Cifra de discos quebrada

O roubo de laptops é um importante problema de segurança e privacidade actual. Por isso, diversos produtos que cifram o conteúdo do disco rígido. Apareceu há dias um ataque que permite encontrar a chave usada para cifrar os discos.

http://www.freedom-to-tinker.com/?p=1257

Modelação de ameaças ou de ataques

"Threat modeling" ou "attack modeling"? O primeiro termo foi introduzido por Edward Amoroso e tem sido difundido pela Microsoft (até através de um livro com o termo no nome). O segundo é o usado por Bruce Schneier no seu artigo "Attack trees", publicado no Dr. Dobbs de Dezembro de 1999. Ao fim de muito tempo finalmente descobri um post num blog que esclarece a confusão:
http://taosecurity.blogspot.com/2007/06/threat-model-vs-attack-model.html

Como é evidente, o termo correcto é o segundo (como modelar a ameça a que está sujeito um sistema?).

Segurança de infraestruturas críticas

A cidade polaca de Lodz tinha (tem?) um sistema de eléctricos com bifurcações controladoas electronicamente por infravermelhos ou coisa parecida, sem protecção. Um adolescente de 14 anos fez um comando para brincar aos comboios... Resultado: vários acidentes, com pelo menos 14 feridos.

http://www.theregister.co.uk/2008/01/11/tram_hack/

Mais um relatório sobre "security trends"

Muito interessante, da IBM X-Force:

http://www.iss.net/documents/literature/x-force_2007_trend_statistics_report.pdf

Top 3 de erros de programação

O SANS Institute fez uma análise das vulnerabilidades publicadas em 2006 para apurar quais os erros de programação que geram mais vulnerabilidades. O top 3 é:

1- Falta de validação e sanitização de input.
O erro está na base das principais vulnerabilidades encontradas em aplicações web: inclusão remota de ficheiros, execução de comandos remotos, SQL injection, cross site scripting (aka XSS)

2- Permitir que dados excedam o limite de um buffer.
O erro permite buffer overflows. Palavras para quê.

3- Tratamento incorrecto de inteiros.
Levou a uma série de vulnerabilidades críticas em serviços online.

IMHO, os dois primeiros são incontestáveis. Já o 3º é mais interessante aparecer num top 3. É também particularmente preocupante pois a semântica dos inteiros em linguagens como o C não é trivial nem muito portável (aliás, como se pode ver no artigo).

A press release do SANS Institute: http://www.sans-ssi.org/top_three.pdf

SQL injection em massa

Recentemente foi descoberto um ataque de SQL injection que está a ser feito em massa:

Mass exploits with SQL Injection
http://isc.sans.org/diary.html?storyid=3823

O ataque é interessante. Usa uma string longa, ofuscada com a instrução CAST (que faz um cast, converte um inteiro longo escrito em hexadecimal para string). O ataque escreve um url para o script colocado num site (http://yl18.net/0.js) em todos os objectos do tipo "varchar" em todas as linhas de tipo U (user table) da tabela sysobjects (que contém meta-informação no IIS).

Segurança nos aviões e aeroportos

A Transportation Security Authority americana criou um blog para apresentar e discutir algumas das medidas de segurança tomadas nos aeroportos. Para já está disponível uma defesa da política de limitar os líquidos transportados e as queixas de alguns utilizadores teve já o efeito de acabar com a prática de alguns aeroportos de pedir que os passageiros retirem todos os equipamentos electrónicos no controle de segurança.

Blog: http://www.tsa.gov/blog/