No último dia 12 alguns hackers nos Estados Unidos decidiram fazer uma piada, invadiram o sistema de aviso de emergências (emergency broadcast system) em vários estados e publicaram um alarme para um ataque apocalíptico de zumbis. A esse sistema estão conectados redes de televisão e comunicações, que retransmitem os alertas. A noticia pode ser lida em vários fontes, entre elas a Reuters - http://www.reuters.com/article/2013/02/12/us-usa-zombie-montana-idUSBRE91B1IA20130212.
Aparentemente (ainda bem) ninguém levou a sério a ameaça mas fico imaginando como seria se o alarme se relacionasse a ameaças reais, como tornados, vazamento de gases tóxicos ou nuclear. Com certeza haveria pânico e confusão.
Infelizmente a realidade dos equipamentos com sistemas embutidos (embedded systems), como esses sistemas de aviso invadidos, é lamentável. Por sistemas embutidos (a tradução aqui é minha) entendemos equipamentos diversos, mas não de computação, que contém um sistema operacional e que são controláveis por computador, e muitas vezes com acesso via rede. Hoje eles estão em toda parte e o exemplo mais próximo de nós são as smart-TVs. Mas há muitos outros que passam desapercebidos como sistemas hospitalares, prédios inteligentes, máquinas industriais, centrais telefônicas, etc. Infelizmente a grande maioria possui vulnerabilidades antigas e nunca corrigidas, usam senhas padrão ou muito fáceis, e por fim não possuem proteção para ataques a partir da rede. Muitos nem estão no radar das equipes de segurança como sistemas a proteger, independente do risco que representam para os negócios dessas empresas.
sexta-feira, 15 de fevereiro de 2013
terça-feira, 5 de fevereiro de 2013
Ser ou não ser...
Andei lendo algumas discussões em blogs sobre duas antigas afirmações que viraram chavões em segurança. Uma delas é "segurança é um processo" e a outra é o famoso "pessoas, processos e tecnologia". Pensando um pouco poderia listar outras mas fiquemos por aqui. Em resumo se está discutindo se elas são ainda válidas. Antes de entrar no mérito é importante discutir outro conceito importante: contexto, aqui em seu sentido literal. Essas frases foram cunhadas há uma década mais ou menos, e faziam parte de um contexto em algum trabalho de seus autores. Ninguém acordou e declarou solenemente "segurança é um processo". Ok, atualmente isso é possível acontecer, via o twitter, mas há dez anos não. É por isso que há tanta besteira sendo escrita por aí.
Assim acho um pouco sem sentido discuti-las sem levar em consideração não só o contexto em que elas foram formuladas como também todo o ambiente de risco da época. Mas é natural que algo tenha mudado, pois dez anos atrás as ameaças e o volume de dados nas redes era completamente outros. Não se pode proteger redes e dados hoje em dia com os mesmos princípios do inicio da década passada. Outro ponto é que essas afirmações são genéricas demais e cada pessoa pode dar a interpretação que entende.
Duvido que nossos inimigos percam tempo discutindo os "princípios filosóficos" para a criação e controle de uma botnet. Eles partem para ação usando as pessoas (incluo aqui as vítimas), as tecnologias apropriadas e os processos necessários para seu sucesso. Se faltar uma tecnologia que ela seja adicionada ou desenvolvida. Se um processo deu errado que seja então alterado. E por ai vai. Estou simplificando muito? Talvez, mas segurança de TI já é complicado demais para que nós a dificultemos.
Assim acho um pouco sem sentido discuti-las sem levar em consideração não só o contexto em que elas foram formuladas como também todo o ambiente de risco da época. Mas é natural que algo tenha mudado, pois dez anos atrás as ameaças e o volume de dados nas redes era completamente outros. Não se pode proteger redes e dados hoje em dia com os mesmos princípios do inicio da década passada. Outro ponto é que essas afirmações são genéricas demais e cada pessoa pode dar a interpretação que entende.
Duvido que nossos inimigos percam tempo discutindo os "princípios filosóficos" para a criação e controle de uma botnet. Eles partem para ação usando as pessoas (incluo aqui as vítimas), as tecnologias apropriadas e os processos necessários para seu sucesso. Se faltar uma tecnologia que ela seja adicionada ou desenvolvida. Se um processo deu errado que seja então alterado. E por ai vai. Estou simplificando muito? Talvez, mas segurança de TI já é complicado demais para que nós a dificultemos.
segunda-feira, 4 de fevereiro de 2013
10 anos do Slammer
No último dia 25 o ataque do Slammer fez dez anos. Vale a leitura do artigo de Robert Graham no blog da Errata Security: http://erratasec.blogspot.com.br/2013/01/10-years-of-slammer-one-retrospective.html
Assinar:
Postagens (Atom)