Navegando com mais segurança usando Google Docs

Atualmente, o maior desafio da segurança, ao meu ver, é conscientizar o usuário sobre os riscos presentes na Internet. A tarefa é difícil, trabalhosa, as vezes desanimadora, e dificilmente você terá sucesso pleno. Diferente das pessoas que trabalham na área, e sempre desconfiam de tudo presente na Web, os usuários comuns não tem essa preocupação e gostam de clicar compulsivamente.

Com a onda de códigos maliciosos embutidos em documentos Word/Excel/Powerpoint e PDFs, ficou ainda mais dificil evitar a contaminação dos usuários, pois grande parte deles não enxerga esses programas e seus respectivos arquivos como uma ameaça, e abrem qualquer documento anexado em seu email.

Levando em consideração que a grande maioria dos desktops não possuem versões de Office nem Adobe Reader (leitor de PDF mais usado) atualizadas, a taxa de contaminação é altíssima. Mesmo aqueles que mantêm todos os softwares atualizados, inclusive assinaturas dos antivirus, não estão totalmente protegidos, principalmente para novas falhas de segurança, já que os antivirus trabalham reativamente.

Splunk com autenticação Apache + SSL

Seguindo a linha do último artigo, outra peça importante em qualquer ambiente é um centralizador de logs, principalmente para auditoria e rastreamento de usuários.

Uma excelente opção é o Splunk. Na sua versão free, é possível indexar 500MB de logs diários, o que é bastante pra qualquer ambiente. Apesar desta limitação, essa quantidade de dados é suficiente para atender grande parte dos ambientes que conheço. 

Como medida de comparação, já vi ambientes com mais de 1000 servidores utilizando essa versão gratuita do Splunk para registrar apenas a autenticação de usuários nos servidores (AUTHPRIV do syslog), não atingindo nem 10% da sua capacidade diária.

Porém, na minha visão, a grande limitação desta versão gratuita é a falta de autenticação no acesso à sua console de gerenciamento e busca. Como não existe autenticação, qualquer usuário que conheça a URL de acesso poderá manipular os logs já coletados, inclusive apagar completamente o que já foi indexado.

A solução que encontrei para contornar essa situação foi incluir uma autenticação do Apache com SSL na frente do Splunk através de um proxy, junto com algumas configurações adicionais no próprio Splunk.

Geração de chave e certificado para Apache SSL

Como muitos dos meus artigos citarão a necessidade de um Apache com SSL, resolvi escrever uma dica de como gerar tanto a chave como o certificado rapidamente no Linux. Com exceção da instalação do mod_ssl, específica aqui para CentOS/RedHat e Fedora, todos esses comandos podem ser utilizados em qualquer sistema que tenha OpenSSL com Apache.

HomeMade Patch Management System - Parte 1

Com a facilidade da virtualização, percebi que possuia inúmeros sistemas desatualizados em casa e como não era trivial saber o que realmente precisava ser atualizado. Independente da criticidade dos mesmos, como em qualquer outro ambiente, vi que finalmente era hora de ter um controle efetivo das atualizações de segurança pendentes.

Após algumas pesquisas, não consegui achar um software que atendesse as minhas necessidades de automatizar e consolidar esse processo. Foi então que resolvi integrar algumas tecnologias que conheço para resolver o meu problema e criar um HomeMade Patch Management System utilizando:

• LAMP (Linux, Apache, MySQL, PHP)
• Nessus
• Perl

Defcon 19!

Não existe melhor assunto para o primeiro post deste blog do que falar sobre a Defcon 19! Após anos e anos tentando, finalmente fui e digo, vale cada centavo investido.

Não que tenha sido a coisa mais planejada do mundo (pra ser sincero, foi totalmente não planejado), mas o que importa é ter ido. E se você pretende ir nos próximos anos, e for a sua primeira Defcon, seguem algumas opiniões e dicas para tentar aproveitar ao máximo o evento.