Nos dias 10 e 11 de Dezembro vai-se realizar, em Madrid – Espanha, a Iberic Web Application Security Conference com a organização
da OWASP Portugal e OWASP Espanha.

Um evento com tópicos interessantes no programa e com a participação especial de Bruce Schneier.

Agenda:

Dos temas que mais me despertam a curiosidade faço referência ao SQL Injection – how far does the rabbit hole go? de Justin Clarke e do tema de autoria de Miguel Almeida – Authentication: choosing a method that fits.

Recomendo a visita a este evento a qualquer pessoa (profissional,estudante, entusiasta) mesmo que não esteja inteiramente integrado na área de segurança informática.
Este evento pode tornar-se numa experiência bastante enriquecedora devido à diversidade de tópicos agendados e a possibilidade de interagir com centenas de especialistas da área.

Se estiver interessado deixo aqui o link directo com a localização e informações de transportes e alojamento.

Preços:

DS

Hoje deparei-me com uma situação caricata quando enviei um email para para alertar um cliente de um problema de segurança, mais propriamente, denunciar a presença de um backdoor/shell no seu website.

Nesse email alojado na Netcabo, para além de acompanhar um texto introdutório do problema e a sua solução, enviei um screenshot da shell r57 (detectado em muitos antivírus).

Recebi uma resposta automática do Sr. Netcabo com a seguinte informação:

Na mensagem, “Problema de segurança no XXXXXXXXXXX”, que lhe foi enviada por “xxxxxxxx “, foi detectado um vírus “PHP/C99Shell.R”. O ficheiro infectado, “Body of Message”, foi automaticamente apagado pelo antivírus instalado nos servidores de mail da NetCabo.

Por um lado compreendo este tipo de solução de analisar possíveis conteúdos maliciosos mas considerar vírus o
texto no corpo do meu email (apenas referência ao termo “r57shell”) e um anexo de um screenshot com o titulo “screenshot-site.jpg”?

Pessoalmente já usei este serviço do clam num servidor de email e reparei que efectua muitos falsos positivos o que pode levar aos emails de envio a serem destinados a uma blacklist caseira ou ao “mau nome” do remetente.

De referir que a resposta automática da Netcabo veio como SPAM HIGH e que o cliente recebeu o email tal e qual como foi enviado sem qualquer referência de vírus.

DS

Um dos meus autores favoritos, Bruce Schneier, publicou um artigo sobre a importancia dos antivirus nos tempos que correm.

Saliento algumas partes que acho interessante:

Security is never black and white. If someone asks, “for best security, should I do A or B?” the answer almost invariably is both. But security is always a trade-off. Often it’s impossible to do both A and B — there’s no time to do both, it’s too expensive to do both, or whatever — and you have to choose. In that case, you look at A and B and you make you best choice. But it’s almost always more secure to do both.

Certainly security would be improved if people used whitelisting programs such as Bit9 Parity and Savant Protection — and I personally recommend Malwarebytes’ Anti-Malware — but a lot of users are going to have trouble with this. The average user will probably just swat away the “you’re trying to run a program not on your whitelist” warning message or — even worse — wonder why his computer is broken when he tries to run a new piece of software.

One of the newest trends in IT is consumerization, and if you don’t already know about it, you soon will. It’s the idea that new technologies, the cool stuff people want, will become available for the consumer market before they become available for the business market. What it means to business is that people — employees, customers, partners — will access business networks from wherever they happen to be, with whatever hardware and software they have.

In “Is Antivirus Dead?” by Bruce Schneier

Um dos pontos negativos de ter um antivírus passa pelo consumo de memória, processamento, disco, etc que tem num sistema operativo, principalmente no Microsoft Windows onde predomina o mercado dos antivírus. Existem alguma maneiras de suavizar este aspecto, por exemplo, uma restrição de permissões de acesso no sistema operativo ou o uso de uma “whitelist” de aplicações, deixando assim o antivírus apenas verificar emails e conteúdos web.

Programar um antivírus é uma tarefa bastante complicada principalmente quando lidamos com vírus que estão constantemente a sofrer mutações. É de máxima importância manter o antivírus actualizado para, de certa forma, minimizar ameaças ao seu sistema operativo.

Uma das soluções que tenho lido/visto por especialistas na área é a da integração de limites e bloqueios no núcleo do sistema operativo para que nenhuma entidade terceira possa usar engenharia inversa no sistema e insira registos de informação. A ver vamos num futuro próximo…

DS

A Acunetix publicou um artigo bastante interessante sobre SQL Injection e a sua influência em 2009.

Uma falha particularmente fácil de prevenir e corrigir mas que continua a ser uma grande dor de cabeça para muitas organizações. Basta ver aqui no nosso blogue a quantidade de referências a este tipo de ataque web.

Um dos exemplos referidos no artigo da Acunetix foi o ataque à empresa de segurança Bit Defender em Portugal, disponibilizando acesso a milhares de emails e informações pessoais de administradores e clientes.

In February a group of Romanian hackers in separate incidents allegedly broke into Kaspersky, F-Secure, and Bit-Defender.pt websites by use of SQL Injection attacks. All three companies are major brands in the security and antivirus market. All three attacks were relatively trivial to carry out, however gave the hacker known as ‘unu’ access to F-Secure’s virus statistics, Kaspersky’s entire database which consisted of users, activation codes, a list of bugs and Bit-Defender’s thousands of user email addresses, admin login credentials and customers personal information.

In “Looking back at 2009 through SQL Injection goggles”

O grande responsável da publicação de muitas destas falhas SQL Injection foi Unu, um romeno ausente do mundo da segurança informática algum tempo, fechando mesmo recentemente o seu blogue, talvez prevenindo problemas legais por expor informação privada.
Unu usava uma ferramenta da NOSEC, grupo chinês, com o nome Pangolin. Esta ferramenta que passou a ser comercial (inicialmente era open source) tem gerado polémica em alguns pen testers que usavam esta aplicação, pois algumas das falhas encontradas eram enviadas para o servidor da NOSEC.

Sql Injection a pedra no sapato de muitos desde 1998…

DS

Decidi compilar uma lista de utilitários online que podem ajudar em certas operações relacionadas com a segurança informática. Vou tentar actualizar este artigo sempre que possível.

Podem sempre enviar um novo link usando o nosso formulário de contacto ou comentem este artigo com o link.

Codifica e descodifica vários tipos de encriptação:
http://intern0t.net/interc0de/

Serviço online de análise de vírus:
http://www.virustotal.com/pt/

XSS Cheat Sheet para ultrapassar filtros:
http://ha.ckers.org/xss.html

Ferramentas de dominios (DNS, TraceRoute, WHOIS, Reverse IP, etc):
http://www.domaintools.com/

Navegue na web anonimamente:
http://www.hidemyass.com/

Secunia OSI (Online Software Inspector)
http://secunia.com/vulnerability_scanning/online/

Encriptação de XSS
http://www.intern0t.net/xssor/

Várias funcionalidades, ideal para ultrapassar filtros de XSS
http://www.businessinfo.co.uk/labs/hackvertor/hackvertor.php

Verifica informação suspeita no seu website (malware, spyware, etc.)
http://www.unmaskparasites.com/

Todos estes links são gratuitos e não necessitam de qualquer registo.

DS