[Palestra] Dissecando o HeartBleed

capaOs bastidores do anúncio de uma das maiores vulnerabilidades de segurança da atualidade que afetou milhares de servidores na Internet – e que ainda é passível de exploração em outros milhares que ainda não corrigiram o problema – a devastadora e incrivelmente simples falha de programação de um componente do OpenSSL: a implementação mais usada do protocolo SSL no mundo.

Nesta palestra – apresentada no Grupo de Trabalho em Segurança do CGI.BR (05/2014) e na Campus Party Recife (07/2014) – literalmente “dissecamos” os fatos que vazaram sobre a descoberta e negociações entre os gigantes da Internet até a divulgação pública do HeartBleed em 07 de Abril de 2014.

googheartO incômodo da equipe do Google quando o Neel Mehta descobriu e reportou à sua equipe interna em 21/03/2014, o esforço de correção e estratégias de divulgação para parceiros de modo a minimizar os impactos até a divulgação definitiva feita pela “segunda descobridora” da falha, a Codenomicon.

No vídeo você conhecerá também quem é o Robin Seggelmann – “pai” do HeartBleed – e toda a polêmica envolvida na responsabilização da equipe do projeto e as “teorias conspiratórias” que atribuíam a falha a um implante de backdoor proposital pela NSA.

Veja todos os detalhes internos do funcionamento do protocolo HeartBeat, implantado no OpenSSL pelo Seggelmann, a descrição da falha que gerou a vulnerabilidade, as correções e diversas técnicas e ferramentas criadas para exploração de sistemas vulneráveis.

assinatura_peq

 

 

 


 Para ver os slides (PDF) da apresentação Clique Aqui

[Artigo] Afinal o que é um “Zero-Day” ?

0day01Mesmo que você não seja da área de segurança da informação – a não ser que esteja morando em outro planeta, embora ache que se os ET’s invadirem a Terra usarão um Zero-Day 🙂 – provavelmente já ouviu falar nesse termo recentemente…

Não é um termo “da moda” como selfie (ou pau-de-selfie) que provavelmente darão lugar a outro modismo assim que inventarem outra “onda”…

Zero-Day (ou 0-Day… ou ainda “Dia Zero”) é pura e simplesmente a estratégia por trás de grande parte dos mais bem elaborados ataques a sistemas computacionais da atualidade !!!

Sua definição é simples… os cenários de uso e o comportamento de quem os descobre (ou produz) é que potencializam os estragos de sua utilização e o tornam uma ameaça constante e perigosa.

Zero-Day é tão somente uma falha de segurança não explorada e não documentada, ou seja, um vetor de ataque (ferramenta e/ou método de exploração) contra a qual não existe correção conhecida (patches, service packs, hotfixies, recomendações técnicas) uma vez que o próprio desenvolvedor da solução ou quaisquer soluções de detecção e/ou correção de vulnerabilidades – a priori – não conhecem, ainda, a falha.

É algo como um vírus para o qual nenhuma empresa de anti-vírus tem vacina, ou uma falha explorável em um serviço de acesso remoto que, caso explorada, não vai ser reportada por nenhum sistema de detecção de intrusões uma vez que sua “assinatura” (identificação da vulnerabilidade) não é, ainda, conhecida.

Pois bem, se até agora você ainda não associou o termo Zero-Day às manchetes recentes vamos elencar somente algumas grandes “catástrofes” dos últimos tempos que usaram (ou cujas falhas por trás podem ter sido utilizadas):

HeartBleed
A vulnerabilidade na mais utilizada implementação do protocolo SSL (o OpenSSL) existiu por mais de 2 anos (isso mesmo!!! 2 ANOS) e, até ter sido divulgada e corrigida – no início de 2014 – pode ser considerada um Zero-Day disponível para todos os que dela tiveram conhecimento prévio.

ShellShock (BashDoor)
Divulgada em setembro/2014 essa gravíssima falha no Bash – interpretador de comandos (shell) mais utilizado em sistemas Unix/Linux – afetou (na verdade ainda afeta todos os sistemas que não a corrigiram) milhões de equipamentos em todo o mundo.

zeroday02Em outros cenários o uso do Zero-Day tem sido ainda mais preocupante, como o uso na CyberWar (guerra cibernética entre países). Um dos primeiros ataques de grandes proporções (e consequências) envolvendo países, o StuxNet – onde um vírus/worm foi produzido para encontrar e comprometer equipamentos de controle de usinas atômicas do Irã – utilizou pelo menos 4 (quatro) Zero-Days !!! que exploravam falhas ainda não reportadas em sistemas Microsoft Windows para comprometer sistemas e realizar operações internas – nesse caso em específico acesso ao sistema de controle das usinas israelenses baseados no software Scada da Siemens.

Depois disso, utilizando a mesma estratégia, vieram outros ataques do tipo como o Duqu e o Flame… variam os interesses, os países envolvidos, os alvos, as estratégias, mas por trás de tudo, fazendo “o serviço pesado” está (ou estão) um ou mais Zero-Days .

zeroday03Uma polêmica recente é o uso – por empresas que fazem pentests (testes de intrusão autorizados) – de exploits (softwares de exploração de vulnerabilidades) baseados em zero-day. O argumento é o de que caso o pentest tradicional não consiga comprometer o sistema do cliente, o pentester utiliza zero-days desenvolvidos (ou adquiridos) especialmente para essas situações.

Essa estratégia é contestável uma vez que os clientes que contratam pentests querem saber se seus sistemas estão vulneráveis a ataques “tradicionais” e, quando uma empresa de pentest não consegue por vias normais comprometer o sistema-alvo e utiliza-se de zero-days para isso, apesar de deixar uma “boa impressão” (já que mostrou que tem expertise para comprometer o sistema do cliente) a técnica utilizada, em si, comprometeria praticamente qualquer sistema, descaracterizando a essência da prática de pentests.

Polêmicas à parte, o fato é que com a utilização cada vez maior de Zero-Days nas mais diversas atividades relacionadas à busca de comprometimento de sistemas a coisa está virando literalmente “um mercado” atraindo desenvolvedores de exploits baseados em Zero-Days, e até o comportamento de pessoas conhecidas como “caçadores de vulnerabilidades” – que, em sua maioria, ao descobrir falhas procuravam os desenvolvedores dos códigos para reportá-las recebendo por vezes apenas os créditos da descoberta ou no máximo uma gratificação de empresas afetadas – vem mudando, uma vez que é mais lucrativo (embora de ética contestável) descobrir e vender (ou usar !?) por milhares de dólares a empresas, governos ou quaisquer interessados em utilizá-los em ataques.

Esse artigo não é conclusivo… a polêmica existe e está longe de terminar! O fato é que o Zero-Day chegou pra ficar (já existia, mas ficou mais evidente e lucrativo) o que termina por aquecer ainda mais o mercado de Segurança da Informação.

assinatura_peq

[VideoAula] Segurança da Informação: Pra começar…

01Ok, você começou agora um curso na área de Informática (ou Direito) e se interessou por segurança? Ou mesmo nem é da área mas tem interesse em começar a aprender sobre o tema porque hoje em tudo o que se faz nas redes (e na Internet, claro) sempre tem alertas e recomendações usando por vezes termos que você nunca ouviu falar?

Que tal tirar 20 minutinhos e assistir essa videoaula com uma visão geral sobre praticamente tudo o que é necessário saber para iniciar no mundo da segurança de redes?

O vídeo começa com uma contextualização histórica sobre os primeiros relatos que se tem notícia de 1837 (isso mesmo !!!) quando ainda nem se falava em computadores mas precisava-se pensar em estratégias de utilizar de forma minimamente segura o telégrafo, recém inventado.

Aborda ainda os embaralhadores para telefones (1860) chegando finalmente às primeiras leis relacionadas a segurança: em 1920 quando os EUA fizeram sua primeira “lei anti-grampo”.

02O vídeo enfatiza então uma situação que persiste até hoje: a relação direta entre segurança e a guarda e transmissão de informações, apresentando as “máximas da segurança” (princípios básicos) e as dimensões que cercam o assunto.

Em seguida uma breve apresentação sobre vulnerabilidades (ameaças) à informação (e ao transporte dela nas redes) resultando na “Pirâmide Clássica da Segurança da Informação” ampliada posteriormente para dar origem aos princípios e objetivos da Segurança da Informação hoje.

Tire um tempinho e veja essa videoaula e entre você também no mundo da Segurança de Redes.

assinatura_peq