Popularidade das linguagens de programação

Muitas das vulnerabilidades nas aplicações correntes são causadas por problemas inerentes às linguagens C e C++, como a falta de verificação dos limites dos arrays, ou problemas com algumas funções das suas bibliotecas (como o printf). Linguagens mais recentes como o Java ou o C# não sofrem desses problemas. Logo é interessante saber quais sãos as linguagens mais populares entre os programadores. Um índice de popularidade é o TIOBE Programming Community Index (TCPI), da TIOBE Software.

Documentos interessantes...

O NIST (National Institute of Standards and Technology) americano, através do Computer Security Resource Center (CSRC) acaba de publicar três documentos com "security guidelines" interessantes (e longos):

Guidelines on Electronic Mail Security

Guide to Intrusion Detection and Prevention Systems (IDPS)

Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i

Mais documentos do CSRC aqui.

Segurança em VoIP e no Skype?

VoIP security and Skype - is this an oxymoron or is there anything conclusive about this issue?

http://blog.cytrap.eu/?p=168

Como calar alguém na Internet...

Da SecurityFocus:

"The misnamed Storm Worm, actually a Trojan horse, underscores the evolution of spammers' tactics, including massive attacks on their critics and competitors."

"For 24 hours in mid-January, stock-fraud investigation site StockPatrol disappeared from the Internet, overwhelmed by a massive flood of Web requests coming from thousands of sources."

Nota no site que foi "calado".

Política e segurança informática

A segurança informática não é um problema meramente técnico. Uma interessante entrevista a Greg Garcia, Assistant Secretary da Homeland Security americana, apresenta algumas ideias sobre medidas de carácter político para melhorar a segurança de computadores e redes. Nas CNET News.

"For example, Garcia is asking for Congress to think of ways to promote more purchases of security technology or technology with security already built in. He's not asking for regulation of the industry. He opposes that, thus going against some who have advocated backdoors in encryption technology so law enforcement can read the encrypted files of criminal suspects."

Roubo de laptops

O roubo de laptops, PDAs e outros dipositivos com grande capacidade de armazenamento de dados são uma grande preocupação actual em segurança da informação. Um artigo interessante sobre o tema.

Security podcasts

The Silver Bullet Security Podcast

10 podcasts (até agora) com entrevistas com nomes de primeira água, e com direito a resumo na IEEE Security & Privacy.

Patch mensal da Microsoft: bom ou mau?

Opiniões de diversos especialistas sobre o processo de patch mensal da Microsoft. Um aperitivo:

"In a zero-day world when Windows exploits are circulating for months before Microsoft can get patches ready, should Redmond consider a change in its monthly patch cycle?"

Na ZDNet.

Cartão do Cidadão e privacidade


A questão do cartão de cidadão revela mais uma vez que a privacidade é uma prioridade quando se fala de segurança... Parece que o cartão vai mesmo avançar, como se pode ver hoje no Público e com a publicação recente do decreto-lei que o rege. O facto de a Constituição no artigo 35º ponto 5 dizer "É proibida a atribuição de um número nacional único aos cidadãos." foi ultrapassado colocando quatro números em vez de apenas um (os do BI, SS, SNS, e contribuinte). O parecer da CNPD (37/2006) é interessante pois fala do "ligeiro pormenor" de não se terem estudados os problemas da segurança envolvidos:

"a proposta aqui em estudo não traz consigo qualquer estudo que avalie o risco para a privacidade e para a protecção dos dados pessoais da introdução do cartão do cidadão, não traz qualquer estudo sobre os riscos e perigos efectivos para a segurança e fiabilidade do sistema de informação adoptado para tão grande mudança e concentração de informação, nem traz nenhum estudo que avalie o impacto positivo – o proveito para a segurança dos documentos de identificação, o proveito para o desempenho da Administração Pública e o proveito para os cidadãos – pretendidos com a introdução do cartão do cidadão."

Vale a pena ler:

"
13. What are the privacy implications of an ID card?
In short, the implications are profound. The existence of a persons life story in a hundred unrelated databases is one important condition that protects privacy. The bringing together of these separate information centers creates a major privacy vulnerability. Any multi-purpose national ID card has this effect.

Some privacy advocates in the UK argue against ID cards on the basis of evidence from various security threat models in use throughout the private sector. In these models, it is generally assumed that at any one time, one per cent of staff will be willing to sell or trade confidential information for personal gain. In many European countries, up to one per cent of bank staff are dismissed each year, often because of theft.

The evidence for this potential corruption is compelling. Recent inquiries in Australia, 18 Canada 19 and the United States 20 indicate that widespread abuse of computerized information is occurring. Corruption amongst information users inside and outside the government in New South Wales had become endemic and epidemic. Virtually all instances of privacy violation related to computer records.

Data Protection law is wholly inadequate to deal with the use of ID cards. Indeed legislation in most countries facilitates the use of ID cards, while doing little or nothing to limit the spectrum of its uses or the accumulation of data on the card or its related systems."

E, já agora, ver esta paródia sobre a proposta de cartão de identificação inglesa.

Portugal, Campeonato do Mundo e Crime Informático

Portugal teve uma referência no "McAfee Virtual Criminology Report 2007 - Organized Crime and the Internet" :-)

WORLD CUP WOES –
CRIMINALS 3: CONSUMERS: 0

Virus writers got themselves into a football frenzy unleashing attacks attempting to cash in on sports supporters. (...)

An analysis of screensaver pages associated with the World Cup found that a high proportion of sites were loaded with adware, spyware and malicious downloads. Among the teams, Angola (24%), Brazil (17.2%) and Portugal (16.2%) rated especially highly, while among the players, superstars Cristiano Ronaldo of Portugal, David Beckham of England and Ronaldinho of Brazil posed a significant danger to fans.

DRM no Windows Vista

A confusão com os DRM (Digital Rights Management) continua... Investigadores makers como Peter Gutmann e Bruce Schneier têm criticado duramente os DRM no Vista:

A Cost Analysis of Windows Vista Content Protection, Peter Gutmann

DRM in Windows Vista, Bruce Schneier

Um cheirinho deste último:

"Windows Vista includes an array of "features" that you don't want. These features will make your computer less reliable and less secure. They'll make your computer less stable and run slower. They will cause technical support problems. They may even require you to upgrade some of your peripheral hardware and existing software. And these features won't do anything useful. In fact, they're working against you. They're digital rights management (DRM) features built into Vista at the behest of the entertainment industry."

How Does The Hacker Economy Work?

Artigo da InformationWeek sobre o sistema económico dos criminosos informáticos.

A realidade é bem diferente da ficção. No submundo a economia funciona à base de esquemas que de tecnicamente sofisticados não têm muito. É a prova que, para quem se movimenta por dinheiro, o elo mais fraco é sempre o mais atractivo.

Open Web Application Security Project

The Open Web Application Security Project (OWASP) is an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas. We can be found at http://www.owasp.org

OWASP's projects cover many aspects of application security. We build documents, tools, teaching environments, guidelines, checklists, and other materials to help organizations improve their capability to produce secure code. For details on all the OWASP projects, please see the OWASP Project page.

Ciber-Raptos

Mais uma forma de malware: ransomware. Trata-se de software que cifra dados e/ou programas num computador até que o legítimo dono pague um resgate (ransom em Inglês). Oh brave new world...

Mais informação:

The Emergence of Ransomware
http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_avar_ransomware.pdf

Mais relatórios de 2006

2006 Annual Threat Roundup and 2007 Forecast -- Trend Micro
http://es.trendmicro-europe.com/enterprise/security_info/secure_papers.php
http://es.trendmicro-europe.com/global/products/collaterals/white_papers/2006AnnualThreatRoundup.pdf

McAfee Virtual Criminology Report 2007
Organized Crime and the Internet
http://www.mcafee.com/us/threat_center/white_paper.html
http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_virtual_criminology_report_2007.zip

Nível de ameaça na Internet (II)

As medidas do nível de ameça na Internet são curiosas. Hoje às 9h00 o Symantec DeepSight Threat Management System indica um nível elevado devido a uma vulnerabilidade no telnet do Solaris 10. O ISS X-Force indica um nível baixo de ameaça. O McAfee Threat Center indica um nível elevado mas devido a vulnerabilidades diversas em software Microsoft. Uf!

CyTRAP Labs

Têm diversos serviços de entrega de alertas, ideias, etc por email:

CASEScontact.org and CyTRAP Labs - alerts, tips, news and free tools http://CASEScontact.org/subscribe_all.php

CyTRAP Labs zero-day vulnerability list
http://CASEScontact.org/zeroday_list.php

Segurança de dispositivos móveis

PDAs? Telemóveis?

Perguntas e respostas inspiradas na conferência RSA 2007:

How important a threat is mobile malcode?
Why hasn’t an epidemic occurred yet? When will it?
What are the predominant attack vectors used by mobile malcode?
What are biggest risks of mobile malcode?
What are differences and similarities of mobile malcode compared that traditional IT security that managers should be aware of?
...

Para ler aqui no site informit.com

Criptografia em crise?


A história da criptografia -- essa ferramenta crucial para a segurança informática -- é uma história de gato e rato entre criptógrafos (quem cria algoritmos criptográficos) e criptoanalistas (quem os tentam quebrar). Recentemente, um dos tipos de algoritmos criptográficos mais usados, as sínteses criptográficas (one-way hash functions), entrou em "crise" quando foi provado que o algoritmo SHA-1 é mais fraco do que parecia (para simplificar a coisa...). Um artigo interessante sobre o assunto no site da Wired:

http://www.wired.com/news/columns/0,72657-0.html?tw=wn_index_25


Um livro leve sobre a história da criptografia e esse jogo de gato e rato: Simon Singh - O livro dos códigos. Lisboa: Temas e Debates. Uma recensão. O site do livro.

Psicologia da segurança

Ensaio muito interessante de Bruce Schneier sobre a diferença entre sentir-se seguro e estar seguro.

"Security is both a feeling and a reality. And they're not the same.

The reality of security is mathematical, based on the probability of different risks and the effectiveness of different countermeasures. We can calculate how secure your home is from burglary, based on such factors as the crime rate in the neighborhood you live in and your door-locking habits. We can calculate how likely it is for you to be murdered, either on the streets by a stranger or in your home by a family member. Or how likely you are to be the victim of identity theft. Given a large enough set of statistics on criminal acts, it's not even hard; insurance companies do it all the time."


http://www.schneier.com/essay-155.html

Online banking seguro?

Do Blog CyTRAP Labs:

What have HSBC, UBS and the Bank of England and others in common? Insecure online banking services - http://cytrap.eu/blog/?p=49

Online banking services - survey says: antifraud measures insecure - http://cytrap.eu/blog/?p=167

Windows Vista security (III)

Um artigo genérico que lista uma série de mecanismos de segurança usados no Vista:

Vista raises the bar for flaw finders
Robert Lemos, SecurityFocus 2007-01-29

"Microsoft launched its latest operating system--Windows Vista--on Monday, a move that will make finding easily exploitable vulnerabilities a lot harder, according to security researchers."

http://www.securityfocus.com/news/11439

Windows Vista security (II)

Introduction to Windows Integrity Control
Tony Bradley, CISSP-ISSAP 2007-02-02

"This article takes a look at the Windows Integrity Control (WIC) capabilities in Windows Vista by examining how it protects objects such as files and folders on Vista computers, the different levels of protection offered, and how administrators can control WIC using the ICACLS command-line tool. WIC is intended to protect a system from malware and user error by helping to establish different levels of trust on objects."

http://www.securityfocus.com/infocus/1887

Ataques contra os servidores de raiz do DNS

No dia 6/2 houve um ataques DDoS (Distributed Denial of Service) contra vários dos servidores de raiz do DNS. Aparentemente nenhum deles ficou inoperacional. Mais informação em:
http://www.us-cert.gov/current/#dnsanom
http://www.washingtonpost.com/wp-dyn/content/article/2007/02/06/AR2007020601563.html

Wireless Hacking Made Simple


Uma nova solução a que já chamaram "a mais assustadora da RSA Conference 2007": Silica, um PDA para testar e atacar redes móveis.


Mais informação:
http://blogs.zdnet.com/security/?p=19&tag=nl.e589

Phishing a bancos portugueses

“Phishing” simultâneo a quatro bancos (SIC online, 07-02-2007)

"Os clientes do Banco Popular, BCP, Banif e Caixa Geral de Depósitos estão a receber e-mails falsos onde são pedidos dados pessoais e bancários. É o primeiro ataque em simultâneo a quatro bancos a operar em Portugal."

Windows Vista security

Windows Vista security: First impressions
I. Philips
Information Security Technical Report
Volume 11, Issue 4 , 2006, Pages 176-185


This article looks at Microsoft's latest operating system, based upon a pre-release RC1, to provide an overview to Windows Vista, its new security features and provide early indications on how Vista lives up to its design aims from a security perspective. In-depth discussions of potential vulnerabilities within Vista have been omitted from this article for brevities sake, but links to further reading are provided at the end to a number of documents on this area.

Gestão de Segurança


OSSIM http://www.ossim.net/

Ossim stands for Open Source Security Information Management. Its goal is to provide a comprehensive compilation of tools which, when working together, grant a network/security administrator with detailed view over each and every aspect of his networks/hosts/physical access devices/server/etc...

Dia da Internet Segura

Foi ontem. Um artigo no Público: Dia da Internet Segura lança debate sobre as novas ameaças on-line

Um excerto:

"Mas e se a Net fosse alvo de ataques que nos deixassem sem luz, sem água ou sem comunicações?O cenário é catastrófico mas não é impossível. Imagine-se um atentado terrorista como o de Nova Iorque, do metro de Londres ou de Madrid; e se esse ataque afectasse a rede de emergência que permite socorrer as pessoas? A segurança na Internet é, afinal, uma questão delicada que afecta todos, mais ou menos crescidos.
Paulo Veríssimo, professor da Faculdade de Ciências da Universidade de Lisboa e especialista em segurança informática, sobretudo relacionada com as chamadas infra-estruturas críticas (redes de electricidade, água ou comunicações, por exemplo), considera que a dependência dessas infra-estruturas em relação à Internet "é real". Como exemplo, lembra como o serviço de emergência 112 foi interrompido durante 41 minutos no dia 17, nos distritos de Lisboa, Porto e Viseu, em resultado de uma avaria na central telefónica da ONI.
"É um risco com o qual temos que saber lidar", considera Paulo Veríssimo. "Hoje há muita informação que nos diz que as infra-estruturas críticas estão muito vulneráveis. É como guardar as jóias num cofre e depois abrir janelas para a rua", diz. Tudo isto porque, de uma forma ou de outra, essas infra-estruturas acabam por estar parcialmente ligadas à Internet. "Um hacker pode tentar entrar numa dessas redes e desligá-la, no mínimo."
Mas essa hipótese é assim tão verosímil? "Não é um cenário futurista, nem de desenhos animados", responde Veríssimo. E dá o exemplo de um vírus informático, o Slammer, que em 2003 provocou uma situação de alarme numa central nuclear norte-americana. Ou de um ex-empregado de uma empresa de gestão de águas australiana que, pela mesma altura, entrou no sistema informático, inverteu a circulação da água e pôs as águas dos esgotos a correr em jardins. "Este tipo de ataques é possível", conclui."

Reunião do ICANN em Lisboa

26 a 30 de Março, organizada pela FCCN

http://www.icann-lisboa.pt/

Trusted Computing e interfaces seguras

Um excerto de um artigo que levanta problemas de segurança no Trusted Platform Module (TPM), a principal componente da iniciativa de Trusted Computing. O problema é o mesmo de tantas outros sistemas informáticos: a interface.

"Both the 4758 CCA and the TPM can be coaxed into revealing their private keys.[4,5] These attacks do not break the underlying cryptography, but are instead API-level attacks —sequences of valid API commands. In fact, the attacks on both systems use analogous command sequences. First, the attacker loads a subverted “migration” key onto the device. Then, the device is asked to “wrap” (encrypt) the private key in it for migration.

IBM eliminated this attack in subsequent versions of the CCA, and the TPM specification now provides equivalent functionality that’s not susceptible to this attack. However, the fundamental problem remains: the interfaces for trusted cryptographic subsystems are complex, and complexity always carries with it the potential for insecurity. Before using these devices to protect our vital infrastructures, we must develop methods for security API analysis and, using those methods, ensure that the actually provide the necessary security guarantees."

In Jonathan Herzog, "Applying Protocol Analysis to Security Device Interfaces," IEEE Security and Privacy, vol. 04, no. 4, pp. 84-87, Jul/Aug, 2006.

SD3 - Secure by Design, Secure by Default, Secure in Deployment

Os princípios de projecto sempre desempenharam um papel importante em segurança. Não é habitual ver princípios novos que acrescentem muito aos clássicos recolhidos por Saltzer e Schroeder. No entanto a Microsoft tem defendido um conjunto de 3 princípios muito úteis e fáceis de fixar: SD3 - Secure by Design, Secure by Default, Secure in Deployment. Um artigo sobre o assunto e uma apresentação em vídeo de Michael Howard.

Bom desafio em Segurança?

O que é um bom desafio em segurança informática? Segundo Carl Landwehr da Universidade de Maryland e actual "editor in chief" da IEEE Security & Privacy, deve ter três características:
  1. It must be difficult enough, and relevant enough, that accomplishing it will lead to a measurable advance of some sort in security technology.
  2. It must be possible to impartially and repeatedly rank the results of efforts by different competitors.
  3. It must be interesting enough to attract widespread interest and simple enough to explain to those not involved in the field.

Do editorial da edição de Jan/Fev dessa revista.

Podemos confiar no Wi-Fi?

Um artigo muito interessante na IEEE Security & Privacy de Jan/Fev de 2007:

http://www.computer.org/portal/site/security/index.jsp?pageID=security_level1_article&TheCat=1015&path=security/2007/n1&file=aime.xml

Jim Gray

Jim Gray, autor de trabalho seminal em transacções distribuídas e bases de dados, prémio Turing de 1998, está desaparecido no mar. O caso gerou a primeira operação de busca e salvamento no mar... feita na Internet. Informação na wikipedia e num blog criado para o efeito.

Nível de ameaça na Internet

Informação actualizada sobre o nível de ameça na Internet, ataques correntes, etc.:

Symantec DeepSight Threat Management System
ISS X-Force
Internet Storm Center - DShield

Ciber-terrorismo e infraestruturas críticas


O que é que ciber-terrorismo e infraestruturas críticas têm que ver? Tudo... Um livro brilhante sobre o tema:

Black Ice: The Invisible Threat of Cyber-Terrorism
Dan Verton
Mc-Graw Hill 2003

Tolerância a Intrusões


Uma definição: a Tolerância a Intrusões é a aplicação do paradigma da Tolerância a Faltas no domínio da Segurança.

Um workshop internacional sobre o tema que estamos a organizar aqui em Lisboa:
http://wraits07.di.fc.ul.pt/

Um texto em português sobre o tema:
http://www.di.fc.ul.pt/sobre/?abstract&report_ref=2005-18

Mais sobre o tema:
http://www.navigators.di.fc.ul.pt/it

The Six Dumbest Ideas in Computer Security

Algumas são discutíveis mas vale a pena ler:

http://www.ranum.com/security/computer_security/editorials/dumb/

Top 20 de vulnerabilidades em 2006

Interessante como sempre:


http://www.sans.org/top20/
http://files.sans.org/top20/top20_2006.pdf


Também muito interessante é a press release que acompanhou a divulgação da última versão. Dois excertos:

"This announcement comes in the midst of an explosion in cyber crime, driven in part by a surge in the number of online criminals in Asian countries along with continuing growth in attacks from Eastern European countries. The surge is so great that several banks have reported 400 to 500 percent increases in losses to cyber fraud from 2005 to 2006."

"Six major trends in attack patterns can be seen in the update:
1. Surge in zero-day vulnerabilities and attacks that go beyond Internet Explorer to target other Microsoft software.
2. Rapid growth in attacks exploiting vulnerabilities in ubiquitous Microsoft Office products such as PowerPoint and Excel.
3. Continuing growth in targeted attacks.
4. Evidence of much greater penetration of military and government contractor sites using spear-phishing attacks; likely heralding a spread to target other types of organizations.
5. VOIP (Voice over Internet Protocol) attacks used now to make money by reselling minutes and potentially for injection of misleading messages and even for creating massive outages in the old phone network.
6. Massive and still increasing exploits of vulnerabilities in web applications."