Gbitten

Linus Torvalds escreveu recentemente sobre schedulers e segurança na lista linux-kernel:

SCHEDULERS can be objectively tested. There's this thing called "performance", that can generally be quantified on a load basis. Yes, you can have crazy ideas in both schedulers and security. Yes, you can simplify both for a particular load. Yes, you can make mistakes in both. But the *discussion* on security seems to never get down to real numbers. So the difference between them is simple: one is "hard science". The other one is "people wanking around with their opinions".

Em seguida ele completa:

ANOTHER difference is that when it comes to schedulers, I feel like I actually can make an informed decision. Which means that I'm perfectly happy to just make that decision, and take the flak that I get for it. And I do (both decide, and get flak). That's my job. In contrast, when it comes to security, I see people making IDIOTIC arguments, and I absolutely *know* that those arguments are pure and utter crap, and at the same time, I see that those people are supposed to be "experts".

Não poderia ser melhor dito. Infelizmente a métrica mais usada em segurança é o "achômetro". Basta ver o que os "especialistas em segurança" recomendam para políticas de senha: validade máxima para a senha, regras de construção de alta complexidade, validade mínima para a senha, tamanho mínimo de senha, bloqueio após n falhas, não reutilização de senhas, não compartilhamento de senhas, não escrever senhas em papel. Todas esta recomendações são colocadas de forma genérica, sem discriminação de caso, sem verificação de impacto (seja positivo ou negativo) e principalmente sem métricas palpáveis para validar o controle. Como eu disse em um "post" anterior, nossa área vive de lendas, dogmas e disputas quase religiosas. Parabéns ao Linus por apontar nossos defeitos.

Marcadores: BombaDeFumaça, Controle, Métrica

A definição "Idiot Detection System" (perfeito!!) foi um das citações do Marcus Ranum mencionadas por Richard Bejtlich. Sempre vale a pena prestar atenção no que o Ranum diz.

• Marcus Ranum Highlights from USENIX Class

Marcadores: BombaDeFumaça

Only security vendors make money from security Only security vendors make money from security Only security vendors make money from security Only security vendors make money from security Only security vendors make money from security by Richard Bejtlich

Marcadores: BombaDeFumaça, ROI

Richard Bejtlich sobre a "webificação" dos serviços:

We've got 65535 TCP ports to use and the whole world is collapsing onto one. Argh.

Marcadores: BombaDeFumaça, Quote

In blog land, it seems that printer attacks are now all the rage (here). Personally, I think this is a bunch of security research guys without enough to do.

by Mike Rothman

Marcadores: BombaDeFumaça

Eu gosto dos artigos e do blog do Richard Bejtlich. Ele, junto com Ranum, saem da mesmice e do "InfoSecmente Correto" que atinge a maioria dos articulistas de nossa área. Desta vez, ele escreveu um artigo bem ponderado sobre a segurança no Windows Vista.

• Security In Microsoft Vista? It Could Happen

Marcadores: BombaDeFumaça

Conscientização permite usuários com mais consciência de segurança (brilhante dedução), contudo não necessariamente os estimulam a praticarem mais segurança. Talvez devessemos seguir o conselho do Marcus Ranum (lá vem bomba de fumaça), ensiná-los através da dor e da humilhação.

Point/Counterpoint: User Education
Marcus Ranum

Marcadores: BombaDeFumaça

Andre Fucs aborda em seu blog a conhecida declaração do Marcus Ranum sobre recomeçar a Internet do zero. Eu acho que o Ranum até certo ponto está correto, pois algumas das tecnologias que sustentam a internet são estruturamente vulneráveis a décadas nem por isso essa situação se corrige. Para citar alguns exemplos temos:

SMTP

O Protocolo SMTP é provavelmente o principal motivo do sucesso da internet, a meu ver sua importância supera até mesmo advento da dupla HTTP/HTML. O problema é que o SMTP tem uma série de limitações como:

• Não possui um sistema eficiente de não repúdio;
• Desperdiça um 1/8 da banda quando associado com o MIME;
• Muito vulnerável a spoofing;
• Não possui um sistema eficiente de confirmação de entrega;

TCP/IP

O Internet Protocol é, desde sua criação, vulnerável a spoofing e a sniffing. Já o TCP é muito vulnerável a ataques de DoS. Sobre o IP spoofing, o principal culpado são os ISPs e não o protocolo em si.

Estações

A plataforma Windows tem 21 anos e até hoje não conseguiu fazer que o usuário utilizasse sua estação com privilégios de não-administrador. O Windows Vista promete corrigir isso, se acontecer será uma grande evolução. Os exemplos acima são padrões de fato. Todos tem extenções ou alternativas mais seguras, contudo essa alternativas não são adotadas em larga escala. O mesmo ocorre com tecnologias não tão antigas como as aplicações web, soluções VoIP, redes wireless, navegadores web, etc., que também sugiram e se disseminaram com problemas de segurança para depois tentarem ser corrigidos. Reconstruir a internet não é factível, porem algumas de suas tecnologias a anos precisam de uma reforma completa.

Marcadores: BombaDeFumaça

Bot Networks

Marcadores: BombaDeFumaça

Augusto Paes de Barros apontou para a excelente entrevista de Marcos Ranum no Silver Bullet Podcast. Na entrevista Ranum fala:

There are people who will try anything to lose weight except diet and exercise. There are people who will try anything to secure their networks except designed correctly, control the access level within them, segment their networks, understand their traffic and monitor things closely.

A duas semanas atrás, escrevi o seguinte na lista CISSPBR durante uma discussão sobre Defense in Depth:

Porem em condições normais de temperatura e pressão, o basicão de segurança é suficiente. Para servidores por exemplo, hardening, patch management, backup e monitoramento de log resolve grande parte das necessidades. Em muitos lugares contudo mal fazem o básico, e ainda sim, resolvem colocar IDS de Rede, IDS de Host, IPS, Firewall, Proxy Reverso, HonyPots, etc.

Marcadores: BombaDeFumaça

For example, if someone wanted to hire me to lock down an ULTRIX 3.1d system, I'm eminently qualified. But I'd be at a loss when presented with today's confusing plethora of Linux "distros"--I'd need months of studying and experimenting before I'd be ready to work on one of them. But if I had a certification, maybe someone would hire me by mistake, thinking I was qualified, and then I could do that retraining on the company's nickel. If someone asked one of my peers who they'd recommend for a Linux project, I'm sure my name wouldn't come up. But if the job called for a "senior curmudgeon," well, that would be another story entirely.

The bottom line is that, regardless of whether a candidate is certified, a smart interviewer needs to know enough to judge if a candidate is the right person for the job. In fact, a smart employer is always going to check references and evaluate a candidate based on past accomplishments--only one of which may be successfully cramming for an exam.

Marcadores: BombaDeFumaça

Profiling based on security certifications is the easiest way for an organization to make a good hiring decision, and the easiest way for an organization to train its existing employees. And honestly, that's usually good enough.

Update: Eu, Augusto Paes de Barros e Willian Caprino postamos a mesma notícia quase simultaneamente. Influente esse tal de Schneier :)

Marcadores: BombaDeFumaça

Uma das características de segurança do Windows sempre lembrada pela Microsoft como vantagem é a possibilidade de diversos níveis de usuários, como Administrators, PowerUsers, Users, Guests e Everyone, em contraponto com a dualidade nua e crua do root/user dos ambientes Unix, Linux e BSD.

O que parece ser mais seguro, na verdade esconde uma grande vulnerabilidade, é o que demostra o artigo "The Power in Power Users" de Mark Russinovich.

É por essas e outras que o princípio do "Keep It Simple, Stupid" é totalmente válido para segurança.

OBS: O autor do artigo é o mesmo que descobriu o famigerado rootkit da Sony.

Marcadores: BombaDeFumaça

Bruce Schneier aborda em detalhes o recurso do Windows Vista que permite criptografar o sistema de arquivos.

• http://www.schneier.com/blog/archives/2006/05/bitlocker.html

Marcadores: BombaDeFumaça, Criptografia, Windows

Esse artigo do Schneier sobre o papel das empresas de software de segurança na questão do Rootkit da Sony é no mínimo instigante.

• http://www.schneier.com/blog/archives/2005/11/sonys_drm_rootk.html

Marcadores: Artigo, BombaDeFumaça