Thursday, January 14, 2010

A saga de se manter seguro usando Windows


[ 14/01/2010 - Update ]


Notícias recentes como o novo 0-day para IE utilizado na "Operação Aurora" Chinesa - que afetou mais de 30 empresas americanas (incluindo Google,Adobe,Yahoo, Symantec, Northrop Grumman, Dow Chemical e Juniper) - retomam o assunto de como se manter seguro usando o Windows.

Uma empresa possui uma "superfície de ataque" muito grande e precisa de se preocupar com diferentes iniciativas para tentar se defender deste tipo de abordagem avançada.


Como sugestão de abordagem para usuários finais, estou republicando uma lista de 7 dicas que considero eficientes para manter um sistema Windows Seguro (todas elas são gratuitas para uso não corporativo):


I -
Instale um bom programa de verificação e correção de versões de aplicações windows (são elas, e não patches do S.O. as mais exploradas).
  1. PSI Secunia - Personal Software Inspector - excelente e altamente recomendado programa gratuito (para uso não comercial) que resolve o problema de controle de versões e auxílio a upgrade de "programas problema" como os listados acima (não funciona com proxies)
  2. Sumo - ferramenta freeware com o mesmo princípio, não tão boa, mas também eficiente - funciona com proxies.
II - Utilize um utilitário de "Sandbox" para navegar na Internet. Este tipo de programa consegue executar seu navegador (e outros programas) de forma isolada. Ele pode ter acesso aos recursos necessários do seu sistema operacional, mas não pode escrever nada nele, sem a sua permissão.

III - Por falar em navegador, procure estar com o seu sempre atualizado, e utilize um que corrija as vulnerabilidades rapidamente (sugiro o Firefox com a extensão NoScript! para controlar a execução de conteúdo ativo como Javascript/Java/etc..)

IV - Sempre verifique por novas atualizações Microsoft em http://www.windowsupdate.microsoft.com

V -
Mantenha um bom Antivirus (como Avira , Nod32 e Kaspersky) sempre atualizado


VI -
Utilize um bom Firewall Pessoal - sugiro o Comodo para XP ou o Firewall do próprio Vista ou 7 (bem configurado
!)

VII - Não navegue na Internet com um usuário com privilégios de Administrador.

VIII -
Conheça os Riscos Envolvidos no Uso da Internet e se mantenha bem informado (no link anterior você tem acesso à excelente cartilha de segurança do Cert.Br)




[ 13/01/2010 - Update ]


Conforme prometido - depois de meses de espera as correções (oito!) para o Adobe Reader foram liberadas - se você ainda insiste em utilizá-lo, fique ligado nas correções divulgadas. (Ou utilize o Foxit Reader que é mais rápido e seguro - ou seja, uma alternativa mais segura!)

[ 14/12/2009 - Update ]

Mais dois exploits ativos para o Adobe Reader. Correção sairá apenas em 12 de janeiro de 2010.

Mais Informações:

http://blogs.adobe.com/psirt/2009/12/security_advisory_apsa09-07_up.html

http://threatpost.com/en_us/node/2296

http://isc.sans.org/diary.html?storyid=7747

A melhor contramedida continua sendo desinstalar o Adobe Reader e usar outra alternativa mais segura!

[ 02/11/2009 - Update ]

A Microsoft acaba de divulgar a 7a versao do "Security Intelligence Report" - onde sao apresentadas as tendencias de codigos maliciosos, exploits e invasoes nos produtos Microsoft verificados no primeiro semestre deste ano.



[ 08/10/2009 - Update ]

Comprovando a tendência crescente de exploração de produtos Adobe - o PSIRT da empresa divulgou que há um novo 0day explorando instalações de adobe reader em Windows, Unix e Mac.



[ 11/03/2009 - Update ]

A Adobe finalmente liberou um update para a versão 9 do Adobe Reader que corrige as vulnerabilidades encontradas:

http://www.adobe.com/support/security/bulletins/apsb09-03.html



[ 03/03/2009 - Update ]


Com satisfação informo que este post foi publicado hoje no site da PC Magazine (UOL).

link: http://pcmag.uol.com.br/firewall



[ 25/02/2009 - Post Original ]

Usuários domésticos do Windows (XP ou Vista) estão acostumados à praticidade do "Windows Update" - que permite que novas atualizações de segurança dos seus sistemas operacionais sejam baixados e instalados automaticamente.

Garantir que o Windows Update esteja em dia é bom, mas longe de ser suficiente para manter um computador rodando Windows seguro. O motivo principal é a crescente exploração de vulnerabilidades de "application helpers" em navegadores para infectar usuários - mesmo que estes estejam 100% up-to-date em suas atualizações de segurança Microsoft.

A própria Microsoft já deu este recado em 2008, quando publicou seu 5o Relatório de Inteligência em Segurança ou "
Microsoft Security Intelligence Report volume 5 (January – June 2008)" - na página 35 deste documento (figuras 16 e 17) estão listadas as vulnerabilidades mais comumente exploradas através da navegação na Internet (XP e Vista).

No Windows XP, 57,7% das vulnerabilidades exploradas foram de aplicações não Microsoft (ou 3rd party). Os "programas problema" são: QuickTime, RealPlayer, Yahoo Toolbar, Winzip, Adobe Reader.

Já no Vista, este número é bem mais expressivo: 94,3% das vulnerabilidades mais exploradas não o foram por culpa da turma do Bill Gates. Os primeiros lugares: RealPlayer, QuickTime, PowerPlayer, AOL Toolbar.

Para aumentar o coro, a Bit9 lançou no final do ano passado um relatório chamado "The Dirty Dozen" - contendo as Aplicações vulneráveis mais frequentemente encontradas - considerando somente as que não podem ser atualizadas por soluções como Microsoft SMS e WSUS:

Ou seja, são exatamente aquelas que o usuário não sabe/consegue atualizar em casa e que tem dificuldades de se atualizar dentro de uma estrutura corporativa (por motivos de autenticação/proxy/etc..). Seguem os 5 primeiros "programas problema" da lista da Bit9:
  1. Mozilla Firefox
  2. Adobe Flash & Acrobat
  3. Vmware (Player e Workstation)
  4. Java
  5. Apple Quicktime
Os softwares da Adobe (Flash Player e Acrobat Reader) são uma dor de cabeça à parte. Primeiro porque eles estão instalados em quase todos os computadores Windows, depois porque a Adobe não é das mais rápidas em lançar correções de segurança. Possivelmente você está com versões vulneráveis do Adobe Reader e do Adobe Flash Player (dentre outros) enquanto lê este post.

Na dúvida?
Utilize este link da Secunia para verificar possíveis versões vulneráveis de programas instalados em seu computador.

Com relação ao Flash Player, o update com a correção está disponível, mas para o Adobe Reader simplesmente teremos que esperar mais 15 dias (enquando explorações através de arquivos PDF maliciosos estão acontecendo). Por enquanto, sobreviva de workarounds. Outra opção é instalar um patch não oficial que um consultor da SourceFire publicou.

Outras sugestões para se manter seguro online (utilizando o Windows):

I -
Instale um bom programa de verificação de versões de aplicações windows:
  1. PSI Secunia - Personal Software Inspector - excelente e altamente recomendado programa gratuito (para uso não comercial) que resolve o problema de controle de versões e auxílio a upgrade de "programas problema" como os listados acima (não funciona com proxies)
  2. Sumo - ferramenta freeware com o mesmo princípio, não tão boa, mas também eficiente - funciona com proxies.
II - Utilize um utilitário de "Sandbox" para navegar na Internet. Este tipo de programa consegue executar seu navegador (e outros programas) de forma isolada. Ele pode ter acesso aos recursos necessários do seu sistema operacional, mas não pode escrever nada nele, sem a sua permissão.

III - Por falar em navegador, procure estar com o seu sempre atualizado, e utilize um que corrija as vulnerabilidades rapidamente (sugiro o Firefox com a extensão NoScript! para controlar a execução de conteúdo ativo como Javascript/Java/etc..)

IV - Sempre verifique por novas atualizações Microsoft em http://www.windowsupdate.microsoft.com

V -
Mantenha um bom Antivirus (como Avira , Nod32 e Kaspersky) sempre atualizado


VI -
Utilize um bom Firewall Pessoal - sugiro o Comodo para XP ou o Firewall do próprio Vista (bem configurado
!)

VII - Não navegue na Internet com um usuário com privilégios de Administrador.

VIII -
Conheça os Riscos Envolvidos no Uso da Internet e se mantenha bem informado (no link anterior você tem acesso à excelente cartilha de segurança do Cert.Br)

Mais informações sobre Patches de Segurança da Adobe (Adobe Reader e Flash Player):

Adobe Flash Flaw Could Give Attackers Full Control

http://www.cio-today.com/story.xhtml?story_id=64910

Adobe Releases Security Bulletin for Flash Player

http://www.us-cert.gov/current/index.html#adobe_releases_security_bulletin_for2

Adobe Acrobat pdf 0-day exploit, No JavaScript needed!
http://isc.sans.org/diary.php?storyid=5926

Homemade PDF Patch Beats Adobe By Two Weeks
http://it.slashdot.org/article.pl?sid=09/02/24/0032201



7 comments:

  1. Muito interessante e completo seu post. Parabéns. Vou seguir à risca as recomendações!

    André

    ReplyDelete
  2. Legal o artigo.. Gostei das dicas e instalei o PSI da Secunia e o Sandboxie aqui e já estou me sentindo mais seguro (rs)

    Eduardo Vasconcelos

    ReplyDelete
  3. Parabéns Sandro!! Muito legal as recomendações.

    -Jarbas.

    ReplyDelete
  4. André, Eduardo e Jarbas: obrigado pelos comentários!!

    [ ]s,

    ReplyDelete
  5. Não consegui instalar o novo Reader da Adobe - o Secunia continua dizendo que ele está desatualizado! Pode me ajudar?

    André.

    ReplyDelete
  6. André, primeiramente desculpe pela demora - o PSI da Secunia estava dizendo que ele estava vulnerável porque a Adobe demorou mais de um mês para corrigir o patch mesmo.. que só saiu ontem!!

    [ ]s!

    Sandro.

    ReplyDelete
  7. Süffert,

    Muito bom este post. Amanhã estarei publicando um tutorial sobre o Secunia PSI.

    abraço.

    ReplyDelete

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)