Mac security at this time is in its infancy.

Esta é apenas uma das muitas afirmações que Sean Morrissey faz ao longo desta entrevista, e coloca em causa o modelo de segurança que a Apple implementa no Mac OS X.

Este debate é muito interessante e coloca mais uma vez em causa a velha questão da “safety vs. security”. A verdade é que os utilizadores Mac, continuam a ter poucas ameaças em termos de virus e de malware, enquanto por contrapartida, existem dezenas de milhar de ameaças para a plataforma Windows.

Vale a pena ler a entrevista levada a cabo pela Help Net Security.

Segundo o autor do artigo, depois de ter analisado algumas situações, a utilização de computadores com Windows é um risco demasiado grande para as organizações por causa da proliferação de malware para estas plataformas, que procuram interceptar os dados de acesso às contas bancárias, e com isso tirar partido dos dados de acesso para realizar desvios de fundos.

Assim, o autor do artigo recomenda, entre outras coisas que o acesso às contas bancárias seja realizado a partir de um único computador (especificamente destinado para esse efeito), e que o mesmo seja ligado usando um Live CD com uma distribuição de Linux, para acesso às contas bancárias online da empresa. Quase todas as distribuições de Linux, oferecem o acesso a um Live CD, basta escolher a preferida.

Este é um problema grave, pois existe malware que permite efectuar um bypass dos diversos controlos de acesso e de autenticação dos serviços de banca online. Este é um problema sério e preocupante.

A utilização de um Live CD de Linux, permitirá que se tenha sempre um computador “limpo”, com toda a segurança oferecida por um sistema Linux, de cada vez que o mesmo arranca. Como não é possível escrever no CD, todos os dados, depois de terminada a sessão e desligado o computador, perdem-se. Logo, da próxima vez que se ligar é um computador “limpo” de novo.

Vale a pena ler, não só o artigo, assim como toda thread de comentários, que por si só é um manancial de informação “viva” muito interessante.

Uma das tarefas que nos foram incumbidas, foi a selecção de alguns dos principais especialistas presentes no Summit, e gravar pequenos vídeos com eles sobre diversos aspectos do OWASP e de alguns dos ataques mais comuns na Web.

• Introdução ao OWASP
• Apresentação do OWASP Top Ten
• Apresentação do OWASP Enterprise Security API (ESA)
• SQL, XML e LDAP Injection
• Phishing
• Clickjacking.
  

Assim, e visto que hoje não houve tempo para mais, aqui ficam alguns dos vídeos (entretanto já carregados para o Youtube). Mais alguns vídeos estarão disponíveis posteriormente…

Introdução ao OWASP, by Jeff Williams

Apresentação do Top Ten, by Jeff Williams

OWASP Enterprise Security API (ESAPI), by Jeff Williams

(prometo que depois coloco aqui os vídeos mais interessantes – ou seja aqueles que demonstram os ataques)

Depois tivemos o David Meucci, da OWASP Itália, sobre o “OWASP Testing Guide – version 3”. Este é um dos projectos de documentação do OWASP, que serve para ajudar os programadores de aplicações web na realização de testes de segurança a essas mesmas aplicações. Esta nova versão do testing guide acrescenta mais algumas secções interessantes (nomeadamente de Configuration Management testing).

Eis a forma como testing guide está integrado no restante stack de documentação OWASP. As restantes apresentações percorreram um pouco a restante documentação deste stack.

A segunda apresentação da manhã (no track de Documentação) foi-nos trazida por Eoin Keary, sobre o trabalho realizado pelo OWASP no OWASP Code Review Guide. Este trabalho demonstra como integrar em diversas fases do Ciclo de Vida de Desenvolvimento de Software (Software Development Life Cycle – SLDC), um conjunto de boas práticas de análise de código, como uma forma de detectar problemas de segurança, e de os resolver o mais cedo possível no SLDC. Um dos aspectos importantes da qualidade final do produto desenvolvido (aplicação web, web-service, ou qualquer outra aplicação) é a segurança do mesmo. O OWASP tem alguns projectos a desenvolver algumas ferramentas que podem ser usadas para automatizar este processo de revisão de código.

De seguida, Leonardo Cavallari, do Brasil, fez uma apresentação sobre o Application Security Desk Reference (ASDR), que não é mais do que documentação de suporte a todos os outros projectos de documentação do OWASP, servindo como uma espécie de glossário inicial sobre os principais termos e problemas segurança que são cobertos pelo OWASP, e a ligação para documentação mais aprofundada sobre os mesmos.

Seguiu-se um aspecto aspecto muito importante para o OWASP Portugal – uma apresentação sobre o projecto de tradução da documentação OWASP para Espanhol. Este é um projecto importante para a OWASP Portugal, pois este pode (e provavelmente será) o primeiro tipo de contribuição que a OWASP Portugal poderá oferecer ao OWASP, a tradução de conteúdos OWASP para português. Este é um projecto que tem igualmente importância para os brasileiros que estão já muito activos nesta área, e inclusivé já arrancaram com alguma tradução. Penso que faz todo o sentido podermos juntar os esforços e podermos contribuir para essa mesma tradução – afinal de contas, o português é igualmente uma das línguas mais faladas a nível mundial.

A última sessão de apresentações matinal foi sobre um projecto OWASP que se chama .NET ESAPI (Enterprise Security API). Este projecto está a a desenvolver uma framework em .Net para o desenvolvimento seguro de aplicações em .Net.

Ainda antes do almoço (se é que lhe podemos chamar almoço, pois por aqui o pessoal não pára) ainda houve tempo para começar o working session sobre os diversos projectos de documentação e começar a trabalhar numa versão mais integrada dos mesmos. Pelo meio da sessão, o almoço, no modelo “Grab a sandwich and please go back to your session real fast!”.

Da parte da tarde, voltaram as sessões de treino. Duas sessões de treino muito interessantes:

1. The Art and Science of Threat Modeling Web Applications, onde se falou sobre um conjunto de boas práticas para avaliar e medir as ameaças que estão envolvidas na concepção de aplicações Web. Falou-se igualmente do modelo D.R.E.A.D. (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) como uma boa forma de quantificação das ameaças.
2. Offensive WebApp Hacking (acho que o nome diz tudo), uma sessão prática em que foram demonstradas diversas técnicas que permitem comprometer a segurança das aplicações web.

No final do dia, nada melhor do que um jantar “a la OWASP”. Foram selecionados um conjunto de apartamentos, e encomendou-se a jantarada para o pessoal poder continuar a conversar e de certa forma a trabalhar para estabelecer uma boa rede de contactos e parcerias.

E este foi o dia de hoje. O de amanhã promete ainda mais.

Para já existe uma nova ameaça, que dá pelo nome de OSX.RSPlug.A (mas que raio de nomes estes). O OSX.RSPlug.A é um cavalo de tróia que não se propaga de máquina em máquina, e ameaça principalmente aqueles que navegam em sites pr0n, que quando tentam aceder a determinados vídeos, o mesmo dá a indicação que necessita ser instalado um novo CODEC. Ao responder afirmativamente, o cavalo de tróia é instalado no sistema. Uma descrição mais detalhada pode ser lida aqui.

A forma mais simples para verificar se foi infectado ou não consiste em ir a /Library/Internet Plug-Ins e verificar a existência de um ficheiro plugins.settings. Caso o mesmo exista o mais provável é o sistema estar infectado.

O processo de remoção desta ameaça do sistema pode ser consultado aqui.

O conselho habitual nestas coisas é sempre o mesmo: evitar instalar software de fontes desconhecidas!