Segurança e Auditoria de Sistemas. Jéfer Benedett Dörr

Transcrição

1 Segurança e Auditoria de Sistemas Jéfer Benedett Dörr prof.jefer@gmail.com

2 Conteúdo Noticias Token Estatisticas

3 Notícias da semana JOOMLA O CAIS está repassando o alerta da Secunia, intitulado "SA Joomla "token" Password Change Vulnerability", que trata de uma vulnerabilidade crítica identificada no gerenciador de conteúdo web Joomla. Quando é solicitado o "reset" da senha de um usuário do sistema o Joomla! envia um "token" por , um recurso é util no caso de perda da senha. A falha em questão está exatamente neste mecanismo, ao permitir que um usuário não autenticado ou autorizado realize "reset" da senha do primeiro usuário habilitado no sistema, geralemnte o admin, e depois assuma controle deste usuário. A vulnerabilidade permite que um usuário não autenticado tenha acesso remoto à implantação de Joomla!, podendo ler ou alterar conteúdo. Em 12 de agosto foi tornado público um código malicioso (exploit) que tem sido amplamente utilizado, especialmente em ataques de troca de página (defacement), o que aumenta a criticidade da aplicação destas correções.

4 Segurança Microsoft - Agosto 2008 A partir deste mês o CAIS adotou uma nova abordagem para a divulgação do ciclo mensal de alertas da Microsoft. Nos 11 alertas divulgados são tratadas 26 vulnerabilidades que afetam diversos produtos e que podem causar desde a divulgação de informações até o comprometimento completo do sistema atacado. Informações disponíveis publicamente indicam que 3 (*) das vulnerabilidades possuem código malicioso (exploit) que está sendo utilizado amplamente em ataques, o que aumenta a criticidade na aplicação destas correções. Críticos * MS08-041: Vulnerabilidade no controle ActiveX do Microsoft Access permite execução remota de código (*) * MS08-043: Vulnerabilidade no Microsoft Excel permite execução remota de código * MS08-044: Vulnerabilidade no Microsoft Office Filters permite execução remota de código * MS08-045: Correções de segurança acumulativas para Internet Explorer (*)

5 * MS08-046: Vulnerabilidade no Microsoft Windows Image Color Management System permite execução remota de código * MS08-051: Vulnerabilidade no Microsoft PowerPoint permite execução remota de código Importantes * MS08-042: Vulnerabilidade no Microsoft Word permite execução remota de código (*) * MS08-047: Vulnerabilidade no IPsec Policy Processing pode permitir a divulgação de informações * MS08-048: Correções de segurança para o Outlook Express e Windows Mail * MS08-049: Vulnerabilidade no Event System permite execução remota de código * MS08-050: Vulnerabilidade no Windows Messenger pode permitir a divulgação de informações Correções Disponíveis Recomenda-se atualizar os sistemas

6 Sites do governo da Geórgia são comprometidos por crackers Entre outras, páginas do Ministro da Defesa e presidente do país estão com o acesso bloqueado e tráfego redirecionado. Sites comerciais e do governo da Geórgia, país que está em guerra com a Rússia, foram atingidos ao longo da última semana por ataques de crackers, revelou um pesquisador de segurança

7 Pesquisador apresenta novo ataque que ameaça sistemas DNS Código de russo mostra como é possível explorar falha, que não é grave, para inserir dados falsos nos sistemas da internet. Evgeniy Polyakov mostrou um código que, ao explorar uma falha no DNS, torna possível a inserção de dados falsos em sistemas que usam a versão mais atualizada do software open source BIND (Berkeley Internet Name Domain), que roda a maioria dos servidores DNS da web. Esta versão é a BIND P2, lançada no dia 2 de agosto como um complemento da atualização inicial, divulgada em 8 de julho, quando o pesquisador Dan Kaminsky revelou a falha no DNS e coordenou seu ajuste.

8 Pesquisador apresenta novo ataque que ameaça sistemas DNS Código de russo mostra como é possível explorar falha, que não é grave, para inserir dados falsos nos sistemas da internet. Evgeniy Polyakov mostrou um código que, ao explorar uma falha no DNS, torna possível a inserção de dados falsos em sistemas que usam a versão mais atualizada do software open source BIND (Berkeley Internet Name Domain), que roda a maioria dos servidores DNS da web. Esta versão é a BIND P2, lançada no dia 2 de agosto como um complemento da atualização inicial, divulgada em 8 de julho, quando o pesquisador Dan Kaminsky revelou a falha no DNS e coordenou seu ajuste.

9 um PC com Windows desatualizado pode ser invadido em 4 minutos após se conectar à web, segundo o SANS Institute. Um ataque de Injeção SQL (structured query language) explora a camada que abriga a base de dados do código SQL. os crackers fazem testes para descobrir que site possui a falha. Se a versão não for atualizada, é possível enviar pela URL uma linha de comando SQL, que será executada pelo banco de dados do aplicativo. Se houver falha, ele retorna a informação Outra vulnerabilidade que paira entre as mais exploradas é a dos controles ActiveX - Aí é que mora o perigo. O ataque entra em ação quando na verdade você acha que está aceitando apenas um ActiveX, mas este pode vir acompanhado de - ou ser o próprio - malware. Bingo!

10 Spammers contrários à Geórgia iniciam construção de nova rede bot Crackers atacando a Geórgia em meio ao conflito armado iniciado pela Rússia na última semana começaram a enviar um novo volume de spams, aparentemente com o objetivo de construir uma nova rede bot com computadores controlados. Os s citam um suposto escândalo sexual de Mikheil Saakashvili, presidente da Geórgia, para tentar enganar usuários a clicar sobre uma notícia falsa o código de ataque usado no servidor não é bloqueado por antivírus,. apenas 4 de 36 antivírus testados apontavam o malware. Até agora rastrearam 44 PCs que enviam spams,, sendo que um deles está dentro do Ministério da Educação da Rússia. Ainda que os spammers pareçam estar moldando uma nova rede bot, ainda é incerto como a rede será usada. Warner especula que ela poderá ser usada para ciberataques contra PCs do Governo da Geórgia. a Geórgia moveu o site do seu Ministério de Assuntos Internacionais para o Blogspot, alegando que o ciberataque russo tirou do ar seu servidor. Analistas de segurança afirmam que por mais que os ataques à Geórgia sejam mais intensos que os registrados contra a Estônia há um ano.

11 Hackers invadem página do COB Descontentes com o desempenho do País nos Jogos de Pequim, hackers brasileiros invadiram o site do Comitê Olímpico Brasileiro durante a madrugada desta terça-feira (19/08). A página principal do site ganhou frases como Brasil tá um lixo nesas Olimpíadas (sic). A informação foi confirmada pela assessoria de imprensa do COB. Depois de identificar a investida, os responsáveis pela página colocaram um aviso de que o site está em manutenção. O ataque atingiu os endereços e (ambos do COB) e foi realizado pelo grupo conhecido como RootDamages que, segundo o site Zone-h.org, já invadiu mais de sites só em 2008.

12 pane no Gmail Na noite da última sexta-feira (15/08), o Google resolveu a pane no Gmail, a terceira em duas semanas; Como as duas panes anteriores, a última ocorreu no login, apresentando um erro que não permitiu que os usuários tivessem acesso às suas contas. As três panes não atingiram apenas usuários individuais do Gmail, mas também as pessoas que o utilizam como parte dos aplicativos de colaboração e comunicação do Google Apps. O Google reconheceu o problema do Gmail na sexta-feira (15/08) e disse que ele afetou um pequeno subsistema dos usuários do serviço. A interrupção foi desagradável para vários usuários do Google Apps contatados pelo IDG News Service nos Estados Unidos. A pane durou mais de 24 horas. Vendo essa falha tão longa em nossos primeiros dias de uso nos faz querer saber se a solução é profissional o suficiente para nós, disse um funcionário de uma ONG norte-americana que acabou de adquirir o pacote.

13 Segredos do token Dispositivo de segurança se populariza no Internet Banking, mas usuário deve ter cuidado. A segurança no Internet Banking é certamente um tópico fundamental, hoje em dia. O alvo dos ladrões migrou da agência bancária para o computador do correntista, onde as informações financeiras são acessadas emovimentadas (pagamentos, transferências etc). O Internet Banking desenvolvido no Brasil é o um dos mais seguros do mundo. Essa evolução é conseqüência da ação dos crackers. Existem tantos ataques bem-sucedidos executados por brasileiros que a tecnologia de segurança bancária evolui mais rápido aqui do que em outros países. Porém, não existe segurança absoluta e o objetivo dos crackers é localizar e explorar o elo mais fraco, o ser humano.

14 Os crackers disseminam programas espiões capazes de gravar tudo o que você digita durante o acesso ao Internet Banking. Por exemplo, agência, conta corrente, frase secreta e senha. A contramedida implementada foi o teclado virtual. O programa espião evolui junto com a segurança do Internet Banking. Além de gravar tudo que é digitado, o programa espião fotografa (print screen) toda vez que é pressionado algum botão do mouse. Alguns clientes compartilhavam a sua agência, conta corrente, senha do teclado virtual, com outra pessoa. Esta outra pessoa acessava o Internet Banking e realizava diversas transações financeiras. O cliente entrava em contato com o banco informando que o dinheiro havia desaparecido de sua conta corrente. Isso chama-se auto fraude. Os bancos foram obrigados a implementar uma segunda camada de segurança conhecida como token (chave de segurança, cartão de segurança, tabela de senhas, dispositivo de senhas eletrônicas etc).

15 Video: Alguns tokens utilizam a tecnologia de uma única senha. Esta senha é alterada uma vez por minuto e é permitido somente um acesso por minuto. O token também permite que você utilize uma autenticação de dois fatores (o que você sabe + o que você tem).

16

17

18 Circuito Caso auditoria Caso celepar - controles