Defense in depth

Um artigo curioso: não apenas defende que a defense in depth é ineficaz como que é perniciosa.

Project Basecamp

Project Basecamp is a research effort by Digital Bond and a team of volunteer researchers to highlight and demonstrate the fragility and insecurity of most SCADA and DCS field devices, such as PLC’s and RTU’s.
The goal of Project Basecamp is to make the risk of these fragile and insecure devices so apparent and easy to demonstrate that a decade of inaction will end. SCADA and DCS owner/operators will demand a secure and robust PLC, and this will drive vendors to finally provide a product worthy of being deployed in the critical infrastructure.

(...)

Everyone knows PLC’s are vulnerable — or so we have heard for ten years now since the 9/11 attacks focused attention on DCS and SCADA security. Not only do they lack basic security features, they are also fragile. Warnings abound about the dangers of even running a port scan on a PLC. Yet even though “everyone knows” there has been little or no progress on developing even the option of purchasing a secure and robust PLC.

After this lost decade, Digital Bond decided to stop trying the same failed approach and the result is Project Basecamp. We looked for parallel situations in security where a serious problem was known, not addressed for a long time, and then something triggered a change.(...)

Página do projecto

Módulos para o Metasploit

Anatomia de um ataque dos Anonymous

Um relatório interessante da Imperva:

Imperva’s Hacker Intelligence Summary Report The Anatomy of an Anonymous Attack

During 2011, Imperva witnessed an assault by the hacktivist group ‘Anonymous’ that lasted 25 days. Our observations give insightful information on Anonymous, including a detailed analysis of hacking methods, as well as an examination of how social media provides a communications platform for recruitment and attack coordination. Hacktivism has grown dramatically in the past year and has become a priority for security organizations worldwide. Understanding Anonymous’ attack methods will help organizations prepare if they are ever a target.

Our observation of an Anonymous campaign reveals:
› The process used by Anonymous to pick victims as well as recruit and use needed hacking talent.
› How Anonymous leverages social networks to recruit members and promotes hack campaigns.
› The specific cyber reconnaissance and attack methods used by Anonymous’ hackers. We detail and sequence the steps Anonymous hackers deploy that cause data breaches and bring down websites.

Finally, we recommend key mitigation steps that organizations need to help protect against attacks.


(com agradecimentos a Vitor Moreira que pôs o link no grupo Information Security Professionals in Portugal do LinkedIn)

Pwn Plug

Pwn Plug

"Our initial hardware offering, the Pwn Plug, is the first-to-market commercial penetration testing drop box platform. This low-cost plug-and-play device is designed for remote security testing of corporate facilities, including branch offices and retail locations. A security professional or service provider can ship this device to a corporate facility and conduct a security test over the Internet without travel expenses. The Pwn Plug includes a full security auditing software suite and provides covert remote access over Ethernet, wireless, and 3G/GSM cell networks. In the mobile space, Pwnie Express has also developed the most comprehensive commercial security suite for the Nokia N900 mobile platform."

Top Ten Web Hacking Techniques 2011

Está disponível a versão de 2011:

https://www.whitehatsec.com/resource/grossmanarchives/12grossmanarchives/022112topten2011.html

O top 10:
  1. BEAST (by: Thai Duong and Juliano Rizzo)
  2. Multiple vulnerabilities in Apache Struts2 and property oriented programming with Java (by: Johannes Dahse)
  3. DNS poisoning via Port Exhaustion (by: Roee Hay and Yair Amit)
  4. DOMinator – Finding DOMXSS with dynamic taint propagation (by: Stefano Di Paola)
  5. Abusing Flash-Proxies for client-side cross-domain HTTP requests (by: Martin Johns and Sebastian Lekies)
  6. Expression Language Injection (by: Stefano Di Paola and Arshan Dabirsiaghi)
  7. Java Applet Same-Origin Policy Bypass via HTTP Redirect (by: Neal Poole)
  8. CAPTCHA Hax With TesserCap (by: Gursev Kalra)
  9. Bypassing Chrome’s Anti-XSS filter (by: Nick Nikiforakis)
  10. CSRF: Flash + 307 redirect = Game Over (by: Phillip Purviance)

Notícia do DN sobre ataques a hospitais

No passado dia 2 de Março, o DN publicou uma notícia sobre a existência de ataques a hospitais nacionais. Esta notícia gerou algum alarme porque a ênfase foi infelizmente colocada naquilo que vende jornais (os ataques) e não naquilo que efectivamente interessa (as formas de evitar os ataques). Este post serve como complemento da notícia e como resposta a comentários em vários fóruns.

A notícia do DN baseou-se num debate sobre ciber-crime que decorreu na passada quinta-feira, dia 1 de Março, na Faculdade de Ciências da Universidade de Lisboa (FCUL). Neste debate estavam presentes professores do Mestrado em Segurança Informática da FCUL, um adjunto do Ministro da Administração Interna, um representante da Symantec (patrocinador do evento) e eu próprio em representação da Maxdata. Ou seja, a notícia do DN não foi consequência de qualquer press release da Maxdata ou algo do género.

Um dos assuntos que lancei para o debate foi a segurança informática da área da saúde (genericamente, não apenas em Portugal), e apresentei algumas estatísticas sobre o que aconteceu nos EUA nos últimos anos. Referi também que nos EUA já ocorreram intrusões em unidades de saúde. Esta informação é pública uma vez que o Ministério da Saúde dos EUA (Department of Health and Human Services) publica no seu sítio web incidentes de segurança que ocorrem nas suas unidades de saúde e que afectem mais de 500 pessoas. As unidades de saúde são obrigadas por lei a enviar esta informação.

Seguiram-se várias perguntas sobre a situação portuguesa e aí o que foi referido (não só por mim) é que estas intrusões podem muito bem acontecer em Portugal, porque as vulnerabilidades existentes não são inferiores às das unidades de saúde dos EUA. E também porque em Portugal não existe legislação adequada que obrigue as unidades de saúde e os seus parceiros/fornecedores a adoptarem as melhores práticas em termos de segurança informática. Referiu-se ainda que as unidades de saúde deveriam ser mais rigorosas na selecção dos seus parceiros e que deveriam definir nos contratos penalidades para o caso de ocorrerem incidentes de segurança.

Relativamente à existência de ataques concretos contra unidades de saúde portuguesas, naturalmente que já existiram, assim como ataques contra organizações de outras áreas, como temos vindo a ouvir crescentemente nos últimos tempos. O que nos deve preocupar não é o facto de já terem existido ou não ataques, mas sim em melhorarmos ao máximo as defesas para que não ocorram incidentes graves no futuro.

Convido todas as unidades de saúde a fazer uma reflexão interna e a melhorar o que pode ser melhorado. Ajudaremos no que for possível. A Maxdata será em breve a primeira empresa portuguesa da área da saúde certificada segundo a norma internacional ISO 20.000, o que inclui ter um processo de gestão da segurança da informação alinhado com a ISO 27.001. Neste contexto, implementámos políticas internas que tiveram já efeitos positivos em várias unidades de saúde, tais como o cumprimento da Lei de Protecção de Dados Pessoais.

Por último, saliento que os problemas de segurança em qualquer organização não se restringem apenas à esfera do byte. Claro que existem outras dimensões, mas isso não invalida que se discuta num dado momento uma delas em particular. Especialmente num debate sobre ciber-crime.

Ataques à Sony, 2ª parte

Afinal os ataques à Sony de há tempos levaram muito mais do que se imaginava:

Foram roubados cerca de 50 mil ficheiros
Hackers roubam catálogo de músicas de Michael Jackson à Sony
Público, 05.03.2012 - 14:43 Por Cláudia Carvalho

O catálogo discográfico de Michael Jackson, que inclui todos os álbuns e trabalhos do músico, entre eles músicas inéditas, foi roubado por hackers à editora Sony Music. Segundo o The Sunday Times, o roubo aconteceu já em Abril do ano passado mas só agora foi dado a conhecer.

Dos computadores da Sony, os piratas informáticos roubaram cerca de 50 mil ficheiros de música, não sendo Michael Jackson a única vítima do roubo. Do catálogo da Sony fazem parte nomes de artistas como Leonard Cohen, Paul Simon ou Foo Fighters, podendo também sido afectados.

Ao The Sunday Times, que avança a notícia, a editora não quis comentar o caso nem dizer quais os artistas implicados, limitando-se a confirmar apenas o incidente, que só foi descoberto semanas mais tarde, depois de alguns ficheiros terem começado a circular na Internet.

Desde Março de 2010 que todo o catálogo discográfico de Michael Jackson passou para as mãos da Sony Music, depois de a família do músico ter assinado um contrato de 200 milhões de dólares (cerca de 151 milhões de euros) com a editora. Com este contrato, a família Jackson cedeu à Sony todos os trabalhos do “Rei da Pop”, que incluíam material nunca antes editado de “Off the Wall”, “Thriller” e “Bad”, e ainda colaborações inéditas de Michael Jackson com Black Eyed Peas e Freddie Mercury, por exemplo. O acordo aconteceu meses depois da morte do cantor, em Junho de 2009.

O roubo terá acontecido na mesma altura em que a Sony foi alvo de um dos maiores ciberataques da história, com os dados pessoais das contas de 77 milhões de utilizadores de pessoas expostos, num primeiro ataque, e os de outros 25 milhões de pessoas, numa segunda fase. A editora demorou semanas a resolver esta falha de segurança.

Na altura, a Sony explicou que alguém não autorizado teve acesso ilegalmente aos seus sistemas informáticos, tendo mesmo sido obrigada a fechar temporariamente o PSN, que permite aos utilizadores jogar online e alugar filmes. Depois disso, a empresa garantiu que os seus serviços estavam “mais seguros do que nunca”.

O caso está a ser investigado pelas autoridades britânicas, que já fizeram duas detenções. Dois homens foram apresentados ao tribunal de Leicester acusados de estarem relacionados com o ataque informático. Segundo o “The Guardian”, os dois negaram as acusações e foram libertados sob fiança, tendo o julgamento sido marcado apenas para Janeiro de 2013.

RSA Conference USA 2012 em resumo

Estou na RSAConference USA 2012 em S. Francisco. É um evento impressionante, sem paralelo no que acontece em Portugal. Chamam-lhe “conference & exposition” mas eu acrescentaria “show”. Abriu com um filme projectado em inúmeros écrans numa sala gigante (milhares de pessoas). A certa altura entra um coro gospel com solistas que canta "You Can't Always Get What You Want" dos Rolling Stones, com a letra adaptada para falar de ameaças, ataques, injecção de SQL… Segue-se a apresentação de abertura de um VP da RSA (empresa) que fala sobre you can't always get what you want (100% de segurança), but you can get what you need (risco reduzido). Na exposição o espetáculo continua com dois F1 estacionados a chamarem a atenção, para além de outros dois de fórmulas que não consigo identificar. Brindes e mais brindes, de um helicóptero telecomandado a t-shirts que dão para todo o verão. Todos os grandes nomes, grandes apresentações, debates, enfim.

Mais o mais interessante é deixar aqui quais foram os tópicos fortes da conferência. Os realmente fortes foram na minha opinião 4:

- advanced persistente threats (APT)

- cloud computing

- bring your own device (BYOD) e mobilidade

- intelligence based security (intelligence no sentido do termo em CIA, não no sentido habitual de inteligência em português)

Outros temas fortes:

- inovação

- social networks and privacy

- rise of hacktivism

- context-awareness (access control/firewalls, intrusion detection/prevention)

- virtualização

Excelente!

P.S. A entrada é caríssima. A forma de conseguir entrar sem pagar é propondo uma apresentação. Foi o que fiz.

20 Critical Security Controls

A semana passada estive na University of Maryland e tive a oportunidade de assistir uma (fantástica) apresentação do Alan Paller, director of research do SANS Institute. Passou grande parte do tempo a falar sobre os 20 Critical Security Controls que são muito mais importantes do que possa parecer à primeira vista. Um aspecto importante, é que os realmente importantes para melhorar muito a segurança da empresa são apenas quatro, os 4 primeiros.

20 Critical Security Controls

The Twenty Critical Security Controls have already begun to transform security in government agencies and other large enterprises by focusing their spending on the key controls that block known attacks and find the ones that get through. With the change in FISMA reporting implemented on June 1, the 20 Critical Controls become the centerpiece of effective security programs across government These controls allow those responsible for compliance and those responsible for security to agree, for the first time, on what needs to be done to make systems safer. No development in security is having a more profound and far reaching impact.

These Top 20 Controls were agreed upon by a powerful consortium brought together by John Gilligan (previously CIO of the US Department of Energy and the US Air Force) under the auspices of the Center for Strategic and International Studies. Members of the Consortium include NSA, US Cert, DoD JTF-GNO, the Department of Energy Nuclear Laboratories, Department of State, DoD Cyber Crime Center plus the top commercial forensics experts and pen testers that serve the banking and critical infrastructure communities.

The automation of these Top 20 Controls will radically lower the cost of security while improving its effectiveness. The US State Department, under CISO John Streufert, has already demonstrated more than 94% reduction in "measured" security risk through the rigorous automation and measurement of the Top 20 Controls.

Interpol detem 25 Anonymous

Interpol anuncia detenção de 25 pessoas ligadas ao movimento Anonymous 
Público
Uma operação policial intercontinental, em resposta a uma série de ataques informáticos na Colômbia e no Chile, conduziu à detenção de 25 suspeitos em 15 cidades europeias e latino-americanas. Os detidos terão ligações ao movimento Anonymous, segundo a Interpol.

A Organização Internacional de Polícia Criminal (Interpol) divulgou nesta terça-feira, em Lyon, França, o resultado de cerca de duas semanas de operações concertadas em Espanha, Argentina, Chile e Colômbia. Além dos 25 suspeitos detidos, com idades entre os 17 e os 40 anos, foram apreendidos 250 itens de equipamento informático, cartões de crédito e dinheiro.

A operação “Unmask” (desmascarar), cujo nome se refere à máscara associada ao movimento Anonymous – e também ao movimento Occupy –, que representa o herói popular britânico Guy Fawkes, foi montada na sequência dos “ataques organizados” aos sites da Presidência e do Ministério da Defesa colombianos, da companhia de electricidade chilena, a Endesa, e da Biblioteca Nacional do Chile.

As detenções foram articuladas com as autoridades locais. As primeiras a serem conhecidas, ao início da tarde desta terça-feira, foram as quatro efectuadas em Espanha. Um dos detidos é acusado de ser o promotor de uma rede utilizada pelos Anonymous em Espanha e na América Latina, recorrendo a servidores na República Checa e na Bulgária. Foi detido em Málaga.

Um dos restantes três detidos em Espanha era menor e foi libertado, ao cuidado dos pais. Libertados foram também os seis suspeitos detidos em Santiago, no Chile, depois de prestarem depoimentos de forma voluntária. As autoridades chilenas acreditam, ainda assim, que serão ouvidos em tribunal. Na Argentina, foram detidas dez pessoas. Na Colômbia, cinco.

Em Espanha, os detidos enfrentam acusações de sabotagem a sites (de empresas e de partidos políticos) e de publicar informações confidenciais na Internet.

“Esta operação mostra que o crime no mundo virtual tem consequências reais para os envolvidos e que a Internet não pode ser vista como um porto seguro para actividade criminosa”, afirmou o director em exercícios dos serviços policiais da Interpol, Bernd Rossbach, de acordo com a AFP.

Os Anonymous são um grupo informal de hacktivistas, que têm promovido ciberataques a várias entidades e organizações, incluindo a sites de autoridades bem conhecidas e respeitadas como as norte-americanas CIA e FBI.