Novo documento do NIST sobre segurança

O NIST acaba de disponibilizar um draft sobre supervisão de segurança:

"Information Security Continuous Monitoring for Federal Information Systems and Organizations"
INITIAL PUBLIC DRAFT
Dezembro 2010
http://csrc.nist.gov/publications/drafts/800-137/draft-SP-800-137-IPD.pdf

Encontrei esta frase interessante, aparentemente a título de citação do documento:

"Effective IT security requires a top-down approach, with strategic planning at the organizational level rather than on a system-by-system basis"

Na realidade a frase não aparece no documento, embora este diga algo do género.

FBI colocou backdoor no stack IPSec do OpenBSD?

A notícia é que alguém disse que o FBI tinha pago à empresa onde trabalhava há 10 anos para pôr backdoor(s) no stack IPSec do OpenBSD. A ser verdade tem implicações importantes na segurança de outras pilhas IPSec e produtos dele derivados.

Os emails, para quem interessarem:

Forward do email original:
http://marc.info/?l=openbsd-tech&m=129236621626462&w=2
Comentário ao email original:
http://marc.info/?l=openbsd-tech&m=129296046123471&w=2
Comentário ao facto do email original ter sido trazido a público:
http://cryptome.org/0003/fbi-backdoors.htm

Who's Who:
Gregory Perry: autor do email original e ex-funcionário da NETSEC
Theo De Raadt: destinatário do email original que o tornou público;
fundador e coordenador dos projectos OpenBSD e OpenSSH

Stealing credit card numbers made easy: cartões de crédito com RFIDs

Quando parecia que as empresas de cartões de crédito já tinham perdido dinheiro suficiente surge a ideia extraordinária de criar cartões com RFIDs, logo legíveis sem contacto:

Electronic Pickpocketing via RFID
http://www.idtheftcenter.org/artman2/publish/headlines/Electronic_Pickpocketing_via_RFID.shtml

breve excerto:
"A new technology that's come out in the last few years might soon make magnetic strips extinct. Several bank cards come with a chip that allow you to pay for purchases by holding your card close enough to a card reader, but "contactless" cards have not caught on as fast as experts thought, because of fears of being electronically pickpocketed."


Alguns sites sobre esses cartões:
http://www.visa.com/visapaywave/
https://www295.americanexpress.com/cards/loyalty.do?page=expresspay

Videos de sessões de treino do IBWAS'10 disponíveis

Estão disponíveis gravações em video das sessões de treino do IBWAS'10, que decorreu há dias no ISCTE. Os temas são muito interessantes:

    * Guided Tour of OWASP Projects, by Dinis Cruz (OWASP Board)
    * OWASP Top Ten, by John Wilander (OWASP Sweden Chapter Leader)
    * OWASP Secure Coding Practices - Quick Reference Guide, by Miguel Almeida (Portuguese Local Chapter)
    * Implementation of Enigform for Wordpress, by Arturo 'Buanzo' Busleiman (Project Leader)
    * OWASP O2 Platform, by Dinis Cruz (OWASP Board)
    * OWASP Testing Guide, by Martin Knobloch (Education Committee)
    * OWASP Webslayer Project, by Christian Martorella (Project Leader)

Ligação: http://www.owasp.org/index.php/OWASP_Training#tab=Modules_and_Materials

OWASP, HTTP, etc.

Na 6ª feira estive na conferência IBWAS em Lisboa, um evento do projecto OWASP. Muita informação interessante, como sempre.

Uma apresentação muito interessante foi a de John Wilander, do OWASP Suécia. Falou sobre uma série de extensões ao HTTP que visam prevenir ataques como clicjacking. Algumas delas: HTTP Strict Transport Security (força HTTPS), X-Frame-Options (impede colocar uma página numa frame, para evitar clicjacking), content security policy, novo RFC sobre cookies, "do not track".

Falou ainda de uma vulnerabilidade "stored XSS" estranhissima. O script XSS está armazenado... num livro, na Amazon. Mais info: http://drwetter.eu/amazon/

O OWASP Summit 2011 vai ser em Fevereiro em Portugal, no Oeste. A não perder.

passwords mais usadas em Portugal

Um post muito interessante no blog do Miguel Almeida, que mostra bem como o elo mais fraco é bem mais fraco do que pode parecer:

Top 100 das passwords Portuguesas
http://miguelalmeida.pt/2010/12/top-100-das-passwords-da-treta-portuguesas.html

As passwords mais usadas são nomes próprios, o que é um espaço de busca pequeno. O pior é que esses nomes próprios devem ser do próprio ou de um familiar próximo...

wikileaks: a batalha campal

Não é um caso de ciber-guerra, mas uma autêntica batalha campal:
- wikileaks sob fogo de ataques DoS
- empresas que cortam o acesso a fundos à wikileaks sobre ataques DoS de um grupo de hackers (Anonymous)
Onde vai acabar?

Visa under attack from Anonymous, payment processors, as WikiLeaks war escalates
4chan rushes to WikiLeaks' defense, forces Swiss banking site offline
ArsTechnica

mais software falso

Há uns tempos começaram a aparecer pacotes de software anti-virus falsos, agora são as aplicações de limpeza de disco falsas. A confiança no fornecedor do software é cada vez mais necessária.

From rogue AV to fake disk clean-up utilities
no blog Zero Day

Quando o controle de acesso falha

O controle de acesso é um mecanismo fundamental da segurança de qualquer sistema. É também um mecanismo que sofre de inúmeros problemas, por exemplo:
  • se mal configurado, o atacante pode aceder a recursos de forma indevida;
  • se um utilizador legítimo divulgar os seus dados de acesso, o atacante pode aceder ao sistema;
  • se houver uma vulnerabilidade no sistema que concretiza o controlo de acesso, este pode ser ultrapassado.
Há dias soube-se uma nova vulnerabilidade nos Windows recentes que permite contornar o controle de acesso, mais propriamente o User Account Control (UAC). A vulnerabilidade permite fazer escalamento de privilégios, ou seja, obter privilégios superiores aos detidos pelo utilizador.

A notícia na ArsTechnica: http://arstechnica.com/microsoft/news/2010/11/newly-discovered-windows-kernel-flaw-bypasses-uac.ars

Conferência de Segurança em Lisboa a 16-17 de Dezembro

2nd. OWASP Ibero-American Web Application Security Conference (IBWAS'10)

As inscrições para o IBWAS 2010 estão abertas. Também já estão anunciadas diversas apresentações convidadas.

A conferência tem um dia de cursos e outro de conferência propriamente dita.

Vulnerabilidades no routing da internet

No dia 8 de Abril de 2010, durante 18 minutos a China Telecom anunciou um conjunto de rotas erradas, o que levou 15% do tráfego da internet a passar por servidores localizados na China. A Ars Techica publicou um interessante artigo sobre a intrínseca vulnerabilidade da internet a este tipo de ataques:

Understanding the Internet's insecure routing infrastructure

Ameaças à computação na nuvem (cloud computing)

Interessante, no site da Cloud Security Alliance:
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

Previsões da Gartner 2010

Previsões da Gartner relativas a empresas e utilizadores nas áreas da TIs. Não é novo, é de Jan. 2010, mas os highlights são interessantes:

Gartner Highlights Key Predictions for IT Organizations and Users in 2010 and Beyond
http://www.gartner.com/it/page.jsp?id=1278413
  • By 2012, 20 percent of businesses will own no IT assets.
  • By 2012, India-centric IT services companies will represent 20 percent of the leading cloud aggregators in the market (through cloud service offerings).
  • By 2012, Facebook will become the hub for social network integration and Web socialization.
  • By 2014, most IT business cases will include carbon remediation costs.
  • In 2012, 60 percent of a new PC's total life greenhouse gas emissions will have occurred before the user first turns the machine on.
  • Internet marketing will be regulated by 2015, controlling more than $250 billion in Internet marketing spending worldwide.
  • By 2014, over 3 billion of the world's adult population will be able to transact electronically via mobile or Internet technology.
  • By 2015, context will be as influential to mobile consumer services and relationships as search engines are to the Web.
  • By 2013, mobile phones will overtake PCs as the most common Web access device worldwide.

Tolerância a intrusões em redes wireless ad hoc - doutoramento

Ontem um dos colaboradores do blog, Henrique Moniz, defendeu brilhantemente a tese de doutoramento. O tema era tolerância a intrusões em redes wireless ad hoc. Parabéns ao novo doutor!

Mais info: http://www.hmoniz.net/

Problemas de segurança vão aumentar?

Palavras recentes do Defense Secretary (equivalente ao Ministro da Defesa) americano Robert Gates:

"I think there is a huge future threat. And there is a considerable current threat," Gates told The Wall Street Journal CEO Council. "And that's just the reality that we all face."

Fonte: Reuters

Algumas apresentações sobre Segurança no Software e das Clouds

Vou fazer algumas apresentações em diversos eventos nos próximos tempos. Pode ser que interessem:

2010 Odisseia no Software
Confraria de Segurança, Lisboa, 23/11/2010

Resumo: O episódio Stuxnet é apenas mais um dos muitos que mostram o grau de vulnerabilidade do software actual. Esse malware especialmente perigoso seria ineficaz se não existissem diversas vulnerabilidades em software comercial que de tanto usado se esperaria ser bem testado. A apresentação é uma visão pessoal sobre o que é a segurança de software hoje em dia, dos problemas fundamentais às soluções.

Clouds Seguras: Disponibilidade e Privacidade nas Nuvens
Cloud Computing Fórum 2010 - ComputerWorld, Hotel Pestana Palace, Lisboa, 25/11/2010

Resumo: A mudança de década que atravessamos tem revelado um aparente paradoxo: as empresas mostram-se cada vez mais interessadas em instalarem os seus sistemas de informação na cloud, ao mesmo tempo que aumenta a sua percepção do risco a que estas mesmas aplicações estão sujeitas na internet. Esta apresentação vai explicar os principais desafios que a cloud apresenta em termos de segurança, entre os quais os da disponibilidade dos sistemas e da privacidade dos dados. Vai ainda apresentar soluções pragmáticas e outras mais futuristas mas mais eficazes para estes problemas, como a utilização de trusted computing ou a distribuição de confiança por diversos fornecedores de serviço.

Software Security in the Clouds
IBWAS 2010, ISCTE, Lisboa, 16-17/12/2010

Resumo: Recently an expert wrote rather enfatically that "the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks". This situation is particularly concerning in times when companies are exporting their applications and data to cloud computing systems. The first part of the talk will be a personal vision of the combination of techniques and tools needed for protecing software. The second part will argue that this combination is still insuficient for critical applications in the cloud and propose solutions based on distributing trust among different clouds.

Segurança de sistemas industriais

interessante:

"En más de una ocasión hemos dicho que uno de los principales problemas para la adopción de medidas de seguridad en los sistemas de automatización y control industrial, entre los que se incluyen los sistemas SCADA, es que los responsables de su gestión son personas alejadas del mundo TIC en general y de la seguridad de los sistemas de información en particular. Estas personas entienden de carriles DIN, de bucles de control, de lógica programable, de entradas digitales y analógicas, de relés, …, pero no tienen tan claro qué es un cortafuegos [firewall] o para qué sirve, ni mucho menos, cuáles son las reglas de filtrado más adecuadas o cuál es la sintaxis a utilizar para un modelo concreto."

http://blog.s21sec.com/2009/07/donde-va-este-cable-y-este-trasto-para.html

Man in the mobile

do blog S21sec:

"(...) many companies (not only financial institutions) are using SMS as a second authentication vector, so having both the online username and password is not enough in the identity theft process. There are some social engineering techniques in the wild that try to handle this issue by luring the user; the user thinks that is doing a specific operation, but in fact he is doing other forged one (man-in-the-browser, JabberZeus, etc.)

In this post, we are going to talk about a better alternative planned by a ZeuS gang: infect the mobile device and sniff all the SMS messages that are being delivered."

Os posts:
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-ii.html
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-iii.html

log injection e log forging

Os ataques de log injection são um caso interessante de ataque que não dá resultados imediatos. O objectivo consiste em modificar um qualquer log de modo a apagar as pistas de um ataque ou a atacar o administrador do sistema quando este consulte o log. Um caso específico deste ataque é chamado log forging e consiste em criar novas entradas no log (por exemplo através da injecção de metacaracteres como o newline)

Ligações:
http://www.owasp.org/index.php/Log_injection
http://www.jtmelton.com/2010/09/21/preventing-log-forging-in-java/

vulnerabilidades são defeitos?

Um excerto interessante do livro "Beautiful Security". A citação é tirada do capítulo de Jim Routh (pg 189) que explica o processo de segurança de software que o próprio concretizou numa grande empresa:

"But some team leaders were not playing along. They were unwilling to relax schedules or use the productivity factor to offset the increased time needed to fix identified vulnerabilities [using static analysis tools]. They prefered to allocate time and budget to creating functionality rather than improving the vulnerability risk score of the their team's code. In effect, the team leaders conveniently assumed that security vulnerabilities were not defects and could be deferred for future enhancements or projects." [sublinhado meu]

(in)segurança de infraestruturas críticas: um marco histórico?

Segundo um artigo do blog Zero Day, no passado dia 18/10 foi adicionada uma vulnerabilidade dia zero num sistema SCADA ao Metasploit. É a primeira vulnerabilidade neste tipo de sistemas adicionada ao Metasploit. É agora que vamos ficar às escuras. Oh brave new world...

Artigo no blog Zero Day:
http://www.zdnet.com/blog/security/metasploit-and-scada-exploits-dawn-of-a-new-era/7672?tag=mantle_skin;content

Metasploit: http://www.metasploit.com/

Advisory do ICS-CERT:
http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-10-305-01.pdf

A beleza da segurança

Acabo de ler e recomendo vivamente. É uma colecção de capítulos de diferentes autores e sobre temas diversos, oferecendo uma visão multifacetada. Não é um manual nem um livro bem estruturado, mas um conjunto de ideias e opiniões.

"In Beautiful Security, today's security experts offer a collection of essays that describe bold and extraordinary methods to secure computer systems in the face of ever-increasing threats. You'll learn how new and more aggressive security measures work -- and where they will lead us. This far-reaching discussion takes you into the techniques, technology, ethics, and laws at the center of the biggest revolution in the history of network security."

Mais info: http://oreilly.com/catalog/9780596527488

Crítica no Slashdot: http://books.slashdot.org/story/09/07/06/137217/Beautiful-Security

the supply chain problem

Ou "o problema da cadeia de fornecimento" em Português?

Em poucas palavras, o problema é o de ter confiança em que o software (ou hardware) comercial não traz algum tipo de backdoor, kill switch ou vulnerabilidade que permita a alguém mal intencionado fazer algo indesejável ao sistema de quem o compra. Esse tipo de mecanismo poderia ser deixado durante o seu desenvolvimento, no desenvolvimento de alguns dos seus componentes ou até durante o caminho até ao consumidor final (p.ex., quando é gravado em DVD). Daí o termo "cadeira de fornecimento".

O problema é típico de teorias da conspiração sobre governos estrangeiros que assim teriam controlo sobre os sistemas de outros países ou empresas  ( http://www.seguranca-informatica.net/2008/11/chip-malicioso-teoria-da-conspirao.html http://www.seguranca-informatica.net/2010/07/supply-chain-attack.html ). No entanto, há casos que se dizem ter acontecido a esse nível e nas distribuições de software pela internet (daí os hashes MD5 do software). Há ainda vários casos recentes de software distribuído contendo algum virus, p.ex., . O problema é real, portanto, e ainda mais pertinente quando tanto se fala de ciber-guerra.

O propósito deste post é o de deixar dois links para textos sobre o tema. Um é um draft standard do NIST americano sobre o tema, intitulado "Piloting Supply Chain Risk Management Practices for Federal Information Systems" ( http://csrc.nist.gov/publications/drafts/nistir-7622/draft-nistir-7622.pdf ). O outro é um post da CSO da Oracle, Mary Ann Davidson no seu blog que parece motivado pelo referido draft standard ( http://blogs.oracle.com/maryanndavidson/2010/09/the_root_of_the_problem.html ). Além de muitas outras coisas interessantes, esta deixa uma lista de subproblemas do problema da cadeia de fornecimento:

Constraint 1: In the general case - and certainly for multi-purpose infrastructure and applications software and hardware - there are no COTS products without global development and manufacturing.

Constraint 2: It is not possible to prevent someone from putting something in code that is undetectable and potentially malicious, no matter how much you tighten geographic parameters.

Constraint 3: Commercial assurance is not "high assurance" and the commercial marketplace will not support high assurance software.

Constraint 4: Any supply chain assurance exercise - whether improved assurance or improved disclosure - must be done under the auspices of a single global standard, such as the Common Criteria.

Constraint 5: There is no defect-free or even security defect-free software.

Boa leitura.

Google paga para descobrirem vulnerabilidades

Dito desta forma não é novidade, já que a Google tem há tempo um programa a decorrer para descoberta de vulnerabilidades no Chromium ( http://blog.chromium.org/2010/01/encouraging-more-chromium-security.html ). O interessante é que criaram um novo programa para outras aplicações... online! Exemplos:
  • *.google.com
  • *.youtube.com
  • *.blogger.com
  • *.orkut.com
O sistema é o mesmo: encontre uma vulnerabilidade e pagamos-lhe. Era interessante se aparecessem nomes portugueses no Hall of Fame.

Mais info: http://googleonlinesecurity.blogspot.com/2010/11/rewarding-web-application-security.html

Porque é que a segurança no software é importante

Motivação para o livro "Segurança no Software":

"(...) security in software requires a fundamentally different business model from that which exists today. In fact, the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks, scrambling among developers to fix and release patches, and continual exhortations to customers to perform rudimentary checks and maintenance."
Jim Routh, Forcing Firms to Focus: Is Secure Sofware in Your Future, in Beautiful Security, O'Reilly, 2010

"We wouldn’t have to spend so much time, money, and effort on network security if we didn’t have such bad software security. Think about the most recent security vulnerability about which you’ve read. Maybe it’s a killer packet that allows an attacker to crash some server by sending it a particular packet. Maybe it’s one of the gazillions of buffer overflows that allow an attacker to take control of a computer by sending it a malformed message. Maybe it’s an encryption vulnerability that allows an attacker to read an encrypted message or to fool an authentication system. These are all software issues."
John Viega e Gary McGraw. Building Secure Software. Addison Wesley 2002.

"S&P: Modern encryption plays a big role in commerce. Given the strength of today’s algorithms and implementations, what are the current weak links in an end-to-end system?
Zimmermann: I think the weak links are mostly the operating systems, mostly Windows. The encryption is strong enough that you usually don’t have to worry about someone breaking the encryption. Think of encryption as having a steel door on your house that’s three feet thick – but someone could bust a window, stick their hand in, turn the doorknob, and open the door – because of the OS."
Phil Zimmermann (criador do PGP), entrevista à IEEE Security & Privacy, Jan/Feb 2006

"We at Oracle have (...) determined that most developers we hire have not been adequately trained in basic secure coding principles (...) We have therefore had to develop and roll out our own in-house security training program at significant time and expense. (...) In the future, Oracle plans to give hiring preference to students who have received such training and can demonstrate competence in software security principles."
Mary Ann Davidson, Chief Security Officer da Oracle, carta enviada às 10 principais universidades americanas entre as quais a ORACLE contrata engenheiros (2008)

Polícia holandesa encerra uma botnet

Um caso interessante sobre como fazer uma operação nada trivial, a de fechar uma botnet. Tiveram de disparar em duas direcções: conseguir que os PCs infectados fossem limpos (o que provavelmente não foi 100% bem sucedido) e confiscar os servidores (que estavam na própria Holanda).

Dutch police shut down Bredolab botnet

http://www.zdnet.com/blog/security/dutch-police-shut-down-bredolab-botnet/7573?tag=mantle_skin;content



o problema dos bolinhos chineses

Um artigo muito interessante sobre os problemas inerentes aos cookies. Não basta serem o principal suporte para sessões em aplicações web, como sofrem de inúmeros problemas de especificação (e da falta dela):

HTTP cookies, or how not to design protocols http://lcamtuf.blogspot.com/2010/10/http-cookies-or-how-not-to-design.html

Protecção de aplicações web em tempo-real

Uma apresentação interessante no OWASP AppSecUSA. Provavelmente devemos poder ver uma apresentação sobre o mesmo tema em Lisboa em Dezembro no IBWAS 2010 (http://www.ibwas.com/).


Michael Coates, Real Time Application Defenses - The Reality of AppSensor & ESAPI from AppSec USA 2010 on Vimeo.

Virus Total: malware inside?

Há uns anos ouvi falar sobre um projecto que usava honeypots para identificar malware até então desconhecido. Quando um honeypot era acedido e um ficheiro era descarregado da internet, este era passado a uma empresa que o verificava com todo o software anti-virus conhecido, permitindo assim saber se continha malware conhecido ou não. Pelos vistos esse serviço está disponível de forma gratuita na internet:

Virus Total http://www.virustotal.com/

VirusTotal is a service developed by Hispasec Sistemas that analyzes suspicious files and URLs enabling the identification of viruses, worms, trojans and other kinds of malicious content detected by antivirus engines and web analysis toolbars. VirusTotal's main characteristics are:
* Free, independent service.
* Runs multiple antivirus engines.
* Runs multiple file characterization tools.
* Real time automatic updates of virus signatures.
* Detailed results from each antivirus engine.
* Runs multiple web site inspection toolbars.
* Real time global statistics.
* Analysis automation API.
* Online malware research community.
* Desktop applications (VTUploader, VTzilla) for interacting with
the service.

Edição 2010 do Relatório da Verizon sobre Roubo de Dados Electrónicos

Já foi publicado no Verão, mas ainda não o tínhamos referido aqui no blog.

A edição mais recente do relatório anual da Verizon contou pela primeira vez com a colaboração dos Serviços Secretos Americanos. O relatório aponta para uma descida no número total de breaches em comparação com os dados de 2009 e mostra que os serviços financeiros foram os mais afectados por este tipo de incidentes (33%), seguidos dos serviços de hotelaria (23%) e de comércio (15%).

O relatório mostra também que 98% dos dados afectados estavam localizados em servidores, 85% dos ataques não eram muito difíceis e 96% dos incidentes eram evitáveis através de controlos relativamente simples. Para além disto, mais de 95% dos dados afectados resultaram de incidentes provocados por acções de pirataria informática e/ou malware.

O relatório completo está disponível em:
http://www.verizonbusiness.com/go/2010databreachreport/

Segurança na Núvem: arranque do projecto TCLOUDS

Começou no início do mês o projecto TCLOUDS - Trustworthy Clouds – Privacy and Resilience for Internet-scale Critical Infrastructure. O projecto é financiado pela Comissão Europeia e prolonga-se até 2013. Além da Faculdade de Ciências da Universidade de Lisboa (FCUL), incluem-se entre os participantes: IBM Research Zurich (Suíssa), Universidades de Darmstadt, Bochum e Erlangen-Nurnberg (Alemanha), Phillips (Holanda), Universidade de Oxford (UK), Sirrix (Alemanha), Politécnico de Turim (Itália), EDP e EFACEC (Portugal).

O trabalho a realizar é variado. Sob o ponto de vista técnico vão ser estudadas técnicas de trusted computing para proteger as aplicações que correm numa cloud (núvem em português?) e o conceito de cloud of clouds (núvem de núvens?) e os protocolos que permitem concretizá-lo. A outros níveis vão ser estudos os requisitos legais da computação em cloud, os requisitos de segurança de aplicações no domínio da energia eléctrica e da saúde, etc.

Mais informação: http://www.tclouds-project.eu/ (em breve)

Stuxnet

Depois de tantos semanas de especulação, histórias e historietas sobre o Stuxnet, não ficava bem não pormos nada no blog sobre o assunto. Os factos mais interessantes IMHO são: é o primeiro exemplo de malware que ataca especificamente o processo de controlo de uma infraestrutura crítica; é um vírus que se propaga através de sticks USB, logo pode penetrar em redes desligadas da internet; explora várias vulnerabilidades em software Microsoft, não em software proprietário que alguns dos operadores desse tipo de infraestruturas dizem ser o que aí existe (e por isso estar hipoteticamente mais protegido). Se a moda pega estamos mal.

Notícias e relatórios interessantes sobre o assunto:
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
http://www.langner.com/en/
http://www.informit.com/articles/article.aspx?p=1636983&ns=20022&WT.mc_id=2010-09-26_NL_InformITContent

Segurança informática... no automóvel

Um artigo muito interessante no IEEE Symposium on Security and Privacy (vulgo "Oakland"):

Experimental Security Analysis of a Modern Automobile

K. Koscher, A. Czeskis, F. Roesner, S. Patel, T. Kohno, S. Checkoway, D. McCoy, B. Kantor, D. Anderson, H. Shacham, S. Savage. The IEEE Symposium on Security and Privacy, Oakland, CA, May 16-19, 2010.

http://www.autosec.org/


Segurança no Software

Dois dos autores do blog andamos há anos a ensinar segurança de software e dedicámos os últimos muitos meses a passar as nossas ideias sobre o assunto para papel. O livro chegou às lojas esta semana. Online está disponível por exemplo na própria editora (FCA), na FNAC e na WOOK.



Descrição

O principal objectivo deste livro consiste em responder à questão sobre como desenvolver software seguro. No entanto, o seu âmbito é mais lato, já que trata a segurança de software, um tema que inclui outros aspectos como a auditoria de software e a protecção de software em produção.

O livro aborda este tema em quatro partes. A primeira apresenta uma panorâmica sobre a segurança de software, introduzindo conceitos básicos, princípios de projecto e os mecanismos de protecção dos sistemas operativos convencionais. A segunda parte apresenta as principais classes de vulnerabilidades actuais, bem como aquilo que o programador deve fazer para não as criar quando desenvolve software. A terceira parte aborda o problema de uma perspectiva diferente: apresenta um conjunto de técnicas e ferramentas que podem ser usadas para tornar mais seguro o software que já existe e que pode ter grande dimensão. A quarta parte apresenta um conjunto de tópicos avançados, ou seja, de técnicas que poderão, num futuro próximo, ser usadas para melhorar a segurança de software.

O livro foi escrito tendo em vista dois tipos de leitores. Por um lado, pretende servir de manual para disciplinas de segurança de software a nível universitário: licenciatura e pós-graduação. Por outro lado, destina-se ao profissional da informática interessado em desenvolver software seguro, ou em auditar ou proteger software já existente.


Principais Tópicos

Ao longo do livro são abordados, entre outros, os seguintes temas:

* Vulnerabilidades, ataques e intrusões;
* Buffer overflows, cross-site scripting, SQL injection
* Cópia e modificação de software
* Teste de software e injecção de ataques
* Análise estática de código
* Mecanismos de protecção dinâmica
* Virtualização
* Trusted Computing


Índice do livro

Prefácio

Introdução

Segurança informática e Internet
Software (in)seguro
Sobre o livro

Parte I - Panorâmica e Protecção


1. Segurança e Desenvolvimento de Software

1.1 Conceitos básicos
1.2 Desenvolvimento de software
1.3 Princípios de projecto

2. Protecção em Sistemas Operativos

2.1 Protecção de recursos
2.2 Controlo de acesso

Parte II - Vulnerabilidades


3. Buffer Overflows

3.1 Vulnerabilidades e sua prevenção
3.2 Overflows na heap
3.3 Overflows na pilha
3.4 Buffer overflows avançados
3.5 Vulnerabilidades de inteiros

4. Corridas

4.1 Corridas e atomicidade
4.2 TOCTOU
4.3 Ficheiros temporários
4.4 Concorrência e funções reentrantes

5. Validação de Input

5.1 Confiança, confiabilidade e input
5.2 Metadados e metacaracteres
5.3 Vulnerabilidades de string de formato

6. Aplicações Web

6.1 Da World Wide Web às aplicações web
6.2 Top10 de vulnerabilidades
6.3 Injecção
6.4 Cross Site Scripting
6.5 Autenticação e gestão de sessões
6.6 Referência directa a objectos
6.7 Cross Site Request Forgery
6.8 Configuração insegura
6.9 Armazenamento criptográfico inseguro
6.10 Falha na restrição de acesso a URLs.
6.11Comunicação insegura
6.12 Redireccionamentos não validados

7 Bases de Dados

7.1 Bases de dados e SQL
7.2 Injecção de SQL
7.3 Técnicas de injecção de SQL
7.4 Outras vulnerabilidades

8. Cópia e Modificação de Software

8.1 Cópia ilegal de software
8.2 Engenharia reversa
8.3 Fraude em aplicações em rede

III Técnicas e Ferramentas


9. Auditoria de Software

9.1 Modelação de ataques
9.2 Revisão manual de código

10. Teste de Software e Injecção de Ataques

10.1 Teste de software e segurança
10.2 Injecção de ataques
10.3 Fuzzers
10.4 Varredores de vulnerabilidades
10.5 Proxies

11 Análise Estática de Código

11.1 Análise estática básica
11.2 Análise semântica
11.3 Funcionamento das ferramentas
11.4 Comentários finais

12. Protecção Dinâmica

12.1 Detecção com canários
12.2 Pilha e heap não executáveis
12.3 Aleatorização e ofuscamento
12.4 Verificação de integridade
12.5 Filtragem

13. Validação e Codificação

13.1 Expressões regulares
13.2 Validação
13.3Codificação

14 Segurança na Linguagem de Programação

14.1Objectivosearquitectura
14.2 Sandboxes
14.3 Segurança das convenções da linguagem

IV - Tópicos Avançados


15. Virtualização e Segurança

15.1 Conceitos básicos e história
15.2 Concretização de VMMs
15.3 Aplicações em segurança
15.4 Vulnerabilidades da virtualização

16. Trusted Computing

16.1 Hardware para segurança
16.2 Trusted Platform Module
16.3 Aplicações do TPM
16.4 Futuro da trusted computing

17. Tolerância a Intrusões Distribuída

17.1 Conceitos básicos de tolerância a intrusões
17.2 Replicação: garantindo disponibilidade e integridade
17.3 Fragmentação: garantindo disponibilidade, integridade e confidencialidade
17.4 Recuperação proactiva
17.5 Arquitecturas e sistemas
17.6 Problemas abertos e o futuro

Conclusão

Referências Bibliográficas
Recursos na Web
Índice Remissivo


Mais informação no site da FCA.

Actualização a 04/10/2010: está disponível o sítio do livro

Vulnerabilidade de XSS no sítio web da VISA


O sítio web da VISA tem uma história de vulnerabilidades de XSS, mas ainda assim elas continuam (infelizmente) a aparecer. Relembramos que uma vulnerabilidade deste tipo num sítio web credível pode ser usada para aumentar a legitimidade aparente de um email de Phishing.
Esperemos portanto que seja corrigida rapidamente e que os programadores do sítio web tenham mais atenção no futuro.

Detalhes sobre a vulnerabilidade em: http://security-sh3ll.blogspot.com/2010/09/visa-website-vulnerable-to-xss.html

[Com agradecimentos ao Tiago Martins]

Segurança de software como processo

Dois novos documentos sobre o assunto:

The Building Security In Maturity Model 2


The Building Security In Maturity Model (BSIMM, pronounced “bee simm”) is designed to help you understand, measure, and plan a software security initiative. The BSIMM was created by observing and analyzing real-world data from thirty leading software security initiatives. The BSIMM can help you determine how your organization compares to other real-world software security initiatives and what steps can be taken to make your approach more effective.

The most important use of the BSIMM is as a measuring stick to determine where your approach to software security currently stands relative to other firms.

http://bsimm2.com/



Microsoft Security Development Lifecycle (SDL) 5.0

The Microsoft Security Development Lifecycle (SDL) process guidance illustrates the way Microsoft applies the SDL to its products and technologies. It includes security and privacy requirements and recommendations for secure software development at Microsoft. It addresses SDL guidance for Waterfall and Spiral development, Agile development, web applications and Line of Business applications. IT policy makers and software development organizations can leverage this content to enhance and inform their own software security and privacy assurance programs.

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=7d8e6144-8276-4a62-a4c8-7af77c06b7ac

o fracasso da segurança (até agora)

Um editorial do blog Zero Day escrito por Michal Zalewski que dá razões para o fracasso da segurança... em criar sistemas seguros. Muito interessante:


Security engineering: broken promises
20 de Maio de 2010

On the face of it, the field of information security appears to be a mature, well-defined, and an accomplished branch of computer science. Resident experts eagerly assert the importance of their area of expertise by pointing to large sets of neatly cataloged security flaws, invariably attributed to security-illiterate developers; while their fellow theoreticians note how all these problems would have been prevented by adhering to this year’s hottest security methodology. A commercial industry thrives in the vicinity, offering various non-binding security assurances to everyone, from casual computer users to giant international corporations.

Yet, for several decades, we have in essence completely failed to come up with even the most rudimentary, usable frameworks for understanding and assessing the security of modern software; and spare for several brilliant treatises and limited-scale experiments, we do not even have any real-world success stories to share. The focus is almost exclusively on reactive, secondary security measures: vulnerability management, malware and attack detection, sandboxing, and so forth; and perhaps on selectively pointing out flaws in somebody else’s code. The frustrating, jealously guarded secret is that when it comes to actually enabling others to develop secure systems, we deliver far less value than could be expected.

So, let’s have a look at some of the most alluring approaches to assuring information security - and try to figure out why they fail to make a difference to regular users and businesses alike.

continua

Ciber-assassinos profissionais

Deve ser igualmente ilegal, mas com penas menos pesadas:


Hollywood Hiring Cyber Hitmen To Combat Piracy
Tom's Guide, 3:20 PM - September 8, 2010 - By Kevin Parrish - Source : Tom's Guide US

Can't get a torrent site to remove files? DoS attack the site.

ZoomThe movie industry is taking matters into its own hands yet again in regards to fighting piracy. According to reports, "cyber hitmen" are under contract to take down websites hosting illegal movies by using denial-of-service (DoS) attacks. One firm based in India has even come forward to admit that the tactic is used when copyright infringement notices go unheeded.

Girish Kumar, managing director of Aiplex Software in India, said that most movies are released locally at 10am on Friday. Later on in the afternoon, those same movies will have leaked onto the Internet, appearing on storage websites and torrent search engines.

"We find the hosting [computer] server and send them a copyright infringement notice because they're not meant to have those links," Kumar said in a telephone interview. "If they don't remove [the link] we send them a second notice and ask them [again] to remove it."

When the second notice goes unheeded, Aiplex Software will then launch a DoS attack. This means that the firm floods the offending website with millions and millions of requests until the site's server is knocked offline.

Kumar admitted that the firm sometimes had to go the extra step to prevent further movie circulation by actually destroying the data. Typically the big offenders are 20 to 25-percent of the current torrent sites.

For now, most of Aiplex Software's business stems from India, however Hollywood is also using their "services" including 20th Century Fox and Star TV.

fonte: Tom's Guide

Segurança e XML - W3C publica 5 drafts



do site do W3C (1 de Setembro 2010):


Five XML Security Drafts Published

The XML Security Working Group has published five working drafts today. XML Signature 2.0, Canonical XML 2.0 and the XML Signature Streamable Profile of XPath 1.0 are part of an ongoing effort to rework XML Signature and Canonical XML in order to address issues around performance, streaming, robustness, and attack surface. The Working Group has also published updated Working Drafts for its XML Signature Best Practices and XML Security Relax NG Schemas Working Group Notes. Learn more about XML Security.

The Supply Chain Attack

Um problema de segurança extremamente difícil de contornar é o de uma porta do cavalo ou até uma vulnerabilidade deixada num produto de software ou hardware durante a sua produção. Impossível? Foi preso há dias um espião do KGB, Alexey Karetnikov, que trabalhou... na Microsoft.

O seu trabalho era fazer testes de software. Imaginemos que não tinha capacidade para mexer no código. Podia ainda fazer algo tão simples como não reportar uma vulnerabilidade que descobrisse, ou melhor, não reportar à empresa, mas reportar aos seus patrões originais.

Segurança do Cartão do Cidadão

No sítio do cartão do cidadão há uma quantidade de informação interessante. As duas páginas mais interessantes por onde começar parecem-me ser:

Manuais técnicos - como indica o nome, contém uma série de manuais técnicos

Prova de conceito - contém alguma informação sobre a prova de conceito do cartão (projecto Pegasus)

Há ainda alguma documentação no sítio da UMIC.

Um aspecto que me parece crucial é o da segurança física do cartão. Não encontrei requisitos de segurança física no sítio. No entanto, na prova de conceito foi usado o Infineon SLE66CX680PE, que segundo um documento no sítio do NIST americano está de acordo com o nível 3 da norma FIPS 140-2. Isso é bom, pois esse nível indica a presença de protecções passivas e activas (em caso de ataque, o chip apaga dados críticos).

Segundo um documento da Comissão Europeira, o chip que está a ser usado é o Infineon SLE66CX322P (não sei qual é a fiabilidade da informação). Não há nada sobre esse chip no sítio do NIST nem da Infineon e é estranho ser esse o chip usado pois já tem uns anos (de 2002?).

Apesar de não existirem requisitos no sítio do cartão, nas "Especificações - Leitor Base" de 14 de Junho de 2007, Versão 1.0, aparece algo sobre segurança no sentido que nos interessa. Não são realmente especificações mas uma afirmação:

Em função dos objectivos de utilização, das aplicações previstas e das soluções neste momento perspectivadas, o chip do Cartão de Cidadão tem as seguintes características:
(...)
Está preparado para resistir aos ataques conhecidos do tipo “hardware attack”, “timing attack”, “simple power analysis” e “differential power analysis” entre outros.

Esse chip ainda é o actual? Quando o chip mudar, a segurança contra esses ataques continuará a ser um requisito?

Há ainda a legislação sobre o cartão. Na principal, a Lei n.º 7/2007, de 5 de Fevereiro, há um requisito generico de segurança do cartão:

Artigo 8.o
Informação contida no circuito integrado
1—O cartão de cidadão incorpora um circuito integrado onde são inseridos, em condições que garantam elevados níveis de segurança, os seguintes elementos de identificação do titular: (...)

Por um lado isso seria de esperar numa peça legal, mas por outro o decreto-lei é bastante mais específico no que toca à segurança dos sistemas de informação que processam esses dados (vd. Artigo 42º - "Garantias de Segurança"). Também a Portaria n.º 202/2007, de 13 de Fevereiro é bastante específica no que toca aos "Elementos de segurança física que compõem o cartão de cidadão" (Anexo II - 1).

Para concluir estas notas, não resisto a reproduzir uma pergunta/resposta do FAQ do sítio do cartão:

O Cartão de Cidadão é seguro?

Sim.

O cartão adopta os mais elevados padrões de segurança física, dificultando ao máximo as possibilidades de cópia ou fraude de identidade.

[Comentários? Apontadores?]

Vulnerability disclosure

Uma discussão interessante sobre "vulnerability disclosure" num blog da Microsoft:
Coordinated Vulnerability Disclosure: Bringing Balance to the Force

Depois da Responsible Disclosure ("não digam a ninguém, até que a empresa se resolva a publicar um remendo") e da Full Disclosure ("digam a toda a gente para forçar a empresa a publicar um remendo") aparece a Coordinated Vulnerability Disclosure. Mas:

"Make no mistake about it, CVD is basically founded on the initial premise of Responsible Disclosure, but with a coordinated public disclosure strategy if attacks begin in the wild. That said, what’s critical in the reframing is the heightened role coordination and shared responsibility play in the nature and accepted practice of vulnerability disclosure. This is imperative to understand amidst a changing threat landscape, where we all accept that no longer can one individual, company or technology solve the online crime challenge."

A ideia surge depois da confusão entre a MS e um engenheiro da Google que descobriu uma vulnerabilidade no "Windows Help and Support Center":
MS Patch Tuesday: Googler zero-day fixed in 33 days
ZDnet ZeroDay

Algoritmo de cifra do Skype foi parcialmente revelado

Parte da segurança do Skype advém do facto dos algoritmos (de segurança) usados nunca terem sido divulgados publicamente. Esta estratégia de segurança por obscuridade é perigosa uma vez que os algoritmos podem ter vulnerabilidades e essas vulnerabilidades poderão ser exploradas de forma inconspícua logo que os algoritmos sejam descobertos por alguma entidade mal intencionada.

Nos últimos anos têm existido várias tentativas de determinar quais são exactamente os algoritmos de segurança usados pelo Skype. Fizeram-se algumas descobertas ao nível do tipo de algoritmo usado na autenticação e comunicação, mas recentemente conseguiu-se conceber um programa C que emula o algoritmo de cifra de comunicação do Skype (uma variante do algoritmo RC4).

Mais detalhes em:
http://www.h-online.com/security/news/item/Skype-s-encryption-procedure-partly-exposed-1034577.html

[com agradecimentos ao Tiago Martins]

Qubes: novo sistema operativo revoluciona segurança dos PCs desktop


O Qubes é um sistema operativo de código aberto recente cujo objectivo é tornar os computadores desktop mais seguros. Assenta no conceito de máquina virtual instantânea e a ideia geral é usar máquinas virtuais diferentes para diferentes tipos de aplicações. Desta forma, se alguma das aplicações for comprometida ou corrompida, as aplicações restantes não são afectadas.

Citius: Bedtime for Democracy

para usar o termo dos Dead Kennedys. Do Público online:


“Apagão” de crimes relacionado com “questões técnicas” do sistema informático
15.06.2010 - 14:04 Por Lusa

O vice-presidente do Conselho Superior da Magistratura (CSM), Bravo Serra, disse hoje que “questões técnicas” do actual sistema informático Citius explicam o desaparecimento de crimes da base de dados do Ministério da Justiça.

O Citius Plus vai substituir o actual sistema informático O Citius Plus vai substituir o actual sistema informático (Fernando Veludo/nFactos)

“É uma questão técnica, de software e de hardware, que existe no actual sistema Citius”, disse aos jornalistas Bravo Serra, antes de entrar para uma audição na Comissão Parlamentar de Assuntos Constitucionais, Direitos, Liberdades e Garantias.

O vice-presidente do CSM reagia à notícia de hoje do Diário de Notícias que dá conta do desaparecimento, num mês, de 14.721 crimes com recurso a armas de fogo da base de dados do Ministério da Justiça. Os crimes “apagados” correspondem a mais de metade dos registados e divulgados em cinco anos.

Bravo Serra adiantou que o Ministério da Justiça já entrou em contacto com o CSM, informando que vai implementar um novo sistema informático.

Segundo o vice-presidente do CSM, o novo sistema informático, que se vai chamar Citius Plus, “vai ultrapassar essas dificuldades”.

Bravo Serra defendeu que, além dos dados estarem inseridos no sistema informático, também tem de existir suporte em papel, recordando a deliberação de Março do CSM nesse sentido.

“Se houvesse esse suporte em papel, o mesmo risco de um eventual apagão definitivo, que eu não acredito que agora aconteça definitivamente, seria muito minimizado”, afirmou.

Um novo tipo de ataque de phishing

Foi baptizado como tabnabbing e é o mais recente tipo de ataque de phishing.

Imagine se, de repente, uma das suas milhentas tabs do browser mutasse e ficasse com o aspecto do gmail. Será que, ao voltar a essa tab, se lembraria que inicialmente não era o gmail que lá estava?

Mais detalhes sobre o ataque em:
http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/

(com agradecimentos ao Fábio Souto)

Privacidade é capa da Time

Por conta do Facebook:




o início do artigo:

"Sometime in the next few weeks, Facebook will officially log its 500 millionth active citizen. If the website were granted terra firma, it would be the world's third largest country by population, two-thirds bigger than the U.S. More than 1 in 4 people who browse the Internet not only have a Facebook account but have returned to the site within the past 30 days."

versão web do artigo

Segurança automóvel

How Secure Is Your New Car? About the Same as Your PC

This week at the 31st IEEE Symposium on Security & Privacy, a paper will be presented by researchers from the Center for Automotive Embedded Systems Security (CAESS) titled, "Experimental Security Analysis of a Modern Automobile" that says they have demonstrated:

"that an attacker who is able to infiltrate virtually any Electronic Control Unit (ECU) can leverage this ability to completely circumvent a broad array of safety-critical systems. Over a range of experiments, both in the lab and in road tests, we demonstrate the ability to adversarially control a wide range of automotive functions and completely ignore driver input— including disabling the brakes, selectively braking individual wheels on demand, stopping the engine, and so on."

Building Security In Maturity Model (BSIMM) 2

Um artigo interessante sobre o tema:

Software [In]security: BSIMM2
By Gary McGraw, Brian Chess, Sammy Migues, Elizabeth Nichols
May 12, 2010

resumo:

"The Building Security In Maturity Model (BSIMM, pronounced "bee simm") is an observation-based scientific model directly describing the collective software security activities of thirty software security initiatives. (...)

BSIMM2 is the second iteration of the BSIMM project. The original BSIMM described the software security initiatives underway in nine firms. Since the release of the original model in March 2009, the size of the study has tripled.

BSIMM2 can be used as a measuring stick for software security. As such, it is useful for comparing software security activities observed in a target firm to those activities observed among the thirty firms (or various subsets of the thirty firms). A direct comparison using the BSIMM is an excellent tool for devising a software security strategy.

(...)

Aprender segurança de aplicações web com aplicações vulneráveis


Na FCUL já há anos que usamos o WebGoat, uma aplicação web super-vulnerável do projecto OWASP, para ensinar segurança de aplicações web. Agora a Google lançou a Jarlsberg com o mesmo objectivo.

Privacidade e máquinas de fotocópias

As máquinas de fotocópias (aka xerox no Brasil) mais recentes gravam os documentos copiados num disco. Quando vendidas uma quantidade imensa de informação confidencial vai para parte incerta... Um documentário assustador da CBS:


KHOBE - fim dos anti-virus em Windows?

O título é exagerado mas a ideia pode de facto afectar a fiabilidade dos anti-virus e outro software de segurança em Windows:

The method, developed by software security researchers at matousec.com, works by exploiting the driver hooks the anti-virus programs bury deep inside the Windows operating system. In essence, it works by sending them a sample of benign code that passes their security checks and then, before it's executed, swaps it out with a malicious payload.

The exploit has to be timed just right so the benign code isn't switched too soon or too late. But for systems running on multicore processors, matousec's "argument-switch" attack is fairly reliable because one thread is often unable to keep track of other simultaneously running threads. As a result, the vast majority of malware protection offered for Windows PCs can be tricked into allowing malicious code that under normal conditions would be blocked.

All that's required is that the AV software use SSDT, or System Service Descriptor Table, hooks to modify parts of the OS kernel.

http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php

[com agradecimentos ao Mário Calha]

Security Intelligence Report da Microsoft


Saiu o 8º Security Intelligence Report da Microsoft. Breve resumo:

"The Microsoft Security Intelligence Report (SIR) is a comprehensive and wide-ranging study of the evolving threat landscape, and addresses such topics as software vulnerability disclosures and exploits, malicious software (malware), and potentially unwanted software.

Volume 8 of the Security Intelligence Report (SIR v8) covers July 2009 through December 2009. It includes data derived from more than 500 million computers worldwide, each running Windows. It also draws data from some of the busiest services on the Internet, such as Windows Live Hotmail and Bing."

Algumas conclusões interessantes:
  • As in previous periods, infection rates for more recently released operating systems and service packs are consistently lower than previous ones, for both client and server platforms.
  • For operating systems with service packs, each successive service pack has a lower infection rate than the one before it.
  • Rogue security software—software that displays false or misleading alerts about infections or vulnerabilities on the victim’s computer and offers to fix the supposed problems for a price—has become one of the most common methods that attackers use to swindle money from victims.
  • Domain-joined computers were much more likely to encounter worms than non-domain computers, primarily because of the way worms propagate. Worms typically spread most effectively via unsecured file shares and removable storage volumes, both of which are often plentiful in enterprise environments and less common in homes. In contrast, the Adware and Miscellaneous Trojans categories are much more common on non-domain computers.
  • Botnets and spam networks of malware-infected computers that can be controlled remotely by an attacker are responsible for much or most of the spam that is sent today.
  • Vulnerability disclosures in 2H09 were down 8.4 percent from the first half of the year, which continues an overall trend of moderate declines since 2006.
  • Application vulnerabilities continued to account for most vulnerabilities in 2H09, although the total number of application vulnerabilities was down significantly from 2H08 and 1H09.
  • Operating system and browser vulnerabilities were both roughly stable, and each accounted for a small fraction of the total.
  • Drive-by download pages are usually hosted on legitimate Web sites to which an attacker has posted exploit code. Attackers gain access to legitimate sites through intrusion or when they post malicious code to a poorly secured Web form, like a comment field on a blog. An analysis of the specific vulnerabilities targeted by drive-by download sites indicates that most exploits used by such malicious sites target older browsers and are ineffective against newer ones. Exploits that affect Internet Explorer 6 appeared on more than four times as many drive-by sites in 2H09 as did exploits that affect the newer Internet Explorer 7.

Dis­tri­buted Fuz­zing Fra­mework encontra 1800 bugs no Office

"We call it a botnet for fuz­zing," said Gal­lagher, re­fer­ring to what Mi­cro­soft has for­mally dubbed Dis­tri­buted Fuz­zing Fra­mework (DFF). The fuz­zing network ori­gi­nated with work by David Conger, a software de­sign en­gi­neer on the Ac­cess team. Client software ins­talled on sys­tems th­roughout Mi­cro­soft's network au­to­ma­ti­cally kicks in when the PCs are idle, such as on we­e­kends, to run fuz­zing tests "We would do mil­lions of [fuz­zing] ite­ra­tions each we­e­kend," Gal­lagher said -- up to 12 mil­lion in some cases.

fonte: http://www.computerworld.com/s/article/9174539/Microsoft_runs_fuzzing_botnet_finds_1_800_Office_bugs

(com agradecimentos ao João Antunes)

Mestrado em Segurança Informática - Univ. Lisboa / CMU

Está aberta a segunda fase de candidaturas ao Mestrado em Segurança Informática /Master in Information Technology - Information Security (MSIT-IS) que termina no fim de Maio de 2010.

O mestrado é um programa conjunto da Carnegie Mellon University e da Universidade de Lisboa e oferece um grau duplo das duas instituições.

O mestrado é leccionado em Lisboa mas com alguns professores de CMU e a possibilidade de passar um semestre em Pittsburgh, EUA.

Mais informação em http://msi.di.fc.ul.pt

Cifra RSA de 1024 bits foi quebrada



Depois de em Dezembro último ter sido conseguida a factorização de um número de 768 bits via um poder computacional brutal (equivalente a 1500 anos de processamento a 2.2 GHz), foi publicado há alguns dias um artigo que relata uma experiência perturbadora através da qual:

1. foi possível obter uma chave privada RSA de 1024 bits;
2. em 104 horas;
3. usando apenas 81 processadores a 2.4 GHz.

O ataque baseou-se em injecção de faltas ao nível da tensão de electricidade fornecida ao computador atacado e tirou partido de uma vulnerabilidade da biblioteca OpenSSL. Detalhes em:

http://www.eecs.umich.edu/~valeria/research/publications/DATE10RSA.pdf

segurança de infraestrutura vs segurança de software

reproduzo um excerto de um artigo muito interessante publicado por Jeremiah Grossman no seu blog:

Infrastructure vs. Application Security Spending

A recent study published by 7Safe, UK Security Breach Investigations Report, analyzed 62 cybercrime breach investigation and states that in “86% of all attacks, a weakness in a web interface was exploited” (vs 14% infrastructure) and the attackers were predominately external (80%). These results are largely consistent with the US-based Verizon Data Breach Incident Report (2008) which tracks over 500 cases. Combine this knowledge with the targeted Web-related attacks against Google, Adobe, Yahoo, the US House of Representatives, TechCrunch, Twitter, Heartland Payment Systems, bank after bank, university after university, country after country -- the story is the same. It’s a Web security world.

It has been said before and it’s worth repeating, adding more firewalls, SSL, and the same ol’ anti-malware products is not going to help solve this problem!

The reason that Web security problems persist is not a lack of knowledgeable people (though we could use more), perfected security tools (they could be much better), or effective software development processes (still maturing). A fundamental reason is something myself and others have been harping on for a long while now. Organizations spend their IT security dollars protecting themselves from yesterday’s attacks, at the network/infrastructure layer, while overlooking today’s real threats. Furthermore, these dollars are typically spent counter to how businesses invest their resources in technology. To illustrate this point I’m going to borrow inspiration from Gunnar Peterson (Software Security Architect & CTO at Arctec Group).

(...)

big brother is watching you

Mais um exemplo de como sob a capa da segurança se cometem violações grosseiras à privacidade. No Sol online:

Escola acusada de espiar alunos através de portáteis -
Nos EUA

Uma escola norte-americana foi processada por um casal, que acusa o estabelecimento de ensino de espiar os alunos através de programas informáticos que instalou nos computadores portáteis que lhes ofereceu.

O processo foi apresentado por um casal que foi chamado à escola, situada no estado do Pensilvânia, para responder por conduta imprópria do seu filho em casa.

Como prova o estabelecimento de ensino apresentou uma imagem captada pela webcam do computador portátil do estudante, equipamento esse oferecido pela própria escola.

Ao que tudo indica a webcam teria sido ligada através de um programa que activava remotamente o dispositivo.

De acordo com a BBC, a escola justificou a instalação do software por questões de segurança, afirmando que tal servia para encontrar portáteis roubados ou perdidos pelos alunos.


TPM foi pirateada

A TPM é um chip com diversas funções criptográficas que está a ser comercializado com inúmeros PCs actuais. Não é a primeira vez que falamos da vulnerabilidade destes chips a ataques físicos, mas o ataque mais recente permite aceder às instruções executadas pelo processador interno da TPM. Não é claro no entanto se o ataque permite aceder à chave privada RSA (embora tudo indique que sim) e se é generalizável a qualquer chip TPM.

A notícia completa em: http://www.physorg.com/news184870068.html

[Com agradecimentos ao Tiago Martins]

Rugged Software - iniciativa promove a segurança de software

Um doce para quem conseguir traduzir "rugged". Segundo os dicionários significa algo como rugoso, irregular, austero... O que é que isso tem que ver com segurança (num sentido positivo), ignoro.

O site da iniciativa está aqui: http://www.ruggedsoftware.org/ . Tem pouca informação mas há muita conversa sobre o tema pelos blogs.

Já agora, aqui fica:

The Rugged Software Manifesto
  • I am rugged... and more importantly, my code is rugged.
  • I recognize that software has become a foundation of our modern world.
  • I recognize the awesome responsibility that comes with this foundational role.
  • I recognize that my code will be used in ways I cannot anticipate, in ways it was not designed, and for longer than it was ever intended.
  • I recognize that my code will be attacked by talented and persistent adversaries who threaten our physical, economic, and national security.
  • I recognize these things - and I choose to be rugged.
  • I am rugged because I refuse to be a source of vulnerability or weakness.
  • I am rugged because I assure my code will support its mission.
  • I am rugged because my code can face these challenges and persist in spite of them.
  • I am rugged, not because it is easy, but because it is necessary... and I am up for the challenge.

Web 2010

Um artigo interessante sobre algumas evoluções das tecnologias Web previsíveis para 2010. O artigo não tem que ver com segurança, mas muitas dessas evoluções têm grandes implicações nesta matéria: PHP6, mudanças no HTML, o movimento NoSQL, ...

Emerging Web technologies - A look ahead
Martin Streicher, Software Developer, Pixel, Byte, and Comma

Summary: Few things change as quickly as technology, and Web technology seems to change faster still. Discover what you can expect from technology makers in 2010.

Mais detalhes sobre o hack da PS3

Excerto:
"
(...)
The PS3, like the Xbox360, depends on a hypervisor for security enforcement. Unlike the 360, the PS3 allows users to run ordinary Linux if they wish, but it still runs under management by the hypervisor. The hypervisor does not allow the Linux kernel to access various devices, such as the GPU. If a way was found to compromise the hypervisor, direct access to the hardware is possible, and other less privileged code could be monitored and controlled by the attacker.

Hacking the hypervisor is not the only step required to run pirated games. Each game has an encryption key stored in an area of the disc called ROM Mark. The drive firmware reads this key and supplies it to the hypervisor to use to decrypt the game during loading. The hypervisor would need to be subverted to reveal this key for each game. Another approach would be to compromise the Blu-ray drive firmware or skip extracting the keys and just slave the decryption code in order to decrypt each game. After this, any software protection measures in the game would need to be disabled. It is unknown what self-protection measures might be lurking beneath the encryption of a given game. Some authors might trust in the encryption alone, others might implement something like SecuROM.

The hypervisor code runs on both the main CPU (PPE) and one of its seven Cell coprocessors (SPE). The SPE thread seems to be launched in isolation mode, where access to its private code and data memory is blocked, even from the hypervisor. The root hardware keys used to decrypt the bootloader and then hypervisor are present only in the hardware, possibly through the use of eFUSEs. This could also mean that each Cell processor has some unique keys, and decryption does not depend on a single global root key (unlike some articles that claim there is a single, global root key).

George’s hack compromises the hypervisor after booting Linux via the “OtherOS” feature. He has used the exploit to add arbitrary read/write RAM access functions and dump the hypervisor. Access to lv1 is a necessary first step in order to mount other attacks against the drive firmware or games.

His approach is clever and is known as a “glitching attack“. This kind of hardware attack involves sending a carefully-timed voltage pulse in order to cause the hardware to misbehave in some useful way. It has long been used by smart card hackers to unlock cards. Typically, hackers would time the pulse to target a loop termination condition, causing a loop to continue forever and dump contents of the secret ROM to an accessible bus. The clock line is often glitched but some data lines are also a useful target. The pulse timing does not always have to be precise since hardware is designed to tolerate some out-of-spec conditions and the attack can usually be repeated many times until it succeeds.

George connected an FPGA to a single line on his PS3’s memory bus. He programmed the chip with very simple logic: send a 40 ns pulse via the output pin when triggered by a pushbutton. This can be done with a few lines of Verilog. While the length of the pulse is relatively short (but still about 100 memory clock cycles of the PS3), the triggering is extremely imprecise. However, he used software to setup the RAM to give a higher likelihood of success than it would first appear.

His goal was to compromise the hashed page table (HTAB) in order to get read/write access to the main segment, which maps all memory including the hypervisor. The exploit is a Linux kernel module that calls various system calls in the hypervisor dealing with memory management. It allocates, deallocates, and then tries to use the deallocated memory as the HTAB for a virtual segment. If the glitch successfully desynchronizes the hypervisor from the actual state of the RAM, it will allow the attacker to overwrite the active HTAB and thus control access to any memory region. Let’s break this down some more.

The first step is to allocate a buffer. The exploit then requests that the hypervisor create lots of duplicate HTAB mappings pointing to this buffer. Any one of these mappings can be used to read or write to the buffer, which is fine since the kernel owns it. In Unix terms, think of these as multiple file handles to a single temporary file. Any file handle can be closed, but as long as one open file handle remains, the file’s data can still be accessed.

The next step is to deallocate the buffer without first releasing all the mappings to it. This is ok since the hypervisor will go through and destroy each mapping before it returns. Immediately after calling lv1_release_memory(), the exploit prints a message for the user to press the glitching trigger button. Because there are so many HTAB mappings to this buffer, the user has a decent chance of triggering the glitch while the hypervisor is deallocating a mapping. The glitch probably prevents one or more of the hypervisor’s write cycles from hitting memory. These writes were intended to deallocate each mapping, but if they fail, the mapping remains intact.

At this point, the hypervisor has an HTAB with one or more read/write mappings pointing to a buffer it has deallocated. Thus, the kernel no longer owns that buffer and supposedly cannot write to it. However, the kernel still has one or more valid mappings pointing to the buffer and can actually modify its contents. But this is not yet useful since it’s just empty memory.

The exploit then creates a virtual segment and checks to see if the associated HTAB is located in a region spanning the freed buffer’s address. If not, it keeps creating virtual segments until one does. Now, the user has the ability to write directly to this HTAB instead of the hypervisor having exclusive control of it. The exploit writes some HTAB entries that will give it full access to the main segment, which maps all of memory. Once the hypervisor switches to this virtual segment, the attacker now controls all of memory and thus the hypervisor itself. The exploit installs two syscalls that give direct read/write access to any memory address, then returns back to the kernel.

It is quite possible someone will package this attack into a modchip since the glitch, while somewhat narrow, does not need to be very precisely timed. With a microcontroller and a little analog circuitry for the pulse, this could be quite reliable. However, it is more likely that a software bug will be found after reverse-engineering the dumped hypervisor and that is what will be deployed for use by the masses.

Sony appears to have done a great job with the security of the PS3. It all hangs together well, with no obvious weak points. However, the low level access given to guest OS kernels means that any bug in the hypervisor is likely to be accessible to attacker code due to the broad API it offers. One simple fix would be to read back the state of each mapping after changing it. If the write failed for some reason, the hypervisor would see this and halt.

It will be interesting to see how Sony responds with future updates to prevent this kind of attack."

O artigo completo está em:
http://rdist.root.org/2010/01/27/how-the-ps3-hypervisor-was-hacked/

[Com agradecimentos ao Tiago Martins]

teste de penetração web - Groundspeed

"...Groundspeed, uma add-on para Firefox que permite manipular a interface das aplicações web para facilitar o pentest. Por exemplo, Groundspeed permite mudar o tipo dos campos dos formulários HTML para transforma-los em campos de texto, eliminar os limites de tamanho, modificar os event handlers de JavaScript, etc.

Groundspeed é open source e esta disponível aqui: http://groundspeed.wobot.org."

PS3 foi pirateada

O lançamento da consola foi há 3 anos e acreditava-se que era praticamente impossível de piratear. Parece que foi desta, embora não seja claro o que é que o hack permite exactamente fazer.

"This is the coveted PS3 exploit, gives full memory space access and therefore ring 0 access from OtherOS. Enjoy your hypervisor dumps. This is known to work with version 2.4.2 only, but I imagine it works on all current versions. Maybe later I'll write up how it works

I've gotten confirmation the exploit works on 3.10. Also I've heard about compile issues on Fedora. I did this in Ubuntu. I would really like someone to write up a nice tutorial :)"

Mais detalhes em:
http://geohotps3.blogspot.com/2010/01/heres-your-silver-platter.html
http://www.eurogamer.net/articles/digitalfoundry-ps3hacked-article
http://news.bbc.co.uk/2/hi/technology/8478764.stm

(Com agradecimentos ao Alexandre Correia)

apresentação do Bruce Schneier na abertura da IBWAS'09

...no passado mês de Dezembro, sobre sobre “O Futuro da Indústria de Segurança”. Vale a pena nem que seja pela definição de Best Practices: "We don't know what we're doing, but we're doing the same as them, so don't sue us." :-)

Protecção contra browsers corrompidos

Segmented Web Browsing Will Be the DMZ of the 2010’s
By Daniel Miessler on January 24th, 2010
"(...)

In the beginning of Internet commerce, web-facing servers were located on the same network segment as protected internal resources, such as database servers, HR systems, etc. This was demonstrated to be a universally stupid idea, and the concept of the DMZ was born and propagated as a standard architectural practice.

The same is about to happen for web browsers within corporate networks. It will soon be considered unacceptable to have regular web clients sitting on the same network as protected systems–or even on a network with access to those systems.

In the near future, all web browser interaction with the Internet will be done virtually–from a segmented, virtualized network with multiple layers of protection between the browsing network and the Internet. Some of these will include:

  • state-of-the art proxying and real-time whitelisting/blacklisting
  • sandboxing to isoloate browser from OS
  • application/executable whitelisting on the browser OS
  • regular patching of all browsing VMs (near-immediate)
  • regular snapshot restores of browsing VMs to known-best state
(...)"

[Com agradecimentos ao Bruno Garrancho]

Caso Google-China em perguntas

Google-China cyber espionage saga - FAQ
ZDNet Zero Day

Muito interessante. Só duas perguntas:

Q: How did the attack take place?

Through a combination of spear-phishing (targeted attack), and a zero day flaw (CVE-2010-0249) affecting Microsoft’s Internet Explorer (see which versions and which platforms are affected).

Microsoft is currently working on emergency patch, given the fact that the exploit code used in the attack is now publicly available, with the governments of Germany and France urging users to stop using Internet Explorer.

Not only did the targeted malware attack managed to bypass the malware/spam filters of the organizations (Phishing experiment sneaks through all anti-spam filters; New study details the dynamics of successful phishing), but also, managed to successfully exploit hosts within the working environment which allowed the attackers to steal intellectual property from Google.

Upon the successful exploitation of these hosts, the attackers relied on the Hydraq trojan in order to facilitate the theft of intellectual property (Trojan.Hydraq Exposed; Trojan.Hydraq - Part II), and continue maintaining access to the affected hosts.


Q: Which companies were affected in the targeted malware attacks?

According to the initial post confirming the targeted malware attacks, Google stated that “at least twenty other large companies from a wide range of businesses–including the Internet, finance, technology, media and chemical sectors–have been similarly targeted.

On the same day, actual details on who’s been targeted started to emerge, prompted by Google’s decision to go public with the incident at the first place, with Adobe being the first company to confirm the “corporate network security issue“, later on denying the initial allegations that the attacks took place through a zero day flaw in Adobe’s Reader.

According to public reports, the number of affected companies increased to 34, including Yahoo, Symantec, Northrop Grumman and Dow Chemical. Of those, only Yahoo, Juniper Networks and Symantec provided details that they’re currently investigation possible security incidents without actually confirming that their networks may have been successfully compromised in the attacks.

A day after Google’s announcement of the incident, the law firm Gipson, Hoffman and Pancione which represents CYBERsitter in a $2.2 billion lawsuit against China for pirating source code and using in Green Dam, a content filtering / censorship program, reported that “it has suffered cyber attacks originating from China“.