segurança de infraestrutura vs segurança de software

reproduzo um excerto de um artigo muito interessante publicado por Jeremiah Grossman no seu blog:

Infrastructure vs. Application Security Spending

A recent study published by 7Safe, UK Security Breach Investigations Report, analyzed 62 cybercrime breach investigation and states that in “86% of all attacks, a weakness in a web interface was exploited” (vs 14% infrastructure) and the attackers were predominately external (80%). These results are largely consistent with the US-based Verizon Data Breach Incident Report (2008) which tracks over 500 cases. Combine this knowledge with the targeted Web-related attacks against Google, Adobe, Yahoo, the US House of Representatives, TechCrunch, Twitter, Heartland Payment Systems, bank after bank, university after university, country after country -- the story is the same. It’s a Web security world.

It has been said before and it’s worth repeating, adding more firewalls, SSL, and the same ol’ anti-malware products is not going to help solve this problem!

The reason that Web security problems persist is not a lack of knowledgeable people (though we could use more), perfected security tools (they could be much better), or effective software development processes (still maturing). A fundamental reason is something myself and others have been harping on for a long while now. Organizations spend their IT security dollars protecting themselves from yesterday’s attacks, at the network/infrastructure layer, while overlooking today’s real threats. Furthermore, these dollars are typically spent counter to how businesses invest their resources in technology. To illustrate this point I’m going to borrow inspiration from Gunnar Peterson (Software Security Architect & CTO at Arctec Group).

(...)

big brother is watching you

Mais um exemplo de como sob a capa da segurança se cometem violações grosseiras à privacidade. No Sol online:

Escola acusada de espiar alunos através de portáteis -
Nos EUA

Uma escola norte-americana foi processada por um casal, que acusa o estabelecimento de ensino de espiar os alunos através de programas informáticos que instalou nos computadores portáteis que lhes ofereceu.

O processo foi apresentado por um casal que foi chamado à escola, situada no estado do Pensilvânia, para responder por conduta imprópria do seu filho em casa.

Como prova o estabelecimento de ensino apresentou uma imagem captada pela webcam do computador portátil do estudante, equipamento esse oferecido pela própria escola.

Ao que tudo indica a webcam teria sido ligada através de um programa que activava remotamente o dispositivo.

De acordo com a BBC, a escola justificou a instalação do software por questões de segurança, afirmando que tal servia para encontrar portáteis roubados ou perdidos pelos alunos.


TPM foi pirateada

A TPM é um chip com diversas funções criptográficas que está a ser comercializado com inúmeros PCs actuais. Não é a primeira vez que falamos da vulnerabilidade destes chips a ataques físicos, mas o ataque mais recente permite aceder às instruções executadas pelo processador interno da TPM. Não é claro no entanto se o ataque permite aceder à chave privada RSA (embora tudo indique que sim) e se é generalizável a qualquer chip TPM.

A notícia completa em: http://www.physorg.com/news184870068.html

[Com agradecimentos ao Tiago Martins]

Rugged Software - iniciativa promove a segurança de software

Um doce para quem conseguir traduzir "rugged". Segundo os dicionários significa algo como rugoso, irregular, austero... O que é que isso tem que ver com segurança (num sentido positivo), ignoro.

O site da iniciativa está aqui: http://www.ruggedsoftware.org/ . Tem pouca informação mas há muita conversa sobre o tema pelos blogs.

Já agora, aqui fica:

The Rugged Software Manifesto
  • I am rugged... and more importantly, my code is rugged.
  • I recognize that software has become a foundation of our modern world.
  • I recognize the awesome responsibility that comes with this foundational role.
  • I recognize that my code will be used in ways I cannot anticipate, in ways it was not designed, and for longer than it was ever intended.
  • I recognize that my code will be attacked by talented and persistent adversaries who threaten our physical, economic, and national security.
  • I recognize these things - and I choose to be rugged.
  • I am rugged because I refuse to be a source of vulnerability or weakness.
  • I am rugged because I assure my code will support its mission.
  • I am rugged because my code can face these challenges and persist in spite of them.
  • I am rugged, not because it is easy, but because it is necessary... and I am up for the challenge.