chips das matrículas

No Público de hoje: Comissão de Dados "chumba" chips das matrículas e fala de vigilância ilegal

Excerto: "A Comissão Nacional de Protecção de Dados (CNPD) considerou ontem que não está garantido o direito à privacidade dos condutores na proposta de lei para tornar obrigatória a instalação de um dispositivo electrónico nas matrículas dos veículos motorizados, num parecer que compromete o objectivo do Governo de avançar com o novo sistema já no início de 2009."

Segurança dos 4 grandes fornecedores de Cloud Computing

um artigo sobre o tema no blog Rational Survivability, entre muitos outros que lá podem ser encontrados:

The Big Four Cloud Computing Providers: Security Compared (Part I)
"The point here is that the quantification of what "security" means in the cloud is as abstracted and varied as the platforms that provide the service. We're essentially being asked to take for granted and trust that the underlying mechanicals are sound and secure while not knowing where or what they are. "

Segurança de infraestruturas críticas: o artigo!

Saiu o número de Nov./Dez. da IEEE Security and Privacy. O número é dedicado à protecção de infraestruturas críticas (process control system security) e contém um artigo do nosso grupo:

The CRUTIAL way of Critical Infrastructure Protection
Alysson Bessani, Paulo Sousa, Miguel Correia, Nuno Ferreira Neves, Paulo Veríssimo
IEEE Security & Privacy, Nov/Dec 2008.

Boa leitura!

Combate à pirataria

no Público de hoje:

Movimento exige ao Governo medidas de combate à pirataria
26.11.2008, João Pedro Pereira

O Movimento Cívico Antipirataria na Internet (MAPiNET), formado recentemente por representantes do sector musical e audiovisual, critica a ausência de meios em Portugal para o combate à pirataria e entrega esta tarde, ao primeiro-ministro e aos grupos parlamentares, um manifesto em que defende a criação de novas medidas para evitar a descarga de ficheiros ilegais.
O movimento traça um cenário negro para as indústrias culturais em Portugal. A pirataria na Internet, sobretudo de filmes e música, tem causado o encerramento de pequenas empresas e a perda "acentuada" de ganhos, argumentou ontem, em conferência de imprensa, Alexandre Bravo, um dos porta-vozes do movimento e representante dos videoclubes portugueses.
(...)
A solução, defende o MAPiNET, pode passar por algo semelhante ao acordo Olivennes, adoptado há cerca de um ano em França (...)
A estratégia francesa passa por despenalizar criminalmente os pequenos piratas informáticos (tipicamente, os que descarregam para consumo caseiro) e fazer com que os fornecedores de acesso vigiem actividades suspeitas e suspendam a ligação a quem descarregar conteúdos ilegais. O sistema é simples: se, depois de avisados três vezes, os utilizadores não deixarem de descarregar ilegalmente, a ligação à Internet é cortada. (...)


Lei dificulta investigação de muitos cibercrimes
26.11.2008

A lei portuguesa para os crimes informáticos é de 1991 e está desactualizada, defendem os representantes do Movimento Cívico Antipirataria na Internet, que hoje se queixam ao Governo.
Em 2001, o Conselho da Europa elaborou uma convenção para o cibercrime (de que Portugal é um dos signatários) que poderia resolver alguns dos problemas e dar novos instrumentos de investigação às autoridades - mas o texto ainda não foi transposto para a legislação portuguesa (o que também não aconteceu em muitos outros países que assinaram o documento).
(...)

Chip malicioso: teoria da conspiração?

Um ex-expião da CIA, Robert Eringer, escreveu um artigo a dizer que a China está a colocar chips cavalos de Tróia nos chips "normais" que são inseridos nos PCs comerciais "normais". Esses chips poderiam ser controlados remotamente para diversos fins.

Cheira a teoria da conspiração, mas não é impossível e a tentação é óbvia. Sob o ponto de vista técnico há uma série de questões interessantes. Não é evidente como é que um chip colocado dentro da memória ou até do CPU pode ser contactado a partir da rede. Se o objectivo for roubar informação, não é claro como é que pode ler o disco a partir de um chip (para aceder ao disco é preciso ter drivers que são software várias camadas de abstracção acima doo hardware). Etc.

O artigo no Daily Artisan:
AND NOW THE MANCHURIAN MICROCHIP

10 ferramentas para proteger máquinas Linux



Nada de novo mas tem uma explicação simples de cada ferramenta e de porquê usá-la para proteger uma máquina Linux:

Turn Linux into Fort Knox: 10 Tools for a Safer Web Server

Não vai revolucionar a segurança informática, mas se todas as máquinas Linux usassem essas 10 ferramentas não se perdia nada.

script fragmentation - um novo ataque?

A descoberta de novos ataques ou vulnerabilidades é sempre um marco importante em segurança. Este parece uma variante de uma ideia antiga, mas aparece num contexto novo (tanto quanto sei): scripts em aplicações web.

Artigo na eWeek.com: Script Fragmentation Attack Could Allow Hackers to Dodge Anti-virus Detection

Excerto:

Security researcher Stephan Chenette opened up to eWEEK about a new Web attack vector that could potentially render desktop and gateway anti-virus products useless. (...) Similar to TCP fragmentation attacks, it involves breaking down Web exploits into smaller pieces and distributing them in a synchronous manner to evade anti-malware signature detection.

"What this attack enables you to do is really get exploit code from the server into the browser memory and trigger the exploit (...) Once you actually are able to trigger that exploit, you own that machine, so that means you can disable anti-virus, you can disable any protection mechanism after the fact."

The attack works like this: Malware authors write benign client code and embed it in a Web page. The only content contained on the initial page will be a small JavaScript routine utilizing XHR or XDR. This code contains no actual malicious content, and the same type of code is found on all of the major legitimate Web 2.0 sites.

When a user visits the Web page, the JavaScript and the XDR or XHR will slowly request more code from other Web servers a few bytes at a time, thereby only allowing a user's gateway anti-virus engine to analyze a few seemingly innocuous bytes as it tries to determine whether or not the Web site is malicious.

Once received by the client, the bytes are stored in an internal JavaScript variable. The client will request more and more information until all the information has been transferred. Once it has been transferred JavaScript will be used to create a Script element within the DOM (Document Object Model) of the browser and add the information as text to the node. This in turn will cause a change to the DOM and execute the code in the script element.

According to Chenette, the entire process—from data being transferred over the network to triggering JavaScript within the DOM—can slip under the radar because no malicious content touches the file system. It's done completely in memory, and any content that is transferred over the network is done in such tiny fragments that anti-virus engines parsing the information don't have enough context or information to match any signatures.

The attack (...) has not been seen in the wild (...) works on all the major browsers (...) however, it is not a browser vulnerability—it merely takes advantage of the way browsers work.

3 livros disponíveis online

em http://www.acsac.org/secshelf/books.html

Information Security: An Integrated Collection of Essays
Edited by Marshall D. Abrams, Sushil Jajodia, Harold J. Podell
IEEE Computer Society Press, Los Alamitos, CA USA, 1995
ISBN: 0-8186-3662-9, LoC CIP: 94-20899, DDN: QA76.9.A25I5415
Building a Secure Computer System
Morrie Gasser
Van Nostrand Reinhold, New York, NY USA,1988
ISBN: 0-442-23022-2, LoC CIP:87-27838, DDN: QA76.9.A25G37
Security Engineering
Ross Anderson
John Wiley & Sons, Inc., 2001
ISBN: 9780471389224





relatório sobre software security assurance



no site do IATAC - Information Assurance Technology Analysis Center. Não li mas fiquei impressionado com as suas trezentas e tal páginas: Software Security Assurance .

Overview: The objective of software assurance is to establish a basis for gaining justifiable confidence that software will consistently demonstrate one or more desirable properties. These include such properties as quality, reliability, correctness, dependability, usability, interoperability, safety, fault tolerance, and-of most interest for purposes of this document-security.

boas práticas para projecto de software seguro







um documento fresquinho do Software Assurance Forum for Excellence in Code (SAFECode) :

"The Software Assurance Forum for Excellence in Code (SAFECode) has released its second member report, "Fundamental Practices for Secure Software Development." Based on an analysis of the individual software assurance efforts of SAFECode members, the paper outlines a core set of secure development practices that can be applied across diverse development environments to improve software security. "

Download Development Practices Paper (pdf) 2.1M

Political Hacking

Mais um blog que eu desconhecia mas que tem muito material interessante (e que tb merece o prémio pelo nome mais loooonnngo):

Politically Motivated Computer Crime and Hacktivism
News and information on the misuse of technology for political reasons. Politically motivated computer crime covers a wide range of activity promoting the objectives of individuals, groups or nations supporting a variety of causes such as: Anti-globalization, trans-national conflicts, terrorism and 'hacktivists'.

Remover vulnerabilidade pode ser complicado

Independendentemente da discussão sobre se a Microsoft devia ou não ter resolvido o problema mais depressa, este artigo sobre uma vulnerabilidade que demorou 7 anos (!) a ser removida mostra que essa operação pode não ser nada simples. Um pequeno excerto:

"When this issue was first raised back in 2001, we said that we could not make changes to address this issue without negatively impacting network-based applications. And to be clear, the impact would have been to render many (or nearly all) customers’ network-based applications then inoperable. For instance, an Outlook 2000 client wouldn’t have been able to communicate with an Exchange 2000 server. We did say that customers who were concerned about this issue could use SMB signing as an effective mitigation, but, the reality was that there were similar constraints that made it infeasible for customers to implement SMB signing."


O artigo completo no blog Zero Day:
Why did Microsoft wait 7 years to fix SMBRelay attack flaw?

Falsos ISPs excluídos da Internet

A notícia não é nova pois dados sucessivos têm vindo a lume nas últimas semanas. Também não é definitiva pois ainda há muitos aspectos ainda desonhecidos. Apesar de tudo isso, creio que vale a pena deixar no blog algo sobre o tema pois parece-me um momento importante: dois ISPs responsáveis por uma percentagem importante do spam que circula pela internet e por outras actividades ilícitas -- Atrivo e McColo -- foram excluídos da rede. Mais informação na Ars Technica:

Bad seed ISP Atrivo cut off from rest of the Internet
Spam sees big nosedive as rogue ISP McColo knocked offline

Conferência Nacional sobre Segurança Informática nas Organizações é na próxima semana

Realiza-se já na próxima semana, em Coimbra, a 4ª edição da Conferência Nacional sobre Segurança Informática nas Organizações (SINO 2008).

O programa está disponível em http://sino2008.dei.uc.pt/index.php?file=programa e as inscrições ainda se encontram abertas.

Novidades no blog!

temos um novo domínio: http://www.seguranca-informatica.net/

e um novo blogger: Paulo Sousa; bem vindo!

Adeus à segurança por magia

Quando se houve falar de criptografia quântica, parece que a varinha de condão tocou a segurança e que todos os males vão ficar resolvidos. Ou, pelo menos, e deixando de ser irónico, vamos ter criptografia e protocolos criptográficos 100% seguros (afinal de contas, quem é que sabe programar com qubits e coisas assim?). Pois, a primeira má notícia chegou: um produto comercial que faz distribuição de chaves criptográficas usando criptografia quântica foi "hackado":

Quantum key distribution meets the real world, fails

Obviamente não pretendo dizer que a cripto quântica não tenha valor e que não possa fornecer de facto um grau de segurança elevado: provavelmente sim. O que ficou agora claro é que não basta dizer que é "quântico" para a segurança vir por magia.

notícias do OWASP EU Summit 2008

...directamente do OWASP EU Summit 2008, em Albufeira (para links --> Google ou site do OWASP):

WebSlayer
- fuzzer para apps web
- parece mais sofisticado do que o WebScarab (como fuzzer); configurável, suporta sessões, tem em conta a localização dos recursos nos servidores mais comuns
- status alpha, 100% operacional

Ruby on Rails Security project
- guia (documento) sobre segurança do Ruby on Rails e tecnologias relacionadas (MySQL, servidor)

Skavenger
- ferramenta para "análise passiva" de vulnerabilidades de web apps, ou seja, executada sobre os logs depois da exec de um security scanner

WebScarab
- proxy web
- nao é novo mas perguntando ao autor fiquei (finalmente) a saber como o correr com mais memória, ficando portanto capaz de lidar com mais mensagens: basta indicar ao Java um tamanho da heap superior a 64M. Por ex., para 512M, dependendo das versões acrescentar -Xm512M ou -Xms512000000 -Xmx512000000 (por ex alterar o link para o webscarab)

mais ferramentas:

ModSecurity - an open source web application firewall that runs as an Apache module

ESAPI - a free and open collection of all the security methods that a developer needs to build a secure web application

Firebug - um plugin para o Firefox que permite ver e modificar todos os elementos de uma página

Burp Suite - an integrated platform for attacking web applications

e finalmente: um comic book sobre o Google Chrome (!)

LiveCDs e segurança

BackTrack - is a SLAX based linux distribution derived from merging two penetration testing distributions, Whax and Auditor. BackTrack features user modularity: the user can customise the distribution to include personal scripts, or additional tools.

OWASP LiveCD 2008 - similar to BackTrack but focused on web applications

Damn Vulnerable Linux (DVL) - is a Linux-based tool for IT-Security; is a perverted Linux distribution made to be as insecure as possible. It is collection of IT-Security tools. Additional it includes a fullscaled lesson based environment for Attack & Defense on/for IT systems for self-study or teaching activities during university lectures. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. As well it can be run within virtual machine environments, such as qemu or vmware. There is no need to install a virtual machine if you use the embedded option. Its sole purpose in life is to put as many security tools at your disposal with as much training options as it can. It contains a huge ammount of lessons including lesson description - and solutions if the level has been solved by a community member at crackmes.de.

Samurai Web Testing Framework - is a live linux environment that has been pre-configured to function as a web pen-testing environment. The CD contains the best of the open source and free tools that focus on testing and attacking websites. In developing this environment, we have based our tool selection on the tools we use in our security practice. We have included the tools used in all four steps of a web pen-test.

(para os links --> Google)