A muitos anos atras ... em um curso sobre segurança da informação e risco (que foi um fracasso) me deparei com o seguinte debate ...
Uma das pessoas que estava fazendo o curso, disse abertamente ( e mostrou ) que tinha um "post-it" anexado a cada cartão de credito na carteira. O post-it tinha a senha do cartão.
As pessoas em volta, ficaram malucas, como podia um profissional em segurança, fazer uma coisa daqueles.
A explicação foi muito simples, a pessoa já havia passado por um sequestro relampago e quase morreu por não lembrar a senha. Assim decidiu escreve-las. No caso de qualquer complicação o proprio assaltante poderia usa-la sem "stress".
A justificativa estava na analise de Risco . Nenhum valor vale o risco de morte. A pessoa em questão tinha ainda a seguinte pratica, possuia uma conta sem limites e com no maximo R$ 500,00 , e era com esse cartão que ele andava todo o dia. Dinheiro mais do que suficiente para comida, combustivel, etc ( necessidades basicas do dia a dia ).
Em um outro caso, durante um seqüestro relampago também, a vitima tinha a foto da filha no celular. A vitima foi ameaçada utilizando esse argumento dado por ela mesma. Historias do tipo sua filha não vai conhecer o pai, etc,etc.
Me diz para que colocar o adesivo da faculdade/ curso que voce faz na lataria do seu carro ? Para que colocar " Juquinha a Bordo" ( meigo não ).
Todos os casos estão relacionados com analise de risco. Os dois aprenderam da maneira dificil . Espero que alguem aprenda de outra maneira.
Pense sempre no lado B das coisas.
Que fique bem claro, existem POUCAS pessoas boas nesse mundo (provavelmente elas já morreram), assim voce nunca sabe como uma informação (aparentemente banal) poderá ser utilizada. espero que essas historias sirvam de exemplo para alguem.
No mais ... Que bonito ter a foto da esposa (namorada, amante) ou dos filhos no celular . . . ( acho que vou colocar a foto do meu cachorrinho )
Segurança ? quem se importa ??
quinta-feira, 15 de julho de 2010
terça-feira, 8 de junho de 2010
Programação
Programação e linguagens de programação são sempre assunto, e para quem é a área de segurança, pensamos sempre em Programção segura, independente da linguagem adotada.
O tempo passa, e novos programadores entram no mercado. Novos programadores, velhos erros, velhos vicios e velhas linguagens.
Como pode um programador novo ter velhos vicios ? Facil, material viciado! Livros e sites sem atualização, sem esquecer tambem da velha "maxima" do em programa que esta funcioNANDO não se altera o codigo.
Lecionei recentemente "programação segura", onde mostrei a maioria dos pecados de programação e como corrigi-los. Esqueci de um ponto. Dependencia.
Os programadores, testam seus programas em suas maquinas, mas se esquecem que o ambiente do cliente é totalmente desconhecido e algumas vezes ostil.
O cliente não tem a obrigação de ter todos os pacotes de desenvolvimento instalado em sua maquina para ver seu mais novo sistema de "Hello World".
Se o ambiente de desenvolvimento não ajuda, voce como programador deve se ater a esses pequenos detalhes. Isso vai diferenciar os profissionais.
Nos ultmios dias tenho visto uma série de malwares dependentes de bibliotecas.
Se voce não tem a bliblioteca, o malware não funciona (ainda bem).
No final ....
Quem se importa ?
O tempo passa, e novos programadores entram no mercado. Novos programadores, velhos erros, velhos vicios e velhas linguagens.
Como pode um programador novo ter velhos vicios ? Facil, material viciado! Livros e sites sem atualização, sem esquecer tambem da velha "maxima" do em programa que esta funcioNANDO não se altera o codigo.
Lecionei recentemente "programação segura", onde mostrei a maioria dos pecados de programação e como corrigi-los. Esqueci de um ponto. Dependencia.
Os programadores, testam seus programas em suas maquinas, mas se esquecem que o ambiente do cliente é totalmente desconhecido e algumas vezes ostil.
O cliente não tem a obrigação de ter todos os pacotes de desenvolvimento instalado em sua maquina para ver seu mais novo sistema de "Hello World".
Se o ambiente de desenvolvimento não ajuda, voce como programador deve se ater a esses pequenos detalhes. Isso vai diferenciar os profissionais.
Nos ultmios dias tenho visto uma série de malwares dependentes de bibliotecas.
Se voce não tem a bliblioteca, o malware não funciona (ainda bem).
No final ....
Quem se importa ?
terça-feira, 23 de março de 2010
The question is the same .
WHO CARES ? ? ?
I was trying to install AVAST Linux Home edition for testing purposes, and find out two different information about the same thing (or not).
"Free Antivirus Works for 30 days after installation in trial mode" (there's no questions in linux tar.gz instalation, should it be trial mode by default ? )
Ok, no problem ... let's Try .
When I tried to run the AVAST ...
BANG
First of all .. " No license key found. Please run the GUI version (avastgui) and enter your license key. " I DON'T HAVE GUI on LINUX . ( I think it's my problem )
Second :
Please register avast! at http://www.avast.com/i_kat_207.php?lang=ENG
to get the key.
Ok. Let's follow the instructions ... BANG
No more comments.
Take your own conclusions. I never give-up. I'll try again.
But ... Do they Care ? WHO CARES ??
WHO CARES ? ? ?
I was trying to install AVAST Linux Home edition for testing purposes, and find out two different information about the same thing (or not).
"Free Antivirus Works for 30 days after installation in trial mode" (there's no questions in linux tar.gz instalation, should it be trial mode by default ? )
Ok, no problem ... let's Try .
When I tried to run the AVAST ...
BANG
First of all .. " No license key found. Please run the GUI version (avastgui) and enter your license key. " I DON'T HAVE GUI on LINUX . ( I think it's my problem )
Second :
Please register avast! at http://www.avast.com/i_kat_207.php?lang=ENG
to get the key.
Ok. Let's follow the instructions ... BANG
No more comments.
Take your own conclusions. I never give-up. I'll try again.
But ... Do they Care ? WHO CARES ??
sábado, 13 de março de 2010
Desconfie de tudo e de todo mundo tambem
Tem sempre uma hora que voce fica pensando ..
e agora o que vão inventar ...
talvez voce tenha pensando isso um pouco tarde, ou não esteja acompanhando o mercado.
Provavelmente isso já foi inventado .
Qual a diferença entre um carro top de linha e o modelo mais barato ? Rodas, Airbag, freios ABS, direção hidraulica, ar condicionado, etc. Enquanto alguns itens são conforto, outros são itens de segurança.
Geralmente com segurança não se brinca, ainda mais a sua segurança.
E o que acontece quando voce compra um produto, achando que esta seguro, porem não tem garantias disso?
Agora voce vai me dizer que eu sou paranoico e que isso nunca acontece na vida real. Será ?
A Energizer, comunicou essa semana um problema com seus carregadores de pilha.
Existe um modelo de acarregado que funciona ligado a interface USB de seu computador. Esse modelo tem um software que informa ao usuário se a bateria já está carregada ou não. Tudo muito legal, pratico e bonito, a não ser pelo fato de existir um cavalo de troia nesse software.
Ninguem sabe ao certo como isso aconteceu, provavelmente ele foi infectado na "fabrica", se foi intensional ou não, ninguem sabe tambem.
http://www.marketwatch.com/story/energizer-announces-duo-charger-and-usb-charger-software-problem-2010-03-05
Buscando baratear custos, mas empresas mudaram sua linha de produção para a China.
Independente do tipo de contrato, na grande maioria das vezes, menor custo significa perder alguma coisa.
Isso não é novo, conheço pessoas que compraram pendrives e porta retratos digitais de grandes magazines e os mesmos vieram infectados. (Me fez lembra a historia dos piratas do Paquistão de fizeram um virus - nos primórdios da computação - somente para ver até onde o software por eles comercializado estava chegando ... Pakistan Brain)
Já pararam para pensar que nós utilizamos telefone celular para tudo hoje, falando sobre nossos negocios, familiares, etc.
Já pensou um programa "não documentado" em seu aparelho de celular, contando tudo para outra pessoa ? enviando copia de seus emails, seus SMSs e suas fotos . ( isso na melhor das hipoteses, poderia estar enviando as conversas de celulares completas ).
Cuidado, agora já temos TVs e radios com entradas USB e outros equipamentos com entradas de rede ( até geladeiras ). Já pensou O BigBrother vigiando voce ?
É, pensando bem ... poderia ser mais uma obra de ficção ( mas não é).
Filme de ficção. Eu acho que não.
Afinal, quem se importa com segurança ?
e agora o que vão inventar ...
talvez voce tenha pensando isso um pouco tarde, ou não esteja acompanhando o mercado.
Provavelmente isso já foi inventado .
Qual a diferença entre um carro top de linha e o modelo mais barato ? Rodas, Airbag, freios ABS, direção hidraulica, ar condicionado, etc. Enquanto alguns itens são conforto, outros são itens de segurança.
Geralmente com segurança não se brinca, ainda mais a sua segurança.
E o que acontece quando voce compra um produto, achando que esta seguro, porem não tem garantias disso?
Agora voce vai me dizer que eu sou paranoico e que isso nunca acontece na vida real. Será ?
A Energizer, comunicou essa semana um problema com seus carregadores de pilha.
Existe um modelo de acarregado que funciona ligado a interface USB de seu computador. Esse modelo tem um software que informa ao usuário se a bateria já está carregada ou não. Tudo muito legal, pratico e bonito, a não ser pelo fato de existir um cavalo de troia nesse software.
Ninguem sabe ao certo como isso aconteceu, provavelmente ele foi infectado na "fabrica", se foi intensional ou não, ninguem sabe tambem.
http://www.marketwatch.com/story/energizer-announces-duo-charger-and-usb-charger-software-problem-2010-03-05
Buscando baratear custos, mas empresas mudaram sua linha de produção para a China.
Independente do tipo de contrato, na grande maioria das vezes, menor custo significa perder alguma coisa.
Isso não é novo, conheço pessoas que compraram pendrives e porta retratos digitais de grandes magazines e os mesmos vieram infectados. (Me fez lembra a historia dos piratas do Paquistão de fizeram um virus - nos primórdios da computação - somente para ver até onde o software por eles comercializado estava chegando ... Pakistan Brain)
Já pararam para pensar que nós utilizamos telefone celular para tudo hoje, falando sobre nossos negocios, familiares, etc.
Já pensou um programa "não documentado" em seu aparelho de celular, contando tudo para outra pessoa ? enviando copia de seus emails, seus SMSs e suas fotos . ( isso na melhor das hipoteses, poderia estar enviando as conversas de celulares completas ).
Cuidado, agora já temos TVs e radios com entradas USB e outros equipamentos com entradas de rede ( até geladeiras ). Já pensou O BigBrother vigiando voce ?
É, pensando bem ... poderia ser mais uma obra de ficção ( mas não é).
Filme de ficção. Eu acho que não.
Afinal, quem se importa com segurança ?
terça-feira, 23 de fevereiro de 2010
Desafios do mercado de AntiVirus
Trabalhando com resposta a incidentes e analise e coleta de malwares, atendi um caso interessante no final do ano de 2009. Foi enviado um phishing scam utilizando o nome de conhecida empresa, oferecendo grandes beneficios para quem retornasse o formulario (conseguido após o Download) preenchido.
Não havia formulario e sim um Malware capaz de pegar senhas de quase todos os Bancos nacionais.
Junto com os as reclamações recebidas pela empresa, fui coletando tambem os Malwares e entrando em contato com os provedores de hospedagem solicitando as providencias cabiveis.
As URLs originais estavam escondidas utilizando serviços de compactação e redirecionamento de URLs.
Mesmo contando com solicitações diarias, um dos provedores demorou 30 dias para remover o malware do ar, fui informado posteriomente que só o fez depois de ação judicial para esse fim.
No final da "evento", coletei 7 (cabalistico, não) especimes do mesmo Malware, cada uma compactado com uma ferramenta diferente, ferramentas que alem de compacatar um executavel são capazes de impedir/dificultar a analise dos arquivos. ( Mostrando claramente a intensão maliciosa).
Sete arquivos, Sete compactadores diferentes, sete Hashs criptograficos diferentes.
Interessante saber que nenhum dos arquivos havia sido enviado para o VirusTotal antes do envio das ondas de SPAM/Phishing, porem os arquivos foram enviados dias antes do Phishing para ferramentas de analise automatica, como o Anubis e Sunbelt e o resultado foi negativo, nenhuma das ferramentas viu os arquivos como nocivos.
Como analisar alguma feita para não ser analisada de forma rapida e efetiva ?
Como catalogar especimes de malware ? baseado na historia que eu contei .
Quantos analistas humanos necessitamos para analisar a quantidade de malwares que aparecem diariamente ? e nesse caso, pensa na frustação de trabalhar 7 vezes para achar a mesma coisa. Quanto tempo isso demora ? Quanto esse tempo custa ?
Quando teremos Anti-virus focados em mercados especificos ? (Quero dizer laboratorios de analise regionais)
Quando os usuários vão tratar segurança como uma coisa séria e pagar por um Anti-virus ? Voce tranca sua casa com chave, ou amarra o portão com barbante ?
Como voce e as outras empresas catalogam, seus especimes de malware ?
Eu até arrisco algumas respostas, mas ...
NO final, fico pensando ... tem gente que vai ler isso e vai achar ficção-cientifica ...
Quem se importa ?
Não havia formulario e sim um Malware capaz de pegar senhas de quase todos os Bancos nacionais.
Junto com os as reclamações recebidas pela empresa, fui coletando tambem os Malwares e entrando em contato com os provedores de hospedagem solicitando as providencias cabiveis.
As URLs originais estavam escondidas utilizando serviços de compactação e redirecionamento de URLs.
Mesmo contando com solicitações diarias, um dos provedores demorou 30 dias para remover o malware do ar, fui informado posteriomente que só o fez depois de ação judicial para esse fim.
No final da "evento", coletei 7 (cabalistico, não) especimes do mesmo Malware, cada uma compactado com uma ferramenta diferente, ferramentas que alem de compacatar um executavel são capazes de impedir/dificultar a analise dos arquivos. ( Mostrando claramente a intensão maliciosa).
Sete arquivos, Sete compactadores diferentes, sete Hashs criptograficos diferentes.
Interessante saber que nenhum dos arquivos havia sido enviado para o VirusTotal antes do envio das ondas de SPAM/Phishing, porem os arquivos foram enviados dias antes do Phishing para ferramentas de analise automatica, como o Anubis e Sunbelt e o resultado foi negativo, nenhuma das ferramentas viu os arquivos como nocivos.
Como analisar alguma feita para não ser analisada de forma rapida e efetiva ?
Como catalogar especimes de malware ? baseado na historia que eu contei .
Quantos analistas humanos necessitamos para analisar a quantidade de malwares que aparecem diariamente ? e nesse caso, pensa na frustação de trabalhar 7 vezes para achar a mesma coisa. Quanto tempo isso demora ? Quanto esse tempo custa ?
Quando teremos Anti-virus focados em mercados especificos ? (Quero dizer laboratorios de analise regionais)
Quando os usuários vão tratar segurança como uma coisa séria e pagar por um Anti-virus ? Voce tranca sua casa com chave, ou amarra o portão com barbante ?
Como voce e as outras empresas catalogam, seus especimes de malware ?
Eu até arrisco algumas respostas, mas ...
NO final, fico pensando ... tem gente que vai ler isso e vai achar ficção-cientifica ...
Quem se importa ?
sexta-feira, 12 de fevereiro de 2010
Em quem confiar ?
Em quem confiar ?
A informação é que a pagina estava bloqueada por propagação de Malwares.
Me deparei esses dias com uma situação interessante.
Um site está listado no Zone-H como "invadido".
Para quem nao conhece, o Zone-h é um site que mantem copia de paginas "modificadas/invadidas", alem da lista e "ranking" dos invasores.
Comuniquei a empresa de tal situação ( estar listado no Zone-h ), onde ninguem sabia do caso.
Até ai, tudo bem, é normal as pessoas escoderem as coisas ruins, tipo invasões.
A pagina da empresa continua a pagina oficial com conteudo estatico.
Foi iniciado um processo de investigação ( gerei demanda de serviço para diversas pessoas).
Por ser fato rescente, pelas datas postadas no Zone-h, conseguirmos todos os LOGs ( situação rara nos dias de hoje - finalmente achei alguem que se importa com isso) para a investigação.
Após a analise, nada foi encontrado.
A equipe que analisou os logs é altamente especializada e competente, os logs estavam integros e nada comprovando o fato foi encontrado.
Baseado nisso podemos chegar a algumas conclusões ou possibilidades.
1. Achamos um "defacement" Fake.
Alguem fez um redirecinamento de DNS ou mesmo alteração local do hosts e mandou a pagina para o Zone-H para ganhar "Ranking".
2. a invasao foi tão bem feita, que eles apagaram rastros de tudo, inclusive da propria pagina alterada. Enviaram para o Zone-h e colocaram a pagina original no local para ninguem perceber o ocorrido.
Com base nisso ( ou não ), um grande forncedor de filtro de conteudos bloqueou a pagina dessa empresa.
Fui informado por uma amigo querendo acessar a pagina.
Ninguem (i)RESPONSAVEL pelo filtro de conteudo, tentou contato, mesmo essa empresa (vitima), tendo todos os contatos de segurança, publicos.
Bloqueados a revelia, sem possibilidade de defesa.
Etica para que ? Entrar em contato com as empresas bloqueadas, para que ?
Quantos negocios não foram efetivados, pelo bloqueio indevido de um site .
Remover seu site dessa lista, é um processo lento e trabalhoso.
Isso para mim é caso de policia ou de justiça.
De onde vem a informação ? Essa informação foi verificada ?
Nada disso importa.
Cuidado com a informação que voce repassa, cuidado com a rede de boataria.
Infelizmente para muitos, Mais vale executar dezenas que vezes que parar um minuto para pensar e executar certo na primeira vez.
Mas, afinal, quem se importa ?
A informação é que a pagina estava bloqueada por propagação de Malwares.
Me deparei esses dias com uma situação interessante.
Um site está listado no Zone-H como "invadido".
Para quem nao conhece, o Zone-h é um site que mantem copia de paginas "modificadas/invadidas", alem da lista e "ranking" dos invasores.
Comuniquei a empresa de tal situação ( estar listado no Zone-h ), onde ninguem sabia do caso.
Até ai, tudo bem, é normal as pessoas escoderem as coisas ruins, tipo invasões.
A pagina da empresa continua a pagina oficial com conteudo estatico.
Foi iniciado um processo de investigação ( gerei demanda de serviço para diversas pessoas).
Por ser fato rescente, pelas datas postadas no Zone-h, conseguirmos todos os LOGs ( situação rara nos dias de hoje - finalmente achei alguem que se importa com isso) para a investigação.
Após a analise, nada foi encontrado.
A equipe que analisou os logs é altamente especializada e competente, os logs estavam integros e nada comprovando o fato foi encontrado.
Baseado nisso podemos chegar a algumas conclusões ou possibilidades.
1. Achamos um "defacement" Fake.
Alguem fez um redirecinamento de DNS ou mesmo alteração local do hosts e mandou a pagina para o Zone-H para ganhar "Ranking".
2. a invasao foi tão bem feita, que eles apagaram rastros de tudo, inclusive da propria pagina alterada. Enviaram para o Zone-h e colocaram a pagina original no local para ninguem perceber o ocorrido.
Com base nisso ( ou não ), um grande forncedor de filtro de conteudos bloqueou a pagina dessa empresa.
Fui informado por uma amigo querendo acessar a pagina.
Ninguem (i)RESPONSAVEL pelo filtro de conteudo, tentou contato, mesmo essa empresa (vitima), tendo todos os contatos de segurança, publicos.
Bloqueados a revelia, sem possibilidade de defesa.
Etica para que ? Entrar em contato com as empresas bloqueadas, para que ?
Quantos negocios não foram efetivados, pelo bloqueio indevido de um site .
Remover seu site dessa lista, é um processo lento e trabalhoso.
Isso para mim é caso de policia ou de justiça.
De onde vem a informação ? Essa informação foi verificada ?
Nada disso importa.
Cuidado com a informação que voce repassa, cuidado com a rede de boataria.
Infelizmente para muitos, Mais vale executar dezenas que vezes que parar um minuto para pensar e executar certo na primeira vez.
Mas, afinal, quem se importa ?
quinta-feira, 7 de janeiro de 2010
Good MailBox Names, Good Spams
After more than 5 years with a suspended mailbox in a big brazilian ISP, I decided to reactivate this mail box for research purposes.
One hour after that process, I started receiving messages again.
SPAM.
The first coming from XXX-89-177-XXX.jetstart.xtra.co.nz, trying to sell me Viagra. (Does anyone knows where in the world NZ is ?)
Today, one day after the activation, 15 new messages, including a phishign scan about a Brazilian Bank. (with 6/41 detection rate in VirusTotal)
Good mailbox names can guarantee you a better chance to be located by spammers. Important to know that this mailbox was never ever used, but as it’s a good mailbox name, this guarantee me to be in the lists.
Is there someone working in maintain those SPAM Lists ? Five years was enough time, to be removed from any list, due the amount of email bounces generated.
Ok, I know. Spammers don’t care.
One hour after that process, I started receiving messages again.
SPAM.
The first coming from XXX-89-177-XXX.jetstart.xtra.co.nz, trying to sell me Viagra. (Does anyone knows where in the world NZ is ?)
Today, one day after the activation, 15 new messages, including a phishign scan about a Brazilian Bank. (with 6/41 detection rate in VirusTotal)
Good mailbox names can guarantee you a better chance to be located by spammers. Important to know that this mailbox was never ever used, but as it’s a good mailbox name, this guarantee me to be in the lists.
Is there someone working in maintain those SPAM Lists ? Five years was enough time, to be removed from any list, due the amount of email bounces generated.
Ok, I know. Spammers don’t care.
Assinar:
Postagens (Atom)