O Flickr é um dos mais populares sistemas de publicação e compartilhamento de fotos da Internet. Agora estamos lá, onde iremos mostrar imagens curiosas e interessantes dos lugares onde desenvolvemos nossas atividades, e cidades pelo Brasil e mundo onde nossos projetos são conduzidos. Dê uma olhada em http://www.flickr.com/photos/conviso_it_security/.
Durante esta semana uma matéria foi publicada no portal O Globo, onde é discutida a redução da quantidade de vulnerabilidades publicadas. De acordo com a matéria, ao invés de expor suas descobertas de vulnerabilidades em conferências, muitos pesquisadores estão optando por vendê-las, atingindo valores de até US$ 250 mil em alguns casos. Entre críticas de alguns e justificativas de outros, vale uma boa leitura e reflexão.
Enquanto isso, empresas de renome continuam indo na contramão desta tendência e compartilhando suas descobertas. A Fortify mantém um enorme repositório disponível na Internet, o iDefense Labs segue a mesma linha, e o OWASP publica cada vez mais informações e recursos que podem ser acessados pela comunidade para o incremento geral do nível de proteção dos componentes técnicos.
A notícia abaixo, reproduzida do site Geek, confirma a tendência apontada no relatório 2008 Data Breach Investigations Report, onde um dos problemas mais comuns enfrentados pelas empresas estudadas no documento, foi terem exploradas vulnerabilidades simples em seus sistemas.
Se você está preocupado em como a sua empresa trata este tipo de assunto, recomendamos ler a descrição do Conviso Security Training, onde a nossa equipe capacita o seu pessoal na inclusão de processos de segurança no desenvolvimento de aplicações, o que é claro, inclui componentes web.
Os dados dos mais de 41 mil entrevistados da firma de pesquisa de mercado TNS Infratest/Emnid estavam acessíveis através de uma URL simples. A falha, embora não seja a primeira do tipo, se trata de um erro de segurança banal, normalmente cometido por programadores principiantes.
Além dos dados citados acima, também podiam ser visualizados datas de nascimento, endereços de email e números de telefone e, até mesmo, dados mais críticos como números de cartões de crédito e informações bancárias. A falha chegava a expor informações muito pessoais e potencialmente perigosas como o número de crianças na casa e eletrodomésticos utilizados na residência. Segundo o site Chaos Computer Club é possível encontrar, com um pouco de "garimpo", informações ainda mais sigilosas.
Os 41 mil registros "pescados" pelo Chaos Computer Club foram obtidos com um simples script em linguagem Python. Não foi preciso "hackear" nem invadir o site da TNS Infratest/Emnid, bastando apenas manipular a URL. Basicamente, o endereço de cadasto de cada pesquisado no site se parecia com o seguinte: www.report-global.com/blablabla/data.aspx?id=11XXXX. O campo "id" na URL é, exatamente, o número de cadastro de cada entrevistado. Basta alterar manualmente esse valor para ter acesso irrestrito e sem precisar de senhas aos dados dos outros entrevistados. O site Wired Security considerou a falha, pelo seu amadorismo, "chocante e estúpida". A descrição do procedimento (em alemão) pode ser obtida aqui.
Dirk Engling, porta-voz do Chaos Computer Club, afirma que é um caso absurdo de negligência e um erro de iniciantes em desenvolvimento de software. Ele ainda afirma que o mínimo que a companhia se deve prestar a fazer é comunicar os entrevistados sobre o vazamento das informações. Finalizando, alerta que é hora de se atentar para as políticas de segurança na manipulação de dados tão sensíveis.
A notícia foi divulgada também no site Slashdot.org e no portal alemão All About Security. Embora preocupante, o caso, reportado na última sexta-feira, não é único. Recentemente as empresas alemãs German Telecom e Meldeämtern também apresentaram ocorrências de informações vazadas na rede, bem como muitas outras em inúmeros países.
Conviso oficializa sociedade com a consultoria dinamarquesa FortConsult
As empresas assinam contrato de parceria para o desenvolvimento de negócios nos mercados latino-americano e europeu
Copenhagen, 04 de julho de 2008 – A Conviso anuncia a assinatura de um contrato de parceria com a FortConsult, empresa dinamarquesa líder no mercado de IT Security para o mercado escandinavo. As empresas, que atuavam em um modelo de cooperação comercial mútua desde dezembro de 2007, assinaram nesta data em Copenhague um contrato de sociedade firmado entre Eduardo Vianna de Camargo Neves, Gerente de Operações da Conviso, e Ulf Munkedal, CEO da FortConsult.
A FortConsult passa a ser sócia da Conviso, resultando em duas grandes mudanças para as empresas:
O início das atividades resultantes desta sociedade irão começar no dia 08 de julho de 2008, quando a Conviso irá executar um road show na Lituânia e Letônia apresentando os produtos das empresas para clientes do mercado financeiro na região.
Sobre a Conviso
Atuando como fornecedora de serviços de análise de vulnerabilidades e adequação de segurança para os componentes da infra-estrutura de TI, a conviso tem em seu corpo gerencial profissionais com mais de 10 anos de experiência no mercado de Segurança da Informação, acumulando experiências nos mercados latino-americano, norte-americano e europeu como consultores, auditores e gestores em multinacionais de segmentos altamente regulamentados.
Sobre a FortConsult
A FortConsult é especializada em serviços técnicos no campo de Segurança da Informação, atuando desde 2002 no mercado europeu, com um crescimento intenso e sustentável, sendo considerada pelo jornal de negócios Børsen como uma das melhores empresas de Segurança da Informação nos Países Escandinavos.
Publicado no Blog da Info
A Microsoft liberou esta semana ferramentas para combater ataques por injeção de SQL em web sites.
Recentemente, atacantes invadiram sites legítimos que usam o SQL da Microsoft e injetaram nas páginas códigos maliciosos em JavaScript. Esses códigos redirecionam o browser para servidores que abrigam programas nocivos e infectam a máquina do visitante.
Voltada para desenvolvedores web, as novas ferramentas são gratuitas e objetivam prevenir esse tipo de ataque. São três aplicações. A primeira é HP Scrawlr. Desenvolvida pela HP, identifica se o site é suscetível a injeção de SQL.
Outro produto é o URL Scan 3.0 Beta, da própria Microsoft, que tem a função de defesa. O URL Scan restringe os tipos de requisições HTTP que o servidor IIS processa. O produto pode ser instalado no IIS 5.1 e versões posteriores.
Por fim, vem o Source Code Analyzer for SQL Injection, ferramenta também assinada pela Microsoft. Seu objetivo é detectar códigos ASP e ASP.net vulneráveis a ataques de injeção de SQL. Detalhes técnicos sobre os três produtos encontram-se no boletim de segurança 954462, de 24 de junho de 2008.
O consultor de segurança da PatchAdvisor Chris Goggans invadiu a base de dados National Crime Information Center do FBI em apenas seis horas, graças a brechas e lapsos na infra-estrutura e administração de ajustes. Goggans, que atua na busca de falhas para invadir redes desde 1991, conta que descobriu uma série de vulnerabilidades não corrigidas no servidor online do FBI e em outras áreas da agência.
O consultor usou uma brecha no servidor para conseguir os nomes de usuários e senhas, que eram reutilizados em um servidor de sistemas, onde ele encontrou mais detalhes das contas - que lhe permitiram conseguir privilégios de administrador do Windows.
Com este privilégio, ele ganhou total controle de quase todos os sistemas do FBI que usavam Windows, incluindo estações de trabalho usadas pela força policial. Goggans instalou softwares de controle remoto nestes sistemas, descobrindo programas no desktop que conectavam automaticamente as estações de trabalho à base de dados National Crime Information Center (NCIC) do FBI.
“Este software, junto a um programa que captura os dados digitados no teclado, permitiria que um cracker conseguisse fazer login no NCIC”, afirma. Segundo o analista, esta falha poderia ser eliminada se estratégias básicas de segurança fossem adotadas. Goggans diz que o FBI não deveria permitir dessa forma o acesso ao NCIC e à rede geral da agência, já que estão conectadas a dados que implicam na segurança nacional.
Além disso, os administradores de sistema deveriam ter monitorado e bloqueado o reuso de senhas. O consultor esclarece que, após a invasão para testes, entrou em contato com o FBI para alertar sobre o problema.
Hoje foi publicada no site da ISSA Brasil a Antebellum, revista eletrônica bimestral para os associados do Chapter Brasil. A revista contém artigos do ISSA Journal traduzidos para o português, artigos originais de profissionais do mercado brasileiro, colunas, entrevistas e informações do mercado de Segurança da Informação.
A primeira edição está disponível para o público no web site da ISSA, e as próximas estarão restritas aos membros desta Associação. Se você é um profissional, ou mesmo estudante, que quer mostrar o seu conhecimento, não deixe de contribuir com suas sugestões, comentários e artigos para revista@issabrasil.org.