quinta-feira, 20 de janeiro de 2011

O Ovo do Cuco

Por Renato Maia*


Em Agosto de 1986, Clifford Stoll recebeu sua primeira tarefa como administrador de sistemas no laboratório Lawrence Berkeley na Califórnia, EUA. Clifford deveria investigar uma discrepância de U$ 0,75 (75 centavos de dólar) no relatório gerado pelo software que controlava e contabilizava o uso dos sistemas (Unix e VAX) pelos seus usuários. Um detalhe interessante: Clifford, um astrônomo e pesquisador por formação, estava temporariamente trabalhando como administrador de sistemas na área de informática do laboratório devido a um erro na renovação da sua bolsa de pesquisador. Talvez por isto tenha recebido esta tarefa, a princípio, tão pouco relevante.

O que então parecia ser um erro de relatório do sistema era na verdade um usuário não autorizado com 9 segundos de uso não pagos. Surpreendentemente, o usuário não autorizado era um “hacker” que obteve acesso ao sistema explorando uma vulnerabilidade no software GNU Emacs.

Clifford acompanhou e monitorou este hacker durante 10 meses, em uma operação que é considerada por muitos a primeira resposta a um incidente e investigação publicamente documentada. Este é um breve resumo do livro “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage”. Estes 9 segundos de uso não autorizados levaram a descoberta de uma série de intrusões e acessos não autorizados em sistemas de universidades, de bases militares e do governo americano. Com objetivos claros de espionagem e ganhos financeiros.

Através de conexões discadas oriundas da Alemanha, utilizando modem de 1200 bps, o hacker mantinha e ampliava seu acesso em várias redes explorando falhas conhecidas em softwares da época. As informações e arquivos obtidos eram comercializados pelo hacker para a KGB da extinta União Soviética. Após várias tentativas frustradas Cliff conseguiu obter apoio para conduzir a monitoração e investigação com o FBI e a NSA – uma passagem interessante relata seu encontro com Robert Morris, cientista chefe do centro de segurança em computadores da NSA e pai do autor do Worm Morris (um dos primeiros Worms com grande impacto a proliferarem e atacarem a Internet).



"Clifford acompanhou e monitorou este hacker durante 10 meses, em uma operação que é considerada por muitos a primeira resposta a um incidente e investigação publicamente documentada."


Com este apoio e com o uso de técnicas criativas como a produção de documentos falsos referentes a um fictício projeto militar (Cliff Stoll pode ser considerado um dos “pais” do conceito de Honeypot/HoneyNet), a identidade do hacker – Markus Hess – foi descoberta e sua prisão efetivada em Hannover, na Alemanha. O detalhado registro gerado durante a investigação, bem como os documentos falsos usados como isca foram determinantes para a condenação de Markus Hess.

Este livro, que considero leitura mais do que recomendada, faz parte da história da TechBiz Forense Digital. O livro foi, juntamente com uma conversa casual de elevador (outra história interessante… Mas esta fica para outra oportunidade), uma das principais fontes de inspiração para criação da empresa e a determinação do seu foco.

Mais interessante é como o seu conteúdo se mantém cada vez mais atual. Stuxnet, Wikileaks, crimes digitais, roubos de identidade, Cyber Warfare e os vários relatos recentes de espionagem via Internet são situações modernas que encontram paralelos na história relatada em “The Cuckoo’s Egg”, ocorrida há 25 anos.

É exatamente para debater temas como esses que pretendo usar este espaço, no blog da TechBiz Forense Digital.



* Renato Maia possui mais de 15 anos de experiência em projetos de Tecnologia e Segurança da Informação. É diretor técnico TechBiz Forense Digital e da TechBiz Informática. Engenheiro Eletrônico e de Telecomunicações, com MBA Empresarial pela Fundação Dom Cabral, Renato Maia diplomou-se Mestre em Ciências da Engenharia Elétrica pela PUC Rio. Foi o primeiro profissional da América Latina certificado em EnCE (Encase Certified Examiner), além de ter diversas certificações profissionais, com destaque para o ITIL Expert V3, CISSP, CISM, CISA, PMP, MCSE, CCSE, CCNP.

quinta-feira, 13 de janeiro de 2011

O caminho para decifrar informações ocultas

Por Luiz Sales Rabelo*


Conforme prometido, estou de volta para falar sobre esteganálise! A esteganálise está para a esteganografia assim como a criptoanálise está para a criptografia, mas, ao contrário da criptoanálise, a detecção destes dados não é tão obvia. O objetivo da esteganálise é detectar informações ocultas em arquivos de imagens e, quando possível, recuperar a informação escondida.

Observe os arquivos abaixo:







Visualmente são idênticos, mas o segundo arquivo contém uma mensagem escondida. Note que, visualmente, é impossível perceber alguma alteração na imagem resultante, com a mensagem oculta. Para detectar estas alterações (com a informação oculta), utilizamos algumas técnicas e algoritmos, dependendo do tipo de informação disponível. Por exemplo, se conhecemos a ferramenta utilizada para a esteganografia ou se temos o arquivo original e o arquivo possivelmente alterado (por exemplo, duas imagens idênticas, com tamanhos diferentes).



"Como não há um padrão de esteganografia, e sim vários algoritmos possíveis disponíveis para implementação desta técnica, ferramentas de detecção tem um árduo trabalho a ser executado."

Algumas técnicas são:

• Stego-Only Atack (apenas esteganografia): Somente a imagem final (com informação oculta) está disponível para o esteganoanalista.

• Known cover (mensagem de cobertura conhecida): A mensagem de cobertura (cover-message) é comparada com o estego-objeto(stego-object) para detectar as diferenças entre os arquivos.

• Known message Atack (mensagem conhecida): É a análise de padrões conhecidos que correspondem à informação escondida que pode ajudar contra-ataques no futuro.

• Stego-attack (ataque de esteganografia): É utilizada uma mesma mensagem de cobertura várias vezes.

• Known-cover-message (dado embutido e mensagem de cobertura conhecidos): São conhecidas a informação inserida e a mensagem de cobertura usada(cover-message).

Como não há um padrão de esteganografia, e sim vários algoritmos possíveis disponíveis para implementação desta técnica, ferramentas de detecção tem um árduo trabalho a ser executado. Algumas ferramentas são focadas não a detectar imagens com esteganografia embutida, mas sim detectar ferramentas que são utilizadas para geração destas imagens com conteúdo oculto. Como o foco do primeiro artigo foi o LSB (least significant bit), vamos seguir na mesma linha neste artigo.

Basicamente, a técnica para detectar o uso de esteganografia via LSB consiste em dividir a imagem em pequenos segmentos adjacentes, aplicar uma função matemática que vai descrever cada um destes segmentos como um número real, e então, a partir destes números inteiros, uma outra função matemática irá calcular o quão “semelhantes” estes números são e então apontará ou não o uso de esteganografia na imagem analisada.



Esta técnica pode parecer um pouco complexa, e de fato é. Mas é uma técnica com alto nível de acerto e o algoritmo foi até patenteado nos EUA. Maiores informações sobre esta patenteada técnica de detecção de esteganografia estão disponíveis neste site.

Existem outras técnicas menos complexas, como por exemplo gerar uma paleta de cores a partir da imagem suspeita e então analisar esta paleta de cores. Maiores informações sobre esteganálise estão disponíveis em um excelente artigo escrito por Neil F. Johnson e Sushil Jajodia.

E para quem estiver interessado em alguma ferramenta para detecção de esteganografia, recomendo muito o StegoSuite, desenvolvido pela WetStone. Este produto traz um conjunto de ferramentas capaz de garantir que nenhuma informação passará escondida durante a investigação e análise de uma massa de dados.

*Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).

sexta-feira, 7 de janeiro de 2011

A atenção seletiva e a Resposta a Incidentes Corporativa - parte 1/2


Por Sandro Süffert*




Este curto post está no meu backlog há mais de um ano. Resolvi republicá-lo pela importância de reforçar a necessidade de uma abordagem mais moderna, inovadora e criativa dos problemas relacionados à segurança de informação em grandes empresas.

Sabemos que os desafios enfrentados por uma equipe responsável por responder incidentes de segurança em uma organização moderna (pública ou privada) são inúmeros. Os clientes internos de um grupo de resposta a incidentes (CSIRT) incluem - mas não se limitam - às áreas de auditoria, recursos humanos, anti-fraude, segurança patrimonial, inspetoria, jurídico e governança. Isto sem falar dos desafios inerentes à Tecnologia da Informação e proteção dos ativos críticos da empresa.

Múltiplas abordagens e diferentes ferramentas são utilizadas para tentar aumentar a visualização das ameaças reais para diminuir o tempo de resposta e o impacto. Conscientização interna, metodologias de desenvolvimento seguro e de testes de segurança de aplicações, implementação de dispositivos de segurança de rede como firewalls e IDS/IPS, hardening e configuração segura de sistemas operacionais e serviços, correlação de eventos de negócio e segurança com ferramentas SIEM, redução da superfície passível de ataque, proteção de endpoints com anti-vírus, DLPs, NACs, e várias outras siglas que nascerão e desaparecerão com o tempo..



O conceito de segurança em profundidade (defense in depth) há muito mostra as vantagens do modelo de camadas de proteção para redução dos problemas advindos de incidentes de segurança. Outro conceito importante é o de segurança baseada em tempo (TBS) que objetiva identificar um incidente a tempo de minimizar seu impacto dentro de um ambiente.



"... sabemos que mesmo empresas grandes e bem organizadas - como o Google - são surpreendidas por ataques com impactos colossais, quando bem orquestrados. Por que isto acontece? "



Porém qualquer um que já trabalhou em um ambiente real que possui todas ou várias destas soluções implementadas conhece o desafio real de se gerenciar tudo isto e de se manter a atenção focada no risco real para o negócio e nos incidentes mais críticos. Primeiro, precisamos considerar que a barreira do "perímetro" já não existe da mesma maneira, isto sem falar da massa imensa de dados a ser analisada, processada e digerida para que decisões adequadas possam ser tomadas tempestivamente.

Muitas empresas mantém grupos de resposta a incidentes (CSIRTs) e analistas responsáveis por monitorar a rede, os registros de ativos de segurança, logs de aplicações, etc.. eles estão fazendo o seu trabalho corretamente, mas sabemos que mesmo empresas grandes e bem organizadas - como o Google - são surpreendidas por ataques com impactos colossais, quando bem orquestrados. Por que isto acontece?

Bem, primeiro por causa da elementar vantagem do atacante versus o defensor no campo cibernético, mas além disto, devido à necessidade de atenção seletiva que esta situação gera (e isto inclui não só homens/hora, mas valores de investimento / planejamento / etc).

Mesmo quem tem equipes trabalhando adequadamente e olhando 24x7 para as consoles de todas as soluções listadas acima, está sujeito a ser surpreendido por não conseguir tratar o inesperado adequadamente.

Para ilustrar a minha argumentação, faça o teste de atenção seletiva proposto no vídeo abaixo:







Agora imagine que as suas soluções de segurança estejam configuradas adequadamente e que seu time esteja adequadamente as monitorando (as passagens de bola entre os jogadores de camisa branca)...

A implementação do conceito de "consciência situacional" é fundamental para evitar que mesmo monitorando milhões de logs, controlando os múltiplos dispositivos de segurança e respondendo a todos os incidentes conhecidos, algo de alto impacto e de fundamental importância não passe desapercebido pela equipe por não estar previsto pelas ferramentas e procedimentos já implementados.

Tudo isto não serve de nada se a nossa atenção está presa a conceitos fixos e resultados esperados, os maiores problemas serão sempre os que não estão no radar, e por isto a utilização de tecnologias que permitam aumentar a visibilidade e a "consciência situacional" são fundamentais.

Em um post futuro (parte 2/2) abordarei algumas destas tecnologias e de que forma elas podem auxiliar a diminuir a desvantagem do defensor diante dos desafios reais que grandes empresas enfrentam hoje.


Posts Relacionados:

http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html

http://sseguranca.blogspot.com/2009/07/risco-vulnerabilidade-ameaca-e-impacto.html

http://sseguranca.blogspot.com/2009/03/ghostnet-possivel-espionagem.html

http://sseguranca.blogspot.com/2009/01/conficker-downadup-de-um-erro-de.html

http://sseguranca.blogspot.com/2009/04/vazamento-de-informacoes-e-dlp-como.html