Este post condensa 10 recomendações básicas para auxiliá-lo na utilização (mais) segura de um Desktop no dia-a-dia:
01 - conheça os riscos ao utilizar um computador e conheça os golpes mais comuns para não ser uma presa fácil - todas as precauções de segurança a seguir são inúteis se você possui um "comportamento de risco";
02 - não aceite o default, faça uma configuração segura (hardening) de sua máquina [WIN, LINUX, MAC];
03 - utilize sempre senhas grandes e fortes [dicas aqui] e não as repita em diferentes sistemas;
04 - jamais utilize no dia-a-dia o computador com o usuário com privilégios de administrador ou root;
05 - mantenha seu sistema operacional sempre atualizado [ WIN / LINUX: default / MAC: default ] e suas aplicações também [ WIN: PSI,Sumo / LINUX: default];
06 - utilize um bom firewall pessoal e saiba quais programas precisam se conectar a internet [WIN: Comodo ou FW do Vista / LINUX: iptables / MAC: application firewall];
07 - utilize um bom anti-virus [WIN: Avira, NOD32 ];
08 - utilize um sandbox [ WIN: SanboxIE, LINUX e MAC: chroot ] para executar navegadores e outros "programas problema";
09 - Somente permita temporariamente que sites confiáveis executem scripts (java,javascript,activex,etc..)
[ Firefox: instale o noscript, Chrome: chrome.exe -disable-javascript -disable-java -disable-plugins. Se insiste em usar o Internet Explorer, use o IE8];
10 - Conheça melhor o funcionamento do seu computador - detalhes como programas de inicialização comuns, processos em execução, portas abertas por default, serviços iniciados, usuários cadastrados, registros/logs...
Tuesday, April 21, 2009
Thursday, April 9, 2009
Telefônica sofre ataques de negação de serviço (DDOS)
Os usuários da Internet da Telefônica têm tido grandes dificuldades de navegação nesta última semana devido a ataques Distribuídos de Negação de Serviço (ou Distributed Denial of Service - DDOS) em sua infra-estrutura de resolução de nomes (DNS). A própria empresa divulgou hoje uma nota culpando “ações deliberadas e de origem externa" pela intermitência do serviço.
Não se trata de invasão, como anunciado em algumas fontes - a empresa divulgou que seus servidores de DNS sofreram 5 ataques de negação de serviço - conforme lista abaixo:
- 06 de abril, por volta de 22h15, com duração de 30 minutos;
- 07 de abril, por volta de 11h15, com duração de 3 horas e 45 minutos;
- 07 de abril, por volta de 17h45, com duração de 3 horas e 45 minutos;
- 08 de abril, por volta de 01h40, com duração de 10 minutos;
- 08 de abril, por volta de 21h00, com duração de 01 hora e 40 minutos
Ataques de DDOS têm sido utilizados por vândalos há muitos anos, e comumente são direcionados à sites (em fevereiro de 2000, hackers utilizando o Trinoo e o TFN tiraram do ar o Yahoo e a CNN). Em agosto de 2003, a Microsoft teve um problema grande de Negação de Serviço efetuado por mais de 1 milhão de máquinas infectadas com o Worm Blaster (pdf) em seu site Windowsupdate.com - que acabou sendo tirado do ar e substituído pelo windowsupdate.microsoft.com.
No caso do ataque ocorrido com a Telefônica, o objetivo não é tirar um site do ar, mas tirar a capacidade dos usuários que utilizam a Telefônica de resolver endereços na internet (DNS). Normalmente existem motivações como vingança, vandalismo ou extorsão por trás deste tipo de ataques, que hoje em dia são perpetrados com a utilização de partes de botnets.
A característica do serviço DNS (por usar UDP) facilita o spoofing de endereços IP, e infelizmente muitas redes não possuem controle bem feito de egress e ingress filtering (rfc 3704 ).
Um problema adicional quando o alvo de DDOS são servidores de DNS é que são possíveis ataques com amplificação (pdf) em servidores DNS recursivos. Isto ocorreu nos DNS Root Servers em 2002 e 2007 (quando o atacante manda apenas alguns bytes e o server responde sempre com muitos dados).
Na nota, a Telefônica informa que "adota todos os procedimentos conhecidos para detecção e proteção contra esse tipo de ação e minimização e correção dos seus efeitos".
Dentre as defesas mais comuns contra DDOS, algumas aplicáveis neste cenário são:
- Reverse Path Filtering ( prevenção de spoofing)
- Syn Proxy (para economizar a tabela de conexões do alvo)
- Legitimate IP Address Matching (pode ser útil restringir o acesso à clientes)
- Source Rate Limiting (se você possui memória a vontade)
O problema é mundial, e a Telefônica apenas foi o último alvo. Os provedores de acesso e empresas de backbone precisam se preocupar com uma série de detalhes para evitar serem vítimas e/ou culpados por ataques de DDOS spoofados. Os filtros necessários para bloquear endereços reconhecidamente responsáveis pelos ataques precisam ser dinâmicos, pois a grande maioria dos bots estão em ADSLs com DHCP. Além disto, nem sempre há uma separação adequada de redes entre usuários residenciais e empresas o que dificulta uma atualização ou adaptação das tabelas de roteamento durante os ataques.
Aqui você acha uma excelente relação de referências de mitigações, implicações legais, papers e tudo relacionado a ataques de DDOS.
Para os usuários da Telefônica (e demais) eu recomendo o serviço OpenDNS.com - que além de possuir uma resolução de nomes muito rápida, têm algumas funções de segurança como bloqueio de sites de Phishing e sites de ataques conhecidos como o Conficker - e certamente possui uma maior resiliência à ataques de DDOS. Siga o link acima para mais informações, ou utilize os seguintes servidores de DNS: 208.67.220.220 e 208.67.222.222 .
Mais notícias sobre o ataque sofrido pela Telefônica:
http://computerworld.uol.com.br/seguranca/2009/04/09/telefonica-diz-que-acoes-externas-causaram-pane-do-speedy/
http://g1.globo.com/Noticias/Tecnologia/0,,MUL1079950-6174,00-ATAQUES+DE+HACKERS+CAUSAM+PROBLEMAS+NO+SPEEDY+DIZ+TELEFONICA.html
http://oglobo.globo.com/sp/mat/2009/04/09/ataques-de-hackers-afetam-conexao-internet-pela-telefonica-em-sao-paulo-755211040.asp
http://www.estadao.com.br/noticias/cidades,acao-de-hackers-prejudicou-servico-de-internet-diz-telefonica,352565,0.htm
Wednesday, April 8, 2009
Forense: automatizando a exportação de arquivos baseado em palavras-chave
É muito comum em investigações internas (em uma empresa nas áreas de Auditoria, Inspetoria ou Segurança da informação) ou externas (forças armadas e criminalística) a necessidade de extração de dados a partir de procuras por várias palavras-chave relacionadas a um caso específico (algumas vezes envolvendo dezenas ou centenas de computadores online).
As motivações são variadas, como suspeita de vazamento de informações, disputas societárias, questões de direitos autorais. Mas uma coisa é certa: este trabalho normalmente é trabalhoso e demorado, pois existem muitas variáveis envolvidas e cada "hit" para cada um dos termos pesquisados precisa ser analisado e tratado separadamente. Além disto, existe o problema da duplicação dos "Hits" das pesquisas - quando um mesmo arquivo (deletado ou não) aparece múltiplas vezes como resultado da busca.
Pois bem, para auxiliar os responsáveis por este tipo de trabalho, o Lance Muller acaba de divulgar um interessante Enscript (para qualquer versão do Encase). O Enscript "Export files with selected search hits.EnPack" é gratuito e automatiza a exportação de arquivos a partir da seleção dos hits de interesse na aba [Search Hit]. Todos os arquivos encontrados serão colocados (dentro do diretório "Export" do caso) em sub-diretórios contendo as palavras chaves relacionadas - juntamente com um índice único (formato CSV).
Para ler mais detalhes e print-screens do Enscript, clique aqui para o post original do Lance Muller. Caso você utilize o Encase, obtenha o arquivo .Enpack aqui e coloque-o no diretório "Enscript" para utilizá-lo.
As motivações são variadas, como suspeita de vazamento de informações, disputas societárias, questões de direitos autorais. Mas uma coisa é certa: este trabalho normalmente é trabalhoso e demorado, pois existem muitas variáveis envolvidas e cada "hit" para cada um dos termos pesquisados precisa ser analisado e tratado separadamente. Além disto, existe o problema da duplicação dos "Hits" das pesquisas - quando um mesmo arquivo (deletado ou não) aparece múltiplas vezes como resultado da busca.
Pois bem, para auxiliar os responsáveis por este tipo de trabalho, o Lance Muller acaba de divulgar um interessante Enscript (para qualquer versão do Encase). O Enscript "Export files with selected search hits.EnPack" é gratuito e automatiza a exportação de arquivos a partir da seleção dos hits de interesse na aba [Search Hit]. Todos os arquivos encontrados serão colocados (dentro do diretório "Export" do caso) em sub-diretórios contendo as palavras chaves relacionadas - juntamente com um índice único (formato CSV).
Para ler mais detalhes e print-screens do Enscript, clique aqui para o post original do Lance Muller. Caso você utilize o Encase, obtenha o arquivo .Enpack aqui e coloque-o no diretório "Enscript" para utilizá-lo.