segunda-feira, 24 de setembro de 2012

Vulnerabilidades


Olá pessoal!

Diz-se que a perfeição é algo que pertence ao mundo divino e não ao humano, e que nossas lógicas são sempre falhas, pois não temos o conhecimento pleno de tudo (a oniciência também é um atributo divino)
Concordo.
E você?



Se você também concorda, podemos afirmar que tudo o que nós, humanos, fazemos é falho, ou contém falhas.
E os programas que fazemos também.
Todos.
Sem exceção.
Costumo dizer que encontrar estas falhas é questão de tempo e motivação.

Sendo então a condição falha dos programas uma realidade, é preciso levantar duas situações:
- como os responsáveis pelo software respondem às falhas descobertas?
- como podemos nos proteger de falhas não corrigidas?

Vamos analisar 2 casos?

Em 22/12/2010 a Microsoft emitiu um comunicado reconhecendo uma falha no Internet Explorer que permitia execução remota de código, ou seja, alguém poderia executar qualquer comando remotamente em uma máquina, e para isso era necessário apenas que esta máquina acessasse um site especialmente preparado para explorar a vulnerabilidade.
Em 08/02/2011 a Microsoft publicou um boletim de segurança contendo a correção para esta falha, e todas as pessoas que instalassem esta correção não estariam mais vulneráveis.
O Internet Explorer permaneceu vulnerável por 47 dias, certo?
Errado.
Esta mesma vulnerabilidade havia sido noticiada em 14/10/2010 por uma entidade chamada CVE, então o número sobe de 47 para 115.
Deixamos ainda de computar o tempo em que esta vulnerabilidade não foi divulgada no CVE, e era de conhecimento apenas de um grupo (talvez mal intencionado...).
Em 08/12 já havia um código (programa) disponível para qualquer pessoa explorar esta vulnerabilidade.

Quer um caso mais recente?
Vamos lá.

Eric Romang descobriu arquivos suspeitos num servidor em 14/09 e publicou dia 16/09 em seu blog a vulnerabilidade.
A 1 semana atrás (17/09/2012) a Microsoft emitiu um comunicado reconhecendo a falha no Internet Explorer que permitia execução remota de código, e neste mesmo dia já havia um código (programa) disponível para qualquer pessoa explorar esta vulnerabilidade.
O CVE publicou mais informações no dia seguinte (18/09).
Dia 19/09 a Kaspersky disponibilizou atualização de seu produto que bloqueia acesso a sites que contenham código para explorar a vulnerabilidade.
Segundo a agencia StatCounter 41% dos internautas americanos estão vulneráveis. Entre 17/09 e 21/09, a solução apontada pelos pesquisadores para o problema foi: Temporariamente use outro navegador.
Dia 21/09 a Microsoft publicou uma correção para a vulnerabilidade.

Lembra das duas questões que propusemos antes?
- como os responsáveis pelo software respondem às falhas descobertas?
- como podemos nos proteger de falhas não corrigidas?
Vou arriscar algumas respostas.
Os responsáveis têm se tornado mais responsáveis. Percebo que as grandes empresas de software, em geral, têm tratado as vulnerabilidades com mais agilidade, mas as boas empresas com foco em segurança são ainda mais ágeis, e oferecem medidas mitigatórias ou de contenção mais rapidamente.
E para se proteger das falhas a receita não muda:
- Atualize tudo, sempre, e o mais rápido possível;
- Tire o seu da reta, ou seja, evite usar programas que estão na mira dos códigos maliciosos, não seja parte do alvo;
- Esteja atento à divulgação de falhas e vulnerabilidades.

Até o próximo!

Postado por às Nenhum comentário:

quinta-feira, 6 de setembro de 2012

Segurança nas Redes Sociais

Olá Pessoal!

Acho que já falamos aqui do CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brsil) não é?
Pois recentemente eles lançaram uma nova cartilha com foco em segurança nas mídias sociais.
A abordagem, como nas demais cartilhas, é muito boa, e passa dicas simples e funcionais para orientar os usuários a protegerem sua privacidade e segurança no mundo das redes sociais.
O documento evidencia algumas diferenças importantes entre as redes sociais e outras mídias de comunicação, tais como:


  • a rápida velocidade com que as informações se propagam;
  • a grande quantidade de pessoas que conseguem atingir;
  • a facilidade de acesso;
  • a grande quantidade de informações pessoais que apresentam;
  • a dificuldade de exclusão e controle sobre as informações divulgadas;
  • o tempo em que as informações ficam disponíveis.

O fato de que os usuários são propensos a um nível de confiança mútua elevado, e a enorme popularidade que este tipo de mídia alcançou, despertou a atenção, também, de pessoas mal-intencionadas.
A cartilha identifica como principais riscos os seguintes:
  • Invasão de privacidade, de perfil e/ou furto de identidade
  • Vazamento e/ou uso indevido de informações
  • Danos à imagem e à reputação
  • Recebimento de mensagens contendo códigos maliciosos ou phishing
  • Instalação de programas maliciosos
  • Acesso a conteúdos impróprios ou ofensivos
  • Contato com pessoas mal-intencionadas
  • Disponibilização de informações para criminosos, que as podem usar em tentativas de sequestro ou para furto de bens
E continua dando várias dicas para proteger-se deles, salientando que:
  • após uma informação se propagar, não há como controlá-la e aquilo que era para ser uma brincadeira entre amigos pode ser acessado por outras pessoas e usado contra você, agora ou futuramente (na internet não existe Shift+Del).
  • para proteger a privacidade, muitas pessoas tomam cuidados extras e optam por não usar redes sociais, e por isso mesmo, elas podem não gostar que você comente ou repasse informações sobre a vida delas (se for postar foto de alguém peça autorização).
  • proteja o seu perfil, pois contas em redes sociais são muito visadas para a disseminação de códigos maliciosos e phishing.
  • proteja também seu computador, e isso é importante não apenas para o acesso às redes sociais, mas também para proteger seus dados e tudo que você faz usando ele.
  • se tiver filhos ou crianças próximas, é muito importante que você os oriente sobre os riscos de uso das redes sociais, para que eles saibam se proteger.
  • aquilo que você divulga ou que é divulgado sobre você pode ser acessado por seus chefes e companheiros de trabalho, além de poder ser usado em um processo seletivo futuro que você venha a participar.
  • é importante que alguns cuidados sejam tomados para que a participação nas redes sociais seja algo proveitoso e não algo que possa vir a ser usado contra a própria empresa.
E já que o assunto é mídias sociais e privacidade, deixo a dica de um produto da Secure.me.
Trata-se de um site e um plugin com o intuito de tornar os usuários do Facebook cientes das informações pessoais que serão colhidas pelos aplicativos.
O site possui informações de mais de 500 mil aplicativos do Facebook e descreve os dados do usuário coletados por eles.
O plugin é uma extensão para os navegadores Safari, Firefox e Chrome, que é ativada quando usuários entram em páginas de aplicativos do Facebook, e exibe um alerta pop-up que informa aos usuários a reputação do aplicativo e uma opção para informações mais detalhadas.

Até o próximo!
Postado por às Nenhum comentário:
Assinar: Postagens (Atom)