Novo documento do NIST sobre segurança

O NIST acaba de disponibilizar um draft sobre supervisão de segurança:

"Information Security Continuous Monitoring for Federal Information Systems and Organizations"
INITIAL PUBLIC DRAFT
Dezembro 2010
http://csrc.nist.gov/publications/drafts/800-137/draft-SP-800-137-IPD.pdf

Encontrei esta frase interessante, aparentemente a título de citação do documento:

"Effective IT security requires a top-down approach, with strategic planning at the organizational level rather than on a system-by-system basis"

Na realidade a frase não aparece no documento, embora este diga algo do género.

FBI colocou backdoor no stack IPSec do OpenBSD?

A notícia é que alguém disse que o FBI tinha pago à empresa onde trabalhava há 10 anos para pôr backdoor(s) no stack IPSec do OpenBSD. A ser verdade tem implicações importantes na segurança de outras pilhas IPSec e produtos dele derivados.

Os emails, para quem interessarem:

Forward do email original:
http://marc.info/?l=openbsd-tech&m=129236621626462&w=2
Comentário ao email original:
http://marc.info/?l=openbsd-tech&m=129296046123471&w=2
Comentário ao facto do email original ter sido trazido a público:
http://cryptome.org/0003/fbi-backdoors.htm

Who's Who:
Gregory Perry: autor do email original e ex-funcionário da NETSEC
Theo De Raadt: destinatário do email original que o tornou público;
fundador e coordenador dos projectos OpenBSD e OpenSSH

Stealing credit card numbers made easy: cartões de crédito com RFIDs

Quando parecia que as empresas de cartões de crédito já tinham perdido dinheiro suficiente surge a ideia extraordinária de criar cartões com RFIDs, logo legíveis sem contacto:

Electronic Pickpocketing via RFID
http://www.idtheftcenter.org/artman2/publish/headlines/Electronic_Pickpocketing_via_RFID.shtml

breve excerto:
"A new technology that's come out in the last few years might soon make magnetic strips extinct. Several bank cards come with a chip that allow you to pay for purchases by holding your card close enough to a card reader, but "contactless" cards have not caught on as fast as experts thought, because of fears of being electronically pickpocketed."


Alguns sites sobre esses cartões:
http://www.visa.com/visapaywave/
https://www295.americanexpress.com/cards/loyalty.do?page=expresspay

Videos de sessões de treino do IBWAS'10 disponíveis

Estão disponíveis gravações em video das sessões de treino do IBWAS'10, que decorreu há dias no ISCTE. Os temas são muito interessantes:

    * Guided Tour of OWASP Projects, by Dinis Cruz (OWASP Board)
    * OWASP Top Ten, by John Wilander (OWASP Sweden Chapter Leader)
    * OWASP Secure Coding Practices - Quick Reference Guide, by Miguel Almeida (Portuguese Local Chapter)
    * Implementation of Enigform for Wordpress, by Arturo 'Buanzo' Busleiman (Project Leader)
    * OWASP O2 Platform, by Dinis Cruz (OWASP Board)
    * OWASP Testing Guide, by Martin Knobloch (Education Committee)
    * OWASP Webslayer Project, by Christian Martorella (Project Leader)

Ligação: http://www.owasp.org/index.php/OWASP_Training#tab=Modules_and_Materials

OWASP, HTTP, etc.

Na 6ª feira estive na conferência IBWAS em Lisboa, um evento do projecto OWASP. Muita informação interessante, como sempre.

Uma apresentação muito interessante foi a de John Wilander, do OWASP Suécia. Falou sobre uma série de extensões ao HTTP que visam prevenir ataques como clicjacking. Algumas delas: HTTP Strict Transport Security (força HTTPS), X-Frame-Options (impede colocar uma página numa frame, para evitar clicjacking), content security policy, novo RFC sobre cookies, "do not track".

Falou ainda de uma vulnerabilidade "stored XSS" estranhissima. O script XSS está armazenado... num livro, na Amazon. Mais info: http://drwetter.eu/amazon/

O OWASP Summit 2011 vai ser em Fevereiro em Portugal, no Oeste. A não perder.

passwords mais usadas em Portugal

Um post muito interessante no blog do Miguel Almeida, que mostra bem como o elo mais fraco é bem mais fraco do que pode parecer:

Top 100 das passwords Portuguesas
http://miguelalmeida.pt/2010/12/top-100-das-passwords-da-treta-portuguesas.html

As passwords mais usadas são nomes próprios, o que é um espaço de busca pequeno. O pior é que esses nomes próprios devem ser do próprio ou de um familiar próximo...

wikileaks: a batalha campal

Não é um caso de ciber-guerra, mas uma autêntica batalha campal:
- wikileaks sob fogo de ataques DoS
- empresas que cortam o acesso a fundos à wikileaks sobre ataques DoS de um grupo de hackers (Anonymous)
Onde vai acabar?

Visa under attack from Anonymous, payment processors, as WikiLeaks war escalates
4chan rushes to WikiLeaks' defense, forces Swiss banking site offline
ArsTechnica

mais software falso

Há uns tempos começaram a aparecer pacotes de software anti-virus falsos, agora são as aplicações de limpeza de disco falsas. A confiança no fornecedor do software é cada vez mais necessária.

From rogue AV to fake disk clean-up utilities
no blog Zero Day

Quando o controle de acesso falha

O controle de acesso é um mecanismo fundamental da segurança de qualquer sistema. É também um mecanismo que sofre de inúmeros problemas, por exemplo:
  • se mal configurado, o atacante pode aceder a recursos de forma indevida;
  • se um utilizador legítimo divulgar os seus dados de acesso, o atacante pode aceder ao sistema;
  • se houver uma vulnerabilidade no sistema que concretiza o controlo de acesso, este pode ser ultrapassado.
Há dias soube-se uma nova vulnerabilidade nos Windows recentes que permite contornar o controle de acesso, mais propriamente o User Account Control (UAC). A vulnerabilidade permite fazer escalamento de privilégios, ou seja, obter privilégios superiores aos detidos pelo utilizador.

A notícia na ArsTechnica: http://arstechnica.com/microsoft/news/2010/11/newly-discovered-windows-kernel-flaw-bypasses-uac.ars