Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

Com as recentes vulnerabilidades no Reader, Quicktime e Flash, a Google deu algumas dicas de navegação mais segura no seu blog Google Online Security Blog. Veja as dicas:

• Manter o seu sistema operacional, navegador e plugins do navegador atualizados.
• Ter instalado um anti-vírus, e mantê-lo atualizado, também.
• Desabilitar ou desinstalar qualquer programa ou plugin de navegador que você não utiliza, diminuindo a sua “superfície de vulnerabilidade”.
• Se você receber um PDF anexado no Gmail, utilizar a opção “Visualizar” para visualizá-lo no Gmail ao invés de transferi-lo para o seu computador.

Para mais detalhes, veja em Google Online Security Blog: Stay safe while browsing.

Um problema de segurança frequentemente ignorado não só por cidadãos, mas por empresas: o descarte apropriado de documentos e informações confidenciais. Frequentemente aparecem na mídia catadores de materiais recicláveis que encontram documentos, como o caso do catador Baixinho, que tem uma coleção de documentos descartados, como RGs, CPFs e até uma folha de cheque preenchida.

Felizmente, a grande maioria dos catadores são pessoas de bem e honestas. Entretanto, é preciso tomar cuidado com quem fuça o seu lixo. A técnica de trashing dumpster diving (Valeu, Sandro!) consiste basicamente em verificar o lixo físico de alguma localidade – o descartes de papeis de uma empresa, por exemplo – visando a busca de informações que possam facilitar ataques por agentes maliciosos. A ideia de um cracker fuçando o seu lixo pode parecer fantasiosa para a maioria das pessoas, mas gestores de segurança corporativos tem de tomar medidas para evitar este tipo de problema.

Mesmo pessoas físicas podem tomar cuidados simples, como rasgar em vários pedaços folhas de papel e principalmente cartões plásticos de documentos; idealmente pode-se utilizar uma fragmentadora de papel, mas uma simples tesoura pode resolver o problema.

Foto: trash clam por Jes, CC-BY-SA.

O OpenSSL permite requisitar, assinar, gerar, exportar e converter certificados digitais. Ele está disponível como pacote ou pode ser compilado em todos os sabores de UNIX. Este guia irá explicar como gerar um repositório de chaves para certificados digitais, gerar certificados SSL privados e auto-assinados para servidores web, e exportar/converter o repositórios de chaves para um arquivo PFX (para importá-los em plataformas Windows). O guia abaixo foi testado em plataformas de servidores web comuns no Linux (Apache, Lighttpd, Nginx, Resin), entretanto a sintaxe seja provavelmente a mesma no Windows (ressalvando os caminhos dos arquivos).

Na grande maioria dos sistemas UNIX-like, como o Ubuntu Linux, o openssl já vem instalado; se você utiliza Windows, baixe os binários aqui.

1. Instale o OpenSSL.
2. Execute o comando abaixo para gerar um repositório de chaves chamado “server.key”:
   openssl genrsa -des3 -out /tmp/server.key 1024
3. Execute os comandos abaixo para requisitar um novo certificado SSL:
   openssl req -new -x509 -nodes -sha1 -days 1095 -key /tmp/server.key > /tmp/server.crt openssl x509 -noout -fingerprint -text /tmp/server.info
4. Execute o comando abaixo para fazer uma cópia do repositório de chaves que tenha uma senha:
   cp /tmp/server.key /tmp/server.key.bak
5. Execute o comando abaixo para gerar um novo repositório de chaves sem uma senha:
   openssl rsa -in /tmp/server.key -out /tmp/no.pwd.server.key
6. Execute o comando abaixo apenas se você necessita gerar um arquivo PEM que contenha concatenado o repositório de chaves e a chave pública em um único arquivo:
   cat /tmp/no.pwd.server.key /tmp/server.crt > /tmp/no.pwd.server.pem
7. Execute o comando abaixo apenas se você necessita exportar um repositório de chaves (sem senha) para um arquivo PFX (para importação em plataforma Windows):
   openssl pkcs12 -export -in /tmp/server.crt -inkey /tmp/no.pwd.server.key -certfile /tmp/no.pwd.server.pem -out /tmp/server.pfx

Apêndice:

• server.key – Arquivo do Repositório de Chaves
• server.crt – Arquivo da Chave Pública SSL do Servidor
• no.pwd.server.key – Arquivo do Repositório de Chaves (sem senha)
• no.pwd.server.pem – Arquivo do Repositório de Chaves + Chave Pública SSL do Servidor (sem senha)
• server.pfx – Chave Privada + Chave Pública, exportável para plataforma Windows (ex. servidor IIS)

Tradução de: SecuriTeam Blogs » Generating self-signed SSL certificate using OpenSSL

Foto: Network Insecurity with OpenSSL por puerexmachina, CC-BY-SA.

Durante a conferência Black Hat este ano, o hacker Patrick Thomas apresentou uma ferramenta para fingerprinting de aplicações web chamada BlindElephant.

A técnica de fingerprinting tem como objetivo de descobrir a versão de uma determinada plataforma web, por exemplo sistemas CMS como Drupal ou ferramentas de administração como o phpMyAdmin, podendo ser utilizado também para procurar por sistemas desatualizados, com vulnerabilidades.

A ferramenta funciona baixando arquivos estáticos dos sistemas (por exemplo, arquivo javascript) extraindo a soma de verificação (hash) e comparando com hashes conhecidos, retornando a versão da plataforma em questão. Feita em Python, pode ser utilizada tanto como uma aplicação em linha de comando como uma biblioteca, sendo embutida em outros programas.

Fonte: BlindElephant Web Application Fingerprinter

Foto: my fingerprint (infex, left hand) por Stefano Mortellaro, CC-BY.

Caixas de areia ou sandboxes são conhecidas em informática como um local para fazer suas experiências sem afetar a utilização do sistema, como um rascunho em um site. Em segurança da informação sandboxes são sites para os quais você pode enviar um arquivo (um binário .exe, por exemplo) afim de executar uma verificação por artefatos maliciosos (malwares). São, portanto, uma espécie de antivírus online, que ao invés de escanear todo o seu computador, trabalham apenas no arquivo específico enviado, sendo perfeitas para escanear aqueles arquivos suspeitos que recebemos por e-mail.

Alguns exemplos de sandboxes:

• Malware Analysis System
• CWSandbox
• ThreatExpert
• Anubis

Dica sugerida por Rafael Soares Ferreira.

Foto: a literal and visual sandbox por Torley, CC-BY-SA.

Dr.Emerson Wendt, Delegado de Polícia Civil do Estado do Rio Grande do Sul desde 1998, compartilhou em seu blog pessoal contatos de órgãos especializados no combate aos crimes virtuais em diversos estados e cidades da República Federativa do Brasil.

Neste mesmo post o Dr. Emerson Wendt sugere a leitura de um post sobre como proceder em casos de crimes virtuais, também de sua autoria, e sugere também a leitura do artigo do Dr. Rafael Correa, Delegado de Polícia do Espírito Santo, que aborda e dá dicas de como resolver problemas nas mídias sociais.

Foto: Blog do Emerson Wendt

O OpenDNS é um serviço gratuito de DNS (resolução de nomes de domínio, que converte nomes de site em endereços IP) baseado em software livre e já consagrado no mercado. Uma opção interessante – e gratuita! – que eles oferecem é o FamilyShield. Este bloqueia automaticamente sites fraudulentos, de phishing ou que estejam disseminando malware, além de sites não adequados para crianças, como de conteúdo adulto, bem como sites de proxy e anonimizadores, que são com alguma frequência utilizados por crianças para passarem por esse tipo de filtro. A configuração do FamilyShield é simples e pode ser feita por usuários não-técnicos. Veja mais detalhes na página do OpenDNS FamilyShield.

Outra alternativa gratuita do OpenDNS, para aqueles que estejam interessados nos bloqueios de malware e phishing mas não nos de conteúdo adulto e afins é o OpenDNS Basic, que exige uma configuração um pouco mais técnica mas traz outros recursos interessantes, como relatórios de acesso. Veja mais detalhes na página do OpenDNS Basic.

Fonte: OpenDNS > FamilyShield

É preciso tomar cuidado com configurações de VPN em dispositivos móveis para funcionários da empresa, em especial com a leva de smartphones, tais como BlackBerries, iPhones e Androids. Smartphones estão suscetíveis a vulnerabilidades assim como PCs, e podem ter keyloggers ou outros malwares instalados.

Assim, recomenda-se uma verificação constante das VPNs em dispositivos móveis e das políticas de segurança da empresa, tomar cuidado com aparelhos que gravem a senha da VPN em texto puro, de forma que um atacante possa verificar no registro ou nas configurações do aparelho e evitar ao máximo o “configurar e esquecer”. Uma VPN vulnerável pode ser a primeira porta de entrada de um atacante.

Fonte: Black Hat 2010: Complacency over VPN security and management unacceptable

Foto: my new HTC Desire smartphone por Retinafunk, CC-BY-SA.

Dizem que “leva mais tempo criar um sistema inseguro do que um sistema seguro”. Seguindo a linha do Metasploitable, o Damn Vulnerable Linux é uma distribuição Linux com diversos programas pré-instalados e cheios de vulnerabilidade, todos intencionalmente desatualizados. Como diz no site oficial do projeto, “o Damn Vulnerable Linux é tudo o que uma boa distribuição Linux não é”. O objetivo é servir de laboratório para estudantes de segurança de informação testarem seus conhecimentos de exploração de sistemas.

Se você está dando os primeiros passos em segurança da informação, experimente o Damn Vulnerable Linux numa máquina virtual. Só não vá utilizá-lo como sistema principal! Com tantas vulnerabilidades, seria uma questão de tempo até seu sistema ser invadido.

Fonte: Damn Vulnerable Linux

É possível alterar dados do seu profile no twitter a partir de “twittadas”, são os chamados ‘command tweets’ e possuem o seguinte formato: set [dado] [valor]. Com eles, é possível alterar dados como nome, localização e URL. Isso torna ainda mais sensível a utilização de aplicações de terceiros com autorização para enviar tweets por você.

É aconselhável a verificação das aplicações que possuem esse tipo de acesso à sua conta, através do seguinte procedimento:

A partir da sua página inicial no Twitter, vá na seção “Settings” e clique em “Connections”.

Todas as aplicações serão listadas com o seu respectivo nível de privilégio. Caso haja alguma que você desconheça ou não utiliza mais, você pode remover as permissões através do link “Revoke Access”.

É importante sempre ter a noção exata sobre as aplicações utilizadas e manter-se vigilante a respeito de vulnerabilidades nas mesmas.

Autor: Rafael Soares Ferreira

Foto: Twitter Wallpaper por JoshSemans, CC-BY.