Monday, December 30, 2013
Apresentações da Conferência CCC 30 e Catálogo NSA
Eu já disse por aqui que considero a CCC (Chaos Computer Club) a melhor conferência de segurança do mundo. Neste final de ano aconteceu a trigésima edição da conferência 30c3, e como de costume o material apresentado é excelente.
Para uma lista completa dos vídeos da conferência, veja:
https://www.youtube.com/playlist?list=PLOcrXzpA0W82rsJJKrmeBlY3_MS0uQv3h
Para download dos vídeos:
http://ftp.ccc.de/congress/2013/webm/?C=M;O=A
Se você vai ver apenas uma apresentação, recomendo a do Jacob Appelbaum (@ioerror): "To Protect and Infect, Part 2", onde ele detalha mais tecnicamente os projetos de espionagem eletrônica da NSA e os "Five Eyes".
https://www.youtube.com/watch?v=b0w36GAyZIA
(A parte 1 do "To Protect and Infect" é sobre a comercialização de exploits e produtos de controle remoto para governos, e também vale a pena)
Para uma lista dos slides relevantes aos programas apresentado na Parte 2, siga os link abaixo:
http://www.spiegel.de/international/world/a-941262.html (interativo)
http://cryptome.org/2013/12/nsa-catalog-appelbaum.pdf (pdf)
Labels:
ccc,
conferência,
ioerror,
nsa
Sunday, November 24, 2013
Material de Forense de Memoria atualizado e disponível para download
Material desenvolvido entre 2010 e 2013, apresentação disponível abaixo:
Monday, October 7, 2013
Espionagem "contra" o Brasil e o Marco Civil no Forno - Brasil pós Snowden
Como sabemos, a Lei de Combate aos Cibercrimes - que já era discutida há mais de 10 anos - acabou tendo sua aprovação acelerada depois do vazamento não autorizado de fotos da atriz Carolina Dieckmann e passou a ser conhecida como Lei Dieckmann.
O Marco Civil da Internet no Brasil (talvez Lei Snowden?), se propõe entre outras coisas a proteger a privacidade do cidadão na internet e parece ter recebido um efeito catalizador semelhante com os vazamentos de informações advindos de Edward Snowden, que tem sido divulgados no Brasil por Glenn Greenwald e a Rede Globo.
O último capítulo desta histórica aconteceu hoje no Fantástico: Ministério de Minas e Energia foi alvo de espionagem do Canadá (texto e vídeo).
Estas acusações se somam as de espionagem das comunicações da Presidenta do Brasil e da Petrobrás, feitas recentemente dentre as várias outras oriundas dos documentos obtidos por Snowden na NSA.
A Presidenta Dilma, que recentemente voltou ao Twitter depois de muito tempo, publicou hoje uma sequência de Tweets exatamente sobre isto:
[ Update 07/10/2013 ]
Para quem se interessou no livro que a Dilma está lendo sobre o assunto, ele se chama "The Shadow Factory: The Ultra-Secret NSA from 9/11 to the Eavesdropping on America" e pode ser comprado online.
PS: nosso blog está chegando a impressionante marca de 400.000 visitas! Muito obrigado a todos, e desculpem por não estar o atualizando com tanta frequência quanto fazia antigamente. Para atualizações diárias, sigam-me (e a Dilma ;) no twitter.
Labels:
ciberespionagem,
Dilma,
fantastico,
nsa,
snowden,
twitter
Monday, September 30, 2013
Timeline de Vazamentos de Edward Snowden
Apenas para referência, dois timelines dos vazamentos feitos por Edward Snowden nos últimos meses, veiculados em diferentes jornais e sites do mundo inteiro:
Al Jazeera: http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html (mais atualizado)
The Guardian: http://www.theguardian.com/world/2013/oct/14/nsa-files-live-coverage-of-all-developments-and-reaction
BBC: http://www.bbc.co.uk/news/world-us-canada-23768248
Cryptome: http://cryptome.org/2013/11/snowden-tally.htm
Labels:
snowden,
timeline,
vazamentos
Thursday, August 8, 2013
Frameworks para compartilhamento de informacoes sobre incidentes de segurança
[ Update: 08/08/2013 ]
Uma versão interativa do último relatório da Verizon pode ser visto no link abaixo - recomendado:
http://public.tableausoftware.com/views/vcdb/Overview
[ Update: 25/04/2013 ]
Leitura obrigatória para quem trabalha na área, o "2013 Verizon Data Breach Report" inclui uma série de informações e métricas interessantes sobre incidentes de segurança ocorridos durante o ano passado. O site do Framework Veris - padrão utilizado para compilar o relatório e já citado neste post - é uma ótima base para as organizações e CSIRTs de coordenação que precisam lidar com fontes diversas de informações de incidentes: http://www.veriscommunity.net/doku.php
O que eu acabei conhecendo é um outro padrão, do CERT / Carnegie Mellon - chamado "The CERT Insider Threat Database" - que é um outro Framework interessante nos mesmos moldes - já incluído na lista de referências abaixo.
[ Update: 27/01/2013 ]
Um dos maiores desafios na área de Resposta a Incidentes é o compartilhamento de informações entre entidades - CSIRTs, Backbones, Provedores de Acesso e Forças da Lei - entre outros. Por este motivo, conhecer e divulgar iniciativas bem sucedidas é de suma importância para todos os envolvidos.
Um dos grandes problemas que as organizações afetadas por incidentes de segurança enfrentam é a dificuldade de receber e enviar informações sobre os ataques bem sucedidos ocorridos na sua constituência para outras organizações como Grupos de Coordenação de Incidentes (como o CERT.BR e o CTIR.GOV, no Brasil) e até mesmo para Forças da Lei, por exemplo em eventos que precisem ser investigados sob o ponto de vista das novas leis de crimes cibernéticos brasileiras (12735/2012 e 12737/2012).
Como o Dr. Emerson Wendt colocou em um artigo conjunto publicado há cerca de 3 anos atrás aqui no blog: "São diversas as ocasiões em que contatamos, com a devida ordem judicial, o suposto administrador da rede responsável e fomos informados que não haveria como repassar a informação correta de qual computador e/ou usuário partiu o acesso criminoso". Nossa experiência mostra que esta realidade se repete há vários anos em vários estados e diferentes esferas federativas.
Por este motivo, meu objetivo com este post é chamar atenção para iniciativas já existentes de colaboração na área, seja pelo compatilhamento de eventos ou metadados relacionados a incidentes de segurança ou atividades consideradas indesejadas, seja por padronização na troca de informações que beneficiem os atores envolvidos em um processo de Resposta a Incidente de Segurança.
Além do OpenIOC, já citado anteriormente neste post, vale ressaltar algumas outras iniciativas de disseminação e compartilhamento de informações sobre incidentes de segurança (e possíveis crimes cibernéticos), relacionadas abaixo:
Padrões Abertos:
IDMEF - Intrusion Detection Message Exchange Format (IETF)
IODEF - Incident Object Description and Exchange Format (IETF)
CAPEC - Common Attack Pattern Enumeration and Classification (MITRE)
OVAL - Open Vulnerability and Assessment Language (MITRE)
MMEF - Malware Metadata Exchange Format (IEEE)
SCAP - Security Content Automation Protocol (NIST)
YARA - Malware Identification and Classification
CITD - CERT INSIDER Threat Database (CERT)
Padrões da Indústria:
CEF - Common Event Format (PDF) - ArcSight/HP
VERIS - Vocabulary for Event Recording and Incident Sharing (blog post) - Verizon
VRT - http://www.snort.org/vrt - SourceFire
OPENIOC - Open Indicators of Compromise - Mandiant (mais informações abaixo).
[ Update: 04/10/2012 ]
A dificuldade de se compartilhar informações sobre incidentes entre organizações é um problema antigo, e existem algumas alternativas que podem auxiliar quem está buscando soluções.
Hoje sairam três updates interessantes sobre o assunto:
Python tools for IOC (Indicator of Compromise) handling
https://github.com/jeffbryner/pyiocUnderstanding Indicators of Compromise (IOC) Part I
http://blogs.rsa.com/will-gragido/understanding-indicators-of-compromise-ioc-part-i/
http://www.darkreading.com/threat-intelligence/167901121/security/news/240008438/government-agencies-get-creative-in-apt-battle.html
[ Update: 17/11/2011 ]
Hoje o DarkReading publicou um interessante artigo sobre o OpenIOC:
No texto são também comentados outros frameworks já citados por aqui:
[ Post Original: 02/11/2011 ]
Framework OpenIOC - Open Indicators of Compromise
Considero o projeto iniciado pelo Kevin Mandia (publicado no livro "Incident Response & Computer Forensics") e agora disponibilizado oficialmente como um framework aberto (licença Apache 2) o mais organizado esforço da definição de um padrão (schema XML) que "descreve características técnicas de ameaças, metodologias de atacantes e outros indicadores de comprometimento" - útil demais para controle de modus operandi de incidentes, troca de informações intra e entre CSIRTs, interoperabilidade de ferramentas, entre outros.
Falei brevemente do OpenIOC durante uma apresentação sobre os avanços em Resposta a Incidentes e Computação Forense, durante o ICCyber 2010.
Mais informações:
FAQ: http://openioc.org/#faq
Base Schema: http://schemas.mandiant.com/2010/ioc/ioc.xsd
Other Schemas: http://schemas.mandiant.com/
OpenIOC Free Tools:
http://www.mandiant.com/products/free_software/iocfinder/
http://www.mandiant.com/products/free_software/ioceditor/
Other Free Tools: http://www.mandiant.com/products/free_software
+ info relacionada (2010): http://www.mandiant.com/presentations/state_of_the_hack_abcs_of_ioc/qa
Site oficial: http://openioc.org/
Labels:
CEF,
csirt,
forense digital,
IDMEF,
inteligencia,
IODEF,
MAEC,
mandiant,
MMEF,
openioc,
OVAL,
resposta a incidentes,
VERIS,
VRT,
YARA
Monday, July 22, 2013
Visualizaçâo, Linha do tempo e Cobertura de ataques cibernéticos
[ 2013-07-22 Update ]
Uma visualização muito interessante dos maiores incidentes envolvendo vazamento de dados nos últimos 10 anos pode ser vista no site "Information is Beautiful" - mais do que recomendada. As informações podem ser organizadas por ano ou método de vazamento (publicação acidental, hacking, insiders, computadores e mídias perdidas, etc), tipo de organização afetada, número de registros vazados e nível de sigilo dos dados acessados. Muito interessante.
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
[ 2013-06-28 Update ]
Durante todo o ano de 2013, o Paolo Passeri tem mantido um excelente histórico de ataques conhecidos em seu site, incluindo a Data, o Autor, o Alvo, o tipo de Ataque (DDoS, SQLi, Defacement, Account Hijacking, etc..) - e também a categoria do ataque (Cyber Crime, Cyber Espionage, Hacktivism, Cyber Warfare).
Abaixo o link para o índice geral para o ano de 2013 recém divulgado:
[ 2011-09-11 Update ]
Em junho, a Thomson Reuters divulgou um gráfico com um timeline dos principais incidentes de segurança públicos de 2011. Desde então, Paolo Passeri - especialista em segurança da informação italiano - publica uma lista dos ataques ocorridos nos últimos meses (no mesmo formato).
Existe um índice principal com links para as tabelas contendo os timelines dos últimos meses:
Observação: A CNET continua atualizando o timeline referenciado nos links do post original abaixo:
[ 2011-08-01 Post Original ]
Há alguns dias a CNET disponibilizou uma planilha online que facilita muito o acompanhamento das notícias relacionadas à ataques cibernéticos cobertos pela imprensa internacional este ano. A tabela inclui a data de divulgação do ataque, seu alvo, o suposto responsável, o motivo, o método, o dano, além de notas e links para os artigos relacionados.
São 87 incidentes cadastrados até o momento, desde o ataque à RSA (em 17 de março) até a divulgação do vazamento de dados pessoais de 35 milhões de sul-coreanos - na última sexta-feira, obtidos através da exploração do site Cyworld.
Post curto, mas com Bookmark obrigatório (escolha o seu):
- http://tinyurl.com/hackerchart (em uma só página)
- https://sites.google.com/site/cnethackerchart/ (original)
- http://tinyurl.com/hackerchartcsv (no formato .csv)
- http://tinyurl.com/hackerchartxls (no formato .xls)
- Freakonomics: Why Has There Been So Much Hacking Lately? Or Is It Just Reported More?
- FullFact: How sure can we be about media reports of rising cyber attacks?
Labels:
cnet,
crackers,
hackers,
hacktivismo,
rsa
Sunday, July 21, 2013
Pesquisa abrangente sobre a prática de Resposta a Incidentes e Forense Digital (#DFIR)
O Sans Institute publicou hoje o resultado de uma pesquisa feita com 450 profissionais das áreas de Digital Forensics and Incident Response (#DFIR):
Destaco as seguintes recomendações e necessidades baseadas nas respostas dos profissionais ouvidos pela pesquisa:
Dentre os resultados da pesquisa que foram publicados, destaco os ítens abaixo:
Para mais informações:
Destaco as seguintes recomendações e necessidades baseadas nas respostas dos profissionais ouvidos pela pesquisa:
- Treinamento e certificações par ambientes virtuais e em nuvem.
- Treinamento constante da área legal sobre aspectos tecnológicos e da área técnica sobre aspectos legais.
- Análise do SLA para investigações forenses nos serviços em nuvem utilizadas. É importante que se estabeleçam políticas e treinamentos adequados antes da migração para a nuvem
- Maior envolvimento de advogados da empresa durante todas as investigações efetuadas, mesmo que inicialmente não pareça necessário.
- Adaptação das normas e procedimentos a respeito de investigações internas, considerando as novas tecnologias e tendências tecnológicas, como a nuvem e o BYOD.
- Ferramentas de fácil utilização que proporcionem uma rápida identificação e detecção de incidentes para que o processo de resposta a incidentes seja efetivo.
- Previsão orçamentária adequada para os processos investigativos de Resposta a Incidentes e Forense Computacional, para isto um envolvimento precoce da alta administração no planejamento de #DFIR é fundamental.
- Maior interação e visibilidade com as áreas que tratam de segurança da informação para aumentar a visibilidade de incidentes e diminuição custo e do tempo necessário para neutralizá-los.
- Conhecimento e documentação as ferramentas de investigação desenvolvidas internamente e expansão da relação com os fornecedores das ferramentas de mercado utilizadas, para customização das funcionalidades destas.
Dentre os resultados da pesquisa que foram publicados, destaco os ítens abaixo:
- Maiores Desafios em investigações que envolvem mídias não convencionais, como máquinas virtuais, a nuvem, e dispositivos móveis de usuários (BYOD):
- Principais motivos para conduzir investigações em meios digitais:
- Principais dispositivos e típos de mídias em que são conduzidas as investigações:
- Tipos de ferramentas utilizadas para condução de investigações em ambientes virtuais e em nuvem:
- Técnicas utilizadas para condução de investigações envolvendo dispositivos móveis / BYOD:
- Nível de satisfação com as ferramentas utilizadas para investigação de dispositivos de rede, endpoints e aplicações corporativas:
Para mais informações:
- Baixe o PDF do relatório em: http://blogs.sans.org/computer-forensics/files/2013/07/sans_dfir_survey_2013.pdf
- Veja o post sobre o assunto no blog sobre Computação Forense do Sans Institute: http://computer-forensics.sans.org/blog/2013/07/19/sans-survey-of-digital-forensics-and-incident-response-dfir
Labels:
byod,
cloud,
ferramentas,
forense,
resposta a incidentes,
sans,
tools
Tuesday, July 2, 2013
Mapeamento da Norma Forense ISO/IEC 27037 para a Computacao em Nuvem
A Cloud Security Alliance (CSA) publicou recentemente um documento interessante que mapeia a Norma ISO/IEC 27037 - "Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence" para a Computação em Nuvem.
A óbvia falta de maturidade dos processos relacionadas à identificação, obtenção, preservação e análise de dados que podem ser encontrados em ambientes virtualizados e inclui informações relevantes para clientes destes serviços, como o que deve estar previsto em SLAs.
Esta preparação pode ser crucial ao tratar incidentes de segurança, vazamentos de informação e suporte tecnológico a litígios envolvendo arquivos presentes em ambientes virtualizados próprios e de terceiros (na nuvem "privada" ou "pública").
Em contratos de Software as a Service (SAAS) são recomendados os seguintes SLOs (Service Level Objectives):
a. Webserver logs
b. Application server logs
c. Database logs
d. Guest operating system logs
e. Host access logs
f. Virtualization platform logs and SaaS portal logs
g. Network captures
h. Billing records
Em contratos de Platform as a Servie (PAAS) são recomendados os seguintes SLOs:
a. Webserver logs
b. Application server logs (see SaaS)
c. Guest operating system logs
d. Host access logs
e. Virtualization platform logs
f. Network captures
g. Billing records
h. Management portal logs
Em contratos de Infrastructure as a Service (IAAS) são recomendados os seguintes SLOs:
a. Cloud or network provider perimeter network logs
b. Logs from DNS servers
c. Virtual machine monitor (VMM) logs
d. Host operating system logs
e. API logs
f. Management portal logs
g. Packet captures
h. Billing records
São discutidas também as questões de responsabilidade de Resposta a Incidentes (é totalmente do cliente, compartilhada, apenas do prestador de serviço) nos diferentes serviços na nuvem contratados pelo cliente. Este tipo de decisão deve ser feita tempestivamente - e de preferência constar no contrato e nos SLAs com o fornecedor.
O documento apresenta também um quadro comparativo a partir de vários itens da ISO IEC 27037, considerando ambientes na Nuvem - imperdível.
O documento pode ser baixado diretamente do site da CSA (PDF).
Monday, June 10, 2013
GCFE: ISC2 lança certificação em Forense Computacional - e outras opções
A ISC2, responsável pela certificação de segurança "CISSP", lançou hoje uma certificação de Forense Computacional, chamada CCFP - "Certified Cyber Forensics Professional".
Hoje as mais importantes certificações na área são:
Vendor Neutral:
Mais detalhes sobre a nova "CCFP":
"The CCFP provides multiple benefits to experienced cyber forensics professionals and to the organizations that employ them. For professionals, CCFP certification helps them to:
• Validate and enhance their standing as advanced cyber forensics professionals with a comprehensive, credible certification;
• Instill employer confidence in their abilities and expand career opportunities with a credential that confirms their current expertise, as well as their capacity to grow and evolve with the forensics industry;
• Perform international forensics investigations, knowing that their CCFP counterparts in other countries will be using a common globally recognized body of knowledge; and
• Pursue ongoing education covering the latest advances in digital forensics science through the (ISC)2 periodic recertification process.
For organizations, the CCFP offers:
• Confidence that their team has the knowledge and skills necessary to conduct forensically sound and accurate investigations and serve as undisputed experts in courts of law;
• An inherent screening tool and standardized measure of qualification to advance their digital forensics teams by hiring and promoting the most qualified professionals;
• Increased organizational integrity, credibility in the eyes of clients/stakeholders; and
• Peace of mind that their cyber forensics team is committed and capable of progressing with the forensics field through the CCFP’s necessary Continuing Professional Education (CPE) requirements. "
Mais informações sobre a CCFP:
Site Oficial: https://www.isc2.org/ccfp/Default.aspx
Press Release: https://www.isc2.org/PressReleaseDetails.aspx?id=10668
Hoje as mais importantes certificações na área são:
Vendor Neutral:
- GCFE - GIAC Certified Forensic Examiner (Sans)
- GCFA - GIAC Certified Forensic Analyst (Sans)
- CCE - Certified Computer Examiner (ISFCE)
- CCFE - Certified Computer Forensics Examiner (IACRB)
Professional:
- AVATAR -AccessData Value-Added, Technically Accredited Reseller (AccessData)
- ACE - AccessData Certified Examiner (AccessData)
- EnCE - Encase Certified Examiner (Guidance)
Mais detalhes sobre a nova "CCFP":
"The CCFP provides multiple benefits to experienced cyber forensics professionals and to the organizations that employ them. For professionals, CCFP certification helps them to:
• Validate and enhance their standing as advanced cyber forensics professionals with a comprehensive, credible certification;
• Instill employer confidence in their abilities and expand career opportunities with a credential that confirms their current expertise, as well as their capacity to grow and evolve with the forensics industry;
• Perform international forensics investigations, knowing that their CCFP counterparts in other countries will be using a common globally recognized body of knowledge; and
• Pursue ongoing education covering the latest advances in digital forensics science through the (ISC)2 periodic recertification process.
For organizations, the CCFP offers:
• Confidence that their team has the knowledge and skills necessary to conduct forensically sound and accurate investigations and serve as undisputed experts in courts of law;
• An inherent screening tool and standardized measure of qualification to advance their digital forensics teams by hiring and promoting the most qualified professionals;
• Increased organizational integrity, credibility in the eyes of clients/stakeholders; and
• Peace of mind that their cyber forensics team is committed and capable of progressing with the forensics field through the CCFP’s necessary Continuing Professional Education (CPE) requirements. "
Mais informações sobre a CCFP:
Site Oficial: https://www.isc2.org/ccfp/Default.aspx
Press Release: https://www.isc2.org/PressReleaseDetails.aspx?id=10668
Labels:
accessdata,
certificações,
forense,
isc2,
pericia,
sans
Tuesday, May 28, 2013
Roubo de Informações de empreiteiras militares norteamericanas - Vazamento de Informações e DLP - como abordar este desafio
[ Update: 28/05/2013 ]
Mais de 4 anos depois de nosso artigo original, vem a confirmação do vazamento de vários projetos militares que causaram um prejuízo bilionário aos Estados Unidos. A China é mais uma vez acusada de ser responsável pelos ataques que possibilitaram o vazamento das informações de projetos de defesa.
A lista de empreiteras militares americanas possivelmente afetadas cresce a cada dia: Boeing, Lockheed Martin, Raytheon, Northrop Grumman.
Abaixo uma tradução livre do texto original do Washington post, citando uma autoridade militar norteamericana:
"Em muitos casos, eles (as empreiteiras militares) não sabem que eles foram invadidos até o FBI bate à sua porta. São bilhões dólares de vantagem de combate para a China. Eles pouparam 25 anos de pesquisa e desenvolvimento. É loucura."
[ Post Original: 23/04/2009 ]
Várias áreas dentro de uma empresa (pública ou privada) se preocupam - ou deveriam se preocupar - direta ou indiretamente com os efeitos de vazamentos de informações: Segurança de Informações, Auditoria, Anti-Fraude, Risco, Recursos Humanos, Governança e Compliance - para citar algumas.
O princípio é simples: evitar que informações estratégicas e/ou valiosas da empresa caiam em mãos erradas, diminuindo a lucratividade e a credibilidade da empresa. Alcançar um controle sobre este processo, porém, é uma tarefa muito difícil.
Se fosse fácil, não veríamos tão frequentemente notícias como a publicadas nesta semana pelo Washington Post: dados sensíveis do projeto do mais moderno jato da força aérea americana de 300 bilhões de dólares - o F-35 Lightning II fighter - foram obtidos por atacantes ainda não identificados (mais aqui e aqui). Segundo os repórteres do Washington Post e Wired, as informações vazadas possibilitam a um adversário se defender melhor do jato e estudar as suas vulnerabilidades.
Virtualmente todas as normas regulatórias de compliance como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que as empresas tenham controle sobre suas informações sensíveis.
Estar compliance com estas regulações é apenas o começo, e obviamente não garante que você esteja imune a problemas de vazamento de informações - conforme a HeartLand aprendeu. O maior vazamento de números de cartões de crédito da história aconteceu em uma empresa que era "PCI Compliant".
Um vazamento de informações no âmbito corporativo pode ser igualmente temível, seja porque informações estratégicas irão voar para as mãos de um competidor, ou informações financeiras de clientes podem estar sendo obtidas por fraudadores - como no caso da HeartLand.
Há um ano atrás, escrevemos sobre o desafio em implementar com sucesso soluções de "Prevenção"/Proteção de Vazamento de Informações (DLP) em ambientes complexos.
O primeiro difícil passo continua sendo a de classificação adequada de informações. [ Em um levantamento feito pelo TCU em 2007, foi identificado que 80% dos órgãos do executivo analisados não fazem nenhuma classificação da informação ]. O cenário infelizmente não é muito diferente nas empresas privadas brasileiras.
Para conseguir iniciar um processo de classificação de informações é necessário conhecer/ classificar e controlar profundamente o estado e as alterações em suas aplicações e dados críticos. O visionário Dan Geer coloca sabiamente [tradução livre]:
- Se você não sabe nada, 'permit-all' é a única opção;
- Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
- Se você sabe tudo, somente aí o 'default-deny' se torna possível.
- saber quais dados são sensíveis; e
- conhecer profundamente o ciclo de vida de todas suas informações sensíveis; e
- controlar e monitorar o acesso, leitura e escrita destas informações durante todo o seu processamento dentro da empresa; e
- desde a geração da informação, considerando todos sistemas que geram input para formar estas informações; e
- também no processamento da informação em todos os sistemas internos e externos, além de workstations clientes envolvidas daí em diante; e
- no momento de descarte desta informação, seja em forma de papel jogado fora (triture!) ou em máquinas antigas (faça wipe!) que estão sendo doadas; e
- na guarda autorizada desta informação em todas os possíveis lugares por onde ela trafega (servidores, banco de dados, intranet, workstations, notebooks, rede, etc..); e
- na maneira com que os colaboradores tratam estas informações (reunião com fornecedores via MSN?, Que tal disponibilizar um arquivo grande via P2P); e
- no momento do desligamento de um colaborador, que informações críticas ele leva junto?;
- na detectção da presença não autorizada desta informação em workstations, pen-drives, impressoras, sites externos, etc (DLP - data at rest) ; e
- na detecção do tráfego não autorizado destas informações em redes não autorizadas ou para a internet (DLP - data in motion); e
- monitorar toda a internet por possíveis informações da sua empresa que possam estar indevidamente disponíveis.
Para abordar este desafio, além da tradicional abordagem de segurança em profundidade, existem três tipos de tecnologia de DLP (Data Loss Prevention/Protection):
- Data at Rest (para identificação das informações de dados gravados - ou apagados - em HDs)
- Data in Motion (para identificação das informações em trânsito internamente e saindo da empresa)
- Data Classification (auxilia a classificação dos dados críticos)
Para mais informações, seguem alguns links de fornecedores de soluções de DLP e similares:
Outra referência é um livro muito interessante que fala sobre sobre o assunto: Network Extrusion Detection do Richard Bejtlich.
Para uma referência de casos de vazamento de informações, um site muito interessante que mantém um histórico é o datalossdb.org.
Labels:
auditoria,
dlp,
governo,
segurança em profundidade,
usa,
vazamento de informações
Sunday, May 26, 2013
Atualizada - Lista de 166 blogs de Seguranca da Informação em português
post original: 08/08/2008 | último update: 26/05/2013
Acesso rápido a esta página: http://tinyurl.com/blogseg
RSS Feed pacial da lista by Zucco |Agregator parcial da lista by Alexos
RSS Feed pacial da lista by Zucco |
166 = 116 blogs brasileiros + 11 blogs portugueses + 21 organizações + 19 portais/revistas/podcasts
I - Blogs Autorais sobre Segurança da Informação brasileiros:
- Sandro Süffert: http://sseguranca.blogspot.com =)
- Ronaldo Lima: http://www.crimesciberneticos.com
- Pablo Ximenes: http://ximen.es/
- Emerson Wendt: http://www.emersonwendt.com.br
- Anchises de Paula: http://anchisesbr.blogspot.com
- Anderson Dadario: http://dadario.com.br/
- Luis Sales Rabelo: http://forensics.luizrabelo.com.br
- Fernando Amatte: http://segurancaimporta.blogspot.com
- Wagner Elias: http://wagnerelias.com
- Alexandro Silva: http://blog.alexos.com.br
- Jerryson Costa: http://www.reflexaodigital.com.br/
- Ruy de Oliveira: http://5minseg.blogspot.com
- Pedro Pereira: http://www.pedropereira.net/
- Fernando Fonseca: http://segurancaobjetiva.wordpress.com
- Higor Jorge: http://cciberneticos.blogspot.com/
- Luiz Vieira: http://hackproofing.blogspot.
com - Paulo Pagliusi: http://mpsafe.blogspot.com
- Rodrigo Montoro: http://spookerlabs.blogspot.
com - Alfredo Santos: http://www.alfredosantos.com.br/
- Antônio César: http://rootgen.blogs pot.com/
- José Mariano A Filho: http://mariano.delegadodepolicia.com
- Tony Rodrigues: http://forcomp.blogspot.com
- Moisés Cassanti: http://www.crimespelainternet.com.br
- Pedro Zaniolo: http://www.crimesmodernos.com.br
- Júnior Moraes http://unsecurity.com.br/
- Diego Piffaretti: http://www.mundotecnologico.net
- Roney Medice: http://roneymedice.com.br
- Raphael e Flávio: http://0xcd80.wordpress.com
- Marcelo Fleury: http://marcelomf.blogspot.com/
- Daniel Checchia: http://checchia.net
- João Rufino de Sales: http://jrsseg.blogspot.com
- Roberto Soares: http://codesec.blogspot.com
- Antônio César: http://rootgen.blogs pot.com/
- Jonatas Baldin: http://metasecurity.blogspot.com.br/
- Paulo Sá Elias: http://www.direitodainformatica.com.br/
- Gustavo Lima: http://blog.corujadeti.com.br
- Anderson Clayton: http://periciadigitaldf.blogspot.com
- Fabiano Matias: http://remote-execution.blogspot.com
- Marcelo Assumpção: http://www.direitobitebyte.com.br
- Fernando Mercês: http://www.mentebinaria.com.br/blog
- Antônio Feitosa: http://lncc.br/~antonio/
- Marcos Nascimento: http://respostaincidente.blogspot.com
- José Milagre: http://josemilagre.com.br/blog/
- João Paulo Back: http://seginfoatual.blogspot.com
- Daniel Santana: http://danielmenezessantana.blogspot.com/
- Fernando Nery: http://monitoramentocontinuo.blogspot.com/
- Fabrício Braz: http://softwareseguro.blogspot.com
- João Eriberto: http://www.eriberto.pro.br/blog
- Raffael Vargas: http://imasters.com.br/autor/512/raffael-vargas
- Edison Figueira: http://efigueira.blogspot.com
- Thiago Galvão: http://www.grcti.com.br
- Alexandre Teixeira: http://foren6.wordpress.com
- Fábio Dapper: http://openpci.blogspot.com
- Carlos Cabral: http://uberitsecurity.blogspot.com
- Glaysson Santos: http://rapportsec.blogspot.com
- Leonardo Moraes: http://maiorativo.wordpress.com
- Rodrigo Jorge: http://qualitek.blogspot.com
- Laércio Motta: http://laerciomotta.com/
- Rodrigo Magdalena: http://rmagdalena.wordpress.com/
- Rafael Correa: http://www.rafaelcorrea.com.br
- Lucas Ferreira: http://blog.sapao.net
- Fernando Carbone: http://flcarbone.blogspot.com/
- Clandestine: http://clandestine-ethicalforense.blogspot.com/
- Luiz Zanardo: http://siembrasil.blogspot.com
- Marcelo Rocha: http://www.cybercrimes.com.br/
- Thiago Bordini: http://www.bordini.net/blog/
- Maycon Vitali : http://blog.hacknroll.com
- Samukt (Samuel?): http://www.inw-seguranca.com
- Marcos Cabral: http://maraurcab.blogspot.com
- Gilberto Sudre: http://gilberto.sudre.com.br
- Rogério Chola: http://rchola.blogspot.com
- Marcelo Fleury: http://marcelomf.blogspot.com
- Ed Santos: http://edsecinfo.blogspot.com/
- Flávio Anello: http://www.sec-ip.net
- Ulisses Castro: http://ulissescastro.com/
- Anderson: http://compforense.blogspot.com/
- Sérgio de Souza: http://www.layer8howto.net
- Silas Junior: http://silasjr.com
- Jerônimo Zucco: http://jczucco.blogspot.com
- Gabriel Lima: http://www.falandodeseguranca.com
- Marcelo Souza: http://marcelosouza.com
- Felipe Tsi: http://felipetsi.blogspot.com
- CamargoNeves: http://camargoneves.wordpress.
com - Ranieri de Souza: http://blog.segr.com.br
- Claudio Moura: http://webcasting-today.blogspot.com
- Otavio Ribeiro: http://otavioribeiro.com
- Ricardo Pereira: http://www.ricardosecurity.com.br/
- Paulo Braga: http://cyberneurons.blogspot.com
- Luis Bittencourt: http://arquivosmaximus.blogspot.com
- Marcos Abadi: http://marcosabadi.blogspot.com
- Bruno Gonçalves: http://g0thacked.wordpress.com
- Gustavo Bittencourt: http://www.gustavobittencourt.com
- Marcelo Martins: http://administrandoriscos.wordpress.com
- William Caprino: http://mrbilly.blogspot.com
- Kembolle Amilkar: http://www.kembolle.co.cc
- Alex Loula: http://alexloula.blogspot.com
- Victor Santos: http://hackbusters.blogspot.com
- Clandestine: http://clandestine-ethicalforense.blogspot.com
- Fábio Sales: http://www.abrigodigital.com.br
- Drak: http://deadpackets.wordpress.com
- John Kleber: http://www.hackernews.com.br
- Edison Fontes: http://www.itweb.com.br/blogs/blog.asp?cod=58
- Dantas: http://hackereseguranca.blogspot.com/
- Alex Silva: http://linux4security.blogspot.com/
- Clebeer: http://clebeerpub.blogspot.com/
- Paulo Cardoso: http://paulofcardoso.wordpress.com/
- Marcos Aurélio: http://deigratia33.blogspot.com
- Andre Machado: http://oglobo.globo.com/blogs/andremachado
- André Pitkowski: http://andrepitkowski.wordpress.com
- Jacó Ramos: http://computacaoforensepiaui.blogspot.com/
- Felipe Martins: http://www.felipemartins.info/pt-br/
- Heliton Júnior: http://www.helitonjunior.com
- Luiz Felipe Ferreira: http://usuariomortal.wordpress.com
- Denny Roger: http://blog.dennyroger.com.br
Ivo e Ronaldo: http://brainsniffer.blogspot.comPedro Quintanilha: http://pedroquintanilha.blogspot.com
II - Blogs sobre Segurança da Informação em Portugal:
Apêndice: o Rodrigo Spooker Monteiro fez lista de twiteiros que trabalham com S.I. e o Anchises de Paula também mantém uma bem completa. Ambas possuem vários profissionais da área de segurança da informação do Brasil.
- Miguel Almeida: http://miguelalmeida.pt/blog_
index.html - Carlos Serrão: http://blog.carlosserrao.net/
- WebSegura: http://www.websegura.net
- Infosec Portugal: http://www.infosec.online.pt
- CrkPortugal: http://www.crkportugal.net
- Seg. Informática: http://www.seguranca-informatica.ne
- ISMSPT: http://ismspt.blogspot.com
- WebAppSec: http://webappsec.netmust.eu
- Hugo Ferreira: http://www.hugoferreira.com/
- SysValue: http://blog.sysvalue.com/
- PCSeguro.pt: http://www.pcseguro.pt/blog/
III - Blogs/Notícias de Empresas e Universidades:
- 4Sec: http://www.4secbrasil.com.br/blog
- Aker: http://www.aker.com.br
- Apura: http://www.apura.com.br
- CertiSign: http://www.certisign.com.br/certinews
- Conviso: http://www.conviso.com.br/category/blog
- Clavis: http://www.blog.clavis.com.br
- Cipher: http://www.ciphersec.com.br
- FlipSide: http://www.flipside-scp.com.br/blog
- Future: http://www.future.com.br/?cont=noticias
- IBliss: http://www.ibliss.com.br/category/blog/
- IESB: http://segurancaiesb.blogspot.com
- Nod32: http://esethelp.blogspot.com
- Microsoft BR: http://blogs.technet.com/risco
- Módulo: http://www.modulo.com.br/comunidade
- Procela: http://www.procela.com.br
- Qualitek: http://www.qualitek.com.br
- Site Blindado: http://www.siteblindado.com/blog/
- Techbiz Forense: http://techbizforense.blogspot.com
- Tempest: http://blog.tempest.com.br
- Tivex: http://www.tivex.com.br/blog/
- True Access: http://www.trueaccess.com.br/noticias
IV - Portais/Revistas/Forums/Podcasts:
- SegInfo: http://www.seginfo.com.br/
- BackTrack Brasil: http://www.backtrack.com.br/
- CAIS/RNP: http://www.rnp.br/cais/alertas
- ThreatPost BR: http://threatpost.com/pt_br
- PCMag Firewall: http://pcmag.uol.com.br/firewall/
- ComputerWorld: http://computerworld.uol.com.
br/seguranca - IDGNow: http://idgnow.uol.com.br/seguranca
- NextHop: http://blog.nexthop.com.br
- Linha Defensiva: http://www.linhadefensiva.org
- ISTF: http://www.istf.com.br
- InfoAux: http://infoaux-security.blogspot.com
- Forum Invaders: http://www.forum-invaders.com.br/
- RfdsLabs: http://www.rfdslabs.com.br
- Segurança Linux: http://segurancalinux.com
- Proteção de Dados: http://protecaodedados.blogspot.com
- Crimes na Web: http://www.crimesnaweb.com.br
- Segurança Digital: http://www.segurancadigital.info
- NaoPod PodCast: http://www.naopod.com.br
- StaySafe PodCast: http://www.staysafepodcast.com.br
Apêndice: o Rodrigo Spooker Monteiro fez lista de twiteiros que trabalham com S.I. e o Anchises de Paula também mantém uma bem completa. Ambas possuem vários profissionais da área de segurança da informação do Brasil.
Você conhece mais algum blog sobre segurança da informação escrito em português para incluir na lista? Por favor, faça como os outros e sugira nos comentários!
Thursday, May 23, 2013
China vs Google: Operação Aurora - Espionagem e Contraespionagem
[ Update: 23/05/2013 ]
As ordens judiciais que continham informações sobre contas do Gmail que estavam sendo monitoradas por agências de segurança e inteligência americanas foram acessadas, e este conhecimento pode ter proporcionado à Pequim uma vantagem de contraespionagem incluindo o término de operações e a mudança de modus-operandi e inclusão de informações falsas para confundir e controlar os esforços de inteligência do governo norte-americano.
Mais informações:
http://www.washingtonpost.com/world/national-security/chinese-hackers-who-breached-google-gained-access-to-sensitive-data-us-officials-say/2013/05/20/51330428-be34-11e2-89c9-3be8095fe767_story.html
[ Update: 28/11/2010 ]
Neste final de semana, foi feita a divulgação pela WikiLeaks de 250 mil documentos diplomáticos dos Estados Unidos(*), incluindo 15 mil secretos e 100 mil confidenciais (!!)
Muito material já havia sido enviado anteriormente pela WikiLeaks para diferentes jornais ao redor do mundo (The New York Times, Le Monde, Guardian e Der Spiegel).
Neste final de semana, foi feita a divulgação pela WikiLeaks de 250 mil documentos diplomáticos dos Estados Unidos(*), incluindo 15 mil secretos e 100 mil confidenciais (!!)
Muito material já havia sido enviado anteriormente pela WikiLeaks para diferentes jornais ao redor do mundo (The New York Times, Le Monde, Guardian e Der Spiegel).
O site do WikiLeaks sofreu um ataque de negação de serviço logo antes de publicar as informações. No caso do WikiLeaks são tantos os interessados na não divulgação dos dados que vai ser difícil atribuir a responsabilidade (mais sobre atribuição no final deste post).
Obviamente o impacto no mundo diplomático foi gigantesco. Nos primeiros momentos já foram digeridas e publicadas por vários jornais informações impactantes presentes nas comunicações diplomáticas norte-americanas que vazaram, como:
- relações mais que especiais entre Itália e Rússia (Berlusconi, Putin)
- a corrida armamentista do Irã.
- espionagem na ONU autorizada por Hillary Clinton
- pedido de informações sobre AlQaeda ao Paraguai (tríplice fronteira)
- entre outras..
Vejam este comentário do New York Times (link exige cadastro para visualização - sugiro usar omailinator ou o bugmenot =)
"A global computer hacking effort: China’s Politburo directed the intrusion into Google’s computer systems in that country, a Chinese contact told the American Embassy in Beijing in January, one cable reported. The Google hacking was part of a coordinated campaign of computer sabotage carried out by government operatives, private security experts and Internet outlaws recruited by the Chinese government. They have broken into American government computers and those of Western allies, the Dalai Lama and American businesses since 2002, cables said."
Finalmente temos a confirmação de que o governo norte-americano sabia que a alta cúpula do governo chinês estava por trás dos ataques ocorridos nas mais de 30 empresas americanas (incluindo o Google) que resultaram em vazamento de informações confidenciais e estratégicas (inclusive código fonte)..
Isto explica, inclusive, o infra-citado apoio irrestrito concedido ao Google pelo governo dos Estados Unidos, inclusive pela Agência de Segurança Nacional norte-americana (NSA).
Para mais detalhes, continue lendo abaixo..
[ Update: 07/03/2010 ]
Novidades liberadas durante a conferência RSA indicam - como era esperado - que houve possibilidade de roubo e alteração de código interno de aplicações do Google e das outras empresas (30-100) atingidas pelo ataque (via Wired).
A possibilidade era bem real baseado no que já conhecíamos, mas agora foi confirmada e temos detalhes de várias vulnerabilidades exploradas dentro da companhia, incluindo no Software Configuration Management (SCM) utilizado pelo Google (Perforce).
O paper da Mcafee não chega a ser muito marqueteiro, e sugere algumas boas contramedidas recomendadas para as vulnerabilidades exploradas. Baixe-o aqui.
Mais informações:
http://www.computerworld.com/s/article/9165718/Source_code_management_a_weak_spot_in_Aurora_attacks
http://www.crn.com/security/223101584020-11.html
[ Update: 10/02/2010 ]
A HBGary - empresa especialista em Malware Analysis e Memory Forensics - acaba de lançar um relatório bastante completo incluindo dicas de deteção e remoção de variantes - utilizando técnicas fuzzy - sobre o principal malware utilizado nos ataques conhecidos como "Operação Aurora".
Vale ressaltar que desde o lançamento do boletim MS10-002 da Microsoft (e consequente publicação do módulo do metasploit framework para exploração da vulnerabilidade) - há uma crescente utilização deste vetor de ataque em outros incidentes pelo mundo.
No relatório da HBGary são fornecidas informações valiosas, incluindo um inoculation shot (nome marketeiro para vacina) para eliminar o malware e suas variantes (a taxa de ~90% de similaridade é recomendada) remotamente (via WMI / ePO / AD) em uma rede corporativa.
Além da já conhecida capacidade avançada de análise gráfica de instruções de códigos em execução - que pode ser vista acima em um parser do Command & Control do malware, existem outras as funcionalidades interessantes no principal produto da HBGary: Responder Pro 2.0.
Uma delas é a geração de um Digital DNA baseado no comportamento, idioma, algoritimos e métodos utilizados pelos desenvolvedores do malware (a partir das instruções executadas em memória). Isto pode pode facilitar o processo de atribuição de responsabilidade e separação de grupos distintos de desenvolvedores em ataques similares.
A capacidade de visualização da ferramenta se extende a outros usos, como pode ser visto abaixo, com o timeline em segundos da execução do Dropper (A), do serviço svchost.exe (B) utilizado para executar o payload do malware (C) e o .BAT que remove - a maioria - dos rastros (D):
Muitos outros detalhes podem ser verificados no excelente paper publicado pela HBGary há poucas horas.
[ Update: 03/02/2010 ]
Para os que acreditam que a Operação Aurora e a discussão sobre Cyber War "China vs US" já é assunto ultrapassado, é FUD, ou foi apenas uma manchete temporária, talvez valha a pena salientar o real impacto relacionado aos ataques e técnicas discutidas neste artigo.
Com este objetivo, fiz questão de adicionar este rápido update para ressaltar a real importância da questão em pauta. A operação Aurora e a escalada do cyber crime / cyberwar foi o primeiro e principal assunto que o chefe da inteligência americana, Dennis Cutler Blair levou ao Senado dos Estados Unidos em uma declaração preparada por todas as agências de segurança americanas - mais detalhes / video (a partir de 41m:45s) (Selected Committee on Intelligence SH-216 - "Open Hearing: Current and Projected Threats to the United States").
[ Update: 31/01/2010 ]
Para os que acreditam que a Operação Aurora e a discussão sobre Cyber War "China vs US" já é assunto ultrapassado, é FUD, ou foi apenas uma manchete temporária, talvez valha a pena salientar o real impacto relacionado aos ataques e técnicas discutidas neste artigo.
Com este objetivo, fiz questão de adicionar este rápido update para ressaltar a real importância da questão em pauta. A operação Aurora e a escalada do cyber crime / cyberwar foi o primeiro e principal assunto que o chefe da inteligência americana, Dennis Cutler Blair levou ao Senado dos Estados Unidos em uma declaração preparada por todas as agências de segurança americanas - mais detalhes / video (a partir de 41m:45s) (Selected Committee on Intelligence SH-216 - "Open Hearing: Current and Projected Threats to the United States").
[ Update: 31/01/2010 ]
Em 2008, me deparei com a pergunta "Quais seriam os Procedimentos (incluindo a preparação) em alto nível para tratar um incidente de suspeita de vazamento de dados?"
Para responder de uma maneira mais completa ao problema proposto, o ideal é que a equipe de resposta a incidentes responsável possa contar com 4 tipos de soluções, listadas por ordem de importância para o caso em pauta:
I - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados ao ataque (ex: NetWitness NextGen / CA Network Forensics)
II - Uma solução de SIEM/SEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidor comprometido, ids/ips, dhcp, dns, aplicações internas, catracas de acesso, sistema de ponto, controle de acesso lógico, etc) (ex: ArcSight / ISM Intellitatics / Symantec SIM)
III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco (ex: Encase Enterprise / F-Response / AccessData Enterprise )
IV - Uma ferarmenta de monitoração de atividade de desktops (ex: SpectorCNE, WorkExaminer) [item incluído em 18/10/2009]
Tentarei exemplificar o porque do posicionamento de uma solução de Forense de Rede em primeiro lugar na lista acima, me aproveitando de dados um caso tão complexo e sério quanto a Operação Aurora.
Para facilitar este trabalho, chegou às minhas mãos um material da NetWitness descrevendo as ações que podem ser tomadas por seus usuários para verificar se foram afetados pelo ataque descrito e com informações OSINT (Open Source Intelligence) obtidas da internet:
I - criar filtros para verificar conexões entrantes e saintes a partir dos seguintes hosts:
yahooo.8866.org
sl1.homelinux.org
360.homeunix.com
li107‐40.members.linode.com
ftp2.homeunix.com
update.ourhobby.com
II - verificar conexões SSL vindas do domínio homelinux.org, utilizando o TLS parser
III - checar tráfego destinado aos endereços IP dos servidores de Comando e Controle utilizados durante o ataque:
69.164.192.40
125.76.246.220
210.202.197.225
IV - utilizar a capacidade da solução de misturar diferentes camadas em regras para detectar atividades de beaconing:
Para quem nunca viu a interface do Investigator da Netwitness (que tem versão free) - segue um snapshot de um dos filtros citados acima em uma rede comprometida pela Operação Aurora:
service = 80 && action = put && client = 'lynx'
(service = 80 && action = put && tcp.dstport = 8080) && (payload = 939 && extension = zip,rm,jpg)
(ip.src = 125.76.246.220,210.202.197.225 || ip.dst =
125.76.246.220,210.202.197.225) && (service = 80 && action = put)
alias.host = yahooo.8866.org, sl1.homelinux.org, 360.homeunix.com,
li10740.members.linode.com, ftp2.homeunix.com,update.ourhobby.com
ip.src = 69.164.192.40,125.76.246.220,210.202.197.225 || ip.dst =
69.164.192.40,125.76.246.220,210.202.197.225
Além disto, as seguintes recomendações são dadas pela NetWitness:
1. Watchlist "usuarios" seguindo o seguinte critério:
a. Executivos e/ou Autoridades
b. Administradores de Sistemas com acesso privilegiado
c. Empregados que recentemente foram citados pela imprensa
2. Watchlist "extensões" contendo minimamente:
a. Executáveis (EXE, COM, BAT, SCR, CMD, PIF)
b. Documentos que exploram vulnerabilidades: PDF, DOC, XLS, PPT, CHM
c. Arquivos Compactados (zip, rar, etc)
3. Watchlist de estações, servidores e hosts relacionados aos usuários da watchlist 1.
4. Avaliar TODO tráfego por quesitos que envolvam a combinação destas entidades, procurando por variações do comportamento normal.
[ Post Original : 16/01/2010 ]
Antes de mais nada, é necessário perceber que o que foi divulgado pelo Google na última semana não chega a ser uma novidade, e nem uma tática nova utilizada pelo governo Chinês ou outros.
A mídia especializada tem feito alguns comentários sobre o anúncio de que mais de 30 (ou 100?) empresas americanas (Google, Adobe, Microsoft, Juniper, Symantec, Yahoo, Northrup Grumman, Dow Chemical, entre outras - ex: setor de energia) foram atacadas de forma coordenada e praticamente simultânea por hackers supostamente patrocinados pelo governo Chinês (Operação Aurora - FAQ).
O principal objetivo dos atacantes foi a permanência prolongada nas redes internas das empresas afetadas para obtenção de informações privilegiadas e propriedade intelectual.. A Inglaterra também divulgou que têm sido atacada pelos chineses de maneira semelhante.
A desconfiança do envolvimento do governo chinês nos ataques passou a ter contornos mais detalhados a partir da revelação de analistas de malware sobre a utilização de um algorítimo incomum de criptografia (CRC-16) em no principal trojans utilizados e sua similaridade com papers somente publicados em chinês. Hoje já se sabe - por exemplo - que os atacantes exploraram a infra-estrutura de acesso a a contas do Gmail que o Google montou especialmente para a Polícia acessar em casos de quebra de sigilo autorizado pela Justiça.
O incidente em pauta é muito útil para diferenciar ataques avançados e críticos de problemas comuns de segurança e para avaliar se as contra-medidas que possuímos estão adequadas para abordar ambos os tipos de ataques.
As análises que já foram publicadas sobre o caso incluem "erros" que foram cometidos pelos hackers - como executar o ataque de forma concomintante em múltiplas empresas e utilizar um só servidor dropbox para enviar os dados (código fonte, informações confidenciais) roubados - facilitando assim que os analistas do Google descobrissem as outras empresas atingidas.
A indústria de segurança e a opinião pública já tiveram várias diferentes reações sobre o ocorrido. O nosso objetivo é tecer alguns comentários sobre o assunto sob a luz de alguns conceitos apresentados em posts anteriores neste blog:
- Risco, Vulnerabilidade, Ameaça e Impacto (reloaded)
É fundamental conhecer as reais ameaças a que uma empresa (ou país) está exposto. E certamente este episódio - pela sua magnitude de divulgação - servirá a este propósito em nível nacional (US). Expandindo os componentes do termo "Ameaça", encontramos três fundamentais conceitos que por si só demonstram a seriedade e complexidade do caso em pauta:
- Intenção: tende a ser dependente de indústria e situação. Neste caso, apesar da grande ênfase da mídia na invasão de contas do Gmail de oponentes ao governo Chinês, o roubo de propriedade intelectual e possivel injeção de código malicioso nos programas destas 100 empresas americanas é o que mais chama a atenção. É importante notar que a intenção do atacante não pode ser influenciada por nenhuma ação de Segurança.
- Oportunidade: timing apropriado e conhecimento do alvo. Neste caso, o ataque que se iniciou com phishing direcionado (ou spear phishing) utilizou uma vulnerabilidade 0-day do Internet Explorer (0-day pero no mucho) - detalhes aqui (que inclusive já está disponível no MSF). O navegador era certamente era utilizado pelas empresas alvo, o ataque usou vários níveis de criptografia - para "bypassar" ferramentas DLP e similares, trojans comuns misturados à trojans especialmente desenvolvidos com protocolos específicos de comunicação via porta 443 - e uma chave criptográfica diferente para cada cliente - para vencer os anti-vírus, HIPS e NIDS/IPS.
- Capacidade: é a habilidade financeira, humana e técnica de alcançar o objetivo de ataque e aproveitar a oportunidade. Certamente com o apoio e investimento do governo e ter os melhores hackers do mundo ajuda a China a obter seus objetivos de silenciar vozes que se levantam contra o regime - mesmo fora do país e a roubar informações privilegiadas de empresas pelo mundo.
- 7 (ou mais) Conceitos em Seguranca alem da Confidencialidade, Integridade e Disponibilidade
O conceito de APT -"Advanced Persistent Threat" - se de ataques contínuos utilizando amplos recursos (muito tempo e dinheiro investidos com firme propósito/intenção), em ataques que são altamente sofisticados e claramente direcionados. Neste tipo de situação, as defesas tradicionais e genéricas são inúteis. Para mais detalhes sobre o termo APT, sugiro este link.
Um Anti-Vírus e um IDS/IPS - por melhor que sejam - são tecnologias moribundas, baseadas em assinatura e dependentes de já conhecerem o ataque - e por isto mesmo não detectarão códigos maliciosos customizados, ainda mais com vários níveis de evasão e criptografia como foi o caso do ataque em pauta.
Por melhor que seja um programa de gerenciamento de patches, um ataque utilizando uma vulnerabilidade 0-day como a que foi explorada nestes ataques direcionados funcionará em 100% das máquinas atacadas. -
E quando o atacante usa uma combinação de engenharia social (email/IM) e técnicas de "Drive-By Download", nem mesmo um anexo (doc, exe, ou pdf) precisa ser utilizado. Basta que um funcionário da empresa acesse um site utilizando - no caso - um Internet Explorer (6,7,8) para que o ataque tenha sucesso. Mais detalhes sobre o exploit utilizado, aqui. (update - a Microsoft lançou uma correção para o bug - que ela já conhecia desde setembro - e outras 7 vulnerabilidades do IE - veja o boletim e baixe o patch aqui).
Talvez você esteja pensando - então não há como escapar! E - adivinhe - você está certo. Fazendo uma comparação com crimes reais - se você está preocupado com batedores de carteira, é bom sair de casa sem muito dinheiro no bolso, poucos documentos e sem relógio, além de evitar horários e lugares perigosos. Isto equivale no mundo virtual a defesa tradicional de AV/IDS/etc. - Mas se há um grupo profissional de criminosos atrás especialmente de você, a única forma de reagir eficientemente a esta situação é expô-los às autoridades e torcer para que eles sejam preso. Bem vindo ao mundo das Ameaças Persistentes e Avançadas (APT). Uma boa descrição das fases normalmente encontradas em ataques avançados e persistentes pode ser encontrada aqui:
- A melhor forma de iniciar um contra-ataque efetivo às Ameaças Persitentes e Avançadas é expor o inimigo adequadamente e assim avançar no campo de batalha - em outras esferas de contra-ataque - enquanto tentar minimizar o prejuízo em casa.
No caso de uma empresa atacada pelo crime organizado, isto pode ser feito envolvendo a polícia e a justiça para prender os responsáveis. No caso de várias empresas de um país sendo atacadas por um outro - como é o caso da "China vs Google + 30"- o caminho é envolver oficialmente o próprio governo americano na resposta ao incidente.
Em ambos os casos, uma resposta responsável envolve a divulgação - minimamente para as partes afetadas e idealmente para a opinião pública - do ocorrido. O próximo passo é analisar e categorizar os atacantes (mais detalhes sobre isto ao final deste post), ferramentas, vulnerabilidades, processos e erros cometidos e obviamente modificar suas defesas baseado no que você vai encontrar durante a sua resposta a incidentes / forense do ocorrido.
A mensagem para todas as empresas e países é: não adianta se retrair e tentar abafar o ocorrido, é necessário concentrar esforços na reação adequada a este tipo avançado de incidente e revisar a postura de segurança do ponto de vista de ameaças e atacantes reais e avançados e não tentar se esconder confortavelmente atrás de checklists de itens de compliance e conformidade ou de qualquer sigla de norma da área de segurança. -
O governo alemão já deu o primeiro passo - proibiu terminantemente o uso de Internet Explorer - iniciativa que já foi seguida pelo governo Francês. Já é um começo.. O Google anunciou que vai parar de censurar resultados na China. E o governo americano já começou a se movimentar lentamente...
- Um outro desdobramento interessante deste evento será acompanhar como as empresas atacadas e o governo americano irão responder as respostas evasivas da China (e também contra-acusações), considerando a dificuldade de se atribuir a responsabilidade de um ataque cibernético a uma pessoa,quanto mais a um país!
- Atribuição de responsabilidade envolve identificar a ameaça, com o máximo de detalhes do ponto de vista de seus desdobramentos (Capacidade/Intenção/Oportunidade).
- Richard Beijtlich e Mike Cloppert sugerem 20 características para atribuição da responsabilidade (ou autoria) de ataques cibernéticos - e isto pode servir de ponto de partida para que iniciemos uma resposta a ataques persistentes e avançados (APT) em nossas organizações: 1)Timing, 2)Vítimas, 3)Origem, 4)Mecanismo de Entrada, 5)Vulnerabilidade ou Exposição, 6)Exploit ou Payload, 7)Weaponization, 8)Atividade pós-exploração, 9)Método de Comando e Controle, 10)Servidores de Comando e Controle, 11)Ferramentas, 12)Mecanismo de Persistência, 13)Método de Propagação, 14)Dados Alvo, 15)Compactação de Dados, 16)Modo de Extrafiltração, 17)Atribuição Externa, 18)Profissionalismo, 19)Variedade de Técnicas, e 20)Escopo.
Na minha opinião, apesar de APT agora estar entrando na moda, a sigla não importa tanto. O fundamental é tentar aproveitar ao máximo deste tipo de incidente e discussão para avaliar seriamente a sua capacidade de visibilidade e estratégias de detecção e reação contra roubo de informações e espionagem industrial perpetrada seja por quem for.
有时,重要的是要怕!
Se interessou pelo assunto? Envie seus comentários!
Labels:
0-day,
aurora,
china,
cyberwar,
engenharia reversa,
exploit,
google,
hbgary,
impacto,
netwitness,
perforce,
phishing,
scm,
vulnerabilidade
Subscribe to:
Posts (Atom)
Labels
forense
(50)
resposta a incidentes
(40)
segurança em profundidade
(27)
vulnerabilidade
(27)
treinamento
(22)
cyberwar
(18)
conferência
(16)
forense de memória
(15)
hackers
(15)
malware
(15)
blogs
(14)
windows
(13)
ddos
(12)
vazamento de informações
(12)
china
(11)
criptografia
(11)
dns
(11)
exploit
(11)
google
(11)
microsoft
(11)
ferramenta
(10)
memoria
(10)
botnet
(9)
csirt
(9)
forense de disco
(9)
forense de rede
(9)
ftk
(9)
legislação
(9)
phishing
(9)
0-day
(8)
NIST
(8)
accessdata
(8)
encase
(8)
evento
(8)
ferramentas
(8)
kaspersky
(8)
linux
(8)
negação de serviço
(8)
netwitness
(8)
sans
(8)
volatility
(8)
cert.br
(7)
correlacionamento
(7)
desafios
(7)
forense corporativa
(7)
internet explorer
(7)
livros
(7)
pageviews
(7)
pci
(7)
twitter
(7)
usa
(7)
APURA
(6)
Guidance Software
(6)
espionagem industrial
(6)
governo
(6)
iccyber
(6)
metasploit
(6)
monitoração
(6)
privacidade
(6)
skype
(6)
techbiz
(6)
0day
(5)
CDCiber
(5)
blackhat
(5)
brasil
(5)
dlp
(5)
falha
(5)
fbi
(5)
ids
(5)
inteligencia
(5)
java
(5)
memoryze
(5)
modelagem de ameaças
(5)
métricas
(5)
nsa
(5)
patch
(5)
pdf
(5)
policia federal
(5)
python
(5)
registry
(5)
richard bejtlich
(5)
rsa
(5)
segurança
(5)
segurança de rede
(5)
siem
(5)
CyberCrime
(4)
Enscript
(4)
adobe reader
(4)
algoritmo
(4)
android
(4)
anti-forense
(4)
anti-virus
(4)
arcsight
(4)
auditoria
(4)
backdoor
(4)
backtrack
(4)
campus party
(4)
ccc
(4)
certificação digital
(4)
ciberespionagem
(4)
defacement
(4)
drive-by
(4)
estatísticas
(4)
exploit kit
(4)
firefox
(4)
fud
(4)
gsi
(4)
mandiant
(4)
md5
(4)
online
(4)
pentest
(4)
programação
(4)
safe browsing
(4)
sandbox
(4)
slowloris
(4)
ssl
(4)
storm worm
(4)
stuxnet
(4)
trojan
(4)
wikileaks
(4)
windows7
(4)
.gov
(3)
ameaça
(3)
blackberry
(3)
ceic
(3)
chrome
(3)
ciberguerra
(3)
cloud
(3)
conscientização
(3)
crackers
(3)
cymru
(3)
dan geer
(3)
defesa
(3)
dsic
(3)
engenharia social
(3)
enisa
(3)
evidence
(3)
fast flux
(3)
forense digital
(3)
hardware
(3)
htcia
(3)
https
(3)
imperva
(3)
intel
(3)
ips
(3)
live cd
(3)
logs
(3)
man in the middle
(3)
networkminer
(3)
perícia digital
(3)
processo
(3)
ransomware
(3)
registro
(3)
reportagem
(3)
revista
(3)
risco
(3)
secunia
(3)
shodan
(3)
sox
(3)
sql injection
(3)
tools
(3)
truecrypt
(3)
verizon
(3)
virus
(3)
vista
(3)
voip
(3)
worm
(3)
.mil
(2)
BSIMM
(2)
Encase Enterprise
(2)
JDFSL
(2)
TPM
(2)
Virustotal
(2)
XSS
(2)
adobe flash
(2)
aduc
(2)
amazon
(2)
apache
(2)
apple
(2)
autenticação
(2)
bloqueador de escrita
(2)
breno silva
(2)
bruce schneier
(2)
bundestrojaner
(2)
cache poisoning
(2)
caine
(2)
carders
(2)
carnegie mellon
(2)
carolina dieckmann
(2)
carving
(2)
censura
(2)
cipav
(2)
cofee
(2)
coldboot
(2)
comodogate
(2)
conficker
(2)
consciência situacional
(2)
cooperação
(2)
core
(2)
cucko´s egg
(2)
cuda
(2)
cyberwarfare
(2)
database security
(2)
digital intelligence
(2)
direito digital
(2)
dnschanger
(2)
dpf
(2)
engenharia elétrica
(2)
engenharia reversa
(2)
etir
(2)
expressões regulares
(2)
f-response
(2)
finfisher
(2)
fingerprinting
(2)
firmware
(2)
flash
(2)
fraude
(2)
ftkimager
(2)
full disclosure
(2)
fuzzy
(2)
gsm
(2)
hacktivismo
(2)
hbgary
(2)
heap spray
(2)
iOS
(2)
immunity
(2)
impacto
(2)
insecure magazine
(2)
insiders
(2)
interceptação
(2)
iphone
(2)
irc
(2)
irã
(2)
jaquith
(2)
loic
(2)
mac
(2)
mastercard
(2)
mestrado
(2)
mobile
(2)
ms08-067
(2)
openioc
(2)
openssl
(2)
otan
(2)
palantir
(2)
paypal
(2)
pcap
(2)
pdgmail
(2)
portugal
(2)
presidência
(2)
prisão
(2)
proxies
(2)
ptfinder
(2)
rbn
(2)
recompensa
(2)
recuperação
(2)
regripper
(2)
relatório
(2)
resumo
(2)
rio de janeiro
(2)
ross anderson
(2)
russia
(2)
securid
(2)
segurança por obscuridade
(2)
shell
(2)
sift
(2)
snort
(2)
snowden
(2)
sony
(2)
sorteio
(2)
spam
(2)
spoofing
(2)
spyeye
(2)
sql
(2)
ssd
(2)
stealth
(2)
suricata
(2)
sysinternals
(2)
tecnologia
(2)
trend micro
(2)
unb
(2)
usb
(2)
virtualização
(2)
visa
(2)
vulnerability
(2)
waf
(2)
winen
(2)
wireless
(2)
wpa
(2)
wpa2
(2)
xry
(2)
zeus
(2)
.edu
(1)
.pac
(1)
3g
(1)
ABNT
(1)
AR-Drone
(1)
AppleGate
(1)
Asterisk
(1)
Audit Viewer
(1)
BIOS
(1)
CCDCOE
(1)
CEF
(1)
CERT
(1)
CSI Cyber
(1)
CarbonBlack
(1)
Craig Wright
(1)
DC3
(1)
Diginotar
(1)
Dilma
(1)
DoD
(1)
Equation
(1)
FACE
(1)
FRED
(1)
Facebook
(1)
Fred Cohen
(1)
GPU
(1)
Gene Spafford
(1)
HP
(1)
ICOFCS
(1)
ICS
(1)
IDMEF
(1)
IJDCF
(1)
IJDE
(1)
IJOFCS
(1)
INFOSEG
(1)
IODEF
(1)
IPv6
(1)
ISIS
(1)
ISO
(1)
MAEC
(1)
MCT
(1)
MMEF
(1)
Michael Cloppert
(1)
Ministério da Defesa
(1)
Netwtiness
(1)
OVAL
(1)
PL84/99
(1)
RH2.5
(1)
RNP
(1)
SDDFJ
(1)
SbSeg
(1)
Seccubus
(1)
Stratfor
(1)
TED
(1)
TJX
(1)
TV5
(1)
TV5Monde
(1)
Tallinn
(1)
USCyberPatriot
(1)
USSTRATCOM
(1)
VERIS
(1)
VRT
(1)
WPS
(1)
WiPhire
(1)
Wifi Protected Setup
(1)
Windows10
(1)
XMLHttpRequest
(1)
YARA
(1)
a5/1
(1)
a5/3
(1)
active defense
(1)
adeona
(1)
adhd
(1)
aes
(1)
afflib
(1)
akamai
(1)
alemanha
(1)
ambev
(1)
angler
(1)
anti-theft
(1)
antisec
(1)
anubisnetworks
(1)
apt
(1)
apwg
(1)
aquisição
(1)
arbor
(1)
armoring
(1)
artefatos
(1)
artillery
(1)
asprox
(1)
assinaturas
(1)
atenção seletiva
(1)
attack
(1)
aurora
(1)
australia
(1)
autonomous systems
(1)
avg
(1)
avi rubin
(1)
avware
(1)
awards
(1)
baixaki
(1)
bash
(1)
bbc
(1)
bear trap
(1)
belkasoft
(1)
bgp
(1)
birthday attack
(1)
bitlocker
(1)
black tulip
(1)
blackhat seo
(1)
blacklist
(1)
blind sql injection
(1)
bluepex
(1)
bluepill
(1)
breaking point
(1)
bug
(1)
bulk_extractor
(1)
byod
(1)
c2c
(1)
capacidade
(1)
carbon black
(1)
careto
(1)
carnivore
(1)
cartão de crédito
(1)
cbs
(1)
cellebrite
(1)
celular
(1)
centera
(1)
cerberus
(1)
certificações
(1)
cheat sheet
(1)
chip
(1)
chris paget
(1)
chromium
(1)
citrix
(1)
clean pipe
(1)
cliff stoll
(1)
cloudfare
(1)
cloudflare
(1)
cloudshield
(1)
cnasi
(1)
cnet
(1)
cnn
(1)
codenomicon
(1)
coleta
(1)
comodo
(1)
comodobr
(1)
compliance
(1)
comsic
(1)
convenção de budapeste
(1)
convergence
(1)
copa do mundo
(1)
coreia do norte
(1)
corey johnson
(1)
cpbr
(1)
crime na rede
(1)
crise
(1)
cristine hoepers
(1)
cuckoo
(1)
cyberattack
(1)
cyberbunker
(1)
daemonlogger
(1)
dam
(1)
dancho danchev
(1)
darkmarket
(1)
dcom
(1)
decaf
(1)
decaf v2
(1)
decloack
(1)
deepweb
(1)
defcon
(1)
deutche telekom
(1)
dfrws
(1)
digitask
(1)
dimmit
(1)
diário oficial
(1)
dnsbl
(1)
dnssec
(1)
dou
(1)
downadup
(1)
drdos
(1)
drwxr
(1)
dsd
(1)
dumpcap
(1)
dumpit
(1)
duqu
(1)
e-evidence
(1)
ediscovery
(1)
eff
(1)
elcomsoft
(1)
emc
(1)
emprego
(1)
energia
(1)
enigma
(1)
entrevista
(1)
escola nacional de defesa cibernetica
(1)
eset
(1)
esteganografia
(1)
estonia
(1)
estratégia
(1)
etld
(1)
europa
(1)
eventos
(1)
evil maid
(1)
evilgrade
(1)
exercito
(1)
exploit-db
(1)
exportação
(1)
extorsão
(1)
f-secure
(1)
falso positivo
(1)
fantastico
(1)
fatal error
(1)
fecomercio
(1)
fernando carbone
(1)
ff4
(1)
finlândia
(1)
flame
(1)
flexispy
(1)
foremost
(1)
forense de vídeo
(1)
forensic focus
(1)
forensic magazine
(1)
forensics
(1)
forensics.wiki.br
(1)
forensicswiki
(1)
força bruta
(1)
frança
(1)
full disk encryption
(1)
g1
(1)
gauss
(1)
gcih
(1)
ghostnet
(1)
globo
(1)
gmail
(1)
gpcode
(1)
gpl
(1)
gps
(1)
grampo
(1)
guardium
(1)
guerra
(1)
guilherme venere
(1)
hack
(1)
hackerazzi
(1)
hackingteam
(1)
hakin9
(1)
hardening
(1)
harlan carvey
(1)
hash
(1)
helix
(1)
hitler
(1)
holanda
(1)
honeynet
(1)
honeypot
(1)
hope
(1)
hosts
(1)
hotmail
(1)
httpry
(1)
iPhoneTracker
(1)
idefense
(1)
ig
(1)
impressoras
(1)
india
(1)
info exame
(1)
insecure maganize
(1)
intenção
(1)
interpol
(1)
interview
(1)
into the boxes
(1)
investimento
(1)
ioerror
(1)
iphone forensics
(1)
ironport
(1)
isc2
(1)
israel
(1)
j2ee
(1)
jacomo dimmit
(1)
jailbreak
(1)
javascript
(1)
jesse kornblum
(1)
jotti
(1)
junho 2008
(1)
kaminsky
(1)
kasumi
(1)
kgb
(1)
kits
(1)
klaus steding-jessen
(1)
kntools
(1)
kraken
(1)
langner
(1)
lime
(1)
limites
(1)
lista
(1)
lm
(1)
locaweb
(1)
lockheed martin
(1)
lynis
(1)
lógica
(1)
mac memory reader
(1)
mac memoryze
(1)
macosx
(1)
magic lantern
(1)
map
(1)
marcapasso
(1)
marcelo caiado
(1)
marcos ferrari
(1)
mawlare
(1)
mbr
(1)
mcafee
(1)
mcgraw
(1)
memscript
(1)
metasploitable
(1)
mindmap
(1)
mit
(1)
mitigação
(1)
mitm
(1)
moonsols
(1)
moxie
(1)
mrtg
(1)
ms08-033
(1)
nac
(1)
nessus
(1)
netcontinuum
(1)
netflow
(1)
networking
(1)
ngrep
(1)
nit
(1)
nmap
(1)
norma
(1)
norse
(1)
notebook
(1)
ntlm
(1)
ntop
(1)
ntp
(1)
nuclear
(1)
obama
(1)
oi
(1)
oisf
(1)
oiss
(1)
olimpiadas
(1)
openbts
(1)
openvas
(1)
opm
(1)
oportunidade
(1)
oracle
(1)
orkut
(1)
otp
(1)
owasp
(1)
packers
(1)
panda
(1)
pattern matching
(1)
payback
(1)
pcre
(1)
pedofilia
(1)
pentesting
(1)
perforce
(1)
pericia
(1)
perl
(1)
perícia
(1)
pfsense
(1)
pgp disk
(1)
phonecrypt
(1)
pki
(1)
ploks
(1)
poisoning attack
(1)
policia civil
(1)
polypack
(1)
port knocking
(1)
português
(1)
post-mortem
(1)
postgres
(1)
powershell
(1)
prefeitura
(1)
premiação
(1)
preparação
(1)
princeton
(1)
provedores
(1)
ps3
(1)
psn
(1)
psyb0t
(1)
pushpin
(1)
pwn2own
(1)
pymail
(1)
quebra de sigilo
(1)
r2d2
(1)
rainbow tables
(1)
rar
(1)
realengo
(1)
reação
(1)
record
(1)
referência
(1)
regex
(1)
registry viewer
(1)
regulamentação
(1)
remnux
(1)
renato maia
(1)
renault
(1)
replay
(1)
reversing labs
(1)
roi
(1)
rootkit
(1)
router
(1)
rpc
(1)
ruby
(1)
sanitização
(1)
santoku
(1)
sc magazine
(1)
scada
(1)
scanner
(1)
scm
(1)
secerno
(1)
second life
(1)
security
(1)
securityonion
(1)
senasic
(1)
sentrigo
(1)
sep
(1)
sequestro de dados
(1)
sha1
(1)
shadowserver
(1)
shmoocon
(1)
siemens
(1)
sites
(1)
skorobogatov
(1)
slideshare
(1)
smartcard
(1)
snapcell
(1)
software
(1)
sotirov
(1)
sp
(1)
spamhaus
(1)
spidertrap
(1)
squid
(1)
sri
(1)
ssdeep
(1)
sseguranca
(1)
sslstrip
(1)
sting
(1)
stj
(1)
street view
(1)
sucuri
(1)
superinteressante
(1)
são paulo
(1)
takedown
(1)
teamcymru
(1)
technosecurity
(1)
telefônica
(1)
terra
(1)
terrorismo
(1)
timeline
(1)
tizor
(1)
tls
(1)
token
(1)
topcell gsm
(1)
tresor
(1)
trustwave
(1)
tse
(1)
turquia
(1)
txtBBSpy
(1)
umass
(1)
unix
(1)
urna eletrônica
(1)
us-cert
(1)
usenix
(1)
userassist
(1)
vazamentos
(1)
venda de senhas
(1)
venere
(1)
verdasys
(1)
verisign
(1)
videntifier
(1)
visualização
(1)
visualize
(1)
vivo
(1)
vm
(1)
votação
(1)
wargaming
(1)
wasc
(1)
web 2.0
(1)
weblabyrinth
(1)
websense
(1)
whitelisting
(1)
whois
(1)
wigle
(1)
win32dd
(1)
winacq
(1)
windbg
(1)
windd
(1)
winifixer
(1)
wipe
(1)
wired
(1)
wireshark
(1)
wlan
(1)
wordpress
(1)
wrf
(1)
xerxes
(1)
xp
(1)
zdi
(1)
zlob
(1)