Archive for the ‘Segurança’ Category

PostHeaderIcon Eleições, emails e segurança nos tempos da Internet.

Muito embora a foto ao lado possa parecer uma manifestação política pessoal quanto ao processo eleitoral norte-americano, o motivo real é de outra natureza: o email de Sarah Palin, candidata a vice-presidente dos EUA ao lado de John McCain, foi invadido por um grupo de crackers conhecido como Anynomous. O email estava repleto de fotos familiares e de mensagens da candidata sobre o processo eleitoral, suas estratégias de campanha, conversas com parceiros políticos e até outros assuntos "menos populares". Os crackers divulgaram no último dia 17 de setembro vários screenshots da caixa de entrada do email de Palin como prova de sua conquista. A notícia seria mais surpreendente não fosse o fato de que Sarah Palin costumava (ou ainda costuma?) utilizar uma conta de emails do Yahoo para tratar de assuntos de negócios como a sua candidatura ao governo dos Estados Unidos. Sob o ponto de vista de segurança da informação, certamente existem aspectos interessantes a serem discutidos.

O primeiro e mais óbvio diz respeito ao uso de uma conta de email comum, de um provedor de acesso gratuito, para mandar e receber mensagens com conteúdo crítico e, na maioria das vezes, sigiloso. Críticas severas sobre a vice de McCain estão sendo publicadas pelo fato de Palin ter lançado mão do uso de um email pessoal para tratar dos assuntos de campanha. Um erro imperdoável até mesmo para quem possui apenas noções básicas de segurança da informação. Há que se registrar, entretanto, que, mesmo diante da notoriedade do feito, Sarah Palin não é a única a utilizar contas de email dessa natureza para tratar de assuntos críticos. Não são poucos aqueles que cometem o mesmo erro.

Em um segundo momento está o fato de que, por mais incrível que possa parecer, a candidata a vice-presidência de um dos países mais preocupados com segurança no âmbito governamental troca emails importantes sem qualquer assessoria técnica adequada. Recursos de criptografia, por exemplo, seriam suficientes para impedir que, mesmo com o acesso à caixa postal da candidata, os crackers não conseguissem divulgar o conteúdo de suas mensagens. A obtenção do acesso, por exemplo, dentre as muitas alternativas, pode ter sido alcançada simplesmente pela captura da senha que trafega por protocolos como SMTP ou HTTP que, sem as devidas adições, não possuem recursos de segurança adequados para preservar informações como senhas dos usuários.

Por fim, uma única mensagem com conteúdo mais crítico poderia colocar a perder qualquer tentativa de êxito nas eleições presidenciais norte-americanas e ainda deixar Palin e McCain em "maus lençóis". Nos tempo de Internet, emails e outros recursos da rede mundial são, sem  sombra de dúvida, estratégicos e, exatemente por conta disso, precisam ser tratados com a devida segurança. Em outras oportunidades, candidatos já perderam eleições por muito menos.

 

PostHeaderIcon Três falhas corrigidas no Firefox 3.

A equipe responsável pelo desenvolvimento do Mozilla Firefox liberou patches de segurança para três vulnerabilidades críticas encontradas na última versão do browser.

A primeira das vulnerabilidades diz respeito a uma espécie de derivação de um ataque explorado inicialmente no Microsoft Internet Explorer e batizado por "carpet bombing". Inicialmente, a primeira vulnerabilidade descoberta permitia o armazenamento de arquivos executáveis no desktop de um usuário. Entretanto, pouco tempo depois, Aviv Raff encontrou, por meio da combinação com algumas falhas do Microsoft Windows, uma maneira de executar tais arquivos. Diante dessa possibilidade, o ataque passou a constituir uma alternativa perigosa para a implementação de ataques por parte de criminosos. A vulnerabilidade também pode ser explorada no Safari, browser produzido pela Apple.

As segunda e terceiras vulnerabilidades corrigidas referem-se a forma como o Mozilla Firefox trata objetos de conteúdos CSS e manipula arquivos de imagem em formato GIF, respectivamente. Essa última falha, entretanto, abrange apenas a versão voltada para ambientes Mac OS X.

O que é o "carpet bomb"?
O termo "carpet bombing" [1] refere-se ao uso, em um ataque, de um grande número de bombas, geralmente não guiadas, com capacidade de provocar incêndios de grandes proporções com o objetivo de destruir completamente e de maneira uniforme, um determinado alvo inimigo, seja por meios materiais, seja por meio de sua desmoralização. A aparência real desse ataque em cenários de guerra remonta a ambientes cobertos pelas bombas ao mesmo tempo, da mesma maneira que um carpete reveste uma área.

[1] http://en.wikipedia.org/wiki/Carpet_bombing

PostHeaderIcon Ataque aos servidores DNS do ICANN: perigo na Internet!

Um grupo de crackers da Turquia, denominado NetDevilz, obtive sucesso ao atacar alguns domínios controlados pelo ICANN (International Corporation for Assigned Names and Numbers), responsável pelo controle dos TLD (Top Level Domains) tais como ".com", ".org", ".net", dentre outros. O ataque acabou redirecionando alguns nomes sobre esses domínios para outros servidores diferente daqueles registrados nos servidores DNS do ICANN.

Como resultado, ao abrir diversas páginas Web desses domínios, a seguinte mensagem era exibida ao invés dos sites originais:

"You think that you control the domains but you don’t! Everybody knows wrong. We control the domains including ICANN! Don’t you believe us?"

Dentre os nomes afetados estavam "icann.com", "icann.net", "iana.com" e "iana-servers.com".

Read the rest of this entry »

PostHeaderIcon O tal do vício.

Certas coisas tornam-se bem estranhas quando isentas de qualquer racionalidade, principalmente aos olhos daqueles que reúnem condições suficientes para entender o quão absurdo tais situações possam parecer. A caminho de Porto Alegre, para participar do nona edição do Fórum Internacional de Software Livre, onde iria apresentar uma palestra sobre segurança de redes e software livre presenciei uma dessas situações.

Devido a impossibilidade de pousar na capital gaúcha, em decorrência de condições metereológicas adversas, comuns essa época do ano na região, logo veio o anúncio, por parte do piloto: pousaríamos em Florianópolis até haver uma sinalização de que a aterrisagem em Porto Alegre poderia ser realizada com a segurança devida. Prudência que nem sempre combina com os planos dos passageiros, muitas vezes, alheios à máxima de que a segurança de todos está acima de quaisquer compromissos ou planos pessoais. Passados alguns minutos, já em solo catarinense, a aeronave ficou um pouco distante do aeroporto e, apesar da porta ter sido aberta, todos os passageiros permaneceram a bordo. Um grupo de passageiros, no qual me incluo, levantou-se de sua poltrona para poder alongar-se um pouco de forma a estar preparado para seguir viagem tão logo fosse recebida a devida autorização.
Read the rest of this entry »

PostHeaderIcon Internet: a bola de cristal dos tempos modernos?

Quando era criança, achava o máximo quem podia ostentar em seu rosto um belo óculos de grau. Cresci vendo meu próprio pai usar óculos. Sequer conseguia imaginá-lo sem a armação de ferro e as lentes. Julgava um sinal de responsabilidade e respeito. Besteira de criança. A vontade era tanta que pegava os próprios óculos velhos de meu pai, arrancava as lentes, e ficava brincando, fazendo de conta que eu realmente precisava utilizá-los. Horas na frente do espelho.

E como imaginação de criança, cansei de importunar meu pai pra me levar ao médico porque achava que eu precisa dos meus próprios óculos. Acho que de não mais aguentar minhas súplicas, um belo dia fomos ao oftalmologista. Eu e meu pai. Do jeito que eu sempre imaginei. Em pouco tempo, após a consulta e sentir meus olhos arderem por causa dos colírios para dilatação de pupila, necessários para o exame de vista, a setença estava dada pelo médico: 2 graus de miopia!

Read the rest of this entry »

PostHeaderIcon A TV de R$ 1,43, a Justiça e a Segurança

Como o nerd confesso que sou, procuro sempre que possível e seguro, resolver alguns dos meus problemas por meio da Internet. Há algum tempo, precisando comprar um aparelho de TV, procurei em sites de empresas que costumo visitar, algumas alternativas para poder comparar preços e benefícios de cada uma das opções.

Pra minha surpresa, encontrei uma opção que estava muito além de minhas expectativas e que constitui-se como a primeira personagem dessa história: um aparelho de TV de 29” por apenas R$ 1,43 (um real e quarenta e três centavos). Por se tratar de uma empresa séria e pela qual já havia feito diversas outras compras em oportunidades anteriores, não pensei duas vezes antes de realizar meu pedido. Inicialmente, achei se tratar de algum tipo de promoção, queima de estoque ou alguma outra iniciativa de marketing qualquer para atrair consumidores. Ora, a melhor das expectativas não se aproximaria tanto de um resultado tão interessante do ponto de vista da relação custo versus benefício.

 

Read the rest of this entry »

PostHeaderIcon Eleição mais livre e segura em 2008?

O assunto da urna eletrônica já é tema de discussão há algum tempo em meio aos profissionais de segurança da informação e à comunidade de software livre nacional. Diante dos olhos dos mais leigos no assunto, a urna eletrônica pode até parecer um recurso muito avançado, seguro e que coloca o Brasil em posição de destaque com relação à utilização da tecnologia a favor da democracia. Eliminar o voto em papel pode, em primeira análise, representar uma verdadeira panacéia contra as fraudes. Entretanto, há mais pano pra manga do que se possa imaginar.
Read the rest of this entry »

PostHeaderIcon O conto do atacante que virou herói

Pra quem trabalha com a área de segurança há algum tempo, certamente já deve ter ouvido alguma estória de um atacante que, após realizar uma invasão não solicitada no ambiente de rede de uma grande empresa, foi contratado a peso de ouro para cuidar da segurança da informação nessa mesma instituição. Apesar de poderem ter ocorrido alguns casos isolados, na grande maioria dos casos esse tipo de desfecho é pura lenda. E seguir essa lenda pode ser uma prática arriscada no mundo real.
Read the rest of this entry »

PostHeaderIcon Segurança sem software livre? Esqueça.

Há ainda quem pense ser possível tratar de segurança da informação sem associá-la, necessariamente, à software livre e vice-e-versa. Discussão sempre presente em minhas palestras, cursos e conversas junto a alunos, a ouvintes e à colegas, os dois temas, em minha perspectiva, são completamente indissociáveis. E as razões para tal fundamentam-se nas próprias definições e conceitos básicos inerentes a software livre e a segurança. E sim, é natural que, uma vez válida a premissa de que segurança e software livre são complementares, a implementação de soluções de segurança com software proprietário é utópica e recheada de riscos demasiadamente silenciosos.

Read the rest of this entry »

PostHeaderIcon Internet mais segura

Agência FAPESP – O Centro de Atendimento a Incidentes de Segurança (Cais) da Rede Nacional de Ensino e Pesquisa (RNP) registrou uma queda de 59% nos incidentes de segurança envolvendo as redes de computadores das comunidades acadêmica e científica brasileiras no terceiro trimestre de 2007 em relação ao mesmo período de 2006. Foram detectados e tratados pelos técnicos da RNP 8.080 incidentes de segurança, 11,6 mil a menos do que no terceiro trimestre do ano passado.

Dos incidentes, 49,12% referem-se a envio de spam em grande escala, 18,57% a tentativas de invasão de sistemas e 13,89% à propagação de vírus e worms (programa auto-replicante que, diferentemente de um vírus, não precisa de um programa “hospedeiro” para se propagar pelo computador) por meio de botnets (computadores infectados e controlados a distância por atacantes).

Read the rest of this entry »