Novas funções de síntese criptográfica (hash)

Parece uma notícia muito técnica mas é muiiito importante para a segurança dos sistemas reais:

"The National Institute of Science and Technology (NIST) recently announced a competition to create a new hash algorithm. Hashes are algorithms that convert blocks of data into a short fingerprint to use in message authentication, digital signatures, and other security applications.

The competition comes as advances in algorithm analysis make the current SHA-1 and SHA-2 family standards more vulnerable. NIST plans to have the new hash algorithm, which will be known as Secure Hash Algorithm-3 (SHA-3) augment the standards presently specified in the Federal Information Processing Standard (FIPS) 180-2, Secure Hash Standard. Federal civilian computers are required to use these standards, and many in the private sector adopt them as well.

In particular, the SHA-1 family has been seriously attacked in recent years. ...

NIST's goal is to provide greater security and efficiency for applications using cryptographic hash algorithms. ...

A draft set of requirements for acceptability, submission and evaluation criteria were published in January of 2007 and after a three month open comment period, were revised. The actual requirements for the competition (PDF) were published to the federal register on November 2, 2007.
...

FIPS 180-2 specifies five cryptographic hash algorithms: SHA-1, SHA-224, SHA-256, SHA-384 and SHA-512. Superseding FIPS 180-1 in August of 2002, FIPS 180-2 is already five years old, and with advances in cryptography and computing power, it's hard to be surprised that those algorithms have come under heavy attack."

Notícia completa: DailyTech

Segurança por Omissão em Sistemas de Gestão de Bases de Dados

E mais uma vez a propósito do SINO, ainda outro artigo em que estive envolvido (com Carlos Lourenço) apresentou um estudo experimental da segurança por omissão (ou "out-of-the-box") em sistemas de gestão de bases de dados (SGBDs). O estudo incidiu sobre os seguintes SGBDs: IBM DB2 (versões 8.2 e 9.1), Microsoft SQL Server (2000 e 2005), MySQL (4.1 e 5.0), Oracle (9i e 10g), PostgreSQL (7.4.14 e 8.2), Sybase (12.5 e 15).

Os resultados foram surpreendentes: comunicação em claro (em todos), vários SGBDs com contas de administrador sem password ou com password bem conhecida, informação sobre o sistema disponível em quantidades industriais...

E se ainda fosse preciso mais alguma motivação para esse estudo, veja-se este recente artigo:
"A survey by renowned database hacker David Litchfield has found a whopping 492,000 Microsoft SQL and Oracle database servers directly accessible to the Internet without firewall protection."
http://blogs.zdnet.com/security/?p=663&tag=nl.e589

Artigo completo: http://www.di.fc.ul.pt/~mpc/pubs/Lourenco-ConfiguracaoOmissaoSGBD-sino07.pdf

Ataques contra redes Ethernet

E ainda a propósito do SINO, outro artigo em que estive envolvido (com Pan Jieke e João Redol, da Nokia-Siemens) estudou o problema dos ataques contra o protocolo Spanning Tree, da Ethernet. Resumo:
Hoje em dia os elementos de rede (NEs) da camada 2 do modelo OSI, bridges ou switches, são componentes complexos, com centenas de milhares de linhas de software, que podem ser vulneráveis a ataques, permitindo até a execução remota de código no seu CPU interno. Este trabalho apresenta um esquema para proteger infra-estruturas de rede Carrier Ethernet de ataques lançados por NEs maliciosos contra o Spanning Tree Protocol. O artigo propõe um esquema de detecção de intrusões baseada em especificação, estendido com anotações de padrões temporais, de modo a detectar desvios do protocolo por parte dos NEs. A informação sobre ataques é cooperativamente trocada entre os NEs para decidirem se um NE é malicioso e se deve ser desligado da infraestrutura.

Artigo completo: http://www.di.fc.ul.pt/~mpc/pubs/jieke-sino07.pdf

Vulnerabilidades na Adaptação de Software de 32 para 64 bits

Ainda a propósito do SINO, um dos artigos em que estive envolvido (com Ibéria Medeiros) estuda o problema das vulnerabilidades que surgem quando código escrito para processadores de 32 bits é mal "portado" para processadores de 64. Mais precisamente os problemas surgem quando código escrito em linguagem C para o modelo de dados ILP32 é mal portado para o modelo de dados LP64, usado pelos derivados do SO Unix em processadores de 64 bits (o modelo da Microsoft, LLP64, não gera este tipo de problemas). Além de estudar o problema, o artigo apresenta a ferramenta de análise estática de código DEEEP, que descobre esse tipo de vulnerabilidades. A ferramenta descobriu uma vulnerabilidade desse tipo no Sendmail.

Resumo do artigo:
Fabricantes como a Intel e a AMD começaram a comercializar processadores com arquitecturas de 64 bits mas muito do software executado nesses processadores foi desenvolvido inicialmente para arquitecturas de 32 bits. As aplicações concebidas na linguagem de programação C para a arquitectura de 32 bits ao serem portadas para 64 bits podem ficar com vulnerabilidades relacionadas com a manipulação de inteiros. Este artigo estuda as vulnerabilidades que podem surgir quando se adapta (“porta”) sem os necessários cuidados software de 32 para 64 bits, considerando o modelo de dados LP64, muito utilizado em software de código aberto. O artigo propõe também a ferramenta DEEEP que faz a detecção dessas vulnerabilidades através de análise estática de código fonte. A ferramenta é baseada em duas ferramentas de análise estática de código abertas, que são usadas para encontrar bugs na manipulação de inteiros através de verificação de tipos, e para fazer análise de fluxo de dados para verificar se funções perigosas (p.ex., memcpy, strcpy) estão acessíveis de fora do programa. Após estas duas formas de análise, a ferramenta DEEEP permite correlacionar essas duas informações identificando se os bugs encontrados são realmente vulnerabilidades, ou seja, se são atacáveis. O artigo apresenta resultados da utilização da ferramenta com código vulnerável sintético, criado especificamente para avaliar a ferramenta, e com o Sendmail.

Artigo completo: http://www.di.fc.ul.pt/~mpc/pubs/medeiros-sino07_v2.pdf

3ª Conferência Nacional sobre Segurança Informática nas Organizações

Decorreu há dias em Lisboa mais um Conferência SINO, desta feita a terceira edição. As palestras convidadas foram todas muito boas, e algumas delas excelentes. Os artigos apresentados foram todos muito interessantes. Mais informação em:

http://sino2007.di.fct.unl.pt/

Ciberataque faz explodir gerador

Os cépticos continuam a duvidar que um ciberataque possa causar danos a infraestruturas críticas como a rede eléctrica, de água telecomunicações ou gás. Para retirar dúvidas, o Department of Homeland Security americano divulgou um video de um ciberataque a fazer explodir um gerador de electricidade. Na página da CNN:

- videos do gerador a explodir e da reportagem

- texto da reportagem

art.dhs1.jpg

Um excerto do texto:

"Researchers who launched an experimental cyber attack caused a generator to self-destruct, alarming the federal government and electrical industry about what might happen if such an attack were carried out on a larger scale, CNN has learned.

Sources familiar with the experiment said the same attack scenario could be used against huge generators that produce the country's electric power.

Some experts fear bigger, coordinated attacks could cause widespread damage to electric infrastructure that could take months to fix."

Hackers na China

Um interessante documentário de 46 minutos sobre hackers chineses:


O futuro do malware

Um documento interessante:

Malware – future trends
Dancho Danchev

A introdução:

"Malware has truly evolved during the last couple of years. Its potential for financial and network based abuse was quickly realized, and thus, tactics changed, consolidation between different parties occurred, and the malware scene became overly monetized, with its services available on demand.
What are the driving forces behind the rise of malware? Who’s behind it, and what tactics do they use? How are vendors responding, and what should organizations, researchers, and end users keep in mind for the upcoming future? These and many other questions will be discussed in this article, combining security experience, business logic, a little bit of psychology, market trends, and personal chats with knowledgeable folks from the industry."

Crime informático a pedido

"Next to the proprietary malware tools, malware as a web service, Shark2's built-in VirusTotal submission, the numerous malware crypting on demand services, the complete outsourcing of spam in the form of a "managed spamming appliance", and the built-in firewall and anti virus killing capabilities in commodity DIY malware droppers, all indicate that the dynamics of the malware industry are once again shifting towards a service based economy with a recently offered multiple firewall bypassing verification on demand service."

Artigo completo em: Dancho Danchev - Mind Streams of Information Security Knowledge

Dark Reading...


Um site interessante sobre segurança: notícias, blogs, colunas,...

http://www.darkreading.com/

Como estudar Malware

Um pequeno artigo com 3 links para ferramentas que ajudam a automatizar o estudo de malware como virus ou worms. É interessante notar como o trabalho de análise já não tem de ser todo feito à mão...

Playing With Malware
John H. Sawyer, Evil Bits

Malware, whether it's a bot, Trojan or Web-based JavaScript, is one of my favorite topics. It's sort of a hobby for me -- whenever I come across a new sample, I download it to my collection and do some basic analysis to get an understanding of what's going on. Using a tool like Strings or BinText, I look for ASCII and Unicode text that give me a quick feel for what the sample does. Are there URLs, IP addresses, file names, or registry entries that are recognizable? (Unfortunately, string analysis is futile for most malware that uses packers and crypters to compress and encrypt the code.)

Next, I send my sample to Virus Total to see if any of the current antivirus solutions will detect it. Virus Total scans the sample with over 30 different antivirus engines. Given that I'm part of a university, with students browsing sites of varying legitimacy, you can imagine that I get plenty of samples that aren't detected. The main benefit of using Virus Total is that I don't need to have all of these AV products in my own lab -- and Virus Total submits the samples to antivirus companies so they can build appropriate signatures.

If the malware sample is not an isolated case and affects several hosts, I take a greater interest in finding out more about it. I'll submit it to a few other online resources for behavioral analysis. CWSandbox and Anubis do a great job of providing enough information that I can then pass on to system administrators so that they can be on the lookout for certain behaviors on their hosts that would indicate an infection. Both online tools provide analysis of registry, file, process, Windows service, and network analysis to determine exactly what the malware is doing on a Windows system.

For obvious reasons, all of the online behavioral analysis tools are for Windows malware. (Virus Total is a bit different: It's not behavioral-based and it scans all files, no matter what system they came from.) Maybe as Mac OS X and Linux gain a better foothold in the desktop market, more analysis tools for those types of malware will surface.

...

Fonte e artigo completo: Evil Bits

Teste de código e análise estática

Dois videos relacionados com teste de código e análise estática de código com algumas ideias interessantes. Ambos têm alguma tendência para serem divulgação da Fortify Software, que de facto é uma das principais empresas na área, mas são interessantes.



Contaminação por "disquetes" está de volta

Há uns 20 anos os virus chegavam pelas disquetes. Passavam-se ficheiros de computador em computador usando esse meio com uma pequena fração da capacidade dos CDs/DVDs/pens actuais e lá iam passando os virus. Depois a Internet começou a reinar e os virus, vermes, cavalos de Tróia e restante bicharada começaram a chegar vindos daí. Downloads, acesso a páginas de web e mails passaram a ser os novos perigos. Pois, parece que as disquetes estão de volta. Há uns tempos passei um documento a um colega usando uma pen USB. Avisou-se de que o antivirus se tinha queixado de que a pen estava infetada. Desinfetei o computador (portátil) e a pen. Pus a pen no outro computador (desktop) e voltou a ficar infetada, pois este também o estava. Desinfetei. Liguei o disco externo a um dos PCs, mais infecções. Assim fui andando. Feitas as contas tive de desinfetar dois computadores (várias vezes), uma pen usb (idem), um disco externo, e um leitor de mp3. Felizmente não tenho usado muito a máquina fotográfica nos últimos tempos...

1º Fórum de Software Livre de Lisboa, na FCUL

1º Fórum de Software Livre de Lisboa, na FCUL
http://www.softwarelivre.com.pt/

O Software Livre (GNU/Linux, FreeBSD, OpenBSD, NetBSD e outros) tem-se mostrado cada vez mais como uma boa alternativa, não só para o desenvolvimento científico como também para empresas, empresários, estudantes, inclusão digital e para pessoas comuns.

A partilha do código só eleva o fascínio por si e pela melhoria contínua, fazendo assim com que programadores do mundo inteiro possam contribuir e compartilhar, beneficiando todos dessas melhorias.

O Software Livre já-se tem demonstrado como uma óptima opção para modelos de negócios, sendo utilizado em diversos casos de sucesso na Europa e no mundo não sendo, assim, apenas uma ferramenta académica, mas também uma forte alternativa tecnológica para pequenas, medias e grandes empresas. Enfim, venham compartilhar experiências neste I Fórum, ensinar, aprender, ouvir, falar, opinar... A sua presença é fundamental!

Vulnerabilidades em aplicações Web

Uma das revoluções da Web e do software da última década (?) em geral, é a sua extensibilidade. Sob o ponto de vista da segurança, pelo contrário, é sabido que esse é um dos grandes problemas que é preciso enfrentar. Um artigo interessante que fala desse problema usando como exemplo uma aplicação Web:

How Bugs Can Give Attackers Access to Protected Portions of a Web App

Cyrus Peikari and Seth Fogie
Jul 27, 2007.

There are thousands of web applications available for anything from simple file uploads to complex forums. All of these programs are created to be easy to install and even easier for a client to use, which is why they are very popular with the average non-technical customer. While the benefits of these programs are typically obvious and worth the cost, there are often some serious risks associated with using these web applications because they are built by people who are not security experts. In this section we are going to look at one such program that came across my radar and the simple fact that by installing this program you could be exposing every other user of the hosting server to major security problems.

Fonte: informit.com

Pirataria...

Encerrados três sites portugueses de partilha de ficheiros
25.07.2007 - 18h56 Lusa, PUBLICO.PT

Três sites portugueses que serviam de plataformas para pirataria informática e troca ilegal de ficheiros foram encerrados pelas autoridades nacionais numa operação que afectou 200 mil utilizadores, anunciou hoje a Polícia Judiciária (PJ).

Os sites www.zetuga.com, www.zemula.org e www.btuga.pt foram encerrados no decurso de uma operação conjunta da PJ e da Autoridade de Segurança Alimentar e Económica (ASAE), realizada ontem, que visava evitar "a reprodução de conteúdos protegidos por direitos de autor através da Internet, dando cumprimento a seis mandados de busca, em Ovar, Leiria e Lisboa".

...

"Os gestores dos sites em questão, entres eles um elemento da PSP, foram constituídos arguidos e sujeitos a termo de identidade e residência", refere a PJ em comunicado.

Entre o material apreendido, as autoridades destacam "dois servidores instalados em empresas, computadores de última geração, suportes multimédia (nomeadamente 370 DVD com filmes, 385 CD de música, 142 CD com jogos para PC, 29 DVD com jogos XBOX, quatro discos externos com a capacidade de 980 gigabites) e documentação diversa".

...

Notícia completa no Público

Projecto Internet Segura






do sítio do projecto:

"A Comissão Europeia lançou em 1999 o programa Safer Internet, a que se seguiu em 2005 o programa Safer Internet Plus, com o objectivo de dinamizar projectos dos Estados Membros de promoção da utilização segura da Internet.

No âmbito do programa Safer Internet, a Direcção Geral de Inovação e Desenvolvimento Curricular, através da Equipa de Missão Computadores, Redes e Internet (DGIDC-CRIE) do Ministério da Educação, desenvolveu, em 2004, o projecto Seguranet, para a promoção de uma utilização esclarecida, crítica e segura da Internet junto dos estudantes do ensino básico e secundário.

Uma das orientações estratégicas do programa de acção LigarPortugal, adoptado pelo Governo em Julho de 2005, é “Assegurar a Segurança e a Privacidade no Uso da Internet“, mais especificamente “garantir que todos, e em particular as famílias, dispõem de instrumentos para protecção de riscos que possam ocorrer no uso da Internet e têm informação sobre como os utilizar”.

O projecto Internet Segura contribui para a concretização desta orientação estratégica. Este projecto é da responsabilidade de um consórcio coordenado pela UMIC – Agência para a Sociedade do Conhecimento e que também envolve a DGCI-CRIE, a Fundação para a Computação Científica Nacional – FCCN e a Microsoft Portugal. Após avaliação e aprovação da candidatura do projecto apresentada ao programa europeu Safer Internet Plus, o respectivo contrato entre o consórcio e a Comissão Europeia foi assinado em Junho de 2007." "

Sítio: http://www.internetsegura.pt/

iPhone vulnerável

há gente que nunca aprende...

http://www.securityevaluators.com/iphone/


TheNIS - Thematic Network in Information Security

Rede portuguesa de segurança:

The Thematic Network in Information Security consists of R&D centres, companies and public institutions that share a special interest in all aspects of information security. Its main objectives are
  1. to promote the knowledge transfer between partners,
  2. to develop effective collaborations between members, and
  3. build a national community that shares a common understanding of the strategic importance of security technologies for competitiveness at the international level.
Site: http://sqig.math.ist.utl.pt/TheNIS/

SINO 2007

3ª Conferência Nacional sobre Segurança Informática nas Organizações (SINO'2007)
7 e 8 de Novembro de 2007

A chamada para trabalhos está aberta até 21 de Setembro. Breve apresentação:

"A Segurança Informática está na ordem do dia, no que diz respeito à segurança das organizações e indivíduos.

A 3ª edição da Conferência Nacional sobre Segurança Informática nas Organizações (SINO'2007) constitui uma excelente oportunidade de reflexão e discussão das diversas questões inerentes à segurança informática, quer na visão da investigação científica, quer como fórum de discussão envolvendo as empresas e instituições, para troca de experiências sobre projectos de I&D e sobre a real adopção de tecnologias e práticas de segurança para sistemas computacionais.

O evento juntará assim, num fórum aberto de discussão e debate, diferentes especialistas, investigadores, consultores, administradores de sistemas, responsáveis pela segurança e outros representantes das empresas e das diversas instituições."

Guia de referência de segurança

A propósito da mensagem anterior, vale a pena mencionar que o informit.com tem vindo a desenvolver um guia de referência de segurança que tem material muito interessante. É um documento de trabalho, que tem vindo a crescer com o tempo, mas que vale a pena ter presente:

informit.com Security Reference Guide

Perigos dos sticks/pens USB

Dão muito jeito? Sim, mas também colocam grandes problemas de segurança...

"USB sticks are so handy. You just pop it into your USB drive, and voilà! Your files are ready to go with you. However, a USB stick can be used for more than just a file storage – programs can be run from it, which makes it über appealing to hackers. This week in the Security Reference Guide, Seth Fogie and Cyrus Peikari illustrate how to turn a USB stick into a password stealing and trojan installing device. They also discuss how to prevent USB attacks. After reading this, you'll never trust a USB stick again (but I bet you'll still use them)."

Fonte: informit.com

Evolução da auto-defesa do malware

The Evolution of Self-Defense Technologies in Malware
by Alisa Shevchenko - Virus analyst at Kaspersky Lab - Monday, 2 July 2007.

"This article explores how malware has developed self-defense techniques and how these techniques have evolved as it has become more difficult for viruses to survive. It also provides an overview of the current situation."

Fonte: Help Net Security

Descoberta a password de root do iPhone

... provando mais uma vez que os pequenos dispositivos --telemóveis, pdas,... -- são novos e fáceis alvos de ataques...

iPhone root password cracked in three days

By Nick Gibson | 2007/07/03 16:56:16

It's been out just three days, but already the Apple iPhone has been taken apart both literallyfiguratively. The latest: inquisitive Apple fans have hacked into the firmware and discovered the master root password to the smart phone.

The information came from an an official Apple iPhone restore image (rename as a zip file and extract). The archive contains two .dmg disk images: a password encrypted system image and an unencrypted user image. By delving into the unencrypted image inquisitive hackers were able to discover that all iPhones ship with predefined passwords to the accounts 'mobile' and 'root', the last of which being the name of the privileged administration account on UNIX based systems.

Hackers used the simple UNIX program 'strings' to extract a list of human readable character strings from the disk image, which contained a list of user accounts and their corresponding encrypted passwords (equivalent to the /etc/passwd file on UNIX and Linux systems). A call was then made out on the Full Disclosure mailing list for someone to run the popular password cracking tool John the Ripper on the encrypted passwords.

It took one replier just sixteen seconds to extract the passwords for both accounts -- both passwords were simple six letter words of lower case letters.

Having the passwords will not do anybody any good for the moment. The iPhone has no console or terminal access, so there is no way to log in as either account. In fact, nobody even seems certain that the accounts access the machine at all, some Internet commentators suggesting that the password file was left over from early development work, or was intentionally included to throw hackers off the scent.

The Worst Jobs in Science 2007

Os piores trabalhos em Ciência de 2007 segundo a revista Popular Science: "Our annual bottom-10 list, in which we salute the men and women who do what no salary can adequately reward".

E em 6º lugar temos:

Microsoft Security Grunt
Like wearing a big sign that reads “Hack Me”

Do you flinch when your inbox dings? The people manning secure@microsoft .com receive approximately 100,000 dings a year, each one a message that something in the Microsoft empire may have gone terribly wrong. Teams of Microsoft Security Response Center employees toil 365 days a year to fix the kinks in Windows, Internet Explorer, Office and all the behemoth’s other products. It’s tedious work. Each product can have multiple versions in multiple languages, and each needs its own repairs (by one estimate, Explorer alone has 300 different configurations). Plus, to most hackers, crippling Microsoft is the geek equivalent of taking down the Death Star, so the assault is relentless. According to the SANS Institute, a security research group, Microsoft products are among the top five targets of online attack. Meanwhile, faith in Microsoft security is ever-shakier—according to one estimate, 30 percent of corporate chief information officers have moved away from some Windows platforms in recent years. “Microsoft is between a rock and a hard place,” says Marcus Sachs, the director of the SANS Internet Storm Center. “They have to patch so much software on a case-by-case basis. And all in a world that just doesn’t have time to wait.”

Mais uma batalha na Internet

Literalmente. Spammer lançam ataque de negação de serviço distribuído (DDoS) contra serviços anti-spam, usando uma variante do troiano Storm Worm:

Botnet assault: Spammers launch DDoS offensive

Ryan Naraine, Zero Day

Java seguro vs C/C++ inseguros?

Como toda a gente sabe o Java foi projectado tendo em vista ser a linguagem da web, applets etc., logo com grandes preocupações de segurança (sandbox, políticas de segurança, etc.). O C e o C++ pelo contrário são linguagens mais antigas, muito anteriores aos problemas de segurança actuais, logo não fazem coisas tão básicas como verificar se não se está a escrever fora dos limites de uma zona de memória. Mudar de C/C++ para Java resolve tudo? Nem por isso. Há cada vez mais preocupações com a segurança dos programas escritos em Java:

Java Security Traps Getting Worse
Lisa Vaas

Contagem do número de vulnerabilidades

Se alguma prova de que é preciso encarar esse tipo de números com cuidado, uma recente notícia só vem confirmá-lo: a Microsoft em alguns patchs tem corrigido mais vulnerabilidades do que as que anuncia. Dois artigos interessantes:

Skeletons in Microsoft’s Patch Day closet

Flaw counting comparisons useful but fall short of true picture

Ryan Naraine, Zero Day

Don't Look a Leopard in the Eye, and Other Security Advice

Um artigo de Bruce Schneier na Wired. Alguns excertos:

If you encounter an aggressive lion, stare him down. But not a leopard; avoid his gaze at all costs. In both cases, back away slowly; don't run. If you stumble on a pack of hyenas, run and climb a tree; hyenas can't climb trees. But don't do that if you're being chased by an elephant; he'll just knock the tree down. Stand still until he forgets about you. (...)

Lions and leopards learn tactics that work for them, and I was taught tactics to defend myself. Humans are intelligent, and that means we are more adaptable than animals. But we're also, generally speaking, lazy and stupid; and, like a lion or hyena, we will repeat tactics that work. Pickpockets use the same tricks over and over again. So do phishers, and school shooters. If improvised explosive devices didn't work often enough, Iraqi insurgents would do something else.

So security against people generally focuses on tactics as well. (...)

This is the arms race of security. Common attack tactics result in common countermeasures. Eventually, those countermeasures will be evaded and new attack tactics developed. These, in turn, require new countermeasures. You can easily see this in the constant arms race that is credit card fraud, ATM fraud or automobile theft. (...)

We should only apply specific countermeasures when the cost-benefit ratio makes sense (reinforcing airplane cockpit doors) or when a specific tactic is repeatedly observed (lions attacking people who don't stare them down). Otherwise, general countermeasures are far more effective a defense.

Redes sem fios em Lisboa desprotegidas

Os números são interessantes mas provavelmente não contam com as redes mais seguras, que não propagam o ssid. Também classificar as redes como seguras/inseguras por usarem cifra é no mínimo simplista (redes protegidas com Wep são seguras?!). Traduzir "encriptadas" para "protegidas por códigos" deve ser gozo. Como qualquer dicionário de português pode esclarecer, encriptar significa "colocar numa cripta" (uma forma de funeral). Mas mesmo que fosse "cifradas", "protegidas por códigos" também está errado...


Lisboa: “hacker” diz que um terço das redes sem fios têm problemas de segurança
Público on-line, 04/06/2007

Um teste feito por um “hacker” profissional nas ruas de Lisboa mostrou que cerca de um terço das redes de acesso à internet sem fios (“wireless”) detectadas têm problemas de segurança, entre as quais a do Partido Socialista (PS). Nos cerca de 70 minutos que durou a viagem pela baixa de Lisboa, o director-geral da empresa de segurança informática SySS GmbH, Sebastian Schreiber, que fez os testes, encontrou 704 redes sem fios de acesso à Internet de empresas, famílias e hotéis.

Destas, Schreiber, um perito em intrusão de redes (“hacker”), diz que cerca de um terço apresentava níveis de segurança baixos.

Das redes que apresentavam vulnerabilidades ao nível da segurança dos conteúdos informáticos, estava uma identificada como sendo da sede do PS.

A Lusa tentou contar o PS para comentar esta situação, mas não foi possível obter qualquer informação.

Lisboa com nível médio de segurança

“Se as redes não estiverem encriptadas [protegidas por códigos], toda a gente pode ver a informação sem problemas”, explicou.

“Nestas condições, é possível ver o conteúdos dos “e-mails”, ter acesso às palavras passe e ao conteúdo das conversas tidas em 'chats'”, acrescentou.

Para o perito em segurança informática, Lisboa é uma cidade de “qualidade média”, quando comparada com outras cidades europeias em que já foi efectuado este tipo de análise.

De acordo com os dados apresentados por Sebastian Schreiber, Varsóvia é a cidade em que as redes sem fios apresentam menos deficiências de segurança, sendo que apenas 25 por cento das redes não está protegida, enquanto Belgrado é a cidade que apresenta piores resultados.

“Não estou surpreendido com o nível de segurança das redes, o que me surpreendeu foi a densidade dos pontos de acesso da cidade, que é muito elevada”, disse Sebastian Schreiber, acrescentando que “Lisboa é uma cidade cheia de pontos de acesso”.

Os dados recolhidos hoje serão compilados num mapa e apresentados amanhã, durante a 2ª edição do IT & Internet Security, um evento organizado pela empresa de consultadoria IDC, no Centro Cultural de Belém, em Lisboa.

Anti-virus baseado em comportamento

Interessante, embora não tão original como o artigo leva a crer...

Computer Scientists Set on Winning the Computer Virus 'Cold War'
University of Wisconsin-Madison (05/24/07)

ACM TechNews 30/05/2007

Computer scientists at the University of Wisconsin-Madison, the University of California-Berkeley, and Carnegie Mellon University have developed the Static Analyzer for Executables (SAFE), software that targets malware based on its behavior. SAFE examines the behavior of a program before running it and compares the behavior to a list of known malware behaviors, such as reading an address book and sending emails. Any program that performs a suspicious behavior is considered malware. Malware programmers can slip by traditional detection programs by creating a unique signature, requiring traditional malware detection programs to download updates at least every week. By examining the behavior rather than the signature, SAFE can detect malware even if it has a unique signature and only requires updates when a virus appears that exhibits a new behavior, creating a proactive defense rather than reactive. University of Wisconsin-Madison associate professor of computer science Somesh Jha calls SAFE "the next generation in malware detection." Jha and University of Wisconsin graduate student Mihai Christodorescu started working on SAFE when they tested different variations of four viruses on Norton and McAfee antivirus software. Norton and McAfee were only able to catch the original variation of each virus. SAFE caught all variations. SAFE will be particularly effective against a new type of malware that is designed to change every time it gets sent to another computer, which can create infinite variations of itself.
Click Here to View Full Article

Segurança e Virtualização

Do blog http://googleonlinesecurity.blogspot.com/:

...
Virtual machines are sometimes thought of as impenetrable barriers between the guest and host, but in reality they're (usually) just another layer of software between you and the attacker. As with any complex application, it would be naive to think such a large codebase could be written without some serious bugs creeping in. If any of those bugs are exploitable, attackers restricted to the guest could potentially break out onto the host machine. I investigated this topic earlier this year, and presented a paper at CanSecWest on a number of ways that an attacker could break out of a virtual machine.

Most of the attacks identified were flaws, such as buffer overflows, in emulated hardware devices. One example of this is missing bounds checking in bitblt routines, which are used for moving rectangular blocks of data around the display. If exploited, by specifying pathological parameters for the operation, this could lead to an attacker compromising the virtual machine process. While you would typically require root (or equivalent) privileges in the guest to interact with a device at the low level required, device drivers will often offload the parameter checking required onto the hardware, so in theory an unprivileged attacker could be able to access flaws like this by simply interacting with the regular API or system call interface provided by the guest operating system.
...

NSA ajuda Microsoft

Uma notícia interessante, já com uns meses:

For the first time, the giant software maker is acknowledging the help of the secretive agency, better known for eavesdropping on foreign officials and, more recently, U.S. citizens as part of the Bush administration's effort to combat terrorism. The agency said it has helped in the development of the security of Microsoft's new operating system -- the brains of a computer -- to protect it from worms, Trojan horses and other insidious computer attackers.
[...]

The NSA declined to comment on its security work with other software firms, but Sager said Microsoft is the only one "with this kind of relationship at this point where there's an acknowledgment publicly."

The NSA, which provided its service free, said it was Microsoft's idea to acknowledge the spy agency's role.

Post no blog Schneier on Security
Artigo no Washington Post

Comunidade Portuguesa de Segurança da Informação

Um site sobre segurança ligado à SINFIC SA:

Comunidade Portuguesa de Segurança da Informação

Negação de serviço a central nuclear?

A propósito de protecção de infraestruturas críticas... Excesso de tráfego na rede pode ter causado um shut down a uma central nuclear nos EUA:

"Data storm" blamed for nuclear-plant shutdown
By: Robert Lemos, SecurityFocus

A Congressional committee calls for the Nuclear Regulatory Commission to further investigate the cause of excessive network traffic that shut down an Alabama nuclear plant.

http://www.securityfocus.com/news/11465

Um excerto interessante:

"Conversations between the Homeland Security Committee staff and the NRC representatives suggest that it is possible that this incident could have come from outside the plant," Committee Chairman Bennie G. Thompson (D-Miss.) and Subcommittee Chairman James R. Langevin (D-RI) stated in the letter. "Unless and until the cause of the excessive network load can be explained, there is no way for either the licensee (power company) or the NRC to know that this was not an external distributed denial-of-service attack."

The August 2006 incident is the latest network threat to affect the nation's power utilities. In January 2003, the Slammer worm disrupted systems of Ohio's Davis-Besse nuclear power plant, but did not pose a safety risk because the plant had been offline since the prior year. However, the incident did prompt a notice from the NRC warning all power plant operators to take such risks into account.

In August 2003, nearly 50 million homes in the northeastern U.S. and neighboring Canadian provinces suffered from a loss of power after early warning systems failed to work properly, allowing a local outage to cascade across several power grids. A number of factors contributed to the failure, including a bug in a common energy management system and the MSBlast, or Blaster, worm which quickly spread among systems running Microsoft Windows, eventually claiming more than 25 million systems.

A primeira ciber-guerra?

... talvez esteja a acontecer agora. Longo mas interessante:

Cyber Assaults on Estonia Typify a New Battle Tactic

By Peter Finn Washington Post Foreign Service
Saturday, May 19, 2007

This small Baltic country, one of the most wired societies in Europe, has been subject in recent weeks to massive and coordinated cyber attacks on Web sites of the government, banks, telecommunications companies, Internet service providers and news organizations, according to Estonian and foreign officials here.
Computer security specialists here call it an unprecedented assault on the public and private electronic infrastructure of a state. They say it is originating in Russia, which is angry over Estonia's recent relocation of a Soviet war memorial. Russian officials deny any government involvement.
The NATO alliance and the European Union have rushed information technology specialists to Estonia to observe and assist during the attacks, which have disrupted government e-mail and led financial institutions to shut down online banking.
As societies become increasingly dependent on computer networks that cross national borders, security experts worry that in wartime, enemies will attempt to cripple those networks with electronic attacks. The Department of Homeland Security has warned that U.S. networks should be secured against al-Qaeda hackers. Estonia's experience provides a rare chance to observe how such assaults proceed.
"These attacks were massive, well targeted and well organized," Jaak Aaviksoo, Estonia's minister of defense, said in an interview. They can't be viewed, he said, "as the spontaneous response of public discontent worldwide with the actions of the Estonian authorities" concerning the memorial. "Rather, we have to speak of organized attacks on basic modern infrastructures."
The Estonian government stops short of accusing the Russian government of orchestrating the assaults, but alleges that authorities in Moscow have shown no interest in helping to end them or investigating evidence that Russian state employees have taken part. One Estonian citizen has been arrested, and officials here say they also have identified Russians involved in the attacks.
"They won't even pick up the phone," Rein Lang, Estonia's minister of justice, said in an interview.
Estonian officials said they traced some attackers to Internet protocol (IP) addresses that belong to the Russian presidential administration and other state agencies in Russia.
"There are strong indications of Russian state involvement," said Silver Meikar, a member of Parliament in the governing coalition who follows information technology issues in Estonia. "I can say that based on a wide range of conversations with people in the security agencies."
Russian officials deny that claim. In a recent interview, Kremlin spokesman Dmitri Peskov called it "out of the question." Reached Friday at a Russia-E.U. summit, he reiterated the denial, saying there was nothing to add.
A Russian official who the Estonians say took part in the attacks said in an interview Friday that the assertion was groundless. "We know about the allegations, of course, and we checked our IP addresses," said Andrei Sosov, who works at the agency that handles information technology for the Russian government. His IP address was identified by the Estonians as having participated, according to documents obtained by The Washington Post.
"Our names and contact numbers are open resources. I am just saying that professional hackers could easily have used our IP addresses to spoil relations between Estonia and Russia."
Estonia has a large number of potential targets. The economic success of the tiny former Soviet republic is built largely on its status as an "e-society," with paperless government and electronic voting. Many common transactions, including the signing of legal documents, can be done via the Internet.
The attacks began on April 27, a Friday, within hours of the war memorial's relocation. On Russian-language Internet forums, Estonian officials say, instructions were posted on how to disable government Web sites by overwhelming them with traffic, a tactic known as a denial of service attack.
The Web sites of the Estonian president, the prime minister, Parliament and government ministries were quickly swamped with traffic, shutting them down. Hackers defaced other sites, putting, for instance, a Hitler mustache on the picture of Prime Minister Andrus Ansip on his political party's Web site.
The assault continued through the weekend. "It was like an Internet riot," said Hillar Aarelaid, a lead specialist on Estonia's Computer Emergency Response Team, which headed the government's defense.
The Estonian government began blocking Internet traffic from Russia on April 30 by filtering out all Web addresses that ended in .ru.
By April 30, Aarelaid said, security experts noticed an increasing level of sophistication. Government Web sites and new targets, including media Web sites, came under attack from electronic cudgels known as botnets. Bots are computers that can be remotely commanded to participate in an attack. They can be business or home computers, and are known as zombie computers.
When bots were turned loose on Estonia, Aaviksoo said, roughly 1 million unwitting computers worldwide were employed. Officials said they traced bots to countries as dissimilar as the United States, China, Vietnam, Egypt and Peru.
By May 1, Estonian Internet service providers had come under sustained attack. System administrators were forced to disconnect all customers for 20 seconds to reboot their networks.
Newspapers in Estonia responded by closing access to their Web sites to everyone outside the country, as did the government. The sites of universities and nongovernmental organizations were overwhelmed. Parliament's e-mail service was shut for 12 hours because of the strain on servers.
Foreign governments began to take notice. NATO, the United States and the E.U. sent information technology experts. "It was a concerted, well-organized attack, and that's why Estonia has taken it so seriously and so have we," said Robert Pszczel, a NATO spokesman. Estonia is a new member of NATO and the E.U.
The FBI also provided assistance, according to Estonian officials. The bureau referred a reporter's calls to the U.S. Embassy in Estonia, which said there was no one available to discuss American assistance to the Baltic State.
On May 9, the day Russia celebrates victory in World War II, a new wave of attacks began at midnight Moscow time.
"It was the Big Bang," Aarelaid said. By his account, 4 million packets of data per second, every second for 24 hours, bombarded a host of targets that day.
"Everyone from 10-year-old boys to very experienced professionals was attacking," he said. "It was like a forest fire. It kept spreading."
By May 10, bots were probing for weaknesses in Estonian banks. They forced Estonia's largest bank to shut down online services for all customers for an hour and a half. Online banking remains closed to all customers outside the Baltic States and Scandinavia, according to Jaan Priisalu, head of the IT risk management group at Hansabank, a major Baltic bank.
"The nature of the latest attacks is very different," said Linnar Viik, a government IT consultant, "and it's no longer a bunch of zombie computers, but things you can't buy from the black market," he said. "This is something that will be very deeply analyzed, because it's a new level of risk. In the 21st century, the understanding of a state is no longer only its territory and its airspace, but it's also its electronic infrastructure.
"This is not some virtual world," Viik added. "This is part of our independence. And these attacks were an attempt to take one country back to the cave, back to the Stone Age."

Fonte: Washington Post

Chaves RSA de 1024 bits?

Foi factorizado recentemente um número de 307 dígitos, ou seja, 1023 bits... Está na altura de deixar de usar chaves RSA de 1024 bits...

Artigo no blog do Bruce Schneier

Comentário a 28/05/2007: Uma notícia mais detalhada sobre o assunto em ars technica

Maus produtos de segurança

Um excerto de um artigo do Bruce Schneier na Wired:

More than a year ago, I wrote about the increasing risks of data loss because more and more data fits in smaller and smaller packages. Today I use a 4-GB USB memory stick for backup while I am traveling. I like the convenience, but if I lose the tiny thing I risk all my data.

Encryption is the obvious solution for this problem -- I use PGPdisk -- but Secustick sounds even better: It automatically erases itself after a set number of bad password attempts. The company makes a bunch of other impressive claims: The product was commissioned, and eventually approved, by the French intelligence service; it is used by many militaries and banks; its technology is revolutionary.

Unfortunately, the only impressive aspect of Secustick is its hubris, which was revealed when Tweakers.net completely broke its security. There's no data self-destruct feature. The password protection can easily be bypassed. The data isn't even encrypted. As a secure storage device, Secustick is pretty useless.

........

With so many mediocre security products on the market, and the difficulty of coming up with a strong quality signal, vendors don't have strong incentives to invest in developing good products. And the vendors that do tend to die a quiet and lonely death.

artigo completo

Número de vulnerabilidades por categoria em 2006

Segundo Jean Paul Ballerini, numa apresentação no IBM/ISS X-Force Road Show 2007, anteontem (15/5/2007) em Lisboa:

vulnerabilidades descobertas em 2006: 7247

principais categorias:
-- cross-site scripting: 1313 (18%)
-- SQL injection: 1003 (14%)
-- buffer overflow: 680 (9%)

Digital Ethnography

Um video engraçado sobre a Web 2.0. Não tem nada propriamente sobre segurança mas sugere o quão complicada poder ser a segurança nessa "nova web".



The Machine is Us/ing Us

Pelo menos 10% dos sites da web com código malicioso

segundo um artigo de autores da Google:

"We analyzed the content of several billion URLs and executed an
in-depth analysis of approximately 4.5 million URLs. From
that set, we found about 450,000 URLs that were successfully
launching drive-by-downloads of malware binaries and
another 700, 000 URLs that seemed malicous but had lower
confidence."

Artigo:

The Ghost In The Browser Analysis of Web-based Malware

Resumo:

As more users are connected to the Internet and conduct
their daily activities electronically, computer users have become
the target of an underground economy that infects hosts
with malware or adware for financial gain. Unfortunately,
even a single visit to an infected web site enables the attacker
to detect vulnerabilities in the user’s applications and force
the download a multitude of malware binaries. Frequently,
this malware allows the adversary to gain full control of the
compromised systems leading to the ex-filtration of sensitive
information or installation of utilities that facilitate remote
control of the host. We believe that such behavior is similar
to our traditional understanding of botnets. However,
the main di erence is that web-based malware infections are
pull-based and that the resulting command feedback loop is
looser. To characterize the nature of this rising thread, we
identify the four prevalent mechanisms used to inject malicious
content on popular web sites: web server security,
user contributed content, advertising and third-party widgets.
For each of these areas, we present examples of abuse
found on the Internet. Our aim is to present the state of
malware on the Web and emphasize the importance of this
rising threat.

Privacy is not just about data security

Um post interessante sobre privacidade no blog The Security Development Lifecycle:
Privacy is not just about data security
A conclusão:

"Privacy is not just about protecting data once you have it; it’s also about minimizing the data collected, and making sure that you know what that data will be used for and consent to that use before your data is captured. This is one of the main reasons Privacy has been built into the SDL. Securing the data alone is not enough."

Defesas contra buffer overflows no Vista

Um artigo interessante da Microsoft:

http://msdn2.microsoft.com/en-us/library/bb430720.aspx

Windows Vista incorporates numerous defensive strategies to protect customers from exploits. Some of these defenses are in the core operating system, and others are offered by the Microsoft Visual C++ compiler. The defenses include:

* /GS Stack buffer overrun detection.
* /SafeSEH exception handling protection.
* No eXecute (NX) / Data Execution Prevention (DEP) / eXecute Disable (XD).
* Address space layout randomization (ASLR).
* Heap randomization.
* Stack randomization.
* Heap corruption detection.

In the rest of this document, we will briefly explain each of these defenses and offer guidance deployment and test guidance.

Exemplo de SQL injection

Vulnerabilidade de projecto no IPv6

Experts scramble to quash IPv6 flaw
By: Robert Lemos

Only a few weeks after researchers raised the design issue in the next-generation Internet protocol, two drafts to the Internet Engineering Task Force propose different fixes.
http://www.securityfocus.com/news/11463

This week, experts sent two drafts to the Internet Engineering Task Force (IETF)--the technical standards-setting body for the Internet -- proposing different ways of fixing a problem in the way that Internet Protocol version 6 (IPv6) allows the source of network data to determine its path through the network. The drafts recommend that the IPv6 feature should either be eliminated or, at the very least, disabled by default.

The specification, known as the Type 0 Routing Header (RH0), allows computers to tell IPv6 routers to send data by a specific route. Originally envisioned as a way to let mobile users to retain a single IP for their devices, the feature has significant security implications. During a presentation at the CanSecWest conference on April 18, researchers Philippe Biondi and Arnaud Ebalard pointed out that RH0 support allows attackers to amplify denial-of-service attacks on IPv6 infrastructure by a factor of at least 80. (...)

The RH0 security issues has its roots in the current Internet protocol implementation. The specification for IPv4 allows the sender of data to specify one or more routers through which the data must travel. Known as source routing, the technique allows up to 9 other addresses to be included in an IPv4's extended header, requesting that the packet be routed through those specific addresses. While source routing can be beneficial for diagnostics, it can also be used to amplify a denial-of-service attack by a factor of 10 by alternating two target Internet addresses in the header, ping-ponging the data between two machines.

While source routing has been accepted as a bad security risk by most companies and most routers disable the feature by default, the IETF has not eliminated the option from the specification and extended it to IPv6.


Mac vs PC



Com agradecimentos à Teresa Chambel

Analisadores estáticos de código

As principais ferramentas de análise estática de código comerciais:

Coverity Prevent
Fortify Source Code Analysis
Secure Software CodeAssure

Ferramentas de segurança e Live CDs

A quantidade de ferramentas de segurança disponíveis hoje em dia na Internet
é gigantesca, mesmo considerando apenas as que são gratuitas. Assim, o trabalho necessário para instalar essas ferramentas é também enorme. Uma solução para reduzir quase a zero o esforço de instalação consiste em usar um Live CD, como o Knoppix, mas que contenha já ferramentas de segurança. Há diversos disponíveis mas um que me parece mais confiável é o do projecto OWASP:

http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project

Testes de penetração

...por um mínimo de 15 mil dólares...

A Look Inside CORE IMPACT

We have reviewed, tested, and played with many products and applications over the years, but none of them compare to CORE IMPACT. From the moment you purchase the product, to the first time you get a shell on a vulnerable system, you are constantly being made aware of the fact that CORE understands security. We are not talking about flashy marketing tactics, but instead real security that is implemented to both mitigate real security related risks and exploit real system and application vulnerabilities.

Fonte: informit.com

Identidade Digital e Falsificações

Falsificações com Identidade Digital mais difíceis de detectar
Fonte: RTP

O coordenador de um estudo apresentado hoje em Lisboa alerta para o risco de roubo da identidade digital, quando ela for criada, por ser muito mais difícil distinguir as falsificações do que nos actuais documentos convencionais.

A identidade electrónica, contida num cartão, "permite falsificações de assinatura muito mais parecidas do que as manuais", disse à agência Lusa o professor universitário e perito em sistemas de segurança Paulo Veríssimo.

O investigador coordenou o estudo "Identidade Digital", apresentado hoje em Lisboa, elaborado para dar "um contributo construtivo para se compreenderem melhor os riscos e as oportunidades que se colocam na transição para a esfera da Identidade Digital".

A realização do estudo foi promovida pela Associação para a Promoção e Desenvolvimento da Sociedade da Informação (APDSI).

Embora reconhecendo as enormes vantagens de cada cidadão passar a ter os seus dados num sistema digital em vez dos ainda usuais cartões de leitura (bilhete de identidade, cartão de saúde, segurança social eleitor ou Finanças, para citar alguns casos), os especialistas alertam para os maiores riscos se for possível a cópia da informação contida no "chip" de um cartão.

Será como "roubar o rosto" a alguém, com uma enorme dificuldade de ser recuperado, considera Paulo Veríssimo.

Contudo, o especialista defende que a "tecnologia está num ponto em que é possível criar condições de segurança" para se avançar no sentido da identidade electrónica.

Em Portugal, exemplos de documentos digitais são o passaporte electrónico e o novo cartão de cidadão, que começou por ser emitido nos Açores, mas que vai ser gradualmente alargado a todo o país.

Outro colaborador no estudo, o dirigente da APDSI José Gomes Almeida, considera que a identificação digital "é vantajosa", mas é necessário alertar os cidadãos, que "têm de estar conscientes de que tudo passa a ser mais fácil, para o bem e para o mal".

"É fácil alguém andar com um único cartão", em vez dos vários actuais, "mas se for copiado..." tudo se complica, sustenta Gomes Almeida.

Este especialista considera mesmo que está na altura de "rever" o artigo 35 da Constituição da República que proíbe a atribuição de um número nacional único aos cidadãos.

A situação que se coloca com um cartão e número único para cada cidadão é semelhante à que se passa com os cartões de crédito e a relativa facilidade com que são falsificados.

Por isso, a identificação digital "pode-nos dificultar a vida se não estivermos preparados" para ela, acrescenta.

O novo Cartão de Cidadão começou a ser emitido a 14 de Fevereiro na ilha do Faial, Açores, numa cerimónia em que o primeiro-ministro, José Sócrates, entregou os primeiros documentos à melhor aluna, Cristina Resendes Maia, 15 anos, e a João Ferreira Matos, 86 anos, um dos cidadãos mais idosos da ilha.

O novo documento de identificação substitui o Bilhete de Identidade e os cartões de Contribuinte, da Segurança Social, da Saúde e, posteriormente, o do número de eleitor.

Até Junho, a emissão dos novos cartões deverá estar generalizada às nove ilhas açorianas, chegando a Portalegre no mês seguinte, e alargando-se aos distritos de Évora e Bragança em Outubro.

Nos restantes distritos do país, na Região Autónoma da Madeira e nos consulados portugueses no estrangeiro, os documentos vão ser emitidos apenas em 2008.

Agência LUSA
2007-04-18 13:15:01

Oracle, bases de dados e patches trimestrais

Diversas empresas de software definiram uma periodicidade fixa para o lançamento de patches aos seus produtos. A Microsoft publica patches mensais e alguns vendors de bases de dados como a Oracle, publicam patches trimestralmente. O tema tem gerado alguma discussão, como já dito aqui no blog a propósito da Microsoft. Entretanto, apareceu na TechRepublic um artigo interessante sobre os patches trimestrais da Oracle e outros vendors de bases de dados.

Are Quarterly patches a good idea on Database Servers?
April 30th, 2007
Steven Warren

Hacking a Vista PC

...usando a vulnerabilidade nos cursores animados:
video na ZDNet

"Security experts at Determina show how a Vista PC can be compromised by exploiting a flaw in the way the operating system handles animated-cursor files. They've determined that Firefox users are at a higher risk than IE 7 users."

Propriedade intelectual e pirataria de software

Uma entrevista interessante com Gregg Gronowski, vice presidente da Aladdin, sobre o tema na ACM Queue deste mês. Disponível em podcast e texto.

Na mesma revista/site está disponível uma entrevista sobre gestão de licenças de software.

Rootkit para o Vista

Interessante pois alegadamente no Vista tomaram especial cuidado para evitar a inclusão de código malicioso...

0wning Vista from the boot
By Federico Biancuzzi

Federico Biancuzzi interviews Nitin and Vipin Kumar, authors of VBootkit, a rootkit that is able to load from Windows Vista boot-sectors. They discuss the "features" of their code, the support of the various versions of Vista, the possibility to place it inside the BIOS (it needs around 1500 bytes), and the chance to use it to bypass Vista's product activation or avoid DRM.
http://www.securityfocus.com/columnists/442

Honeypots e outros em Português

Diversos textos sobre honeypots e outros temas de segurança em Português do Brasil -- projecto Honeypot Brasil

Mau irmão gémeo no wi-fi

"With the rise in popularity of WiFi-enabled mobile computing devices and publicly accessible access points, a new kind of WiFi security threat is beginning to emerge. Security researchers are beginning to note increasing instances of so-called "evil twin" attacks, in which a malicious user sets up an open WiFi network and monitors traffic in order to intercept private data."

Artigo completo em Ars Technica

Identidade Digital

Foi publicado pela APDSI um interessante relatório sobre o tema, coordenado pelo Prof. Paulo Veríssimo. Da nota de imprensa:

"Lisboa, 19 de Abril de 2007 – A adopção da identidade digital, como condição essencial para uma adopção plena do mundo digital, tem subjacente um número alargado de perigos que podem ser contornados se for dada resposta a um conjunto de princípios fundamentais, conclui o estudo Identidade Digital elaborado por um grupo de trabalho da APDSI – Associação para a Promoção e Desenvolvimento da Sociedade da Informação e ontem apresentado publicamente em Lisboa."

Relatório
Nota de imprensa

Notes On Vista Forensics (II)

Notes On Vista Forensics, Part Two
By Jamie Morris

In part one of this series we looked at the different editions of Vista available and discussed the various encryption and backup features which might be of interest to forensic examiners. In this article we will look at the user and system features of Vista which may (or may not) present new challenges for investigators and discuss the use of Vista itself as a platform for forensic analysis.
http://www.securityfocus.com/infocus/1890

Confiabilidade, redundância e terramotos

Dois artigos no blog CyTRAP Labs sobre confiabilidade e redundância. Discutem os efeitos de um terramoto de Janeiro de 2007 na Formosa (Taiwan) que danificou diversos cabos submarinos e deixou a China quase sem Internet.


Reliability and dependability of information networks - lessons from the Taiwan earthquake

Reliability and dependability of information networks - Taiwan’s earthquake - are we redundancy compliant?

Routers caseiros seguros?

Muita gente julga que são simples, logo seguros. Um artigo que demonstra a falsidade da suposição...

"In short — change your default user account settings for any router you have. You never know when a website might have some malicious code on it that can be used against you. As we illustrated, it is possible for someone to leverage a XSS attack against your browser and turn it into an attack engine."

Artigo: informit.com

Web 2.0 e segurança nos browsers

Um artigo sobre o tema a propósito de um painel na conferência sobre Web 2.0 este mês em S. Francisco:

Security Remains a Challenge for Browser Developers
By
Peter Galli

Passwords por um chocolate

Um inquérito interessante:

The Infosecurity Europe group surveyed 300 office and IT workers and found that nearly two-thirds of them were prepared to give up their passwords for a chocolate bar and a smile from an attractive “researcher”. IT workers, whom we would consider to be more secretive, fared better than their paper and pencil pushing coworkers, but still fell victim.

Office workers commuting in the London train stations and IT professionals at a local expo were surveyed about their passwords and password habits. One question asked participants to write down their passwords and 40% of office workers complied while 22% of IT workers wrote down their passwords. Many of the participants who refused to write down their passwords in the initial questions still inadvertently revealed enough information to construct a password on later questions. In total, 64% of participants eventually revealed their passwords.

While the workers may have felt relatively anonymous by not putting down their company or names on the forms, the IT professionals were attending a convention that required them to wear a name badge – a badge complete with their names and companies.

The survey also discovered more disturbing habits. Nearly half of all workers use the same password with all of their accounts including personal, financial and work. 29% of those surveyed said they knew other people’s passwords and 39% said they would willingly give their password to someone claiming to be from the IT department.

(....)

Fonte: TG Daily

Maior vaga de virus em 1 ano

Duas novas estirpes do virus "storm worm" apareceram na semana passada e constituem já a maior vaga em mais de um ano. O virus propaga-se por email e transforma os computadores atacados em zombies.

Fonte: ZDNet News

Geração de números aleatórios

Protecção de informação


Têm havido inúmeros casos de perdas de dados pessoais por parte de empresas e outras organizações. As formas como tem acontecido são variadas: perda de laptops, ataques informáticos, etc. Uma lista grande de casos está na Privacy Rights Clearinghouse.

Há dias a Federal Trade Commission americana publicou um documento curto com 5 conselhos para que as empresas sofram esse tipo de perdas. Interessante: http://www.ftc.gov/infosecurity/

Mais um patch fora de horas da Microsoft

Afinal o Vista não parece assim tão seguro...

Patch Tuesday: Vista dinged again

Ryan Naraine: For the second time this month, Microsoft has shipped a security bulletin with patches for a "critical" Vista vulnerability that puts millions of users at risk of code execution attacks.

Fonte: Zero Day

Como se esconder na Internet

Putting Some Circuit Breakers Into DNS to Protect the Net
CircleID (04/03/07) Auerbach, Karl

Smart criminals on the Internet are using viruses to take over computers and are then hiding the location of these computers and preventing the PCs from being shut down by rapidly changing the address data that domain names represent, moving the domain's control point from minute to minute. Changes to the address data normally take several months or longer to occur. But the criminals are quickly changing the DNS records in the authoritative servers for a given domain and then combining this technique with low time-to-live values on DNS information, which causes cached data to be eliminated quickly. In this manner, the criminals are protecting themselves by eliminating a potential audit trail. The criminals are using the same tactic on the name servers used for the domain, making it more difficult to come to grips with the attack. One potential solution to this problem offered by Karl Auerbach is an Internet "circuit breaker" that calls for domain names, such as example.com, to be removed from their zones, such as .com, during an emergency situation. This circuit breaker would prevent domains from being resolved and would prevent the quick shifting of A and NS records.
Click Here to View Full Article

Fonte: ACM TechNews; Monday, April 9, 2007

Ataques contra aplicações e SOs

Um capítulo de livro longo e interessante que apresenta um bom conjunto de ataques, incuindo buffer overflows, passwords e web. Uma boa introdução ao tema.

Gaining System Access Using Application and Operating System Attacks Edward Skoudis, Tom Liston

Notes On Vista Forensics

Notes On Vista Forensics, Part One
Jamie Morris 2007-03-08

In this article we have taken a fairly high level view of some of the new features in Vista which may be of interest to forensic investigators. In part two of this series we will be looking in further detail at these changes and concentrating on the typical user activities which commonly come under the scope of an investigation, such as web browsing and email usage.

Fonte: SecurityFocus

Hacking a fingerprint scanner

Como abrir uma fechadura por impressões digitais, pulso, suor e temperatura... Dá que pensar sobre as maravilhas da autenticação biométrica...

Legislação e crime informático em Portugal

Há dias perguntaram-se sobre o assunto... A lei intitulada "Lei da Criminalidade Informática" é a lei 109/91 de 17 de Agosto. Está disponível aqui no site da PJ. Outra lei relevante é a "Lei da Protecção de Dados Pessoais", 67/98 de 26 de Outubro, disponível aqui. No entanto, a legislação criminal geral pode sempre aplicar-se à criminalidade informática.
Site PJ - Criminalidade informática

Segurança no Mac OS X vs Windows

Qual o mais seguro? Um artigo interessante:
Myth or Fact? Is Mac OS X Really More Secure than Windows?

Apple's ads often promote Mac OS X as a much more secure platform than Windows, and that sense of security and freedom from viruses, spyware, and network attacks is one of the things that often encourages Windows users to buy a Mac. But is Mac OS X's greater security real or just marketing? The truth is that it's a combination of fact and myth. Ryan Faas tells you why.
Fonte: informit.com

Estudo sobre vulnerabilidades em sistemas operativos 2006

While there are an enormous variety of operating systems to choose from, only four "core" lineages exist in the mainstream -- Windows, OS X, Linux and UNIX. Each system carries its own baggage of vulnerabilities ranging from local exploits and user introduced weaknesses to remotely available attack vectors.

As far as "straight-out-of-box" conditions go, both Microsoft's Windows and Apple's OS X are ripe with remotely accessible vulnerabilities. Even before enabling the servers, Windows based machines contain numerous exploitable holes allowing attackers to not only access the system but also execute arbitrary code. Both OS X and Windows were susceptible to additional vulnerabilities after enabling the built-in services. Once patched, however, both companies support a product that is secure, at least from the outside. The UNIX and Linux variants present a much more robust exterior to the outside. Even when the pre-configured server binaries are enabled, each system generally maintained its integrity against remote attacks. Compared with the Microsoft and Apple products, however, UNIX and Linux systems tend to have a higher learning curve for acceptance as desktop platforms.

When it comes to business, most systems have the benefit of trained administrators and IT departments to properly patch and configure the operating systems and their corresponding services. Things are different with home computers. The esoteric nature of the UNIX and Linux systems tend to result in home users with an increased understanding of security concerns. An already "hardened" operating system therefore has the benefit of a knowledgeable user base. The more consumer oriented operating systems made by Microsoft and Apple are each hardened in their own right. As soon as users begin to arbitrarily enable remote services or fiddle with the default configurations, the systems quickly become open to intrusion. Without a diligence for applying the appropriate patches or enabling automatic updates, owners of Windows and OS X systems are the most susceptible to quick and thorough remote violations by hackers.

Fontes: Blog Schneier on Security e o estudo completo em OmniNerd

Partilha ilegal de música

PJ já recebeu 38 queixas da Associação Fonográfica
Público 03.04.2007

A Polícia Judiciária já recebeu 38 queixas-crime da Associação Fonográfica Portuguesa (AFP) por partilha ilegal de música através da Internet, escapando ao pagamento dos respectivos direitos de autor. A primeira leva de queixas (28) foi apresentada há precisamente um ano apenas pela AFP; foi apresentada uma nova queixa em Outubro (mais 10 casos), desta vez subscrita por um conjunto de autores, artistas e produtores.
Segundo o director-geral da AFP, Eduardo Simões, ainda não houve qualquer resposta por parte da PJ, pelo que os casos estarão ainda numa fase muito inicial de averiguação.
As queixas são apresentadas não contra indivíduos mas contra utilizadores dos endereços de IP (Internet Protocol), que identificam o número do computador que está ligado à rede (cada computador tem o seu, mas a identificação do utilizador é anónima). E como foram descobertos? "Procurámos várias músicas em serviços de partilha de ficheiros, vimos quem as estava a oferecer e conferimos se tinha autorização para isso ou não", descreveu ao PÚBLICO Eduardo Simões, acrescentando que havia casos com mais de 15 mil músicas disponíveis. Em Portugal, os únicos serviços autorizados a vender ficheiros de música na Internet são o Sapo, iTunes e MúsicaOnline.
A pena para o crime de usurpação - utilização de uma obra sem autorização dos titulares dos respectivos direitos de autor - pode ir até três anos de cadeia, a que acresce multa e a indemnização aos autores, artistas e produtores lesados. As contas dos prejuízos ainda não estão feitas, acrescenta Eduardo Simões - só deverão sê-lo quando a PJ chamar a AFP a depor. "Em países como a Alemanha, em três ou quatro meses as partes conseguem um acordo; mas em Portugal demora muito mais", lamenta.
A pirataria de música tem normalmente campo farto em feiras, mas com a expansão da banda larga, o crescimento da pirataria na Net tem também sido exponencial. "A velocidade das ligações de banda larga - mais fluidas e sem quebras - propicia este tipo de comportamento", reconhece o director da AFP.
Maria Lopes

Phishing e Pharming

Um documento interessante da McAfee em pdf:

Understanding Phishing and Pharming
White Paper 1 Jan. 2006
McAfee

Mais sobre os cursores assassinos...

A Microsoft lançou um patch para o problema e os CyTRAP Labs fizeram um post em estilo "noite da má língua". A Microsoft gabou-se de já saber da vulnerabilidade desde 28-12-2007.... ou seja há 3,5 meses.... e há 3 "patch on tuesday" atrás...

Fontes: post nos CyTRAP Labs, Update on Microsoft Security Advisory 935423

Perigo nos cursores animados

Mais um exemplo dos sítios recôndidos onde se pode esconder uma vulnerabilidade... que "apenas" permite execução de código na máquina da vítima.


Microsoft Windows ANI header stack buffer overflow
National Cyber Alert System
Technical Cyber Security Alert TA07-089A
Original release date: March 30, 2007

Systems Affected
Microsoft Windows 2000, XP, Server 2003, and Vista are affected.
Applications that provide attack vectors include:
* Microsoft Internet Explorer
* Microsoft Outlook
* Microsoft Outlook Express
* Microsoft Windows Mail
* Microsoft Windows Explorer

A stack buffer overflow exists in the code that Microsoft Windows uses to processes animated cursor files. Specifically, Microsoft Windows fails to properly validate the size of an animated cursor file header supplied in animated cursor files.

Animated cursor files can be included with HTML files. For instance, a web site can use an animated cursor file to specify the icon that the mouse pointer should use when hovering over a hyperlink. Because of this, malicious web pages and HTML email messages can be used to exploit this vulnerability. In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Because of this, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.

Note that Windows Explorer will process animated cursor files with several different file extensions, such as .ani, .cur, or .ico. Furthermore, Windows will automatically render animated cursor files referenced by HTML documents regardless of the animated cursor file extension. This vulnerability is actively being exploited.
More information is available in Vulnerability Note VU#191609.

A remote, unauthenticated attacker may be able to execute arbitrary code. Exploitation may occur when a user clicks a malicious link, reads or forwards a specially crafted HTML email, or accesses a folder containing a malicious animated cursor file.

Fonte: US-CERT
Documento completo e actualizado:
http://www.us-cert.gov/cas/techalerts/TA07-089A.html

Ataque de Pharming a 50 bancos

Uma notícia já do fim de Fevereiro mas interessante...

Desactivado ataque de pharming dirigido a clientes de 50 bancos em 3 continentes

Foi desactivado com sucesso esta quinta feira um ataque de pharming que envolveu pelo menos 50 instituições financeiras na Europa, nos Estados Unidos e na região Ásia-Pacifico. O ataque, que terá afectado uma média de mil utilizadores por dia, sobretudo nos Estados Unidos e na Austrália, tirava partido de uma falha da Microsoft detectada e corrigida já no ano passado.

Para ser afectado um utilizador teria de aceder a um site com código malicioso onde, caso o seu computador não estivesse actualizado para a falha crítica, era automaticamente descarregado para o seu PC um troiano (num ficheiro iexplorer.exe) que posteriormente descarregaria cinco ficheiros adicionais a partir de um servidor na Rússia.

A concretização desta primeira parte do ataque era imperceptível para o utilizador que apenas via no website em questão uma mensagem de erro que o aconselhava a desligar o firewall e software antivírus.

O sucesso completo do ataque ficava garantido se o utilizador posteriormente visitasse um dos 50 sites de instituições financeiras que os autores do ataque se dedicaram a replicar. Ao contrário do que acontece nos ataques phishing, no pharming o utilizador pode ser conduzido para um site falso, mesmo quando digita directamente no PC o endereço da instituição a que quer aceder.

Nesta situação os utilizadores com PCs já infectados pelo exploit eram conduzidos por momentos para um site falso onde eram recolhidos os dados de acesso ao serviço de banca online. Depois disso voltam ao site verdadeiro, já com as informações confidenciais na posse dos hackers, sem que o utilizador se apercebesse.

O bloqueio dos sites falsos e dos servidores que suportavam este ataque (localizados na Alemanha, Estónia e Reino Unido) - depois de três dias activos - foi divulgado pela empresa de segurança Websense que sublinha a sofisticação do ataque.

Os números recolhidos pela Websense, que apontam para a infecção diária de cerca de mil máquinas foram recolhidos pela empresa através do programa Bot instalado nos PCs infectados que, além de fornecer total controlo das máquinas ao atacante, permitiu o acesso da empresa a informações que este fornecia aos autores do ataque com estatísticas de progresso.

2007-02-22 17:54:00
Casa dos Bits


Fonte: http://tek.sapo.pt/4M0/724762.html

Alerta da Websense: http://www.websense.com/securitylabs/alerts/alert.php?AlertID=743

Datajacking em Portugal

Sequestradores de dados informáticos atacam empresas em Portugal
DN, 16 de Março de 2007, Alexandra Machado

Portugal já se encontra na lista dos países afectados por um novo crime informático que afecta o mundo empresarial. É o chamado data-jacking, em que o criminoso acede às informações da empresa, por via electrónica, e transforma-as num código (encriptação) que é lido com uma chave própria, só conhecido pelo infractor, que em troca dela exige dinheiro.

O número de casos detectados está a subir, ainda que Baltazar Rodrigues, inspector-chefe do Grupo Técnico de Informática, da secção Central de Investigação à Criminalidade de Alta Tecnologia da Polícia Judiciária, refira como preocupante a quantidade de casos não participados. Este inspector calcula em 90% o número de ocorrências destas não denunciadas, o que acontece por vários motivos: além de considerarem que pode dar má imagem, as empresas acreditam que só se pagarem é que conseguirão a chave para 'desencriptar' a informação, não acreditando na capacidade da polícia para o fazer. O fenómeno é mais grave fora de Lisboa, em zonas rurais industrializadas, já que na capital as empresas estão mais atentas.

O ataque é feito, por norma, a empresas grandes, que dependem da tecnologia para guardar a base de trabalho, como sejam os dados dos clientes ou dos vendedores. As empresas optam, em grande parte, por pagar os resgates, mas a opção deveria passar pela denúncia à Polícia Judiciária. O resgate pode ir aos 50 milhões de euros, mas quando os valores pedidos se ficam pelos 100 ou 200 mil euros, as "atacadas" acabam por ceder. "As empresas pagam e muitas vezes não fazem queixas", garantiu Baltazar Rodrigues, no âmbito de uma conferência onde teve estudantes do Instituto Superior Técnico como audiência. O inspector da PJ aproveitou a assistência para lançar alguns alertas, caracterizando actividades vulgarizadas no meio estudantil (como a cópia ilegal de software) como ilegais. O perfil do criminoso tem vindo a alterar-se, sendo caracterizado por uma pessoa introvertida, com alguma formação académica e idade entre os 20 e os 40 anos. Baltazar Rodrigues assegura ainda que há um pico de criminalidade no Verão, altura em que os jovens estudantes estão de férias...

O datajacking é apenas um dos muitos tipos de crime informático que tem uma equipa de 30 pessoas na PJ a investigá-los. "Vamos tendo os meios suficientes para funcionar, a contingência [de pessoal] não tem sido impeditiva para termos resultados." E que resultados? 80% das investigações realizadas em 2006 foram concluídas. No ano passado, dos 655 inquéritos para investigação abertos em Lisboa (na secção central) foram concluídos 526 casos. Para este ano transitaram um total de 522 inquéritos. Em 2005, tinham sido investigados 401 casos. Em 2006 foram vistos minuciosamente dados que ocupavam 10 terabytes (cada terabyte corresponde a mil gigabytes).

Além do datajacking, Baltazar Rodrigues revelou aumentos preocupantes em crimes como o phishing (caça de credenciais de acesso a páginas de banca electrónica), que normalmente é realizado pelo envio aos clientes dos bancos de um correio electrónico onde é pedido o acesso a determinada página de Internet para inserir dados pessoais. Baltazar Rodrigues assegura que os bancos têm estado a aumentar os níveis de segurança, mas há sempre quem caia. Cinco em cada 100 dessas tentativas de crime têm êxito.


http://dn.sapo.pt/2007/03/16/economia/sequestradores_dados_informaticos_at.html