Wednesday, December 29, 2010

Preparação de equipes na área de Cybersecurity

Como sabemos, a área de Segurança da Informação é extremamente complexa e dinâmica e as novidades tanto no tocante a vetores de ataque quanto de diferentes técnicas de ataque e defesa surgem diariamente.

Por isto mesmo uma equipe responsável pela Resposta a Incidentes de Segurança, Forense Computacional ou "Cybersecurity" precisa estar composta de profissionais que possuem uma grande quantidade de habilidades e obviamente precisam estar em constante treinamento para se adaptarem a esta realidade.

Hoje tive uma ótima surpresa quando vi que o CERT e o Software Engineering Institute da Universidade Carnegie Mellon publicaram um documento fundamental para a preparação e o desenvolvimento contínuo de equipes de Cybersecurity, chamado "The CERT® Approach to Cybersecurity Workforce Development"

Logo na sua introdução, é feita uma colocação muito interessante a respeito de dois fatores fundamentais para que uma habilidade seja verdadeiramente efetiva nesta área: a proeficiência (experiência/conhecimento do assunto) e a relevância (utilidade para execução da função).

Algumas limitações dos treinamentos tradicionais em salas de aula são apresentadas, como a diferença entre a experiência vivida e o mundo real (quadro negro versus redes, softwares e usuários); o tempo (geralmente dias) gasto para aulas tradicionais (o que gera uma frequência inadequada de treinamento); a necessidade de deslocamento, e a óbvia demora do método tradicional em adaptar-se as novidades tecnológicas.

A nova abordagem sugerida pelo CERT para treinamento de profissionais ligados à Cybersecurity é dividida em quatro fases (que são brevemente apresentadas abaixo, mas são bem detalhadas no documento original)

  1. Desenvolvimento de Conhecimentos - onde os fundamentos e conceitos de tópicos específicos são abordados;
  2. Desenvolvimento de Habilidades (*) - como aplicar praticamente os conhecimentos / exercícios hands-on;
  3. Desenvolvimento de Experiência - adaptabilidade da aplicação das habilidades desenvolvidas em ambientes não familiares (mundo real);
  4. Avaliação - são propostas métricas para avaliar a evolução dos profissionais treinados e identificação de áreas que necessitam de melhoria continuada.

* Na seção de desenvolvimento de habilidades, existem colocações acerca da diferença entre usar ferramentas (e ter a vantagem da velocidade e a possibilidade de usar analistas menos treinados na tecnologia de mais baixo nível envolvida).

A conclusão apresentada é a seguinte (pg. 12): o melhor é ganhar eficiência executando tarefas que já são automatizadas adequadamente por ferramentas como o Autopsy, o Encase e o FTK (para ações como recuperação de arquivos deletados, carving, etc) e deixar a "escovação de bit" para atividades que as ferramentas não executam (reconstrução de um filesystem corrompido, por exemplo).

Uma pergunta que emerge naturalmente destas afirmações é: como diferenciar? Apenas com habilidade, conhecimento e experiência.. Por isto a Gestão Técnica ou ao menos o envolvimento - mesmo que apenas consultivo - de profissionais técnicos sêniores é fundamental na maioria das atividades ligadas à Cybersecurity.

O documento traz também um caso de estudo de treinamento contendo a experiência do CERT desde 2009 com um esquadrão de operações cibernéticas da USAF (força aérea norte-americana).

E para não ficar só na teoria, o CERT libera um acesso de demonstração ao sistema XNET, desenvolvido pela Carnegie Mellon (dica: via RDP é melhor..) - veja a captura (JPG): http://j.mp/h2gaJw e a rede do laboratório (JPG)

Neste sistema, times precisam executar várias tarefas relacionadas à Cybersecurity e são monitorados pelos instrutores, online. Existe um PDF contedo um WORKBOOK das atividades como Incident Detection & Reporting Challenge , Prioritizing Defense Measures
e Mitigation Tasks.

Seguem exemplos de exercícios práticos acessíveis via XNET:

Logging:
  • OSSEC HIDS Server
  • Remote Centralized Monitoring Server
  • OSSEC Agent on Linux hosts
  • OSSEC Agent on Windows hosts
  • SQL Server Event Log Auditing
Detection:
  • Configuring Arpwatch
  • Creating a DHCP Offer Packet Filter for tcpdump
  • Nagios Network Monitoring
  • Appendix – Configuring Nagios
  • NTOP Traffic Monitoring
  • Snort Rules
Hardening:
  • Securing the Domain with Security Templates and Group Policy
  • Bandwidth Throttling
  • Configuring IPTables as a Host Based Firewall on Linux Systems
  • ACL on Router for Data Exfiltration / IRC
  • Disable Directory Traversal
  • Disabling Telnet on Router
  • Drop Traffic from a Host
  • Endian Firewall SSH Access
  • Exchange Server Hardenin
  • Firewall Access Control
  • Hardening FTP Server
  • Install and Configure Reverse Proxy Using Pound
  • Linux Host System Hardening
Os ataques que precisam ser evitados/detectados incluem:
  • EasyFTP Remote Exploit
  • SQL Injection
  • WebSite Directory Transversal
  • Data Extrafiltration (TCP, UDP, ICMP)
  • WebSite Defacement
  • Infected User beaconing to an external IP
  • Insecure router using telnet
  • Infected user scanning internal IP space
  • Attack using xp_cmdshell stored procedure
Se interessou? Leia o documento na íntegra. Certamente este tipo de experiência pode auxiliar internamente na melhor preparação do seu time de Segurança/Resposta a Incidentes ou Forense Computacional.

Monday, December 13, 2010

As ações anti-anti-WikiLeaks e a legislação penal brasileira


Este artigo foi elaborado em conjunto pelos seguintes autores:
Sandro Süfferthttp://blog.suffert.com

Há alguns dias acompanhamos uma frenética divulgação, pelo site WikiLeaks, de conteúdos de correspondências trocadas pelas embaixadas americanas. O caso passou a ser chamado de Cablegate.
Não bastasse isso, com a retaliação advinda do Governo americano e de grandes empresas (a exemplo da Amazon, que deixou de hospedar o site e da Mastercard e Visa, que deixaram de processar seus pagamentos) a consequência passou a ser um contra-ataque oriundo de simpatizantes de Julian Assange (idealizador do WikiLeaks).
O contra-ataque veio em várias frentes. Primeiro, na criação dos chamados espelhos do site (mirrors), funcionando como ferramentas para manter o "ideal" do WikiLeaks, e o que representa, ativo e visto por todos, e; segundo, através de ataques direcionados a determinados sites apoiadores da ideia anti-WikiLeaks.
A última ação do grupo foi a invasão e exposição de contas e senhas dos sites Gawker (Gizmodo, Lifehacker, Kotaku, Deadspin) pela recente publicação de um artigo minimizando a capacidade do grupo "Anonymous". (Para verificar se sua conta foi comprometida, use este link).
No caso dos "mirrors" do site Wikileaks, que no Brasil já são doze, em avaliando a legislação brasileira, percebe-se que a posição do Dr. Omar Kaminski, reproduzida nesta avaliação, é a mais acertada, pois que não há previsão no Brasil quanto à punibilidade (aspecto penal) de pessoas que eventualmente hospedem uma página que contenha conteúdo reservado, confidencial, secreto ou ultra-secreto relativo a outro país. Diz Omar que quem "poderia tomar providências seriam os Estados Unidos. Devido ao trâmite diplomático e burocrático, seria muito difícil. Como o material é de fora, a legislação que deveria ser aplicada seria a deles".
Já no caso dos ataques direcionados a sites apoiadores da ideia anti-WikiLeaks, ou seja, que seriam orientados pelo Governo americano, antes da avaliação quanto à aplicação da Lei Penal Brasileira, há que se fazer uma explicação a respeito.
Segundo já escrito anteriormente, várias das empresas que "viraram as costas" para o Wikileaks estão sofrendo ataques maciços de negação de serviço - ou DDoS (Distributed Denial of Service) - que inviabilizam sua presença online.
Um grupo, denominado "Anonymous", através de perfis do twitter como "anon_operation", “anon_operationn”, “anonopsnet” (já retirados do ar pelo Twitter), está comandando os ataques às empresas, que por pedido do Governo americano bloquearam os serviços que eram utilizados pela Wikileaks. Além do Twitter, o site do grupo (http://anonops.net/) e o seu perfil no Facebook também estão fora do ar.
O ataque é distribuído, e mais de 30.000 "bots voluntários" se unem a um canal de irc (ou a uma conta no twitter) para baixar a ferramenta "LOIC" (Low Orbit Ion Cannon) - que pode ser configurada em modo Hive Mind (algo como "Consciência Coletiva") - para que a máquina vire um zumbi pré-configurado para atacar os alvos escolhidos pelo grupo. Um dos alvos foi a VISA (www.visa.com), além do Mastercard e mais recentemente o site britânico da Amazon. A taxa de download da ferramenta passou de mil downloads por hora, o que demonstra o grande interesse nesta ação de “hacktivism”.
O grupo foi mais além e agora tem uma versão que roda direto do navegador. O JS LOIC é baseado em JavaScript e por isto não precisa ser instalado, bastando acessar uma página da web para colaborar com os ataques.
Além da facilidade de usar, o JS LOIC traz a vantagem de rodar em qualquer navegador moderno, incluindo os navegadores do iPhone e Android. Segundo Sean-Paul Correll, da Panda Security, o JS LOIC não é tão eficiente quanto a versão original, instalada na máquina, mas, por outro lado, abre a possibilidade de um número absurdamente maior de pessoas colaborarem com os ataques. Para os ativistas digitais, o conceito é até romântico: usar pequenos aparelhos celulares para atacar grandes sites. (fonte: IT Versa, neste link)
Segundo foi anunciado recentemente, dois holandeses, um menor de 16 anos e outro maior, de 19 anos, já foram presos por envolvimento nesses ataques. No caso do maior, por direcionar o ciberataque contra o site da promotoria holandesa.
A estratégia de distribuir ferramentas de Denial of Service para o público não é nova, e já foi utilizada durante os ataques que envolveram a Rússia e a Estônia em abril de 2007 e a Rússia e a Geórgia em Agosto de 2008.
O desenvolvimento e a utilização de tais ferramentas são crimes previstos há anos em legislações de vários países, como a Holanda, a Inglaterra e a Alemanha.
E, caso se comprovasse a origem de um ataque como sendo oriunda do Brasil? Bom, neste caso, teríamos de avaliar duas situações diferenciadas: primeiro, se o site atacado é nacional, e; segundo, se o ataque for direcionado a site internacional.
Nos dois casos, pode haver configuração de crime de dano, previsto no art. 163 do Código Penal Brasileiro:
Dano
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Pena - detenção, de um a seis meses, ou multa.
Dano qualificado
Parágrafo único - Se o crime é cometido:
I - com violência à pessoa ou grave ameaça;
II - com emprego de substância inflamável ou explosiva, se o fato não constitui crime mais grave;
III - contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista;
IV - por motivo egoístico ou com prejuízo considerável para a vítima:
Pena - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência.
No caso de site nacional, o seu representante legal é apto para encaminhar a queixa-crime, sendo facilitado seu processo por já estar constituído legalmente no Brasil. No caso de site internacional e em não havendo representante legal no Brasil, cumpre-lhe encaminhar a documentação necessária (de sua constituição e representação de acordo com as leis locais de seu país de origem). Em ambos os casos há necessidade da comprovação do dano provocado.

Porém, se além do dano provocado, para recolocar o site no ar há exigência de alguma cooperação financeira em troca, pode haver outra configuração delitiva:
Extorsão
Art. 158 - Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar fazer alguma coisa:
Pena - reclusão, de quatro a dez anos, e multa.
§ 1º - Se o crime é cometido por duas ou mais pessoas, ou com emprego de arma, aumenta-se a pena de um terço até metade.
§ 2º - Aplica-se à extorsão praticada mediante violência o disposto no § 3º do artigo anterior.
§ 3o Se o crime é cometido mediante a restrição da liberdade da vítima, e essa condição é necessária para a obtenção da vantagem econômica, a pena é de reclusão, de 6 (seis) a 12 (doze) anos, além da multa; se resulta lesão corporal grave ou morte, aplicam-se as penas previstas no art. 159, §§ 2o e 3o, respectivamente.
No caso do ataque coordenado “anti-anti-wikileaks”, vários alvos são selecionados e controlados via um canal IRC ou um perfil no twitter. O grupo auto-denominado “Operation Anonymous” informa nas “perguntas mais frequentes” (FAQ), que ao utilizar a ferramenta LOIC as chances de prisão são “próximas de zero”, e basta alegar que seu computador foi infectado por um vírus ou alegar não ter conhecimento de nada.
A realidade é diferente, e o rastreamente de tais atividades é simples e solicitações de “quebra de sigilo IP” podem revelar facilmente a identidade dos atores por trás do ataque.
Há que se asseverar, já pensando no futuro da legislação brasileira, que o Projeto de Lei 84/99, traz previsão expressa quanto ao que escrevemos acima. O crime de dano teria nova redação, assim prevista:
Art. 163. Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Ademais, o PL 84/99 prevê outro artigo interessante, no qual pode ser enquadrado o caso em questão:
“Inserção ou difusão de código malicioso”
Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.
Inserção ou difusão de código malicioso seguido de dano
§ 1º Produzir intencionalmente ou vender código malicioso destinado ao uso em dispositivo de comunicação, rede de computadores ou sistema informatizado.
Pena – reclusão de 1 (um) a 3 (três) anos, e multa
§ 2º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:
Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.
§ 3º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.
Na verdade, aporta aí uma solução importante e que pode delinear um futuro diferenciado quanto ao aspecto penal de utilização de uma rede de computadores zumbis com a finalidade de paralisar um serviço disponibilizado na web.

Friday, December 10, 2010

Flowcharts de processos de forense computacional


Há cerca de 3 anos tive a oportunidade de desenvolver junto a outros colegas da Techbiz Forense alguns processos em formato de flowchart para as várias fases de forense computacional (ex: coleta, análise, relatório). Minha apresentação de 2008 no ICCyber foi sobre este assunto, e parte dos slides podem ser vistos aqui.

Este tipo de material é muito útil para treinamentos de grupos de investigação (de forças da lei ou corporativos) e para adequação dos processos já existentes internamente na empresa.

Há poucas horas atrás, quando fazia minha varredura diária de informações ligadas à forense computacional e resposta a incidentes, encontrei no ótimo blog do Lance Mueller uma árvore de decisão para o processo de aquisição (ou coleta/imagem) de HD (clique para ampliar):




Como pode ser visto, o fluxo trata desde o primeiro momento quando o perito encontra a máquina até a validação (checagem do hash criptográfico SHA256/SHA1/MD5) da imagem (.dd/.e01) feita.

Alguns pontos merecem destaque:

1 - Não são tratadas as informações de coleta de dados voláteis (ex: memória), mas o autor prevê um outro flowchart para isto (Update 13/12/2010: o autor já publicou um fluxo incluindo a aquisição de dados voláteis)

2 - A decisão "Can you turn off" envolve uma série de possibilidades, que incluem - mas não se limitam - a:
  • Preocupação com a disponibilidade da máquina (serviço financeiro/crítico/etc);
  • Presença de criptografia de disco;
  • Presença e atividade de malware;
  • Análise de conexões estabelecidas;
3 - O autor sugere a utilização do FTK Imager ou do Encase WinAcq para aquisição de disco no caso da máquina não poder ser desligada, mas outras alternativas mais rápidas, stealth e modernas (remotas) podem ser utilizadas, como o a aquisição através da instalação automática de agentes via rede com o FTK (versão 3.0+) ou com o Encase Enterprise (ou FIM).

Com o objetivo de diferenciar a coleta presencial da remota, um exemplo de um processo simplificado de coleta remota pode ser visto na imagem abaixo (clique para ampliar)


E já que o assunto veio à tona, seguem alguns outros pontos a se considerar durante o processo de aquisição/coleta de evidências:
  • Autorização para análise preliminar e para agir: Da mesma forma como é preciso autorização para coleta e análise remota das máquinas (análise preliminar), é necessária a autorização para coleta física de um disco.
  • Testemunhas: não é um requisito obrigatório para condução da coleta física de evidências digitais. Dessa forma caso o analista que realiza a aquisição estiver acompanhado de outro colaborador da empresa/órgão como por exemplo, segurança patrimonial este pode ser uma testemunha.
  • Identificação dos itens coletados: deve ser feito um relatório onde constem os dados dos itens coletados (principalmente discos rígidos), com suas características técnicas exclusivas, como modelo, número de série, capacidade, etc.
  • Geração das Imagens (evidência digital duplicada): na geração das imagens não deve ser feita a correção de erros, já que estes blocos podem ser utilizados para ocultação de informações.
  • Validação da aquisição: Deve ser feita ao final da aquisição os cálculos dos valores de hashes (MD5 e SHA1) do disco original coletado e da cópia obtida. Essas informações devem constar do relatório final.
  • Armazenamento da Evidência: Após a aquisição e validação da evidência, as informações coletadas devem ser tratadas como confidenciais e armazenadas de forma condizente. Áreas restritas em servidores para armazenagem dos arquivos, estações de trabalho restritas para análise dos mesmos e armários/salas protegidas para armazenagem de discos com essas informações devem ser criados para que isso seja possível.
Além disto, durante todo o processo, os princípios da evidência digital (*) devem ser respeitadas:
  • As ações tomadas durante o exame pericial não devem alterar as evidências;
  • A cadeia de custódia das evidências deve ser montada, relatando o nome da pessoa que está de posse da evidência, data, hora e atividades executadas;
  • Todas as atividades relacionadas com a coleta, acesso, armazenamento ou transferência da evidência digital devem ser documentadas (trilhas de auditoria);
  • As cópias devem ser autenticadas por meio de assinaturas criptográficas ;
  • Jamais se deve confiar no sistema analisado; e
  • Para geração das cópias, as mídias deverão estar devidamente saneadas (wipe).
* - SWGDE - Scientific Working Group on Digital Evidence

Wednesday, December 8, 2010

Anti-Anti-Wikileaks e seus efeitos


Nós já publicamos por aqui artigos sobre vazamento de informações, e logo que foram publicadas informações relevantes pelo Wikileaks, atualizamos também posts relevantes como (Operação Aurora e Stuxnet).

Como sabemos, a informação em formato digital é extremamente difícil de ser controlada, sejam dados secretos fluindo de uma rede ultra-secreta para um computador pessoal - como foi o caso do vazamento pela Wikileaks dos dados militares do Iraque e Afeganistão (a fonte do site era Bradley Manning, que tinha acesso top-secret) - seja um código malicioso super especializado como o Stuxnet indo via pendrive de uma rede de negócios para uma rede de controle de infra-estruturas críticas.

O que deve ser controlado em qualquer ambiente é o acesso à informação, preferencialmente usando o princípio de "need-to-know". Aos interessados segue boa documentação sobre classificação da informação:

O site inicialmente foi alvo de um "hackivista" chamado "th3j35t3r" - que parece estar querendo chamar atenção para suas ações e sua ferramenta 37337 chamada "XerXes" (vídeo). A ferramenta XerXes usava uma rede de proxies anônimos para amplificar uma vulnerabilidade presente nos servidores Web Apache - mais informações sobre o "Slowloris", aqui.

Hoje (08/12/2010) várias das empresas que "viraram as costas" para o Wikileaks estão sofrendo ataques maciços de negação de serviço - ou DDOS (Distributed Denial of Service) - que inviabilizam sua presença online.

O grupo "Anonymous", através do perfil do twitter "anon_operation" está comandando os ataques às empresas, que por pedido do governo americano bloquearam os serviços que eram utilizados pela Wikileaks. No momento em que escrevo este post, o site do grupo (http://anonops.net/) está fora do ar também (e seu perfil no Facebook foi bloqueado)

O ataque é distribuído, e mais de 1500 "bots voluntários" se unem a um canal de irc (ou a uma conta no twitter) para baixar a ferramenta "LOIC" (Low Orbit Ion Cannon) - que pode ser configurada em modo Hive Mind (algo como "Consciência Coletiva" - para que a máquina vire um zumbi pré-configurado para atacar os alvos escolhidos pelo grupo.

O último alvo foi a VISA (www.visa.com) que no momento em que escrevo este post está inacessível.

Segue a lista dos alvos publicados e que já foram afetados pelo grupo:

A NetCraft está monitorando em tempo real a disponibilidade dos sites envolvidos nestes ataques.

Com relação à mitigação destes tipos de ataque, recomendo o PeakFlow da ArborNetworks, contra o Slowloris, veja as últimas atualizações do modsecurity. E claro, se couber no orçamento colocar (parte de) seu serviço na Akamai ou Amazon Elastic Computing Cloud também resolve.. =)

[ Update: outra ferramenta disponibilizada pelo grupo "Anonymous", continha o código fonte e foi modificada e redistribuída pelo th3j35t3r, com backdoor que facilita a identificação dos usuários ]

Mais informações:

Sunday, November 14, 2010

A atenção seletiva e a Resposta a Incidentes Corporativa - parte 1/2


Este curto post está no meu backlog há mais de um ano. Resolvi publicá-lo pela importância de reforçar a necessidade de uma abordagem mais moderna, inovadora e criativa dos problemas relacionados à segurança de informação em grandes empresas.

Sabemos que os desafios enfrentados por uma equipe responsável por responder incidentes de segurança em uma organização (pública ou privada) moderna são inúmeros. Os clientes internos de um grupo de resposta a incidentes (CSIRT) incluem - mas não se limitam - às áreas de auditoria, recursos humanos, anti-fraude, segurança patrimonial, inspetoria, jurídico e governança. Isto sem falar dos desafios inerentes à Tecnologia da Informação e proteção dos ativos críticos da empresa.

Múltiplas abordagens e diferentes ferramentas são utilizadas para tentar aumentar a visualização das ameaças reais para diminuir o tempo de resposta e o impacto. Conscientização interna, metodologias de desenvolvimento seguro e de testes de segurança de aplicações, implementação de dispositivos de segurança de rede como firewalls e IDS/IPS, hardening e configuração segura de sistemas operacionais e serviços, correlação de eventos de negócio e segurança com ferramentas SIEM, redução da superfície passível de ataque, proteção de endpoints com anti-vírus, DLPs, NACs, e várias outras siglas que nascerão e desaparecerão com o tempo..

O conceito de segurança em profundidade (defense in depth) há muito mostra as vantagens do modelo de camadas de proteção para redução dos problemas advindos de incidentes de segurança. Outro conceito importante é o de segurança baseada em tempo (TBS) que objetiva identificar um incidente a tempo de minimizar seu impacto dentro de um ambiente.

Porém qualquer um que já trabalhou em um ambiente real que possui todas ou várias destas soluções implementadas conhece o desafio real de se gerenciar tudo isto e de se manter a atenção focada no risco real para o negócio e nos incidentes mais críticos. Primeiro, precisamos considerar que a barreira do "perímetro" já não existe da mesma maneira, isto sem falar da massa imensa de dados a ser analisada, processada e digerida para que decisões adequadas possam ser tomadas tempestivamente.

Muitas empresas mantém grupos de resposta a incidentes (CSIRTs) e analistas responsáveis por monitorar a rede, os registros de ativos de segurança, logs de aplicações, etc.. eles estão fazendo o seu trabalho corretamente, mas sabemos que mesmo empresas grandes e bem organizadas - como o Google - são surpreendidas por ataques com impactos colossais, quando bem orquestrados. Por que isto acontece?

Bem - primeiro por causa da elementar vantagem do atacante versus o defensor no campo cibernético - mas além disto, devido e a necessidade de atenção seletiva que esta situação gera (e isto inclui não só homens/hora, mas valores de investimento / planejamento / etc).

Mesmo quem tem equipes trabalhando adequadamente e olhando 24x7 para as consoles de todas as soluções listadas acima, está sujeito a ser surpreendido por não conseguir tratar o inesperado adequadamente.

Para ilustrar a minha argumentação, faça o teste de atenção seletiva proposto no vídeo abaixo:



Agora imagine que as suas soluções de segurança estejam configuradas adequadamente e que seu time esteja adequadamente as monitorando (as passagens de bola entre os jogadores de camisa branca)...

A implementação do conceito de "consciência situacional" é fundamental para evitar que mesmo monitorando milhões de logs, controlando os múltiplos dispositivos de segurança e respondendo a todos os incidentes conhecidos, algo de alto impacto e de fundamental importância não passe desapercebido pela equipe por não estar previsto pelas ferramentas e procedimentos já implementados.

Tudo isto não serve de nada se a nossa atenção está presa a conceitos fixos e resultados esperados, os maiores problemas serão sempre os que não estão no radar, e por isto a utilização de tecnologias que permitam aumentar a visibilidade e a "consciência situacional" são fundamentais.

Wednesday, November 3, 2010

70 mil page-views e lista de todos os posts


Obrigado a todos! Este blog comemora hoje a marca de 70.000 page-views, 477 leitores de RSS feed, 340 assinaturas por email e 644 seguidores no twitter.

Como fizemos na comemoração dos 10 mil, 20 mil, 30 mil, 40 mil, 50 mil e 60 mil, segue a listagem completa (183 posts) do que já foi publicados por aqui - talvez você tenha perdido algum assunto de interesse:

· Melhores ferramentas de Computação Forense. Prêmio SC...
· SHODAN - Computer Search Engine
· (in)Segurança das Urnas Eletrônicas
· Serie na TV Record "Crime na Rede"
· 107 blogs de Seguranca da Informação em português
· 10 Periódicos de Computação Forense
· Forense em Windows: Análise de Registro - Ferramen...
· StuxNet: CyberWarfare existe!
· ICCyber 2010 - Avanços Tecnológicos em Perícia Com...
· Sites-Ferramentas de Segurança
· Participação em Eventos: ICCyber 2010, Fecomércio, Senasic
· Docência no Mestrado em Informática Forense UnB
· DIRETRIZES PARA GERENCIAMENTO DE INCIDENTES GOVERNO
· ForensicArtifacts e outros banco de dados ...
· 60.000 page-views
· Interceptacao GSM nao autorizada (voz e dados)
· Sites-Ferramentas de Segurança
· 0day LNK + Infocon Amarelo + Senha default BD SCAD...
· Visualização e extração de conteúdo em Investigaçõ...
· Stealth - invasão de milhares de sites wordpress p...
· Remnux - Distribuição para Análise de Malware
· IDS/IPS Suricata 1.0 lançado
· Brasileiro desenvolve novo algoritmo de pattern-ma...
· Browser Forensics - bom material de referência pub...
· 2010 Report on Cyber Crime Investigation
· Segurança de Navegadores - Chrome é o único a sobr...
· DNSSEC - Antes tarde do que nunca
· Forense de Memória - Uma comparação de Ferramentas...
· Root DNS, CA e AS - uma questão de (des)confiança
· Google Street View coleta SSID, MAC e Payload de r...
· 50 MIL PageViews
· DNSSEC - Antes tarde do que nunca
· SecurityScoreboard - conheça e avalie produtos de ...
· Evento - NextGen NetWitness (Monitoração de Rede d...
· Brasil lidera ranking de solicitações judiciais ao...
· Root DNS, CA e AS - uma questão de (des)confiança
· Interceptacao GSM - e cordless - nao autorizada (v...
· 1º Workshop de Perícia Digital - Universidade Cató...
· Espionagem internacional China vs Tibet (GhostNet)...
· Browser Forensics - bom material de referência pub...
· Verizon lança Framework para Métricas de Incidente...
· Chrome é o único browser a sobreviver à desafio 0-...
· Forense de Memória: Port do Volatility para Enscri...
· Techbiz Forense Digital abre 12 vagas técnicas em ...
· Skypeex - análise de dump de memória - chats do Sk...
· Cheat Cheets de Segurança - Atalhos para CSIRTs
· China vs Google: Operação Aurora
· Validação de Hardwares e Softwares para Computação...
· Criptografia: Ataques RSA 768 e 1024 bits & FRED-S...
· Tendência: sites invadidos por hackers (Vivo/Oi/IG...
· Simulação de CyberWar Norte Americana e Hitler vs ...
· Evil Maid Attack - Ataque ao TrueCrypt Full Disk Encryption...
· IDS/IPS Suricata 0.8.1 lançado
· Medley - BH, ShmooCon, e mais novidades...
· China vs Google: Operação Aurora
· Interceptacao GSM nao autorizada (voz e dados)
· Fornecimento de informações no combate ao cibercrime..
· Validação de Hardwares e Softwares para Computação Forense...
· DNSSEC - Antes tarde do que nunca
· A saga de se manter seguro usando Windows
· Pirâmides e outros perigos no Twitter
· Espionagem internacional China vs Tibet (GhostNet)...
· Criptografia: Fatoracao RSA 768 bits e FRED-SC
· RAM Scraping, GPS router XSS, printer storage
· RegRipper & NIST Forensic Challenge
· 01/01/2010 - OISF Suricata, Into The Boxes, Visa O...
· Retrospectiva 2009 e Previsoes 2010
· Anti-Forense: DECAF v2
· Governo Obama lista cybersecurity como prioridade
· Material de Treinamento para equipes de Resposta a...
· Livros de Seguranca Resposta a Incidentes e Forens...
· Forense de Memória - Uma comparação de Ferramentas...
· 30.000 pageviews uma marca a se comemorar
· Fuzzy Logic e Fuzzy Hashing
· SHODAN - Computer Search Engine
· (in)Segurança das Urnas Eletrônicas
· Segurança do novo Sistema Operacional do Google: "...
· Vulnerabilidade SSLv3 e TLS
· Apagao e Hackers, Aconteceu ou é Possivel?
· Novas vulnerabilidades Windows - A volta do WinNuk...
· Forense de Memória - Uma comparação de Ferramentas...
· Expressoes Regulares em Resposta a Incidentes
· Pesquisa: Ataque remoto à marcapassos
· Anti-Forense
· Tipos de Monitoramento de Segurança de Rede
· Cibercrime tem nova lei (em Portugal)
· 7 (ou mais) Conceitos em Seguranca alem da Confide...
· ICCyber 2009
· Dados Volateis - Evolução na aquisicao de Evidenc...
· Site (Invadido por Hackers) da Vivo/Oi/IG foi util...
· Medley: Polypack, IEF, Norma CSIRTs, IIS exploit, ...
· Falsa Segurança - Uma verdade inconveniente
· Risco, Vulnerabilidade, Ameaça e Impacto
· 20.000 page-views! Um ano de blog e 100 posts
· Medley: Forense USB e Shadow, Backtrack 4, Twitter...
· Black Hat e Defcon 2009 - principais temas
· Tabela de referência rápida de hardware
· nmap 5.0
· Guidance Encast - Videos sobre Forense Computacion...
· Internet Explorer 8,7,6,... 0 Day Again...
· FBI: Programador Russo Roubou Código Secreto da Go...
· Falso Positivo em AntiVírus da Mcafee faz estrago
· T-Mobile: Invasão e leilão de dados internos
· Conferencia TechnoSecurity 2009
· CEIC 2009 - Parte dois
· CEIC 2009 - Parte um
· CEIC e TechnoSecurity
· Sequestro de dados e extorsão - da Rússia para o B...
· Vazamento de Informações e DLP - como abordar est...
· Mini-Guia de Uso Seguro de Desktops: 10 dicas esse...
· CIPAV - FBI utiliza Spyware em investigações onlin...
· Telefônica sofre ataques de negação de serviço (DD...
· Forense: automatizando a exportação de arquivos ba...
· GhostNet - possível espionagem internacional China...
· Conficker / DownadUp / Kido: De um erro de program...
· BluePill - Ataques à BIOS e Bots em Modems Linux
· 10.000 page-views - Audiência do Blog e Pesquisas ...
· CNASI RJ 2009
· Chrome é o único browser a sobreviver à desafio 0-...
· Mil e uma maneiras de invadir uma máquina com um P...
· (IN)SECURE MAGAZINE 20a EDICAO
· Material de Treinamento para equipes de Resposta a...
· (In)Segurança em Desenvolvimento de Software e o m...
· BBC aluga botnet para Spam e DDOS
· A saga de se manter seguro usando Windows - capítu...
· CyberWar Russia vs Estônia : a confirmação
· Dicas para Gerenciar Segurança durante a Recessão
· Fases de um Ataque: Stealth
· NSA paga Bilhões por grampo no Skype
· Windows7 UserAssist - Microsoft troca de ROT13 par...
· Projeto de Lei - Crimes Eletrônicos (PL 84/99)
· Governo Obama lista cybersecurity como prioridade
· TOP 25 CWE/SANS - Problemas de Segurança em Progra...
· pdymail - Forense de Memória para o Yahoo Mail
· Forjando certificados SSL que utilizam o MD5
· Encase + Memscript + Memoryze - facilitando a anal...
· ATENÇÃO: Patch para Vulnerabilidade Crítica do Int...
· DNSChanger - v4
· FACE: Automated digital evidence discovery and cor...
· MS08-067 - O Trojan está aí, e o uso em Bots e o W...
· UPDATE - Forense: aquisição e análise de dumps de ...
· Preparação / Procedimentos em alto nível para susp...
· Espionagem Industrial - Engenheiro da Intel que fo...
· Cymru disponibiliza serviço gratuito para verifica...
· pdgmail: nova ferramenta para Forense de Memória d...
· FBI prende 60 pessoas depois de 2 anos de operação...
· Sans Forensic Summit & afterthoughs
· T-Mobile/Deutsche Telekom e Shell Oil anunciam vaz...
· Edição de Outubro da INSECURE MAGAZINE
· Skype Chinês - Você está sendo vigiado... e suas ...
· Sans publica consenso sobre novas tendências de Re...
· Helix3 2.0 lançado
· Apresentação sobre logs para resposta a incidentes...
· Iphone Forensics Book & Video
· Venda de senhas do sistema INFOSEG
· Esteganografia na Folha de São Paulo para denuncia...
· Portal Brasileiro de Programação Segura Java
· Brasileiro preso na Holanda por aluguel de botnet ...
· OpenVas - fork GPL Free do Nessus
· China e EUA: Quer privacidade? Desligue e Tire a b...
· DNS Vuln + "Evilgrade" = Pandemônio em updates de...
· Presos os hackers responsáveis pelos maiores roubo...
· Falha no protocolo DNS descoberta / patches
· NIST: Performance Measurement Guide for Informatio...
· Ladrão que rouba de ladrão - versão online.
· China força hotéis a instalar software de monitora...
· ColdBoot Attack em Forense Computacional
· Adeona - solução OpenSource para Recuperação de No...
· HoneyBlog divulga registros sobre redes 'FastFlux'...
· TrueCrypt 6.0 - melhor e mais rápido.
· Botnets + 'Fast-Flux': alta disponibilidade para ...
· Engenharia Social: Google SafeBrowsing como isca
· Saiu a nova edição da INSECURE MAGAZINE
· Firefox 3: Novas Funcionalidades de Segurança
· Download do BackTrack 3 disponível
· DAM - Database Activity Monitoring
· Assinaturas/Regras não bastam - caso prático
· DLP e WAF, porque é tão difícil / Segurança em pro...
· Falhas de Cross Site Scripting em sites do Governo...
· Wargaming na Intel
· Criptografia forte - dos dois lados da guerra
· Incidentes de Segurança - O que os causa e como ev...
· Trojan Zlob/DNSChanger altera configurações de rou...

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)