Red Team vs Blue Team? O que isso quer dizer na segurança da informação?

team_blue_vs_team_red_logo

No mundo da segurança cibernética, estar um passo a frente dos possíveis atacantes à nossa infraestrutura pode ser o que definirá as nossas chances de sucesso na reação quando um ataque surgir, e para tanto muitas empresas utilizam táticas de simulação para a realização de testes quanto a capacidade de resposta a incidentes de segurança.

Um exemplo desse tipo de procedimento envolve utilizar grupos de profissionais de TI, divididos em times, e que objetivam atacar ou defender a infraestrutura das empresas envolvidas para tentar evidenciar pontos fracos e fortes de suas soluções de proteção de dados.

Nesse tipo de verificação, a equipe responsável pelo ataque deve valer-se de sua expertise para tentar atingir um objetivo definido pela alta direção, realizando sofisticados testes de penetração e buscando pontos de falha nos processos, pessoas e tecnologias que compõem as defesas atualmente em uso na empresa para o cumprimento da missão. Essa equipe é apelidada de Red Team.

Neste cenário, o Red Team agiria como uma ameaça externa, que buscaria localizar quaisquer vulnerabilidades possíveis de serem exploradas, objetivando, por exemplo, extrair dados da localidade predeterminada pela alta direção. Idealmente este time deve ser composto por profissionais que não tenham contribuído, ou contribuam, para a estratégia de defesa atualmente aplicada na empresa, pois isto poderia gerar um conflito de interesses a partir da atitude de não querer buscar realmente, ou mesmo expor, as fraquezas disponíveis na infraestrutura da corporação, e que não foram cobertas pelas defesas que ajudaram a implantar.

O foco em realmente “quebrar” a segurança implantada deve dirigir a vontade do Red Team na busca por brechas de segurança, o que pode envolver as mais diversas táticas, desde a utilização de ataques spear phishing até mesmo a simples pendrives infectados e deixados nos arredores da empresa.

Em contrapartida, a equipe responsável por defender essa infraestrutura, apelidada de Blue Team, deve buscar identificar através de logs, monitoramento de ativos, tráfego de dados, comportamento anômalo, entre outros recursos, os possíveis vetores de acesso que o time ofensivo utilizará para tentar obter êxito na invasão, buscando frustrar os planos de de acesso e extração de dados. Esse time é geralmente formado pela equipe de resposta e tratamento de incidentes apoiada pelo centro de operações de segurança.

O desenvolvimento deste tipo de atividade permite a realização de testes controlados de invasão, bem como da efetividade dos procedimentos utilizados, e do treinamento das equipes para a proteção do ambiente corporativo, pois através dos relatórios de ação e reação, de cada uma das equipes, é possível identificar pontos fortes e fracos na estratégia de defesa, permitindo a antecipação do que poderia vir a ser uma exploração real de vulnerabilidades na infraestrutura, além dos ajustes necessários para uma proteção mais eficiente.

É recomendável, sempre que possível, a realização periódica destes tipos de testes, bem como a revisão dos procedimentos previstos para os casos de incidentes de segurança, a atualização de conhecimento das equipes sobre os diversos tipos de ataques, além  do constante treinamento e aperfeiçoamento de técnicas e ferramentas disponíveis, buscando sempre a elevação dos níveis de segurança no ambiente corporativo.

Anúncios

Falhas de segurança encontradas na versão 1.18 do VeraCrypt

System

Uma auditoria realizada pela Quarkslab, empresa francesa de segurança cibernética, descobriu falhas críticas de segurança no software de código aberto VeraCrypt, utilizado para a encriptação de discos ou a criação de compartimentos criptografados nestes.

O trabalho foi realizado sob encomenda do Open Source Technology Improvement Fund, e possibilitou que fossem encontradas oito vulnerabilidades críticas, três de risco médio, além de quinze outras de baixo impacto.

Algumas destas falhas já foram corrigidas e liberadas junto à versão 1.19 do VeraCrypt, portanto se você utiliza versões anteriores a esta é recomendável que realize a atualização do aplicativo. Outras permanecem em aberto devido a complexidade envolvida na correção, e que poderiam causar problemas de retrocompatibilidade.

Uma das mudanças mais significativas, foi a remoção do padrão russo de criptografia GOST 28147-89, que foi considerado inseguro pelos especialistas. Usuários que utilizaram anteriormente este padrão ainda serão capazes de acessar e manipular compartimentos ou discos, porém a criação de novos não estrá mais disponível.

Outras correções foram aplicadas ao gerenciador de inicialização, voltadas a computadores e sistemas operacionais com recursos UEFI, e corrigem falhas encontradas. As bibliotecas XZip e XUnzip também continham falhas e foram substituídas pela mais moderna e segura libzip.

Para acessar o relatório técnico da auditoria, em formato PDF, basta clicar neste link. Para ver o anúncio oficial por parte da OSTIF clique aqui.

Correções disponíveis para as recentes falhas do Bash

HTML code

Já estão disponíveis as correções para as falhas conhecidas pela denominação de Shellshock, que afetam diversas versões do interpretador de comandos Bash, e que receberam bastante atenção da mídia mundial nas últimas semanas, por permitirem ataques aos sistemas operacionais Unix, GNU/Linux e Mac OS.

Desde a descoberta da falha original no dia 24 de setembro (CVE – 2014 – 6271), outras cinco falhas relacionadas foram divulgadas ( CVE – 2014 – 7169, CVE – 2014 – 7186, CVE – 2014 – 7187, CVE – 2014 – 6277 e CVE – 2014 – 6278), e os esforços para a correção destas foram incessantes por parte de desenvolvedores e pesquisadores.

Graças ao trabalho destes voluntários, e a possibilidade de acesso ao código fonte do Bash pelos mesmos, já que este é um software livre, regido pela licença GNU GPL versão 3, foi possível o desenvolvimento de soluções que corrigissem as falhas encontradas de forma razoavelmente rápida.

Claro que não antes de várias ferramentas terem sido desenvolvidas para identificar sistemas que contemplassem essas vulnerabilidades, e tentassem explorá-las de alguma forma, buscando comprometer a integridade dos servidores e desktops que executavam estas versões.

Porém agora as correções já foram disponibilizadas para o público em geral, tanto através do site do projeto, quanto pela grande maioria das distribuições GNU/Linux, além da Apple. Portanto, se você ainda não aplicou as correções disponíveis, recomendo fortemente que utilize os mecanismos de atualização integrantes de seu sistema, e atualize-os o mais rápido possível, evitando o comprometimento da segurança.