Segurança Importa ? - Who Cares ?

Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

terça-feira, 9 de junho de 2020

E o copo caiu.

Dia vem, dia vai e os problemas continuam os mesmos.

 Nos últimos anos temos visto uma mudança de ATOR de problema.
#QUEMNUNCA ligou para um HelpDesk e ouviu "a culpa é do sistema", "O sistema esta lento" . E essa desculpa vai de padarias a instituições financeiras. Tenho certeza que o sistema de cobra JUROS não fica lento...
Depois do advento dos provedores de CLOUD e de infraestrutura que se adapta ao volume (cresce ou diminui processamento, memória, armazenamento), sistemas "elásticos", ouvir que um sistema está lento é sinônimo de INCOMPETÊNCIA. Não importa de quem, mas é .(da para achar muitos culpados aqui)
Infelizmente essa DESCULPA ainda é aceita por muitos executivos que talvez sem o conhecimento técnico atual, ficam pensando nas antigas máquinas de escrever e nas cópias em carbono.

Agora alem dos pobres dos sistemas, aparece outro ator, o HACKER.
"Nossos sistemas estão inoperantes, pois fomos vítimas de Hackers".
Mais uma vez um ator que não pode se defender leva a culpa pela incompetência de outros. (e o pessoal acha bonito)
Ninguém diz a verdade (alguém quer ouvir ? acho que não),

  • Ninguém fala dos anos de abandono das áreas de TI
  • Da falta de investimento em manutenção
  • Nos desenvolvedores mal treinados
  • Das maquinas obsoletas
  • Dos sistemas e softwares desatualizados e esquecidos
  • A lista é enorme ......

Como justificar

  • SMB exposto na Internet, em máquinas quem fazem ponte com a  rede interna
  • Acessos remotos ("Remote Desktop", SSH, etc)  exposto na Internet e não monitorado
  • Senhas padrão ....
  • A lista é enorme ....

um grande ferro velho, mas como já dizia o ditado... "em time que esta ganhando não se meche !"

As empresas insistem e continuam contratando "profissionais" (independente do nível), que não conhecem a tecnologia e o negócio, mas tem ótima apresentação e carreira meteórica. Nova geração, de estagiário à especialista em 2 anos. Engenheiros e Pentesters sem base técnica. E "responsáveis" pela área de segurança, sem experiencia ou vivência em SEGURANÇA digital.
Como o nome do Blog diz ... " Segurança Importa ?"
.
Difícil né ?

Agora já esta ficando até comum ler "Fomos Vítimas de HACKERs" que  fizeram alguma coisa em nossos sistemas.
Troquemos agora o termo HAKERs, por ALIENs, a frase continua fazendo todo sentido, talvez até mais sentido.

Estamos longe de ler a verdade ... "Fomos vítimas de nossa própria incompetência e morosidade e deixamos a porta aberta para isso acontecer "

Aliens, Bots, Copos, Hackers, Sistemas, Malwares(virus de computador) está na hora de vocês se pronunciarem e pararem de levar a culpa quietos.... (As vezes os Hackers expõe)

Tartarugas não sobem em postes, elas necessitam de ajuda.
Copos não caem sozinhos, eles necessitam de ajuda.
Uma cotovelada aqui, um empurrão ali, talvez até um terremoto, porem, copo não comete suicídio.

Parabéns a todas empresas e pessoas que colocam a culpa no COPO.

A pergunta continua .....  Segurança Importa ?

segunda-feira, 27 de março de 2017

Deveriam os índio se preocupar com a falta de roupa ?


Quando os portugueses chegaram ao Brasil, os índios não usavam roupa e isso para eles era normal. Suas casas (ocas) não tinham portas, e isso era normal. Culturalmente isso (é) era normal e todos acreditavam e respeitavam essa situação. Depois da chegada dos portugueses alguns costumes forma impostos e depois de um tempo, aceitos como normal.
Faria sentido um índio reclamar que alguém viu a porta aberta (de alguma coisa que não tinha porta ?)  

Atendi uma empresa com suspeita de vazamento de informações (externo/hacking). Após a auditoria verificamos que seu perímetro não era o problema, e sim sua rede interna. Sem controles, todos os usuários eram administradores nas maquinas, com acesso ilimitado a dispositivos USB ,  sistemas, bancos de dados e repositórios, também compartilhavam todas as senhas. Até aqui, nada de mais. :-)

Após a análise, recomendações e entrega de relatórios, fui questionado de como os dados dessa empresa seriam tratados por mim. ( nasceu um especialista, preocupado do dia para a noite )

Fiquei imaginando, porque um cidadão que nunca tomou conta de nada me faria uma pergunta dessas... Pensei em todas piadas sobre tomar ou não conta do que é seu.

Para finalizar e evitar problemas apaguei os dados e fragmentei os documentos que estavam em minha posse.


O mundo corporativo é um mundo interessante, pessoas no desespero de se esconder atrás de suas limitações, acabam tentando jogar a culpa em outros, tentando forçadamente mudar os holofotes de lugar.

Segurança importa?  Alguem se importa? 

terça-feira, 24 de maio de 2016

Vazamento de senhas do Linkedin v2016


Semana passada uma ocorrência de 2012 voltou as manchetes (http://thehackernews.com/2016/05/linkedin-account-hack.html) .

Em 2012 o LinkedIn sofreu ataque onde de acordo com as informações o dados de 6 milhões de pessoas haviam vazado, esse dados incluiam os logins e as senhas cifradas.

Semana passada por volta do dia 18 de maio, apareceu a venda na DeepWeb uma base do LinkedIn contendo nada menos que 167 milhões de contas sendo que   117 milhões das senhas já foram "crackeadas". ( significa que sua senha provavelmente já foi descoberta )

Alguns sites publicaram as senhas mais utilizadas e suas frequencias, que aqui reproduzo .

Rank Password Frequency
1 123456 753,305
2 linkedin 172,523
3 password 144,458
4 123456789 94,314
5 12345678 63,769
6 111111 57,210
7 1234567 49,652
8 sunshine 39,118
9 qwerty 37,538
10 654321 33,854
11 000000 32,490
12 password1 30,981
13 abc123 30,398
14 charlie 28,049
15 linked 25,334
16 maggie 23,892
17 michael 23,075
18 666666 22,888
19 princess 22,122
20 123123 21,826
21 iloveyou 20,251
22 1234567890 19,575
23 Linkedin1 19,441
24 daniel 19,184
25 bailey 18,805
26 welcome 18,504
27 buster 18,395
28 Passw0rd 18,208
29 baseball 17,858
30 shadow 17,781
31 121212 17,134
32 hannah 17,040
33 monkey 16,958
34 thomas 16,789
35 summer 16,652
36 george 16,620
37 harley 16,275
38 222222 16,165
39 jessica 16,088
40 GINGER 16,040
41 michelle 16,024
42 abcdef 15,938
43 sophie 15,884
44 jordan 15,839
45 freedom 15,793
46 555555 15,664
47 tigger 15,658
48 joshua 15,628
49 pepper 15,610

( fonte: https://www.leakedsource.com/blog/linkedin )

Ai, decidi ver as "estatísticas" de uma forma diferente. Quais seriam as teclas mais utilizadas nas senhas ?
Fiz um programa em PHP para ler um arquivo de palavras e gerar um gráfico, e o resultado está aqui.


Nesse exemplo eu usei somente uma vez cada senha. (eu não coloquei 750 mil vezes a senha "123456")

Acredito que deveriamos ter uma distribuição mais homogenea. (tentarei futuramente com mais senhas)

Como desafio, tente usar menos as letras E R I O A S L N e os números 1 e 2 nas suas próximas senhas. ( será que conseguimos algum anagrama interessante com essas letras ? )

Resumo: Não adianta ter criptografia de curva Elíptica, se as pessoas tem memória fraca (e isso inclui votar nos mesmos políticos ruins) . Quando e como iremos substituir as senhas ? (pelo menos esse tipo de senha ? )

(Para que serve isso ?  Talvez para sair um pouco do obvio e mostar algo diferente para os gerentes e clientes.)

Em tempo: Recebi do LinkedIn uma simpatica mensagem solicitando a troca da minha senha. Nã, minha senha não está nessa lista !  Não, não é phishing ! É real.
Eu já troquei e voce ? ( só não vai colocar a mesma tentanto iludir o bandido ... )

Segurança Importa ?

quarta-feira, 30 de março de 2016

Como escolher uma solução Anti-Malware / Anti-Virus

Uma coisa que sempre vejo em diversas listas, foruns e grupos, são pessoas pedindo dicas de qual anti-malware eles devem usar.
Primeiramente e tecnicamente, existe uma diferença entre cada um dos tipos de ameaças, virus, worms, cavalos de troia, etc e o nome "Anti-Malware" engloba todas as classes de softwares maliciosos. Dizer anti-virus, não esta errado, pois todas as soluções continuam fazendo esse serviço, porem dizer anti-malware deixa o escopo mais completo.

Como as escolhas são feitas
Não conheço nenhuma empresa que tenha escolhido sua solução anti-malware baseado em um teste real de detecção. (principalmente porque poucos são capazes de conduzir esse tipo de teste)
  • Posicionamento no quadrado mágico do Gartner
    • Existem varios fatores que influenciam no posicionamento das empresas, nem sempre detecção é um deles.
  • Dicas de algum sobrinho
    • Sempre tem um esperto por perto sabendo de todos os assuntos 
  • Amizades 
    • Durante um Jogo de Golf, um executivo pergunta para o outro e pensa ... Se a empresa dele usa, deve ser bom, vou usar tambem!
  • Viagens 
    • Atitudes "um pouco" agressivas de algumas empresasa/revendas
  • Brindes
Como as escolhas deveriam ser feitas
Uma boa escolha deve começar com perguntas, perguntas a serem respondidas internamente.
As primeiras perguntas deveriam ser "contra quem estou lutando" ou  "qual o objetivo ?"
Poucas são as empresas ( leia-se os ditos "profissonais" que trabalham nessas empresas) que sabem exatamente o motivo da escolha de uma solução ou outra.
Leve em conta fatores como :
  • Tempo de resposta 
    • Talvez voce só descubra esse, depois de um problema
  • Quem irá te atender em caso de problemas ?
    • A empresa do Anti-Malware, a revenda, o suporte terceirizado ou o sobrinho ?
  • Tem time técnico de análise no Brasil ?
    • Por curiosidade, vale perguntar onde estão os laboratórios técnicos das empresas
  • Tem interface de administração amigavel 
  • Quais as outras ferramentas incluidas no pacote ?
    • Elas podem conflitar com alguma outra solução ja existente ?
  • Sua empresa tem alguma restrição com algum fornecedor ?
    • Não podemos esquecer que os forncedores seguem as politicas de privacidade dos seus paises de origem.
  • Quer fazer o teste de detecção ? Contrate um consultor especializado e neutro.
Gratis vs Pago
Algumas empresas oferecem versões gratis e pagas de seus produtos.
Normalmente o "Motor" da ferramenta é o mesmo, o que varia é o conjunto de regras, onde o usuário assinante (pagante) recebe as regras logo que são lançadas e os usuário da versão gratis, algum tempo depois ( uma ou duas semanas ).
Sendo assim o tempo de exposição de quem usa a solução gratis é bem maior.
( existem ainda versões com funções reduzidas, porem o motor continua sendo o mesmo )

Fatos

  • Não existe bala de prata.
  • As maiores empresas de anti-virus são estrangeiras e o faturamento do Brasil como um todo não impacta as operações dessas empresas. Voce acredita que elas darão foco no mercado nacional ? (Aposto que o vendedor vai dizer que sim ...)
  • Todas as grandes empresas de AV compartilham "malwares" assim se uma empresa é capaz de detectar um malware hoje, a outra empresas concorrente (se quiser) será capaz de detectar o mesmo malware amanhã.
  • Algumas empresas não desenvolvem, nem analisam nada. Simplemente pagam para usar o "motor" de outra empresa, mas colocando seu proprio nome . ( sim, voce tambem pode ter um anti-virus com o seu nome )


Melhores soluções
A melhor solução é aquela que te atende.

Resumo
Escolha, mas saiba justificar sua escolha.

Minha dica
Se voce não sabe nem o que esta procurtando, use qualquer um. Qualquer um é melhor que nada.

Segurança Importa ?


segunda-feira, 6 de abril de 2015

Video Game Virtual, Missão Real.

Em uma lista que participo, um amigo postou o seguinte link / video, onde o governo americano mostra um F-16 voando sem piloto ( controle remoto )


Agora, pensemos no seguinte ...

Novela de ficção, porem muito proxima da realidade.

Governos começa a monitorar os jogos online em busca  otimos pilotos  e estratejistas .

Voce começa a jogar seu simulado preferido e aparerece uma mensagem sobre uma missão especial que se voce passar, ganhará 1000 moedas ...
1. entre no espaço aereo inimigo sem ser notado
2. gaste o minimo possivel de munição
3. destrua o alvo
4. volte para a base

O que voce não sabe é que essa missão só existe para voce , e que em vez de jogar um simulador, esta pilotando um drone de verdade .
Voce completa a missão, volta com sua nave, ganha mais uma estrelinha no jogo e suas 1000 moedas .
O governo atingiu o objetivo dele de maos limpas .
Voce esta de conciencia tranquila, pois foi só mais uma missão do jogo ....

Quanto longe estamos disso ?

Lembrei da historia de um jornalista escrevendo uma materia sobre jogos.
Ele começa a jogar um jogo de tiro em primeira pessoa, porem devido a sua idade ( mais de 40 ) e pouca experiencia em video games, sempre morre.
De repente aparece no jogo, no time dele, alguem que parecia ser o "mestre da estratégia", que resolve ajuda-lo, dando dicas e explicando o funcionamento do jogo .
O "mestre" da estratégia, corria pulava, preceria desviar das balas no video game, mostrava, onde se esconder, quais armas eram melhoras para cada tipo de situação, etc . O jornalista ficou impressionado com tal capacidade de jogou horas com o "mestre".
Em determinado momento o "mestre" dissse que necessitava dormir, pois sua mãe estava chamando.
O jornalista ficou pensativo sobre o que acabara de ouvir e perguntou quantos anos o "mestre"  tinha.
O "mestre" respondeu .. " 14 e voce ? "
O jornalista respondeu "13" e desconectou ...

Estamos longe disso ?

Segurança importa ?

Abraços

terça-feira, 27 de janeiro de 2015

Quem esta ligando ?

Quem esta ligando ?

Todos nós já recebemos ligações vindas de call centers, onde a pessoa se identifica com um nome genérico (geralmente dois nomes próprios, sem sobrenome) e começa a falar, tudo em um único folego.
A pessoa diz o nome da empresa a qual representa e já quer confirmar seus dados, por motivos de segurança (segurança de quem ?).

Supondo que a oferta feita seja muito interessante, e que voce por algum problema não pode concretizar o atendimento....  voce NÃO pode ligar novamente. São sempre eles que originam a ligação.

Não sei quem inventou essa politica ridícula, porem voce realmente sabe quem te ligou ?

Infelizmente nossos dados ja foram vazados a muito tempo e esta disponíveis em CDs a venda em algumas capitais. CDs com cados da Receita Federal, ou da "Telefônica". Alguns dados, podem ser antigos, porem outros não mudam,(nome, RG, CPF, nome do Pai e nome da Mãe) ou mudam pouco (endereço)

Se voce tem interesse e desejar retornara ligação para questionar algo, comprar um produto ou serviço, não pode. Os números de origem são programados para não receber ligações.

Ridículo isso.  Mas alguém sempre tem uma explicação.
Uma delas é que os centros de Call center são (podem ser) compartilhados, onde a empresa compraria posições de atendimento. Sendo assim, voce poderia ter dentro da mesma sala atendimento para um Banco, para uma operadora de celulares, empresa aérea, tv por assinatura ou qualquer outra.

Nada de errado nisso, porem se eles tem os seus dados e o poder de validar voce, porque voce não pode validar quem esta te ligando ?

As empresas podem configurar ou não o número de saída, programando-o para não receber ligações (de entrada)

Algumas DICAS para essas empresas INCOMPETENTES no atendimento e sem respeito pelo cliente. (sim estou falando de todas, de quem compra o serviço e de quem vende)


Para quem vende.
Uma solução bem simples, seria colocar uma mensagem, no número de saída (número que aparece quando alguém te liga), explicando quais os clientes essas empresa atende, e o números para contacta-las de volta.

Para quem compra
Colocar em seu site, uma lista dos números por onde voce, cliente, poderá receber ligações com ofertas .

Outros detalhes devem ser tratados entre essas empresas, e não entre o consumidor e o atendente, o que geralmente acontece, gerando aborrecimentos para todos os lados.

Se voce procurar esses números de saída na internet, verá um monte de gente reclamando sobre ligações que não completam, sobre ligações de madrugada, etc .

Se existe uma lista das empresas x telefones, por favor compartilhe com a gente.

Ainda fico me perguntando porque um banco (por exemplo) se esconde atras de um número que até os funcionários desconhecem ? Vergonha ? Incompetência ?

Parabéns empresas !!

Parei de escutar essas ligações.
Qualquer um pode se fazer passar com um atendente de Call Center, incluindo toda a população dos presídios brasileiros.

Cuidado.
Da próxima vez que ligar para um call center, tenha certeza que digitou (discou) o número certo .
Da próxima vez que receber ligações, não confirme seus dados, voce não sabe para quem esta confirmando esses dados, pode ser mais um caso de vazamento de informações e voce será o felizardo em ajudar o bandido.

Segurança Importa ?

sexta-feira, 3 de outubro de 2014

Até que ponto chegamos....

Fui accessar um site de phishing hoje e tive uma surpresa.

A figura e o texto podem ser visto abaixo.





"Blindagem Anntrax Coder Terror Dos baqueiros Se os Politicos Roubam , Nos Vai Roubar um Pouquinho"

A pagina de phishing em si, não estava mais no ar, porem em época de eleição  vale a mensagem e a "charge".

Abraços