Wednesday, October 24, 2012

Estratégias para mitigar intrusões direcionadas

[ Update 24/10/2012 ]

O governo australiano,  através de seu "Defence Signals Dictorate" acaba de divulgar um update para a lista de "Top 35 Mitigation Strategies" com algumas mudanças na priorização na "efetividade" das estratégias recomendadas de mitigação - vale a pena conferir e considerar na priorização de ações de defesa.

A tabela disponibilizada são medidos várias características da estratégia, incluindo "Efetividade Global de Segurança", a "Resistência dos Usuários", os "Custos de Implementação", os "Custos de Manutenção" e também se: a estratégia Previne e/ou Detecta a intrusão; e se ajuda a mitigar quais estágios da intrusão.

HTML /Tabela (PNG) / PDF

As dez estratégias de defesa mais eficientes:
  1. Whitelisting de Aplicações
  2. Patching de Aplicações
  3. Patching de Sistemas Operacionais
  4. Minimizar os usuários com permissões administrativas locais ou de domínio
  5. Desabilitar contas de administrador locais
  6. Autenticação de múltiplos fatores
  7. Segmentação e segregação de redes
  8. Firewall de Aplicação em Estações de trabalho para negar tráfico 'entrante'
  9. Firewall de Aplicação em Estações de trabalho para negar tráfico 'sainte'
  10. Sistema Virtualizado não persistente para atividades arriscadas como leitura de email e navegação na internet.

Veja todas as 35 estratégias no site oficial - Top 35 Mitigation Strategies.

[ Update - 03/08/2011 ]

A Mcafee acaba de divulgar informações sobre a "Operation Shady RAT". Trata-se de um relatório contendo detalhes de intrusões direcionadas a mais de 70 empresas, organizações e governos, nos últimos 5 anos. Vale a pena dar uma olhada no PDF e nos timelines disponibilizados.

Veja a descrição do modus operandi utilizado pelos adversários nas intrusões: 
"The compromises themselves were standard procedure for these types of targeted intrusions
(1) a spear-phishing email containing an exploit is sent to an individual with the right level of access at the company, and the 
(2) exploit when opened on an unpatched system will trigger a download of the implant malware. That 
(3) malware will execute and initiate a backdoor communication channel to the Command & Control web server and interpret the instructions encoded in the hidden comments embedded in the webpage code
(4) This will be quickly followed by live intruders jumping on to the infected machine and proceeding to quickly escalate privileges and 
(5) move laterally within the organization to establish new persistent footholds via additional compromised machines running implant malware, as well as (6) targeting for quick exfiltration the key data they came for"

Links Relacionados:

Ghostnet - http://sseguranca.blogspot.com/2009/03/ghostnet-possivel-espionagem.html
Aurora - http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html


[ Post Original - 20110802 ]

Apesar de sabermos que vulnerabilidades em aplicações (SQL Injection, Cross Site Scripting, etc..) são muito exploradas por adversários, o caminho mais fácil para invadir uma empresa é explorar seu elo mais fraco: o usuário...

O vídeo abaixo, da Silicium Sec, demonstra visualmente a facilidade de se obter sucesso com um ataque deste tipo (são mostrados 5 passos):


Além de explorar os usuários - que devem ser treinados para se conscientizar destes riscos e serem capazes de reagir adequadamente a este tipo de ataque - os atacantes contam também com a falta de preparo de administradores de T.I. e times de Segurança da Informação.

Mas afinal, o que as empresas devem fazer para que não sejam vítimas deste tipo de ataque?

O governo da Austrália, através de seu "Department of Defence - Intelligence and Security", divulgou uma lista "TOP 35 Mitigation Strategies" (sendo que as primeiras 4 são consideradas as mais importantes) - contendo as principais estratégias de mitigação para evitar que intrusões direcionadas utilizando técnicas como as divulgadas no vídeo acima tenham sucesso.

As estratégias de mitigação são apresentadas, incluindo colunas com a "Efetividade Global de Segurança", a "Resistência dos Usuários", os "Custos de Implementação", os "Custos de Manutenção" e também se: a estratégia Previne e/ou Detecta a intrusão; e se ajuda a mitigar quais estágios da intrusão (execução de código; propagação na rede; exfiltração de dados)

Seguem as 4 principais estratégias listadas:
  • Patch de aplicações (muito utilizadas e "bugadas") como leitores PDF, Microsoft Office, Java, Flash Player e navegadores;
  • Patch de vulnerabilidades dos sistemas operacionais;
  • Minimizar o número de usuários com privilégios administrativos (útil quando as vulnerabilidades de elevação de privilégio foram corrigidas);
  • Utilizar whitelisting de aplicações para ajudar a previnir que malware e outros programas não aprovados sejam executados.
Para a lista completa com as 35 estratégias e mais detalhes, acesse: http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm

Tuesday, October 23, 2012

III Seminario de Defesa Cibernetica, CyberWarfare e Geopolitica


III Seminário de Defesa Cibernética do Ministério da Defesa


O Ministério da Defesa organiza a partir de amanhã, até 6a feira o 3º Seminário de Defesa Cibernética. Tive a oportunidade e a honra de participar de todos os Seminários e sou testemunha que o evento vem melhorando e crescendo a cada ano, com cada vez mais interação e troca de experiências entre os participantes.

Neste ano, a Apura Inteligência em CiberSegurança estará presente mostrando seus produtos, serviços e programa de treinamentos para instituições governamentais.

Segundo o Ministério da Defesa, "o objetivo do evento é reunir e fomentar a discussão, a reflexão e troca de experiências entre instituições públicas, organizções civis e integrantes do ambiente acadêmico, tanto nacional, quanto internacional, que tenham relação com os assuntos inerentes ao setor de defesa cibernética".

Site oficial: http://www.3cibermd.eb.mil.br/


CyberWarfare:


Anti-Vírus e Geopolítica:

  • Recentemente a revista Wired publicou informações a respeito do fundador e dono da empresa de anti-vírus russa que leva seu nome,  Eugene Kaspersky - o acusando de trabalhar para o Kremlin. Eugene se defendeu em seu blog, dizendo que apenas provê expertise, e nada mais.
  • O próprio Eugene Kaspersky divulgou recentemente que sua empresa está desenvolvendo - há dez anos - um sistema operacional "seguro" para sistemas SCADA (de infra-estrutura crítica). 
  • Além da Kasperksy, a finlandesa F-Secure vêm se posicionando crítica a atuação de Anti-Vírus norteamericanos, como Mcafee e Symantec, por não detectar trojans supostamente utilizados por alguns governos. De fato, tanto no caso do Stuxnet, quanto no DuQu e Flame, as primeiras detecções ocorreram por empresas europeias. 
  • No início deste ano o Exército brasileiro comprou o código fonte do produto de Anti-Vírus da empresa BluePex, que em 2010 havia comprado a "AvWare". O movimento mostra uma preocupação com a soberania nacional e também pode prover a capacidade de controle do código fonte dos produtos responsáveis por identificar ataques cibernéticos em redes governamentais. É óbvio que muitas funcionalidades precisarão ser criadas para melhorar a eficiência do softwar, mas é um bom sinal perceber que as inovações tecnológicas necessárias agora podem ser feitas sobre um código sob controle do Brasil.
Posts Relacionados:

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)