Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.

sexta-feira, 20 de março de 2009

Contra-ataque e ética.

A Network World publicou essa semana um artigo muito interessante de M. E. Kabay, "Kraken the botnet: The ethics of counter-hacking" ( http://www.networkworld.com/newsletters/sec/2009/031609sec1.html?tc=sec ) onde o autor discute a ética do contra-ataque usando um fato ocorrido na Tipping Point, cuja direção não permitiu que seu grupo de pesquisa criasse uma ferramenta automática de limpeza do bot Kraken, o qual iria eliminar o programa malicioso de milhares de computadores infectados, porém sem avisar o usuário. Vale a pena a leitura e pensar no assunto.

domingo, 8 de março de 2009

Criador de botnet é sentenciado nos Estados Unidos

Saiu na ComputerWorld americana e no IDGNow aqui no Brasil que a justiça america condenou John Schiefer, que infectou 150 mil computadores e foi acusado em 2007, a quatro anos de prisão mais multas. A noticia completa está em http://idgnow.uol.com.br/internet/2009/03/06/lider-de-rede-bot-pega-4-anos-de-prisao-por-roubo-de-dados-nos-eua/

Schiefer trabalhava como consultor de segurança em Los Angeles, nos Estados Unidos. É de se pensar o que leva um sujeito com um bom emprego a cometer fraudes. Assim como é de se pensar o alcance e poder das redes bot atuais. Outra noticia a respeito de Schiefer falava em 250 mil computadores infectados, com sucesso na interceptação e roubo de credenciais de usuários. Considero hoje as redes bot como o maior problema da segurança digital, e deve ser o principal foco dos administradores de segurança.

quinta-feira, 5 de março de 2009

Segurança para Redes 3G

As redes de telefonia móvel se mantiveram nos últimos anos a margem das discussões de segurança e proteção de redes. Mas o tempo em que a única ameaça a elas era a clonagem de celulares parece ter chegado ao fim. A causa dessa mudança é a chegada das redes 3G e a massificação das redes 2.5G, que tornaram as operadoras de telefonia celular verdadeiros provedores de Internet. Ademais o 3G pode causar um efeito semelhante ao causado pelo acesso residencial em banda larga, popularizando o uso da Internet móvel, atraindo negócios e, como é inevitável, hackers.

Uma rede 3G, apesar de diferente de uma rede local ou corporativa, também está fortemente baseada nos serviços e protocolos IP. Podemos dizer que o mundo 3G é em realidade um mundo IP, com todas as suas vantagens e desvantagens, nesse caso vulnerabilidades e fragilidades em sua arquitetura de segurança. O seu principal protocolo, GTP (GPRS Tunneling Protocol), que encapsula o protocolo IP, foi criado sem muitas preocupações com segurança. Não há nenhum nível de autenticação, verificação de integridade de protocolo ou dados, ou mecanismos de proteção de confidencialidade, como criptografia. Em segurança isso tem uma significado claro: ataques sem dificuldade.

Aos poucos as redes móveis vão ficando parecidas com suas similares cabeadas e semfio também nos dispositivos de acesso. Há três tipos principais de dispositivos: telefones “comuns”, smartphones/PDAs e laptops. Dos últimos não é necessário falar muito. Todos rodam sistemas operacionais com vulnerabilidades (seja Windows, Linux ou MacOS) e que podem ser utilizados por hackers diretamente ou como hospedeiros para ataques. Já os smartphones e PDAs estão cada vez mais próximos de um computador comum, apesar de rodarem sistemas operacionais específicos e menos visados. Entretanto, desde já esses dispositivos podem ser usados para lançar ataques, ou ser infectados via técnicas hoje comuns aos usuários de computadores, como os downloads involuntários.

O primeiro impacto às redes 3G vem da sua incapacidade em eliminar tráfego indesejado. É possível configurar alguns filtros de acesso, porém sem a granularidade e poder suficiente para separar o joio do trigo. A consequência é o desperdício de largura de banda com os investimentos decorrentes em infraestrutura para manter a qualidade da conexão dos usuários. Em situações extremas esse tráfego indesejado pode causar lentidão, prejudicando o acesso, e até queda de serviço, no que seria um ataque DoS – denial of service. O nível de vulnerabilidade dos componentes de uma rede 3G ao DoS é o mesmo dos componentes de uma rede local, e até worms típicos de redes locais podem também causar problemas de uso exagerado de banda no backbone da rede móvel.

Outro ataque que preocupa as operadoras é o over-billing, uma espécie de clonagem moderna, mais elaborada e mais dificil de impedir. Nesse ataque o fraudador utiliza a rede e faz downloads utilizando-se da conexão de um usuário da operadora, que no final é cobrado, ou vê sua franquia utilizada. O over-billing é bem mais dificil de detectar e ser percebido. Enquanto na clonagem fica claro que alguém usou seu telefone para chamadas que você não fez, nessa nova fraude o uso indevido fica oculto dentro do plano de dados, normalmente vendido em megabytes.

A proteção de uma rede 3G também não é muito diferente do que estamos acostumados. As principais tecnologias de defesa são sistemas de firewall, detecção e prevenção de intrusos, e detectores de anomalias de tráfego. A diferença é que a esses sistemas se requer o suporte e decodificação dos protocolos utilizados na rede 3G, como o GTP. Definir a localização dos dispositivos também não é complicada. Em geral as redes 3G possuem dois pontos de perímetro: um com a Internet e outro com redes de outras operadoras, possibilitando o roaming.

A conexão entre o core da rede 3G e a Internet ou outras redes IP externas chama-se Gi e é na prática uma conexão IP normal, e mesmo sistemas firewall e IPS tradicionais podem ser instalados nesse ponto. Já a conexão com outras operadoras chama-se Gp e nele se requer suporte ao protocolo GTP. O roaming é um elemento de risco inerente ao negócio da telefonica móvel, já que as redes das operadoras necessitam estar abertas e conectadas a outras operadoras, assim é essencial manter o core da rede protegido de outras redes problemáticas.
Um terceiro ponto passível de monitoração é o backbone da rede, chamado de Gn. A instalação de sistemas de análise de anomalias, firewalls e IPS nesse ponto complementa a segurança e dá ao administrador maior visibilidade e controle sobre o tráfego.

Embora aparentemente seja simples saber o que deve ser feito, instalar mecanismos de proteção e monitoramento em uma rede 2.5/3G é uma operação delicada, já que estamos falando do core da rede de serviços. Um erro de configuração pode causar panes e problemas que afetariam diretamente a operadora e seu negócio, com prejuizos imediatos. Os requerimentos portanto, são muito mais rigídos do que os utilizados para a proteção das redes corporativas. Além disso os requerimentos de capacidade de tráfego são maiores, e a taxa de crescimento da largura de banda, muito maior. Itens como alta-disponibilidade, tolerância a falhas, self-healing e resiliência são mais do que pré-requisitos. Apesar desses desafios, em um negócio tão competitivo como o da telefonia móvel, a segurança pode ser não apenas uma ferramenta para evitar problemas como um importante aliado para a melhoria da eficiência operacional e para o próprio negócio.