Sunday, October 18, 2009

Tipos de Monitoramento de Segurança de Rede

Antes de iniciar este post, gostaria de retomar uma discussão frequente e uma resposta que tenho a esta questão: "O que uma empresa ou órgão deve fazer para estar preparado a responder incidentes de segurança (do ponto de vista de soluções/produtos)?":
Meu posicionamento/resposta diante desta pergunta:

I - Uma infra-estrutura de "Network Forensics"
que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados ao ataque (ex: NetWitness NextGen /
NikSun / Infinistream / NetIntercept )

II - Uma solução de SIEM/SEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidor comprometido, ids/ips, dhcp, dns, aplicações internas) (ex: ArcSight / ISM Intellitatics / Symantec SIM)

III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco (ex: Encase Enterprise / F-Response / AccessData Enterprise )

IV - Uma ferarmenta de monitoração de atividade de desktops (ex: SpectorCNE, WorkExaminer) [item incluído em 18/10/2009]

Com relação a primeira das soluções listadas acima, o Richard Bejtlich (CSO da General Eletric e autor de vários livros - todos recomendados) é uma referência mundial no que diz respeito à Segurança e Monitoramento de Rede, já o utilizei de referência/links em vários assuntos abordados aqui no nosso blog.

Ele postou há alguns dias atrás um artigo muito interessante sobre tipos de aplicações de monitoração de segurança de rede e eu fiquei esperando ter um tempinho para atualizar o blog com este excelente material e discussão.

São elencados por ele seis "data types" (maltraduzindo: tipos de dados) possíveis em uma ferramenta que lida com monitoração de rede (tradução livre minha):
  1. Alertas: julgamento e detecção e/ou bloqueio feito por um produto ("Port scan!" ou "Buffer overflow!");
  2. Estatísticas: descrição high-level de atividades (percentual de protocolos, tendências, etc.);
  3. Sessões: comunicações entre hosts ("A conversou com B na 6a-feira por 61 segundos enviando 1234 bytes");
  4. Conteúdo Completo (Full Content): todos os pacotes trafegados (no cabo/ar);
  5. Extração de Conteúdo: reconstrução de elementos de uma sessão e extração de metadados;
  6. Transações: geração de logs baseado em tráfego do tipo requisição-resposta (request-reply) como DNS, HTTP, etc.
Depois disto, ele produziu uma interessante tabela de referência contendo as categorias de produtos de Monitoramento de Segurança de Rede e os tipos de data types suportados por cada uma (genericamente). Esta foi a melhor abordagem comparativa de tecnologias de Segurança de Rede do ponto de resposta a incidentes que já vi.

Na minha opinião, a tabela mostra claramente porque uma organização que se preocupa com segurança precisa possuir ou desenvolver pelo menos uma das duas últimas categorias de produtos (NetWork Forensic Appliance ou Custom NSM Appliance) e não se satisfazer com soluções tradicionais (ex: IDS/IPS).

Apresento abaixo uma análise da tabela apresentada, algumas opiniões próprias (*) e nomes de aplicações e produtos que o autor do post citado preferiu não incluir.

(1) Produto IDS/IPS: Alerta ou Bloqueio OK; Estatísticas de Alertas OK; Sem Sessões; Sem Conteúdo Completo; Sem Extração de Conteúdo; Sem Transações. [ * Minha opinião: melhor opção comercial: SourceFire, melhor opção free: Snort / pouquíssimas vezes tive a oportunidade de ver um IDS/IPS bem gerenciado/"tunado"* ]

(2) Produto NBAD (Network Bahavioral Anomaly Device): Alerta baseados na análise de flows; Bons dados estatísticos; Bons dados de sessão; Conteúdo Completo somente para alguns flows; Sem Extração de Conteúdo; Sem Transações.

(3) Network Forensic Appliance: Sem alertas (* O NextGen da NetWitness possui alertas *); Bons dados estatísticos; Dados de sessão não podem ser manipulados imediatamente (*O NextGen da NetWitness permite que dados de sessão que possam ser manipulados imediatamente * ); Conteúdo Completo (propósito deste tipo de solução); Extração de Dados (alguns appliances possuem); Bons dados de Transações.

(4) Custom NSM Appliance *ou faça você mesmo com ferramentas de código aberto*: Alertas: Snort, Bro; Estatísticas: MRTG, Ntop; Sessões: auto-contidas ou aceitam Netflow; Conteúdo Completo: Dumpcap/Wireshark, Daemonlogger/Snort; Extração de sessão: requer desenvolvimento próprio (* tcpxtract, Networkminer *) ; Transações: Bro, Httpry.

Extendendo a resposta dada no início deste post no que diz respeito à monitoração de rede com objetivo de resposta a incidentes:

Se você possui budget
para investimento, o ideal é buscar uma solução de Forense de Rede (opção 3 acima - que também é a que traz resultados mais rápidos)

No caso de não ter dinheiro mas possuir uma equipe numerosa e qualificada em segurança e open-source para dispor no desenvolvimento de uma solução customizada, o melhor (porém mais demorado) caminho é a opção 4 (Custom NSM Appliance).

Sei que este tipo de discussão costuma gerar debates interessantes... Comentários?

Thursday, October 15, 2009

Cibercrime tem nova lei (em Portugal)

[ 2009-10-25 Update ]

Um artigo foi publicado hoje no blog português segurança informática sobre uma operação da Justiça lusitana em que computadores foram apreendidos sob alegação de teste de segurança ilegal relacionadas ao caso Ghostnet.

[ 2009-10-15 Post Original ]

Hoje entrou em vigor a nova "Lei do CiberCrime" - em Portugal. Ela objetiva transpor para a ordem jurídica portuguesa uma diretiva européia do ano de 2005. A última lei relacionada à crimes informáticos era de 1991

O texto prevê punições para atos como a produção e disseminação de vírus, destruição e alteração no uso de sistemas de informação. A nova lei prevê penas que podem ir até dez anos de prisão para estas atividades.

Assim como o nosso Projeto de Lei 84/99, existem muitas críticas da mídia especializada sobre a nova lei, especialmente no que diz respeito à limitação da investigação na área da Segurança Informática.

Como não poderia deixar de ser, o tema privacidade versus agilidade na identificação de endereços IP envolvidos em ataques ou crimes (e necessidade de mandado judicial para obtenção destes dados) gera bastante polêmica também em Portugal.

Saturday, October 10, 2009

7 (ou mais) Conceitos em Seguranca alem da Confidencialidade, Disponibilidade e Integridade



Em algumas oportunidades recentes - durante congressos e trabalhos de consultoria - estive conversando com colegas e clientes sobre alguns tópicos interessantes de nossa área apaixonante de interesse comum - a Segurança da Informação.

Os tópicos relacionados à Segurança vem se multiplicando e especializando muito nos últimos anos, incluindo tópicos relacionados à Segurança de Rede, Segurança de Sistemas Operacionais e Bancos de Dados, Desenvolvimento de Aplicações Seguras, Testes de Penetração, Auditorias de Segurança, Análise de Códigos Maliciosos, Resposta a Incidentes, Forense Computacional e suas evoluções (Memória e Rede).

A Segurança da Informação está a cada dia se tornando um tópico mais popular e tem ganhando muito espaço na mídia (inclusive não especializada). Vemos crescer de forma contínua e significante a maturidade em segurança dentro de instituições públicas, privadas e academicas.

O interesse corporativo pelo tema tem atraído e convergido interesses, ações e ferramentas de áreas como Governança, Risco, Compliance, Auditoria e Jurídico. Além disto, por se tratar de uma área do conhecimento muito nova,a segurança vem recebendo contribuições teóricas de disciplinas tão variadas quanto a engenharia, a economia e a psicologia.

Conhecemos bem o o desafio que é se manter atualizado nos vários tópicos de interesse dentro deste Universo chamado "Segurança da Informação". Eu costumo reservar algumas horas semanais para ler livros/sites/blogs/feeds rss/para me atualizar na área.

Acredito que existem algumas discussões teóricas sobre o tema da Segurança da Informação que são muito interessantes e que influenciam a disciplina e o mercado em si - e elas certamente vão além do tradicional tripé de conceitos "Confidencialidade / Integridade / Disponibilidade" que estamos acostumados a debater por mais de 20 anos.

Neste post pretendo fazer um breve resumo de sete conceitos que considero importantes, incluindo informações sobre seus principais autores e/ou defensores e links externos com mais informações sobre os assuntos:



[ CSO da British Telecom / criptoanalista / autor ("Applied Cryptography","Beyond Fear") ]

Conflitos de Escolha (Trade-Offs):
Schneier introduz em seu livro "Beyond Fear" a existência de "trade-offs" quando são avaliadas e aplicadas medidas de segurança. A questão muda de "estamos seguros?" para "vale a pena estarmos seguros?".

Teatro em Segurança (Security Theater):
Outro conceito frequentemente citado por Schneier em "Beyond Fear" é a utilização de contra-medidas que só oferecem uma (falsa) sensação de segurança. Ele chama isto de "Securiy Theater" e demonstra o distanciamento entre o risco percebido e o risco real.


II -Dan Geer [ CSO da In-Q-Tel e Visionário em Segurança]
Dan Geer defende que a segurança seja uma das profissões que exigem um maior desafio intelectual no planeta. Segundo ele, o conhecimento basilar em segurança chegou a um ponto em que novos profissionais e/ou estudiosos não conseguirão ser generalistas verdadeiramente competentes - e por isto a unica opção que eles possuem é a especialização cada vez maior.

Sobre a classificação de informações e controle a aplicações e dados críticos:

* Se você não sabe nada, 'permit-all' é a única opção;

* Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
* Se você sabe tudo, somente aí o 'default-deny' se torna possível.

A expressão "Advanced Persistent Threat" é muito relevante para qualquer profissional envolvido em Segurança da Informação. Tratam-se de ataques contínuos utilizando amplos recursos (tempo e dinheiro), e que são altamente sofisticados e claramente direcionados. Neste tipo de situação, as defesas tradicionais e genéricas são inúteis.


IV - Ross Anderson
[ Professor da Universidade de Cambridge, autor ("Security Engineering")
 ]


Este campo de estudo foi proposto depois de observações feitas por Ross Anderson indicando que incentivos incorretamente alinhados e assimetria de informações explicam a falha de sistemas de segurança mais comumente do que fatores técnicos. A abordagem utilizando a economia pretende prover uma forma mais efetiva de analisar diretamente problemas relacionadas à segurança da informação como privacidade, spam e phishing.

Psicologia aplicada à Segurança:

Segurança como sentimento versus segurança como realidade - e outros tópicos.



"O único sistema verdadeiramente seguro é aquele que está desligado, dentro de um bloco de concreto e guardado em uma sala com guardas armados, e ainda assim eu tenho minhas dúvidas"


Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)