Monday, December 30, 2013

Apresentações da Conferência CCC 30 e Catálogo NSA


Eu já disse por aqui que considero a CCC (Chaos Computer Club) a melhor conferência de segurança do mundo. Neste final de ano aconteceu a trigésima edição da conferência 30c3, e como de costume o material apresentado é excelente.

Para uma lista completa dos vídeos da conferência, veja:

https://www.youtube.com/playlist?list=PLOcrXzpA0W82rsJJKrmeBlY3_MS0uQv3h

Para download dos vídeos:

http://ftp.ccc.de/congress/2013/webm/?C=M;O=A

Se você vai ver apenas uma apresentação, recomendo a do Jacob Appelbaum (@ioerror): "To Protect and Infect, Part 2", onde ele detalha mais tecnicamente os projetos de espionagem eletrônica da NSA e os "Five Eyes".

https://www.youtube.com/watch?v=b0w36GAyZIA



(A parte 1 do "To Protect and Infect" é sobre a comercialização de exploits e produtos de controle remoto para governos, e também vale a pena)

Para uma lista dos slides relevantes aos programas apresentado na Parte 2, siga os link abaixo:

http://www.spiegel.de/international/world/a-941262.html (interativo)

http://cryptome.org/2013/12/nsa-catalog-appelbaum.pdf (pdf)

Monday, October 7, 2013

Espionagem "contra" o Brasil e o Marco Civil no Forno - Brasil pós Snowden



Como sabemos, a Lei de Combate aos Cibercrimes - que já era discutida há mais de 10 anos - acabou tendo sua aprovação acelerada depois do vazamento não autorizado de fotos da atriz Carolina Dieckmann e passou a ser conhecida como Lei Dieckmann.

O Marco Civil da Internet no Brasil (talvez Lei Snowden?), se propõe entre outras coisas a proteger a privacidade do cidadão na internet e parece ter recebido um efeito catalizador semelhante com os vazamentos de informações advindos de Edward Snowden, que tem sido divulgados no Brasil por Glenn Greenwald e a Rede Globo.

O último capítulo desta histórica aconteceu hoje no Fantástico: Ministério de Minas e Energia foi alvo de espionagem do Canadá (texto e vídeo).

Estas acusações se somam as de espionagem das comunicações da Presidenta do Brasil e da Petrobrás, feitas recentemente dentre as várias outras oriundas dos documentos obtidos por Snowden na NSA.

A Presidenta Dilma, que recentemente voltou ao Twitter depois de muito tempo, publicou hoje uma sequência de Tweets exatamente sobre isto:


[ Update 07/10/2013 ]



Para quem se interessou no livro que a Dilma está lendo sobre o assunto, ele se chama "The Shadow Factory: The Ultra-Secret NSA from 9/11 to the Eavesdropping on America" e pode ser comprado online.

Em um futuro não muito distante pretendo publicar um post analisando as diversas reações a ampla divulgação de atividades de espionagem internacional contra o Brasil, mas isto fica pra próxima.

PS: nosso blog está chegando a impressionante marca de 400.000 visitas! Muito obrigado a todos, e desculpem por não estar o atualizando com tanta frequência quanto fazia antigamente. Para atualizações diárias, sigam-me (e a Dilma ;) no twitter.

Monday, September 30, 2013

Thursday, August 8, 2013

Frameworks para compartilhamento de informacoes sobre incidentes de segurança


[ Update: 08/08/2013 ]

Uma versão interativa do último relatório da Verizon pode ser visto no link abaixo - recomendado:

http://public.tableausoftware.com/views/vcdb/Overview

[ Update: 25/04/2013 ]

Leitura obrigatória para quem trabalha na área, o "2013 Verizon Data Breach Report" inclui uma série de informações e métricas interessantes sobre incidentes de segurança ocorridos durante o ano passado. O  site do Framework Veris - padrão utilizado para compilar o relatório e já citado neste post - é uma ótima base para as organizações e CSIRTs de coordenação que precisam  lidar com fontes diversas de informações de incidentes: http://www.veriscommunity.net/doku.php

O que eu acabei conhecendo é um outro padrão, do CERT / Carnegie Mellon - chamado "The CERT Insider Threat Database" - que é um outro Framework interessante nos mesmos moldes - já incluído na lista de referências abaixo.

[ Update: 27/01/2013 ]

Um dos maiores desafios na área de Resposta a Incidentes é o compartilhamento de informações entre entidades - CSIRTs, Backbones, Provedores de Acesso  e Forças da Lei - entre outros. Por este motivo, conhecer e divulgar iniciativas bem sucedidas é de suma importância para todos os envolvidos.

Um dos grandes problemas que as organizações afetadas por incidentes de segurança enfrentam é a dificuldade de receber e enviar informações sobre os ataques bem sucedidos ocorridos na sua constituência para outras organizações como Grupos de Coordenação de Incidentes (como o CERT.BR e o CTIR.GOV, no Brasil) e até mesmo para Forças da Lei, por exemplo em eventos que precisem ser investigados sob o ponto de vista das novas leis de crimes cibernéticos brasileiras (12735/2012 e 12737/2012). 

Como o Dr. Emerson Wendt colocou em um artigo conjunto publicado há cerca de 3 anos atrás aqui no blog: "São diversas as ocasiões em que contatamos, com a devida ordem judicial, o suposto administrador da rede responsável e fomos informados que não  haveria como repassar a informação correta de qual computador e/ou usuário partiu o acesso criminoso". Nossa experiência mostra que esta realidade se repete há vários anos em vários estados e diferentes esferas federativas.

Por este motivo, meu objetivo com este post é chamar atenção para iniciativas já existentes de colaboração na área, seja pelo compatilhamento de eventos ou metadados relacionados a incidentes de segurança ou atividades consideradas indesejadas, seja por padronização na troca de informações que beneficiem os atores envolvidos em um processo de Resposta a Incidente de Segurança.

Além do OpenIOC, já citado anteriormente neste post, vale ressaltar algumas outras iniciativas de disseminação e compartilhamento de informações sobre incidentes de segurança (e possíveis crimes cibernéticos), relacionadas abaixo:

Padrões Abertos:


IDMEF - Intrusion Detection Message Exchange Format (IETF)
IODEF - Incident Object Description and Exchange Format (IETF)
CAPEC - Common Attack Pattern Enumeration and Classification (MITRE)
OVAL - Open Vulnerability and Assessment Language (MITRE)
MMEF Malware Metadata Exchange Format (IEEE)
SCAPSecurity Content Automation Protocol (NIST)
YARA - Malware Identification and Classification 
CITD - CERT INSIDER Threat Database  (CERT)


Padrões da Indústria:

CEF - Common Event Format (PDF) ArcSight/HP 
VERIS - Vocabulary for Event Recording and Incident Sharing (blog post) - Verizon
VRThttp://www.snort.org/vrt - SourceFire
OPENIOC - Open Indicators of Compromise - Mandiant (mais informações abaixo).


[ Update: 04/10/2012 ]

A dificuldade de se compartilhar informações sobre incidentes entre organizações é um problema antigo, e existem algumas alternativas que podem auxiliar quem está buscando soluções. 

Hoje sairam três updates interessantes sobre o assunto:


Python tools for IOC (Indicator of Compromise) handling
https://github.com/jeffbryner/pyioc

Understanding Indicators of Compromise (IOC) Part I
http://blogs.rsa.com/will-gragido/understanding-indicators-of-compromise-ioc-part-i/

Government Agencies Get Creative In APT Battle
http://www.darkreading.com/threat-intelligence/167901121/security/news/240008438/government-agencies-get-creative-in-apt-battle.html

[ Update: 17/11/2011 ]

Hoje o DarkReading publicou um interessante artigo sobre o OpenIOC:
No texto são também comentados outros frameworks já citados por aqui:
[ Post Original: 02/11/2011 ]

Framework OpenIOC - Open Indicators of Compromise

Considero o projeto iniciado pelo Kevin Mandia (publicado no livro "Incident Response & Computer Forensics") e agora disponibilizado oficialmente como um framework aberto (licença Apache 2) o mais organizado esforço da definição de um padrão (schema XML) que "descreve características técnicas de ameaças, metodologias de atacantes e outros indicadores de comprometimento" - útil demais para controle de modus operandi de incidentes, troca de informações intra e entre CSIRTs, interoperabilidade de ferramentas, entre outros.
Falei brevemente do OpenIOC durante uma apresentação sobre os avanços em Resposta a Incidentes e Computação Forense, durante o ICCyber 2010.


Mais informações:

FAQ: http://openioc.org/#faq

Base Schema: http://schemas.mandiant.com/2010/ioc/ioc.xsd

Other Schemas: http://schemas.mandiant.com/

OpenIOC Free Tools:
http://www.mandiant.com/products/free_software/iocfinder/
http://www.mandiant.com/products/free_software/ioceditor/

Other Free Tools: http://www.mandiant.com/products/free_software

+ info relacionada (2010): http://www.mandiant.com/presentations/state_of_the_hack_abcs_of_ioc/qa


Site oficial: http://openioc.org/

Monday, July 22, 2013

Visualizaçâo, Linha do tempo e Cobertura de ataques cibernéticos


[ 2013-07-22 Update ] 

Uma visualização muito interessante dos maiores incidentes envolvendo vazamento de dados nos últimos 10 anos pode ser vista no site "Information is Beautiful" - mais do que recomendada. As informações podem ser organizadas por ano ou método de vazamento (publicação acidental, hacking, insiders, computadores e mídias perdidas, etc), tipo de organização afetada, número de registros vazados e nível de sigilo dos dados acessados. Muito interessante.

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/


[ 2013-06-28 Update ]

Durante todo o ano de 2013, o Paolo Passeri tem mantido um excelente histórico de ataques conhecidos em seu site, incluindo a Data, o Autor, o Alvo, o tipo de Ataque (DDoS, SQLi, Defacement, Account Hijacking, etc..) - e também a categoria do ataque (Cyber Crime, Cyber Espionage, Hacktivism, Cyber Warfare).

Abaixo o link para o índice geral para o ano de 2013 recém divulgado:





[ 2011-09-11 Update ]


Em junho, a Thomson Reuters divulgou um gráfico com um timeline dos principais incidentes de segurança públicos de 2011. Desde então, Paolo Passeri - especialista em segurança da informação italiano - publica uma lista dos ataques ocorridos nos últimos meses (no mesmo formato).

Existe um índice principal com links para as tabelas contendo os timelines dos últimos meses:
Observação: A CNET continua atualizando o timeline referenciado nos links do post original abaixo:

[ 2011-08-01 Post Original ]

Há alguns dias a CNET disponibilizou uma planilha online que facilita muito o acompanhamento das notícias relacionadas à ataques cibernéticos cobertos pela imprensa internacional este ano.  A tabela inclui a data de divulgação do ataque, seu alvo, o suposto responsável, o motivo, o método, o dano, além de notas e links para os artigos relacionados.

São 87 incidentes cadastrados até o momento, desde o ataque à RSA (em 17 de março) até a divulgação do vazamento de dados pessoais de 35 milhões de sul-coreanos - na última sexta-feira, obtidos através da exploração do site Cyworld.

Post curto, mas com Bookmark obrigatório (escolha o seu):
Links relacionados a crescente divulgação de ataques cibernéticos pela mídia:

Sunday, July 21, 2013

Pesquisa abrangente sobre a prática de Resposta a Incidentes e Forense Digital (#DFIR)

O Sans Institute publicou hoje o resultado de uma pesquisa feita com 450 profissionais das áreas de Digital Forensics and Incident Response (#DFIR):

Destaco as seguintes recomendações e necessidades baseadas nas respostas dos profissionais ouvidos pela pesquisa:

  • Treinamento e certificações par ambientes virtuais e em nuvem.
  • Treinamento constante da área legal sobre aspectos tecnológicos e da área técnica sobre aspectos legais.
  • Análise do SLA para investigações forenses nos serviços em nuvem utilizadas. É importante que se estabeleçam políticas e treinamentos adequados antes  da migração para a nuvem
  • Maior envolvimento de advogados da empresa durante todas as investigações efetuadas, mesmo que inicialmente não pareça necessário.
  • Adaptação das normas e procedimentos a respeito de investigações internas, considerando as novas tecnologias e tendências tecnológicas, como a nuvem e o BYOD
  • Ferramentas de fácil utilização que proporcionem uma rápida identificação e detecção de incidentes para que o processo de resposta a incidentes seja efetivo.
  • Previsão orçamentária adequada para os processos investigativos de Resposta a Incidentes e Forense Computacional, para isto um envolvimento precoce da alta administração no planejamento de #DFIR é fundamental.
  • Maior interação e visibilidade com as áreas que tratam de segurança da informação para aumentar a visibilidade de incidentes e diminuição custo e do tempo necessário para neutralizá-los.
  • Conhecimento e documentação as ferramentas de investigação desenvolvidas internamente e expansão da relação com os fornecedores das ferramentas de mercado utilizadas, para customização das funcionalidades destas.

Dentre os resultados da pesquisa que foram publicados, destaco os ítens abaixo:


  • Maiores Desafios em investigações que envolvem mídias não convencionais, como máquinas virtuais, a nuvem, e dispositivos móveis de usuários (BYOD):



  • Principais motivos para conduzir investigações em meios digitais: 



  • Principais dispositivos e típos de mídias em que são conduzidas as investigações:


  • Tipos de ferramentas utilizadas para condução de investigações em ambientes virtuais e em nuvem:


  • Técnicas utilizadas  para condução de investigações envolvendo dispositivos móveis / BYOD:


  • Nível de satisfação com as ferramentas utilizadas para investigação de dispositivos de rede, endpoints e aplicações corporativas:



Para mais informações:




Tuesday, July 2, 2013

Mapeamento da Norma Forense ISO/IEC 27037 para a Computacao em Nuvem


A Cloud Security Alliance (CSA) publicou recentemente um documento interessante que mapeia a Norma ISO/IEC 27037 - "Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence" para a Computação em Nuvem.

A óbvia falta de maturidade dos processos relacionadas à identificação, obtenção, preservação e análise de dados que podem ser encontrados em ambientes virtualizados e inclui informações relevantes para clientes destes serviços, como o que deve estar previsto em SLAs.

Esta preparação pode ser crucial ao tratar incidentes de segurança, vazamentos de informação e suporte tecnológico a litígios envolvendo arquivos presentes em ambientes virtualizados próprios e de terceiros (na nuvem "privada" ou "pública").

Em contratos de Software as a Service (SAAS) são recomendados os seguintes SLOs (Service Level Objectives):

a. Webserver logs
b. Application server logs
c. Database logs
d. Guest operating system logs
e. Host access logs
f. Virtualization platform logs and SaaS portal logs
g. Network captures
h. Billing records

Em contratos de Platform as a Servie (PAAS) são recomendados os seguintes SLOs:

a. Webserver logs
b. Application server logs (see SaaS)
c. Guest operating system logs
d. Host access logs
e. Virtualization platform logs
f. Network captures
g. Billing records
h. Management portal logs

Em contratos de Infrastructure as a Service (IAAS) são recomendados os seguintes SLOs:

a. Cloud or network provider perimeter network logs
b. Logs from DNS servers
c. Virtual machine monitor (VMM) logs
d. Host operating system logs
e. API logs
f. Management portal logs
g. Packet captures
h. Billing records

São discutidas também as questões de responsabilidade de Resposta a Incidentes (é totalmente do cliente, compartilhada, apenas do prestador de serviço) nos diferentes serviços na nuvem contratados pelo cliente. Este tipo de decisão deve ser feita tempestivamente - e de preferência constar no contrato e nos SLAs com o fornecedor.

O documento apresenta também um quadro comparativo a partir de vários itens da ISO IEC 27037, considerando ambientes na Nuvem - imperdível.

O documento pode ser baixado diretamente do site da CSA  (PDF).

Monday, June 10, 2013

GCFE: ISC2 lança certificação em Forense Computacional - e outras opções

A ISC2, responsável pela certificação de segurança "CISSP", lançou hoje uma certificação de Forense Computacional, chamada  CCFP - "Certified Cyber Forensics Professional".

Hoje as mais importantes certificações na área são:

Vendor Neutral:
Professional:



Mais detalhes sobre a nova "CCFP":

"The CCFP provides multiple benefits to experienced cyber forensics professionals and to the organizations that employ them. For professionals, CCFP certification helps them to: 

• Validate and enhance their standing as advanced cyber forensics professionals with a comprehensive, credible certification;
• Instill employer confidence in their abilities and expand career opportunities with a credential that confirms their current expertise, as well as their capacity to grow and evolve with the forensics industry;
• Perform international forensics investigations, knowing that their CCFP counterparts in other countries will be using a common globally recognized body of knowledge; and
• Pursue ongoing education covering the latest advances in digital forensics science through the (ISC)2 periodic recertification process.

For organizations, the CCFP offers: 

• Confidence that their team has the knowledge and skills necessary to conduct forensically sound and accurate investigations and serve as undisputed experts in courts of law;
• An inherent screening tool and standardized measure of qualification to advance their digital forensics teams by hiring and promoting the most qualified professionals;
• Increased organizational integrity, credibility in the eyes of clients/stakeholders; and
• Peace of mind that their cyber forensics team is committed and capable of progressing with the forensics field through the CCFP’s necessary Continuing Professional Education (CPE) requirements. "


Mais informações sobre a CCFP:

Site Oficial: https://www.isc2.org/ccfp/Default.aspx
Press Release: https://www.isc2.org/PressReleaseDetails.aspx?id=10668

Tuesday, May 28, 2013

Roubo de Informações de empreiteiras militares norteamericanas - Vazamento de Informações e DLP - como abordar este desafio



[ Update: 28/05/2013 ]

Mais de 4 anos depois de nosso artigo original, vem a confirmação do vazamento de vários projetos militares que causaram um prejuízo bilionário aos Estados Unidos. A China é mais uma vez acusada de ser responsável pelos ataques que possibilitaram o vazamento das informações de projetos de defesa.

A lista de empreiteras militares americanas possivelmente afetadas cresce a cada dia: Boeing, Lockheed Martin, Raytheon, Northrop Grumman.

Abaixo uma tradução livre do texto original do Washington post, citando uma autoridade militar norteamericana:

"Em muitos casos, eles (as empreiteiras militares) não sabem que eles foram invadidos até o FBI bate à sua porta. São bilhões dólares de vantagem de combate para a China. Eles pouparam 25 anos de pesquisa e desenvolvimento. É loucura."

[ Post Original: 23/04/2009 ]

Várias áreas dentro de uma empresa (pública ou privada) se preocupam - ou deveriam se preocupar - direta ou indiretamente com os efeitos de vazamentos de informações: Segurança de Informações, Auditoria, Anti-Fraude, Risco, Recursos Humanos, Governança e Compliance - para citar algumas.

O princípio é simples: evitar que informações estratégicas e/ou valiosas da empresa caiam em mãos erradas, diminuindo a lucratividade e a credibilidade da empresa. Alcançar um controle sobre este processo, porém, é uma tarefa muito difícil.

Se fosse fácil, não veríamos tão frequentemente notícias como a publicadas nesta semana pelo Washington Post: dados sensíveis do projeto do mais moderno jato da força aérea americana de 300 bilhões de dólares - o F-35 Lightning II fighter - foram obtidos por atacantes ainda não identificados (mais aqui e aqui). Segundo os repórteres do Washington Post e Wired, as informações vazadas possibilitam a um adversário se defender melhor do jato e estudar as suas vulnerabilidades.

Virtualmente todas as normas regulatórias de compliance como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que as empresas tenham controle sobre suas informações sensíveis.

Estar compliance com estas regulações é apenas o começo, e obviamente não garante que você esteja imune a problemas de vazamento de informações - conforme a HeartLand aprendeu. O maior vazamento de números de cartões de crédito da história aconteceu em uma empresa que era "PCI Compliant".

Um vazamento de informações no âmbito corporativo pode ser igualmente temível, seja porque informações estratégicas irão voar para as mãos de um competidor, ou informações financeiras de clientes podem estar sendo obtidas por fraudadores - como no caso da HeartLand.

Há um ano atrás, escrevemos sobre o desafio em implementar com sucesso soluções de "Prevenção"/Proteção de Vazamento de Informações (DLP) em ambientes complexos.

O primeiro difícil passo continua sendo a de classificação adequada de informações. [ Em um levantamento feito pelo TCU em 2007, foi identificado que 80% dos órgãos do executivo analisados não fazem nenhuma classificação da informação ]. O cenário infelizmente não é muito diferente nas empresas privadas brasileiras.
Para conseguir iniciar um processo de classificação de informações é necessário conhecer/ classificar e controlar profundamente o estado e as alterações em suas aplicações e dados críticos. O visionário Dan Geer coloca sabiamente [tradução livre]:
  • Se você não sabe nada, 'permit-all' é a única opção;
  • Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
  • Se você sabe tudo, somente aí o 'default-deny' se torna possível.
Alguém sabe tudo? Com relação à prevenção de perda de dados sensíveis, saber tudo inclui:
  • saber quais dados são sensíveis; e
  • conhecer profundamente o ciclo de vida de todas suas informações sensíveis; e
  • controlar e monitorar o acesso, leitura e escrita destas informações durante todo o seu processamento dentro da empresa; e
  • desde a geração da informação, considerando todos sistemas que geram input para formar estas informações; e
  • também no processamento da informação em todos os sistemas internos e externos, além de workstations clientes envolvidas daí em diante; e
  • no momento de descarte desta informação, seja em forma de papel jogado fora (triture!) ou em máquinas antigas (faça wipe!) que estão sendo doadas; e
  • na guarda autorizada desta informação em todas os possíveis lugares por onde ela trafega (servidores, banco de dados, intranet, workstations, notebooks, rede, etc..); e
  • na maneira com que os colaboradores tratam estas informações (reunião com fornecedores via MSN?, Que tal disponibilizar um arquivo grande via P2P); e
  • no momento do desligamento de um colaborador, que informações críticas ele leva junto?;
  • na detectção da presença não autorizada desta informação em workstations, pen-drives, impressoras, sites externos, etc (DLP - data at rest) ; e
  • na detecção do tráfego não autorizado destas informações em redes não autorizadas ou para a internet (DLP - data in motion); e
  • monitorar toda a internet por possíveis informações da sua empresa que possam estar indevidamente disponíveis.
Como você pode perceber, a tarefa é muito difícil, virtualmente impossível se considerarmos e adversários bem preparados e devidamente motivados contra informações que trafegam em uma empresa complexa, com múltiplos fornecedores e clientes e alto grau de conectividade e de compartilhamento de informações.

Para abordar este desafio, além da tradicional abordagem de segurança em profundidade, existem três tipos de tecnologia de DLP (Data Loss Prevention/Protection):
  • Data at Rest (para identificação das informações de dados gravados - ou apagados - em HDs)
  • Data in Motion (para identificação das informações em trânsito internamente e saindo da empresa)
  • Data Classification (auxilia a classificação dos dados críticos)
As tecnologias de DLP (também chamadas de Data Leak Prevention, Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) e Extrusion Prevention System) utilizam várias técnicas para análise de conteúdo como palavras-chave, dicionários e expressões regulares e geram relatórios ou alertas que podem se integrar a uma solução de correlacionamento de eventos (SIEM).

Para mais informações, seguem alguns links de fornecedores de soluções de DLP e similares:
Outra referência é um livro muito interessante que fala sobre sobre o assunto: Network Extrusion Detection do Richard Bejtlich.

Para uma referência de casos de vazamento de informações, um site muito interessante que mantém um histórico é o datalossdb.org.

Sunday, May 26, 2013

Atualizada - Lista de 166 blogs de Seguranca da Informação em português


post original: 08/08/2008 | último update: 26/05/2013

Acesso rápido a esta página: http://tinyurl.com/blogseg

RSS Feed pacial da lista by Zucco | Agregator parcial da lista by Alexos

166 = 116 blogs brasileiros + 11 blogs portugueses  + 21 organizações 19 portais/revistas/podcasts

I - Blogs Autorais sobre Segurança da Informação brasileiros:
  1. Sandro Süffert: http://sseguranca.blogspot.com =)
  2. Ronaldo Lima: http://www.crimesciberneticos.com
  3. Pablo Ximenes: http://ximen.es/
  4. Emerson Wendt: http://www.emersonwendt.com.br
  5. Anchises de Paula: http://anchisesbr.blogspot.com
  6. Anderson Dadario: http://dadario.com.br/
  7. Luis Sales Rabelo: http://forensics.luizrabelo.com.br
  8. Fernando Amatte: http://segurancaimporta.blogspot.com
  9. Wagner Elias: http://wagnerelias.com
  10. Alexandro Silva: http://blog.alexos.com.br
  11. Jerryson Costa: http://www.reflexaodigital.com.br/
  12. Ruy de Oliveira: http://5minseg.blogspot.com
  13. Pedro Pereira:  http://www.pedropereira.net/
  14. Fernando Fonseca: http://segurancaobjetiva.wordpress.com
  15. Higor Jorge: http://cciberneticos.blogspot.com/
  16. Luiz Vieira: http://hackproofing.blogspot.com
  17. Paulo Pagliusi: http://mpsafe.blogspot.com
  18. Rodrigo Montoro: http://spookerlabs.blogspot.com
  19. Alfredo Santos: http://www.alfredosantos.com.br/
  20. Antônio César: http://rootgen.blogs pot.com/
  21. José Mariano A Filho: http://mariano.delegadodepolicia.com
  22. Tony Rodrigues: http://forcomp.blogspot.com
  23. Moisés Cassanti: http://www.crimespelainternet.com.br
  24. Pedro Zaniolo: http://www.crimesmodernos.com.br
  25. Júnior Moraes http://unsecurity.com.br/
  26. Diego Piffaretti: http://www.mundotecnologico.net
  27. Roney Medice: http://roneymedice.com.br
  28. Raphael e Flávio: http://0xcd80.wordpress.com
  29. Marcelo Fleury: http://marcelomf.blogspot.com/
  30. Daniel Checchia: http://checchia.net
  31. João Rufino de Sales: http://jrsseg.blogspot.com
  32. Roberto Soares: http://codesec.blogspot.com
  33. Antônio César: http://rootgen.blogs pot.com/
  34. Jonatas Baldin: http://metasecurity.blogspot.com.br/
  35. Paulo Sá Elias: http://www.direitodainformatica.com.br/
  36. Gustavo Lima: http://blog.corujadeti.com.br
  37. Anderson Clayton: http://periciadigitaldf.blogspot.com
  38. Fabiano Matias: http://remote-execution.blogspot.com
  39. Marcelo Assumpção: http://www.direitobitebyte.com.br
  40. Fernando Mercês: http://www.mentebinaria.com.br/blog
  41. Antônio Feitosa: http://lncc.br/~antonio/
  42. Marcos Nascimento: http://respostaincidente.blogspot.com
  43. José Milagre: http://josemilagre.com.br/blog/
  44. João Paulo Back: http://seginfoatual.blogspot.com
  45. Daniel Santana: http://danielmenezessantana.blogspot.com/
  46. Fernando Nery: http://monitoramentocontinuo.blogspot.com/
  47. Fabrício Braz: http://softwareseguro.blogspot.com
  48. João Eriberto: http://www.eriberto.pro.br/blog
  49. Raffael Vargas: http://imasters.com.br/autor/512/raffael-vargas
  50. Edison Figueira: http://efigueira.blogspot.com
  51. Thiago Galvão: http://www.grcti.com.br
  52. Alexandre Teixeira: http://foren6.wordpress.com
  53. Fábio Dapper: http://openpci.blogspot.com
  54. Carlos Cabral: http://uberitsecurity.blogspot.com
  55. Glaysson Santos: http://rapportsec.blogspot.com
  56. Leonardo Moraes: http://maiorativo.wordpress.com
  57. Rodrigo Jorge: http://qualitek.blogspot.com
  58. Laércio Motta: http://laerciomotta.com/
  59. Rodrigo Magdalena: http://rmagdalena.wordpress.com/
  60. Rafael Correa: http://www.rafaelcorrea.com.br
  61. Lucas Ferreira: http://blog.sapao.net
  62. Fernando Carbone: http://flcarbone.blogspot.com/
  63. Clandestine: http://clandestine-ethicalforense.blogspot.com/
  64. Luiz Zanardo: http://siembrasil.blogspot.com
  65. Marcelo Rocha: http://www.cybercrimes.com.br/
  66. Thiago Bordini: http://www.bordini.net/blog/
  67. Maycon Vitali : http://blog.hacknroll.com
  68. Samukt (Samuel?): http://www.inw-seguranca.com
  69. Marcos Cabral: http://maraurcab.blogspot.com
  70. Gilberto Sudre: http://gilberto.sudre.com.br
  71. Rogério Chola: http://rchola.blogspot.com
  72. Marcelo Fleury: http://marcelomf.blogspot.com
  73. Ed Santos: http://edsecinfo.blogspot.com/
  74. Flávio Anello: http://www.sec-ip.net
  75. Ulisses Castro: http://ulissescastro.com/
  76. Anderson: http://compforense.blogspot.com/
  77. Sérgio de Souza: http://www.layer8howto.net
  78. Silas Junior: http://silasjr.com
  79. Jerônimo Zucco: http://jczucco.blogspot.com
  80. Gabriel Lima: http://www.falandodeseguranca.com
  81. Marcelo Souza: http://marcelosouza.com
  82. Felipe Tsi: http://felipetsi.blogspot.com
  83. CamargoNeves: http://camargoneves.wordpress.com
  84. Ranieri de Souza: http://blog.segr.com.br
  85. Claudio Moura: http://webcasting-today.blogspot.com
  86. Otavio Ribeiro: http://otavioribeiro.com
  87. Ricardo Pereira: http://www.ricardosecurity.com.br/
  88. Paulo Braga: http://cyberneurons.blogspot.com
  89. Luis Bittencourt: http://arquivosmaximus.blogspot.com
  90. Marcos Abadi: http://marcosabadi.blogspot.com
  91. Bruno Gonçalves: http://g0thacked.wordpress.com 
  92. Gustavo Bittencourt: http://www.gustavobittencourt.com
  93. Marcelo Martins: http://administrandoriscos.wordpress.com
  94. William Caprino: http://mrbilly.blogspot.com
  95. Kembolle Amilkar: http://www.kembolle.co.cc 
  96. Alex Loula: http://alexloula.blogspot.com
  97. Victor Santos: http://hackbusters.blogspot.com
  98. Clandestine: http://clandestine-ethicalforense.blogspot.com
  99. Fábio Sales: http://www.abrigodigital.com.br
  100. Drak: http://deadpackets.wordpress.com
  101. John Kleber: http://www.hackernews.com.br
  102. Edison Fontes: http://www.itweb.com.br/blogs/blog.asp?cod=58
  103. Dantas: http://hackereseguranca.blogspot.com/
  104. Alex Silva: http://linux4security.blogspot.com/
  105. Clebeer: http://clebeerpub.blogspot.com/
  106. Paulo Cardoso: http://paulofcardoso.wordpress.com/
  107. Marcos Aurélio: http://deigratia33.blogspot.com
  108. Andre Machado: http://oglobo.globo.com/blogs/andremachado
  109. André Pitkowski: http://andrepitkowski.wordpress.com
  110. Jacó Ramos: http://computacaoforensepiaui.blogspot.com/
  111. Felipe Martins: http://www.felipemartins.info/pt-br/
  112. Heliton Júnior: http://www.helitonjunior.com
  113. Luiz Felipe Ferreira: http://usuariomortal.wordpress.com
  114. Denny Roger: http://blog.dennyroger.com.br
  115. Ivo e Ronaldo: http://brainsniffer.blogspot.com
  116. Pedro Quintanilha: http://pedroquintanilha.blogspot.com
II - Blogs sobre Segurança da Informação em Portugal:
  1. Miguel Almeida: http://miguelalmeida.pt/blog_index.html
  2. Carlos Serrão: http://blog.carlosserrao.net/
  3. WebSegura: http://www.websegura.net
  4. Infosec Portugal: http://www.infosec.online.pt
  5. CrkPortugal: http://www.crkportugal.net
  6. Seg. Informática: http://www.seguranca-informatica.ne
  7. ISMSPT: http://ismspt.blogspot.com
  8. WebAppSec: http://webappsec.netmust.eu
  9. Hugo Ferreira: http://www.hugoferreira.com/
  10. SysValue: http://blog.sysvalue.com/
  11. PCSeguro.pt: http://www.pcseguro.pt/blog/
III - Blogs/Notícias de Empresas e Universidades:
  1. 4Sec: http://www.4secbrasil.com.br/blog
  2. Aker: http://www.aker.com.br
  3. Apura: http://www.apura.com.br
  4. CertiSign: http://www.certisign.com.br/certinews
  5. Conviso: http://www.conviso.com.br/category/blog
  6. Clavis: http://www.blog.clavis.com.br
  7. Cipher: http://www.ciphersec.com.br
  8. FlipSide: http://www.flipside-scp.com.br/blog
  9. Future: http://www.future.com.br/?cont=noticias
  10. IBliss: http://www.ibliss.com.br/category/blog/
  11. IESB: http://segurancaiesb.blogspot.com
  12. Nod32: http://esethelp.blogspot.com
  13. Microsoft BR: http://blogs.technet.com/risco
  14. Módulo: http://www.modulo.com.br/comunidade
  15. Procela: http://www.procela.com.br
  16. Qualitek: http://www.qualitek.com.br
  17. Site Blindado: http://www.siteblindado.com/blog/
  18. Techbiz Forense: http://techbizforense.blogspot.com
  19. Tempest: http://blog.tempest.com.br
  20. Tivex: http://www.tivex.com.br/blog/
  21. True Access: http://www.trueaccess.com.br/noticias

IV - Portais/Revistas/Forums/Podcasts:
  1. SegInfo: http://www.seginfo.com.br/
  2. BackTrack Brasil: http://www.backtrack.com.br/
  3. CAIS/RNP: http://www.rnp.br/cais/alertas
  4. ThreatPost BR: http://threatpost.com/pt_br
  5. PCMag Firewall: http://pcmag.uol.com.br/firewall/
  6. ComputerWorld: http://computerworld.uol.com.br/seguranca
  7. IDGNow: http://idgnow.uol.com.br/seguranca
  8. NextHop: http://blog.nexthop.com.br
  9. Linha Defensiva: http://www.linhadefensiva.org
  10. ISTF: http://www.istf.com.br
  11. InfoAux: http://infoaux-security.blogspot.com
  12. Forum Invaders: http://www.forum-invaders.com.br/
  13. RfdsLabs: http://www.rfdslabs.com.br
  14. Segurança Linux: http://segurancalinux.com
  15. Proteção de Dados: http://protecaodedados.blogspot.com
  16. Crimes na Web: http://www.crimesnaweb.com.br
  17. Segurança Digital: http://www.segurancadigital.info
  18. NaoPod PodCast: http://www.naopod.com.br
  19. StaySafe PodCast: http://www.staysafepodcast.com.br

Apêndice: o Rodrigo Spooker Monteiro fez lista de twiteiros que trabalham com S.I. e o Anchises de Paula também mantém uma bem completa. Ambas possuem vários profissionais da área de segurança da informação do Brasil.

Você conhece mais algum blog sobre segurança da informação escrito em português para incluir na lista? Por favor, faça como os outros e sugira nos comentários!

Thursday, May 23, 2013

China vs Google: Operação Aurora - Espionagem e Contraespionagem



[ Update: 23/05/2013 ]

A Operação Aurora voltou a ser notícia esta semana com a divulgação feita pelo Washington Post de que além das informações de propriedade intelectual do Google (uma dentre as várias empresas atacadas durante a campanha detalhada nos Updates abaixo), foram também acessadas informações extremamente sensíveis como um banco de dados que continha dados de vários anos acerca da vigilância telemática feita pelo Governo Americano em suspeitos de Terrorismo e Espionagem de vários países, incluindo a china.



As ordens judiciais que continham informações sobre contas do Gmail que estavam sendo monitoradas por agências de segurança e inteligência americanas foram acessadas, e este conhecimento pode ter proporcionado à Pequim uma vantagem de contraespionagem incluindo o término de operações e a mudança de modus-operandi e inclusão de informações falsas para confundir e controlar os esforços de inteligência do governo norte-americano.

Mais informações:

http://www.washingtonpost.com/world/national-security/chinese-hackers-who-breached-google-gained-access-to-sensitive-data-us-officials-say/2013/05/20/51330428-be34-11e2-89c9-3be8095fe767_story.html




[ Update: 28/11/2010 ]

Neste final de semana, foi feita a divulgação pela WikiLeaks de 250 mil documentos diplomáticos dos Estados Unidos(*), incluindo 15 mil secretos e 100 mil confidenciais (!!)

Muito material já havia sido enviado anteriormente pela WikiLeaks para diferentes jornais ao redor do mundo (The New York Times, Le Monde, Guardian e Der Spiegel).

O site do WikiLeaks sofreu um ataque de negação de serviço logo antes de publicar as informações. No caso do WikiLeaks são tantos os interessados na não divulgação dos dados que vai ser difícil atribuir a responsabilidade (mais sobre atribuição no final deste post).

Obviamente o impacto no mundo diplomático foi gigantesco. Nos primeiros momentos já foram digeridas e publicadas por vários jornais informações impactantes presentes nas comunicações diplomáticas norte-americanas que vazaram, como:
Mas o que mais nos chamou a atenção dentre todo este material são as informações bastante interessantes sobre a Operação Aurora - mais especificamente sobre a comunicação diplomática entre os Estados Unidos e a China logo após a Operação Aurora, da qual o resto deste post trata em detalhes.

Vejam este comentário do New York Times (link exige cadastro para visualização - sugiro usar omailinator ou o bugmenot =)

"A global computer hacking effort: China’s Politburo directed the intrusion into Google’s computer systems in that country, a Chinese contact told the American Embassy in Beijing in January, one cable reported. The Google hacking was part of a coordinated campaign of computer sabotage carried out by government operatives, private security experts and Internet outlaws recruited by the Chinese government. They have broken into American government computers and those of Western allies, the Dalai Lama and American businesses since 2002, cables said."

Finalmente temos a confirmação de que o governo norte-americano sabia que a alta cúpula do governo chinês estava por trás dos ataques ocorridos nas mais de 30 empresas americanas (incluindo o Google) que resultaram em vazamento de informações confidenciais e estratégicas (inclusive código fonte)..

Isto explica, inclusive, o infra-citado apoio irrestrito concedido ao Google pelo governo dos Estados Unidos, inclusive pela Agência de Segurança Nacional norte-americana (NSA).

Para mais detalhes, continue lendo abaixo..
[ Update: 07/03/2010 ]

Novidades liberadas durante a conferência RSA indicam - como era esperado - que houve possibilidade de roubo e alteração de código interno de aplicações do Google e das outras empresas (30-100) atingidas pelo ataque (via Wired).

A possibilidade era bem real baseado no que já conhecíamos, mas agora foi confirmada e temos detalhes de várias vulnerabilidades exploradas dentro da companhia, incluindo no Software Configuration Management (SCM) utilizado pelo Google (Perforce).

O paper da Mcafee não chega a ser muito marqueteiro, e sugere algumas boas contramedidas recomendadas para as vulnerabilidades exploradas. Baixe-o aqui.

Mais informações:



[ Update: 10/02/2010 ]



A HBGary - empresa especialista em Malware Analysis e Memory Forensics - acaba de lançar um relatório bastante completo incluindo dicas de deteção e remoção de variantes - utilizando técnicas fuzzy - sobre o principal malware utilizado nos ataques conhecidos como "Operação Aurora".

Vale ressaltar que desde o lançamento do boletim MS10-002 da Microsoft (e consequente publicação do módulo do metasploit framework para exploração da vulnerabilidade) - há uma crescente utilização deste vetor de ataque em outros incidentes pelo mundo.

No relatório da HBGary são fornecidas informações valiosas, incluindo um inoculation shot (nome marketeiro para vacina) para eliminar o malware e suas variantes (a taxa de ~90% de similaridade é recomendada) remotamente (via WMI / ePO / AD) em uma rede corporativa.


Além da já conhecida capacidade avançada de análise gráfica de instruções de códigos em execução - que pode ser vista acima em um parser do Command & Control do malware, existem outras as funcionalidades interessantes no principal produto da HBGary: Responder Pro 2.0.

Uma delas é a geração de um Digital DNA baseado no comportamento, idioma, algoritimos e métodos utilizados pelos desenvolvedores do malware (a partir das instruções executadas em memória). Isto pode pode facilitar o processo de atribuição de responsabilidade e separação de grupos distintos de desenvolvedores em ataques similares.

A capacidade de visualização da ferramenta se extende a outros usos, como pode ser visto abaixo, com o timeline em segundos da execução do Dropper (A), do serviço svchost.exe (B) utilizado para executar o payload do malware (C) e o .BAT que remove - a maioria - dos rastros (D):


Muitos outros detalhes podem ser verificados no excelente paper publicado pela HBGary há poucas horas.
[ Update: 03/02/2010 ]


Para os que acreditam que a Operação Aurora e a discussão sobre Cyber War "China vs US" já é assunto ultrapassado, é FUD, ou foi apenas uma manchete temporária, talvez valha a pena salientar o real impacto relacionado aos ataques e técnicas discutidas neste artigo.

Com este objetivo, fiz questão de adicionar este rápido update para ressaltar a real importância da questão em pauta. A operação Aurora e a escalada do cyber crime / cyberwar foi o primeiro e principal assunto que o chefe da inteligência americana, Dennis Cutler Blair levou ao Senado dos Estados Unidos em uma declaração preparada por todas as agências de segurança americanas - mais detalhes / video (a partir de 41m:45s) (Selected Committee on Intelligence SH-216 - "Open Hearing: Current and Projected Threats to the United States").

[ Update: 31/01/2010 ]

Em 2008, me deparei com a pergunta "Quais seriam os Procedimentos (incluindo a preparação) em alto nível para tratar um incidente de suspeita de vazamento de dados?"
Para responder de uma maneira mais completa ao problema proposto, o ideal é que a equipe de resposta a incidentes responsável possa contar com 4 tipos de soluções, listadas por ordem de importância para o caso em pauta:

I - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados ao ataque (ex: NetWitness NextGen / CA Network Forensics)

II - Uma solução de SIEM/SEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidor comprometido, ids/ips, dhcp, dns, aplicações internas, catracas de acesso, sistema de ponto, controle de acesso lógico, etc) (ex: ArcSight / ISM Intellitatics / Symantec SIM)

III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco (ex: Encase Enterprise / F-Response / AccessData Enterprise )
IV - Uma ferarmenta de monitoração de atividade de desktops (ex: SpectorCNE, WorkExaminer) [item incluído em 18/10/2009]

Tentarei exemplificar o porque do posicionamento de uma solução de Forense de Rede em primeiro lugar na lista acima, me aproveitando de dados um caso tão complexo e sério quanto a Operação Aurora.

Para facilitar este trabalho, chegou às minhas mãos um material da NetWitness descrevendo as ações que podem ser tomadas por seus usuários para verificar se foram afetados pelo ataque descrito e com informações OSINT (Open Source Intelligence) obtidas da internet:

I - criar filtros para verificar conexões entrantes e saintes a partir dos seguintes hosts:

yahooo.8866.org

sl1.homelinux.org

360.homeunix.com

li107‐40.members.linode.com

ftp2.homeunix.com

update.ourhobby.com


II - verificar conexões SSL vindas do domínio homelinux.org, utilizando o TLS parser

III - checar tráfego destinado aos endereços IP dos servidores de Comando e Controle utilizados durante o ataque:
69.164.192.40

125.76.246.220

210.202.197.225

IV - utilizar a capacidade da solução de misturar diferentes camadas em regras para detectar atividades de beaconing:

service
=
80
&&
action
=
put
&&
client
=
'lynx'


(service
=
80
&&
action
=
put
&&
tcp.dstport
=
8080)
&&
(payload
=
939
&&
extension
=
zip,rm,jpg)


(ip.src
=
125.76.246.220,210.202.197.225
||
ip.dst
=

125.76.246.220,210.202.197.225)
&&
(service
=
80
&&
action
=
put)


alias.host
=
yahooo.8866.org,
sl1.homelinux.org,
360.homeunix.com,

li107­40.members.linode.com,
ftp2.homeunix.com,update.ourhobby.com


ip.src
=
69.164.192.40,125.76.246.220,210.202.197.225
||
ip.dst
=

69.164.192.40,125.76.246.220,210.202.197.225

Para quem nunca viu a interface do Investigator da Netwitness (que tem versão free) - segue um snapshot de um dos filtros citados acima em uma rede comprometida pela Operação Aurora:


Além disto, as seguintes
 recomendações são dadas pela NetWitness:

1. Watchlist "usuarios" seguindo o seguinte critério:

a. Executivos e/ou Autoridades
b. Administradores de Sistemas com acesso privilegiado
c. Empregados que recentemente foram citados pela imprensa

2. Watchlist "extensões" contendo minimamente:

a. Executáveis (EXE, COM, BAT, 
SCR, CMD, PIF)
b. Documentos que exploram vulnerabilidades: PDF, DOC, XLS, PPT, CHM
c. Arquivos Compactados (zip,
rar,
etc)


3. Watchlist de estações, servidores e hosts relacionados aos usuários da watchlist 1.

4. Avaliar TODO tráfego por quesitos que envolvam a combinação destas entidades, procurando por variações do comportamento normal.

[ Post Original : 16/01/2010 ]


Antes de mais nada, é necessário perceber que o que foi divulgado pelo Google na última semana não chega a ser uma novidade, e nem uma tática nova utilizada pelo governo Chinês ou outros.

A mídia especializada tem feito alguns comentários sobre o anúncio de que mais de 30 (ou 100?) empresas americanas (Google, Adobe, Microsoft, Juniper, Symantec, Yahoo, Northrup Grumman, Dow Chemical, entre outras - ex: setor de energia) foram atacadas de forma coordenada e praticamente simultânea por hackers supostamente patrocinados pelo governo Chinês (Operação Aurora - FAQ).

O principal objetivo dos atacantes foi a permanência prolongada nas redes internas das empresas afetadas para obtenção de informações privilegiadas e propriedade intelectual.. A Inglaterra também divulgou que têm sido atacada pelos chineses de maneira semelhante.

A desconfiança do envolvimento do governo chinês nos ataques passou a ter contornos mais detalhados a partir da revelação de analistas de malware sobre a utilização de um algorítimo incomum de criptografia (CRC-16) em no principal trojans utilizados e sua similaridade com papers somente publicados em chinês. Hoje já se sabe - por exemplo - que os atacantes exploraram a infra-estrutura de acesso a a contas do Gmail que o Google montou especialmente para a Polícia acessar em casos de quebra de sigilo autorizado pela Justiça.

O incidente em pauta é muito útil para diferenciar ataques avançados e críticos de problemas comuns de segurança e para avaliar se as contra-medidas que possuímos estão adequadas para abordar ambos os tipos de ataques.

As análises que já foram publicadas sobre o caso incluem "erros" que foram cometidos pelos hackers - como executar o ataque de forma concomintante em múltiplas empresas e utilizar um só servidor dropbox para enviar os dados (código fonte, informações confidenciais) roubados - facilitando assim que os analistas do Google descobrissem as outras empresas atingidas.

A indústria de segurança e a opinião pública já tiveram várias diferentes reações sobre o ocorrido. O nosso objetivo é tecer alguns comentários sobre o assunto sob a luz de alguns conceitos apresentados em posts anteriores neste blog:
  • 7 (ou mais) Conceitos em Seguranca alem da Confidencialidade, Integridade e Disponibilidade
    O conceito de APT -"Advanced Persistent Threat" - se de ataques contínuos utilizando amplos recursos (muito tempo e dinheiro investidos com firme propósito/intenção), em ataques que são altamente sofisticados e claramente direcionados. Neste tipo de situação, as defesas tradicionais e genéricas são inúteis. Para mais detalhes sobre o termo APT, sugiro este link.

    Um Anti-Vírus e um IDS/IPS - por melhor que sejam - são tecnologias moribundas, baseadas em assinatura e dependentes de já conhecerem o ataque - e por isto mesmo não detectarão códigos maliciosos customizados, ainda mais com vários níveis de evasão e criptografia como foi o caso do ataque em pauta.

    Por melhor que seja um programa de gerenciamento de patches, um ataque utilizando uma vulnerabilidade 0-day como a que foi explorada nestes ataques direcionados funcionará em 100% das máquinas atacadas.

  • E quando o atacante usa uma combinação de engenharia social (email/IM) e técnicas de "Drive-By Download", nem mesmo um anexo (doc, exe, ou pdf) precisa ser utilizado. Basta que um funcionário da empresa acesse um site utilizando - no caso - um Internet Explorer (6,7,8) para que o ataque tenha sucesso. Mais detalhes sobre o exploit utilizado, aqui. (update - a Microsoft lançou uma correção para o bug - que ela já conhecia desde setembro - e outras 7 vulnerabilidades do IE - veja o boletim e baixe o patch aqui).
    Talvez você esteja pensando - então não há como escapar! E - adivinhe - você está certo. Fazendo uma comparação com crimes reais - se você está preocupado com batedores de carteira, é bom sair de casa sem muito dinheiro no bolso, poucos documentos e sem relógio, além de evitar horários e lugares perigosos. Isto equivale no mundo virtual a defesa tradicional de AV/IDS/etc.
  • Mas se há um grupo profissional de criminosos atrás especialmente de você, a única forma de reagir eficientemente a esta situação é expô-los às autoridades e torcer para que eles sejam preso. Bem vindo ao mundo das Ameaças Persistentes e Avançadas (APT). Uma boa descrição das fases normalmente encontradas em ataques avançados e persistentes pode ser encontrada aqui:
  • A melhor forma de iniciar um contra-ataque efetivo às Ameaças Persitentes e Avançadas é expor o inimigo adequadamente e assim avançar no campo de batalha - em outras esferas de contra-ataque - enquanto tentar minimizar o prejuízo em casa.

    No caso de uma empresa atacada pelo crime organizado, isto pode ser feito envolvendo a polícia e a justiça para prender os responsáveis. No caso de várias empresas de um país sendo atacadas por um outro - como é o caso da "China vs Google + 30"- o caminho é envolver oficialmente o próprio governo americano na resposta ao incidente.

    Em ambos os casos, uma resposta responsável envolve a divulgação - minimamente para as partes afetadas e idealmente para a opinião pública - do ocorrido. O próximo passo é analisar e categorizar os atacantes (mais detalhes sobre isto ao final deste post), ferramentas, vulnerabilidades, processos e erros cometidos e obviamente modificar suas defesas baseado no que você vai encontrar durante a sua resposta a incidentes / forense do ocorrido.

    A mensagem para todas as empresas e países é: não adianta se retrair e tentar abafar o ocorrido, é necessário concentrar esforços na reação adequada a este tipo avançado de incidente e revisar a postura de segurança do ponto de vista de ameaças e atacantes reais e avançados e não tentar se esconder confortavelmente atrás de checklists de itens de compliance e conformidade ou de qualquer sigla de norma da área de segurança.

  • O governo alemão já deu o primeiro passo - proibiu terminantemente o uso de Internet Explorer - iniciativa que já foi seguida pelo governo Francês. Já é um começo.. O Google anunciou que vai parar de censurar resultados na China. E o governo americano já começou a se movimentar lentamente...
  • Um outro desdobramento interessante deste evento será acompanhar como as empresas atacadas e o governo americano irão responder as respostas evasivas da China (e também contra-acusações), considerando a dificuldade de se atribuir a responsabilidade de um ataque cibernético a uma pessoa,quanto mais a um país!
  • Atribuição de responsabilidade envolve identificar a ameaça, com o máximo de detalhes do ponto de vista de seus desdobramentos (Capacidade/Intenção/Oportunidade).
  • Richard Beijtlich e Mike Cloppert sugerem 20 características para atribuição da responsabilidade (ou autoria) de ataques cibernéticos - e isto pode servir de ponto de partida para que iniciemos uma resposta a ataques persistentes e avançados (APT) em nossas organizações: 1)Timing, 2)Vítimas, 3)Origem, 4)Mecanismo de Entrada, 5)Vulnerabilidade ou Exposição, 6)Exploit ou Payload, 7)Weaponization, 8)Atividade pós-exploração, 9)Método de Comando e Controle, 10)Servidores de Comando e Controle, 11)Ferramentas, 12)Mecanismo de Persistência, 13)Método de Propagação, 14)Dados Alvo, 15)Compactação de Dados, 16)Modo de Extrafiltração, 17)Atribuição Externa, 18)Profissionalismo, 19)Variedade de Técnicas, e 20)Escopo. 

Na minha opinião, apesar de APT agora estar entrando na moda, a sigla não importa tanto. O fundamental é tentar aproveitar ao máximo deste tipo de incidente e discussão para avaliar seriamente a sua capacidade de visibilidade e estratégias de detecção e reação contra roubo de informações e espionagem industrial perpetrada seja por quem for.

有时,重要的是要怕!

Se interessou pelo assunto? Envie seus comentários!

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)