Cyber Neurons: Security Thinking

Rivest talking about Cryptography at MIT

2011-03-17T09:27:00.000-03:00

It's always a pleasure to hear Ronald Rivest (the "R" of RSA) talking about the evolution and future of cryptography. Cryptography is definitely an important field of Information Security and very difficult to understand deeply.

Anyway, this lecture is very instructive and funny. Enjoy it: http://mitworld.mit.edu/video/879

Choosing the right SIEM Solution

2010-06-30T18:24:00.000-03:00

It's really hard to choose the right SIEM solution nowadays. With so much features available on these products, it's getting hard to choose the appropriate solution, especially regarding complex environments consisting of several sources of information.

In this post, the idea is to propose some important questions that we can use to help choosing the right solution. There are questions regarding technical and non-technical aspects as, for example, support, training, user interface, etc. Using this questionnaire it's possible to prepare a scorecard to obtain a best comparison. We can assign the following values: 0 for Absent, 1 for Limited Functionality, 2 for Complete Functionality and 3 for Exceeded Expectations.

How many pre-existing parsers does the solution have (this is very important so it will be not necessary to develop new parsers to extract the log content)?
How easy for creating new parsers?
User Interface (intuitive? easy to operate?)
Ability to collect events (volumetry)
Storage of events (compression, file system type, external storage, cryptography)
Event correlation process (is it easy to create correlation rules?)
Normalization of logs
Solution scalability (architecture, collectors, databases etc)
High Availability
Security in the communications between the components of the solution
Reports (pre-existing, customization, compliance reports)
Position in the Gartner's quadrant
Ticketing system integration (integration with Remedy, for example, or an internal ticketing framework)
Is it possible to filter events at the collectors (without sending some type of events to the infrastructure)?
Possible to correlate information from IDS/IPS with Vulnerability Scanners?
Possible to segregate functions inside the console?
Technical support (other language options: portuguese/spanish/french/etc?, 24x7? SLA's?)
Training (localized training?)

Any other suggestions?

Producing content in english

2010-06-30T12:59:00.000-03:00

Hello guys. From this date forward I will produce content just in english to cover a broader audience. I will not translate the previous posts but it's still possible to use the Google Translate link, available at the right side of this blog. Thank you for following my comments!

Outra pesquisa a respeito da adoção de Cloud Computing

2010-05-29T12:42:00.000-03:00

Desta vez foi o ISACA que publicou uma nova pesquisa apontando que o risco supera os benefícios de usar a computação em nuvem. Mais uma vez vale reforçar a necessidade do uso de SLA's agressivos e um controle efetivo sobre o trabalho realizado pelo fornecedor.

Maiores detalhes: http://www.net-security.org/secworld.php?id=9051

Neurônios Filosóficos - Parte 6: Nova (?) tendência para tecnologia de firewalls...

2010-04-20T19:54:00.000-03:00

Em 2001, durante um treinamento de ferramentas ISS no qual eu era o instrutor, tive um embate técnico/teórico com um dos alunos a respeito de tecnologias de firewall. Naquela oportunidade (e ainda hoje) eu era um forte defensor de firewalls camada 7 (sim, os famosos Gateways de Aplicação) porque ofereciam um nível de proteção infinitamente maior que os firewalls que atuavam somente nas camadas 3 e 4.

O principal argumento do aluno dizia respeito à velocidade de processamento e encaminhamento dos pacotes, o que certamente é uma verdade. Obviamente é muito mais rápido olhar endereços IP Origem/Destino e Portas Origem/Destino e fazer a entrega dos pacotes, do que analisar as 7 camadas de protocolos à procura de desvios, má formação de pacotes, etc.

Mas a questão que eu coloquei na época dizia respeito a aspectos de segurança, a despeito de uma velocidade um pouco menor. Logicamente fui voto vencido e outros alunos inclusive concordaram com meu algoz na oportunidade.

É interessante observarmos hoje em dia uma tendência cada vez maior para incluir a inspeção em todas as camadas para firewalls mais novos. Inclusive firewalls tradicionais em camadas 3 e 4 estão cada vez mais evoluindo para uma análise mais aprofundada de pacotes...

Temos vários exemplos de "novas" tecnologias de firewall surgindo como, por exemplo: http://www.paloaltonetworks.com/technology/app-id.html.

Esta história me lembra o fim dos mainframes, afinal de contas o downsizing vai acabar com eles, certo?

Marcos Ranum, o "cara" que criou o TIS Firewall Toolkit e o Gauntlet, foi um ardoroso defensor do uso de firewalls de aplicação, onde você usa um proxy especializado para cada protocolo. As conexões são mais lentas porque o usuário abre uma conexão com o proxy e este por sua vez se conecta ao site destino. Não há conexões diretas neste caso. É dele uma frase que me marcou bastante mas infelizmente eu não lembro onde foi que eu li. Mas basicamente diz o seguinte:
"Velocidade é o que todo o passageiro quer ao pegar um avião, ou seja, quanto mais rápido for o processo de inspeção, melhor. Já Segurança é o que o passageiro gostaria que os órgãos competentes tivessem providenciado durante a inspeção das bagagens, agora que ele está de frente a um terrorista com uma bomba ou arma dentro do avião..."

Acho que não preciso comentar mais nada...

Métricas ISO 27002 - Domínio: Segurança em Recursos Humanos

2010-03-11T09:27:00.000-03:00

Quanto aos controles propostos no domínio "Segurança em Recursos Humanos" da ISO 27002, segue uma sugestão de indicadores.

É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.

Norma ISO 27002 – Domínio 4 - “Segurança em Recursos Humanos”
Indicador	Propósito	Fonte	Frequência
Percentual (%) de termos de responsabilidade assinados por colaboradores, terceiros e fornecedores, em relação às contratações realizadas no ano.	Medir o total de termos de responsabilidade assinados por colaboradores, terceiros e fornecedores.	Processo de revisão dos termos de responsabilidade.	Mensal
Percentual (%) de colaboradores e terceiros que realizaram treinamento de Segurança da Informação.	Ter conhecimento sobre o total de colaboradores e terceiros que realizaram treinamentos focados em Segurança da Informação.	Processo de treinamento de colaboradores e terceiros sobre Segurança da Informação.	Mensal

Segurança nas Nuvens - Parte 2

2010-03-10T07:30:00.000-03:00

Continuando o assunto segurança em Cloud Computing, vamos analisar o primeiro risco apontado pelo relatório da ENISA: Perda de Governança (R.2 Loss of Governance).

Mais uma prova de que questões técnicas não devem ser a única preocupação para profissionais da área de Segurança da Informação. Este risco está classificado como Organizacional e de Política, e as questões levantadas são extremamente pertinentes, afinal de contas a terceirização de serviços pode representar um risco de não atendimento a requisitos regulatórios (PCI, SOX, entre outros) e outros riscos de segurança. Até que ponto a empresa contratada segue os procedimentos corretos para garantir (ou pelo menos fazer o melhor possível, porque não existe 100% de segurança) os níveis adequados de proteção para os dados que ficam na nuvem?

Existem SLA's adequados? Existem cláusulas contratuais que garantam à empresa cliente a possibilidade de realização de auditorias regulares, ou mesmo a contratação de empresas terceiras especializadas na realização de testes de vulnerabilidades e invasão? A fornecedora de serviços de computação em nuvem segue as boas práticas de Gestão de Segurança da Informação? Até que ponto a questão de segurança está bem definida em contrato e não provocará surpresas em caso de um incidente de segurança? Surpresas do tipo: Este serviço ou proteção não fazem parte do escopo deste serviço gerenciado...

É fundamental, portanto, garantir em contrato o correto atendimento às questões de segurança, sob pena de não atendimento a requisitos regulatórios, perda de credibilidade e danos à imagem da empresa.

BotNet Mariposa

2010-03-09T09:28:00.000-03:00

Uma excelente análise da botnet Mariposa pode ser encontrada neste endereço: http://defintel.com/docs/Mariposa_Analysis.pdf. Esta botnet é um excelente exemplo da crescente capacidade de propagação e comando/controle das redes atuais. O principal destaque desta botnet é a sua capacidade de instalação de executáveis nas máquinas comprometidas, tornando assim ilimitadas as possibilidades de contaminação.

É importante lembrar que uma botnet não é um malware como worm, vírus, etc, e sim uma rede de computadores contaminados. É impressionante a "profissionalização" destas botnets. Após conseguir contaminar e controlar uma boa quantidade de máquinas, os grupos alugam/vendem o uso destas botnets. Sem dúvida um verdadeiro mercado. Aquele romantismo de grupos de hackers que invadiam computadores pelo puro prazer de aprender novas tecnologias, etc, é coisa do passado. Hoje a questão é grana mesmo.

Métricas ISO 27002 - Domínio: Gerenciamento de Ativos

2010-03-08T20:38:00.002-03:00

Quanto aos controles propostos no domínio "Gerenciamento de Ativos" da ISO 27002, segue uma sugestão de indicadores. A definição de "ativos" é bem ampla, mas basicamente me refiro a: Informações (podem ser relatórios, arquivos de dados, contratos, procedimentos/políticas, etc), Softwares (aplicações, sistemas operacionais, aplicativos de desenvolvimento e ferramentas computacionais em geral), Dispositivos (computadores, impressoras, equipamentos de conectividade, mídias de armazenamento, etc), Serviços de Apoio (equipamentos de iluminação, ar condicionado, geração e armazenamento de energia, etc), Intangíveis (marcas e reputação) e Pessoas.

É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.

Norma ISO 27002 – Domínio 3 - “Gerenciamento de Ativos”
Indicador	Propósito	Fonte	Frequência
Quantidade (#) de ativos classificados.	Obter a quantidade total de ativos classificados, de acordo com labels pre-definidos.	Inventário de Classificação de Ativos.	Semestral
Percentual (%) de Termos de Responsabilidade de uso de equipamentos, assinados pelos colaboradores.	Identificar a aderência dos colaboradores aos Termos de Responsabilidade de uso de equipamentos (laptops, celulares, etc).	Relação de Termos de Responsabilidade de uso.	Semestral

Segurança nas Nuvens - Parte 1

2010-03-07T15:57:00.000-03:00

O evento RSA Conference 2010, um dos maiores da atualidade, dedicado à temática de Segurança da Informação abordou, entre outros assuntos, aspectos relacionados à segurança de ambientes computacionais distribuídos (Cloud Computing, ou Computação em Nuvem). Este é realmente um assunto cada vez mais discutido e certamente ainda irá gerar muita pesquisa e, por que não, polêmicas.

Recentemente, a ENISA (European Network and Information Security Agency) publicou um relatório contendo benefícios, riscos e recomendações a respeito da Computação em Nuvem. O relatório pode ser obtido no seguinte endereço: http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment.

Nos próximos posts vou comentar os riscos e recomendações apresentados neste relatório. A ordem de análise obedecerá o nível de impacto e probabilidade de ocorrência, apresentados na tabela da página 24 do referido relatório.

Métricas ISO 27002 - Domínio: Organização de Segurança da Informação

2010-01-09T09:33:00.000-02:00

Quanto aos controles propostos no domínio "Organização de Segurança da Informação" da ISO 27002, segue uma sugestão de indicadores. É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.

Norma ISO 27002 – Domínio 2 - “Organização de Segurança da Informação”
Indicador	Propósito	Fonte	Frequência
Quantidade (#) de reuniões realizadas pelo Comitê de Segurança.	Medir a regularidade das reuniões do comitê de Segurança da Companhia.	Atas de reunião do Comitê de Segurança	Mensal
Quantidade (#) de palestras/workshops e outros eventos relacionados a conscientização dos colaboradores.	Medir a regularidade da realização de eventos de Segurança cujo propósito é conscientizar os usuários quanto a quaisquer aspectos importantes para o tema Segurança da Informação.	Relação de eventos realizados.	Semestral/Anual
Percentual (%) de colaboradores que assinaram um Termo de Confidencialidade.	Verificar o percentual de adesão dos colaboradores ao Termo de Confidencialidade. Neste caso a ideia é verificar qual a porcentagem de colaboradores que efetivamente assinaram este tipo de documento.	Termos de Confidencialidade assinados (pode ser na versão impressa ou através de uma ferramenta computacional, como Intranet).	Mensal

Métricas ISO 27002 - Domínio: Política de Segurança da Informação

2010-01-08T10:36:00.001-02:00

Retomando um post publicado já há algum tempo: http://cyberneurons.blogspot.com/2009/09/metricas-parte-1-um-aspecto-importante.html, vamos abordar um aspecto importantíssimo em Segurança da Informação, que é a medição de indicadores que nos permitam avaliar a efetividade dos controles propostos pela ISO 27002.
Não dá para simplesmente implantarmos os controles e não termos uma visão de sua efetividade. Até em função da necessidade de atender auditorias, que sempre procuram evidências...
Neste post vamos abordar o primeiro domínio de controles da ISO 27002, relativo a Política de Segurança da Informação. Este domínio tem por objetivo dar direcionamento e suporte para o tema Segurança da Informação, em consonância com os requisitos de negócio, leis e regulações (SOX, PCI, etc).
É um domínio que requer uma obtenção mais manual de dados, mas mesmo assim ainda dá para utilizar alguns indicadores. A tabela abaixo apresenta uma sugestão de indicadores. Obviamente não encerra o assunto e caso alguém tenha outras sugestões de indicadores, por favor compartilhe conosco, ok?

Norma ISO 27002 – Domínio 1 - “Política de Segurança da Informação”
Indicador	Propósito	Fonte	Frequência
Percentual (%) de políticas, normas e procedimentos revisados no ano.	Medir no ano fiscal as revisões e/o atualizações da Política de Segurança da Informação.	Processo de revisão das políticas de Segurança da Informação.	Mensal
Quantidade (#) de colaboradores que leram a Política e confirmaram sua adesão aos temos.	Medir no ano fiscal a aderência de colaboradores à Política de Segurança implantada.	Documentos assinados no momento da entrada na companhia ou anualmente (neste caso, a fonte é um documento em papel), ou resultados de aderência através de ferramentas como, por exemplo, uma intranet (normalmente após ler o conteúdo, o colaborador clica em um botão, onde concorda com os termos e se compromete a segui-los).	Anual/Semestral
Quantidade (#) de colaboradores que participaram de campanhas de conscientização, relativas à Política.	Medir no ano fiscal a participação efetiva de colaboradores em palestras, workshops, etc, que têm por objetivo a conscientização quanto à importância da aderência à Política.	Listas de presença nos eventos de divulgação.	Anual/Semestral

Livro Recomendado: Malware Forensics - Investigating and Analyzing Malicious Code

2010-01-05T16:57:00.000-02:00

Livro muito interessante que mostra, através de forte embasamento teórico e de exemplos práticos, como realizar uma análise pericial em Malwares. Os autores, principalmente o Eoghan Casey, são bastante experientes nessa área e conseguiram preparar um material realmente de qualidade, para análise de malwares em ambientes Windows e Linux.

Está dividido em 10 capítulos:

Capítulo 1 - Coleta e Análise de dados voláteis em Sistemas Windows, através do uso de ferramentas para coleta e mapeamento de processos, usuários logados, dump de memória, conexões de rede, arquivos abertos, entre outros.

Capítulo 2 - Coleta e Análise de dados voláteis em Sistemas Linux, com a mesma abordagem do capítulo 1, porém relacionada ao ambiente Linux.

Capítulo 3 - Análise de dumps de Memória e Processos à procura de artefatos maliciosos. A organização da memória, tanto no ambiente Windows quanto no Linux, é dissecada neste capítulo.

Capítulos 4 e 5 - Relativos à análise Post-Mortem de sistemas Windows e Linux, respectivamente. Nestes capítulos são apresentadas as técnicas para análise dos dados coletados na fase inicial de uma resposta a incidentes. Sistemas de Arquivos, Registry, Usuários, entre outros temas são abordados.

Capítulo 6 - Considerações Legais. Embora este capítulo seja baseado na lei americana, é bastante ilustrativo quanto às questões legais de manipulação de informações e uso em juízo das provas coletadas.

Capítulos 7 e 8 - Abordam questões relativas à análise inicial de artefatos conseguidos nas fases anteriores. Uma grande ênfase é dada em questões como estrutura de arquivos executáveis, métodos de ofuscação de executáveis (criptografia/compactadores), interdependência com bibliotecas do sistema operacional, etc. O capítulo 7 é dedicado ao ambiente Windows e o capítulo 8 ao ambiente Linux.

Capítulos 9 e 10 - Nestes capítulos, são apresentadas técnicas mais aprofundadas para análise de programas suspeitos, tanto em ambiente Windows (cap. 9) quanto em ambiente Linux (cap. 10). Todo este processo de análise é realizado em ambiente controlado, especialmente criado para este tipo de atividade, e existe um controle de acessos à rede, a arquivos, a registry, etc.

Realmente é uma leitura que vale muito a pena para aqueles que querem se aprofundar mais na análise de artefatos maliciosos.

Neurônios Filosóficos - Parte 5: Esperança para 2010

2010-01-04T21:38:00.000-02:00

Ano novo, vida nova, certo?

Baseados nesta premissa, devemos ter fé de que em 2010 finalmente seremos brindados com os seguintes fatos:

Empresas desenvolvedoras de software, tanto de aplicações quanto de sistemas operacionais, finalmente terão uma preocupação real (e não somente marketing) com aspectos de segurança. Finalmente elas realizarão auditorias em seus códigos-fonte; contratarão desenvolvedores com conhecimentos dos principais tipos de ataques. Caso elas ainda não saibam como fazer, aqui vai uma dica: http://www.openbsd.org...
Empresas que desenvolvem e comercializam ferramentas de Segurança não irão mais vender seus produtos através de FUD...
Sites de e-commerce não irão mais utilizar um selo dizendo que são 100% seguros, só porque usam SSL/TLS...
O SQL Injection deixará de ser uma técnica tão ridiculamente simples de exploração de vulnerabilidades em aplicações WEB;
Algumas empresas prestadoras de serviços na área de Segurança da Informação finalmente irão realizar serviços com qualidade, e vão parar de fingir que fazem testes de invasão, análises de vulnerabilidades, etc, além de finalmente produzirem relatórios de qualidade onde o cliente efetivamente poderá perceber o valor agregado do trabalho. Dica para alguns: Simplesmente pegar um resultado de scan de vulnerabilidades do nessus, dar uma maqueada, mandar isso para o cliente e, pior, ainda cobrar por isso, é de doer...
E, finalmente, alguns profissionais da área de Segurança da Informação deixarão de se achar a última bolacha (biscoito?) do pacote;

Bom, nunca podemos perder a esperança.
Um próspero ano novo, muita saúde e sucesso!

Apagão pode ter sido causado por hackers?

2009-11-20T21:02:00.000-02:00

Muito se tem falado a respeito da possibilidade de ação de hackers na rede do Operador Nacional do Sistema (ONS), que controla a infraestrutura elétrica no Brasil. É possível afirmar que esta rede está totalmente isolada da Internet ou mesmo isolada da rede corporativa do ONS? Quem garante que não há um modem ou placa wireless espúria instalados em computadores localizados nestes equipamentos?
A questão básica é: Existe conectividade entre as consoles ou servidores que controlam redes SCADA e o mundo externo (por externo, podemos inclusive considerar a rede corporativa)? Se existe esta conectividade então, SIM, é bem viável a exploração de uma vulnerabilidade e comprometimento do controle de sistemas elétricos, de gás, de petróleo, industriais, entre outros.
Um vídeo muito instrutivo pode ser visto aqui.

Tuning de IPS: Uma arte?

2009-10-18T15:39:00.000-02:00

De nada adianta ter um sistema de detecção/prevenção de intrusos mal configurado, que gere centenas de milhares de eventos sem qualquer tipo de utilidade. É fundamental ajustar parâmetros e, principalmente, ajustar políticas/assinaturas para que o foco do equipamento seja todo direcionado para eventos reais.

Um exemplo clássico é a detecção de eventos relativos a uma versão de servidor WEB que não existe na infraestrutura da empresa. Por que habilitar assinaturas relativas ao Apache se a empresa, por exemplo, somente utiliza IIS (Internet Information Services) da Microsoft?

Qualquer ferramenta de scanning de vulnerabilidades de Web Server (por exemplo, Nessus ou Nikto) que seja apontada para um servidor Web localizado na empresa (certamente em uma DMZ), será responsável pela geração de centenas de eventos no IDS/IPS. E qual a utilizade? Só saber que alguém realizou um scan de vulnerabilidades do Apache (lembrando que no nosso exemplo, estamos utilizando o IIS), não vai acrescentar nada ao já corrido dia-a-dia dos centros de monitoramento de segurança (SOC).

Outro detalhe importante diz respeito a assinaturas específicas de auditoria de protocolos, como por exemplo, HTTP Get, HTTP Post, NetBIOS, entre outras. Se um determinado segmento de rede tem por característica a utilização de protocolos relativos ao tráfego WEB (http. https, etc), então não faz muito sentido em "saber" que este tipo de protocolo trafega no segmento. Agora, se neste mesmo segmento, houver a ocorrência de protocolos sabidamente inseguros/suspeitos (como o IRC, FTP, TFTP, entre outros), isso sim pode caracterizar uma atividade maliciosa dentro do segmento de rede. Sabe-se que estes protocolos sejam normalmente utilizados após uma invasão em um determinado sistema.

A partir deste post, pretendo passar dicas de ajuste fino em políticas, levando-se em conta principalmente características de protocolo, sem nenhuma associação a ferramentas específicas (Proventia IPS, snort, etc). A ideia é que o conceito seja aplicável a qualquer fabricante.

Escopo de uma Análise de Vulnerabilidades: O que incluir?

2009-09-28T21:08:00.000-03:00

Antes de mais nada, uma distinção rápida: Análise de Vulnerabilidades é realizada na própria rede da empresa, onde é feita uma varredura à procura de vulnerabilidades no ambiente, sem a interferência de firewalls ou roteadores com ACL's (Access Lists). Muitas vezes também são realizados testes locais no equipamento e algum tipo de ferramenta faz o levantamento da configuração do referido sistema. Isto é diferente de um Teste de Invasão, que normalmente é realizado a partir da Internet (embora em alguns casos seja feito a partir de um determinado segmento de rede interno), e tem por principal característica a realização de testes SEM o conhecimento prévio do ambiente e com o maior número possível de dispositivos de segurança ativos (até para poder testar sua eficácia).

Projetos de análise de vulnerabilidades baseados tanto em ferramentas automatizadas (Internet Scanner, Nessus, etc) quanto em verificações manuais (permissões, configurações em geral, etc) devem abranger a maior quantidade possível de dispositivos, sistemas operacionais, bancos de dados, etc.

Mas afinal de contas o que deve estar incluído no escopo? Muitas vezes a companhia não tem recursos suficientes para executar esta tarefa em casa e acaba optando pela contratação de uma consultoria especializada. E normalmente, estas consultorias cobram de acordo com a quantidade de dispositivos a serem testados. Por este motivo, surge sempre a dúvida em relação ao que incluir nestes testes.

Além dos servidores críticos (sim, acredite, uns são mais críticos que outros) e dos bancos de dados, segue uma breve lista com alguns "targets" interessantes e que normalmente são deixados de fora em um trabalho desta natureza (obviamente a lista não esgota todas as possibilidades, mas já é uma bom começo):

Desktops. De que adianta proteger os servidores se as máquinas dos usuários, que muitas vezes realizam atividades administrativas na rede estão desprotegidos? Inclua máquinas que representem um padrão específico de configuração (exemplo: caso haja configuração idêntica para todas as máquinas de RH, não é necessário testar todas. O mesmo vale para desktops/laptops de TI, Produção, Vendas, etc).
Impressoras. É isso mesmo. Não se esqueça que existe um sistema operacional na impressora, muitas vezes com um webserver para configuração do equipamento, além de ter um filesystem que poderia, por exemplo, ser usado para armazenar imagens pornográficas, músicas ou programas piratas, etc.
Access Points. É impressionante a quantidade de equipamentos DLINK, TPLINK, etc, com configuração "default", com usuário "admin", senha "admin". Configuração aberta ou utilizando o protocolo WEP? My goodness...
Servidores de FAX. Dá pra pensar inclusive em testes de wardialing. O que tem de servidor HP-UX e outros tipos de Unix com placas de modem ativas... Mas o que um servidor de FAX pode ter de tão arriscado? Não sei, eu é que pergunto. Que tipo de informação trafega por este tipo de equipamento?
Centrais Telefônicas. Pois é. Há alguns anos atrás (não tantos assim), me deparei com uma central telefônica da Nortel (especificamente uma Alcatel 4400), cujo sistema operacional era um tal de Chorus/Mix, que nada mais era do que uma versão modificada de Unix System V, inclusive com as mesmas falhas de segurança das versões antigas de Unix. Um verdadeiro queijo suiço e em uma central telefônica. A coisa era tão grave que dava para usar o famoso comando: # rm -rf / (não tente isso em casa...).
Mainframe. Telnet? FTP? Pois é, colocaram IP no mainframe...

A pergunta é: Tem IP? Se tem, são grandes as chances de eventuais explorações de vulnerabilidades. Aliás, imagine quando as cafeteiras estiverem conectadas à internet (com IP), rodando algum tipo de Windows Coffee Mobile e podendo ser configuradas remotamente? E torradeiras? E os carros com seus sistemas operacionais FiatOS, GeneralM_OS, FordOS, Hyundai Operating System? Ou pior, se estiverem rodando algum tipo de Linux ou WCMS - Windows Car Mobile System (se usarem, quero royalties)?

Eu costumava brincar em treinamentos com a seguinte teoria: Tem IP? E pior, está roteando na rede corporativa? Entonces...

Neurônios Filosóficos - Parte 4: Redes Sociais e meus dados pessoais...

2009-09-12T12:33:00.000-03:00

Difícil essa vida 2.0, não é mesmo? Afinal de contas temos que manter tantos perfis diferentes em diversos sites de relacionamento! Linkedin, Orkut, Facebook, Naymz, Myspace, entre tantos outros.

O que realmente impressiona é a facilidade com que as pessoas divulgam dados pessoais como números de celular, telefone residencial, quantidade de parentes (sim, pelas fotos e legendas, ficamos sabendo quem é pai, mãe, filho, sobrinha, filho, etc).

Depois não entendemos de onde os caras do mal, confortavelmente instalados nas luxuosas instalações dos presídios brasileiros, conseguem nossos dados! Puxa, se ele falou que minha filha se chama Adriana, tem um carro modelo Palio cor preta, e que ainda por cima ela é loira de olhos azuis, ele só pode estar falando a verdade!

Há pessoas, principalmente os mais idosos, que já tiveram até enfartos, sem contar os que caíram em golpes e transferiram dinheiro ou compraram créditos de celulares pré-pagos.

Ok, então isso quer dizer que não podemos participar de redes sociais? Obviamente não, mas o mínimo de cuidado com as informações que divulgamos é altamente recomendável, para não dizer que é prudente...

Métricas - Parte 1: Um aspecto importante em Segurança da Informação

2009-09-05T13:48:00.001-03:00

Olá, depois de uma semana muito corrida, finalmente arrangei um tempinho para atualizar o blog. A partir de hoje publicarei uma série de posts referentes a um assunto de suma importância para aqueles que trabalham na área e precisam muitas vezes justificar os caros investimentos em equipamentos, software, treinamentos, etc. Aliás, não só justificar investimentos, mas saber o que está acontecendo. Trata-se das Métricas de Segurança.

Um bom Sistema de Gestão de Segurança da Informação (SGSI) deve contemplar um monitoramento constante, tanto de sua efetividade, quanto dos controles implementados (Anexo A da ISO 27001 ou a própria ISO 27002).

Antes de entrar no mérito de alguns indicadores importantes, o que acontecerá em posts futuros, segue uma lista interessante de materiais de referência sobre o assunto:

NIST - Recommended Security Controls for Federal Information Systems
NIST - Performance Measurement Guide for Information Security
NIST - Guide for Assessing the Security Controls in Federal Information Systems
NIST - Directions in Security Metrics Research

Todas as referências acima são excelentes fontes de informação que permitem iniciar um processo formal de desenho, implantação, monitoração e aperfeiçoamento de indicadores de segurança da informação.

O mais importante é que cada indicador seja baseado em um conceito amplamente conhecido, que é o SMART:

S (Specific) - A métrica deve ser específica e diretamente relacionada ao que se quer monitorar;
M (Measurable) - A informação deve ser acurada e completa. Os indicadores devem ter valores numéricos (numerais, percentuais) e não subjetivos;
A (Actionable) - A informação deve ser clara e permitir a fácil identificação de que o indicador sinaliza algo "bom" ou "ruim";
R (Relevant) - Bem óbvio, afinal de contas não devemos perder tempo medindo algo que não sirva para nada;
T (Timely) - Sempre que precisarmos, a informação deve estar disponível. Imagine o chefe pedindo dados que precisam de 3 horas para preparação!

Para finalizar este post, é importante ter em mente que um indicador deve ser sempre fácil de gerar, deve ser o mais automatizado possível (imagine ter que contratar alguém só pra gerar planilhas e depois copiar e colar informações), e principalmente fácil de entender (principalmente através de gráficos que permitam o acompanhamento ao longo do tempo).

Uma sugestão de especificação simplificada de um indicador pode ser observado na tabela abaixo (para maiores detalhes de como criar um indicador, vide os links apresentados acima):

A ideia é sugerir indicadores de acordo com as necessidades de controles da ISO 27002, em futuros posts. Até lá!

Sistema Operacional à prova de falhas?

2009-08-31T20:18:00.001-03:00

Recentemente, o NICTA (Centro de Pesquisa Australiano) apresentou um kernel de sistema operacional que, a princípio, é resistente a falhas de segurança sendo, portanto, ideal para operações de missão crítica.

É importante ressaltar que o kernel é a alma de um sistema operacional. Todos os sistemas operacionais conhecidos (Linux, FreeBSD, OpenBSD, Mac OS X, Windows, enfim, todos) são compostos por kernels. É lógico que existem diferenças conceituais na implementação destes kernels, mas o objetivo principal é sempre o mesmo: Ser o ponto central do sistema operacional que controla os aspectos principais como acesso a disco, uso de memória, processamento simultâneo de aplicativos, entre outras funções (maiores detalhes aqui).

Não é a primeira vez que se tenta criar um Sistema Operacional seguro. Várias alternativas já foram especificadas. Alguns exemplos: http://en.wikipedia.org/wiki/Security-focused_operating_system

Certamente o caso mais conhecido é o do OpenBSD. É um sistema operacional pensado desde o início sob a ótica da segurança e tem tido excelentes resultados. Basicamente, o código-fonte é auditado frequentemente a procura de erros de programação que possam levar ao comprometimento do ambiente.

É importante reforçar que só a segurança do sistema operacional não é suficiente para garantir a proteção. De que adianta uma base robusta se ainda temos casos de vulnerabilidades de SQL Injection tão comuns?

Mas voltando ao caso do sistema operacional desenvolvido pela NICTA, tomara que seja uma alternativa viável para sistemas de missão crítica.

Aliás, para encerrar, aí vão alguns exemplos de "missão crítica":

Já pensou naquele carro último modelo, com sistema operacional {Fiat/GM/Ford}OS, que permite acesso via bluetooth, e que possui uma senha padrão para acesso ao sistema de gerência (senha tipo: fiat, gm2009, ford123...)? Já imaginou este sistema vulnerável a um Buffer Overflow? E que, uma vez explorado, o atacante consiga travar todo o sistema (embreagem, freio, computador de bordo, tudo integrado!) e o motorista perca o controle? Aliás, já pensou na exploração desta mesma vulnerabilidade a partir da rede bluetooth (tipo uns 200 metros de distância)?
Sistemas de Controle de hidrelétricas, usinas nucleares, e outros brinquedinhos? Você sabia que os sistemas operacionais onde estas aplicações estão instaladas são os Solaris/Windows/Linux da vida?
Sistemas que controlam equipamentos médicos. Já pensou na tela azul justamente no momento mais crítico?
Sistemas de controle de tráfego aéreo; Sistemas de controle de semáforos "inteligentes"; Sistemas dos Caixas Eletrônicos (ATM's); entre outros...

Todos os sistemas acima citados são de "missão crítica" e certamente se beneficiariam muito de sistemas operacionais robustos à prova de bugs (é possível isso afinal de contas?) e à prova de falhas de segurança.

Links Interessantes - Parte 2

2009-08-27T21:22:00.000-03:00

Continuando a série de links legais sobre Segurança da Informação, aí vai mais uma lista interessante. Enjoy it!

Pentest/Análise de Vulnerabilidades:

OWASP
Pentest Framework
milw0rm
caughq
Default Password List
Security Vulns
Infosec Institute

Quer treinar um pouco?

Fatetek
Bright Shadows
hack this site
hackquest
hackergames

Outros sites com temática geral:

Security Focus
Securitydocs
Dark Reading
New Order
Midnight Research
phrack magazine
Wireless Lan Security

Gosta de Matrix, Bladerunner, Neuromancer, Snow Crash, etc? Que tal alguns sites cyberpunks?

Cyberpunk Review
Plausible Futures
boingboing
Pesquisacyberpunkscifibr
Kr3st0

Dobradinha WPA/TKIP: Game Over...

2009-08-27T20:05:00.000-03:00

Os pesquisadores Toshihiro Ohigashi e Masakatu Morii, respectivamente das universidades de Hiroshima e Kobe, do Japão, demonstraram a viabilidade de ataques contra o padrão WPA (Wi-Fi Protected Access) em conjunto com o TKIP (Temporal Key Integrity Protocol). Esta dobradinha só consegue ser um pouco melhor que o famigerado padrão WEP (Wired Equivalent Privacy). Na realidade se tratava de uma solução paliativa enquanto não surgia um padrão mais robusto, que é o WPA2 (bom, pelo menos até descobrirem uma forma de quebrar este também).

Maiores detalhes sobre a técnica podem ser obtidos neste endereço: http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf

Neurônios Filosóficos - Parte 3: Pode deixar que eu sei qual é o nosso Perímetro Externo!

2009-08-26T22:07:00.000-03:00

Pense rapidamente: Você sabe exatamente qual é o perímetro externo da rede de sua empresa?

Se a resposta imediata foi o firewall de borda, talvez seja necessário rever seus conceitos. Vamos tentar então definir o que é um perímetro externo nos dias de hoje:

Firewall de borda (bom, logicamente não dá pra ignorá-lo!);
Rede wireless. Hum, até onde vai o sinal? Será que dois quarteirões depois é possível pegar o sinal? Essa rede é segura? Criptografia? WEP (argh!)? Será que algum usuário instalou uma rede wireless "local" só para os manos do departamento? Afinal de contas, todos precisam de mobilidade dentro do departamento e o sinal não alcança os andares de cima e de baixo (portanto é seguro). Só esqueceram que aquele Access Point grudado na janela manda o sinal até o estacionamento ao lado do prédio (o que? pagar o mensal do estacionamento durante um mês até quebrar a chave WEP?).
Hosting no datacenter baratinho... Será que é seguro? Ah, mas tudo bem, afinal de contas o Service Level Agreement está muito bem costurado...
Filiais que se conectam diretamente à sua rede corporativa. Parece mais uma teia de aranha de tantas conexões espúrias. Aliás, quantas são mesmo? Não se preocupe, alguém tem uma planilha com todos os ativos.
VPN (Virtual Private Network). Afinal de contas, criptografia é a pedra filosofal. O Serra uma vez criticou a Marta Suplicy dizendo que um túnel serve para ligar um ponto congestionado a outro ponto congestionado, de forma rápida. Alguém que está em um helicóptero não consegue ver os carros dentro do túnel, certo? Então, no túnel de uma VPN também não é possível saber o que trafega ali. Alguém se lembrou de monitorar as pontas do túnel?
E o Cloud Computing (http://en.wikipedia.org/wiki/Cloud_computing)? O conceito é tão abstrato que dá até preguiça só de pensar na sua extensão...

Alguém tem mais alguma sugestão?

Abs.

Neurônios Filosóficos - Parte 2: Meu site é 100% seguro!

2009-08-25T20:45:00.001-03:00

Opa, isso é sério!

Como é possível afirmar que um site é 100% seguro? E pior, ainda colocam um selo no site para indicar que está livre de hackers. Parece até provocação, do tipo: Eu duvido que vocês consigam me invadir!

Trocando em miúdos, vamos aos fatos:

Não é possível afirmar que um site é totalmente seguro. E ponto. Exemplo? Vamos supor que todos os testes possíveis e imagináveis sobre as vulnerabilidades CONHECIDAS tenham sido realizados e o site está limpo. E as vulnerabilidades DESCONHECIDAS? Quem garante que, neste exato momento, alguém (ou um grupo) saiba de uma vulnerabilidade específica do Apache (não vou falar IIS para não ficar a impressão que só cito a Microsoft...) e que esta vulnerabilidade permita a exploração remota e posterior vazamento de informações? Acho que este exemplo já é suficiente para desqualificar este tipo de afirmação.
E digo mais. Colocar um selo no site dizendo que ele é livre de hackers só estimula ainda mais a curiosidade e motivação dos caras. Imagine só: "Nós do grupo Silver Forevis conseguimos invadir o site da Mercearia da Dona Genoveva!". Ainda vira motivo de piada no underground...

Parece surreal? Acredite, é só procurar no Google. Dica: Combine as palavras selo e hacker.

Confiança comprometida

2009-08-25T20:16:00.001-03:00

Recentemente saiu uma notícia a respeito de um comportamento interessante de um determinado vírus (Win32.Induc): http://www.securityfocus.com/brief/999. Este virus infecta o compilador Delphi e todos os programas compilados por ele são automaticamente infectados, criando assim exércitos de programas maliciosos a partir de uma atividade aparentemente inocente.

Isto levanta uma questão importante que é a possibilidade de uso de outros vetores de propagação de códigos maliciosos. O código-fonte de uma aplicação desenvolvida caseiramente, teoricamente, é um porto seguro onde os desenvolvedores possuem controle sobre os riscos (não vou entrar no mérito do desenvolvimento seguro). Só que mesmo neste caso, ainda deve existir a preocupação a respeito do compilador que, uma vez contaminado (ou propositalmente modificado por alguém que não tenha uma intenção muito ortodoxa), pode ser usado para criar aplicações contaminadas por trojans/cavalos de tróia/e outras pragas virtuais. Quem quiser se aprofundar mais neste assunto pode consultar este excelente documento: http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf.

Outro vetor importante é a própria substituição de partes do código-fonte, de tal forma a produzir versões "trojanizadas" de aplicações, fato que já ocorreu em aplicativos como o Sendmail (http://www.cert.org/advisories/CA-2002-28.html), tcpdump (http://www.cert.org/advisories/CA-2002-30.html), ruby (http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2006-03/msg00138.html).

Para finalizar, mais um vetor interessante de propagação que é o comprometimento de repositórios de pacotes de aplicativos como aqueles utilizados para update dos sistemas. Alguns exemplos "básicos":

http://www.computerworld.com/s/article/9019118/Hackers_hijack_Windows_Update_s_downloader?intsrc=hm_list

http://www.debian.org/News/2003/20031202

Resumindo, precisamos sempre pensar "fora da caixa" em relação a Segurança da Informação. As ameaças nem sempre são óbvias...

Neurônios Filosóficos - Parte 1: Minha empresa está segura, afinal de contas usamos firewall e antivírus!

2009-08-25T20:11:00.001-03:00

O objetivo da série "Neurônios Filosóficos" é discutir algumas questões relacionadas a Segurança da Informação que incomodam a humanidade desde a época de Platão e Sócrates...

Uma delas diz respeito à crença de que uma empresa está segura devido ao fato de utilizar a dupla de ferramentas Pelé/Coutinho (ops, firewall e antivírus). Ainda é possível ouvir este tipo de comentário. Bom, só para provocar um pouco, seguem alguns exemplos de ameaças para as quais estes equipamentos teoricamente deveriam proteger as empresas mas na prática não protegem (note que são somente alguns exemplos porque o resto não dá para citar todas as possibilidades):

spyware, ransomware, adware, backdoor, trojan horse, keylogger, sniffer, vírus, worm, spam, phishing (ah, mas o meu antivírus pega um monte dessas pragas! Sim, em alguns casos pega uma boa parte, mas normalmente é necessária uma combinação de ferramentas e nós estamos falando somente de firewall e antivírus, certo?);
SQL Injection, Cross Site Scripting, LDAP Injection, XML Injection, e outros "injections em geral". Para listas mais completas de ataques contra aplicações WEB, consulte os seguintes endereços: OWASP e Pentest Framework. Lembre-se que todos os ataques utilizam a porta 80/tcp que estará obviamente liberada no firewall (afinal de contas, a empresa precisa divulgar o site de e-commerce, certo?). Pior ainda quando for via 443/tcp (hum, criptografia. Isso significa que o firewall nem consegue "ler" os pacotes...);
Vamos tentar abstrair as questões puramente técnicas. Imaginemos um mundo onde o usuário clica naquele executável que chegou via e-mail (alguns ataques nem precisam da intervenção do usuário, basta o Outlook ou o Internet Explorer estarem vulneráveis). Supondo (só supondo, é claro) que o antivírus ainda não tenha uma assinatura para a nova praga e a máquina do usuário seja "grampeada". De repente, a máquina dele passa a enviar sinais para o malfeitor (temos um bom cardápio de protocolos a disposição: ftp, irc, http, dns, https, icmp. Ixi, são tantos que é melhor parar por aqui). Mas o firewall não bloqueia? Então, sabe como é... Tivemos que liberar TODAS as portas/protocolos porque o pessoal precisava acessar aquela aplicação da faculdade, o site da receita, o programa da Ana Maria Braga, etc...

Obviamente que firewall e antivírus são importantes! Mas certamente não são suficientes. Hoje em dia há um verdadeiro arsenal de ferramentas a nossa disposição para combater estas pragas e ataques como IPS (Intrusion Prevention System), AntiSPAM, Filtros de Conteúdo (lá vem ele querendo proibir o acesso àqueles sites "firmeza"!), além de ferramentas anti-spyware, bloqueios de USB/CDROM, etc.

Só não podemos esquecer obviamente do elo mais fraco da segurança: o ser humano. Não adianta gastar fortunas com todos os equipamentos citados acima se os usuários continuarem clicando naquele link para as fotos do flagra da esposa ou marido, ou até mesmo se continuarem com o sonho de ficar ricos e quiserem ajudar aquele príncipe nigeriano, herdeiro de uma família de barões do petróleo que precisa de uma pequena ajuda para tirar sua fortuna do país...

Conscientização de usuários: Uma batalha perdida?

2009-08-23T13:32:00.000-03:00

Empresas que tenham implantado um sistema de gerenciamento de segurança (SGSI), segundo os preceitos da norma ISO 27001 sabem, ou pelo menos deveriam saber, que não adianta nada investir verdadeiras fortunas em equipamentos e softwares de segurança e não conscientizar seus colaboradores quanto aos riscos do uso irresponsável dos recursos computacionais e boas práticas de segurança.

De que adianta um bom sistema de gestão de senhas se o diretor da empresa é o primeiro a compartilhar sua senha com a secretária? E o que dizer então daquele firewall caríssimo adquirido recentemente enquanto há usuários que instalam placas Fax Modem (prática em extinção, eu reconheço) ou redes wireless "privadas"?

Sim, é uma batalha diária onde, de um lado, temos os administradores "chatos" de segurança que tentam alertar quanto aos riscos de tais práticas e, de outro, os usuários sedentos por descobrir uma nova maneira de "evitar" os sistemas de segurança (Firewalls, IPS, Filtros de Conteúdo, etc) para poder utilizar o MSN, o Emule, o rádio via web, Webmail, e tantas outras "facilidades" da vida moderna 2.0.

Um bom programa de conscientização de usuários deveria cobrir, pelo menos, os seguintes aspectos:

Apresentações dinâmicas, quase teatrais (cuidado com o famigerado powerpoint!);
Inclusão de temas relacionados ao dia-a-dia das pessoas. Definitivamente, usuários comuns que encaram o computador muitas vezes como um "mal necessário", não se interessam por estatísticas de invasões de sites, ou sobre quais são os principais tipos de ataques. Deve-se fornecer aos usuários informações que estejam mais próximas ao seu dia-a-dia, como exemplos extraídos do Orkut, do Facebook, Twitter, etc, que contenham dados interessantes como detalhes de família, fotos, números de telefones, entre outros. Estas informações servem como alerta e costumam deixar as pessoas preocupadas. É muito interessante ver a reação das pessoas quando estas olham para a tela e visualizam dados extraídos do Orkut, etc. Novamente, o fato de se relacionar à realidade das pessoas, facilita a conscientização;
Sempre que possível, inclua trechos de filmes, gravações do Youtube, gravações de conversas (autorizadas e devidamente sanitizadas) onde ataques de engenharia social são exemplificados;
Incluir também exemplos de e-mails de phishing e, se possível, dados coletados através de trojans (os famosos screenshots contendo a mãozinha sobre o teclado virtual dos Internet Bankings e as conversas do MSN - há casos de Don Juans com mais de 3 namoradinhas simultâneas sendo "enganadas" no MSN!);
É interessante também criar canais de divulgação do assunto Segurança da Informação. Pode-se criar um jornal temático que pode incluir notícias, informações sobre o que a área de SI tem realizado para aumentar a segurança da organização, dicas de segurança, entre outros assuntos. A periodicidade deste jornal pode ser mensal;
Não se deve esquecer também de medir a efetividade destes programas, através da realização de pesquisas internas, que incluam a possibilidade de obter feedback dos participantes. Até mesmo a realização de testes de engenharia social, onde pessoas "estranhas" à organização poderiam testar a segurança física ou a resistência dos usuários a ataques telefônicos (o que? o diretor Fulaninho da Silva está com um problema de acesso e precisa trocar a senha imediatamente? Você sabe com quem está falando?);

É claro que as dicas acima não esgotam o assunto mas são um bom começo para quem deseja implantar um programa de conscientização de usuários.

Links Interessantes

2009-08-23T12:30:00.000-03:00

Há muitos sites e blogs com conteúdo interessante para quem trabalha na área de Segurança da Informação. A lista abaixo é apenas uma pequena fração mas já permite obter conhecimentos valiosos para o dia-a-dia daqueles que trabalham nesta área.

Have fun!

Brazucas:

Nelson Brito - FLDPI/FNSTENV/POP/ADD
Wagner Elias - Think Security First
Negócio de Risco
Hack Proofing - Pensando fora da caixa
Anderson Ramos
Augusto Paes de Barros
Infoaux
Felipe Prado - Segurança e Tecnologia BR
Eduardo Neves
Anchiseslândia

Gringos:

IBM ISS
TaoSecurity
Anton Chuvakin
Security Sauce
Security Monkey
Windows Incident Response
ADD/XOR/ROL
Cipherdyne
Dancho Danchev
Internet Cases
Invisible Things
Network Security blog
When {Puffy} meets ^REDDEVIL^
Honeypots
Clearnet Security
Errata Security
LogBlog
Jeremiah Grossman
Zen 2.0
Schneier on Security
SynFul Packet
Digital Bond
root labs rdist
Gene Spafford
ID Theft Secrets
An Information Security Place - Podcasts
Andy ITGuy
Amrit Williams
IT Security: The view from here
Layer 8
Risk Analys.is
Jon's Network
Spire Security Viewpoint
Veracode
nCircle
The Security Shoggoth
Offensive Computing

Livro Recomendado: The TAO of Network Security Monitoring

2009-08-22T14:17:00.001-03:00

Há livros que realmente fazem a diferença e nos permitem aumentar ou mesmo aperfeiçoar nosso conhecimento. Este certamente é o caso do livro "The TAO of Network Security Monitoring", do brilhante Richard Bejtlich.
Esta obra aborda questões importantes e práticas para detecção de intrusos, através do uso de ferramentas open source como tcpdump, snort, tcpreplay, tcpflow, argus, entre outros, e principalmente o sguil, desenvolvido em linguagem tcl que proporciona uma interface intuitiva para realização de queries e análise de tentativa de intrusão.

O bacana deste livro é que são apresentadas técnicas de análise de pacotes capturados via sniffers ou Network IDS (snort e bro), de forma bastante intuitiva e detalhada. São apresentados os comandos, parâmetros específicos e resultados esperados e há um ótimo encadeamento dos assuntos ao longo do livro.

É dividido em 5 partes:

Parte 1 - Introdução ao monitoramento de segurança de rede, composta por 3 capítulos que abordam as definições do que é um Monitoramento de Segurança de Rede (NSM) e questões de implementação deste tipo de solução (arquitetura, equipamentos, formas de obtenção dos dados, etc).

Parte 2 - Produtos a serem utilizados em um NSM, composta por 7 capítulos dedicados a mostrar as ferramentas e seu modo de utilização. São abordadas técnicas para obtenção de dados completos (Full Content Data), dados de sessão (Session Data), dados estatísticos (Statistical Data), além do uso de ferramentas para visualização dos eventos.

Parte 3 - Processos de monitoramento de segurança de rede, composta por 2 capítulos relacionados a melhores práticas para a análise de dados de intrusão e alguns estudos de caso.

Parte 4 - Dedicada ao aperfeiçoamento de pessoas (isto mesmo, não existe solução perfeita de detecção/prevenção de intrusos, ao contrário do que muita gente pensa quando adquire este tipo de solução). É composta por 4 capítulos.

Parte 5 - Demonstra técnicas utilizadas por invasores para evitar/iludir os sistemas de detecção de intrusos. É composta por 2 capítulos.

Resumindo, este livro é altamente recomendado tanto para aqueles profissionais que estejam iniciando na área de análise de eventos de segurança quanto para profissionais experientes que precisem aperfeiçoar alguns conhecimentos específicos de análise de dados.

Já pode ser considerado um livro relativamente antigo (foi lançado em 2004 e não teve novas edições), mas ainda assim é uma fonte valiosa de conhecimento e seus conceitos e técnicas ainda hoje podem ser utilizadas sem medo. Até onde eu sei, não existe uma versão traduzida para nossa língua, mas isso não chega a ser um problema para quem trabalha na área, certo??

Para maiores detalhes e informações sobre este e outros livros do autor, visite este link: http://www.taosecurity.com/books.html.

Primeiro post!

2009-08-21T14:55:00.000-03:00

Olá! Bem vindo ao Cyber Neurons! O objetivo deste blog é discutir temas relacionados a TI e, principalmente, Segurança da Informação. Vários temas relacionados a Segurança da Informação serão abordados como, por exemplo: Técnicas de tuning de IDS/IPS, dicas de análise de regras de firewall, Engenharia Social, Conscientização de usuários, Análise de Vulnerabilidades e Teste de Invasão, além de assuntos diversos como robótica, movimento cyberpunk, questões filosóficas (aplicadas ao dia-a-dia da área), entre outros.

Abraços e seja muito bem vindo!