ponta  no computador.
Ponto. O bloqueador de escrita fica invisivel, fazendo seu trabalho ( bloquear a escrita no Pendrive por exemplo)

Voce pode acessar o dispositivo sem medo de criar, remover ou alterar os arquivos ou conteudos, principalmente de maneira acidental.

Vale saber e lembrar que o sistema operacional sempre tenta ajudar os usuários, assim, se voce fizer alguma alteração no dispositivo analisado, essa alteração vai aparecer na sua tela.  Os sistemas operacionais, visando agilidade, mantem um cache . É mais rapido mostrar um conteudo na tela que fazer uma escrita em disco.

Se voce criar ou remover algum arquivo dentro do pendrive, o sistema operacional, vai mostar corretamente a ação que voce tentou efetuar, porem ele não conseguirá alterar ou gravar essa informação no disco, ou seja, ele não vai EFETIVAR essa alteração.

Essa é a função do bloqueador de escrita.

Update: 22/08/2012
O equipamento chama Wiebetech USB Writeblocker.
Site oficial do fabricante  http://www.wiebetech.com/
Pagina do produto http://www.wiebetech.com/products/USB-WriteBlocker.php

O dispositivo é um pouco maior que um pendrive convencional, porem de um tamanho aceitável.

(clicando na foto a imagem aparece maior!!)
( coloquei um pendrive da Sandisk ao lado, somente para comparação de tamanho )

O mesmo possui uma capa de borracha protegendo os conectores USB, um LED de status, acendendo verde quando o bloqueador esta conectado e um botão escrito " remount ".

No Windows, quando apertado esse botão o explorer (programa do windows que mostra os arquivos) é fechado. O dispositivo é aparentemente removido e recolocado

Executei um simples teste pelo Linux, usando a mesma porta USB, e o mesmo pendrive.

SEM o Bloqueador
COM o Bloqueador

dd if=/dev/sdb of=teste1.dd

7856127+0 records in
7856127+0 records out
4022337024 bytes (4.0 GB) copied, 194.781 s, 20.7 MB/s

dd if=/dev/sdb of=teste2.dd

7856127+0 records in
7856127+0 records out
4022337024 bytes (4.0 GB) copied, 588.44 s, 6.8 MB/s

O tempo aumentou 3 vezes.
Meus testes ainda são superficiais.
Irei refaze-los: mesma maquina, outra maquinas, pendrives maiores, etc .

Update: 22/08/2012

Teste em outro equipamento, porem com uma alteração na linha do DD. Ao inves de gravar um arquivo ( of=teste1.dd ), irei fazer somente o teste de leitura, despresando assim tudo que foi lido ( of=/dev/null )

SEM o Bloqueador
COM o Bloqueador

dd if=/dev/sdb of=/dev/null

7856127+0 records in
7856127+0 records out
4022337024 bytes (4.0 GB) copied, 170.324 s, 23.6 MB/s

dd if=/dev/sdb of=/dev/null

7856127+0 records in
7856127+0 records out
4022337024 bytes (4.0 GB) copied, 475.9 s, 8.5 MB/s

Nesse teste o tempo aumentou 2,79 vezes ( aproximadamente). Muito perto do outro, principalmente levando-se em conta que nesse caso não houve escrita em disco.

Se alguem tiver ideias de testes, mande suas propostas, todas serão lidas e analisadas.

Porem vale sempre lembrar que segurança é moeda de troca.
Voce sempre tem que dar alguma coisa em troca de segurança.

Se voce se importa com segurança, fique atento. Em breve mais novidades.

Abraços

Ps:Professor Jamil : existe mais por vir.