O IBM X-Force, a equipe de pesquisa e inteligência em segurança da IBM Internet Security Systems, publicou neste mês o seu relatório de meio de ano, analisando as ameaças e vulnerabilidades do ano, além das tendências para o segundo semestre de 2008. Essa análise no meio do ano é uma ótima oportunidade para analisarmos a situação geral da segurança digital, comparar com a estratégia e ações adotadas e realizar desde já ajustes de rota. O relatório está disponível no endereço http://www-935.ibm.com/services/us/iss/xforce/midyearreport e vale a pena ser lido.
Boa parte do relatório está focado na análise de vulnerabilidades e ameaças para aplicações web. O primeiro dado importante é que ele confirma as tendências anunciadas no ano passado que indicavam o ambiente web – browser, plugins, aplicações – como o novo foco e alvo principal do crime digital, evidenciando que as empresas precisam acompanhar e ajustar o foco de sua estratégia, destinando recursos para a proteção de aplicações web. É fato que a maior parte das empresas ainda é lenta em acompanhar movimentações do crime digital, o que nesse tema se traduz em ainda privilegiar e direcionar a maior parte dos recursos de segurança para a proteção do sistema operacional.
Alguns dados no relatório chamam bastante atenção. Aplicações relacionadas a web respondem por 51% de todas as vulnerabilidades mapeadas desde 2006, e 54% das que foram reportadas este ano. Esse dado dá a dimensão do problema, porém outro é ainda mais preocupante: 94% dos exploits (os programas de ataque) foram lançados no mesmo dia da publicação da vulnerabilidade, o que significa pouquissimo tempo de reação para empresas que ainda adotam essa postura em sua estratégia de segurança.
O relatório também aborda spams e phishing, com uma visão atualizada, e mostra como funciona a dinâmica no mundo do crime digital. Nos últimos anos os fabricantes de sistemas anti-spam investiram para sofisticar as tecnologias de detecção, passando a detectar spam em mensagens contendo apenas imagens, textos complexos ou estruturas de HTML complexas. Esse investimento surtiu efeito e a eficácia das mensagens spam em passar pelos sistemas de detecção reduziu bastante. E o que o X-Force observou? A substituição dessas técnicas pela de mensagens URL inseridas em textos pequenos, e o uso de URLs com pequena duração, o que dificulta a detecção.
Uma mensagem phising que está obtendo bastante sucesso aqui no Brasil falsifica uma mensagem do UOL charges, simulando que a vítima está recebendo uma charge enviada por um amigo ou parente. Ao infectar o computador, o programa envia novas mensagens para toda a lista de contatos da vítima. A mensagem é bem escrita e parece ser real. Apenas uma análise atenta da URL contida na mensagem levanta suspeitas, porém um usuário sem conhecimentos de informática dificilmente irá perceber a fraude. Adicionalmente, poucos antivirus detectam o programa com sucesso, o que se é de esperar já que muitos grupos estão utilizando técnicas de mutação de código para enganá-los. Por outro lado, o vírus é facilmente eliminado do computador e não utiliza técnicas rootkit, que tornam o vírus invisível até mesmo de programas avançados de detecção. Os rootkits mais avançados chegam a exigir uma completa reinstalação do sistema operacional.
A mensagem para gerentes de segurança é: fique sempre alerta e não descanse sobre uma ameaça aparentemente vencida. Para isto, três atividades são essenciais: informação, monitoração e análise. Informação para acompanhar o que está ocorrendo no mundo e não ser pego de surpresa. Para isto as empresas contam com serviços gratuitos e pagos disponíveis para todos os orçamentos e perfis. No site da IBM é possível obter gratuitamente informações sobre o nível de risco atual, vulnerabilidades e ameaças. Pela monitoração a empresa pode detectar rapidamente uma tentativa ou inicio de invasão, e medir a eficiência de seus dispositivos de proteção. Porém, mas do que acompanhar eventos, pela monitoração se pode identificar tendências, o que serve para a análise dessas tendências de ataque a empresa em relação às tendências mundiais, e a definição de ações imediatas e médio prazo, além de prover insumos para o planejamento de longo prazo em segurança.
sexta-feira, 8 de agosto de 2008
terça-feira, 5 de agosto de 2008
DNS Cache Poisoning
Reproduzo neste post artigo de Nelson Brito (nbrito@sekure.org), colega de trabalho e grande especialista e pesquisador em segurança, sobre a vulnerabilidade do DNS Poisoning. O Nelson não apenas descreve com perfeição a vulnerabilidade como aborda pontos curiosos.
Há uma nova vulnerabilidade que permitem aos hackers manipularem as entradas de DNS através de DNS Cache Poisoning, possibilitando a *manipulação de tradução de nome para endereço IP. A muito tempo não há uma vulnerabilidade multi-plataforma como esta que cause tanta comoção no cenário de segurança, pois esta vulnerabilidade afeta todas as implementações de DNS. Tanta comoção se explica, também, por um segundo fator. O pesquisador que descobriu a vulnerabilidade, Dan Kaminsky (http://www.doxpara.com/?p=1162), *trabalhou em segredo com vários fabricantes - entre eles Microsoft, Cisco, ISC, etc - para a correção. Só em 7 de Julho de 2008 a informação de uma vulnerabilidade de DNS Cache Poisoning veio a público.
Devido a gravidade da descoberta, ele solicitou que a comunidade de segurança não fizesse nenhuma especulação em público, para dar tempo às empresas e órgãos (todos que forem afetados) de aplicarem a correção. Esta solicitação foi interpretada como um desafio por outro pesquisadores. A princípio, Dan liberaria detalhes somente na Blackhat de Agosto próximo, (http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Kaminsky), porém um hacker alemão, chamado Halvar Flake, liberou algumas "especulações corretas" sobre o funcionamento e detalhamento da vulnerabilidade em um BLOG. Estas informações ficaram poucos minutos disponíveis na Internet, pois o POST foi retirado do BLOG. Porém estes poucos minutos foram o suficiente para que a informação se propagasse pela Internet.
Ao final do dia 23 de Julho, o pesquisador HD Moore (autor do Metasploit Framework) e o hacker Druid, lançaram um exploit funcional para este vulnerabilidade (http://www.caughq.org/exploits/CAU-EX-2008-0002.txt). Uma curiosidade é que um dos desenvolvedores do exploit (HD Moore) foi vítima de sua própria criação, pois na manhã do dia 29 de Julho a empresa BreakingPoint, onde HD Moore trabalha, teve seu tráfego redirecionado para uma página falsa do Google (http://www.networkworld.com/news/2008/073008-dns-attack-writer-a-victim.html).
Apesar da preocupação inicial gerada pelo alto índice de automação do ataque, uma análise superficial pode sugerir alguma dificuldade na exploração de servidores DNSs bem configurados, aqueles onde usuários externos não tenham capacidade de iniciar consultas DNS. Ocorre que tal análise é falha pois todos os serviços dependem, em maior ou menor grau, do serviço DNS. Qualquer serviço, portanto, pode se tornar "side channel" para o ataque em questão. Cito, em particular, o serviço de e-mail. Neste caso o atacante pode gerar as consultas DNSs necessárias à exploração da vulnerabilidade através do envio de mensagens a contas inexistentes no domínio alvo. Ao receber estas mensagens o servidor de e-mail verificará a inexistência da conta de destino e realizará consultas DNS pelo MX do domínio do atacante de forma a devolver as mensagens ao remetente e gerando, assim, os pacotes necessários ao ataque. As configurações de Firewalls e NATs devem ser verificadas de forma a preservarem o caráter randômico da porta de origem.
Fontes da Web com mais informações
X-Force Database & MSS GTOC AlertCom
http://www.iss.net/threats/298.html
https://webapp.iss.net/gtoc/index.html
http://blogs.iss.net/archive/dnsnat.html
Original Release
http://www.caughq.org/exploits/CAU-EX-2008-0002.txt
Milw0rm Release
http://milw0rm.com/exploits/6122
Metasploit Framework email list archive
http://spool.metasploit.com/pipermail/framework/2008-July/date.html#3528
*List of vulnerable ISPs (older)
http://www.hackerfactor.com/blog/index.php?/archives/204-Poor-DNS.html
NANOG email list archive
The postings on the subject to this list are well worth reading.
http://www.merit.edu/mail.archives/nanog/index.html#09778
Media / Blogs
http://blogs.zdnet.com/security/?p=1545
http://blog.wired.com/27bstroke6/2008/07/dns-exploit-in.html
http://www.circleid.com/posts/87233_dns_attack_code_published/
http://it.slashdot.org/it/08/07/23/231254.shtml
http://www.informationweek.com/blog/main/archives/2008/07/dns_poisoning_v.html
Online DNS testers for testing if one's dns is vulnerable to exploitation
https://www.dns-oarc.net
http://www.doxpara.com
Há uma nova vulnerabilidade que permitem aos hackers manipularem as entradas de DNS através de DNS Cache Poisoning, possibilitando a *manipulação de tradução de nome para endereço IP. A muito tempo não há uma vulnerabilidade multi-plataforma como esta que cause tanta comoção no cenário de segurança, pois esta vulnerabilidade afeta todas as implementações de DNS. Tanta comoção se explica, também, por um segundo fator. O pesquisador que descobriu a vulnerabilidade, Dan Kaminsky (http://www.doxpara.com/?p=1162), *trabalhou em segredo com vários fabricantes - entre eles Microsoft, Cisco, ISC, etc - para a correção. Só em 7 de Julho de 2008 a informação de uma vulnerabilidade de DNS Cache Poisoning veio a público.
Devido a gravidade da descoberta, ele solicitou que a comunidade de segurança não fizesse nenhuma especulação em público, para dar tempo às empresas e órgãos (todos que forem afetados) de aplicarem a correção. Esta solicitação foi interpretada como um desafio por outro pesquisadores. A princípio, Dan liberaria detalhes somente na Blackhat de Agosto próximo, (http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Kaminsky), porém um hacker alemão, chamado Halvar Flake, liberou algumas "especulações corretas" sobre o funcionamento e detalhamento da vulnerabilidade em um BLOG. Estas informações ficaram poucos minutos disponíveis na Internet, pois o POST foi retirado do BLOG. Porém estes poucos minutos foram o suficiente para que a informação se propagasse pela Internet.
Ao final do dia 23 de Julho, o pesquisador HD Moore (autor do Metasploit Framework) e o hacker Druid, lançaram um exploit funcional para este vulnerabilidade (http://www.caughq.org/exploits/CAU-EX-2008-0002.txt). Uma curiosidade é que um dos desenvolvedores do exploit (HD Moore) foi vítima de sua própria criação, pois na manhã do dia 29 de Julho a empresa BreakingPoint, onde HD Moore trabalha, teve seu tráfego redirecionado para uma página falsa do Google (http://www.networkworld.com/news/2008/073008-dns-attack-writer-a-victim.html).
Apesar da preocupação inicial gerada pelo alto índice de automação do ataque, uma análise superficial pode sugerir alguma dificuldade na exploração de servidores DNSs bem configurados, aqueles onde usuários externos não tenham capacidade de iniciar consultas DNS. Ocorre que tal análise é falha pois todos os serviços dependem, em maior ou menor grau, do serviço DNS. Qualquer serviço, portanto, pode se tornar "side channel" para o ataque em questão. Cito, em particular, o serviço de e-mail. Neste caso o atacante pode gerar as consultas DNSs necessárias à exploração da vulnerabilidade através do envio de mensagens a contas inexistentes no domínio alvo. Ao receber estas mensagens o servidor de e-mail verificará a inexistência da conta de destino e realizará consultas DNS pelo MX do domínio do atacante de forma a devolver as mensagens ao remetente e gerando, assim, os pacotes necessários ao ataque. As configurações de Firewalls e NATs devem ser verificadas de forma a preservarem o caráter randômico da porta de origem.
Fontes da Web com mais informações
X-Force Database & MSS GTOC AlertCom
http://www.iss.net/threats/298.html
https://webapp.iss.net/gtoc/index.html
http://blogs.iss.net/archive/dnsnat.html
Original Release
http://www.caughq.org/exploits/CAU-EX-2008-0002.txt
Milw0rm Release
http://milw0rm.com/exploits/6122
Metasploit Framework email list archive
http://spool.metasploit.com/pipermail/framework/2008-July/date.html#3528
*List of vulnerable ISPs (older)
http://www.hackerfactor.com/blog/index.php?/archives/204-Poor-DNS.html
NANOG email list archive
The postings on the subject to this list are well worth reading.
http://www.merit.edu/mail.archives/nanog/index.html#09778
Media / Blogs
http://blogs.zdnet.com/security/?p=1545
http://blog.wired.com/27bstroke6/2008/07/dns-exploit-in.html
http://www.circleid.com/posts/87233_dns_attack_code_published/
http://it.slashdot.org/it/08/07/23/231254.shtml
http://www.informationweek.com/blog/main/archives/2008/07/dns_poisoning_v.html
Online DNS testers for testing if one's dns is vulnerable to exploitation
https://www.dns-oarc.net
http://www.doxpara.com
domingo, 3 de agosto de 2008
Uma nova fronteira para a segurança ?
Computadores cada vez mais potentes, links para Internet cada vez mais rápidos, redes wireless cada vez mais disponíveis e ... usuários cada vez mais vulneráveis. Deixando um pouco de lado o mundo da TI e segurança corporativa, creio que vale a pena refletir sobre o que está acontecendo em nossas casas, e principalmente no que ainda está por vir. Enquanto configurava meu novo playstation 3 para conexão wi-fi à minha rede doméstica e a partir dela a Internet, comecei a me questionar sobre a segurança daquele poderoso computador preto com gabinete futurista à minha frente (sim, o ps3 não é uma simples console de jogos mas um computador poderosíssimo). Os computadores que minha familia usa em casa estão bem protegidos por um personal firewall/IPS em estado paranóico e um Windows travado. Mas, e o ps3, quem o protege? Você pode estar pensando agora “mas quem iria invadir uma console de jogos eletrônicos? Para quê?”. Minha resposta é “por que não?”
Antes de prosseguir é bom lembrar que até o momento o ps3 se mostrou inviolável. Nenhum tentativa bem sucedida foi registrada até o momento, e a verdade é que o seu processador Cell Broadband Engine incorpora funcionalidades de segurança contra ataques que em outros hardware necessitam ser implementados por software. Para quem se interessar segue link de um artigo sobre o tema: http://www-128.ibm.com/developerworks/power/library/pa-cellsecurity.
Voltando à pergunta, por que alguém iria invadir uma console de games? A primeira possibilidade é a utilização do poder de processamento da console para uso em uma eventual rede bot. A segunda seria a busca por informações pessoais, como fotos nele armazenadas e dados pessoais para acesso ou compras via web. Uma rede de bots baseadas em consoles de jogos de última geração seria mais poderosa que uma rede similar baseada em computadores pessoais, e mais difícil de ser percebida. Mas nosso tema central não é a segurança do playstation 3 ou do Xbox 360, e sim a segurança das redes domésticas cada vez mais sofisticadas.
Atualmente a quase todalidade das residências de classe média no Brasil já possuem um computador, que como sabemos baixam de preço na mesmo proporção que ganham poder de processamento. Atualmente muitas famílias possuem mais que um computador, já que muitos pais trabalham com laptops e naturalmente o utilizam em casa, e filhos adolescentes estão ganhando seus próprios computadores para se relacionar, divertir e estudar. A quase totalidade dos lares de classe média acabam também possuindo um link de acesso rápido (e cada vez mais rápido) com a Internet. A equação N computadores para 1 link se resolve com uma rede, e a rede mais fácil hoje em dia para se instalar é uma rede wi-fi, não por coincidência também a cada ano mais potente e rápida.
Outros dispositivos estão rapidamente se conectando a essas redes, ainda não no Brasil, é verdade, mas por pura questão de tempo. Um tipo de equipamento com tudo para se tornar muito popular é set-top box conectado à Internet para download de filmes, como o Apple TV. Algumas pessoas estão também conectando sua TV a computadores pessoais, e estes, claro, conectados à rede sem-fio. Dispositivos de música como o novo modelo de Ipod também se conectam por wifi e assim vamos até chegar aos eletrodomésticos com acesso a Internet, como as geladeiras e micro-ondas, ainda caros e privilégio para poucos, mas como as TVs de LCD há alguns (poucos) anos atrás, hoje acessíveis para muitos. Em comum todos esses equipamentos eletrônicos e eletrodomésticos possuem computadores neles embutidos embutidos, com seus respectivos sistemas operacionais, os embedded operating systems.
Sistemas computacionais embutidos não são nenhuma novidade. Existem em nossos carros, em máquinas de café, em elevadores e por toda a parte. Agora, esses equipamentos em nossa casa conectados o tempo todo na Internet é outra estória. Essas redes residenciais são hoje, e continuarão a ser no futuro, geridas por pessoas sem a menor idéia de como protegê-las, até porque nem todo mundo é ou será especialista em informática. Imaginem uma dona de casa dizendo à vizinha que antes de sair precisa iniciar o download da última versão de sua geladeira! Parece piada, mas imaginem em um futuro próximo uma botnet baseada em milhões de geladeiras, realizando processamento para quebra de senhas ou ataques denial of service contra algum alvo. Pode ser futurista, mas não é nenhuma piada. Sistemas operacionais embutidos conectados à rede já são um problema de segurança em muitas empresas, principalmente porque não estão sujeitos aos mesmos controles que os computadores normais, embora possuam os mesmos tipos de acesso e as mesmas vulnerabilidades. Um problema real é o de um ataque denial of service que pode prejudicar ou retirar de funcionamento sistemas de elevadores, de telefonia ou, pior, equipamentos hospitalares. Além de não estarem sujeitos ao mesmos controles, muitos equipamentos nunca são atualizados, seja por falha de seus fabricantes ou de seus usuários. E muitos desses sistemas operacionais estão baseados em versões de sistemas operacionais comuns como o Linux, conhecidos e vulneráveis quando desatualizados.
Os usuários domésticos em muito breve estarão sujeitos aos mesmos desafios, porém com menos conhecimento e recursos que empresas. Será que daqui há cinco ou dez anos as pessoas estarão mais cientes dos riscos e saberão como se proteger? Eu aposto que não, porque nos últimos cinco anos a situação evoluiu muito pouco, enquanto a tecnologia e a conectividade a cada ano evoluem mais. Quando penso nisso me lembro de meu vizinho, que não conheço, com sua rede wi-fi de nome “default” e sempre disponível sem configuração nenhuma de segurança, aberta a todos, para deleite de alguns “espertos” que podem acessar a Internet sem pagar nada.
Antes de prosseguir é bom lembrar que até o momento o ps3 se mostrou inviolável. Nenhum tentativa bem sucedida foi registrada até o momento, e a verdade é que o seu processador Cell Broadband Engine incorpora funcionalidades de segurança contra ataques que em outros hardware necessitam ser implementados por software. Para quem se interessar segue link de um artigo sobre o tema: http://www-128.ibm.com/developerworks/power/library/pa-cellsecurity.
Voltando à pergunta, por que alguém iria invadir uma console de games? A primeira possibilidade é a utilização do poder de processamento da console para uso em uma eventual rede bot. A segunda seria a busca por informações pessoais, como fotos nele armazenadas e dados pessoais para acesso ou compras via web. Uma rede de bots baseadas em consoles de jogos de última geração seria mais poderosa que uma rede similar baseada em computadores pessoais, e mais difícil de ser percebida. Mas nosso tema central não é a segurança do playstation 3 ou do Xbox 360, e sim a segurança das redes domésticas cada vez mais sofisticadas.
Atualmente a quase todalidade das residências de classe média no Brasil já possuem um computador, que como sabemos baixam de preço na mesmo proporção que ganham poder de processamento. Atualmente muitas famílias possuem mais que um computador, já que muitos pais trabalham com laptops e naturalmente o utilizam em casa, e filhos adolescentes estão ganhando seus próprios computadores para se relacionar, divertir e estudar. A quase totalidade dos lares de classe média acabam também possuindo um link de acesso rápido (e cada vez mais rápido) com a Internet. A equação N computadores para 1 link se resolve com uma rede, e a rede mais fácil hoje em dia para se instalar é uma rede wi-fi, não por coincidência também a cada ano mais potente e rápida.
Outros dispositivos estão rapidamente se conectando a essas redes, ainda não no Brasil, é verdade, mas por pura questão de tempo. Um tipo de equipamento com tudo para se tornar muito popular é set-top box conectado à Internet para download de filmes, como o Apple TV. Algumas pessoas estão também conectando sua TV a computadores pessoais, e estes, claro, conectados à rede sem-fio. Dispositivos de música como o novo modelo de Ipod também se conectam por wifi e assim vamos até chegar aos eletrodomésticos com acesso a Internet, como as geladeiras e micro-ondas, ainda caros e privilégio para poucos, mas como as TVs de LCD há alguns (poucos) anos atrás, hoje acessíveis para muitos. Em comum todos esses equipamentos eletrônicos e eletrodomésticos possuem computadores neles embutidos embutidos, com seus respectivos sistemas operacionais, os embedded operating systems.
Sistemas computacionais embutidos não são nenhuma novidade. Existem em nossos carros, em máquinas de café, em elevadores e por toda a parte. Agora, esses equipamentos em nossa casa conectados o tempo todo na Internet é outra estória. Essas redes residenciais são hoje, e continuarão a ser no futuro, geridas por pessoas sem a menor idéia de como protegê-las, até porque nem todo mundo é ou será especialista em informática. Imaginem uma dona de casa dizendo à vizinha que antes de sair precisa iniciar o download da última versão de sua geladeira! Parece piada, mas imaginem em um futuro próximo uma botnet baseada em milhões de geladeiras, realizando processamento para quebra de senhas ou ataques denial of service contra algum alvo. Pode ser futurista, mas não é nenhuma piada. Sistemas operacionais embutidos conectados à rede já são um problema de segurança em muitas empresas, principalmente porque não estão sujeitos aos mesmos controles que os computadores normais, embora possuam os mesmos tipos de acesso e as mesmas vulnerabilidades. Um problema real é o de um ataque denial of service que pode prejudicar ou retirar de funcionamento sistemas de elevadores, de telefonia ou, pior, equipamentos hospitalares. Além de não estarem sujeitos ao mesmos controles, muitos equipamentos nunca são atualizados, seja por falha de seus fabricantes ou de seus usuários. E muitos desses sistemas operacionais estão baseados em versões de sistemas operacionais comuns como o Linux, conhecidos e vulneráveis quando desatualizados.
Os usuários domésticos em muito breve estarão sujeitos aos mesmos desafios, porém com menos conhecimento e recursos que empresas. Será que daqui há cinco ou dez anos as pessoas estarão mais cientes dos riscos e saberão como se proteger? Eu aposto que não, porque nos últimos cinco anos a situação evoluiu muito pouco, enquanto a tecnologia e a conectividade a cada ano evoluem mais. Quando penso nisso me lembro de meu vizinho, que não conheço, com sua rede wi-fi de nome “default” e sempre disponível sem configuração nenhuma de segurança, aberta a todos, para deleite de alguns “espertos” que podem acessar a Internet sem pagar nada.
Assinar:
Postagens (Atom)