Blog de Segurança

A Microsoft lançou conjuntamente com o ITA o primeiro laboratório de Segurança no Brasil.

O objetivo deste laboratório será de realizar pesquisas diversas na área de segurança da informação, contando inicialmente com alunos da pós-graduação do ITA e sendo patrocinado diretamente pela Microsoft.

A iniciativa é pioneira na América Latina como um todo, e especialmente no Brasil.

O coquetel de lançamento ocorreu ontem (27/08/2009) e como projeto inicial contará com a validação dos mecanismos de segurança do Internet Explorer 8 e 5 envolvidos (sendo 2 professores e 3 estudantes).

Começarei com um post menos técnico… ou melhor.. nada técnico, mas que é interessante quando falamos de segurança da informação. Muitas empresas não conseguem ver segurança da informação como investimento, pois faz uma conta simples: Se eu contratar um vendedor e pagar R$ 3000,00 para essa colaborador, eu aumento a minha venda em x% e com isso consigo aumentar os meus lucros em R$ 5000,00. Porém, se eu contratar um profissional de segurança da informação, eu terei apenas custo, não aumentando as minhas vendas.

Mas será que é assim mesmo que a coisa realmente funciona?

Para responder essa pergunta, analisaremos o caso da empresa Telefônica com o Speedy. O Speedy sofreu diversos ataques, diversos problemas e teve diversas paradas ao longo de um período de tempo onde sofreu diversos processos, teve que devolver dinheiro para clientes e ficou proibido de ser vendido por 2 meses, sendo liberada a venda apenas ontem, dia 26 de agosto.

Como podemos perceber, a falta de investimento em segurança da informação trouxe diversos prejuízos para essa empresa.

Portanto, podemos afirmar que segurança possui um “Retorno sobre o Investimento” que pode ser, na maioria das vezes, estimado e demonstrado para as pessoas que acreditam que segurança é apenas gasto.

Divulguei na revista Phrack deste ano um artigo sobre exploração de vulnerabilidades em softwares rodando na arquitetura Cell (nova arquitetura desenvolvido por um consórcio formado por Sony, Toshiba e IBM).

Este artigo documenta o que demonstrei na palestra do ano passado na conferência Hack in The Box de Dubai e pode ser visto como uma extensão ao artigo lançado pelo Ramon de Carvalho Valle do grupo RISE Security (formado por mais 2 brasileiros além de mim)

Ano passado lancei conjuntamente com o Filipe Balestra (que também participa deste blog) e um pesquisador alemão um artigo sobre métodos de uso da SMM para subverter recursos de segurança do sistema operacional e criar malwares.

Este artigo foi uma extensão das pesquisas que desenvolvi para o StMichael, projeto originalmente criado por Timothy Lawless para proteção do kernel do Linux (visando oferecer base tecnológica para suportar o projeto StJude, o qual o mesmo dedicou grande parte de suas pesquisas). Me tornei mantenedor do StMichael há muitos anos atrás devido as contribuições que fiz para o mesmo (sempre pensei que o potencial do StMichael foi sub-valorizado na época) e diversas das idéias que nele estão implementadas acabaram provando-se válidas para ataques contra outros sistemas (por exemplo a detecção de strings do SELinux para desabilitar o mesmo por ataques ao kernel seria evitada com a geração de senhas de seção que inseri no mesmo). Tal extensão utilizou o que aprendi sobre SMM para utilizar em um sistema de segurança para a criação de um código malicioso.

Isto serve para provar que o investimento em pesquisas de segurança tem grande importância prática, dado que após a divulgação deste artigo, diversos outros estudos demonstraram fragilidades nos recursos de proteção da SMM (eu havia documentado o problema da escrita do cache sob a memória no capítulo 3.1.1 – Cache-originated overwrites do artigo, mas não havia aprofundado em como forçar isto de forma confiável, conforme a Joanna comprovou depois).

Gostaria de contar com comentários dos leitores a respeito do artigo, dos ataques envolvidos e também da revista Phrack como um todo, desde sempre divulgando novas técnicas e sendo a mais reconhecida no mundo sobre o assunto pesquisa em segurança da informação…

Ainda na modalidade de eventos de segurança não poderia deixar de aproveitar para falar um pouco do Hackers 2 Hackers, evento que organizo no Brasil (maior e pioneiro da américa latina) enfocando aspectos de pesquisas em segurança da informação.

Este ano será a 6 edição e mostrando todo o potencial do Brasil o evento continua crescendo. Será realizado no Novotel do Morumbi e o site em breve receberá todas as novidades!

Diversos palestrantes internacionais participaram das edições anteriores, com novas técnicas de ataques tendo sido divulgadas, vulnerabilidades e ferramentas, além do compartilhamento de experiências e troca de informações que este tipo de evento proporciona.

Ano passado (2008) tivemos a abertura a patrocinadores, contando com o apoio da Microsoft, Check Point e Immunity entre outras empresas importantes no mundo da segurança da informação.

Comente, discuta, divulgue e participe do grupo no linkedin além de seguir o evento: linkedin.

Eis que finalmente fui em uma Defcon. Tive a oportunidade de conhecer diversos eventos internacionais de segurança da informação, tais quais PH-Neutral (Alemanha), Troopers (Alemanha), Hack in The Box (Malásia uma vez e Dubai 3 vezes), XCon (China), VNSecurity (Vietnam) e outros menores, mas fiquei impressionado com a Defcon…

Vários anos atrás tive uma palestra aceita para a conferência - clique aqui para ver o material, mas por motivos de trabalho acabei não podendo ir. Desde então fiquei apenas na vontade, até este ano!

Primeiramente, a conferência acontece em Vegas, o que por si só já diz muito sobre o espírito da mesma. Depois, foram 9 mil nerds unidos em um único local (nossa, eu me senti o mais normal no meio de tantos, e olha que sempre me dizem que sou ‘especial’)… Uma verdadeira bagunça, claro. Mas grande oportunidade para conhecer e trocar idéias com os mais importantes nomes da cena underground mundial.

Diversas palestras paralelas, além de ‘atividades extras’, tais como o lock-picking village (onde as pessoas podem aprender a abrir cadeados) e o capture the flag (competição envolvendo diferentes prêmios onde o objetivo é explorar vulnerabilidades de segurança em softwares diversos). Muitos irão escrever sobre a Defcon e estou no aguardo da palestra da ISSA com o resumo da conferência, mas quis escrever aqui que quem tem preconceito contra este tipo de evento não sabe o que está perdendo!

Recentemente a revista Hakin9 (lançada em diversos idiomas e por toda a Europa e Estados Unidos) lançou uma coletânea dos melhores artigos, onde um artigo escrito pelo Filipe Balestra (participante deste blog) e eu acabou sendo escolhido como capa da mesma.

Na época da publicação do artigo (ano passado) eu negociei que manteríamos o copyright do mesmo e que poderíamos publicá-lo depois de 3 meses do lançamento da revista. Isto quer dizer que o mesmo pode ser baixado gratuitamente em: www.kernelhacking.com/rodrigo/docs/AntiForense.pdf

Espero receber aqui comentários sobre o mesmo, e iniciar uma discussão saudável sobre o tema!

Prezado Kurt,

Se:

• o GNU/Linux de fato conquistar o mundo e
• digamos, 50% dos usuários optarem pelo Ubuntu e
• for descoberta uma vulnerabilidade do Ubuntu e
• muitas pessoas previsivelmente não aplicarem as correções

… então teremos aí o potencial para ações maliciosas autônomas (tipo vírus e worms) para GNU/Linux?

Sei que o potencial destrutivo de um eventual software malicioso no GNU/Linux ficaria restrito aos arquivos pessoais do usuário. Mas convenhamos, é suficientemente alarmante a possibilidade de perder ou ter divulgados todos os seus documentos, vídeos pessoais e fotos comprometedoras.

– Blog da Redação

Resposta:

Já existem vírus/worms/cavalos de troia no momento, mas é claro que a ampla adoção com as pessoas deixando de aplicar patches a seus sistemas pioraria as coisas. O que é importante lembrar é que os fornecedores e distribuidores estão trabalhando constantemente em tecnologias de atualização – veja os vários fornecedores com atualizações automáticas ativadas por padrão.

Também acho que veremos uma mudança na direção de aplicativos compartimentalizados, algo sobre o qual já escrevi antes (rodar seu navegador web de dentro de uma máquina virtual ou jaula chroot, por exemplo).

A última coisa que me dá esperança é o fato de companhias como o Google estarem liberando produtos como o Chrome OS, uma versão restrita do Linux que aparentemente até roda o servidor X como usuário em vez do root, o que limita bastante os danos que um agressor pode causar. Tenho esperanças de que técnicas como essa para dispositivos de uso geral resultarão em dispositivos seguros e menos perigosos.