Gbitten

Na semana passada, conjecturei sobre o poder que a Microsoft tem de "reiniciar a Internet" por meio do processo de Update. Fernando Cima discordou nos comentários, informando que o Vista não reinicia sem a autorização do usuário, a não ser que este não esteja "logado". Contudo não foi o que me ocorreu a cerca de 10 minutos, quando sugiu o diálogo ao lado. Esgotada a contagem regressiva, minha estação reiniciou sumariamente.

Marcadores: Windows

A definição "Idiot Detection System" (perfeito!!) foi um das citações do Marcus Ranum mencionadas por Richard Bejtlich. Sempre vale a pena prestar atenção no que o Ranum diz.

• Marcus Ranum Highlights from USENIX Class

Marcadores: BombaDeFumaça

Na quinta-feira, 16 de agosto de 2007, a rede peer-to-peer do Skype tornou-se instável e sofreu uma interrupção crítica. Esta interrupção foi desencadeada por uma reinicialização massiva dos computadores de nossos usuários em todo o mundo dentro de um período muito curto de tempo, quando todos faziam o reboot após o recebimento de uma atualização de rotina do Windows Update.

Diferente do que noticiaram vários sites, o pessoal do Skype nunca culpou o Windows Update pelo blackout que sofreram. O fato é que eles reconheceram que havia um bug não identificado no software que aliado as inúmeras reinicializações causaram a parada nos serviços do Skype.

Contudo não é especificamente sobre este assunto que quero comentar. Mas sim sobre algo que pode-se perceber deste incidente. O poder que a Microsoft tem de desligar 90% dos computadores do mundo.

Não sou adepto de teorias conspiratórias e meu objetivo aqui não é lançar mais uma. Acho que as únicas coisas que a Microsoft ganharia em indisponibilizar parcial ou totalmente os sistemas em Windows são o descrédito e talvez a bancarrota, portanto não acredito que ela daria um tiro no pé. Mas de qualquer forma é um poder e tanto!

Marcadores: Windows

Matt Bailey fez um estudo bastante detalhado sobre o risco de vestir uma camisa vermelha em um episódio da Star Trek.

• Analytics According to Captain Kirk

Marcadores: Fun, Risco

Weber Ress apresenta uma série de webcasts sobre Security Development Lifecycle no MSN.

• Desenvolvimento Seguro
• Desenvolvendo Software Seguro para o Windows Vista

Um aspecto fundamental no SDL é a transparência quando há um problema de segurança, isso pode ser verificado dentro da própria Microsoft. Esta mudança de atitude é com certeza o passo de segurança mais significativo dado pela empresa até então.

Marcadores: Webcast, Windows

Augusto Paes de Barros levantou a bola do Personal Security Inspector (PSI) da Secunia. O PSI varre as aplicações instaladas e verifica quais estão desatualizadas e trazem alguma vulnerabilidade para o sistema. Agora preciso de uma boa ferramenta de hardening para o Vista, de preferência gratuita como o PSI. Nota: O PSI ainda está numa versão beta.

Marcadores: Windows

Fernando Cima decreve algumas possíveis formas de detectar o Blue Pill. Mas essas técnicas não me parecem capazes de detectar um Blue Pill, mas sim de detectar um hypervisor. Se um anti-rootkit não for capaz de diferenciar um blue pill de um hypervisor válido, a teoria do blue pill continua válida. Essa, por a acaso, é a opinião da própria Joanna. A propósito, o código do Blue Pill e a apresentação da Joanna no Black Hat deste ano estão disponíveis.

Marcadores: Rootkit

Este artigo apresenta uma análise muito interesante de um caso real de web defacement na qual foi utilizada uma vulnerabilidade de SQL Injection.

• Microsoft UK Events Website Hacked

Marcadores: Artigo

A série 27000 segue o modelo das série 9000 de gestão da qualidade e da série 14000 de gestão ambiental. A série tem planejado os seguintes padrões (em negrito os padrões já publicados):

• ISO 27000 - Information Security Management System Fundamentals and Vocabulary
• ISO 27001 - Information Security Management System Requirements
• ISO 27002 - Code of Practice for Information Security Management (antiga ISO 17799)
• ISO 27003 - Information Security Management System Implementation Guidance
• ISO 27004 - Information Security Management Metrics and Measurement
• ISO 27005 - Information Security Management System Risk Management
• ISO 27006 - Requirements for bodies providing audit and certification of information security management systems
• ISO 27007 - Guidelines for Information security management systems auditing
• ISO 27011 - Information security management guidelines for telecommunications

Existem ainda propostas para outros padrões da série tais como ISO 27031, 27032, 27799, etc.

Origem

A série de padrões ISO 27000 tem sua origem no padrão britânico BS 7799, que possui 3 partes:

• BS 7799-1 - Code of practice for information security management
• BS 7799-2 - Information Security Management Systems - Specification with guidance for use
• BS 7799-3 - Guidelines for information security risk management

A ISO inicialmente publicou o padrão ISO 17799 baseado no BS 7799-1. Depois, acatou a sugestão de criar a série 27000 contendo padrões de Gestão de Segurança da Informação. Com isso, o ISO 17799 foi renumerado para ISO 27002 em julho de 2007.

Arvore genealógica da série 27000

BS 7799:1995
|
+-> BS 7799-1:1999 -> ISO 17799:2000 ---> ISO 17799:2004 ---> ISO 27002:2005
|                     |                   |                   |
|                     +-> NBR 17799:2001  +-> NBR 17799:2005  +-> NBR 27002:????
|
+-> BS 7799-2:1999 -> ISO 27001:2005
|                     |
|                     +-> NBR 27001:2006
|
+-> BS 7799-3:1999 -> ISO 27005:????

ISO 27001

A ISO 27001 define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), sendo estes os requisitos verificados em um processo de certificação de um SGSI.

ISO 27002

A ISO 27002 define os princípios gerais para implantar, manter e evoluir uma gestão de segurança da informação dentro de uma organização. Este padrão tinha originalmente a numeração 17799.

ISO 27006

A ISO 27006 define os requisitos para as Organizações de Acreditação realizarem auditorias e certificações em Sistemas de Gestão de Segurança da Informação.

NBRs

A ABNT publicou os padrões NBR 17799 e NBR 27001. Espera-se que, da mesma forma que a ISO, altere a numeração do padrão NBR 17799 para 27002 em breve.

Marcadores: 27000