Mostrando postagens com marcador Segurança da Informação. Mostrar todas as postagens
Mostrando postagens com marcador Segurança da Informação. Mostrar todas as postagens

segunda-feira, 3 de novembro de 2014

Google Rappor promete privacidade na coleta de dados dos usuários


A Big G liberou recentemente uma ferramenta chamada Rappor (Randomised Aggregatable Privacy-Preserving Ordinal Response), que promete facilitar a vida de quem precisa de dados coletados através de apps. navegadores, etc, mas tem que atender às necessidades de privacidade dos usuários.

A idéia é obter estatísticas estimadas através do que denominaram "privacidade diferencial", que seria uma forma segura de garantir a privacidade individual, ao mesmo tempo que permitiria a obtenção de dados estatísticos sobre um conjunto de indivíduos.

O processo de coleta de dados funciona com base na chamada "resposta aleatorizada aleatória", onde o dado solicitado pode ser real ou fictício, a depender do resultado de uma operação aleatória, como jogar uma moeda.

Assim, imagine que o Google quer saber se você tem uma certa extensão instalada no Chrome. O navegador então "jogaria a moeda", e responderia a verdade, caso o resultado fosse cara. Se o resultado fosse coroa, o navegador responderia sim.

A consequência disso é que os resultados "SIM" serão maioria, porém, considerando que a probabilidade de ocorrência de cara ou coroa é a mesma (50%), é possível estimar a quantidade de usuários que efetivamente teriam a tal extensão instalada no navegador, a partir das respostas sim que excederem o percentual de 50%. Porém, não seria possível revelar exatamente quem tem e quem não tem a extensão, garantindo assim a privacidade do indivíduo.

Com a necessidade de conhecer cada vez melhor o perfil dos usuários (a Google criou a ferramenta para analisar comportamento malicioso no Chrome, mas já tem gente visualizando uso em áreas como marketing), e com a preocupação com privacidade em alta, é natural que se busquem alternativas para viabilizar a coleta de dados sem prejuízo da privacidade dos usuários.

A grande questão, na minha opinião, se deve à falta de credibilidade de grandes empresas quando se trata do quesito privacidade. Seria o Rappor uma iniciativa louvável realmente, ou apenas [mode paranóia ON] uma maneira de maquiar a coleta de dados para entregar ao FBI e NSA ? [mode paranóia OFF].

E você ? O que acha da idéia de uma ferramenta engenhosa como esta ?

quinta-feira, 25 de setembro de 2014

Shellshock seria falha de segurança pior que Heartbleed

Linux - falha no bash, shellshock é pior que heartbleed

Mais um dia, mais uma falha de segurança. Mais uma falha GRAVE de segurança. Tem gente dizendo que é muito pior que o heartbleed.

De acordo com o especialista Unix Stéphane Chazelas, que reportou a falha à Red Hat, ela envolve a manipulação, pelo BASH, de variáveis de ambiente especificamente mal formadas com intuito malicioso, e permitiria a execução de comandos que deveriam ser de acesso restrito.

Levando em conta que o BASH é o interpretador de comandos padrão de muitas distribuições Linux, está presente no MAC OS X e provavelmente em muitos sistemas embarcados derivados do Linux, a falha é muito preocupante.

Acrescente a isso o fato de que 60% da web está hospedada em servidores Linux, e que mecanismos como CGI fazem uso do shell, e temos uma situação realmente alarmante.

Não bastasse tudo isso, as informações dão conta de que a falha existe há bastante tempo, e, diferentemente do Heartbleed, que afetava uma versão específica do OpenSSL, pode ter sua correção bastante dificultada, especialmente em sistemas legados.

Imagine os milhares de roteadores wifi com DDWRT e OpenWRT espalhados pelo mundo, por exemplo. Quem vai atualizar esses sistemas ?

Penso que isso só comprova a necessidade de abordar a questão da segurança em diversas camadas, de forma que uma falha de difícil correção como esta possa ser contornada através do uso de outra solução de segurança que atue em outro nível.

E você, o que pensa a respeito ? Compartilhe comigo!

Update: pra quem usa Ubuntu, orientações pra atualizar o bash e eliminar a vulnerabilidade aqui.

Via GigaOM.

terça-feira, 27 de maio de 2014

FISL 15: Ataques super eficientes de negação de serviço (DoS, DDoS)



Este ano, diferentemente do ano passado, não pude ir ao FISL.

Mas isto não significa que o evento vai passar batido aqui no blog, afinal o maior evento de software livre do Brasil sempre traz coisas interessantes, e este ano não foi diferente.

Para minha felicidade e de muitos, muitas apresentações estão disponíveis, com gravação completa em vídeo, no site da programação do evento.

E foi com base nestas informações que comecei a baixar e assistir algumas palestras, e começo compartilhando com vocês esta ótima palestra do Jan Seidl sobre Ataques super eficientes de negação de serviço

Nesta palestra ele mostra que a idéia de que um ataque de negação é sempre resultado da ação de uma "rede zumbi" de milhares de equipamentos atacando um alvo se tornou equivocada e obsoleta, sendo possível atualmente causar muito dano com pouco esforço, graças a algumas características dos servidores web modernos.

Ele mostra como realizar os ataques e como se prevenir, além de abordar algumas ferramentas muito legais desenvolvidas por ele e outros especialistas em segurança pra testar sua infraestrutura e se proteger destes ataques DoS e DDoS modernos.

Confira abaixo a palestra.

terça-feira, 14 de janeiro de 2014

10 ferramentas de #segurança que você deve conhecer já!



Vou listar aqui 10 ferramentas que todo profissional de segurança deve conhecer. São ferramentas para testes de penetração, análise de malware, detecção de vulnerabilidades em aplicações web e muito mais!

Confira a lista.

OWASP ZAP - Zed Attack Proxy Project 
Ferramenta para teste de penetração e análise de vulnerabilidades em aplicações web.

BeEF – The Browser Exploitation Framework Project
Ferramenta focada na análise do navegador e suas vulnerabilidades.

Burp Suite
Também é voltado para análise de vulnerabilidades em aplicações web, com possibilidades de automatização sofisticadas.

PEStudio
Voltado para análise de executáveis Windows sem a necessidade de executá-los, permitindo a análise de malware com segurança.

OWASP Xenotix
Dedicado à identificação e exploração de falhas do tipo XSS em aplicações web, garante que não ocorra falso positivo com três engines de navegadores embutidos na ferramenta.
Lynis
Já conhecia o Lynis de loga data (obrigado FISL :), e fiquei muito feliz em saber que a ferramenta continua "viva" e ativa. É interessante para hardening de servidores, verificando uma infinidade de configurações do sistema, aplicações instaladas e adequação a padrões de segurança. Recomendo!

Recon-NG The Web Reconnaissance Framework
Voltado para o "reconhecimento" de aplicações web (confesso que não conhecia o termo), permite a análise de aplicações, mas não a exploração de falhas identificadas, sendo menos intrusivo, digamos assim, que outros frameworks como o metasploit. 

Suricata
O nome engenhoso identifica bem a idéia deste IPS/IDS de rede. Sempre alerta ao que acontece no ambiente, permite detectar e previnir incidentes de segurança.

WPScan WordPress Security Tool
É natural que o CMS mais usado na web tenha ferramentas dedicadas, e uma delas é o WPScan, que ajuda a verificar a segurança de sua instalação.

O-SAFT OWASP SSL Advanced Forensic Tool
Uma das ferramentas que mais me chamou a atenção, pois permite verificar uma série de características de conexões SSL, ajudando a identificar falhas, vulnerabilidades e reduzir riscos, já que sabemos que atualmente SSL não é mais garantia de tranquilidade no acesso a web.

Via ToolsWatch.


Receba nosso boletim semanal!
Tecnologia que Interessa!

sábado, 23 de novembro de 2013

Safeplug, o appliance anti-NSA!

Que tal um dispositivo que oferece criptografia, navegação anônima (quase sempre) e ainda bloqueia propaganda ? É isso que propõe o Safeplug, da Pogoplug, empresa conhecida por "appliances pessoais" para armazenamento de dados na nuvem e streaming de mídia.

O equipamento nada mais é que um computador estilo nettop, com Linux embarcado e Tor instalado. 

Sabendo disso, surge automaticamente o questionamento quanto ao desempenho. Qualquer um que já tenha usado proxy, em especial os que prometem "anonimizar" a conexão, como o Tor, sabe que a degradação de desempenho pode ser bastante significativa.

Mesmo com limitações, acho que, em tempos de NSA, Snowden, PRISM e assemelhados, seria questão de tempo as iniciativas deste tipo. Além disso, o preço de U$ 49,00 torna o equipamento até atraente, diante do benefício de reduzir bastante a chance de bisbilhotagem de sua navegação.

E vocês, o que acham da idéia de um "appliance pessoal anti-NSA" ?


Receba nosso boletim semanal!
Tecnologia que Interessa!

segunda-feira, 18 de novembro de 2013

FBStalker: "espiar" o #facebook de alguém nunca foi tão fácil!


Em mais uma prova de que as redes sociais criam possibilidades interessantíssimas ou "preocupantíssimas", a depender do ponto de vista, vi que já lançaram uma ferramenta que, a partir de um usuário e senha, além de um "alvo", traça um perfil social com base na Graph Search, a nova pesquisa do facebook.

FBStalker é o nome da criança, que é software livre, foi desenvolvida em Python, é facim de instalar no Ubuntu e muito em breve deve fazer parte do arsenal do Kali Linux. Todos os detalhes na página do projeto no github.


Receba nosso boletim semanal!
Tecnologia que Interessa!

quarta-feira, 4 de setembro de 2013

O quão seguro é o #Mega ?

Information Security Wordle: RFC2196 - Site Se...
Crédito: purpleslog
O Torrent Freak traz uma questão importante, levantada por um desenvolvedor que afirma ter criado um bookmarklet que acessa a "chave master" de criptografia do usuário. O ponto mais interessante é que a discussão revelou os (já conhecidos) problemas da segurança do navegador, em especial do javascript ou qualquer outro código carregado "sob demanda". Traduzi (livre) trechos do artigo, pois considero o texto uma aula de segurança.
Nova ferramenta alega revelar chave mestra de usuários do MEGA 
(...) 
O software, conhecido como MEGApwn é um bookmarklet javascript que é executado em um navegador web. Uma vez que o usuário esteja logado, o software alega revelar a chave mestra do usuário. Koziarski (o desenvolvedor) diz que isso prova que a própria chave mestra não é criptografada e que qualquer pessoa com acesso ao computador de um usuário MEGA pode acessá-la. 
No entanto, esta não é a reivindicação mais polêmica. Koziarski diz que a própria MEGA é capaz de pegar uma chave e usá-la para acessar os arquivos de um usuário.
Koziarski explica que "Seu navegador web confia no que quer que receba do MEGA, o que significa que eles podem pegar sua chave mestra sempre que você visitar o site e, em seguida, usá-la para descriptografar e ler seus arquivos. Você nunca sabe". 
(...) 
As revelações provocaram uma troca de mensagens com o programador Bram Van der Kolk, da MEGA, que questionou como qualquer um teria acesso ao computador de um usuário. 
"Você realmente quer MEGA para proteja os usuários contra isso?", disse.
"Não, eu quero que os usuários entendam o quão facilmente você pode ler todos os seus arquivos se você quiser", respondeu Koziarski.
"Você quer dizer o quão facilimente o próprio usuário pode ler os seus próprios arquivos. Exatamente como um atacante externo pode aproveitar isso?", Der Kolk questiona.
"Então você concorda que o MEGA só é seguro contra invasores externos, que você pode ler meus arquivos, se você quiser?", Koziarski disparou de volta.
"Você está seriamente sugerindo que serviríamos um cavalo de Tróia em javascript ? Instale uma das nossas extensões do navegador e desligue as atualizações automáticas", rebateu Der Kolk. 
Para tentar ter uma idéia mais clara do quão séria (ou não) esta questão é, o TorrentFreak contactou tanto MEGA quanto Koziarski para comentar sobre a nova ferramenta. 
(...) 
"Será que este hack permite invadir o MEGA ? Não, ele simplesmente demonstra um dos muitos problemas graves e insolúveis que enfrentamos ao fazer a criptografia em aplicações web javascript. Existem muitos outros problemas como este e é por isso que muitos especialistas respeitados alertam contra isso há anos", conclui. 
(...) 
Update 2: Comentários de Michael Koziarski 
Eu fiz a ferramenta porque notei que as pessoas caíram em um dos dois campos quando se trata da criptografia do MEGA. Se soubessem das limitações da criptografia javascript, eles entenderiam que a criptografia do MEGA poderia facilmente ser contornada pelo próprio MEGA ou qualquer outra pessoa com acesso a seus servidores web. Mas os usuários que não sabiam nada sobre a criptografia pareciam pensar que havia algo incrivelmente seguro sobre MEGA. 
Por outro lado, se você criptografar os arquivos com PGP antes de enviá-los, não há nada que MEGA ou qualquer outra pessoa pode fazer para recuperá-los. Nós já temos as ferramentas que precisamos [para resolver o problema]. 
Eu liberei MEGApwn para tornar mais fácil mostrar os usuários novatos como facilmente o MEGA (ou o FBI, com um mandado) poderia contornar a criptografia, se quisesse. Todo mundo na indústria de segurança já sabia disso. 
Quanto à forma como ele funciona, é muito, muito simples. Navegadores não têm um local seguro para armazenar dados confidenciais como a sua chave mestra, então o MEGA usa a API de armazenamento local do HTML5. No entanto, esses dados estão disponíveis para qualquer pessoa usando o seu computador, ou qualquer código javaScript executado no domínio mega.co.nz. O MEGApwn simplesmente lê a chave do armazenamento local e mostra para você. 
Fundamentalmente, o problema é que o seu navegador irá fielmente executar qualquer código de mega.co.nz, e seu navegador tem que baixar o código, basicamente, toda vez que você visita o site MEGA. 
O MEGA configurou seus servidores web com SSL e HSTS, e não inseriram nenhum código de terceiros em seu site, por isso é relativamente seguro contra um terceiro tentando injetar código. 
Se quisessem, qualquer funcionário MEGA poderia incluir o código que extrai sua chave secreta e carregá-lo para seus servidores. 
(...) 
A raiz do problema é que a abordagem da MEGA para a criptografia é segura se, e somente se, você confia que o MEGA não vai extrair as chaves. O que não é muito diferente de confiar em qualquer outro provedor de armazenamento em nuvem mais tradicional para não ler seus arquivos. 
(...) 
Update 3: Comentários de Bram Van der Kolk de MEGA 
Gostaríamos de agradecer a um membro da comunidade MEGA por destacar dois dos potenciais riscos de segurança associados com o uso de computadores em geral e criptografia baseada em javascript em particular. Todas estas questões foram abordadas em nosso FAQ, desde o início, mas gostaríamos de aproveitar a oportunidade e reiterá-las aqui, caso você tenha perdido que: 
1. Se você tiver acesso a um computador, você pode quebrar MEGA (e tudo o mais, também) 
Este problema é ilustrado por um bookmarklet específico para o MEGA, que permite que a vítima invada sua própria conta. Uma abordagem mais generalizada é descrita no artigo de Brian Kaplan sobre extrair chaves de criptografia de memória volátil. E, se a vítima instala software de monitoramento remoto (keylogger / screen grabber) em sua máquina, o potencial de falha de segurança torna-se bastante abrangente. 
2. Criptografia javascript é fraca, porque o código é carregado na hora 
Há dois problemas de confiança associados com código carregado on-the-fly: quão seguro é o mecanismo de entrega? O provedor vai me enviar trojan após o recebimento, por exemplo, de uma carta do FBI? 
2.1 Entrega javascript 
A integridade do nosso código javascript depende da integridade de todos os emissores de certificado SSL, que seu navegador confia, mais os provedores entre você e nosso cluster de servidor raiz e/ou os servidores DNS envolvidos. Ou, dito sem rodeios: "Se você pode quebrar SSL, você pode quebrar o MEGA". Claro que, se você pode quebrar SSL, há alvos mais interessantes para você que o MEGA... 
2.2 Entrega intencional de código javascript backdoor por nós para usuários específicos 
Se fôssemos maldosos e estivéssemos coagidos pela legislação, como numa futura revisão das leis de telecomunicações da Nova Zelândia, poderíamos enviar código trojan javascript que envia a sua chave mestra de criptografia para nós. 
2.3 Provedores de armazenamento em nuvem tradicionais vs seguros 
Javascript
A diferença fundamental entre os provedores de armazenamento em nuvem tradicionais (do lado do servidor de criptografia) e seguros (do lado do cliente de criptografia) é que o primeiro pode interceptar todos os dados de todos os usuários sem que as vítimas tenham uma maneira de descobrir, enquanto o este último tem que fazer algo que é detectável no lado do cliente. É verdade que, apesar da detectabilidade teórica, tais ataques provavelmente passariam despercebidos para a grande maioria dos clientes. 
2.4 Soluções 
Se você está preocupado com os riscos descritos acima, você deve usar MEGA de uma forma que não depende de código fornecido on the fly. 
Carregando javascript do MEGA a partir de sua máquina local 
Nós oferecemos uma extensão para o navegador (atualmente disponível para Chrome, logo para o Firefox), com a totalidade do código do MEGA. Se você instalar a versão de alguém que você confia que tem código auditado e desativar as atualizações automáticas, não poderemos enviar backdoor pra você. 
2.4.2 Usando um aplicativo cliente 
Um aplicativo cliente sem atualização automática que foi escrito ou auditado por alguém que você confia é imune contra backdoor dinâmico. 
3. Javascript não confiável carregado a partir de um website ainda é mais seguro do que um executável não confiável carregado a partir do mesmo site 
É um equívoco comum achar que o javascript é inerentemente inseguro e que o código de máquina nativo é uma escolha muito melhor para criptografia. Embora seja verdade que o acesso completo aos recursos da máquina host permite algum grau adicional de segurança (tais como prevenção de teclas sejam enviados para espaço de swap), javascript malicioso executa na sandbox do seu navegador (assumindo, claro, que não há vulnerabilidades conhecidas do navegador - uma suposição reconhecidamente fraca), pelo menos não pode assumir toda a sua conta de usuário ou, se você trabalha como root/administrador, do sistema!
 Fique sabendo das novidades do blog e treinamentos EAD!

RSSE-MailIconIcon
Enhanced by Zemanta

sexta-feira, 16 de agosto de 2013

Black Hat EUA 2013 traz farto material sobre as mais recentes ameaças à #segurança da informação

Black Hat

A Black Hat é uma das maiores (senão a maior) conferência sobre segurança da informação do mundo, tem edições na Europa e eventos até no Brasil. A conferência é sempre um momento importante do ano, onde falhas de segurança graves são reveladas e causam alvoroço mundo afora.

Desde 2008 trazemos informações sobre esta conferência, que neste ano não foi diferente, com apresentações detalhando formas de realizar os mais engenhosos ataques, de bisbilhotar a vida da vizinhança a comprometer sistemas de energia, dispositivos móveis e equipamento médico. Além, é claro, de uma lista extensa de técnicas e contramedidas para detectar e combater todo tipo de ameaça.

Na seção de arquivos da conferência deste ano nos EUA é possível encontrar vídeos, white papers, apresentações e transcripts das dezenas de apresentações com os mais diversos temas. Material farto pra quem se interessa por segurança da informação.

UPDATE! Não poderia deixar de destacar a apresentação sobre a vulnerabilidade do HTTPS, que você confere na íntegra abaixo:

RSSE-MailIconIcon

quarta-feira, 14 de agosto de 2013

Fuja do Obama com um app de VPN

Depois que Snowden jogou caca no ventilador (e na cara de Obama), não se fala em outra coisa. Privacidade pra cá, privacidade pra lá. Se você é daqueles que, como eu, mesmo não tendo nada a temer, se sente incomodado com a idéia de alguém te espionando, seus problemas acabaram!*

O Hotspot Shield VPN é o aplicativo android mais bem avaliado e mais usado quando se trata de VPN. Se ele não garante anonimato absoluto (segredo: ninguém garante!), ao menos oferece o conforto de saber que sua conexão está criptografada e que, no mínimo, vai dar mais trabalho obter suas informações, seja pra que uso for.

Com o Hotspot Shield VPN, é possível não apenas aumentar a segurança dos dados trafegados a partir do seu smartphone ou tablet, mas também acessar serviços que são comumente bloqueados em terras tupiniquins, a exemplo dos 10 sites mais bloqueados do mundo.

O uso do aplicativo é ridiculamente simples: acione, pressione "Protect my connection" e pronto!

Veja o que diz a propaganda do app na Google Play:

World's most popular VPN with over 150 million downloads. Try it for FREE!
* Unblock any websites – unblock YouTube, unblock Facebook, and others such as Hulu, Netflix and BBC where it is blocked
* Give unrestricted access to mobile VOIP and messaging services such as Skype and Viber anywhere
* Secure your mobile WiFi connection with HTTPS encryption
* Prevent hackers from stealing your private information
* Browse the web privately & anonymously
* Compatible with Android OS version 2.x and 4.x

Recommended by CNET, PC WORLD, CNN and PC Magazine.
★★★★★ “You'll notice the difference in Web page loading times. We liked the fact that Hotspot Shield cut down average loading times by more than 30 percent,” CNET
★★★★★ “By using VPN technology to encrypt all traffic….Hotspot Shield protects all digital communication including browsing, e-mail, text messaging, and communication by apps,” PC Magazine
★★★★★ "If you're concerned about threats like Firesheep or you know how easy it is to sniff out passwords and cookies, you may want to give the app a try," Lifehacker

Achei surpreendente a melhora no desempenho de acesso a páginas web notada pela CNET, pois a expectativa natural é que haja queda de desempenho. Aliás, esta foi minha percepção. Embora a navegação seja viável, notei um atraso maior no acesso a algumas páginas. Mas estava usando o plano gratuito do aplicativo, que talvez não tenha sido o mesmo que a CNET testou.

Outra coisa que é importante destacar se refere às redes 0,5 G que temos no Brasil. Em alguns casos (tá bom, muitos!) é simplesmente inviável utilizar o HSV através da rede da operadora de telefonia, especialmente se for a TIMganei. O aplicativo não consegue estabelecer a conexão e a criptografia não é ativada.

Ainda assim, recomendo a instalação do app, e se tiverem outras sugestões do tipo, fiquem à vontade!

Pra quem quer outros tipos de proteção, vale conferir os aplicativos e extensões para aumentar a segurança e desempenho da sua navegação.

* a menos que a ferramenta tenha sido desenvolvida pela NSA :)

RSSE-MailIconIcon