O evento de segurança H2HC que ocorreu no último final de semana em São Paulo chamou a atenção do público com apresentações de alto nível técnico. Para entender um pouco mais sobre o universo de segurança, entrevistei Alex Kirk, que palestrou no evento. Ele é o líder de um grupo de pesquisa da Sourcefire, principal responsável pelas atualizações das regras do Snort (um sistema de detecção de intrusão open source), assinaturas e novos métodos do antivírus Clamav. É conhecido também por ser um dos autores do livro: “Practical Intrusion Analysis: prevention and detection for the twenty-first century”.
Como funciona a equipe de pesquisa de vulnerabilidade (Vulnerability Research Team)?
Nunca há um dia de trabalho chato na VRT. Temos um fluxo constante de análise de vulnerabilidades, malware, botnets e outras ameças. Com esse estudo de campo, pensamos em formas de melhorar as detecções existentes. Dada a variedade, precisamos escolher diariamente no que focar.
Embora possa ser frustante lidar com vulnerabilidades 0-day, é muito satisfatório quando conseguimos entender e resolver o problema. Esse tipo de ocasião é denominado “fire drill”. É o momento em que todos param seus trabalhos para analisar algo novo, com uma vulnerabilidade de alto nível ou um pedaço de malware exposto. Todos nós gostamos de saber que estamos contribuindo para uma internet mais segura para os clientes Sourcefire e Snort.
Quais são as ferramentas utilizadas para analisar os novos tipos de ameaças?
Usamos uma série de ferramentas, algumas comerciais e outr as de código aberto. Para engenharia reversa, utilizamos o IDA Pro disassembler ou o WinDBG, este fornecido gratuitamente pela Microsoft. O último é extremamente útil para análise em tempo de execução. Para captura de pacotes, utilizamos o clássico Wireshark. Claro que somos grandes usuários da plataforma de virtualização da VMWare — é muito mais fácil infectar uma máquina virtual com um malware e, em seguida, clicar em “reverter” quando quiser ter a máquina na condição inicial.
Como é o processo de catalogar as ameaças?
Para as vulnerabilidades tradicionais, começamos com a pontuação CVSS (Common Vulnerability Scoring System), o padrão da indústria. Acrescentamos fatores como a disponibilidade de exploits públicos, facilidade de exploração e solicitações de clientes.
Para malware, entra uma combinação do que acreditamos ser mais persistente — ameaças que não duram mais de um dia ou dois, geralmente não valem o esforço — e pedaços de malware que classificamos como alto nível.
A verdade sobre este tipo de coisa é que há tantas ameaças aí fora que é impossível para qualquer organização dar conta de tudo. Por isso meus centros de pesquisa buscam formas genéricas de detectar malware na rede com formas de capturar diferentes tipos de malwares com uma lógica de apenas um bit de informação. Muito além da tradicional abordagem “Wack-a-mole”, que consiste em observar domínios conhecidos, faixa de IPs conhecidos e outros parâmetros.
Para fazer parte dessa equipe, qual treinamento é necessário?
Você precisa de um bom conhecimento de redes e administração de sistemas. Isto significa entender protocolos, como o TCP, HTTP, SMTP etc. Entender também permissões e procedimentos do lado de sistemas.
Precisa também no mínimo ser um programador decente, isto é, precisa entender o suficiente para ler e entender uma linguagem de programação. É importante ser capaz de automatizar tarefas, utilizando alguma linguagem script. Você ganha um bônus se conhecer Assembly x86, ser bom com expressões regulares e conhecer o Snort.
Na realidade o que mais importa é sua mente. Você precisa ser uma pessoa curiosa, desejando testar novas coisas, sempre pensando nos problemas por ângulos não triviais. É muito mais simples ensinar alguma habilidade necessária a alguém inteligente (não contratamos pessoas que não sejam). Francamente, é mais fácil ensinar os detalhes do trabalho se a pessoa é esperta. Acreditamos que esse caminho é o correto.
Na realidade o que mais importa é sua mente. Você precisa ser uma pessoa curiosa, desejando testar novas coisas, sempre pensando nos problemas por ângulos não triviais. É muito mais simples ensinar alguma habilidade necessária a alguém inteligente (não contratamos pessoas que não sejam). Francamente, é mais fácil ensinar os detalhes do trabalho se a pessoa é esperta. Acreditamos que esse caminho é o correto.
Na sua opinião, dado o número crescente de ameaças, qual é a forma mais ameaçadora de ataque?
Ataques do lado do cliente continuam como o maior problema. Na metade da última década, os administradores de sistemas e os grandes vendedores, como Microsoft e Oracle acordaram para a segurança. Hoje é mais difícil encontrar falhas em sistemas atualizados e com recursos de proteção. Os códigos dos sistemas também evoluiram neste sentido.
Usuários finais por sua vez, não atualizam seus sistemas, costumam visitar sites maliciosos sem pensar duas vezes e não se importam em instalar um antivírus e mantê-lo rodando. Além disso, há uma boa quantidade de falhas em navegadores e aplicativos como o Adobe Acrobat.
Como você classifica a segurança nos smartphones hoje em dia?
Os smartphones são como o velho Oeste – são poucas as regras em termos de melhores práticas de segurança e há uma tonelada de oportunidades para atores maliciosos fazerem o que bem entenderem. Quase ninguém costuma rodar antivírus em smartphones e operadoras de telecom barram atualizações de sistema, por causa dos custos de banda.
Os usuários costumam aceitar todas as permissões que as aplicações solicitam, porque acreditam que está tudo OK. Na verdade, não está. Principalmente nos Androids, ambiente em que brotam cada vez mais aplicativos com malware. Vi exemplos como um cavalo de troia de SMS na Rússia, espalhado por QRCode. Ou um mensageiro instantâneo chinês que envia seus dados para um servidor remoto.
Acredito que nos próximos anos o crescimento será exponencial e as pessoas precisam acordar para a segurança agora, não no próximo ano, porque pode ser tarde demais.
Quais projetos open source, incluindo o Snort, você recomenda para as empresas?
Obviamente somos fãs do Snort, então esta é nossa primeira recomendação. No mais, depende do que a empresa está tentando fazer. Para segurança em TI, recomendo o uso do PulledPork para gerenciar as atualizações do Snort. Gostamos do Mod_Security como firewall de aplicação web e o OpenBSD packet filtercomo firewall. É claro, para testes de penetração e validação de sistema de detecção de intrusão (IDS), oMetasploit.
Rodamos o sistema operacional FreeBSD na maioria de nossos sistemas internos e recentemente estamos trabalhado muito com o MongoDB, para lidar com grandes volume de dados.
Fonte:infoabril
Crédito imagem: Flickr/beleaveme
Nenhum comentário:
Postar um comentário
Obrigado pelo seu comentário, sua opinião é muito importante para que possamos estar avaliando os textos