Inimigos da Segurança da Informação – Meliante 1
30 de Setembro de 2009, 0:00 - sem comentários aindaO processo de segurança da informação possui vários inimigos. Esses meliantes impedem que a organização atinja o seu nível adequado de proteção da informação. Mas, precisamos entender que esses inimigos não são necessariamente pessoas externas ou trata-se da conspiração do Cosmos contra a nossa organização. Muitas vezes são atitudes da empresa cristalizadas através de pessoas da própria organização. Outra característica desses inimigos é que apesar de comentarmos deles em uma ordem, não necessariamente exista uma ordem de prioridade. Evidentemente quando vamos analisar esta questão em uma organização específica alguns inimigos podem ser mais fluentes do que outros naquela organização.
O primeiro inimigo que citaremos é:
=> A direção da organização não trata a segurança da informação de maneira profissional.
Tratar a segurança de maneira profissional é desenvolver e implantar um processo de segurança da informação, criar e manter uma gestão de risco e ter uma função com um nível hierárquico adequado e ter um profissional experiente e conhecedor do assunto.
Muitas organizações tratam a segurança de uma maneira amadora ou pior: de uma maneira irresponsável. Alguns segmentos estão obrigados a cumprir uma série de regulamentos. Nestes casos, normalmente, a segurança é tratada com mais seriedade. Em organizações que não estão sob uma regulamentação/leis muitas vezes a segurança é deixada de lado. Esquecem (será que esquecem mesmo?) esses executivos não protegem adequadamente a informação. Como existe uma maior probabilidade de grandes problemas não acontecerem, os executivos vão levando. Inclusive levando seus bônus. O problema é que se acontece um problema sério que afeta a imagem ou acarreta um grande impacto financeiro e/ou da participação da empresa no mercado, o executivo pode até ser dispensado, mas os acionistas é quem pagarão a conta.
Em se tratando de problemas de menor impacto (imediato) para o negócio da organização os executivos ouvem a música cantada pelo Zeca Pagodinho (Deixa a vida me levar) e adaptam para a segurança da informação. Quantas empresas (pense na sua) têm sua base de dados de clientes roubadas e entregues a concorrentes e não se dão conta? Só vão saber muitos anos depois (se o concorrente contar) ou nunca vão saber.
Tratar a proteção da informação de maneira profissional é combater o primeiro inimigo da segurança. Faça a sua parte!
Autor:
Edison Fontes – CISA, CISM
Inimigos da segurança da informação – Meliante 2
30 de Setembro de 2009, 0:00 - sem comentários aindaNão conhecer como a organização está protegida em relação a cada uma das dimensões da segurança da informação é o nosso segundo inimigo para se ter um processo efetivo de proteção da informação.
Quem não tem essa posição da efetividade dos controles de segurança realiza um vôo cego sobre o que deve ser implantado prioritariamente ou que riscos a organização possui e está inocente (ou incompetente). Neste caso as ações de segurança são reativas e nunca se tem um planejamento para as ações segurança. O aspecto emocional vai sobrepor ao aspecto profissional. Outra conseqüência prática em não se ter uma posição a partir de um diagnóstico profissional, é que a organização busca resolver o problema que aparece e esquece as causas. Isto é, ataca a febre e se esquece de resolver a doença. Evidentemente algumas vezes temos que atacar a febre, isto é, a situação existente no momento. Mas não podemos esquecer em resolver a causa raiz.
Um exemplo dessa situação febre/doença é o fato da descoberta de um vazamento de uma base de clientes. Identifica-se que foi através de uma cópia em planilha eletrônica. Resolve-se proibir uso de pen driver por que se pode copiar uma planilha eletrônica para este dispositivo. Isto é febre. O problema é que não se tem um regulamento de acesso á informação, não se tem a função e responsabilidade do gestor da informação, não se têm registro de auditoria (log) indicando o que foi feito de acesso/cópia/alteração em cada informação. Enfim, uma grande confusão com muitas pessoas utilizando seu “achômetro” A solução do problema é estruturarmos o controle de acesso á informação. De repente essa mesma organização tem excelência na solução para situações de contingência. Ótimo! Mas a direção executiva precisa saber das duas situações.
A direção executiva da organização precisa saber de uma maneira não técnica como está a efetividade dos controles de segurança da informação. Abaixo indicamos um exemplo prático de como demonstrar aos executivos e aos acionistas como está a segurança da informação.
Neste exemplo, de uma maneira rápida e simples se verifica que a organização está bem em relação às cópias de segurança fora do ambiente principal, tem um bom plano de contingência, possui um controle de pessoas no acesso aos ambientes físicos e não está bem nas demais dimensões de segurança.
Com um diagnóstico deste tipo e considerando as características da organização, seus objetivos e detalhes da operacionalização do negócio, bem como a complexidade da adoção de controles, pode-se definir um plano de ação com prioridades de desenvolvimento e implantação de controles.
Saber como está a efetividade dos controles de segurança é o primeiro passo para que a organização tenha um efetivo processo de segurança da informação. Não saber a situação da organização em segurança da informação é um inimigo fatal para o processo de proteção da informação.
Se sua organização tem esse tipo de avaliação, parabéns, porém mantenha e aprimore a mesma. Se não tem: corra e faça uma avaliação gerencial do processo de segurança da informação.
Autor:
Edison Fontes – CISM, CISA.
Inimigos da segurança da informação – Meliante 3
30 de Setembro de 2009, 0:00 - sem comentários ainda=> Não possuir regulamentos ou possuir regulamentos que são belos documentos guardados que ninguém segue.
Os regulamentos de segurança da informação (políticas, normas e procedimentos) devem refletir o que realmente a organização deseja para a sua proteção da informação. Eles devem ser verdadeiros, válidos para todos os usuários (do presidente ao estagiário), possíveis de serem cumpridos e devem considerar as características da organização e seu tipo de negócio.
Muitas vezes chama-se política de segurança as configurações de um Firewall ou de outro equipamento. Rigorosamente isso seria o conjunto de regras técnicas de controle de um determinado tipo de recurso. Política de segurança deve ser entendida como a diretriz de segurança. A partir dessas políticas é que se constroem e são implantados os controles. Sugiro que tenhamos uma política principal tipo Os Dez Mandamentos. Depois devemos ter políticas por assunto específico (acesso a informação, classificação da informação, requisitos de segurança para desenvolvimento de sistemas). E em um nível de detalhamento maior devemos ter normas. Por exemplo, teremos uma política principal (nível 1), uma política de acesso á informação (nível 2) e normas relativas ao acesso a informação referentes a cada ambiente de tecnologia com suas regras específicas (nível 3).
A política principal, a diretriz, deve ser assinada pelo presidente da organização. Os demais regulamentos devem ser assinados pela área de segurança em conjunto com áreas envolvidas.
Os usuários devem conhecer e receber treinamento sobre os regulamentos que lhes dizem respeito. Esse treinamento deve acontecer periodicamente e deve ser formalizada a participação do usuário.
Políticas e normas de segurança da informação são elementos estruturais no processo de proteção da informação. Isto é, somente a partir da sua existência é que controles podem ser implantados.
Regulamentos de segurança são direcionadores das ações de proteção da informação. Defina as políticas e normas da sua organização! Siga as políticas e normas da sua organização!
Autor:
Edison Fontes – CISM, CISA.
Relato – Software Freedom Day em Aracaju
21 de Setembro de 2009, 0:00 - sem comentários ainda
As pessoas:
Antes de relatar sobre o evento gostaria de agradecer ao Hugo Dorea:
* Pela estadia em sua casa;
* Pela paciência de jó;
* Por ter comprado um PS3 ;-D
Também quero agradecer ao Pardal, Joaquim Espinhara, Israel e ao Anderson Rizada pelas horas de diversão!!!
Esses caras sabem representar o Linux-SE.
O evento:
O SFD simplesmente foi showwww!!!
Junte uma boa organização, divulgação, excelentes palestras e mini-cursos e a presença de um público ávido por informação essa é a receita para o sucesso de qualquer evento, foi isso que aconteceu dia 19 de setembro em Aracaju-SE.
A grade foi muita bem planejada com palestras sobre todos os assuntos, todas elas estavam lotadas.
O Rodrigo Cavalcante aka mult fez uma excelente palestra sobre como integrar plataformas móveis ao egroupware/expresso livre, seguido pelo Israel falando sobre o Endian Firewall. Gostei muito da palestra por não conhecer este firewall, acabei não pudendo participar totalmente das palestras porque estavam lotadas não tendo lugar nem para se encostar.
Gostei muito da palestra sobre o case apresentado pelo Guilherme Rocha sobre a implantação do Egroupware num grande escritório de advocacia, está eu pude acompanhar porque sentei logo na primeira fila.;-D
Minha palestra sobre Hadening Linux foi um sucesso!! Tive que fazer 02 sessões da mesma palestra porque várias pessoas haviam ficado de fora. Isso foi muito gratificante.
Infelizmente não pude assistir a palestra do Rafael Gomes porque estava muito cansado e não é legal dormir numa palestra, então preferi sair e tomar um café para reanimar.
A palestra do Joaquim Espinhara sobre o Metasploit era a que eu estava mais ancioso para assistir, o cara realmente sabe sobre o assunto e ministrou uma palestra bem descontraida e com bastante informação. Pena que o hands on foi prejudicado, mas não tirou o brilho da apresentação.
Graças ao Joaquim vi que preciso estudar mais, venho acompanhando este projeto desde 2005 mas não sabia que ele tinha evoluido tanto.
É isso ai. Espero que a galera do Linux-SE não demore para organizar outro evento porque este está na lista dos the bests!!!
Vejam as fotos:
Instalando o Ossec HIDS Server
13 de Setembro de 2009, 0:00 - sem comentários ainda
O OSSEC é um escalável, multi-plataforma, e open source HIDS. Ele integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.
Nesta série de 03 artigos faremos a instalação do Ossec como servidor, da interface Web do Ossec e de um agente.
Agora é a hora da diversão!!!
Instale as dependências necessárias para o Ossec e Ossec-WUI
aptitude -y install apache2 python openssl php5 php-pear php5-xsl curl libcurl3 libcurl3-dev php5-curl build-essential libmysqlclient-dev libssl-dev libsnmp-dev libapache2-mod-php5 php5-gd
Baixe o Ossec
wget -c http://www.ossec.net/files/ossec-hids-2.2.tar.gz
Descompacte o arquivo e acesse o diretório criado
tar -xvf ossec-hids-2.2.tar.gz
cd ossec-hids-2.2
Execute o arquivo install.sh para iniciar a instalação do Ossec
./install.sh
** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** Per l’installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: br [ Digite o idioma para instalação]OSSEC HIDS v2.2 Script de instalação – http://www.ossec.net
Você está iniciando o processo de instalação do OSSEC HIDS.
Você precisará de um compilador C pré-instalado em seu sistema.
Qualquer dúvida, sugestões ou comentários, por favor, mande um e-mail para
dcid@ossec.net (ou daniel.cid@gmail.com).- Sistema: Linux debian 2.6.26-2-686
- Usuário: root
- Host: debian– Aperte ENTER para continuar ou Ctrl+C para abortar. –
1- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? servidor [ Digite a opção 'servidor']
- Escolhida instalação servidor.
2- Configurando o ambiente de instalação.
- Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]
- A instalação será feita no diretório /var/ossec .3- Configurando o OSSEC HIDS.
3.1- Deseja receber notificações por e-mail? (s/n) [s]: [Pressione ENTER]
- Qual é o seu endereço de e-mail? alexos-alertas@gmail.com [INFORME SEU EMAIL AQUI]
- Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com.
- Deseja usá-lo? (s/n) [s]: [Pressione ENTER]
— Usando servidor SMTP: gmail-smtp-in.l.google.com.3.2- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]
- Syscheck (Sistema de verificação de integridade) habilitado.3.3- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]
- Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ LEIA A NOTA SOBRE ESTE ITEM ]
NOTA: O sistema de respostas automáticas por padrão pode habilitar o ‘host-deny’ e o ‘firewall-drop’. O primeiro adicionará um host ao /etc/hosts.deny e o segundo bloqueará o host no ‘iptables’ (se linux) ou no ipfilter (se Solaris, FreeBSD ou NetBSD). Eles podem ser usados para parar ‘SSHD brute force scans’, portscans e outras formas de ataque. Você pode também realizar bloqueios baseados nos alertas do snort, por exemplo.
3.5- Deseja habilitar o syslog remoto (514 udp)? (s/n) [s]: n [ Digite 'n' se não possuir um syslog remoto ]
— Syslog desabilitado.3.6- Ajustando a configuração para analisar os seguintes logs:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info
– /var/log/dpkg.log
– /var/log/apache2/error.log (apache log)
– /var/log/apache2/access.log (apache log)- Se quiser monitorar qualquer outro arquivo, modifique
o ossec.conf e adicione uma nova entrada para o arquivo.
Qualquer dúvida sobre a configuração, visite http://www.ossec.net/hids/ .— Pressione ENTER para continuar —
A seguinte mensagem surgirá após as mensagens do processo de instalação :
- O Sistema é Debian (Ubuntu or derivative).
- O script de inicialização foi modificado para executar o OSSEC HIDS durante o boot.- Configuração finalizada corretamente.
- Para iniciar o OSSEC HIDS:
/var/ossec/bin/ossec-control start- Para parar o OSSEC HIDS:
/var/ossec/bin/ossec-control stop- A configuração pode ser vista ou modificada em /var/ossec/etc/ossec.conf
Obrigado por usar o OSSEC HIDS.
Se você tiver alguma pergunta, sugestão ou encontrar algum
“bug”, nos contate através do e-mail contact@ossec.net ou
utilize nossa lista de e-mail:
( http://www.ossec.net/main/support/ ).Maiores informações podem ser encontradas em http://www.ossec.net
— Pressione ENTER para continuar —
- Você precisa adicionar cada um dos clientes antes que estejam autorizados a acessar o servidor.
Execute o ‘manage_agents’ para adicioná-los ou removê-los:/var/ossec/bin/manage_agents
Maiores informações em:
http://www.ossec.net/en/manual.html#ma
Feito. O Ossec server está instalado, agora iremos iniciá-lo. No pŕoximo artigo faremos a instalação do Ossec-WUI
/var/ossec/bin/ossec-control start
Starting OSSEC HIDS v2.2 (by Trend Micro Inc.)…
Started ossec-maild…
Started ossec-execd…
Started ossec-analysisd…
Started ossec-logcollector…
Started ossec-remoted…
Started ossec-syscheckd…
Started ossec-monitord…Completed.
