Black Hat USA 2008 e Defcon
Transcrição
Black Hat USA 2008 e Defcon
Edição 004 setembro/outubro de 2008 Revista da ISSA Brasil Amigo Russo, Amiga Romena (Друг русский,română prieten) Os Perigos da Sensação de Segurança Análisando redes Wireless com o Network Monitor Application Security é Mais Do Que Conformidade Prevenção de Incidentes de Segurança e Crimes de Informática Cloud Computing é Invenção, ou Existe Mesmo? Segurança no Protocolo 802.11 BlackHat e Defcon: Melhores conferências de segurança do mundo ? GRC Meeting Black Hat USA 2008 e Defcon: A cobertura dos eventos pela ISSA Brasil Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Carta do Presidente Anchises M. G. de Paula E stamos a 200 por hora!!! Não consigo pensar em outra forma de definir o atual ritmo da nova gestão. Em pouco mais de um mês de atividade, já realizamos o ISSA Day de Agosto junto com a Future Security, planejamos os eventos de Setembro e Outubro, apoiamos o GRC Meeting, lançamos o primeiro ISSA Brasil Awards, preparamos nossa participação no CNASI e mantivemos o ritmo da Antebellum, que chega agora nas suas mãos de uma forma inédita. Mas esta quarta edição da Antebellum é diferente. Seria por causa dos artigos? Eles continuam de excelente qualidade (arrisco a dizer que estão cada vez melhores) e são resultado da contribuição de diversos profissionais experientes do mercado. As coberturas especiais? Assim como fizemos com a RSA Conference em nossa segunda edição, agora estamos publicando uma cobertura da Black Hat e Defcon, pelo Rodrigo Montoro, e uma do GRC Meeting. As colunas? Estamos lançando duas colunas novas: uma sobre direito eletrônico (“Cyber Law”) e outra, que chamamos de “Logoff”, sobre as diversas atividades que nós podemos fazer em nosso (pouco) horário de lazer. Isso tudo é ótimo, mas o que realmente me orgulha nesta edição é que decidimos enfrentar mais um desafio: lançarmos esta revista no CNASI. E, melhor, porque não lançar uma edição impressa? Corremos, tivemos coragem e perseverança. Fizemos uma parceria inovadora com a NOKIA (que patrocinou a impressão da revista) e, graças a um forte apoio de última hora da Certisign (que realizou a editoração e a arte final), conseguimos: pela primeira vez estamos lançando uma edição especial, impressa, da Antebellum. Uma edição super especial para o CNASI. Uma edição que foi fruto da coragem de uma associação em inovar, em dar um passo além, e resultado da confiança depositada pelas empresas que assumiram este risco conosco, duas empresas conhecidas e respeitadas por todos nós, a NOKIA e a Certisign. Este pique todo não surgiu do nada. Estamos dando continuidade ao trabalho iniciado há dois anos atrás, quando assumimos a ISSA preocupados em trazer mais benefícios e tornar a associação parte do cotidiano dos profissionais de SI. Estes resultados, conquistados a custa de muito suor, nos fazem acreditar que estamos no caminho certo. Ainda temos muito pela frente, mas queremos caminhar muito. Queremos ouvir e ser ouvidos. Queremos que todos vejam a ISSA como a verdadeira Voz da Segurança da Informação. Anchises M. G. de Paula Presidente ISSA Brasil página 3 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Nesta edição Edição 004 • setembro/outubro de 2008 Carta do Presidente 3 Amigo Russo, Amiga Romena (Друг русский,română prieten) 5 Os perigos da sensação de segurança 7 Analisando redes wireless com o Networw Monitor 3 9 Application Security é mais do que conformidade 11 Prevenção de incidentes de segurança e crimes de informática 13 Cloud Computing é invenção, ou existe mesmo? 16 Segurança no Protocolo 802.11 20 BlackHat e Defcon: Melhores conferências de segurança do mundo? 22 GRC Meeting 25 Atividades ISSA 27 LogOff: o lado off line da segurnaça da informação 29 Colunas Antebellum: Cyber Law 30 Worst Cases: O lado divertido da segurança 30 Revista ISSA Brasil Antebellum, Edição 004, Setembro/Outubro de 2008 Expediente • Editor: Eduardo V. C. Neves • Revisão: Anchises Moraes e Fernando Fonseca • Jornalista Responsável: Cristina Turnes, MTb DF 4341/83. • Contatos pelo site www.ctcom.com.br • Contato: [email protected] Submissão de Material A Revista ISSA Brasil convida os membros do Capítulo a contribuir com a comunidade de Segurança da Informação submetendo artigos, tutoriais ou estudos de caso para publicação. O material deverá ser inédito e o autor deve assumir o compromisso de manter a publicação restrita a Antebellum pelo período de 90 dias, após o qual poderá disponibilizar para o público em geral. Os interessados deverão enviar o material seguindo os padrões descritos em nosso web site para o e-mail [email protected]. página 4 Disclaimer As informações apresentadas nos artigos, tutoriais e outras instruções publicadas nesta revista não foram submetidas a um teste formal e não devem ser interpretados como soluções. As opiniões expressas não refletem a opinião da ISSA ou ISSA Capítulo Brasil. Os nomes de produtos e marcas registradas são de propriedade de seus respectivos donos. Todas as fotos são de arquivo pessoal dos autores, quando não especificado em contrário. Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Amigo Russo, Amiga Romena (Друг русский,română prieten) Fernando Amatte S ua empresa tem um site na Web? Sabe qual a semelhança entre sua empresa, a NASA ou um Banco? Todos eles tem a porta 80 aberta para a internet. O que isso significa? Que todos estão sujeitos as mesmas ameaças e ataques! As novas tecnologias web estão tornando a internet uma mídia mais popular, mais fácil e atrativa. Dando mais opções de interação com usuários sempre mais participativos. Junto com essas novas tecnologias, temos também uma maior tendência de ataques e fraudes via web. dam logs, pessoas que os apagam, pessoas que analisam log e pessoas que nem sabem que os logs existem. Pense na seguinte situação: Junto com o lançamento de um novo produto, você solicitou um novo layout e novas funcionalidades para o seu site. Mais interação com os clientes, consultas e respostas dinâmicas, gráficos, respostas rápidas, etc. Tudo pronto. A análise desses logs de acesso, é semelhante a uma partida do jogo War. Vemos acessos vindos de vários lugares do mundo. Quantos acessos temos de cada região? O que eles fizeram ou tentaram fazer? Mantemos relações comerciais ou fazemos negócios com essas regiões? Seriam esses acessos válidos, vindos de pessoas interessadas em nossos produtos? Mídia informada, campanhas em jornais, revistas, rádio, TV e outdoors. Agora vamos medir a audiência para saber se a campanha deu certo. A equipe de marketing está vibrando, as expectativas foram superadas. Mais de 100 mil acessos por dia. Além dos acessos do público alvo, Brasil, temos acessos do mundo inteiro, incluindo EUA, Rússia, China, Polônia, Romênia, Argentina, Letônia, Moldávia, Hungria e Bulgária. A internet é realmente é uma mídia mundial, sem fronteiras, concluem. O que essas “pessoas” estavam visitando e/ou procurando em seu website? Somente a análise dos logs de acesso, poderá responder essas perguntas e garantir se sua campanha foi um sucesso ou não. Desde o início da internet, como a conhecemos hoje, logs de acesso a websites são importantes dados para a análise e geração de estatísticas. Quando bem analisados, esses dados podem nos mostrar o perfil de nossos visitantes, assim como as áreas mais e menos visitadas em um site. Desde que reais, os dados estatísticos podem nos ajudar a tirar diversas conclusões e planejar reformulações. Por exemplo, quantos clicks eu necessito para encontrar a informação que eu quero? Quais são os links ou figuras mais clicados? Nos serviços de busca, dificilmente o usuário chega na terceira página de resultados. (como eles sabem disso?) O valor comercial de um website muitas vezes se dá pela quantidade de visitantes que recebe em um determinado período. Essas informações (logs) são de grande importância estratégica e comercial para as empresas. Eu conheço pessoas que guar- Se você não sabe para que eles servem, tenho dois conselhos: aprender para que servem e trabalhá-los e deletá-los. Sim deletá-los, para que guardar uma coisa que você não sabe para que serve? Mesmo com o valor das mídias de armazenamento caindo, ainda é caro manter alguma coisa que não se sabe para que serve. Eu não tenho preconceito. Para falar a verdade gostaria muito de ter acessos vindos de todas as partes do mundo, porém com páginas escritas em português e conteúdo direcionado para o público brasileiro, não tenho a ilusão de ter mais de uma dúzia de acessos vindos de entusiastas e admiradores do Brasil que moram em outros países. Eu não tenho amigos russos ou amigas romenas que poderiam estar gerando esses acessos. Talvez eu não seja tão sociável assim, ou talvez meu conteúdo interesse a poucos. Começamos aqui a pensar em segurança Com o advento das botnets pode-se comprar acessos, comprar clicks, sendo assim quem pode garantir que os seus acessos são legítimos? Quantas vezes seu site foi testado contra as últimas vulnerabilidades no último mês? (Você autorizou?) Quantas vezes seu site foi invadido? Se a resposta for não sei, essa é a diferença entre deletar (ou arquivar) logs e realmente analisá-los. Vasculhando os logs, podemos identificar scripts tentando explorar vulnerabilidades em nossas páginas, talvez em uma página específica, talvez em quaisquer páginas, estáticas ou dinâmicas nenhuma escapa. Scripts feitos simplesmente para coletar informações e não para serem precisos ou objetivos. Se ganha pelo volume, no estilo ataque de força bruta. Porém como a maioria dos campos dos log http podem ser forjados, scripts melhores escritos deixam de ter a aparência dos mesmos e passam a ter a aparência de acessos reais. página 5 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Aparência sim, comportamento não. Com a análise de logs podemos identificar inclusive alguns tipos de ataques de phishing. Os problemas são muitos, dentre eles: Hoje não existe mais a escolha de alvos, todos podem ser vítimas. Muitos dos exemplos citados também podem ser evitados por técnicos e desenvolvedores preparados. • Minha conclusão é que necessitamos de ferramentas e de profissionais (das diversas áreas) aptos a entender e tratar esse desafio que não é novo. Ferramentas especializadas em não somente mostrar as estatísticas, mas em analisar os dados. Técnicos esses especializados em configurações seguras de servidores e análise de logs. • • • • • • • • • Injeção de códigos maliciosos, onde suas páginas podem ser modificadas enviando malwares para seus visitantes; Execução de códigos remotos onde permitiria a um atacante manipular suas páginas e/ou seu servidor; Força bruta de autenticação, tem alguém tentando acesso sem saber a senha; Robôs de busca não respeitando as restrições impostas no arquivo robots.txt; Arquivos confidenciais expostos, sim isso acontece com todo o tipo e tamanho de organização; Ataques nas estatísticas; Bypass de autenticação, alguém tendo acesso as informações sem o uso de senha ou credencias válidas; Seu website poderá ser utilizado como ponte (proxy) para conexões irregulares ou ilegais; Se seu website contém figuras, como por exemplo outras pessoas podem utilizar elas? Porque hospedar as figuras se eu posso simplesmente fazer links para imagens de outros? Quem esta pagando o tráfego? Você; Novos tipos de ataque. A lista das principais ameaças e vulnerabilidades em aplicações web e detalhes das mesmas pode ser encontrada na página do OWASP em www.owasp.org. Todos os exemplos expostos acima podem ser verificados com a análise de logs. Porém nem tudo é simples. Para isso, e para maior produtividade, você deve entender o comportamento do seu site e conseqüentemente dos seus logs. Valeria a pena bloquear o tráfego por países ou regiões geográficas, liberando o acesso somente para os que mantemos relações comerciais diretas? Talvez manter páginas diferentes para regiões geográficas diferentes? Talvez usar o conceito de configuração de firewalls, onde bloqueamos tudo e liberamos somente o necessário? Seria essa uma decisão comercial focada em negócios ou focada em riscos para o negócio? Muito se pode fazer antes de tomar esse tipo de decisão. Agora, como analisar alguma coisa que você não tem? Existem diversos provedores de hospedagem de sites que oferecem seus serviços sem o fornecimento de logs ou estatísticas. Muitos vão dizer “porque eu seria uma potencial vítima, eu não fiz nada de errado ou não sou tão interessante quanto outras empresas”. página 6 Programadores especializados em programação segura (existem poucas iniciativas e/ou cursos específicos de programação segura), vendedores especializados em vender esses serviços para quem os necessita. Como mostrado, os desafios e as ameaças são muitas, porém nada pode ser feito se você não tem logs. Afinal, quem lê ou se interessa por logs? Alguém possui amigos russos ou romenos para me apresentar? Sobre o Autor Fernando P. Amatte, é coordenador da equipe de monitoração de eventos de segurança de um grande banco multinacional, possui experiência em análise de riscos, testes de vulnerabilidade, análise de binários e resposta a incidentes. Formado em Redes de Computadores, pós-graduado em Segurança da Informação pelo IBTA, tem mais de 15 anos de experiência em Segurança da Informação, possui as certificações CISSP, GCIH, SSP-MPA e MCSO. Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Os perigos da sensação de segurança Alexandre Cagnoni D urante uma visita a um cliente em São Paulo, junto com um colega de trabalho, retornamos ao estacionamento aonde ele destrancou o seu Pajero Sport e jogou as chaves em cima do banco, para concluir uma ligação no seu celular. Fechou a porta e, após alguns minutos, notou que o carro havia sido trancado com as chaves lá dentro. Chamando um chaveiro, que confirmou que a fechadura da Pajero era especialíssima, com códigos especiais, ele cobrou um bom preço para tentar destravar a porta. Após um tempo como um verdadeiro ator, fingindo inúmeras tentativas, sacou uma ferramenta que, ao inserir e girar na fechadura, abriu o carro em 2 segundos. A partir daí ele entendeu que a fechadura não era tão segura quanto achava. E, conseqüentemente, passou a deixar a sua Pajero em lugares mais seguros, por medo de roubo. Essa história é uma analogia ao que ocorre diariamente na vida de um profissional da segurança da informação. A percepção da segurança é algo incrivelmente perigoso. Ao temos a certeza de estarmos seguros, podemos criar uma situação na qual estaremos inconscientemente vulneráveis. Durante toda a década de 90 uma lei norte-americana impedia que os produtos desenvolvidos nos Estados Unidos fossem importados com criptografia forte. Na época, os fabricantes de software eram obrigados a ter uma versão americana, com criptografia forte, e uma versão internacional, com chaves criptográficas que não passavam de 40 bits. Havia algumas exceções, como por exemplo as instituições financeiras. Aos bancos era permitido instalar servidores web com criptografia forte, de 128 bits. Porém os clientes que acessavam o Internet Banking possuiam em seus PCs os browsers com criptografia fraca, de 40 bits. O resultado era que a conexão se baseava na maior criptografia possível entre os 2 pontos, ou seja, 40 bits. Em outros casos, os softwares eram exportados com criptografia forte, mas com key escrow, ou seja, as chaves primárias eram armazenadas de tal forma que o Governo Norte-Americano poderia ter acesso a informações criptografadas a qualquer momento, mas não era possível que qualquer um conseguisse quebrar essa criptografia. Algumas empresas utilizaram subterfúgios interessantes para tentar contentar seus clientes mais exigentes. Criaram centros de desenvolvimento fora dos Estados Unidos para tentar fugir dessa lei de exportação. Em um outro caso polêmico da década de 90, a antiga Lotus começou a fornecer o Lotus Notes com criptografia de 64 bits, o que deu uma maior sensação de segurança aos seus clientes, pois chaves deste tamanho eram inquebráveis. O que não tinha ficado claro para muitos, é que destes 64 bits, 24 eram conhecidos pelo Governo Norte-Americano. Apenas os demais 40 bits eram gerados no cliente. Era a fechadura da Pajero. Também nessa época, os israelenses começaram a ficar famosos como desenvolvedores de softwares e sistemas de segurança. Com a popularização de diversos softwares de segurança israelenses no mercado, começaram a surgir boatos de que a força militar israelense exigia dos fabricantes que fossem inseridos backdoors nos códigos dos softwares. Isso causou uma discussão imensa. Na época eu trabalhava em um fornecedor de soluções de segurança, sendo que um de nossos produtos era um firewall israelense. Fomos obrigados a ter inúmeras reuniões com clientes e solicitar documentação do fabricante, afirmando que o software fornecido não continha backdoors que permitiriam invasão de terceiros. Com o boom da Internet brasileira, na segunda metade dos anos 90, e a popularização das conexões à Internet independentes da rede acadêmica. Os firewalls começaram a ser vendidos que nem água. Era o guarda na frente da empresa. Algo extremamente necessário e que solucionava o problema do acesso controlado à rede local. Solucionava? Em inúmeras palestras, não cansava de citar que o firewall era um ferramenta essencial; porém, desde que corretamente utilizada. Imaginem uma casa, com porta de aço, vários tipos de fechaduras e trancas, mas com uma porta dos fundos para um beco, com uma fechadura simples. A falsa sensação de segurança era um risco enorme. Prestava consultoria na análise das regras de segurança dos firewalls, e posso dizer que 99% das empresas para as quais prestei consultoria possuíam algumas vulnerabilidades graves na configu- página 7 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 ração de seu firewall. As empresas compravam e instalavam os firewalls. tura ficção e realidade, e acaba sentindo-se o mocinho de uma história; passa a andar com uma arma no carro, suspeita de qualquer um, e adora fazer auditorias. Praticamente nenhuma possuía pessoal especializado. Os firewalls eram instalados por equipes de rede e infra-estrutura. Configurados como roteadores, e não como dispositivos de segurança. Exatamente a mesma situação, talvez não com a mesma gravidade, ocorre com as redes wireless. Pontos de acesso wireless são instalados com configurações default. Basta ligar o notebook e sair pela rua procurando um ponto de acesso desprotegido. Em menos de 10 minutos você encontra. E é um problema grave, imagine uma grande empresa, com toda a segurança física, controle de acesso ao prédio, seguranças na porta. Pelo descuido de um administrador de rede, ou mesmo um funcionário que leva um ponto de acesso wireless para ter mais conforto na sua área, a rede fica desprotegida. Essa situação pode parecer absurda, mas já vi ocorrer mais de uma vez. O funcionário leva o equipamento de casa, pluga na rede, e expõe a rede da empresa sem saber. Estas situações criaram espécies interessantes de profissionais da segurança da informação. O “Neuro-Security Officer”, com certeza você já viu um. É aquele profissional extremamente neurótico, o oposto da sensação de segurança. Para ele, sempre falta algo; está sempre imaginando formas de burlar o que ele mesmo construiu; possui tendências fortes a desenvolver uma síndrome do pânico. Outra espécie que se populariza é o “James Security Officer Bond”. Com o crescimento das organizações criminosas que visam os ataques eletrônicos, e principalmente as fraudes eletrônicas, o profissional de tecnologia se vê envolvido em um ambiente de crimes sem sangue, lembrando seus jogos de computador ou playstation. Esse profissional muitas vezes mis- página 8 O fato é que hoje existem muitos cursos voltados à segurança da informação, porém o aspecto psicológico do profissional é chave primordial para o sucesso dentro da empresa. A sensação de segurança é perigosíssima, não se deve nunca se conformar com o que já foi implementado. Os riscos devem ser conhecidos e mitigados. Nem todos os riscos podem ser evitados; e é função do profissional de segurança saber até que ponto as correções e investimentos são viáveis. Ele deve saber identificar os principais problemas da empresa, utilizar sempre que possível consultorias externas, com uma visão independente, para ajudar a identificar possíveis problemas e criar procedimentos de segurança que minimizem os riscos futuros. Nunca confiar apenas nos seus conhecimentos. Estabelecer de forma coerente as regras de segurança face às necessidades do negócio, sem engessar nem prejudicar os processos da empresa. Implementar uma política de segurança sem extrapolar os limites da usabilidade e do bom senso. Há uma frase de Nietzsche, que bem poderia estar pendurada em um quadro na sala de todo profissional da segurança da informação: “As convicções são inimigas mais poderosas da verdade do que as mentiras”. Sobre o Autor Alexandre Cagnoni é formado em Engenharia da Computação pela USP e possui 12 anos de experiência em Segurança da Informação, tendo passado pela Network Associates e RSA Security. Atualmente, é sócio-fundador e Diretor de Tecnologia da UserID e BRToken. Pode ser contatado pelo e-mail: [email protected] Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Analisando redes wireless com o Networw Monitor 3 Fernando Fonseca S ou usuário do Network Monitor desde o tempo do NT 4, mais precisamente na época em que ministrava os cursos de TCP/IP e Enterprise Technologies. No curso utilizávamos a versão que vinha com o SMS, porque ele colocava a interface Ethernet em modo promíscuo para capturar e analisar pacotes, ao contrário da versão que vinha com o NT que só analisava pacotes da máquina local. De lá para cá o Netmon foi perdendo espaço para o Ethereal, que além de gratuito era multiplataforma e trazia muitas novas funções. O Tempo passou, o Ethereal virou Wireshark e a Microsoft resolveu atualizar completamente o netmon e lançou a versão 3 gratuitamente para download e com várias novidades. Colocou nela a opção de monitorar redes Wireless, mesmo em modo promíscuo. Eu venho testando o netmon desde o Beta da versão 3.0, mas a versão que mais me agradou foi a recente 3.2 (ainda em Beta). Ela foi a primeira a colocar minha interface Wireless Intel 3945 em modo promíscuo. Uma coisa interessante no modo promíscuo é entender o que se passa em seu “espaço aéreo”. Trabalhando normalmente você consegue ver todos os broadcasts no seu canal, mas em modo promíscuo o Netmon alterna de 1 em 1 segundo o canal, o que me fez descobrir que os canais 6 e 9 estão um pouco “carregados”, conforme a figura1. Na figura 2 podemos ver muitas das features do Netmon. Note na caixa vermelha que os pacotes são separados pelas aplicações que os originaram, ele separa o tráfego pelo PID (Process ID) que o gerou. Por coincidência peguei um momento em que uma aplicação travou e o Windows (processo Werfault.exe) tentou buscar informações sobre o erro no site watson.microsoft.com (Meu Deus, Dr. Watson não morreu!). Para separar o tráfego que realmente nos interessa, qualquer bom analisador possui um filtro de captura (somente guarda os pacotes que atenderem à condição) e um de exibição (só mostra os pacotes que atenderem ao filtro). No network monitor existe um espaço para se colocar uma expressão de filtro, que pode ser baseada em um pacote capturado ou simplesmente o nome de um protocolo, como no exemplo abaixo. Na figura 3 vemos um filtro aplicado para o protocolo POP3 e uma senha capturada. figura 1 figura 2 figura 3 página 9 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Uma vez que capturamos o pacote, podemos realizar uma análise em toda sua estrutura, desde o payload (conteúdo que se envia pela rede) até o cabeçalho ethernet. A figura 4 mostra um pacote capturado. Neste caso um pacote pop3. Note que o programa “traduz” os bits e bytes para uma forma bem didática, tornando o produto uma excelente ferramenta de ensino de TCP/IP, sem termos que fazer cálculos de posição ou valor dos bits. Uma explicação melhor sobre o conteúdo de cada campo pode ser encontrado no guia da SANS e nas RFC´s de Ethernet , IP e TCP . O Payload é uma simples solicitação de login em uma mailbox POP3. O próximo pacote contém a senha, e não será motivo de estudo neste artigo :-) figura 5 Blog do Network Monitor encontramos várias dicas sobre captura e análise de tráfego, inclusive com links para vídeos didáticos. O Network Monitor é uma importante ferramenta de diagnóstico, mas que como qualquer outro recurso de análise de rede pode ser usado para um ataque passivo de captura de senhas e de outros dados. Na realidade existem ferramentas exclusivamente de ataque, mas a maioria das ferramentas de diagnóstico podem ser usada em algum estágio de um ataque. Minha intenção com este artigo é, além de demonstrar os avanços do Netmon, alertar para o fato de que com uma ferramenta simples e amplamente divulgada pela própria Microsoft qualquer pessoa pode capturar tudo que se passa pelo ar “nas horas de folga”, sem conhecimentos sobre ferramentas complexas ou distribuições especiais para isso. figura 4 A captura do tráfego Wireless pode ser feita com várias intenções, boas ou más. No meu caso estava estudando as ofertas de redes “estranhas” que estava vendo em um prédio de escritórios. Foi aí que conheci o Karma, um software para linux (vem na distribuição Back Track) que emula um access point, captura a procura automática de redes vindas das estações e simula ser o Access Point destas redes. Veja na figura 5 que tenho vários SSID broadcasts de várias redes diferentes vindo da mesma interface. Pesquisei mais sobre o Karma e no futuro talvez escreva um artigo só sobre ele. Essa é apenas a ponta do iceberg, o Network Monitor possui diversas outras características interessantes como a sua compatibilidade com o padrão Pcap e sua API, que permite que qualquer programador possa criar sua própria aplicação de captura e análise. No página 10 Espero ter fornecido material suficiente para incentivar uso de criptografia forte em qualquer rede Wireless, e provocar uma reflexão maior sobre qual risco estamos nos expondo em redes abertas, sejam elas nossas ou de Hot Spots, aeroportos, hotéis, etc. Lugares estes onde fica mais fácil ainda tomar um café e capturar a vontade. Links Relacionados • www.sans.org/resources/tcpip.pdf • blogs.technet.com/netmon/ Sobre o Autor Fernando Fonseca, Diretor de Comunicação do Capítulo Brasil-SP da ISSA e secretário do grupo de CSO’s Infosec Council. Consultor de segurança da informação certificado CISSP, Security +, MCSO, MCT e MCSE Security. Atualmente ministra treinamentos nos cursos MSCO e aulas em faculdades, realiza palestras e projetos de segurança, e é também o responsável pelo conteúdo da Academia Microsoft de Segurança da Informação e do Technet Security Experience. Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Application Security é mais do que conformidade Wagner Elias O s inúmeros incidentes causados por falhas de segurança em aplicações não foram suficientes para conscientizar os gestores de segurança da informação e principalmente os profissionais envolvidos diretamente com desenvolvimento de software. Agora todos nós temos uma nova chance. A cada dia os orgãos que regulamentam ou determinam práticas para setores específicos estão incluindo a necessidade de análise e revisão periódica de segurança de aplicações como requisito. Talvez a que tenha deixado isto mais claro é o padrão estabelecido pelo PCI Council. Este padrão além de de exigências como, desenvolver um processo de Análise de Vulnerabilidades que indiretamente atende a segurança de aplicação, estabelece uma exigência especifica para segurança de aplicações. A exigência 6 do padrão de segurança do PCI (Payment Card IndustrY) determina os seguintes pontos de controle: Desenvolva e mantenha sistemas e aplicativos seguros Indivíduos inescrupulosos usam as vulnerabilidades de segurança para obter acesso privilegiado aos sistemas. Muitas destas vulnerabilidades são resolvidas através de patches de segurança1 fornecidos pelo prestador de serviço. Todos os sistemas devem ter os patches de software mais atualizados e apropriados para se proteger contra o abuso por parte dos funcionários, hackers externos e vírus. 6.1 Assegure-se de que todos os componentes do sistema e software possuem instalados os mais recentes patches de segurança fornecidos pelo prestador de serviço. Instale os patches de segurança em até um mês após o lançamento. 6.2 Estabeleça um processo para identificar as vulnerabilidades de segurança recém descobertas (por exemplo, assinatura de serviços de alerta disponíveis gratuitamente na Internet). Atualize os padrões para fazer face às novas modalidades de vulnerabilidade. 1 Patches de sofware apropriados são aqueles que foram suficientemente avaliados e testados de modo a determinar que os mesmos não entrem em conflito com as configurações de segurança existentes. Para os aplicativos desenvolvidos in-house, inúmeras vulnerabilidades podem ser evitadas através do uso de processos de desenvolvimento de sistemas e técnicas de codificação seguras. 6.3 Desenvolva software e aplicativos baseados nas melhores práticas da indústria e inclua a segurança da informação ao longo de todo o ciclo de vida do desenvolvimento do programa. 6.3.1 Teste de todos os patches de segurança e mudanças das configurações do sistema e software antes da implantação 6.3.2 Ambientes de desenvolvimento, teste e produção separados 6.3.3 Separação dos ambientes e tarefas de desenvolvimento, teste e produção 6.3.4 Produção de dados (PANs reais) não devem ser usados para teste ou desenvolvimento 6.3.5 Remoção dos dados de teste e contas antes que os sistemas de produção se tornem ativos 6.3.6 Remoção das contas personalizadas, nome do usuário e senhas antes que os aplicativos se tornem ativos ou sejam liberados para os clientes. 6.3.7 Revisão dos códigos customizados antes da liberação para a produção ou clientes, objetivando a identificação de qualquer vulnerabilidade potencial do código 6.4 Acompanhe as mudanças nos procedimentos de controle de todo o sistema e mudanças na configuração do software. Os procedimentos devem incluir o seguinte: 6.4.1 Documentação do impacto 6.4.2 Administração do “sign-off” para as partes apropriadas 6.4.3 Teste da funcionalidade operacional 6.4.4 Procedimentos de back-out. 6.5 Desenvolva todos os aplicativos de web baseados em diretrizes de codificação seguras tais como as diretrizes do Open Web Application Security Project. Revise o código dos aplicativos customizados para identificar as vulnerabilidades do código. Verifique a prevenção das vulnerabilidades mais comuns no processo de desenvolvimento dos códigos dos softwares para incluir o seguinte: 6.5.1 Input não validado 6.5.2 Quebra do controle de acesso (por exemplo, uso desonesto dos IDs dos usuários) 6.5.3 Quebra da administração de autenticação/sessão (uso das credenciais da conta e cookies da sessão) 6.5.4 Ataques ao cross-site scripting (XSS) 6.5.5 Overflow do buffer página 11 Antebellum, a Revista Eletrônica da ISSA Brasil 6.5.6 Defeitos de injection (por exemplo, structured query language injection (SQL) 6.5.7 Administração incorreta dos erros 6.5.8 Armazenagem insegura 6.5.9 Recusa de serviço 6.5.10 Administração de configuração insegura. 6.6 Assegurar-se de que todos os aplicativos que funcionam por meio da web estejam protegidos contra ataques conhecidos através dos seguintes métodos: •Ter todos os códigos de aplicativos customizados revisados para vulnerabilidades comuns através de uma organização que se especialize em segurança de aplicativo; • Instalar uma camada de aplicativos (application layer) de firewall na frente dos aplicativos voltados para a web; A necessidade de estar em conformidade com o padrão pode trazer um nível maior de conscientização sobre o tema, mas por outro lado desencadearemos uma nova disputa, profissionais de segurança contra profissionais de desenvolvimento. É neste momento que se faz necessários argumentos mais sólidos que a necessidade de conformidade. Alguns pontos podem diminuir as distâncias entre os profissionais de segurança e os de desenvolvimento de software: página 12 Edição 004 • setembro/outubro de 2008 • Realizar um estudo identificando os impactos/prejuízos que foram desencadeados devido a falhas de segurança de software; •Desenvolver iniciativas que envolvam os profissionais de desenvolvimento em questões associadas a segurança da informação •Treinar todo o time em técnicas de segurança da informação no ambiente de desenvolvimento de software; Simples iniciativas podem transformar este enorme desafio em mais uma atividade das muitas que profissionais de desenvolvimento de software gostam de desenvolver, tornando o processo de segurança em desenvolvimento de software uma coisa natural e prazerosa para todos. Sobre o Autor Wagner Elias, CBCP, SANS GIAC GHTQ, atua na área de Tecnologia da Informação há mais de 10 anos, com experiência internacional e especialização em Segurança da Informação. É Gerente de Pesquisa e Desenvolvimento da Conviso IT Security. Responsável pela fundação do capítulo Brasil do OWASP e diretor de eventos do capítulo São Paulo da ISSA. Pode ser contatado pelo e-mail [email protected] Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Prevenção de incidentes de segurança e crimes de informática Karina Morato Queiroz I mplementar projetos e processos de prevenção e tratamento de incidentes de segurança têm como principal objetivo mitigar riscos de ameaças e tornar os ambientes mais seguros, evitando portanto crimes de informática. Ferramentas, processos, fluxogramas, matrizes de responsabilidades, estratégias de comunicação, código de conduta profissional, entre vários documentos necessários para cada área de negócio, são com certeza componentes de um trabalho complexo e exigente. O escopo é um dos itens mais importantes e deve ser eleito para proteger as necessidades de continuidade do negócio da empresa. As definições de ACs (Ativos Críticos, o que inclui tecnologia e pessoas) como escopo, são de extrema importância para o entendimento correto dos tipos de incidentes e vulnerabilidades associadas. Entre os pontos mais importantes podemos destacar: • Sistemas em DMZ: Comum a Webservers e portais Web (Internos ou Externos à corporação). • Grau de importância para continuidade do negócio: Sistemas que não podem ficar inoperantes para manter a continuidade do negócio. É de grande importância que para esses sistemas exista um processo definido de continuidade de negócios com testes periódicos de disaster recovery. De qualquer forma são sistemas críticos e devem ser considerados no escopo. • Risco de impacto em potencial: Sistemas visados e potencialmente conhecidos por suas vulnerabilidades e explorações. Ambientes obsoletos e mantidos por necessidade do negócio, controles de acesso deficientes, como por exemplo: FTP Server para transferência de dados com Mainframes, Correios eletrônicos gratuitos, os quais possuem acesso legítimo e também nocivos. No organograma apresentado neste artigo descrevo um modelo de estrutura organizacional para a gestão dos incidentes e vulnerabilidades que acredito atender à gestão de ambientes, sejam eles websites institucionais, lojas virtuais, serviços de transferência de dados, portais interativos, processamento de cartões de crédito, entre outros. Para as caixas apresentadas, existem definições comuns à maior parte dos cenários possíveis: • Ferramentas: Sistemas de detecção de eventos de segurança, sistemas de armazenamento e correlação de logs, sistemas de antivírus e anti-spam, ferramentas de auxílio • • • • na análise do incidente de segurança e ferramentas de auxílio na coleta e armazenamento de evidências. Prevenção: Os processos de Gestão de Vulnerabilidades e Gestão de Patches. Resposta a Incidentes: As etapas de Triagem, Análise, Tratamento, Resposta e Relatório Técnico. Forense: O Tratamento de Incidentes de Segurança, que após a análise podem ser definidos como crimes de informática. Estratégia: As etapas de desenvolvimento de procedimentos técnicos, desenvolvimento de bases de conhecimento atualizadas constantemente, definições de processos, políticas, códigos e normas e gestão dos processos e controles estatísticos. Os incidentes de segurança Para tratar, analisar e definir estratégias os incidentes devem ser devidamente classificados, mesmo que ao final da investigação. Uma proposta de classificação de incidentes de segurança corporativo que é aceita na maior parte dos casos é composta por: • • • • • • • • • • • • Acesso indevido lógico Acesso indevido físico Defacements, poisoning, hijacking Destruição ou adulteração de informação E-mail (E-mail bombing, poisoning, spoofing, SPAM) Falsa identidade Furto ou dano material Furto ou vazamento de informação Malware (Vírus, Worm, Trojans, Bots) Negação de Serviço – DoS ou DDoS Scan, Sniffing, brute-force Uso indevido de ativos página 13 Antebellum, a Revista Eletrônica da ISSA Brasil Planos de Ação e Sanções Disciplinares Nota-se que os incidentes de segurança além de serem causados por “hackers” têm origens em problemas antes não questionados, como por exemplo, colaboradores insatisfeitos, ferramentas e servidores comprometidos por analistas responsáveis pela manutenção que possuem acessos privilegiados. Sendo assim, é importante definir sanções disciplinares que reflitam os direitos e deveres de colaboradores e da empresa. A CLT consolida as leis trabalhistas e estabelece sanções disciplinares que devem ser aplicadas no desvio de conduta que deve ser divulgada para o colaborador. As sanções podem ser aplicadas na forma de Advertências Verbal e Escrita, Suspensão ou Demissão por Justa Causa. É fato que o colaborador tem inúmeras regras estabelecidas na CLT, porém ao cometer um crime de informática estará incorrendo em infrações previstas pela legislação nacional ou internacional como por exemplo: • Código de Defesa do Consumidor • Código Penal • Código Civil • Lei do Direito Autoral (LEI 9.610/1998 de 1988) Durante a investigação de um incidente de segurança, a preocupação em fazer a análise, o tratamento e o Relatório Pericial é muito importante, também para a correta aplicação de sanção definida na organização. Proposta de análise: • Gravidade do Incidente – A gravidade está diretamente relacionada com o impacto causado no ambiente afetado. • Atuação (Autor ou co-autor): Autor é aquele que participa ativamente do crime, bem como aquele que decide sobre o ato; e Co-autor é o agente que, em colaboração com outrem, comete a infração penal. Quem de qualquer modo concorre para o crime incide nas penas a este cominadas. Entretanto, à vista da individualização, podem ser distintas, quando aplicadas in concreto, embora respeitados os limites da cominação. • Aceites de códigos e políticas da organização e de clientes. A conscientização da organização é necessária como parte do trabalho de prevenção de incidentes internos e igualmente importante para evitar ações trabalhistas ou penais infundadas. Programas de treinamento que ajudam a esclarecer conceitos de segurança, normas e políticas servem de base para demonstrar a preocupação da organização em relação à segurança da informação: • Apresentação de Normas internas - Palestra inicial para ingresso do colaborador na empresa com normas e políticas de segurança. página 14 Edição 004 • setembro/outubro de 2008 • • • • Palestra anual de segurança da informação - Informar e atualizar colaboradores sobre normas e políticas internas assim como treinar em conceitos de segurança. Assinatura anual de Código de Conduta Assinatura anual de Política de Segurança Treinamentos presenciais envolvendo áreas administrativas como Jurídico, Recursos Humanos e Financeira. Políticas e Normas Internas As Políticas de Segurança e o Códigos de Conduta devem possuir diretrizes de comportamento, de uso aceitável dos ativos, conduta de comunicação interna e externa, classificação das informações para evitar envio ou o uso indevido de informações internas e/ou sensíveis, diretrizes jurídicas e comerciais para desenvolvimento de propostas e contratos, assim como relacionamento com clientes, fornecedores, prestadores de serviços e parceiros. Crimes de Informática Os incidentes de segurança acontecem e precisam ser resolvidos naturalmente com rapidez, porém após o restabelecimento do ambiente afetado, grande parte das atividades acontecem no pós-mortem do incidente, que são chamados de planos de ação (Action Plans). Políticas e procedimentos de Resposta a Incidentes de Segurança internos devem necessariamente direcionar investigações para a correta definição, coleta e armazenamento de evidências com código de conduta específico para os profissionais que fazem o trabalho de perícia. Incidentes em âmbito corporativo são relacionados à infrações de normas corporativas, leis e códigos vigentes na legislação brasileira. Sendo assim, sentenças judiciais estão sendo aplicadas sob a mesma ótica. Alguns exemplos de tipificação de crimes no Código Penal Brasileiro são: • Crime de ameaça – Art. 147 • Crime de calúnia – Art. 138 • Crime de difamação – Art. 139 • Crime de injúria – Art. 140 • Crime de estelionato – Art. 171 • Crime de falsa identidade – Art. 307 • Crime de fraude na entrega de coisa – Art. 171 – IV • Crime de fraude no comércio – Art. 175 • Crime de violação do direito Autoral – Art. 184 Grandes revisões e projetos de lei estão em trâmite na câmara e no senado brasileiro para definições de leis específicas para crimes cometidos na Internet ou através da rede de computadores e/ou dispositivos eletrônicos. Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Conclusão Ao assumir o tratamento de um incidente de segurança é importante ressaltar que todo incidente causa dano a alguém ou a alguma coisa e essa definição é conhecida como infração, para o direito penal, CLT e Código do consumidor. Logo, é inevitável que sanções internas tenham que ser definidas embasadas nas leis vigentes para evitar sentenças judiciais que acabem por desconfigurar um crime por falta de processos, normas e políticas internas. Referências • Associação Brasileira de Criminalística – Evento ocorrido em Belém/Pará – Agosto/2008 – Perícias em crimes de informática, disponível em www.abcperitosoficiais.org.br • CERT.br em www.cert.br • Código Penal - DECRETO-LEI No 2.848, DE 7 DE DEZEMBRO DE 1940 disponível em www.planalto.gov.br/ccivil_03/ Decreto-Lei/Del2848compilado.htm • Presidência da República Federativa em www.presidencia. gov.br/legislacao/ O fato é que crimes de informática estão sendo julgados com base nas leis vigentes e, portanto, empresas precisam desenvolver na organização a comunicação entre setores como Departamento Pessoal, Recursos Humanos, Jurídico, Financeiro, Contábil e a área de TI. Crimes de Informática são analisados por peritos oficiais, representantes do país, portanto as organizações precisam estar preparadas para atender a demanda de crimes cometidos nos meios digitais. Sobre a Autora Karina Queiroz, formada em Engenharia de Redes e Sistemas de Telecomunicações pelo INATEL, Certificada CISCO Information Security Specialist, com 10 anos de experiência em redes de backbones, é Especialista em Segurança da Informação na TIVIT e coordena a gestão de prevenção e resposta à incidentes de segurança. Participa do Grupo de desenvolvimento de Norma Forense na ABNT. Realiza palestras e projetos de segurança na organização e em escolas de ensino médio. Pode ser contatada em [email protected] página 15 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Cloud Computing é invenção, ou existe mesmo? Antônio Murr A ssim que vi a grade de palestras da Interop deste ano observei que o Keynote seria sobre Cloud Computing, apresentado pelo Nicholas Carr – do já famoso artigo e livro “Does IT Matter ”. Xii, pensei, lá vem hype de novo. Vou gostar mesmo é de rever os amigos no coquetel de lança-mento da (ISC)² no Brasil, e ganhar o brinde para os primeiros 200 CISSPs brasileiros. Como CSO de uma corporação, eu já tive muitas visitas e apresentações sobre a “nova bala da prata”, geralmente um produto maravilhoso (e caro) que resolverá todos os problemas. Mas sou mais pé no chão e quero ver soluções de mercado implementadas antes de investir meu orçamento – afinal, arriscar em segurança é um contra-senso, não é? Devo ser honesto com vocês, o cara me fez pensar. E não foi só isso, na seqüência assisti a apresentação da SalesForce.com com Peter Coffee e da Segurança em SOA com Don Adams, CSO da Tibco. A ficha começou a cair. Coincidência ou não, na semana seguinte fiz uma apresentação na aula do MBA da Universidade de Pittsburg/USA, a convite do professor Dennis F. Galletta, e discutimos a real função econômica e técnica dessa grande Cloud Computing. Este artigo é para compartilhar com vocês minha opinião sobre isso que aprendi na Interop/ SecurityWeek 2008. É um pouco técnico e um pouco gerencial, como um bom CISSP. Mas afinal, o que é mesmo esse tal de Cloud Computing? Tem tanta definição por aí que vou em frente fazer a minha. Cloud Computing não é computação em grid, virtualização, clusterização, software-como-serviço, utility computing, nem “isso que está aí na internet”. Vejo Cloud Computing como um sistema onde usuários podem conectar-se e usar uma vasta rede de programas, de capacidade computacional (cálculos/ operações) e de dados que ficam fora de seu alcance e controle – geralmente na Internet – ao invés de em seu HD, rede local ou WAN corporativa. O provedor é quem armazena e protege programas e dados, você instala apenas um browser. Nessa definição, Cloud Computing engloba partes das várias tecnologias citadas e mais outras. Mas em si é uma arquitetura integrada, é um modelo de trabalho que está aí para resolver problemas de negócio, e não de TI . O usuário simplesmente usa esses recursos como se fossem locais, mesmo que seja de um mini-laptop ou smartphone. Tá bom. Mas isso é sonho, invenção, ou existe mesmo? Existe sim. Empresas instalaram Datacenters de alta capacidade, com dezenas de milhares de servidores em cada um e largas conexões com a internet para prover serviços. Exemplos clássicos são o Google, que tem 3 Data Centers (DCs) nos Estados Unidos, 1 na Ásia e 1 na Europa. Carr mostrou a foto de um enorme DC à beira do gelado rio Columbia no Oregon. A Amazon e SalesForce.com também tem seus DCs gigantes em vários locais. A Microsoft, além dos que já tem, está construindo outros em Chicago/USA, Dublin/Irlanda e Sibéria/Rússia aproveitando água gelada (o que economiza na refrigeração) e os grandes nexos de fibras óticas próximos. HP e IBM também estão planejando ou já instalaram seus novos DCs gigantes. O Google, como todos sabemos, usa essa infra-estrutura para fornecer serviços de qualidade para os usuários, geralmente gratuitos. Serviços como busca, Gmail, YouTube e Orkut que você simplesmente usa. Conecta-se na Internet (de banda larga) e usa. Deixa seus dados lá, e você sabe que estes estarão disponíveis quando você precisar. A Amazon também criou um ambiente proprietário para prover o serviço de livraria. Depois foi uma loja geral, loja para parceiros, loja para usuários, leitura de livros e também busca (o A3). Recentemente liberou o serviço Elastic Compute Cloud (EC2) onde você contrata uma capacidade de operação, uma máquina virtual. Você instala e configura como quer, usa quando precisa, com capacidade de processamento que quiser e paga apenas pelo que usou. E o serviço Simple Storage Service (S3) que você armazena quantos dados quiser. Os preços são simples e diretos: U$0,15 ao mês por GB armazenado, U$0,10 por hora de processamento. E tem empresas como a BlueLock LLC que aproveitaram as grandes capacidades instaladas no boom da Internet para fornecer serviços de virtualização. Bem, todos conhecem isso. Mas eles criam “datacenters virtuais” completos para você. Tem os servidores, storage, banco de dados, e também backup, gateway, proxy, firewall, switch, router, VLAN, DMZ e monitoramento. O bacana é que eles prestam serviços de vários níveis, desde página 16 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 apenas alugar o espaço/ processamento/ banda, criar a rede, instalar serviços, eliminar malwares, monitorar por componente e geral, garantir uptime. Vantagem: lembra aquele “site de backup” caríssimo que a diretoria não aprovou no PCN? É só subir seu “datacenter virtual” inteiro no site alternativo deles, a 2200 km de distância, e pronto. monitoramento, site alternativo completo (é igual) e distante (1000+ km), tratamento e correção de incidentes, correlação de logs e manutenção de estrutura de operação completa – rede, segurança e aplicação (NOC, SOC, AOC). Permitem escalabilidade quase imediata, pois o hardware já existe (eles fazem previsão de carga, planejamento de compras, etc) e você diminui a necessidade de treinamento de sua equipe a cada novo upgrade. Aliás, essas são algumas das vantagens do Cloud Computing: a gestão de operação, monitoramento, balanceamento de carga, backup e, especialmente, recuperação de desastres, estão todas a cargo do fornecedor. Você apenas usa o sistema. Que é esse tal de mash up? Mash up é o nome bonitinho para a habilidade de juntar num só lugar pedaços de aplicações para resolver um mesmo problema – você usa o mais adequado para o caso. Na verdade já estamos usando recursos de Cloud Computing na vida pessoal há algum tempo. Quando você usa seu e-mail do Hotmail, blog do BlogSpot, Google News, calendário no Elefante, links no de.li.ci.ous, perfil no Linkedin ou Orkut, etc, você está acessando uma vasta rede computacional na nuvem da Internet, onde estão alguns de seus dados mais preciosos, como se fossem locais. E você faz isso do desktop, Nokia N95 ou Blackberry, não é? Um belo exemplo dessa integração (mash up) é um blog multimídia. Você cria seu blog no BlogSpot, publica seus textos e recebe comentários ali. Publica fotos no Flickr e inclui um componente rotativo com as 5 fotos mais acessadas no blog. Publica um filme da praia no YouTube e inclui visualização direto no seu post de blog. Mais, você faz isso em um dia, com uma máquina fotográfica, um computador e um acesso banda-larga – sem entender de programação, ou siglas como html, css, e ainda de graça. E nas empresas, o uso já está aí. Blogs corporativos na intranet, ou como comunicação com clientes, atendimento on-line de texto (chat) ou voz (Skype), enquetes, workflow interativo, reuniões via WebEx, controle de vendas SalesForce.com, etc. E a segurança, como fica? Boas e más noticias, pessoal. Os fornecedores, claro, contam as maravilhas da arquitetura. Basicamente dizem que você contrata o serviço de uma empresa e não precisa mais se preocupar com infra-estrutura e tudo que decorre disso. Eles garantem a disponibilidade, tanto uptime, balanceamento, clustering, como backup de dados e configurações e rápida recuperação em caso de desastre (subir no site alternativo). Estabelecem políticas de segurança, filtros, IDS/IPS, firewall, Se você chegar à situação de ter um “datacenter virtual” completo com o fornecedor, e ainda mudar todo parque de desktops para thin-clients, acabou-se a dor de cabeça de instalação em desktops (por você ou pelos usuários – um rombo de segurança). Com esse tipo de uso via web, mesmos os dados individuais que antes estavam no disco local, agora ficam na nuvem. Desta forma podem ser gerenciados, ter backup, regras, filtros. Outra dor de cabeça que está sendo endereçada é o desenvolvimento seguro nesses ambientes. As três novidades que vi são: (1) Um ambiente de desenvolvimento com framework completo, IDE Eclipse, linguagem 90% similar a Java, tudo web. O próprio framework e IDE obrigam o uso das políticas de segurança. (2) Na palestra Arquitetura Orientada a Serviços e Segurança em um Ambiente SOA a noticia foi que os grandes players estão trabalhando juntos num Enterprise Services Bus (ESB) Backbone agnóstico e padrão (um mínimo comum que todos concordem). Também estão saindo versões de protocolos de criptografia e assinatura para mensagens XML usadas no SOA. E discussões de uma solução igual ou similar para AJAX. A Check Point, por exemplo, acredita nesse mercado. Lançou uma versão virtualizável do festejado firewall VPN-1 Appliance, o VPN-1 Virtual Edition (VE). Infelizmente, como bem sabemos, não existe segurança 100%. Vários pontos ainda não foram esclarecidos totalmente na arquitetura de Cloud Computing (mas acredito que serão), e outros são de dar cabelos brancos para o CSO. É uma mudança de paradigma tão grande que impacta diretamente nas boas práticas estabelecidas há anos no mercado (vide ISO 27002), como: • Mantenha controles mais rigorosos e faça auditoria nos ativos mais críticos para o negócio. Como, se não tenho acesso aos ativos? • Estabeleça política de classificação de informação e, para as informações estratégicas (secretas) implemente controles de confidencialidade, como criptografia e assinatura, de distribuição e de descarte específicas, geralmente tecnológicos. Como fazer isso, se não há integração de classificação, muito menos de controles sobre envio de dados? página 17 Antebellum, a Revista Eletrônica da ISSA Brasil • • • • • • Terceiros devem ter nível de acesso menor que funcionários. Como, se meus funcionários apenas usam o sistema e terceiros são os que programam, mantém, operam, fazem backup e DR? Faça que todas as áreas relevantes participem das análises de risco, bem como da criação e testes dos Planos de Continuidade de Negócio. Como, se eles trabalham noutro lado do mundo, em rodízio e sou apenas um cliente entre milhares (ou milhões)? Garanta que os controles Administrativos, Lógicos e Físicos estejam implantados através de métricas e auditoria (no mínimo semestral). Como, se não tenho nenhum acesso físico, quase nenhum conhecimento do ambiente lógico e nenhuma força para determinar procedimentos administrativos? Mantenha um grupo de resposta a incidente com pessoal de gestão, comunicação e de todas as áreas técnicas. Deve ter uma lista de contatos para acesso 24x7 e escalonamento. Como, pois compro um serviço e não detalhes de implementação e operação? Atenda a todas as normas legais pertinentes. Será que eles farão análise de fraude para mim? E resposta a pedidos judiciais de logs, perícia forense, coleta de evidencias seguindo as leis do Brasil? Estabeleça um controle de acesso sobre todos os ativos, mantendo uma credencial única para cada pessoa, gestão de perfil e direitos de acesso aprovados pelo superior e “dono da informação”, regras de autenticação e autorização conforme políticas da empresa, remoção da credencial e/ou dos direitos no desligamento e mudança de função. Além de histórico de acesso para acompanhamento (auditoria, análise e resposta a incidente). Como fazer isso, se não existem nem processos nem padrões de indústria? Depois de pesquisar sobre o assunto, mudei de percepção. Como vêem, Cloud Computing vai resolver alguns problemas de segurança e criar outros. Repito, é uma mudança de paradigma muito grande por que a maioria das atuais arquiteturas de segurança são baseadas em proteções de perímetro, seja de rede, de acesso físico ou de autoridade administrativa única. Sugiro que cabe a nós, profissionais de Segurança da Informação, colocar as mãos-a-obra e evoluir nossas boas práticas para atender a estes desafios – desafios que vem do negócio. Vejam algumas idéias para gerar discussão e iniciar esse trabalho, segundo as áreas de conhecimento do CBK : • Gestão de Risco e Segurança da Informação: Gestão de risco delegado, SLA, análise de risco rápida, contratos de transferência de risco, métricas, checklists para ambientes externos. • Controle de Acesso: Para mim é o mais urgente de ser página 18 Edição 004 • setembro/outubro de 2008 • • • • • • • • resolvido. O melhor candidato é Federation (e confesso que até agora, para mim, esse era outro hype com pouca aplicação). Criptografia: Fundamental para garantir confidencialidade dos dados secretos, do uso via web, do vazamento de informações em storage e backups, etc. Segurança Física: Algum tipo de auditoria e/ou certificação que o fornecedor obtenha, provavelmente baseado na Common Criteria (ISO/IEC 15408). Projeto e Arquitetura de Segurança: Implementar segurança em SOA, AJAX, e estudo de vulnerabilidades dessa nova arquitetura. Plano de Continuidade de Negócios e Recuperação de Desastres: DR eu acho que eles ajudam bastante, porém precisa definir o objetivo de tempo de recuperação (RTO). Garantir continuidade se fornecedor falir/desistir do serviço. Simplificar PCNs pedidos pelas auditorias. Telecomunicações e Segurança de Rede: Criar métricas do que aceitar por contrato e o que controlar diretamente. Aumentar a redundância de redes externas, pois passam a ser recurso crítico do negócio (pois os dados e funções estarão lá na nuvem) – questão muito pertinente vide a recente indisponibilidade da Internet em São Paulo, que se repetiu por motivos diferentes em Brasília, Maranhão e Piauí. Segurança de Aplicação: Padronizar “mash up” com uma camada de segurança. Talvez usar algum modelo como BIBA? Segurança de Operações: Criar métricas de SLA, SLM, escalar problemas. Automação de chamados (trouble ticket). Resposta a incidente compartilhada, definida em contrato. Legislação, Regulamentos, Conformidade e Investigação: Normas e legislação que definam claramente os direitos e deveres nessa relação de serviço – a base jurídica. NDA, padrões de controles e/ou certificações aceitas para auditorias como ISO 27001, PCI, SOX, etc. Treinar equipes de investigação conjuntas ou criar empresas especializadas em investigação de fraude. Afora as questões psicológicas – as empresas têm medo de perder o controle sobre seus dados e as pessoas de perder seus empregos – o primeiro item a ser resolvido é Controle de Acesso. Para a gestão de risco, análise de vulnerabilidade, controles administrativos, SLA, conformidade, auditoria, etc acredito que precisamos desenvolver uma solução mais simples e prática, menos burocrática e mais automática para atender o negócio na nuvem, usando a nuvem, sob pena de a segurança ser novamente menosprezada – até um grande incidente. Notem como, usando as práticas do passado, a segurança na nuvem fica complicada rapidamente. Precisamos empacotar essa arquitetura em práticas e soluções modulares. Antebellum, a Revista Eletrônica da ISSA Brasil Por que prestar atenção? Posso contar o que tirou meu conforto. É simples. Dinheiro. TI é muito caro ! E é caro por que você precisa criar tudo dentro de casa, comprando montes de módulos e pagando pela sua integração, gerenciamento, manutenção e troca. Esses módulos incluem infra-estrutura e aplicações, hardware e software, e também desktops, notebooks, rede, proxy, firewall, routers, switches, monitoramento, ips/ids, gestão de usuários, ldap, smtp/pop, change management, aplicações in-house, aplicações compradas do mercado, projetos contratados, etc. Cada módulo gera outros problemas e “compra-se TI para resolver problemas de TI” (apresentação IssaDay 28/Ago/2008). Seria muito mais barato manter apenas uma rede de browsers do que todos os servidores, aplicações e desktops. Manter desktops é caro, trabalhoso e ainda gasta mais dinheiro para tirar as funções dos desktops, como USB, CD, instalação automática, por medo de perdas de dados e invasões de malwares. Contudo, nenhuma empresa hoje pode se dar ao luxo de NÃO investir em TI, pois fica fora do mercado, perde competitividade e perde inovação. A abundância de capacidade de processamento (Lei de Moore) e, atualmente, de banda larga (Lei de Grove) favorecem o Cloud Computing. Permite que empresas comprem e gerenciem um grande hardware e o revendam como uma tecnologia genérica para qualquer cliente. Ora, assim que for minimamente possível reduzir esse custo, os CEOs vão fazêlo, liberando dinheiro para investir nos produtos da empresa, na entrega, atendimento a cliente, etc. Não vamos nos iludir, TI e Segurança são áreas de apoio. Quem define “mínimo” é o Board. O que eles olham? Se a tecnologia tem maturidade, se existem casos de sucesso, se concorrentes diretos estão usando, se gera alguma vantagem competitiva e se é mais barato que a alternativa proposta por TI. 1. Mostrei acima que Cloud Computing já tem certa maturidade e está crescendo. 2. Vejam empresas como IBM, Dell, Microsoft que usam SalesForce.com, Bolsa Nasdaq, jornal The New York Times, SmugMug e Second Life que usam Amazon e tantos outros exemplos. Gartner estima que chegue a 25% em 2011 contra 5% em 2005. Edição 004 • setembro/outubro de 2008 3. Sistema de RH (Employease), sistema de transporte (LeanLogistics), planejamento estratégico online (Oco), ERP online (NetSuite, MySAP, Oracle), projeto de “datacenter virtual” com arrasta-e-solta (3Tera), etc. 4. Não tem custos recorrentes de TI, licença, upgrades, manutenção, backup, peças de emergência, treinamento de equipe, e documentação é bem menor. A vida como ela é As empresas vêem Cloud Computing com receio, pois perdem o controle sobre os ativos e temem pelo vazamento de informação, manipulação ou fraude nos dados, e paradas na produção se fornecedor parar ou falir (confidencialidade, integridade e disponibilidade). Depois de pesquisar sobre o assunto, mudei de percepção. Não é que “Cloud Computing” vá resolver os problemas de segurança (na verdade cria problemas), mas acredito que é inevitável. Melhor saber o que é, suas vantagens e seus riscos. Comece pequeno, com soluções híbridas, testando as águas. Use o mix que melhor lhe aprouver, integrando com mash up. É um erro imaginar que terá provedor único. Teste novas políticas e SLAs para estes primeiros projetos. Encontre uma solução de controle de acesso que funcione para sua organização ou avalie Gestão de Identidade e/ou Federation. E finalmente, divida com a comunidade de segurança o que aprendeu. Precisamos de novas técnicas de análise de vulnerabilidade, gestão de risco delegado, e em especial, busca de novos Best Practices. Vamos lembrar que a ISO 27.002 é uma lista de recomendações para ambientes empresariais conforme eram conhecidos na época. Nós da comunidade de segurança teremos que inovar e criar novas formas de gerenciar os riscos dessa arquitetura altamente distribuída, onde o “owner” nem sempre terá real controle sobre os ativos. Ou seja, a vida na nuvem é híbrida, e cheia de novidades. Sobre o Autor Antônio A. Murr, CISSP, MCSO, PMP, trabalha há 12 com Internet, atuando em e-commerce, desenvolvimento seguro, criptografia e análise de risco. Experiência como CSO do Terra Brasil, GIM na Alemanha. Atualmente é consultor e professor de Pós-Graduação em SI. Pode ser contatado em [email protected]. página 19 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Segurança no Protocolo 802.11 Luiz Cezar Quaquio W i-Fi, WiFi, Wi-fi ou até mesmo wifi é a abreviação de Wireless Fidelity ou Wireless é um conjunto de especificações para redes locais sem fio (WLAN Wireless Local Area Network) baseado no padrão 802.11 instituído pelo Institute of Electrical and Electronics Engineers (IEEE). Com o Wi-Fi é possível criar redes de computadores e outros periféricos que utilizam esta tecnologia como telefones celulares e impressoras, entre outros, desde que estejam dentro do limite de alcance do sinal de radiofreqüência. Com esta flexibilidade que a rede sem fio nos dá é possível montar redes com acesso à internet nos mais diversos lugares. Por isso, já é possível encontrar disponibilidade desses acessos em hotéis, shoppings, restaurantes e até mesmo em cidades, como é o caso de Manchester na Inglaterra e também na cidade de Sud Mennuci no interior de São Paulo, onde a conexão é gratuita para toda a cidade. Apesar de muitas vantagens que a rede sem fio possui, ela também tem as suas desvantagens, que hoje é a velocidade de transmissão, que não é tão eficiente quanto à cabeada e também a questão da segurança das informações por ela transmitida. WEP Em 1999 criou-se o protocolo WEP (Wired Equivalent Privacy) com a intenção de “igualar” a segurança da rede cabeada. A norma IEEE 802.11 estabelece dois tipos de autenticação WEP que são: Aberto (Open System Authentication), onde a transmissão é feita sem criptografia e permite que qualquer dispositivo entre na rede e a Chave Pré-Compartilhada (Pre-Shared Key Authentication), que é usado o método de desafio-resposta (senha) para entrar na rede. No protocolo WEP existem algumas vulnerabilidades conhecidas e exploradas, como a quebra da senha através do ataque de força bruta, devido ao poder computacional das máquinas atuais. O IV (Vetor de Inicialização) faz parte da chave inicial que codifica e decodifica o pacote e é transmitido sem criptografia, abrindo a possibilidade de ataques como o FMS, que é um algoritmo probabilístico que descobrirá a senha WEP. A utilização desse ataque pode ser feita re-injetando pacotes na rede, aumentando o tráfego e diminuindo o tempo do ataque. Pelo fato do IV ser 24 bits dá uma possibilidade de aproximadamente 16,7 milhões de vetores diferentes. Esta quantidade de página 20 possibilidades é pequena se levarmos em conta a quantidade de tráfego gerado, com isso os IVs se repetirão e consequentemente as chaves geradas pelo RC4 também, abrindo caminho para o atacante que após capturar pacotes consegue descobrir a senha WEP. O CRC-32, que é a função usada para detectar erros nos pacotes, é um algoritmo linear que não foi projetado pensando em segurança. O atacante pode alterar o conteúdo do pacote e fazer com que o ele pareça autêntico. A exploração dessa falha é chamada de Chopchop, que decodifica o pacote sem saber a senha WEP. WPA Devido algumas vulnerabilidades com o protocolo existente até então (o WEP), surgiu o protocolo TKIP (Temporal Key Integrity Protocol), com o objetivo de prover maior segurança, mas que ainda seja possível sua utilização nos hardwares existentes. Então em 2003 a Wi-Fi Alliance apresentou o padrão baseado no IEEE 802.11i chamado Wi-Fi Protected Access, conhecido como WPA. O WPA usa dois métodos de autenticação, o Pessoal que é usada uma senha compartilhada (WPA-Pre Shared Key ou WPAPSK) entre o Ponto de Acesso e os clientes e o Coorporativo que é usado um servidor de autenticação, por exemplo, o servidor Radius. As credenciais para autenticação pode ser biometria, certificados digitais, binômio usuário/senha, etc.. O WPA também possui vulnerabilidades e uma delas é ser suscetível a ataques de dicionário, que são derivações de palavras pertencentes a um dicionário previamente construído. Este tipo de ataque geralmente é bem sucedido porque as pessoas têm o costume de utilizar palavras fáceis de lembrar e que normalmente pertencem a sua língua nativa. Para ataques de força bruta existe uma proteção, mas que pode acarretar em um DoS (Negação de Serviço) , quando dois erros no algoritmo de criptografia MIC acontecem em menos de um minuto e o Ponto de Acesso altera a chave de integridade, então com uma simples injeção de pacotes mal formados é possível fazer esse tipo de ataque. WPA2 O WPA corrigiu vários erros do WEP, porém seu desempenho teve uma queda significativa em termos de estabilidade, por isso, surgiu o WPA2 com a promessa de ser a solução definitiva Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 de segurança e estabilidade para as redes sem-fio do padrão Wi-Fi. A principal mudança entre o WPA2 e o WPA é o método criptográfico utilizado. Referências na Internet • www.unibratec.com.br/jornadacientifica/diretorio/ UFPEAGL.pdf • www.teleco.com.br/tutoriais/tutorialredeswlanII/ pagina_3.asp • www.warchalking.com.br/cgi-bin/base/tutoriais2.444?22 • www.lprad.ufpa.br/~margalho/wdeec/wlaca.pdf • www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/srsf1/apresentacao.pdf • mvmr.wordpress.com/2007/06/08/redes-wireless-wepwpa-wpa2-qual-a-melhor-solucao-de-seguranca/ • www.meiobit.com/comment/105155/Re-WPA-WEP-WPA2 • pt.wikipedia.org/wiki/WPA • www.infosecwriters.com/ • informatica.hsw.uol.com.br/rede-wifi.htm • www.notebooks-site.com/dicas/wifi-hotspot.html • www.infowester.com/wifi.php Enquanto o WPA utiliza o TKIP com o RC4, o WPA2 utiliza o Advanced Encyptation Standart (AES) em conjunto com o TKIP com chave de 256 bits, que é um método muito mais poderoso. A AES permite a utilização de chaves de 128, 192 e 256 bits, constituindo assim uma ferramenta poderosa de criptografia. A utilização de chave de 256 bits no WPA2 é padrão. Com a utilização do AES, introduziu-se também a necessidade de novo hardware, aumentando os custos, que seja capaz de realizar o processamento criptográfico, havendo uma ligeira queda na velocidade de transmissão de dados. Uma vulnerabilidade do WPA2 é também ser suscetível a ataques de força-bruta. Conclusão Para uso doméstico o uso do WPA-PSK é recomendado, pela facilidade de configuração, já que é necessário definir apenas uma senha para o acesso e ser mais seguro que o WEP. Para empresas o recomendado é o WPA com servidor de autenticação. Sua configuração é mais trabalhosa, mas fornece um alto nível de segurança. Sobre o Autor Luiz Cezar Quaquio trabalha como Analista de Segurança Jr. em um grande banco de varejo. É formado em Ciência da Computação pela UNIP com especialização em Redes de Computadores pelo Herzing College e está cursando a Pós-Graduação em Segurança da Informação no IBTA. É membro do OWASP Brasil e certificado LPI101 Colaboraram no artigo os profissionais Flavio Malfatti Sartorato, Juliano Forster e Wellington Fonseca Leal. página 21 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 BlackHat e Defcon: Melhores conferências de segurança do mundo? Rodrigo Montoro A ntes de iniciar meus comentários sobre essa aventura, primeiramente gostaria de explicar as duas conferências para quem ainda não as conhecem: Abertura do BlackHat USA 2008 BlackHat É um congresso mais profissional (acontece no luxuoso hotel e cassino Ceasars Palace), com diversas empresas patrocinadoras, estandes e logicamente com taxas de inscrição mais elevadas, de U$1295 no início até U$1995 para quem compra na hora para os 2 dias de briefings. Freqüentam por volta de 5.000 participantes. Ela também possui os treinamentos, que acontecem 4 dias antes com preços variados. Visão geral do público na Defcon 2008 Defcon É uma conferência considerada mais underground, sem apoio de muitas empresas, crachás anônimos (ninguém é identificado, nem mesmo quando se inscreve) e com preço simbólico de U$120,00 pelos 3 dias. Nesse ano aproximadamente 9.000 pessoas freqüentaram o evento. página 22 As duas conferências são “irmãs”, ambas foram criadas por Jeff Moss, e os participantes da BlackHat automaticamente ganham a entrada para a Defcon. Sempre ouvi muitos comentários entusiasmados das duas conferências e há anos já gostaria de ter participado, mas por diferentes motivos nunca tive a oportunidade concreta de comparecer a elas. Nesse ano tive a felicidade de participar dos briefings da BlackHat e da Defcon e apresento neste depoimento meus comentários sobre as palestras que mais me interessaram. Scanning the internet O Fyodor dispensa apresentações: ele é criador do famoso nmap. Ele fez uma apresentação demonstrando as melhorias que estão desenvolvendo para o nmap baseado em um scan real em grandes ranges da internet, por isso o nome da palestra. As melhorias demonstradas são realmente muito interessantes (no total a versão 4.68 teve 125 “modificações”), não só pela maior velocidade dos scans (em especial UDP), bem como na quantidade de hosts ativos encontrados. A palestra completa com mais informações sobre os testes pode ser acessada em http://insecure.org/presentations/BHDC08 System Management Mode(SMM) Rootkits Das palestras que assisti, esta realmente foi a que me chamou mais a atenção, pelo tipo da falha explorada com o novo modelo de rootkit. Eles simularam o SMM rootkit e este não foi detectado pelo firewall do XP, pelo Zone Alarm e nem por um scanner de malware. O rootkit enviava os dados via udp para o gerenciador master. Comentei com eles se não tinha como detectar por meio de análise comportamental, mas eles disseram que podem gerar tráfego randômico com diferentes tamanhos e portas, em intervalos diferentes também. Comentaram também que, com mais estudos e mudanças, poderiam tentar colocar o tráfego das informações em SSL, mas isso variaria de acordo com o tamanho da memória do dispositivo. Client Side Security Palestra de mais um figura conhecida, o dono do site GNUcitizen. Como já é bem comentado atualmente os sistemas operacionais estão ficando cada vez mais “seguros” e os atacantes estão procurando novos alvos como pdf, flash e logicamente explorando as pessoas. Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Ele fez algumas simulações de exploração de flash e pdf . Site do palestrante http://www.gnucitizen.org Beholder Wireless Palestra sobre o projeto Beholder Wireless com os brasileiros Nelson “Air” Murilo e Luiz Eduardo. O projeto beholder é um wifi IDS que detecta Rogue Access Points e queda de access points válidos, entre outras funcionalidades. Um ponto que eles tocaram na palestra é que tradicionais IDS’s de Wifi nunca se preocupam em detectar queda de AP’s válidos. O projeto, além de tudo, é opensource e o site é http://www.beholderwireless.org. Network Flow Analysis Palestra do Bruce Potter do Shmoo Group. Como ele mesmo comentou, este é um assunto velho, mas que as empresas geralmente não utilizam para análise da rede. Ele mostrou algumas vantagens do netflow versus IDS, como por exemplo a maior quantidade de recursos utilizados pelo IDS visto a necessidade de acesso ao payload e de espaço em disco para armazenamento. Na palestra citou o projeto para análise de netflow que desenvolvem no modelo opensource e que pode ser encontrado em http://psyche.pontetec.com/ . MSF Post Exploitation Excelente palestra do Valsmith, desenvolvedor do metasploit framework e criador do offensivecomputing (site com milhares de malwares para download). Na palestra ele demonstrou técnicas Post exploitation, ou seja, após ter o primeiro acesso. Foram apresentadas algumas ferramentas do framework MSF bem como algumas mudanças que foram sugeridas para maior dificuldade de detecção. Active HTTPS cookie Hijack Nessa palestra, o Mike Perry demonstrou um ponto interessante de falha nos cookies. Geralmente os sites não diferem os acessos em http e https, ou seja, por mais que você esteja em um site autenticado com https e navegando em https, caso seja redirecionado para o mesmo domínio com http, o seu cookie https será enviado em plain text. Ele também lançou uma ferramenta para fazer injection em conexões (http://code.google.com/p/surfjack), mas você com simples engenharia social pode direcionar a pessoa para um site http do mesmo domínio que tem interesse em fazer o hijack. Nelson “AIR” Murilo e Luiz Eduardo Snort Plugin Development - Dando novas funcionalidades para o velho porco Sou suspeito para falar do snort, visto que sou um fã de carteirinha do projeto, bem como trabalho com ele maioria do meu tempo, mas a palestra foi bem interessante pois demonstrou que com um pouco de interesse e necessidade, você pode desenvolver novas funcionalidades para o snort (préprocessadores). O snort já tem bastante granularidade na criação de regras, mas além disso, pode-se criar pré-processadores para colaborar com o mesmo. Secure the Planet! New Strategic Initiatives from Microsoft to Rock Your World Palestra bem interessante da equipe da Microsoft comentando sobre as medidas que tem tomado para aprimorar segurança dos softwares da MS bem como softwares terceiros que fazem parte do produto. Destacaram algumas mudanças, melhorias e gráficos com resultados do investimento que tem feito. O que me chamou atenção foi um novo modelo no qual eles distribuirão mais informações sobre as falhas de seus produtos para empresas que desenvolvem ferramentas de proteção (para equipes com softwares de pentest e similares não terão acesso, pelo menos não na prática). Não sei realmente se isso será totalmente seguro e viável, mas com certeza ajudará se as empresas de segurança tiverem mais informações sobre as falhas. Mais presença brasileira: Wendel falando sobre WAF página 23 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Entre outras palestra que assisti, destaco: No More 0-Days (or Code-Based Intrusion Detection by Korset), No More Signatures: Defending Web Applications from 0-Day Attacks with ModProfiler UsingTraffic Profiling, Playing with Web Application Firewall, From bug to 0day, Sensepost - Pushing a Camel through the eye of the needle. Além do mais, a apresentação de tendências durante a conferência continua excelente. Notei um grande foco para Virtualização, Forensics e ataques a Hardware. Segurança em aplicações, Wi-Fi e ataques em ambiente Web ainda são assuntos com bastante novidades. Outras Atividades da Defcon • Lockpicking Área muito interessante com demonstrações de diversas técnicas para aberturas de diferentes fechaduras e cadeados. Possui um concurso específico para premiar quem consegue abrir mais fechaduras em menos tempo. • • I Hack Charities Projeto do Johnny Long, que tem dois objetivos, primeiramente ajudar pessoas pobres, fazer caridade, e depois ser uma carta de referência ou forma de iniciar os futuros profissionais na área de segurança. O site do projeto é http://www.hackersforcharity.org Wall of the sheep Telão que fica mostrando as senhas que algumas pessoas utilizam na rede hostil da Defcon sem o mínimo cuidado. Com certeza vale a pena o investimento para as duas conferências, e como todos os eventos, existem palestras excelentes e fracas, mas o networking (em especial nos coquetéis e festa de patrocinadores) é algo realmente válido. Conheci muitas pessoas com as quais converso virtualmente, fui apresentado a outras e isso como dizem “Não tem preço”. Tivemos 2 palestras nacionais na Defcon, o que mostra o potencial do nosso país. Melhores do mundo? Realmente não sei se são, mas com certeza são excelentes. Sobre o Autor Rodrigo “Sp0oKeR” Montoro possui 10 anos de experiência em sistemas opensource em especial ferramentas de segurança (Firewall, IDS, IPS, HIDS). Certificado LPI, RHCE, SnortCP e MCSO. Coordenador e evangelizador do snort no Brasil (Comunidade Snort-BR -http://www.snort.org.br) , Diretor de Comitês do ISSA Brasil, OWASP Capítulo Brasil , Slackware-BR entre outros grupos. Trabalha como Analista de Segurança na CLM com Intrusion Prevention/Detection e Análise de logs, e coordena um projeto para criar uma categoria de regras do snort para malwares brasileiros. Wall of the sheep funcionando Dois pontos me chamaram bastante a atenção: 1. Profissionais de todas as idades conversando, assistindo e discutindo as mesmas palestras, digo desde estudantes, consultores, gerentes, diretores, CTO, CSO no mesmo evento, algo que é um pouco diferente no Brasil. 2. A falta dos famosos 0-Days, acredito que isso muito se deve muito a empresas como ZDI comprarem 0-days - as vezes por pequenas fortunas, o que certamente faz as descobertas serem vendidas ao invés de serem publicadas como novidade como acontecia em edições anteriores. página 24 Inscrições Abertas O OWASP Chapter Brazil está recebendo inscrições para compor a grade de treinamentos e patrocinadores para o OWASP EU Summit 2008. Participe de um evento internacional de renome, saiba mais entrando em contato com [email protected] Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 GRC Meeting Equipe Editorial Antebellum A pós 5 anos organizando o CSO Meeting, reconhecido encontro anual dos profissionais de Segurança da Informação e Gestão de Riscos, o evento chega a sua sexta edição e assumiu neste ano uma nova identidade, passando a se chamar GRC Meeting. A Modulo Education ampliou o escopo para englobar as iniciativas e os novos desafios relacionados a Governança, Riscos e Conformidade de negócios. Assim esta edição ganhou um enfoque maior, o que pode ser percebido pela maior diversidade de funções e cargos no público presente. Durante os quatro dias do evento, de 14 a 17 de agosto, especialistas das áreas de Segurança da Informação, Gestão de Riscos, Governança e Compliance assistiram diversas palestras e debateram temas relativos ao futuro dos negócios na Era GRC. A programação incluiu workshops e palestras de importantes especialistas internacionais. Durante as apresentações, divididas de forma que cada dia foram focadas em um dos pilares do GRC, foram abordadas as melhores práticas em segurança, a evolução das exigências relacionadas a governança, gestão de riscos e conformidade para as empresas e seus executivos. Também foram apresentados vários cases reais por profissionais do mercado. Wall of the sheep funcionando O evento possui um formato diferenciado, que favorece a integração entre os presentes e um maior relacionamento com as empresas expositoras. Além das palestras e painéis de elevado nível durante todo o dia, os congressistas são incentivados a interagir com os patrocinadores, visitando suas business suítes. O evento tinha 8 business suites, cada uma ocupando uma casa onde todas estavam dispostas em volta de uma área gramada com uma pequena piscina, onde os expositores apresentaram diariamente palestras focadas em seus produtos. A grade de assuntos e de expositores é bem diversificada, atendendo a todos os gostos. Neste ano o GRC Meeting pretendeu trazer quatro nomes internacionais para falar sobre as tendências na era GRC, alinhados com os principais padrões e normas internacionais. No primeiro dia do evento, Carole Switzer, Presidente do Open Compliance and Ethics Group (OCEG), abordou a evolução das exigências relacionadas a governança, gestão de riscos e conformidade para as empresas dos mais diversos setores. O OCEG (www.oceg.org) fornece normas objetivas, diretrizes e recursos online para ajudar organizações na obtenção de Principled Performance (Desempenho com Princípios) através da integração de processos de governança, gerenciamento de riscos, compliance (GRC) e ética. Eles criaram o Framework do OCEG, que inclui um modelo de maturidade do processo de GRC, conhecido como o OCEG Red Book. No segundo dia, Val Rahmani, Diretora Geral da IBM Internet Security Systems, discutiu sobre as novas exigências da área de segurança de negócios e decretou que as soluções tradicionais de segurança não estão mais conseguindo acompanhar os negócios, que estamos acumulando tantas soluções distintas que acabamos por sufocar as empresas. O tema do PCI (Payment Card Industry Data Security Standard) seria apresentado por Bob Russo, gerente geral do PCI Security Standards Council, porém ele teve dificuldade na obtenção do seu visto e foi substituído por um painel improvisado, formado por alguns especialistas presentes na platéia e comandado pelo Alexandre Vargas, da própria Modulo. Essa improvisação se mostrou excelente, pois o painel foi bem conduzido e apresentou a visão nacional sobre o PCI, com cases locais. No último dia, a inglesa Lynn Lawton, diretora da KPMG no Reino Unido, presidente internacional do ISACA (Information Systems Audit and Control Association) e do Information Technology Governance Institute (ITGI), apresentou as tendências em governança e mostou as principais atividades que a ISACA tem desenvolvido neste sentido. Também merecem destaques as palestras e painéis onde participaram o Alberto Bastos, sócio-fundador da Módulo, o painel página 25 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 sobre carreiras, onde vários profissionais passaram suas experiências e contaram como desenvolveram sua carreira na área, e Hugo Köncke, Diretor de TI do INAC – Instituto Nacional de Carnes do Uruguai, que apresentou um case de adoção de governança e de controles aplicados a regulamentação e a atender os produtores locais. O evento, que aconteceu no Hotel do Frade, em Angra dos Reis (Rio de Janeiro), contou com o apoio da ISSA Capítulo Brasil e da ISACA, e teve o patrocínio da Aker, Cisco, CLM, Companhia de Sistemas, Compugraf, Iron Port, Leadcomm, Montana, Secure Computing, Sun Microsystems, Techbiz / Aurus Software, Trendmicro e True Access. A Modulo já anunciou que GRC Meeting 2009 também acontecerá no Hotel do Frade. Para informações adicionais, acesse o site www.grcmeeting.com.br. Participantes do GRC Meeting no Hotel do Frade página 26 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 Atividades ISSA Equipe editorial Antibellum ISSA Day Em Agosto realizamos o ISSA Day com um público recorde de aproximadamente 70 pessoas. Esta edição teve o apoio da Future Security, que excepcionalmente nos trouxe duas palestras muito interessantes. as melhores metodologias para proteger suas empresa de maneira eficaz, em um evento organizado pelo Gabriel Lourenço, Consultor de Segurança pela OpenSOC e que contou com o apoio da ISSA Capítulo Brasil/SP. O evento foi realizado em Boituva, no CETEB. O evento foi aberto com um convidado internacional, o Sr. David Goodman, da Tufin Technologies, que em sua palestra “Como otimizar e tornar gerenciável as regras de Firewall”, apresentou a necessidade de gestão de mudanças e de auditoria na operação de Firewalls como motivação para o uso das suas ferramentas SecureTrack e SecureChange. Em seguida, Andre Diamand, Diretor Geral da Future Security, discutiu as mudanças e novos paradigmas das soluções de segurança e de gestão de segurança (SOC,s NOCs e AOCs) na sua palestra “Segurança com Inteligência”. Numa linguagem simples e informativa, foram abordados temas como as ameaças vindas da internet, responsabilidade legal, o que fazer no caso de um incidente de segurança, e como está o cenário atual de segurança nas empresas. Para que as empresas possam se proteger adequadamente é importante entender contra o que elas estão se protegendo e isso pode ser feito de forma simples com uma linguagem adequada. Com um conteúdo extremamente informativo foram abordados ainda meios eficazes e de custo reduzido para proteger as empresas. A ISSA Brasil apresentou, pelo terceiro ano consecutivo, quais foram as principais novidades que abalaram o mundo da segurança na recente edição das conferências Black Hat e Defcon XVI, que ocorreram no início de agosto em Las Vegas. A palestra foi apresentada pelo Rodrigo Montoro (Sp0oKeR), diretor de comitês da ISSA, e pelo Wendel Guglielmetti Henrique. Um breve resumo das palestras mais interessantes e as principais novidades estão descritas no artigo de capa publicado nesta edição da Antebellum. O Gabriel Lourenço trabalha há quase dez anos na área de TI como Consultor de Segurança e já palestrou por duas vezes no ISSA Day, falando sobre implementação e métricas de um SOC, baseado em sua experiência desenvolvendo ambientes com ferramentas OpenSource, utilizando modelos de referência e uma metodologia de implementação baseada em melhores práticas de mercado. Desconto e participação no CNASI SP Através de parceria firmada entre o IDETI e o capítulo brasileiro da ISSA, disponibilizamos para você, associado, um desconto especial de 10% no valor da inscrição para sua participação integral no melhor evento nacional de Auditoria de Sistemas, Segurança da Informação e Governança, a 17ª Edição do CNASI. Inscreva-se e tenha a sua disposição mais de 70 atividades especialmente selecionadas e preparadas para compor a grade temária do congresso, comandadas pelos principais especialistas do mercado, incluindo 3 keynotes speakers, 20 tutoriais (14 diurnos e 06 noturnos), mais de 40 Palestras Técnicas e 13 Casos de Sucesso, além de um painel interessante sobre Formação Profissional e a Geração Y. Participantes do ISSA Day de agosto SSA Brasil apoiou o evento “Segurança para quem precisa!” em Boituva No dia 28 de Agosto, das 19:00 às 21:30, diversos empresários locais puderam conhecer o cenário atual de ameaças virtuais e A ISSA estará presente no evento apresentando duas palestras: no dia 22/09 o Fernando Fonseca, Diretor de Comunicação da ISSA Brasil irá falar sobre “Personal Branding em Segurança da Informação” (no Painel de Casos de Sucesso, das 17:30 as 18:30) e no dia 24/09, das 14:00 as 16:30, o Ronaldo Vasconcelos irá apresentar a palestra sobre a “Carreira do Security Officer”. página 27 Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 O CNASI ocorrerá de 22 a 24 de setembro no Shopping Frei Caneca, em São Paulo. Mais informações estão disponíveis no site www.cnasi.com.br Associados: desconto exclusivo no 3º Global Risk Meeting O Global Risk Meeting está em sua 3ª edição, e neste ano com o tema: Governança de Risco Estratégico. O evento contou com alguns cases inéditos, como por exemplo, o case da H2ocean, uma empresa brasileira que está utilizando a nanotecnologia para transformar água do mar em potável, e com muito mais minerais do que a água comum. O Global Risk Meeting é organizado pela Daryus e aconteceu no dia 11 de setembro. O evento conta com o apoio do capítulo brasileiro da ISSA, mas também são patrocinadores e apoiadores do evento a Microsoft, PPP Advogados, Grupo Impacta, FIT – Faculdade Impacta de Tecnologia, Góoc, Morphus e a ISACA. • • • Os associados ativos da ISSA Brasil tiveram direito a um desconto de 30% e puderam concorrer ao sorteio de 05 passes VIP. Para mais informações sobre este evento acesse o site do Global Risk Meeting: www.globalriskmeeting.com.br ISSA Brasil Awards 2008 Através de uma parceria inédita, a ISSA Capítulo Brasil/SP, com o apoio da Daryus, está lançando a premiação ISSA BRASIL AWARDS 2008, com objetivo de contribuir com o desenvolvimento do setor e promover as melhores iniciativas relacionadas ao mercado de Gerenciamento de Risco e de Segurança da Informação, aquelas que mais contribuíram para a comunidade e para a sociedade em geral no ano de 2007. O ISSA Brasil Awards é inspirado no ISSA Awards, uma premiação oferecida anualmente pela ISSA Internacional desde 1998. Esta é uma forma que encontramos para fortalecer o nome da ISSA junto ao mercado de Segurança da Informação, ao mesmo tempo que promovemos a valorização das ações que contribuem para o crescimento do mercado e incentivamos a troca de experiências entre os profissionais da área. A Daryus forneceu o apoio logístico para a primeira edição do ISSA Brasil Awards, além de ceder um espaço no Global Risk Meeting 2008 para realizarmos a premiação. O ISSA BRASIL AWARDS premiou os profissionais, empresas e ações que se destacaram durante o ano de 2007 nas seguintes categorias: • Profissional do Ano Profissional de SI que mais se destacou na profissão no ano de 2007, seja por sua liderança, por prestar uma contribui- página 28 ção significativa ao mercado, por participar da criação de um novo produto, conceito ou tecnologia, por executar uma campanha ou ação de divulgação bem sucedida, colaborar com associações ligadas a segurança ou por atuar em treinamento, ensino ou pesquisa, entre outros. Organização do Ano Entidade ou Empresa de Tecnologia, consultoria ou serviços que mais se destacou com ações para a comunidade de segurança da Informação em 2007, contribuindo para o desenvolvimento sustentável do mercado e a valorização da profissão. Publicação do Ano Qualquer tipo de publicação sobre Segurança da Informação, incluindo livros, trabalhos acadêmicos, Blog, ou artigo que tenha, de forma inédita, se destacado e agregado valor à comunidade de Segurança da Informação em 2007. Contribuição à Sociedade Melhor ação na área de Segurança da Informação que resultou em contribuição à comunidade brasileira de segurança da informação ou à comunidade em geral. Dessa categoria participam trabalhos não técnicos como portais, listas e grupos além de ações para valorizar o profissional de segurança, a ética profissional ou a proteção e conscientização da sociedade como um todo. A avaliação dos candidatos foi realizada por uma comissão julgadora formada pelos officers da ISSA e representantes da ISACA, ISC2 e Daryus. A divulgação dos vencedores e a cerimônia de premiação ocorreu durante o evento Global Risk Meeting 2008, no dia 11 de setembro. Os finalistas na categoria Profissional do Ano foram Marcos Sêmola (Shell) e Thiago Galvão (Grupo Gerdau) e na categoria Contribuição a Sociedade foram o Adriano Mauro Cansian (UNESP), Andre Correa (responsável pelo projeto Malware Block List - www.malware.com.br) e Fernando Nicolau Freitas Ferreira (que desenvolveu um curso completo sobre SI). Como Publicação do Ano concorreram o Edson Fontes (que lançou seu blog) e Alfredo Luiz dos Santos Junior (que publicou o livro “Gerenciamento de Identidades” pela editora Brasport). Como Organização do Ano, concorreu a OWASP Capítulo Brasil. Os ganhadores do primeiro prêmio ISSA Brasil Awards foram: • • • • Profissional do Ano: Marcos Sêmola Contribuição a Sociedade: Adriano Mauro Cansian Publicação do Ano: Edson Fontes Organização do Ano: OWASP-BR Veja mais informações sobre a premiação no site www.globalriskmeeting.com.br/issa Antebellum, a Revista Eletrônica da ISSA Brasil Edição 004 • setembro/outubro de 2008 LogOff: o lado off line da segurnaça da informação Anchises M. G. de Paula Q ueríamos começar uma coluna que falasse sobre a vida fora do escritório, sobre os prazeres longe do computador, em um mundo sem Firewalls nem PCN. E não pensamos em nada mais óbvio para inaugurar esta coluna do que falar um pouco sobre o universo dos vinhos. Os vinhos têm uma complexidade e sofisticação que apaixonam os iniciantes e os aficionados, mas faz o resto da população pensar que eles são um bando de doidos. O tipo de fabricação, as variedades de uva e as variáveis que entram no cultivo da uva (tipo de solo, temperatura e condições climáticas, por exemplo, que os especialistas chamam genericamente de terroir) e a diversidade de regiões vinícolas e de fabricantes fazem com que cada garrafa tenha um sabor e um aroma únicos. E é justamente essa diversidade e o desafio de achar o vinho perfeito para cada ocasião que encanta a todos. Eu não sou um expert no assunto, mas gostaria de compartilhar algumas dicas básicas para aqueles que, assim como eu, também estão apreendendo a apreciar esta bebida. Os vinhos podem ser divididos em vinhos do Velho Mundo (Europa) e do Novo Mundo (as novas regiões vinícolas que tem alcançado destaque mundial nos últimos 20 anos, principalmente os Estados Unidos, Argentina, Chile, África do Sul, Nova Zelândia e Austrália). A maior diferença, no primeiro momento, é que os vinhos do Velho Mundo são referenciados pela região em que são cultivados (como os vinhos de Bordeaux, Piemonte, os vinhos do Porto, e por aí vai). Isto porque, neste caso, o mais importante é o tipo de local (ou terroir) que vai influenciar na formação das videiras e os tipos de uva que os vinicultores estão acostumados a plantar naquela região, além do processo de produção do vinho naquele lugar específico. As vinícolas do Novo Mundo, até mesmo por serem mais recentes, se caracterizam pelo uso muito mais intenso da tecnologia e, pela falta de uma tradição secular, se especializaram em produzir alguns tipos específicos de videiras, que se adaptaram melhor em cada região. Isso tornou mais fácil a vida dos leigos, pois neste caso podemos escolher os vinhos pelo tipo da uva e, além do mais, fica mais fácil comparar os vinhos de regiões ou produtores diferentes. Cada um desses países se especializaram em algumas uvas específicas, assim uma boa forma de começar a escolher um bom vinho é prestar atenção em qual é a uva de maior destaque em cada país: • • • • • • África do Sul: Pinotage Argentina: Malbec Australia: Shiraz Chile: Carmenère Estados Unidos (Califórnia): Zinfandel Nova Zelândia: Sauvignon Blanc A arte de combinar vinhos com os alimentos é o que os especialistas chamam de “harmonização”. A harmonia perfeita entre o vinho e o prato a ser servido deve garantir que um não vai se sobressair ao outro, e que ambos vão ter suas características valorizadas. É uma arte complexa e com muitas variáveis. Como uma regra geral, e bem simplificada, lembre-se que os vinhos brancos, por serem leves e frutados, combinam melhor com peixes, carnes brancas como peito de frango ou peru e carnes vermelhas somente se forem assadas ou grelhadas, e devem ser servidos levemente gelados (aproximadamente 11 graus). Os vinhos brancos ou os espumantes também podem ser servidos na entrada (como aperitivo ou para acompanhar uma salada). Os vinhos tintos harmonizam com carnes vermelhas, massas e aves - e devem ser servidos em uma temperatura um pouco maior, cerca de 18 graus. A dica para quem não tem uma adega climatizada é guardar o seu vinho branco na geladeira e retirá-lo uns 15min antes de servir e, quando for degustar um vinho tinto, colocá-lo na porta da geladeira uns 15 minutos antes para refrescá-lo. Como diz o site Winexperts.com.br, “O aprendizado do vinho estimula a conversa inteligente, faz novos amigos e melhora a auto estima”. Por isso mesmo, não há nada tão agradável como reunir uma roda de amigos em torno de algumas garrafas de vinho e todos irem degustando um pouco de cada uma, para sentirem a diferença no aroma e no sabor de cada garrafa. página 29 Antebellum, a Revista Eletrônica da ISSA Brasil Colunas Antebellum: Cyber Law Edição 004 • setembro/outubro de 2008 Worst Cases: O lado divertido da segurança Por Rony Vainzof e Hugo Fernando Salles Por Anchises M. G. de Paula Os Crimes Tecnológicos e o PLS 76/00 Por não ser de essência dinâmica o Direito deve se amoldar com as exigências sociais, que emergem dos usos e costumes vividos pelo ser humano em cada período. Resta-nos, no entanto, a argüição se o ordenamento jurídico atual, mais especificamente de natureza penal, é suficiente para manutenção da ordem social em razão do surgimento de um novo bem jurídico que nasce com o avanço das novas tecnologias, qual seja, a Segurança da Informação. Práticas Bestas: A tela azul da morte Em 26 de Fevereiro 2007, Oscar, um professor de informática de 29 anos, estava dirigindo na Highway 99, próximo a cidade de Yuba, nos Estados Unidos, quando seu Honda Accord cruzou a faixa e colidiu com um Hummer. Os policiais da California Highway Patrol encontraram o laptop de Oscar ainda em uso. Com a aprovação pelo Senado da proposta do Senador Eduardo Azeredo (PSDB/MG), que visa regular as condutas delitivas cometidas com a utilização das novas tecnologias ou contra estas, um importante passo adiante nessa toada foi obtido, pois em suma, busca-se criminalizar condutas de grande potencial lesivo, ainda não tipificadas por nossa legislação penal. A proposta representa um grande avanço brasileiro na prevenção e punição dos crimes tecnológicos, pois tipifica condutas como o acesso não autorizado a sistemas informatizados, inserção ou difusão de códigos maliciosos, obtenção ou transferência de informações não autorizadas, destruição, inutilização ou deterioração de dado eletrônico, dentre outros, além de prever especificamente a responsabilidade dos provedores para preservação dos registros eletrônicos aptos à identificação dos criminosos (números IP, datas e horários GMT), responsabilidade esta, em caso de descumprimento, passível de multa e ressarcimento pelos danos causados. Referido PLS apresenta-se em consonância com as diretrizes da Convenção do Conselho da Europa sobre Cibercrimes, celebrada há sete anos em Budapeste, que dispõe sobre a adoção de medidas dos países signatários para combater a criminalidade tecnológica. Se o Projeto for definitivamente aprovado e sancionado, nosso país poderá ser signatário desta Convenção, sem muitas restrições, em conjunto com outros 44 países. Portanto, ainda que dificilmente a Legislação atual acompanhe os avanços tecnológicos, precisamos, no mínimo, afastar uma defasagem muito ampla, com a aprovação do Substitutivo supra, de modo que os operadores do Direito, como um todo, tenham instrumentos suficientes para continuar a combater os crimes tecnológicos. (Colaboração especial na coluna de Luana de Freitas Polastri) página 30 Oscar não está sozinho. Em um ano 510 motoristas da Califórnia foram acusados de condução imprudente ao usar um aparelho de TV ou monitor de computador enquanto dirigiam. “Dirigir não é o momento ideal para praticar suas habilidades multitarefa”, comentou o portavoz da California Highway Patrol, Tom Marshall. Este é um caso real, relatado no site “Darwin Awards” (http://darwinawards.com/darwin/darwin2007-12.html). Criado em homenagem a Charles Darwin, o pai da evolução, o site celebra aqueles que ajudam a melhorar o nosso patrimônio genético, através da remoção de si mesmos. Bookmark: Indices Now! do IDG NOW! O IDG NOW! mantém uma sessão de seu site com números, pesquisas e estatísticas do mercado de TI. Há alguns dados relacionados à Segurança, que podem ser muito úteis: http://idgnow.uol.com.br/indices?section=seguranca Segurança da Informação em Filmes Site com uma ótima e bem compilada relação de filmes cuja estória, ou alguma cena específica está relacionada direta ou indiretamente com SI: http://hfwerneck.spaces.live.com/lists/ cns!A5471764A99BCEC0!149/ The Hacker Test Você se acha um “hacker”? Quer testar seus conhecimentos? A Internet está cheia de sites com testes de conhecimento, dos mais “bobinhos” até os que tentam ser sérios.Você quer tentar esse, de 1989? http://www.armory.com/tests/hacker.html Frases “R2D2, você sabe muito bem que não deve confiar em computadores estranhos.” C3PO, no Império Contra-ataca Foto.log A famosa imagem do nmap no filme primeiro do Matrix. Pode ser encontrada no próprio site do nmap, em http://nmap.org/ movies.html.