Conferência de Segurança em Lisboa a 16-17 de Dezembro

2nd. OWASP Ibero-American Web Application Security Conference (IBWAS'10)

As inscrições para o IBWAS 2010 estão abertas. Também já estão anunciadas diversas apresentações convidadas.

A conferência tem um dia de cursos e outro de conferência propriamente dita.

Vulnerabilidades no routing da internet

No dia 8 de Abril de 2010, durante 18 minutos a China Telecom anunciou um conjunto de rotas erradas, o que levou 15% do tráfego da internet a passar por servidores localizados na China. A Ars Techica publicou um interessante artigo sobre a intrínseca vulnerabilidade da internet a este tipo de ataques:

Understanding the Internet's insecure routing infrastructure

Ameaças à computação na nuvem (cloud computing)

Interessante, no site da Cloud Security Alliance:
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

Previsões da Gartner 2010

Previsões da Gartner relativas a empresas e utilizadores nas áreas da TIs. Não é novo, é de Jan. 2010, mas os highlights são interessantes:

Gartner Highlights Key Predictions for IT Organizations and Users in 2010 and Beyond
http://www.gartner.com/it/page.jsp?id=1278413
  • By 2012, 20 percent of businesses will own no IT assets.
  • By 2012, India-centric IT services companies will represent 20 percent of the leading cloud aggregators in the market (through cloud service offerings).
  • By 2012, Facebook will become the hub for social network integration and Web socialization.
  • By 2014, most IT business cases will include carbon remediation costs.
  • In 2012, 60 percent of a new PC's total life greenhouse gas emissions will have occurred before the user first turns the machine on.
  • Internet marketing will be regulated by 2015, controlling more than $250 billion in Internet marketing spending worldwide.
  • By 2014, over 3 billion of the world's adult population will be able to transact electronically via mobile or Internet technology.
  • By 2015, context will be as influential to mobile consumer services and relationships as search engines are to the Web.
  • By 2013, mobile phones will overtake PCs as the most common Web access device worldwide.

Tolerância a intrusões em redes wireless ad hoc - doutoramento

Ontem um dos colaboradores do blog, Henrique Moniz, defendeu brilhantemente a tese de doutoramento. O tema era tolerância a intrusões em redes wireless ad hoc. Parabéns ao novo doutor!

Mais info: http://www.hmoniz.net/

Problemas de segurança vão aumentar?

Palavras recentes do Defense Secretary (equivalente ao Ministro da Defesa) americano Robert Gates:

"I think there is a huge future threat. And there is a considerable current threat," Gates told The Wall Street Journal CEO Council. "And that's just the reality that we all face."

Fonte: Reuters

Algumas apresentações sobre Segurança no Software e das Clouds

Vou fazer algumas apresentações em diversos eventos nos próximos tempos. Pode ser que interessem:

2010 Odisseia no Software
Confraria de Segurança, Lisboa, 23/11/2010

Resumo: O episódio Stuxnet é apenas mais um dos muitos que mostram o grau de vulnerabilidade do software actual. Esse malware especialmente perigoso seria ineficaz se não existissem diversas vulnerabilidades em software comercial que de tanto usado se esperaria ser bem testado. A apresentação é uma visão pessoal sobre o que é a segurança de software hoje em dia, dos problemas fundamentais às soluções.

Clouds Seguras: Disponibilidade e Privacidade nas Nuvens
Cloud Computing Fórum 2010 - ComputerWorld, Hotel Pestana Palace, Lisboa, 25/11/2010

Resumo: A mudança de década que atravessamos tem revelado um aparente paradoxo: as empresas mostram-se cada vez mais interessadas em instalarem os seus sistemas de informação na cloud, ao mesmo tempo que aumenta a sua percepção do risco a que estas mesmas aplicações estão sujeitas na internet. Esta apresentação vai explicar os principais desafios que a cloud apresenta em termos de segurança, entre os quais os da disponibilidade dos sistemas e da privacidade dos dados. Vai ainda apresentar soluções pragmáticas e outras mais futuristas mas mais eficazes para estes problemas, como a utilização de trusted computing ou a distribuição de confiança por diversos fornecedores de serviço.

Software Security in the Clouds
IBWAS 2010, ISCTE, Lisboa, 16-17/12/2010

Resumo: Recently an expert wrote rather enfatically that "the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks". This situation is particularly concerning in times when companies are exporting their applications and data to cloud computing systems. The first part of the talk will be a personal vision of the combination of techniques and tools needed for protecing software. The second part will argue that this combination is still insuficient for critical applications in the cloud and propose solutions based on distributing trust among different clouds.

Segurança de sistemas industriais

interessante:

"En más de una ocasión hemos dicho que uno de los principales problemas para la adopción de medidas de seguridad en los sistemas de automatización y control industrial, entre los que se incluyen los sistemas SCADA, es que los responsables de su gestión son personas alejadas del mundo TIC en general y de la seguridad de los sistemas de información en particular. Estas personas entienden de carriles DIN, de bucles de control, de lógica programable, de entradas digitales y analógicas, de relés, …, pero no tienen tan claro qué es un cortafuegos [firewall] o para qué sirve, ni mucho menos, cuáles son las reglas de filtrado más adecuadas o cuál es la sintaxis a utilizar para un modelo concreto."

http://blog.s21sec.com/2009/07/donde-va-este-cable-y-este-trasto-para.html

Man in the mobile

do blog S21sec:

"(...) many companies (not only financial institutions) are using SMS as a second authentication vector, so having both the online username and password is not enough in the identity theft process. There are some social engineering techniques in the wild that try to handle this issue by luring the user; the user thinks that is doing a specific operation, but in fact he is doing other forged one (man-in-the-browser, JabberZeus, etc.)

In this post, we are going to talk about a better alternative planned by a ZeuS gang: infect the mobile device and sniff all the SMS messages that are being delivered."

Os posts:
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-ii.html
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-iii.html

log injection e log forging

Os ataques de log injection são um caso interessante de ataque que não dá resultados imediatos. O objectivo consiste em modificar um qualquer log de modo a apagar as pistas de um ataque ou a atacar o administrador do sistema quando este consulte o log. Um caso específico deste ataque é chamado log forging e consiste em criar novas entradas no log (por exemplo através da injecção de metacaracteres como o newline)

Ligações:
http://www.owasp.org/index.php/Log_injection
http://www.jtmelton.com/2010/09/21/preventing-log-forging-in-java/

vulnerabilidades são defeitos?

Um excerto interessante do livro "Beautiful Security". A citação é tirada do capítulo de Jim Routh (pg 189) que explica o processo de segurança de software que o próprio concretizou numa grande empresa:

"But some team leaders were not playing along. They were unwilling to relax schedules or use the productivity factor to offset the increased time needed to fix identified vulnerabilities [using static analysis tools]. They prefered to allocate time and budget to creating functionality rather than improving the vulnerability risk score of the their team's code. In effect, the team leaders conveniently assumed that security vulnerabilities were not defects and could be deferred for future enhancements or projects." [sublinhado meu]

(in)segurança de infraestruturas críticas: um marco histórico?

Segundo um artigo do blog Zero Day, no passado dia 18/10 foi adicionada uma vulnerabilidade dia zero num sistema SCADA ao Metasploit. É a primeira vulnerabilidade neste tipo de sistemas adicionada ao Metasploit. É agora que vamos ficar às escuras. Oh brave new world...

Artigo no blog Zero Day:
http://www.zdnet.com/blog/security/metasploit-and-scada-exploits-dawn-of-a-new-era/7672?tag=mantle_skin;content

Metasploit: http://www.metasploit.com/

Advisory do ICS-CERT:
http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-10-305-01.pdf

A beleza da segurança

Acabo de ler e recomendo vivamente. É uma colecção de capítulos de diferentes autores e sobre temas diversos, oferecendo uma visão multifacetada. Não é um manual nem um livro bem estruturado, mas um conjunto de ideias e opiniões.

"In Beautiful Security, today's security experts offer a collection of essays that describe bold and extraordinary methods to secure computer systems in the face of ever-increasing threats. You'll learn how new and more aggressive security measures work -- and where they will lead us. This far-reaching discussion takes you into the techniques, technology, ethics, and laws at the center of the biggest revolution in the history of network security."

Mais info: http://oreilly.com/catalog/9780596527488

Crítica no Slashdot: http://books.slashdot.org/story/09/07/06/137217/Beautiful-Security

the supply chain problem

Ou "o problema da cadeia de fornecimento" em Português?

Em poucas palavras, o problema é o de ter confiança em que o software (ou hardware) comercial não traz algum tipo de backdoor, kill switch ou vulnerabilidade que permita a alguém mal intencionado fazer algo indesejável ao sistema de quem o compra. Esse tipo de mecanismo poderia ser deixado durante o seu desenvolvimento, no desenvolvimento de alguns dos seus componentes ou até durante o caminho até ao consumidor final (p.ex., quando é gravado em DVD). Daí o termo "cadeira de fornecimento".

O problema é típico de teorias da conspiração sobre governos estrangeiros que assim teriam controlo sobre os sistemas de outros países ou empresas  ( http://www.seguranca-informatica.net/2008/11/chip-malicioso-teoria-da-conspirao.html http://www.seguranca-informatica.net/2010/07/supply-chain-attack.html ). No entanto, há casos que se dizem ter acontecido a esse nível e nas distribuições de software pela internet (daí os hashes MD5 do software). Há ainda vários casos recentes de software distribuído contendo algum virus, p.ex., . O problema é real, portanto, e ainda mais pertinente quando tanto se fala de ciber-guerra.

O propósito deste post é o de deixar dois links para textos sobre o tema. Um é um draft standard do NIST americano sobre o tema, intitulado "Piloting Supply Chain Risk Management Practices for Federal Information Systems" ( http://csrc.nist.gov/publications/drafts/nistir-7622/draft-nistir-7622.pdf ). O outro é um post da CSO da Oracle, Mary Ann Davidson no seu blog que parece motivado pelo referido draft standard ( http://blogs.oracle.com/maryanndavidson/2010/09/the_root_of_the_problem.html ). Além de muitas outras coisas interessantes, esta deixa uma lista de subproblemas do problema da cadeia de fornecimento:

Constraint 1: In the general case - and certainly for multi-purpose infrastructure and applications software and hardware - there are no COTS products without global development and manufacturing.

Constraint 2: It is not possible to prevent someone from putting something in code that is undetectable and potentially malicious, no matter how much you tighten geographic parameters.

Constraint 3: Commercial assurance is not "high assurance" and the commercial marketplace will not support high assurance software.

Constraint 4: Any supply chain assurance exercise - whether improved assurance or improved disclosure - must be done under the auspices of a single global standard, such as the Common Criteria.

Constraint 5: There is no defect-free or even security defect-free software.

Boa leitura.

Google paga para descobrirem vulnerabilidades

Dito desta forma não é novidade, já que a Google tem há tempo um programa a decorrer para descoberta de vulnerabilidades no Chromium ( http://blog.chromium.org/2010/01/encouraging-more-chromium-security.html ). O interessante é que criaram um novo programa para outras aplicações... online! Exemplos:
  • *.google.com
  • *.youtube.com
  • *.blogger.com
  • *.orkut.com
O sistema é o mesmo: encontre uma vulnerabilidade e pagamos-lhe. Era interessante se aparecessem nomes portugueses no Hall of Fame.

Mais info: http://googleonlinesecurity.blogspot.com/2010/11/rewarding-web-application-security.html

Porque é que a segurança no software é importante

Motivação para o livro "Segurança no Software":

"(...) security in software requires a fundamentally different business model from that which exists today. In fact, the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks, scrambling among developers to fix and release patches, and continual exhortations to customers to perform rudimentary checks and maintenance."
Jim Routh, Forcing Firms to Focus: Is Secure Sofware in Your Future, in Beautiful Security, O'Reilly, 2010

"We wouldn’t have to spend so much time, money, and effort on network security if we didn’t have such bad software security. Think about the most recent security vulnerability about which you’ve read. Maybe it’s a killer packet that allows an attacker to crash some server by sending it a particular packet. Maybe it’s one of the gazillions of buffer overflows that allow an attacker to take control of a computer by sending it a malformed message. Maybe it’s an encryption vulnerability that allows an attacker to read an encrypted message or to fool an authentication system. These are all software issues."
John Viega e Gary McGraw. Building Secure Software. Addison Wesley 2002.

"S&P: Modern encryption plays a big role in commerce. Given the strength of today’s algorithms and implementations, what are the current weak links in an end-to-end system?
Zimmermann: I think the weak links are mostly the operating systems, mostly Windows. The encryption is strong enough that you usually don’t have to worry about someone breaking the encryption. Think of encryption as having a steel door on your house that’s three feet thick – but someone could bust a window, stick their hand in, turn the doorknob, and open the door – because of the OS."
Phil Zimmermann (criador do PGP), entrevista à IEEE Security & Privacy, Jan/Feb 2006

"We at Oracle have (...) determined that most developers we hire have not been adequately trained in basic secure coding principles (...) We have therefore had to develop and roll out our own in-house security training program at significant time and expense. (...) In the future, Oracle plans to give hiring preference to students who have received such training and can demonstrate competence in software security principles."
Mary Ann Davidson, Chief Security Officer da Oracle, carta enviada às 10 principais universidades americanas entre as quais a ORACLE contrata engenheiros (2008)