Category: Segurança


books_2016

(…) para o primeiro brinde do ano à minha biblioteca!

Quando o assunto é aquisição de livros, normalmente aplico uma “fórmulazinha” que apesar de simples acabou por se tornar sagrada nessas ocasiões:

Cesto = Técnico + Lúdico

Nela, os títulos para o Técnico estão na sua maioria relacionados com as TICs, pois o bichinho da competência tem um apetite quase insaciável. Por outro lado, a parcela da incerteza, onde o “Lúdico” vai desde os autores que deliciam-nos com a sua mestria literária, até aos textos que prospectam a natureza humana e científica, pois o bichinho da curiosidade é um devorador feroz.

Desta vez o equilibrium resultou em “Blue Team Handbook: Incident Response Edition: A condensed field guide for the Cyber Security Incident Responder” de Dom Murdoch, por sugestão de um amigo, e “Uma escuridão bonita” de Ondjaki, por ser simplesmente o Ondjaki…

E assim tenho garantido os goles de sapiência para os próximos dias. Cheers!

 

Apresentação realizada no âmbito da 2.ª edição da Conferência Nacional de Segurança Informática (CNSI).

A par das nossas responsabilidades operacionais correntes, estarmos atentos às principais tendências e incidentes de segurança constitui-se numa das actividades intrínsecas aos Sistemas de Gestão de Segurança de Informação. Deste modo, respondemos ao convite abordando um tema transversal e de interesse para os diferentes sectores lá representados: APT – Advanced Persistent Threat.

Disponibilizo uma versão editada da apresentação, com “legendas” – porque meus slides não têm vida sem mim 🙂 – e algumas adições e remoções estratégicas de slides/detalhes para que pudesse veicular o conhecimento salvaguardando alguns aspectos (ossos do ofício 😉 ).

A Kaspersky Lab publicou um relatório sobre um APT (Advanced Persistent Threat) baptizado de Darkhotel, activo desde 2007 e adoptado por um grupo de hackers que, aproveitando-se da infraestrura de rede wireless de hotéis de luxo na região da Ásia e Pacífico, têm como alvos primários CEOs, vice-presidentes, directores de vendas e marketing e pessoal sénior de Pesquisa e Desenvolvimento de distintas empresas que deslocam-se com frequência para esta área do globo.

Segundo o relatório detalhado, e respectivo apêndice técnico, para a concretização do processo de infecção das máquinas, o grupo faz-se munido de diversos recursos dentre os quais a prévia informação sobre o itinerário do alvo, exploits 0-days para produtos Adobe e Microsoft Internet Explorer disseminados por spear-phishings, ficheiros maliciosos em redes P2P, iframes infectados nos websites dos hotéis e o uso fraudulento de Certificados Digitais permitindo a assinatura de aplicações maliciosas (keyloggers, downloaders, trojan, etc) com a consequente instalação sem detecção por parte dos controlos de segurança.

Entre várias análises especulativas sobre a real intenção dos malfeitores, envolvendo até teorias de ataque patrocinado por estados, o importante nesta altura é a reavaliação dos riscos envolvidos tendo em conta o contexto em que se enquadra a sua organização e reagir em conformidade para a eliminação, mitigação ou aceitação dos mesmos.

Mas antes de partir para um exercício exaustivo, pequenas recomendações como as  que deixo a seguir poderão ser transmitidas e adoptadas entre os colaboradores sempre que haja a necessidade de realização de viagens de serviço,  servindo como um ponto de partida para a prevenção à ataques deste género.

  • Comunique à Área de Segurança, ou à quem possua responsabilidades similares, pois poderão existir um conjunto de recursos e directrizes que irão ajudá-lo na preparação da viagem;
  • Certifique-se que os dispositivos (computadores, telemóveis, tablets, etc.) que leva consigo estão seguros, contendo as últimas actualizações do sistema e dos controlos de segurança (antivírus, firewall, etc.);
  • Assegure-se que qualquer comunicação via Internet durante a viagem seja encriptada (cifrada). Poderá ser-lhe atribuído um acesso VPN para consulta de e-mails ou visita à websites;
  • Tenha a certeza que você, a sua família ou amigos não publicam os seus planos de viagem nas redes sociais ou em fóruns públicos;
  • Desabilite a geo-localização nos seus dispositivos móveis para que a sua localização não seja rastreada ou publicada de forma inadvertida;
  • Obtenha os nomes e contactos das pessoas de confiança no país em que estiver a visitar para casos de emergência;
  • Finalmente, após o seu regresso, será conveniente contactar a Equipa de Segurança para um Balanço da Viagem e uma Verificação de Segurança nos Equipamentos utilizados.

Cybercrime is a Real Problem! Let’s hear what Nicholas Percoco, a Prominent Cyber Security Professional, has to say about it! 😉

.

Spring-Security-logo

… surge mais um “bug-manhoso“! – categoria de bugs em que incluo também os famigerados ponto e vírgulas e outros elementos “insignificantes” que dão-nos algumas dores de cabeça quando esquecidos algures no emaranhado de códigos.

Neste cenário, o nosso “bug-manhoso” é alimentado pelo Mau Mapeamento das Portas no ficheiro de configuração do applicationContext.xml, impossibilitando o correcto funcionamento da framework de segurança Spring Security 3.1.4 em uso numa aplicação web Java.

Este problema é impulsionado pelo facto de que com alguma frequência  nos  desleixamos e confiamos nas configurações default que acompanham muitos dos  recursos usados nos nossos ambientes.

Server Tree

A configuração em questão é a do servidor de aplicação Glassfish que corre por default nas portas 8080 e 8181 (http e https, respectivamente). Quando os condicionalismos obrigam, o funcionamento em simultâneo de vários servidores só é possível efectuando a alteração das portas default, usando por exemplo as portas 14798 e 14799.

Caso esta alteração não seja acompanhada das devidas alterações subsequentes, poderá provocar um mau funcionamento do Spring Security.

Em dias de sorte, esta falha é alertada pela exibição da mensagem no browser: “Está página Web tem um ciclo de redireccionamento“, com o código de erro: ERR_TOO_MANY_REDIRECTS.

1

Podendo também ser menos explícita tal como apresentado no screenshot abaixo, lançando a excepção com.sun.faces.context.FacesFileNotFoundException e duplicando o nome do sistema na URL.

main

Como Resolução, deve-se alterar as definições de mapeamento de portas no ficheiro applicationContext.xml actualizando para os novos valores dos atributos http e https da tag port-mapping.

applicationContext

portas

24

E foi com este tema que marquei ontem a minha estreia, em modo Speedy Gonzalez :D, nas sessões de apresentações do CAST – Comunidade Angolana de Segurança e Tecnologia.

Com casa cheia, foi bastante gratificante podermos observar o intercâmbio de conhecimento e experiências entre os profissionais da área e os estudantes universitários que pela primeira vez fizeram-se representar em bom número, o que com certeza deixou satisfeito os que têm acompanhado de perto a caminhada da comunidade.

O pontapé de saída foi dado por Sérgio Cruz que dissertou sobre “Sistemas Integrados de Gestão Empresarial“, cobrindo os pontos anunciados por altura do lançamento do evento, tais como a importância, factores de decisão técnica e as razões técnicas em que baseou a sua opção. Em jeito de conselho, foi passando informações que considera cruciais para que um processo de adopção de um ERP finalize com sucesso.

Na sequência, coloquei as vestes de evangelizador de segurança, convidando os participantes a uma viagem ao passado, levando-os a compreender a presente necessidade de consciencialização para a adopção de práticas seguras de Engenharia de Software e de Gestão de Projectos de Software nos processos de desenvolvimento e/ou aquisição de soluções. Com certeza, a ocasião proporcionou também a oportunidade para dar a conhecer conceitos pouco disseminados como Software Assurance, ciclo de vida de desenvolvimento de software seguropráticas de segurança, entre outros, relacionados à Segurança em TI.

Para obter mais informações como as apresentações deste e outros eventos passados, é só visitar a página do CAST em www.cast.co.ao e, aproveitando a visitinha, cadastrar-se, abraçando assim a causa. 😉

24

Será amanhã, quinta-feira 30 de Maio, a partir das 18h30, que decorrerá mais um Encontro CAST onde profissionais e entusiastas das Tecnologias de Informação partilham seus conhecimentos e experiências, com ênfase para os assuntos relacionados à Segurança.

Desta vez estarei na linha da frente com a apresentação intitulada “Segurança de SoftwareUm olhar para além das linhas de código!”, que terá na sua essência a consciencialização sobre a necessidade da adopção de práticas seguras de Engenharia de Software e de Gestão de Projectos de Software nos processos de desenvolvimento e/ou aquisição de soluções.

Comigo também estará Sérgio Cruz, Gestor de Projectos ERP, Consultor/Programador Sénior PHC Enterprise e SQL Server Database Administrator, dissertando sobre “Sistemas Integrados de Gestão Empresarial“, com tópicos que evidenciarão a sua Importância, factores de decisão técnica, razões técnicas que baseiam a sua opção, entre outros.

Local: Integrated Solutions, Bairro Azul. Clique para conhecer o local

Caso ainda não saiba, recomendo: 5 razões para estar presente num encontro do CAST

A PARTICIPAÇÃO É TOTALMENTE GRÁTIS!

P.S: Coffee Break por conta da casa, uma oferta da Integrated Solutions!

24

Prezados membros e amigos do CAST,

Encontre abaixo 5 razões pelo qual você deve estar presente num encontro do CAST:

  1.  O objectivo do encontro do CAST é de meramente o de promover a transferência de conhecimento, o que significa dizer que ao participar, todos aprendemos. “Se eu tiver uma maçã e você também, e nós trocarmos as maçãs, continuaremos cada um com uma maçã. Porém, se eu tiver uma idéia e você também, e trocarmos as idéias, passaremos a ter cada um duas idéias”
  2.  “Networking”, ao participar do evento do CAST você estará em contacto com profissionais de diferentes sectores, cada um traz consigo uma bagagem diferente sobre determinado tema, esta interacção pode ser facilmente traduzida em novas parcerias profissionais, oportunidades de negócio, emprego e etc. Com os eventos passados já nos foi possível constatar algumas parcerias entre diferentes representates de empresas do ramo.
  3. Uma forma de promover o nivelamento do sector. Através dos inputs provenientes dos diferentes protagonistas, é possível nivelar o modelo de conhecimento e as formas mais eficientes de tornar o ensino tecnológico numa ferramenta simplificada.
  4. Fazer conhecer os seus ideais à uma comunidade segmentada que em função da qualidade da informação que receber, fará o devido broadcast para o resto do mundo. BroadCAST! That’s what’s all about!
  5. Ajudar o sector acadêmico a ter uma melhor percepção da vida no campo tecnológico, temos tido a participação de estudantes universitários que passam a ter uma nova visão do meio que lhes espera e em função da informação que lhes é transmitida, fazem algumas modificações nos seus planos futuros.

Por CAST Team

 

cast - Março 1

 

phishing

(…) pois o isco já chegou à minha caixa de correio electrónico! :/

Foi pelo Menos Fios, site angolano especializado na divulgação de informações tecnológicas, que tomei conhecimento sobre a nova onda de Phishing Scam via e-mail, em que a grande novidade residia no facto de que os mal-feitores faziam-se passar por uma instituição bancária presente no mercado angolano.

Para os que estão menos familiarizados com o termo, Phishing Scam refere-se aos esquemas maliciosos que por via de uma comunicação electrónica (E-mail, sms, etc.), os mal-feitores fazem-se passar por uma instituição credível (banco, serviço web, etc.), e tentam apoderar-se de informações valiosas de clientes que, inocentemente, “mordem o isco” e acabam enviando seus dados confidenciais como o nome de utilizador, a palavra-passe, dados do cartão de crédito, etc.

E como prova de que este “mar está para peixes”, a minha caixa de correio foi baptizada por um novo isco, desta feita, simulando o banco Caixa Totta, Angola S.A.R.L.

Phishing 4

Clicando no link presente no e-mail, fui reencaminhado para a página fraudulenta onde, entre similaridades com a página oficial do banco, salta às vistas o endereço da página – http:/users9.jabry.com/caxiatottaangola/caxiatotta – totalmente fora dos padrões corporativo (onde até o “caixa” está mal escrito 🙂 ).

Phishing 5

Esta informação já é do conhecimento do próprio banco, que alerta aos seus clientes para se manterem vigilantes, suspeitarem de quaisquer e-mails e nunca responderem e nem clicarem em links presentes no corpo das mensagens.

E como somos todos bons samaritanos, podemos também dar uma ajudinha no combate à este crime. Para tal, podemos fazer o uso da funcionalidade de Denúncia de Esquema de Phishing, oferecida pela maior parte dos serviços grátis de e-mail. Para os utilizadores do serviço da Google, Gmail, apresento à seguir dois screenshots indicando os passos para denunciarem um determinado e-mail malicioso.

Phishing 7

Phishing 8

Estejamos sempre alertas pois já estamos na mira!!! 😉

%d bloggers like this: