Senhores do ISTF, há algum tempo tenho lido via RSS feeds alguns posts do fórum e aproveito para começar a contribuir com alguns assuntos também.

Observação: O post completo, com links no texto está presente em em:
SSegurança - blog.suffert.com: China vs Google e CIA - Lições a aprender

China vs Google e CIA - Lições a aprender

Diante do anúncio recente de que mais de 30 empresas americanas foram atacadas supostamente pelo governo Chinês, irei comentar o assunto sob a luz de alguns conceitos apresentados em posts anteriores:

# Risco, Vulnerabilidade, Ameaça e Impacto (reloaded) #

É fundamental conhecer as reais ameaças a que uma empresa (ou país) está exposto. E certamente este episódio - pela sua magnitude de divulgação - servirá a este propósito em nível nacional (US).Explodindo os componentes do termo "Ameaça", encontramos três fundamentais conceitos que por si só demonstram a seriedade e complexidade do caso em pauta:

Intenção: tende a ser dependente de indústria e situação. Abafar iniciativas de livre-divulgação e críticas ao governo Chinês, e Roubo de propriedade intelectual de empresas americanas, por exemplo. É importante notar que a intenção do atacante não pode ser influenciada por nenhuma ação de Segurança.

Oportunidade: timing apropriado e conhecimento do alvo. Neste caso, o ataque que se iniciou com phishing direcionado (ou spear phishing) utilizou uma vulnerabilidade 0-day do Internet Explorer (que inclusive já está disponível no MSF) - que certamente era utilizado pelas empresas alvo, vários níveis de criptografia - para "bypassar" ferramentas DLP e similares, trojans especialmente desenvolvidos com técnicas stealth - para vencer anti-vírus e HIPS.

Capacidade: é a habilidade financeira, humana e técnica de alcançar o objetivo de ataque e aproveitar a oportunidade. Certamente com o apoio e investimento do governo e ter os melhores hackers do mundo ajuda a China a obter seus objetivos de silenciar vozes que se levantam contra o regime - mesmo fora do país e a roubar informações privilegiadas de empresas pelo mundo.

# 7 (ou mais) Conceitos em Seguranca alem da CIA #

O conceito de APT -"Advanced Persistent Threat" - se de ataques contínuos utilizando amplos recursos (muito tempo e dinheiro investidos com firme propósito/intenção), em ataques que são altamente sofisticados e claramente direcionados. Neste tipo de situação, as defesas tradicionais e genéricas são inúteis.

Um Anti-Vírus e um IDS/IPS - por melhor que sejam - são tecnologias moribundas, baseadas em assinatura e dependentes de já conhecerem o atauqe - e por isto mesmo não detectarão códigos maliciosos customizados, ainda mais com vários níveis de evasão e criptografia como foi o caso do ataque ao Google, Yahoo, Adobe, ...

Por melhor que seja um programa de gerenciamento de patches, um ataque utilizando uma vulnerabilidade 0-day como a que foi explorada nestes ataques direcionados funcionará em 100% das máquinas atacadas.

E quando o atacante usa uma combinação de engenharia social (email/IM) e técnicas de "Drive-By Download", nem mesmo um anexo (doc, exe, ou pdf) precisa ser utilizado. Basta que um funcionário da empresa acesse um site utilizando - no caso - um Internet Explorer (6,7,8) para que o ataque tenha sucesso.

Talvez você esteja pensando - então não há como escapar! E - adivinhe - você está certo.

A melhor forma de iniciar um contra-ataque efetivo às Ameaças Persitentes e Avançadas é expor o inimigo adequadamente e assim avançar no campo de batalha - em outras esferas de contra-ataque - enquanto tentar minimizar o prejuízo em casa.

No caso de uma empresa atacada pelo crime organizado, isto pode ser feito envolvendo a polícia e a justiça para prender os responsáveis. No caso de várias empresas de um país sendo atacadas por um outro - como é o caso da China - envolvendo o próprio governo americano na resposta ao incidente.

Em ambos os casos, uma resposta responsável envolve a divulgação - minimamente para as partes afetadas e idealmente para a opinião pública - do ocorrido. O próximo passo é analisar e categorizar os atacantes, ferramentas, vulnerabilidades, processos e erros cometidos e obviamente modificar suas defesas baseado no que você vai encontrar durante a sua resposta a incidentes / forense do ocorrido.

A mensagem para todas as empresas e países é: não adianta se retrair e tentar abafar o ocorrido, é necessário concentrar esforços na reação adequada a este tipo avançado de incidente e revisar a postura de segurança do ponto de vista de ameaças e atacantes reais e não tentar se esconder confortavelmente atrás de checklists de itens de compliance ou de qualquer sigla de norma da área de segurança.


O governo alemão já deu o primeiro passo - proibiu terminantemente o uso de Internet Explorer. Já é um começo.. =) O Google anunciou que vai parar de censurar resultados na China (o que é curioso, no mínimo). E o governo americano já começou a se movimentar lentamente...

(... continua)

Post completo em SSegurança - blog.suffert.com: China vs Google e CIA - Lições a aprender

um abraço a todos,

Sandro Süffert

Pra mim vc escreveu uma tonelada sem "dizer" uma grama meu caro colega.

---

"COBIT isn't a four letter word"

Hehe.., é que este post se baseou em outros dois anteriores. No texto aqui do ISTF infelizmente os links não estão presentes... o que certamente faz o texto perder um pouco a forma.De qualquer forma obrigado pela crítica.

Caso queira que o texto faça mais sentido - até mesmo para poder seguir os links dos termos que talvez você não tenha entendido, leia ainda mais toneladas para tentar extrair ao menos um kilo aqui: SSegurança - blog.suffert.com: China vs Google e CIA - Lições a aprender

[ ]s,

S..S

Embora vulnerável, o exploit não teria funcionado no IE8 (versão atual), pois o DEP (Data Execution Prevention) bloqueia exploits de heap spray. Como sempre a falta de atualização foi o grande vilão.

Na verdade existia apenas uma recomendação, para não se usar o IE até que um patch estivesse disponível.

Achei interessante sua aproximação sobre os ataques "Aurora", pois este é um assunto de alta relevância (esta na primeira página do Security Focus, Secunia, Google Blog, McAfee, Symantec.. já li todos... hahahah).

Antes de responder este tipo de resposta, recomendo que você leia os últimos posts do usuário (link disponível no perfil)...

Infelizmente o sistema de reputação leva em consideração que o usuário é racional. Tive minha reputação negativada em diversos posts, onde quem abaixou deixou motivos bem imbecis, como "i daí????". (não é galenogarbe?)

galenogarbe: Quem perde com esse tipo de atitude é você mesmo... Na próxima vez que você criar um tópico com alguma pergunta banal, pode ter certeza que nem eu, nem o suffert vai se prontificar a te ajudar.

"Quem fala o que quer, escuta o que não quer."
(desconhecido)

MrRuffl3Z, seus comentários são todos válidos e obrigado por manter o nível da discussão.

Exploits já foram publicados para IE6 e IE7. E como você lembrou o IE8 também possui a vulnerabilidade (a vantagem é que no Win7 com o DEP habilitado por padrão o usuário está "seguro").

Amanhã a Microsoft vai soltar um patch de emergência. Patch definitivo? Use Firefox, Chrome ou Ópera =)

No meio tempo já surgiu uma prova de conceito para escalação de privilégios (bug de 17 anos) para todas as versões do Windows - Windows plagued by 17-year-old privilege escalation bug • The Register

[ ]s,

Sandro.