ICPEDU – Infra-Estrutura de Chaves Públicas para Ensino e Pesquisa

Em 2007, a Rede Nacional de Ensino e Pesquisa (RNP) lançou, em caráter experimental, o serviço Infra-Estrutura de Chaves Públicas para Ensino e Pesquisa (ICPEDU), cuja proposta consiste na implantação de uma infra-estrutura de criação de certificados digitais e chaves de segurança dentro do ambiente das Instituições Federais de Ensino Superior (Ifes) e Unidades de pesquisa (UPs)

Nesta estrutura, a RNP será a Autoridade Certificadora Raiz (AC Raiz), responsável por credenciar as Autoridades Certificadoras Intermediárias, no caso, Ifes e UPs, que estarão então autorizadas a emitir certificados para seus membros.

Vale ressaltar que a ICPEDU é utilizada apenas para transações em aplicações acadêmicas e de pesquisa, e não possui validade legal. Ela portanto complementa, mas não substitui os certificados emitidos pela Infra-Estrutura de Chaves Públicas Brasileiras (ICP-Brasil).

Trabalho na ICPEDU desde 2007, e ver o crescimento da iniciativa é muito gratificante.

Atualmente estamos na fase piloto, contando com diversas instituições que utilizam os produtos desenvolvidos para o projeto para suportar as operações das Autoridades Certificadoras (ACs) participantes da ICP.

Sou responsável pela manutenção dos requisitos mínimos que qualquer instituição deve cumprir para fazer parte da ICPEDU. O Trabalho consiste, basicamente, em determinar políticas e práticas de segurança e certificação digital que garantam certo nível de confiança na ICP, sem que isso interfira nos procedimentos internos de cada participante. Se quiser conhecer um pouco mais sobre o trabalho, escrevi um breve relatório sobre ele para o XVII Seminário de Iniciação Científica da UFF.

O site do projeto oferece todas as informações sobre a ICPEDU.  Lá é possível saber mais sobre as soluções criadas e ter acesso a documentação.

Aguardamos visitas!

–Daniel

 

Cursos grátis de Segurança

Para quem quer estudar um pouco mais sobre segurança, o SearchSecurity disponibiliza uma Escola de Segurança com diversos módulos super interessantes.

As aulas são claras e objetivas,  possuem audio e video, o que facilita o aprendizado

O destaque vai para as lições sobre o exame para  CISSP.

Eu recomendo!

–Daniel

 

XVIII Seminário de Iniciação Científica da UFF

Com a correria de final de ano, ficou impossível postar alguma coisa aqui. Mas, em 2009, espero ser um blogger um pouco mais presente. Vejamos se não vira promessa de Ano Novo.

Para começar o ano, vão aqui as fotos do XVIII Seminário de Iniciação Científica – Prêmio Vasconellos Torres de 2008. Esse ano publicamos 4 trabalhos, tratando desde virtualização até a nossa abordagem de paralelização do John The Ripper.

Meu amigo Carlos Henrique “Bill” Nicodemus foi o vencedor da categoria “Engenharias”, uma merecida recompensa pelo trabalho feito no decorrer de 2008.

A seguir, algumas fotos (sim, elas são enormes. Obrigado, Eduardo. ¬¬’):

Vinod e Bill

Bill e o pôster vencedor de 2008

Souza, Carol e Eduardo “Satan”

Carol e Jacques com o pôster do EPIC

Eu e o meu pôster no XVIII Seminário de Iniciação Científica da UFF

 

E lá vem o Horário de Verão…

Faltando 9 dias para começar o Horário de Verão 2008, é sempre bom lembrar da importância da data para quem trabalha com segurança. Manter os relógios marcando a hora certa é fundamental especialmente para tratamento de incidentes, pois permitem manter a consistência dos logs.

Portanto, senhores administradores, hora de traçar a estratégia para acertar os ponteiros. Lembrando que cada sistema operacional possui suas particularidades para mundança de horário.

Mais infos no Alerta do CAIS/RNP.

Abraços,

–Daniel

 

Gridificando John The Ripper – Parte 0: Início da saga

Estou cursando a matéria optativa sobre Grades Computacionais do meu orientador, o prof. Vinod Rebello, com o grupo que trabalha comigo no laboratório. E eis que ele pede para encontrarmos aplicações que fossem interessantes para execução em grades.

Não sei onde estava com a cabeça para sugerir que fizéssemos um trabalho em cima do John The Ripper, o conhecido password cracker. Na verdade, existem algumas iniciativas para paralelizar o JTR, nenhuma que realmente funcionasse bem. E pintou o desafio.

A necessidade de executar de forma paralela/distribuída vem, principalmente, do fato do JTR demorar um tempo considerável para executar testes de força bruta. Para se ter uma idéia do que é “considerável”, resolvemos tentar executar o John e ver quanto tempo ele demorava até encontrar uma senha nesse método. Criamos um processo para tentar quebrar a senhad e um único usuário e deixamos rodando em uma máquina quad-core de 1Gb de RAM durante uma semana, e o resultado foi… Nada. Null. Ao fim de uma semana de execução, o programa foi incapaz de quebrar a senha. Pelos logs, o programa chegou a testar strings de 8 caracteres fixando os 4 primeiros caracteres.

Estamos partindo agora para entender melhor como o JTR funciona, e vamos dar uma olhada no código também. No próximo post sobre o assunto, vou explicar como instalar e usar o John. Vou colocar também co papel de cada função.

E lá vamos nós…

Abraços,

–Daniel

 

Gerenciando contas privilegiadas

Um dia você está calmamente tomando aquele cafezinho na copa da empresa e tem um insight daqueles:

- “Wow, acho que meu administrador de redes é poderoso demais…”

Parece familiar? Os mais antigos no ramo vão lembrar de alguma situação em que “o-cara-que-saca-tudo-da-rede” precisou ser demitido ou simplesmente saiu por conta própria e a equipe de suporte deu a famosa “coçadinha na cabeça” se perguntando o que fazer com todo poder que foi dado ao administrador de redes. Agora imagine por um segundo que esse cara é o responsável pela rede de toda uma cidade, e apenas ele sabe as senhas de todos os roteadores, firewalls e toda a parafernália na qual os dados trafegam. Bateu um frio na espinha?

Mas não é história de terror. Aconteceu. E motivado pelos debates que borbulharam por conta do caso do administrador de redes de São Francisco (EUA), o TechRepublic vai trasmitir ao vivo um webcast com um tema bem interessante: gerenciamento de contas privilegiadas.  Algumas coisas legais que prometem rolar no webcast:

• Criação de um worflow para solicitação e aprovação de senhas de administrador

• Automatização da criação e distribuição de senhas privilegiadas

• Delegação de acesso root em nível granular baseado em políticas

Pessoalmente, acho que vale muito a pena participar. O horário é um pouco ingrato: 15/10/2008 – 13:00. Mas vale perder um pouco do tempo de almoço para evitar uma grande dor-de-cabeça depois. Além disso, informação nunca e demais.

Para participar, basta fazer o registro no site. O link está abaixo.

Live Webcast: The Privileged Account Management Debate

Aproveitem.

Abraços,

–Daniel

 

Erros comuns que devem ser evitados ao instalar softwares no Linux

Aqui vai um videozinho muito interessante do IT Dojo (que, a propósito, sempre vale a pena visitar):

Video: Common mistakes to avoid when you’re a installing Linux software

Bill Detwiler dá dicas simples e muito bem sacadas para facilitar a instalação e o gerenciamento de softwares em ambientes Linux. O video na verdade é baseado em um outro artigo, o 10 Common mistakes to avoid when you’re a installing Linux software, que vale muito a pena ler.

Coloquei os links ao invés do vídeo por achar justo dar visitas aos caras. O crédito é todo deles.

Abraços!

–Daniel

 

Sandcat

Surfando pela Internet atrás de algumas ferramentas interessantes para suportar a tarefa de hardening de servidores web, dei de cara com o Sandcat, um scanner de vulnerabilidades em aplicações web com funcionalidades bem interessantes. De acordo com o site da Syhunt, a fabricante do Sandcat,

o software permite aos administradores executarem varreduras agressivas e abrangentes do servidor web de uma organização para isolar vulnerabilidades e identificar falhas de segurança.

Resolvi brincar um pouco e subi uma máquina virtual com servidor web básico. A receita do bolo é a seguinte:

- VMware para rodar a máquina virtual;

- CentOS 5;

- Apache, Tomcat,…

- WebGoat

Escolhi o WebGoat por um motivo bem simples: É uma aplicação que possui falhas de segurança propositais e bem documentadas, o que permite explorar bastante testes de ferramentas como o Sandcat.

A ferramenta é compatível apenas com a família Windows, o que pode deixar os linuxers de carteirinha um pouco chateados. Mas vale a pena instalar uma máquina virtual para usar o bicho. No geral, é fácil de usar e os relatórios gerados são muito claros. A entrada é simples, basta o hostname/IP da máquina-alvo ou uma URL. Também é possível escolher entre um relatório completo ou combinações de ataques e varreduras.

• Relatórios

Os relatórios são em formato semelhante ao Nessus. Fornecem uma descrição da vulnerabilidade, o risco e uma sugestão para solução do problema. O relatório seria ainda mais útil se as sugestões fossem mais conclusivas. Existe a possibilidade de escolha em que formato os relatórios serão pagos, mas apenas na versão paga.

• Testes

Algo que não gostei muito foi o fato do Sandcat executar testes para servidores Windows em servidores Linux, mesmo fazendo um reconhecimento (correto) prévio do host.

O Sandcat relatou uma enxurrada de falsos positivos, o que definitivamente atrapalha uma boa análise dos resultados. Pretendo repetir os testes de forma mais sistemática para ter uma noção real do que a ferramenta é capaz.

Na próxima semana, posto o resultado dos testes e faço uma análise mais profunda do Sandcat.

Abraços!

-Daniel

 

Feliz Natal

Um Feliz Natal para todos os que visitam esse humilde blog!

 

 

Pesquisadores quebram encriptação de teclados sem fio da Microsoft

Ando um pouco sem tempo para escrever, mas vai aqui uma notícia interessante com dos links relacionados:

“Suíços anunciam que, com aparelhos baratos, conseguiram interceptar e ter acesso a dados trocados entre teclados sem fio da MS e PC.”

Leia a notícia na íntegra no site IDG Now!

Relacionados:

• The Register
• Heise Security

Vale a pena ler.

Abraços e boa semana,

-Daniel