Novas funções de síntese criptográfica (hash)

Parece uma notícia muito técnica mas é muiiito importante para a segurança dos sistemas reais:

"The National Institute of Science and Technology (NIST) recently announced a competition to create a new hash algorithm. Hashes are algorithms that convert blocks of data into a short fingerprint to use in message authentication, digital signatures, and other security applications.

The competition comes as advances in algorithm analysis make the current SHA-1 and SHA-2 family standards more vulnerable. NIST plans to have the new hash algorithm, which will be known as Secure Hash Algorithm-3 (SHA-3) augment the standards presently specified in the Federal Information Processing Standard (FIPS) 180-2, Secure Hash Standard. Federal civilian computers are required to use these standards, and many in the private sector adopt them as well.

In particular, the SHA-1 family has been seriously attacked in recent years. ...

NIST's goal is to provide greater security and efficiency for applications using cryptographic hash algorithms. ...

A draft set of requirements for acceptability, submission and evaluation criteria were published in January of 2007 and after a three month open comment period, were revised. The actual requirements for the competition (PDF) were published to the federal register on November 2, 2007.
...

FIPS 180-2 specifies five cryptographic hash algorithms: SHA-1, SHA-224, SHA-256, SHA-384 and SHA-512. Superseding FIPS 180-1 in August of 2002, FIPS 180-2 is already five years old, and with advances in cryptography and computing power, it's hard to be surprised that those algorithms have come under heavy attack."

Notícia completa: DailyTech

Segurança por Omissão em Sistemas de Gestão de Bases de Dados

E mais uma vez a propósito do SINO, ainda outro artigo em que estive envolvido (com Carlos Lourenço) apresentou um estudo experimental da segurança por omissão (ou "out-of-the-box") em sistemas de gestão de bases de dados (SGBDs). O estudo incidiu sobre os seguintes SGBDs: IBM DB2 (versões 8.2 e 9.1), Microsoft SQL Server (2000 e 2005), MySQL (4.1 e 5.0), Oracle (9i e 10g), PostgreSQL (7.4.14 e 8.2), Sybase (12.5 e 15).

Os resultados foram surpreendentes: comunicação em claro (em todos), vários SGBDs com contas de administrador sem password ou com password bem conhecida, informação sobre o sistema disponível em quantidades industriais...

E se ainda fosse preciso mais alguma motivação para esse estudo, veja-se este recente artigo:
"A survey by renowned database hacker David Litchfield has found a whopping 492,000 Microsoft SQL and Oracle database servers directly accessible to the Internet without firewall protection."
http://blogs.zdnet.com/security/?p=663&tag=nl.e589

Artigo completo: http://www.di.fc.ul.pt/~mpc/pubs/Lourenco-ConfiguracaoOmissaoSGBD-sino07.pdf

Ataques contra redes Ethernet

E ainda a propósito do SINO, outro artigo em que estive envolvido (com Pan Jieke e João Redol, da Nokia-Siemens) estudou o problema dos ataques contra o protocolo Spanning Tree, da Ethernet. Resumo:
Hoje em dia os elementos de rede (NEs) da camada 2 do modelo OSI, bridges ou switches, são componentes complexos, com centenas de milhares de linhas de software, que podem ser vulneráveis a ataques, permitindo até a execução remota de código no seu CPU interno. Este trabalho apresenta um esquema para proteger infra-estruturas de rede Carrier Ethernet de ataques lançados por NEs maliciosos contra o Spanning Tree Protocol. O artigo propõe um esquema de detecção de intrusões baseada em especificação, estendido com anotações de padrões temporais, de modo a detectar desvios do protocolo por parte dos NEs. A informação sobre ataques é cooperativamente trocada entre os NEs para decidirem se um NE é malicioso e se deve ser desligado da infraestrutura.

Artigo completo: http://www.di.fc.ul.pt/~mpc/pubs/jieke-sino07.pdf

Vulnerabilidades na Adaptação de Software de 32 para 64 bits

Ainda a propósito do SINO, um dos artigos em que estive envolvido (com Ibéria Medeiros) estuda o problema das vulnerabilidades que surgem quando código escrito para processadores de 32 bits é mal "portado" para processadores de 64. Mais precisamente os problemas surgem quando código escrito em linguagem C para o modelo de dados ILP32 é mal portado para o modelo de dados LP64, usado pelos derivados do SO Unix em processadores de 64 bits (o modelo da Microsoft, LLP64, não gera este tipo de problemas). Além de estudar o problema, o artigo apresenta a ferramenta de análise estática de código DEEEP, que descobre esse tipo de vulnerabilidades. A ferramenta descobriu uma vulnerabilidade desse tipo no Sendmail.

Resumo do artigo:
Fabricantes como a Intel e a AMD começaram a comercializar processadores com arquitecturas de 64 bits mas muito do software executado nesses processadores foi desenvolvido inicialmente para arquitecturas de 32 bits. As aplicações concebidas na linguagem de programação C para a arquitectura de 32 bits ao serem portadas para 64 bits podem ficar com vulnerabilidades relacionadas com a manipulação de inteiros. Este artigo estuda as vulnerabilidades que podem surgir quando se adapta (“porta”) sem os necessários cuidados software de 32 para 64 bits, considerando o modelo de dados LP64, muito utilizado em software de código aberto. O artigo propõe também a ferramenta DEEEP que faz a detecção dessas vulnerabilidades através de análise estática de código fonte. A ferramenta é baseada em duas ferramentas de análise estática de código abertas, que são usadas para encontrar bugs na manipulação de inteiros através de verificação de tipos, e para fazer análise de fluxo de dados para verificar se funções perigosas (p.ex., memcpy, strcpy) estão acessíveis de fora do programa. Após estas duas formas de análise, a ferramenta DEEEP permite correlacionar essas duas informações identificando se os bugs encontrados são realmente vulnerabilidades, ou seja, se são atacáveis. O artigo apresenta resultados da utilização da ferramenta com código vulnerável sintético, criado especificamente para avaliar a ferramenta, e com o Sendmail.

Artigo completo: http://www.di.fc.ul.pt/~mpc/pubs/medeiros-sino07_v2.pdf

3ª Conferência Nacional sobre Segurança Informática nas Organizações

Decorreu há dias em Lisboa mais um Conferência SINO, desta feita a terceira edição. As palestras convidadas foram todas muito boas, e algumas delas excelentes. Os artigos apresentados foram todos muito interessantes. Mais informação em:

http://sino2007.di.fct.unl.pt/

Ciberataque faz explodir gerador

Os cépticos continuam a duvidar que um ciberataque possa causar danos a infraestruturas críticas como a rede eléctrica, de água telecomunicações ou gás. Para retirar dúvidas, o Department of Homeland Security americano divulgou um video de um ciberataque a fazer explodir um gerador de electricidade. Na página da CNN:

- videos do gerador a explodir e da reportagem

- texto da reportagem

art.dhs1.jpg

Um excerto do texto:

"Researchers who launched an experimental cyber attack caused a generator to self-destruct, alarming the federal government and electrical industry about what might happen if such an attack were carried out on a larger scale, CNN has learned.

Sources familiar with the experiment said the same attack scenario could be used against huge generators that produce the country's electric power.

Some experts fear bigger, coordinated attacks could cause widespread damage to electric infrastructure that could take months to fix."

Hackers na China

Um interessante documentário de 46 minutos sobre hackers chineses:


O futuro do malware

Um documento interessante:

Malware – future trends
Dancho Danchev

A introdução:

"Malware has truly evolved during the last couple of years. Its potential for financial and network based abuse was quickly realized, and thus, tactics changed, consolidation between different parties occurred, and the malware scene became overly monetized, with its services available on demand.
What are the driving forces behind the rise of malware? Who’s behind it, and what tactics do they use? How are vendors responding, and what should organizations, researchers, and end users keep in mind for the upcoming future? These and many other questions will be discussed in this article, combining security experience, business logic, a little bit of psychology, market trends, and personal chats with knowledgeable folks from the industry."

Crime informático a pedido

"Next to the proprietary malware tools, malware as a web service, Shark2's built-in VirusTotal submission, the numerous malware crypting on demand services, the complete outsourcing of spam in the form of a "managed spamming appliance", and the built-in firewall and anti virus killing capabilities in commodity DIY malware droppers, all indicate that the dynamics of the malware industry are once again shifting towards a service based economy with a recently offered multiple firewall bypassing verification on demand service."

Artigo completo em: Dancho Danchev - Mind Streams of Information Security Knowledge