MS08-030: Vulnerabilidade afeta o stack Bluetooth do Windows XP e Vista

Quem usa dispositivos equipados com a tecnologia de comunicação wireless baseada no protocolo Bluetooth, em plataformas Windows, deve ficar atento para uma importante vulnerabilidade recém divulgada pela Microsoft. A falha, permite que dispositivos rodando Windows XP ou Vista equipados com interface bluetooth executem código malicioso remotamente. Quem aplicou o patch original, deve observar que foi lançado um novo update, ou seja, um “patch para o patch” original!

Rede de sensores, e equipamentos que emulam portas seriais através de RFCOMM podem ser prováveis canditados ao patch, uma vez que alguns rodam código da MS internamente, e outros são realmente 100% baseados em Windows. Consultem seus fornecedores sobre a possibilidade de aplicar a correção e, antes de tudo, testem antes de colocar em produção.

Buffer Overflow atinge o CitectSCADA

Foi descoberta uma vulnerabilidade de buffer overflow que atinge a suíte de produtos, incluindo HMI, CitectSCADA, desenvolvida pela Citect, que permite ao invasor tomar o controle da aplicação e utilizá-la para comprometer a rede de processos, executar shutdowns ou outras manobras não autorizadas. A vulnerabilidade, que, atinge o serviço ODBC do produto, foi descoberta pela Core Security e um patch para solucionar o problema já se encontra disponível.

Se alguém por aí utiliza este produto, certifique-se de fazer uma análise de risco e considerar logo a aplicação deste patch, pois a vulnerabilidade é crítica. Obviamente que ninguém por aí conecta a sua rede SCADA à Internet, certo? Mas mesmo assim, vale a pena considerar a correção.

O que é curioso neste anúncio é o fato de uma empresa como a Core, grande “pesquisadora” de vulnerabilidades do ambiente de TI, estar aplicando recursos para testar e quebrar a segurança de aplicações e produtos para o ambiente industrial. Isso vai de acordo com a tendência atual: os fabricantes de soluções de TI querem entrar neste nicho, mas é preciso que haja o “fato”, ou seja as vulnerabilidades, para justificar os investimentos. Claro que a Core também quer ser reconhecida como especialista no setor, ganhando créditos da comunidade e potenciais clientes para seus serviços de consultoria. Nada de errado nisso, já que o mercado de segurança para a TI tradicional já está abarrotado de fornecedores e a automação é uma área ainda pouco explorada e repleta de oportunidades (e dinheiro!).

Process Control Systems Forum chega ao Brasil

Com o propósito de reunir profissionais das áreas de automação, controle e segurança da informação em torno do tema de segurança de redes e sistema industriais, o PCSF – Fórum de Gestão de Riscos e Segurança da Informação em Ambientes Industriais – está chegando ao Brasil no final de 2008.

O PCSF é uma organização sem fins lucrativos, composta por representantes dos setores público e privado, governos, agências reguladoras e integradores de sistemas. O objetivo é compartilhar experiências e discutir idéias visando a melhoria da segurança das redes de processo, tanto de legado quanto as mais modernas. Precedendo ao evento, o PCS Forum Café Leia o resto deste post »

ISA SP99

Você já conhece a ISA SP99? Não? Por onde tem andando, hein? É um dos temas mais quentes do setor no momento, pois a parte 4 que está em desenvolvimento está gerando muita polêmica. Se não conhece dê uma olhada nela aqui.

botHunter – Malware Infection Diagnosis System

No post “Anti-vírus prometem, mas não cumprem” que você pode encontrar aí em baixo, escrevi sobre minha decepção com as ferramentas anti-vírus encontradas no mercado e como os seus desenvolvedores aproveitam-se de súbitas ondas de pânico. Dei o exemplo do Symantec Antibot, uma “nova” ferramenta para atuar junto com o anti-vírus e que promete livrar sua rede de bots e outros malwares. Leia o resto deste post »

SCADA Security é tema cada vez mais comum em conferências hackers

Para aqueles que ainda acreditam que as redes industriais são seguras porque se baseiam em protocolos e produtos desconhecidos da grande maioria – principalmente da grande maioria de script kiddies e hackers – aqui vai um alerta: o tema de segurança em rede de processos é cada vez mais freqüente no “sub-mundo” e nas conferências de segurança. Prova disso é o recente talk dado por um cara da TippingPoint na conferência LayerOne 2007. Ele não apresentou nada que já não fosse esperado: que os protocolos modbus e etc são inseguros, que os produtos – PLCs e RTUs inclusos – tem um stack TCP/IP ruim e vulnerável etc. etc. etc… mas teve uma repercussão muito negativa. Veja porque adiante. Leia o resto deste post »

Nova versão do “Cyber Security Procurement Language for Control Systems” é lançada

Uma grande iniciativa, que começou em meados de 2006, acaba de ganhar uma nova versão. É a “Cyber Security Procurement Language for Control Systems“, ou “linguagem de segurança digital para aquisição de produtos para sistemas de controle” traduzindo a grosso modo. Basicamente, este documento apresenta uma série de requisitos técnicos para serem incluídos em editais de aquisição de produtos para sua rede de controle. Ele define características de segurança altamente recomendadas, citando as normas de referência que servem de base para os requerimentos. Leia o resto deste post »

Anti-vírus prometem, mas não cumprem.

Vou começar este post com uma frase de efeito: os anti-vírus são uma droga! Nenhum deles funciona como deveria, nem perto do que prometem. É claro que nenhum profissional de segurança, por mais anti-convencional que seja ( ), recomendaria o seu desuso, porém é nítido que as longas promessas não se cumpriram. A cada dia, mais e mais ameaças chegam até nós, principalmente via email e web, nas mais diferentes formas e variedades. E o nosso antivírus, mesmo que atualizado diariamente, deixa-nos uma vez ou outra, na mão. As empresas se defendem dizendo que possuem a “mais avançada tecnologia de detecção”… Leia o resto deste post »

Vale a pena investir em IPS?

A TI tradicional tem sim muito a oferecer em relação a melhores práticas e tecnologias de Segurança da Informação, mas uma delas não são os Intrusion Protection Systems. Acho que a tecnologia é boa, mas demorou muito a chegar. Os firewalls de ponta hoje já executam estas atividades de forma integrada ao nível de rede e os principais anti-vírus de mercado, possuem funções de proteção para o host que dispensam em grande maioria dos casos a necessidade de mais um software adicional.

Leia o resto deste post »

Como deve ser a solução de firewall ideal para redes de automação?

No post sobre o lançamento do firewall da Check Point para redes industriais, escrevi sobre uma conversa que tive com eles onde dei alguns palpites sobre uma solução de segurança ideal para estes ambientes. Vou escrever aqui minha opinião e espero contar com suas sugestões através dos comentários. Acho que um firewall para redes industriais deve:

1. Estar disponível em várias capacidades de performance e throughput, permitindo a implementação em ambientes de pequeno porte, fazendo a função de RTU em alguns casos; Leia o resto deste post »