Archive for category Segurança de TI
Kerberos
Publicado por Aldo Silva em Segurança da Informação (SI), Segurança de TI em 17/04/2012
Kerberos é um protocolo desenvolvido para fornecer poderosa autenticação em aplicações usuário/servidor, onde ele funciona como a terceira parte neste processo, oferendo autenticação ao usuário.
Para garantir a segurança, ele usa criptografia de chave simétrica, com o DES.
O Kerberos foi desenvolvido como parte do Project Athena, do Massachussets Institute of Technology (MIT). Seu nome vem da mitologia, onde Cerberus (Kerberus para os gregos) é um cão com três cabeças que tem por missão proteger a entrada do inferno de Hades.
O que faz o Kerberos:
Para explicar o que faz o Kerberos, vamos usar algumas analogias baseadas The Moron’s Guide to Kerberos, Version 1.2.2.
Na vida real, usamos rotineiramente uma autenticação, na forma de (por exemplo) uma carteira de motorista. A carteira de motorista é fornecida por uma agência, na qual podemos supor confiável, e contém dados pessoais da pessoa como nome, endereço e data de nascimento. Além disto pode conter algumas restrições, como necessidade de óculos para dirigir, e mesmo algumas restrições implícitas (a data de nascimento pode ser usada para comprovar maioridade). Finalmente, a identificação tem um prazo de validade, a partir do qual é considerada inválida.
Para ser aceita como autenticação, algumas regras devem ser observadas: ao apresentar a carteira, não se pode ocultar parte dela (como foto ou data de nascimento). Além disto, quem verifica a autenticação deve reconhecer a agência que forneceu a autenticação como válida (uma carteira de motorista emitida no Brasil pode não ser aceita fora do território nacional).
Kerberos trabalha basicamente da mesma maneira. Ele é tipicamente usado quando um usuário em uma rede tenta fazer uso de um determinado serviço da rede e o serviço quer se assegurar de que o usuário é realmente quem ele diz que é. Para isto, o usuário apresenta um ticket, fornecido pelo Kerberos authenticator server (AS), assim como a carteira de motorista é fornecida pelo DETRAN. O serviço então examina o ticket para verificar a identidade do usuário. Se tudo estiver ok o usuário é aceito.
O ticket deve conter informações que garantam a identidade do usuário. Como usuário e serviço não ficam face a face uma foto não se aplica. O ticket deve demonstrar que o portador sabe alguma coisa que somente o verdadeiro usuário saberia, como uma senha. Além disto, devem existir mecanismo de segurança contra um atacante que “pegue” um ticket e use mais tarde.
Explicando como funciona:
Vejamos como o Kerberos trabalha. Usuários e serviços que utilizem o Kerberos possuem chaves armazenadas no AS. As chaves dos usuários são derivadas de senhas escolhidas por estes, e as chaves dos serviços são geradas aleatoriamente.
Como Grampear um Celular III
Publicado por Aldo Silva em Segurança de TI em 16/04/2012
Vira e mexe, um escândalo começa em Brasília a partir de uma escuta telefônica que pega uma conversa comprometedora. O escândalo da vez é o das conversas de políticos com Carlos Augusto Ramos, o Carlinhos Cachoeira, acusado de comandar um esquema de jogo ilegal em Goiás, bem vamos direto ao assunto.
Como é feito o grampo do ponto de vista técnico?
O primeiro ponto é: em qualquer rede, cabeada ou não, para um grampo ser bem-sucedido é necessário que os dados sejam coletados e decodificados. Quando isso é autorizado pela Justiça e conta com o auxílio da operadora, as duas tarefas são fáceis de serem realizadas.
Todas as ligações para celular passam por uma rede de telecomunicação e, por isso, podem ser alvo de um grampo legal. No caso das conversas de políticos com Cachoeira, o grupo era conhecido como “clube do Nextel” porque usaria aparelhos da operadora Sprint Nextel, habilitados nos Estados Unidos. Aparentemente, o grupo fez isso com a crença de que esses aparelhos são “antigrampo”. Mesmo um aparelho habilitado nos EUA, para ser usado no Brasil, precisa se conectar a uma torre (“estação base”, no termo técnico) operada por uma empresa brasileira, que está sujeita a ordens judiciais do país.
O celular Nextel utiliza uma rede diferente da maioria das operadoras, que é o GSM. Porém, o funcionamento da rede da Nextel, chamada iDEN, é parecido com o da GSM: as conversas são codificadas, mas, em algum momento, a operadora tem acesso “limpo” a esses dados.
Rede GSM
A segurança das ligações começa no cartão SIM (Subscriber identity module – módulo identificador de assinante) usado no celular. Por meio dele, o que se fala é criptografado, com o objetivo de embaralhar os dados da chamada para impedir que alguém que esteja próximo use um aparelho de escuta e ouça a conversa.
Quando os dados chegam à operadora, eles precisam ser decodificados para serem novamente embaralhados de acordo com o código que será entendido pelo receptor dos dados. Entre essa decodificação e a nova codificação, a operadora possui os dados “limpos” da chamada, sem nenhuma segurança. Com uma ordem judicial, ela só precisa registrar esses dados em vez de simplesmente descartá-los.
A criptografia usada pela rede GSM é considerada insegura e pode ser quebrada, o que permite escutas, legais ou ilegais, por alguém próximo de quem usa o telefone, desde que essa pessoa tenha os aparelhos, conhecimento e tecnologia necessários. Em 2010, um hacker demonstrou numa conferência de segurança a fragilidade desse sistema. Também em 2010, especialistas alteraram um celular para grampear conversas com um equipamento mais barato.
A tecnologia 3G ainda não foi quebrada até agora ou , ninguém divulgou que conseguiu a façanha. Mesmo assim, ela também permite as escutas legais feitas com o auxílio da operadora.
Rede Nextel
Não existe tanta informação pública sobre a rede da Nextel (o iDEN) como existe do GSM, mas sabe-se que o sistema da Nextel, desenvolvido pela Motorola, também criptografa dados usando um cartão SIM, embora seja diferente do usado na rede GSM é possível realizar “interceptação telefônica de qualquer linha que trafegue em sua área de cobertura, mesmo que habilitada fora do país, por meio de ordem judicial válida, na forma da lei”.
A Nextel norte-americana tem capacidade para realizar grampos em sistemas de rádio, segundo um documento destinado à polícia norte-americana e que foi publicado na internet pelo site “Cryptome”. O documento não faz nenhuma menção a qualquer dificuldade técnica para realizar esse tipo de interceptação.
Alguns aparelhos Motorola, vendidos exclusivamente para a rede iDEN, também acompanham um recurso chamado MOTO Talk. Apesar de estar presente somente nos celulares da Nextel, ele funciona fora da rede da operadora: a comunicação ocorre exclusivamente entre os aparelhos presentes em um raio de, no máximo, 10 km. De acordo com a Motorola, a função é como um walkie-talkie e não dispõe de um recurso de segurança para impedir que alguém próximo possa ouvir as conversas. Em outras palavras, o MOTO Talk também não tem qualquer recurso antigrampo.
Sistemas antigrampo
Para um telefone, celular ou fixo, ou mesmo uma chamada VoIP ou acesso à internet, ser “imune” ao grampo, ele precisa utilizar a criptografia “ponto a ponto” ou “fim a fim”. Nesse sistema, há uma camada adicional de segurança que só pode ser desfeita pelo aparelho usado pelo receptor da chamada. Ou seja, a operadora, o cabo ou a rede sem fio – qualquer intermediário –, embora possua acesso aos dados da chamada, isso não serve para muita coisa, porque o conteúdo é ilegível (ou inaudível, conforme o caso).
O aparelho especial usado por Barack Obama no Rio de Janeiro usava tecnologia antigrampo, segundo o documento da Casa Branca que define o padrão de segurança para a tenda segura de onde a chamada foi feita. Nesse caso, mesmo quem “ouviu” a conversa não conseguiu saber o que foi dito, porque ela estava codificada. É preciso quebrar a chave usada na comunicação. Uma chave feita e usada corretamente pelos aparelhos pode levar anos para ser quebrada, mesmo com o auxílio de supercomputadores.
por Altieres Rohr fonte : G1 leia também : Como Grampear um Celular leia também : Como Grampear um Celular parte 2Cain & Abel – Tutorial
Publicado por Aldo Silva em Segurança de TI em 15/04/2012
1. Considerações iniciais
O pacote virá com 3 programas e 1 lib. O Cain(O programa em si!), Abel, um “backdoor” para administração remota do Cain e a lib WinPcap, que permite a análise se redes. Se você não instilá-lo opções como sniffing não irão funcionar e o wintrgen, que é o gerador de rainbow table que será visto depois
2. Start/Stop Sniffer e Start/Stop APR
Com este botão você poderá iniciar ou parar o sniffer. Para quem não sabe o sniffer deixa o seu adaptador de rede em modo promiscuo, ou seja, escutando todos os dados que trafegam pela rede mesmo não sendo direcionada para aquela maquina. Quando você clicar pela primeira vez aparecerá uma caixa de diálogo chamada Configurantion Dialog onde você deverá selecionar o adaptador a ser usado(caso sua maquina tenha mais que um) mas o programa configura automaticamente. Vale lembrar que o ato de sniffar é difícil de ser identificado.
Com o botão Star/Stop APR você poderá iniciar ou para o APR. Irei explicar sobre APR mais abaixo.
3. Guia Sniffer
Depois de iniciado o sniffer você poderá ver seus resultados na guia sniffer. Na parte inferior será subdividida em mais guias: Host, APR, Routing, Password, Voip
- 3.1 Host
Pense como um hacker
Publicado por Aldo Silva em Segurança de TI em 12/04/2012
Militares a vestiários de atletas, qualquer equipe usa a mesma estratégia: conheça seu inimigo. Preveja seus movimentos. Faça o que eles acham que você não fará. Diante do seu principal oponente – os hackers – os gerentes de TI devem adotar a mesma abordagem.
Anos de experiência ensinaram generais e treinadores a enganar seus adversários, mas, em uma indústria relativamente nova, de que maneira um gerente de TI pode começar a compreender, prever e evitar os ataques de um hacker?
1 . Conheça o processo: como você se atacaria?
Se coloque na posição de alvo. O que você tem que vale a pena ser roubado? Obviamente, um fabricante de equipamentos de defesa militar é um alvo muito mais desejado do que uma loja virtual de sapatos, mas nem tudo é dinheiro. Qualquer coisa que possa ser monetizada, de números de cartão de crédito até listas de clientes, é uma commodity de valor para um hacker.
A propriedade intelectual é outro grande alvo. Pense em suas metas de vendas ou nos planos de marketing para 2012 e em quanto a concorrência pagaria por esses documentos confidenciais. Dados de pesquisa? Ideias de desenvolvimento de produtos novos? Resultados financeiros? Aplicações para um patente? A lista é interminável e todos esses itens têm algum valor para alguém, em algum lugar.
O outro aspecto de “conhecer o processo” é conhecer o inimigo. Quais são suas preferências? Quais técnicas eles já usaram? Assim como o treinador de um time estuda as estratégias do adversário durante seus últimos jogos, um gerente de TI deve saber como os hackers se preparam, quais recursos têm ao seu dispor e, mais importante, as últimas tendências. Sabe-se que a “superfície de ataque” – a variedade de possíveis pontos de entrada em redes corporativas – cresceu bastante, e isso aumenta com a compra de cada smartphone, tablet e laptop. Além disso, em anos passados um malware sofisticado demorava anos antes de chegar ao mercado negro comum. Agora, é um processo de apenas algumas semanas. Por cerca de US$ 25, você pode comprar kits instantâneos e verificados para driblar as defesas tradicionais. É claro que as empresas precisam se armar com soluções de segurança de última geração para evitar que seus dados caiam nas mãos erradas.
2. Conheça seus pontos fracos: tecnologia, pessoas e cultura
É uma tarefa fácil descobrir seus pontos fracos: eles sempre estão perto do Caminho da Menor Resistência, ou seja, a via de acesso escolhido pelo hacker é a de menor custo, menor risco, ou menor tempo.
Tipos de Comportamento
Publicado por Aldo Silva em Processo de Negócio, Segurança de TI em 30/03/2012
Como qualquer projeto é desenvolvido por um time de profissionais, solucionar conflitos envolve identificar o comportamento de pessoas em grupo e saber como conduzi-los melhor de modo a obter harmonia, boa atitude e parceria, entre outros.
Abaixo alguns tipos clássicos de comportamentos.
Sabotador: pessoa que está sempre procurando descobrir um resvalo de sua parte, um pequeno erro cometido. Via de regra é focado em “problemas”.
Franco atirador: é aquele que atira em tudo o que vê e ouve. É destruidor por natureza, e muitas vezes, por prazer.
Contraditor: é aquela pessoa que sempre encontra algo para se opor a uma ideia, uma solução ou uma forma de encaminhar uma determinada ação. As suas frases, normalmente, começam com a palavra “não”.
Calado: é aquela pessoa que contribui se for solicitada. Só age mediante impulso externo. Geralmente, mantém-se alijada dos processos mais movimentados do projeto.
Ansioso: é aquele que está sempre irrequieto, nunca está satisfeito com o que está fazendo, com o que ganha, com os recursos que dispõe. É o insatisfeito negativo, nocivo ao desenvolvimento do projeto.
Dominador: sempre procura levar vantagem por ser maior, por falar mais forte e alto, por bater mais na mesa ou mesmo pela forma de falar e se portar frente aos outros membros da equipe do projeto.
Que sai pela tangente: aquele que nunca se compromete com nenhuma alternativa ou sugestão que deve ser dada ao projeto.
Acomodado: é aquele que acata tudo o que lhe for dito. É nocivo ao projeto pela excessiva passividade frente ao que deve ser decidido e feito.
Crítico: sempre apresenta um “senão” a tudo o que é apresentado. Procura dar o seu toque, mesmo quando não é convidado para tal.
Que busca atenção: pelas vestimentas, pelas idéias, pela forma de se sentar ou seu comportamento durante as reuniões.
Palhaço: que está sempre contando uma piada ou “causo” e, com isto, apesar de divertir as pessoas, por vezes, não ajuda a focalizar o assunto que está sendo tratado. Ele se transforma num grande dispersador de energia na equipe do projeto.
Ao encontrar com um destes tipos, será importante manter a seguinte postura:
1. Destaque a conduta que está sendo percebida, nunca a pessoa. Isto aumentará a confiança das pessoas em você como condutor do time.
2. Detalhe seus efeitos mais aparentes, pois a pessoa não quer, na maioria das vezes, ser identificada.
3. Sugira comportamentos alternativos: é a atitude que você deve adotar de modo a permitir que a pessoa se recomponha e possa vir a colaborar com o projeto.
Material de estudo : Gerenciamento de Projetos – Catho Executivo
leia também : Organização Funcional X Centrada em Processos
-
Está a visualizar o arquivo da categoria Segurança de TI.
Parceiros
