s21box

Aquisição da Sysvalue reforça posições da Sonae IM e da S21Sec em cibersegurança

  • Aquisição da SysValue, torna as empresas detidas pela Sonae IM líderes em cibersegurança no mercado nacional e permite geração de sinergias com a S21sec

 

A Sonae Investment Management (Sonae IM) anuncia que concluiu a aquisição da SysValue, empresa que disponibiliza serviços de Auditoria e Peritagem, Consultoria, Formação e I&D em segurança da informação e com uma significativa presença nos sectores de telecomunicações, serviços financeiros, energia e sector público.

Esta aquisição, após a entrada no capital da S21sec em Setembro de 2014, constitui mais uma importante etapa na estratégia de liderança no mercado de cibersegurança e na sua expansão internacional. Esta operação torna as empresas detidas pela Sonae IM líderes de mercado em Portugal.

“Estamos muito satisfeitos com esta operação que se traduz num fortalecimento do nosso portfolio de cibersegurança, onde acreditamos há oportunidades para um operador focado que beneficie de escala. A SysValue representa um importante ativo para a Sonae IM não apenas em Portugal, mas também a nível europeu. A Sonae IM continuará atenta a oportunidades de crescimento, quer por via orgânica, quer através de aquisições”

, afirma Carlos Alberto Silva, Administrador da Sonae IM a propósito desta aquisição.

 

Para João Barreto, fundador e presidente do Conselho de Administração da SysValue,

“passar a fazer parte da estratégia de cibersegurança da Sonae IM é o resultado de 14 anos de dedicação à segurança da informação. Podermos trabalhar com a S21sec representa também uma oportunidade de aumentar a nossa capacidade de resposta em serviços de cibersegurança ainda com maior expertise e sofisticação. O aumento da nossa oferta, a capacidade de disponibilizar ao mercado novos serviços resultantes da atividade de I&D da SysValue bem como a nossa própria internacionalização são alguns dos benefícios imediatos desta operação”.

 

A integração da SysValue na Sonae IM irá permitir gerar ganhos de sinergias significativos, não apenas na concentração de estruturas de back-office e alinhamento de estratégias de abordagens ao mercado, mas também em termos de conhecimento e I&D.

 

Para Pedro Leite, Vice-Presidente para Portugal da S21sec,

“com a aquisição da SysValue, claramente reforçamos a nossa posição no mercado português, através de uma equipa de profissionais altamente experiente e especializada em cibersegurança. Como líderes de mercado queremos contribuir para o desenvolvimento do sector da cibersegurança no País e acreditamos ter as melhores equipas para o fazer”.

 

A Sonae IM reforça, com esta operação, a sua capacidade de intervenção junto das instituições governamentais nacionais e da UE, de modo a fortalecer a robustez e a capacidade de resposta europeia a incidentes de cibersegurança. Através da S21Ssec, a Sonae IM ocupa a presidência do ECSG (European Cybersecurity Group). Que representa a aliança dos cinco maiores grupos de cibersegurança europeus.

 

 

Sobre a Sonae IM

A Sonae IM é uma empresa multinacional de tecnologia, que tem um objetivo claro de desenvolver e gerir um portfolio de empresas inovadoras. A Sonae IM investe em empresas de base tecnológica focadas nos negócios de telecomunicações e retalho. Atualmente presente em 13 países, a Sonae IM é líder em alguns mercados relevantes, tendo no seu portfolio empresas consideradas referências mundiais.

Para mais informações, visite http://www.sonaeim.com/.

 

Sobre a SysValue

A SysValue há 14 anos que disponibiliza soluções de cibersegurança no mercado nacional, desenvolvendo serviços de Auditoria e Peritagem, Consultoria, Integração, Formação e Operações de Segurança, num registo altamente especializado, através de técnicos com formação específica e dedicação exclusiva. Em 2015, a SysValue atingiu vendas de 2 milhões de euros em Portugal.

Para mais informação, visite www.sysvalue.com

 

Sobre a S21Sec

A S21sec, uma companhia especializada em cibersegurança e líder neste setor, foi fundada no ano 2000 e conta com mais de 200 especialistas certificados. A investigação e desenvolvimento tem sido sempre uma prioridade na estratégia da S21sec, desde a sua criação. Este contexto conduziu à criação do primeiro centro de investigação, desenvolvimento e inovação especializado na área de cibersegurança a nível europeu. A S21sec trabalha com cerca de 90% entidades financeiras e com 26 grandes empresas cotadas no IBEX 35. Com escritórios em Espanha, Portugal, UK e no México, a S21sec oferece soluções completas de cibersegurança em todo o mundo, durante 24 horas por dias. Em 2015, a S21sec registou vendas de 13 milhões de euros. Para mais informações consulte www.s21sec.com.

logo-s21sec

sysblog

Autenticação multi-factor para o dia a dia

Cada vez é mais a informação localizada em sistemas fora do nosso controlo direto. Lojas online, serviços de correio eletrónico, redes sociais, plataformas de gaming e serviços de homebanking são apenas alguns exemplos em que a nossa informação está protegida apenas por um nome de utilizador e uma password. Este artigo refere de que modo podemos implementar uma camada adicional de segurança – a autenticação multifator – no processo de login de modo a proteger melhor a nossa informação, sem custos acrescidos.

A autenticação multifator baseia-se na premissa de que quanto mais mecanismos de autenticação forem utilizados mais fielmente conseguiremos identificar um determinado sujeito e, deste modo, assegurar que os serviços prestados são-no ao sujeito correto e apenas a este. Existem 3 mecanismos que podem ser utilizados para autenticar um sujeito:

  • Algo que este tem – um objeto na posse do sujeito, como um cartão;
  • Algo que este sabe – informação na posse do sujeito, como um PIN ou uma password;
  • Algo que este é – uma característica intrínseca do sujeito, como uma impressão digital ou a sua retina.

Por exemplo, em Portugal, um dos meios de pagamento e transações mais utilizados e de forma totalmente ubíqua é o cartão multibanco que utiliza autenticação multifator com algo que temos – o cartão – e algo que sabemos – o PIN. Sem um ou o outro não será possível realizar transações na rede o que traz uma camada de segurança e confiança adicional a todo o sistema. Embora exista uma perceção de maior fiabilidade pela utilização de sistemas biométricos (p.ex.: leitura de impressão digital ou de retina) estes por si só não asseguram autenticação multifator porque apenas validam um fator – aquilo que somos. Teriam que estar associados a outro mecanismo (p.ex.: um PIN ou cartão) para assegurar a componente multifator.

Em resumo, quanto mais fatores forem utilizados mais garantias existem sobre a identidade do sujeito. Deste modo a autenticação multifator também pode – e deve – ser implementada pelos utilizadores para protegerem o acesso aos seus dados na Internet, seja numa utilização doméstica ou empresarial.

Várias entidades na Internet disponibilizam já autenticação multifator através de um código gerado por uma aplicação num smartphone ou através de um SMS enviado para o telefone. Existem várias aplicações disponíveis para diversas plataformas nas stores correspondentes – iTunes, Google Play ou Microsoft Store, para citar alguns exemplos. Entre as mais usadas contam-se o Google Authenticator, o Authy ou o Azure Authenticator. A utilização destas aplicações e mesmo a receção de SMS habitualmente não acarretam custos para o utilizador, o que na prática significa um aumento da segurança das contas apenas com o custo de mais uns segundos no processo de autenticação.

Alguns exemplos com sites mais conhecidos:

  • Amazon –  a retalhista disponibiliza esta possibilidade mas é necessário ativá-la em Amazon.com ficando depois disponível no acesso aos vários sites regionais (Amazon.co.uk, Amazon.es, etc.). Procure a opção em Your Account -> Settings -> Change Account Settings -> Advanced Security Settings.
  • Apple – A marca da maçã tem vindo a disponibilizar, a partir deste Outono, uma camada adicional de segurança para o ID Apple com um código apresentado automaticamente num dispositivo fidedigno com o iOS 9 ou o OS X El Capitan ou enviado por SMS para um número de telefone em que confia.
  • DropBox – O site de armazenamento de ficheiros permite configurar a autenticação de dois fatores acedendo ao perfil e habilitando essa funcionalidade.
  • Evernote – O conhecido serviço de anotações também disponibiliza autenticação de dois fatores através da utilização de app. Basta configurar as opções de login na secção de segurança.
  • Facebook – A rede social permite o acesso ao site com códigos gerados através da própria app (instalada num smartphone), outra app das já indicadas ou através da receção de SMS. Basta ir à secção Aprovação de acesso nas Definições de Segurança e configurar de acordo com as opções.
  • Google – Basta ativar a Verificação em dois passos acedendo às configurações de segurança e seleccionar como principal forma de receção de códigos a opção Google Authenticator ou outra das disponíveis, como a utilização de SMS. Desta forma é possível proteger o acesso a todos os serviços e informação que dependem de um login no Google como o correio eletrónico, o acesso às fotos no Picasa ou aos ficheiros armazenados via Google Drive.
  • LastPass – O popular gestor de passwords permite reforçar a segurança no acesso às configurações, contas e passwords no seu “cofre” na nuvem através de vários mecanismos. Basta aceder a Definições de conta -> Opções multifator e selecionar e configurar a opção desejada entre as várias disponibilizadas. Utilizadores do serviço gratuito podem escolher entre a utilização de uma app de geração de códigos, a impressão de uma matriz de números ou o envio de mensagens para o telemóvel, de acordo com outros serviços que já utilizem. Para os utilizadores do serviço Premium existem outras opções, incluindo a utilização de biometria.
  • LinkedIn –  a rede social orientada aos profissionais permite aos seus utilizadores a possibilidade de receber um SMS sempre que faça um login. Esta opção é acedida através da opção Configurações e privacidade -> Conta -> Gerenciar configurações de segurança.
  • Microsoft – A proteção adicional de uma conta associada a serviços fornecidos pela Microsoft é tão importante como uma conta associada a serviços do Google pela diversidade de informação e serviços a que se tem acesso, tais como correio eletrónico, Xbox Live, Office 365 entre outros. Para contas Microsoft Live é possível configurar a autenticação multifator acedendo às Definições de Segurança e configurando o modo desejado na seção Verificação em dois passos. No caso de utilização dos serviços empresariais solicite ao seu Administrador de sistemas a ativação da autenticação multifator para acesso à informação e serviços na nuvem.
  • Paypal – O bem conhecido site de gestão de pagamentos online também já disponibiliza aos seus utilizadores realizarem login com um segundo nível de segurança por SMS. Para ativar esta possibilidade basta aceder a Perfil – As minhas definições -> Chave de segurança.
  • Twitter – A rede social de micromensagens também adotou a autenticação multifator por SMS. Para proceder à sua ativação é necessário ativar a opção de verificação de pedidos de acesso através de Configurações -> Segurança e Privacidade.
  • Zoho – o sistema de correio eletrónico também permite a autenticação multifator sendo, desta lista, o único que sugere automaticamente a sua adoção. De qualquer modo basta aceder a Minha conta -> Autenticação de duas camadas. Depois basta selecionar de que modo se processará o multifator – usando uma app ou através de SMS.

A autenticação multifator também se aplica nos casos em que o login num site ou serviço está integrado com um já existente. Por exemplo sites como o Coursera ou o EDX, ambos plataformas de cursos online, permitem autenticação com contas do Facebook ou do Google. Se a opção de autenticação multifator estiver já ativada também se aplicará ao fazer login nestas plataformas.

Nos serviços prestados em Portugal a autenticação multifator ainda não é algo comum na utilização de serviços via Internet, mas temos esperança que isto mude. Alguns serviços da Administração Pública, como o acesso ao Portal das Finanças, já permitem a utilização do Cartão do Cidadão + PIN, mas nem sempre é possível dispor de leitores de cartões ao passo que na banca online é comum a utilização de um segundo mecanismo de autenticação (SMS ou cartão matriz), mas apenas na realização de operações e não como mecanismo de proteção no login ao serviço.

Enquanto não se torna a norma aqui fica uma listagem de serviços na Internet que suportam autenticação com dois fatores, entre os quais estão alguns já bem conhecidos. Esta listagem contempla serviços de backup na nuvem, banca online, moeda virtual, jogos e correio eletrónico entre outras categorias.

Autor: Jorge Pinto @ SysValue

sysblog

Regulamento (europeu) geral de Proteção de Dados

Caso 2015 seja o ano em que finalmente a Comissão Europeia aprove e implemente o Regulamento Geral de Proteção de Dados, muita coisa mudará no modo como as organizações processarão dados pessoais de cidadãos. E, considerando a gravidade dos incumprimentos, fortes imposições comportamentais serão também colocadas sobre os seus colaboradores.

Não se tratando de uma Diretiva (que teria de ser transposta para os vários países), este Regulamento será imediatamente aplicável em todos os Estados Membros sem necessidade de transposição. Entre outros aspetos gerais de natureza política (harmonização entre todos os países, aplicação extra-territorial, existência de um único regulador e aproximação da legislação aos desenvolvimentos tecnológicos mais recentes), as implicações mais principais e pragmáticas para as organizações são as seguintes:

Com o novo regulamento as organizações que processem dados sensíveis, ou dados de mais de 5000 titulares, passarão a ser obrigadas a ter um Data Protection Officer.

 

Consentimento – o consentimento dado pelos cidadãos ao tratamento dos seus dados terá de ser livre, específico, informado e expresso, tendo o responsável pelo tratamento (a organização) o ónus da prova da atribuição de tal autorização. Adicionalmente, a cláusula do consentimento não poderá mais estar “discretamente” incluída no meio do restante clausulado dos contratos, sendo obrigatório o seu destaque.

 

Direito ao esquecimento (right to erasure) – Em circunstâncias particulares, os cidadãos têm o direito de obter dos responsáveis pelo tratamento a eliminação dos dados pessoais, a abstenção de posterior tratamento e ainda obterem de terceiros a eliminação de todas as cópias e links para os seus dados.

 

Notificação de violações – um dos aspetos mais severos, dado o potencial de mediatização e impacto público, deste regulamento é a obrigação que as organizações responsáveis pelo tratamento dos dados passam a ter de notificar – em 72 horas no máximo – o regulador responsável sobre violações de privacidade. Tal ganha efetiva relevância dado ser obrigação do regulador manter um registo público do tipo de violações notificadas. Adicionalmente, deverão ainda notificar os titulares dos dados comprometidos, através de uma linguagem clara e simples, apresentando uma explicação completa da ocorrência bem como todos os direitos que os titulares têm, incluindo o direito a receberem uma compensação.

 

Data Protection Officer – muitas organizações, nomeadamente a administração pública e entidades que processem dados sensíveis ou dados de mais de 5000 titulares, passarão a ser obrigadas a ter um Data Protection Officer. Este quadro especializado terá como missão vigiar o cumprimento do regulamento, trabalhar com os representantes dos trabalhadores, notificar as violações de dados verificadas e realizar auditorias regulares. Um aspeto altamente relevante é que será um trabalhador protegido a operar em relativa autonomia inclusivamente com relação à cúpula decisora da organização.

 

Sanções por incumprimento – a cereja no topo do bolo são as coimas relativas às violações que poderão ascender ao valor maior entre 5% do volume de negócios anual da organização ou 100 milhões de euros. Os critérios a serem usados para definir o valor concreto da coima incluirão os controlos técnicos e administrativos em vigor e ainda o due care verificado na organização que visem a proteção da informação. Entre outros aspetos validar-se-á a segurança efetiva colocada no tratamento dos dados, a realização de análises de impacto à proteção dos dados aquando da operacionalização de novos sistemas e processos, a realização de auditorias regulares e ainda a nomeação do supra-mencionado Data Protection Officer.
É caso para dizer que dias complicados antecipam-se para as organizações menos preocupadas com a privacidade dos seus clientes, trabalhadores e outros cidadãos cuja informação pessoal e sensível seja por elas processada.

sysblog

2014, o ano que mudou a forma como encaramos o tema da privacidade dos dados?

Parte I


 

2014, o ano que mudou a forma como encaramos o tema da privacidade dos dados?

por Artur D’Assumpção (adassumpcao@sysvalue.com), 17 de Dezembro de 2014

O ano de 2014 será certamente recordado como um dos mais difíceis até à data no que diz respeito à segurança da informação e quebra de privacidade.

Este foi um ano complicado, de onde se destacam diversas falhas de segurança gravíssimas (possivelmente das mais severas registadas até à data) com enorme impacto na segurança das organizações em geral, que obrigou a uma resposta global e urgente às falhas identificadas, sem exceção. – http://www.incapsula.com/blog/2014-mega-vulnerabilities.html

Com igual destaque, verificou-se também um anormal número de ataques a organizações de elevado perfil, que viram roubados e publicados na Internet milhões de registos de dados pessoais, informação de negócio confidencial/sensível e até mesmo propriedade intelectual, resultando em elevados prejuízos financeiros e reputacionais, não só para as organizações em causa, mas também para os seus clientes. – http://www.zdnet.com/pictures/2014-in-security-the-biggest-hacks-leaks-and-data-breaches/

Por fim, testemunhou-se ainda uma exposição mediática ímpar acerca destes casos, que foi certamente uma agravante para os impactos que se viriam a registar.

As estatísticas são alarmantes…

Segundo o Data Breach Report (Dezembro de 2014) publicado pelo Identity Theft Resource Center (http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf), 2014 foi um ano que viu agravado de forma significativa, tanto o número de quebras de segurança que levaram à perda de privacidade de informação de natureza pessoal (PI), bem como o volume de registos perdidos para estes ataques. *Este estudo apenas contempla o universo de organizações que comunicam estes dados ao ITRC.  foto1

Embora se tenha observado um acréscimo preocupante de quebras de segurança e perda de informação em todas as categorias analisadas, é a categoria de Business que mais sofreu, com um total de 64,7 milhões de registos perdidos, perfazendo 79% do total de registos perdidos durante 2014.

Na tabela abaixo é possível verificar qual foi a média de registos perdidos por cada quebra de segurança registada:

foto2

É de salientar que o volume elevado de registos perdidos pelas organizações da categoria Business e Government/Military, por cada quebra de segurança registada, são nomeadamente 10x e 3x superiores às restantes categorias. Estes valores revelam que um ataque a estas organizações resulta geralmente num maior impacto.

Destaca-se ainda o aumento significativo (42%) de ataques a organizações da categoria Medical/Healthcare com um impacto preocupante no que toca à divulgação de dados pessoais sensíveis de natureza médica (PHI – Personal Health Information). Prevê-se que estes casos se agravem em 2015. – http://www.modernhealthcare.com/article/20141201/BLOG/312019996/coming-in-2015-even-more-healthcare-data-breaches

Enquanto o estudo do ITRC apenas abrange as quebras de segurança que resultaram concretamente na perda de informação de natureza pessoal (PI), já o Breach Level Index (http://www.breachlevelindex.com/) registou só no 3º Trimestre de 2014 um volume de quebras de segurança record, tendo sido perdidos ou roubados cerca de 183 milhões de registos de natureza diversa (ex.: dados pessoais, informação pessoal/empresarial, dados privados/confidenciais, propriedade intelectual, dados financeiros/bancários, contas de serviço, etc.). – http://www.breachlevelindex.com/img/Breach-Level-Index-Infographic-Q32014.jpg

É curioso verificar que, segundo o relatório produzido pelo Breach Level Index para o 3º Trimestre, apenas 1% dos casos registados afirmaram usar mecanismos de confidencialidade/cifra forte dos dados armazenados e/ou sistemas de gestão de chaves privadas e autenticação forte. Nestes casos as “quebras de segurança” registadas resultaram na perda de dados inúteis para os atacantes. – http://www.breachlevelindex.com/pdf/Breach-Level-Index-Report-Q32014.pdf

Será a estratégia atual a mais adequada? O que se pode esperar no futuro…

O alarmante número de incidentes de quebra de segurança e consequente perda de privacidade da informação, bem como a perspetiva futura de agravamento deste cenário, tem colocado em discussão se a estratégia atual será a mais adequada.

Algumas previsões para 2015:

Até à data a estratégia de segurança da informação adotada pelas organizações tem-se centrado na segurança perimetral (e rede). Esta abordagem foca-se na implementação de meios e processos que dificultem os ataques à infraestrutura que se encontra exposta ao público, numa tentativa de os conter à entrada, e evitar que estes se propaguem aos sistemas internos (mais críticos), conduzindo assim à perda de informação. No entanto, uma vez comprometida esta primeira linha de defesa, a realidade é que são poucas as medidas implementadas que evitem este desfecho.

As estatísticas mostram que definitivamente a estratégia não está a resultar.

Por este motivo, a discussão atual prende-se com o facto de que na realidade as quebras de segurança são inevitáveis e que embora a segurança perimetral continue a ser decisiva na proteção da infraestrutura e ativos da organização, os esforços devem reposicionar-se na proteção da própria informação.

“Move from breach avoidance to breach acceptance”

Esta abordagem permite reconcentrar os esforços na proteção da informação, investindo em mecanismos de segurança e adotando best-practices que assegurem a sua privacidade e confidencialidade, mesmo considerando o pior cenário em que o seu acesso seja totalmente comprometido. – http://www.rsaconference.com/writable/presentations/file_upload/spo-w10-evolving-from-breach-prevention-to-breach-acceptance-to-securing-the-breach.pdf

Embora não exista uma solução ideal, parte da futura estratégia de uma organização para proteção da informação passará certamente pela implementação de 3 iniciativas fundamentais:

  1. Cifrar toda a informação sensível, esteja esta armazenada de forma fixa ou em trânsito (dispositivos móveis);
  2. Armazenar e gerir de forma segura as chaves criptográficas;
  3. Implementar mecanismos fortes de autenticação de utilizadores e controlo de acesso à informação;

foto3

Ao promover estas iniciativas na infraestrutura IT, uma organização estará efetivamente a preparar-se para uma eventual quebra de segurança, ao mesmo tempo evitando que se torne vítima desta, salvaguardando preventivamente a segurança dos dados. – http://www2.safenet-inc.com/securethebreach/downloads/secure_the_breach_manifesto.pdf

Parte II


 

As vulnerabilidades que marcaram 2014

De entre as várias vulnerabilidades que assolaram 2014, há 4 que merecem especial destaque, tanto pela sua severidade, universo de sistemas afetados, risco e impacto, são elas: – Heartbleed, Shellshock, POODLE e BadUSB. – http://www.incapsula.com/blog/2014-mega-vulnerabilities.html

Heartbleed

foto4

O Heartbleed (http://heartbleed.com/) foi sem dúvida a mais grave vulnerabilidade de 2014. Esta consiste numa vulnerabilidade descoberta na famosa biblioteca criptográfica OpenSSL (https://www.openssl.org/), permitindo a obtenção de dados protegidos residentes em memória (ex.: credenciais de acesso, chaves privadas e certificados, etc.) durante o processo normal de funcionamento do protocolo SSL/TLS.

– O protocolo SSL/TLS consiste numa camada de segurança adicional que permite dotar as comunicações de dados de segurança e privacidade, recorrendo para tal a mecanismos criptográficos.

Esta vulnerabilidade expõe, entre outros dados, credenciais de autenticação e certificados digitais, comprometendo toda a segurança no acesso (autenticação e confidencialidade) a serviços e sistemas. – Detalhes técnicos da vulnerabilidade em http://www.theregister.co.uk/2014/04/09/heartbleed_explained/)

foto5

A gravidade desta vulnerabilidade prende-se com a facilidade de exploração e com o facto de que a implementação do protocolo SSL/TLS pela biblioteca OpenSSL, ser a mais adotada de entre os variados protocolos seguros existentes hoje em dia na Internet. Alguns protocolos populares afetados são: – HTTPS, Wi-Fi 802.11, VPN SSL e muitos outros que recorram a esta implementação.

Muitos gigantes da Internet foram um alvo em massa da exploração desta vulnerabilidade, afetando e comprometendo milhões de acessos por todo o mundo.

foto6

Embora muita da atenção se tenha focado nas grandes organizações, é com um elevado grau de certeza que se pode afirmar que foram poucas as organizações a escapar a esta vulnerabilidade, bem como ao seu impacto. – http://securityaffairs.co/wordpress/23878/intelligence/statistics-impact-heartbleed.html

Shellshock

foto7

O Shellschock é uma vulnerabilidade que permite explorar uma falha de validação (parsing) de argumentos na aplicação BASH (processador de comandos/command shell http://en.wikipedia.org/wiki/Bash_(Unix_shell)) presente nos sistemas operativos Unix, Linux e OS X.  Esta vulnerabilidade permite a manipulação de variáveis de ambiente e execução de comandos arbitrários no sistema. – Detalhes técnicos da vulnerabilidade em http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

Sendo a BASH uma componente subjacente a grande parte das aplicações que correm no sistema operativo, por intermédio destas torna-se possível a injeção de comandos arbitrários e a sua consequente execução no sistema pela BASH. Um exemplo prático da gravidade desta vulnerabilidade é o facto de ser possível explorá-la através do Apache (o servidor HTTP mais popular na internet), permitindo a execução remota de comandos arbitrários no sistema. Existem muitos outros exemplos, como por exemplo aplicações Web.

O Shellshock é uma vulnerabilidade cuja severidade e impacto se equipara ao Heartbleed, sendo que em certas situações pode até ser considerada mais gravosa, já que não requer nenhum tipo de autenticação para ser explorada e permite a execução remota de comandos arbitrários (o que não acontece com Heartbleed) – http://www.darkreading.com/shellshock-bash-bug-impacts-basically-everything-exploits-appear-in-wild/d/d-id/1316064. Uma ligeira maior complexidade na exploração da vulnerabilidade é o único fator que talvez permita ao Heartbleed manter o pódio.

POODLE

foto8

A vulnerabilidade POODLE tira partido das versões atuais do protocolo SSL/TLS manterem a retro compatibilidade com a versão 3 do SSL. Esta versão legacy, já com cerca de 18 anos de existência, é conhecida pelas falhas criptográficas existentes que permitem atacar a cifra e violar a confidencialidade dos dados. – http://arstechnica.com/security/2014/10/ssl-broken-again-in-poodle-attack/

Através da manipulação da negociação do protocolo SSL/TLS implementada em alguns web browsers é possível, com um ataque do tipo man-in-the-middle (http://en.wikipedia.org/wiki/Man-in-the-middle_attack), forçar o uso da versão 3 do protocolo, expondo a segurança da comunicação à já conhecida fragilidade da cifra. Atacando a cifra nas comunicações HTTPS, torna-se assim possível o acesso em claro a Cookies “seguros” ou outros tokens de autenticação, permitindo o ataque de roubo de sessão/session hijack a aplicações web. – Detalhes técnicos da vulnerabilidade https://www.openssl.org/~bodo/ssl-poodle.pdf

Esta vulnerabilidade não é tão grave (quando comparada ao Heartbleed e Shellshock) devido a um vetor de ataque que requer uma maior complexidade por parte do atacante, bem como ao facto do universo de browsers/servidores web vulneráveis ser menor. No entanto, para aqueles vulneráveis o impacto de um ataque pode ser bastante elevado.

BadUSB

O BadUSB representa uma recente família de ataques com potencial devastador para a segurança da informação. Esta baseia-se numa falha descoberta na arquitetura do hardware dos dispositivos USB e que afeta todos os dispositivos fabricados até á data, sem exceção. – http://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/

Esta vulnerabilidade explora uma fragilidade na arquitetura do hardware USB que permite reprogramar o micro-controlador USB. É assim possível injetar código malicioso no firmware e transformar qualquer dispositivo USB num dispositivo malicioso, que é infetado e infecta o sistema das vítimas de forma totalmente encoberta. – https://srlabs.de/badusb/ e https://srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf

A gravidade desta vulnerabilidade prende-se com a exploração de um novo vetor de ataque e infeção extremamente simples e eficaz, o seu potencial devastador, a quantidade de dispositivos vulneráveis existentes que podem ser alvo e portadores do código malicioso, e pelo simples facto de não haver qualquer solução à data para o problema.

Os ataques que marcaram 2014

Como referido, o ano de 2014 foi realmente ímpar no que diz respeito à quantidade de organizações de elevado perfil que foram alvo de ataques com um impacto sem precedentes, tendo milhões de dados pessoais/privados entre outras informações confidenciais sido perdidos ou roubados. – http://breachlevelindex.com/.

foto9

http://www.breachlevelindex.com/img/Breach-Level-Index-Infographic-Q32014.jpg

Embora  não seja possível elencar neste artigo todos os casos mais graves (são mesmo muitos), escolhemos alguns que, devido à dimensão/impacto do ataque, o perfil da entidade/organização atacada e ao elevado volume e natureza dos dados perdidos merecem especial destaque.

Mais informações de outros ataques mediáticos em:

Sony Pictures Entertainment (Novembro/Dezembro 2014)

A Sony Pictures Entertainment representa o mais recente ataque a uma organização de alto perfil que ainda está a chocar a comunidade e a gerar muita controvérsia. – http://www.huffingtonpost.com/creditsesamecom/why-the-sony-hack-could-be-a-game-changer_b_6335082.html

A totalidade dos contornos ainda está por apurar, mas todos os dias conhecem-se novos factos e já é possível prever um impacto financeiro e reputacional sem precedentes.

Do que se sabe a respeito do ataque (http://www.independent.co.uk/arts-entertainment/films/news/sony-hack-timeline-whats-happened–and-who-has-it-affected-so-far-9931385.html), o nível de intrusão é tão grave que consegue colocar a organização numa situação bastante complicada.

Segundo o FBI, o Malware usado para invadir a rede da Sony é tão sofisticado que não seria detetado por 90% das soluções anti-malware no mercado. – http://variety.com/2014/biz/news/fbi-official-malware-in-sony-attack-would-have-gotten-past-90-of-cybersecurity-defenses-1201376529/

Os prejuízos conhecidos até à data vão desde:

  • Mais de 100TB de informação interna, confidencial e sensível roubada, e que tem vindo a ser publicada aos poucos na Internet;
  • Publicados filmes e guiões de filmes que ainda não foram lançados no mercado;
  • Publicados e-mails que comprometem altos funcionários da Sony nas relações com colaboradores, atores e mesmo representantes do governo dos EUA (ex: Barack Obama);
  • Mais de 32 mil emails do CEO da Sony com dados confidenciais foram publicados (ex.: registos financeiros, receitas, estratégias de negócio, etc.)
  • Informação pessoal e confidencial dos colaboradores revelada (ex: salários, contratos, identificação pessoal, registos médicos, etc.);
  • Ameaças aos colaboradores e à família (revelar informação comprometedora).
  • Milhares de acessos e passwords publicados
  • Comprometidos Certificados Digitais da SONY que já permitiram aos atacantes assinar digitalmente Malware que é identificado pela Microsoft, como sendo de confiança.
  • E mais…

Este caso e novos desenvolvimentos podem ser acompanhados aqui:

http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/

 

JPMorgan Chase (Agosto 2014)

O ataque ao JPMorgan Chase fica para história como um dos maiores ataques a uma instituição bancária, onde mais de 83 milhões de contas pessoais/negócio (banca online), e informação pessoal foram roubados, e ainda hoje se sentem as repercussões. http://dealbook.nytimes.com/2014/10/02/jpmorgan-discovers-further-cyber-security-issues/?_php=true&_type=blogs&_r=1

 

Ebay (Maio de 2014)

O ataque à infraestrutura do Ebay foi o maior que esta registou até à data, comprometendo bases de dados e conduzindo à perda de mais de 145 milhões de contas de utilizador e respetivos dados pessoais, informação tal que expõe os utilizadores a potenciais situações de fraude e roubo de identidade.

Segundo as análises forenses o ataque inicial partiu do comprometimento das contas de 3 funcionários do Ebay. A partir destes acessos foi possível posteriormente comprometer as bases de dados principais de utilizadores que continham toda a informação armazenada em claro (não cifrada). – http://www.reuters.com/article/2014/05/23/us-ebay-cybercrime-idUSBREA4M0PH20140523

iCloud (Agosto 2014)

O ataque ao iCloud é um exemplo prático de um ataque com uma expressão bastante reduzida (apenas umas centenas de utilizadores do serviço foram afetados) e que obteve uma grande cobertura mediática a nível mundial devido aos perfil público dos utilizadores lesados, causando danos reputacionais elevados à Apple, em particular ao serviço iCloud.

Este ataque ficou conhecido por “Celebrity Nude Hack” e afetou várias personalidades da vida publica norte americana (na sua maioria atrizes de Hollywood e vários artistas da indústria musical) que viram as suas vidas privadas expostas com a publicação de várias fotografias íntimas. – http://www.theverge.com/2014/9/1/6092089/nude-celebrity-hack

Suspeita-se que este ataque foi possível através de uma vulnerabilidade do iCloud (Find My iPhone App) que permitiu um ataque de brute-force (http://en.wikipedia.org/wiki/Brute-force_attack) ao serviço do iCloud. Esta vulnerabilidade associada ao uso de passwords fracas por parte dos utilizadores, permitiu o acesso a backups integrais do iPhone e à recuperação de fotografias íntimas que até já teriam sido apagadas dos iPhones dos próprios autores, e que apenas se encontravam armazenadas no iCloud. – http://time.com/3247717/jennifer-lawrence-hacked-icloud-leaked/

 

Target e Home Depot (Início de 2014 e Setembro de 2014)

Os ataques aos gigantes do retalho Target e Home Depot representam dos maiores até à data a empresas do sector do retalho, conduzindo à perda em massa, respetivamente, de 40 e 56 milhões de dados de cartões de crédito. Entre estes encontram-se também os dados pessoais dos seus donos – http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data e http://www.businessweek.com/articles/2014-09-18/home-depot-hacked-wide-open

 

Autor: Artur D’Assumpção @ SysValue

sysblog

Windows Management Instrumentation (WMI)

O que é o WMI?

O WMI é a implementação Microsoft do Web-Based Enterprise Management (WBEM),  uma iniciativa da indústria para o desenvolvimento de uma tecnologia padrão para receber ou gerir métricas num ambiente corporativo. Recorrendo ao Information Model (CIM), padrão da indústria para a representação de sistemas, aplicações, redes, dispositivos e outros componentes, o WMI permite o uso de scripts em linguagem VBScript e Windows PowerShell para a obtenção de dados e a realização de operações em sistemas.

O WMI consegue assim fornecer aos utilizadores informações sobre o estado dos sistemas das máquinas locais ou remotos, bem como realizar ações como a definição de configurações de segurança, definição e alteração de propriedades do sistema, configuração e alteração de permissões para utilizadores e grupos de segurança.

Arquitetura do WMI

O WMI fornece uma interface uniforme a todas as aplicações locais e remotas para a obtenção e gestão de métricas de um computador ou de uma rede. Este interface permite que as aplicações cliente do WMI e scripts não necessitem de ligar-se a uma variedade de interfaces de programação do sistema operativo (APIs).

O diagrama seguinte mostra a relação entre a infra-estrutura WMI e os fornecedores WMI e objetos de gestão, e também mostra a relação entre a infra-estrutura WMI e os consumidores do WMI.

wmi

Como se pode usar o WMI?

Por norma, muitas aplicações de monitorização de serviços exigem a criação na AD de um utilizador com privilégios de administração para a realização das suas funções. Porém, tal configura um enorme risco para a segurança do sistema em todos os vectores (confidencialidade, integridade e disponibilidade).

Os próximos passos demostram como é que possível a criação de um utilizador sem privilégios de administração e a ativação do WMI nas máquinas pretendidas.

O exemplo usado assume que o sistema operativo é Windows Server 2012 R2.

Pré-requisitos

  • Todos os procedimentos que se seguem necessitam de ser executadas com privilégios de administração nos sistemas operativos das máquinas envolvidas;
  • Poderá ser necessária a alteração de políticas de firewalling em equipamentos ativos de rede onde vigorem políticas ativas de restrição de tráfego (ver secção 3).

Procedimentos

Todos os procedimentos descritos nas secções seguintes deverão ser efetuados em todos os dispositivos onde se deseja autorizar a execução de WMI queries remotamente.

Na existência de um domain controller e na necessidade de autorizar a execução de WMI queries para qualquer entidade pertencente a um determinado domínio, os procedimentos seguintes deverão ser efetuados apenas no domain controller, à exceção da secção 5.1 que deverá, neste caso, ser ignorada.

  1. Services

Confirmar se os serviços associados DCOM e WMI estão a iniciar automaticamente (Automatic).

Esta validação deverá ser feita através do seguinte caminho:

                Server Manager -> Tools -> Services

                Alterar o tipo de arranque dos serviços seguintes de Manual para Automatic:

  • DCOM Server Process Launcher
  • WMI Performance Adapter

                No caso de os serviços se encontrarem Stopped, terão que ser iniciados manualmente.

  1. Firewall Windows

Permitir na firewall do Windows o trafego para os serviços DCOM e WMI, executando as instruções seguintes na command-line:

  • Clique em Start, clique em Run, digite exe e clique em OK.
  • Executar as instruções seguintes:
    • netsh advfirewall firewall set rule group=”windows management instrumentation ()” new enable=yes
  • netsh advfirewall firewall set rule group=”remote administration” new enable=yes

 

  1. Configuração de dispositivos ativos de rede

Na existência de dispositivos ativos de rede com políticas ativas de restrição de tráfego, deverão ser efetuados os procedimentos descritos numa das seguintes opções:

3.1. Atribuição dinâmica

  • Permitir trafego para DCOM port (135/tcp/udp)
  • Permitir a Range (TCP e UDP) 1025 a 5000 no caso do sistema operativo da máquina de destino ser Windows 2000, Windows XP ou Windows 2003.
  • Permitir a Range (TCP e UDP) 49152 a 65535 no caso do sistema operativo da máquina de destino ser Windows Vista ou superior.

3.2. Atribuição de porta fixa

  • Permitir trafego para DCOM port (135/tcp/udp).
  • Permitir o trafego para a porta 12345/tcp/udp.
  • Forçar uma porta (eg, 12345/tcp) para comunicações WMI em cada máquina windows:

C:\> winmgmt -standalonehost
C:\> net stop “Windows Management Instrumentation”
C:\> net start “Windows Management Instrumentation”
C:\> netsh firewall add portopening TCP 12345 WMIFixedPort

  1. Utilizador

Criar um novo utilizador com as características seguintes:

  • Aceder a Server Manger -> Tools -> Computer Management;
  • Na janela Computer Management expandir Local Users and Groups, clicar com o botão direito na pasta Users e escolher a opção New User;
  • Depois de criar o utilizador ele tem de pertencer aos seguintes grupos:
    • Distributed COM Users
    • Performace Log Users
  1. Configuração de políticas para o novo utilizador

A configuração de políticas para o novo utilizador poderá ser efetuada em três contextos distintos: apenas na Máquina Local (5.1) ou para todo o Domínio (5.2), sendo neste ultimo caso necessário efetuar as definições nos Controladores de Domínio.

5.1. Definição de políticas apenas para a Máquina Local

  • Clique em Start, clique em Run, digite msc e clique em OK.
  • Selecionar Security Settings expandir, Local Policies expandir e selecionar User Rights Assignment.
  • Associar as seguintes políticas ao utilizador criado:
    • Act as part of the operating system;
    • Log on as a batch job;
    • Log on as a service;
    • Replace a process level token.

5.2. Definição de políticas para todo o Domínio

  • Clique em Start, clique em Run, digite msc e clique em OK.
  • Selecionar Security Settings expandir, Local Policies expander e selecionar User Rights Assignment.
  • Depois é necessário acrescentar o utilizador que criamos nas seguintes políticas:
    • Act as part of the operating system;
    • Log on as a batch job;
    • Log on as a service;
    • Replace a process level token.
  1. Permissões de WMI namespaces (Root e CIMV2)

Existem dois namespaces para os quais terão de ser dadas permissões ao novo utilizador a fim de permitir pedidos WMI: Root (5.1) e CIMV2 (5.2).

6.1. Configuração de permissões para o Namespace Root

  • Clique em Start, clique em Run, digite msc e clique em OK.
  • Clique com o botão direito no WMI Control e clique na opção Properties.
  • Navegar até ao separador Security, selecionar Root e carregar no botão Security.
  • Acrescentar o utilizador que criamos e dar as seguintes permissões:
    • Execute Methods
    • Full Write (opcional)
    • Partial Write (opcional)
    • Provider Write (opcional)
    • Enable Account
    • Remote Enable
    • Read Security
    • Edit Security (opcional)

6.2. Configuração de permissões para o Namespace CIMV2

  • Clique em Start, clique em Run, digite msc e clique em OK.
  • Clique com o botão direito no WMI Control e clique na opção Properties.
  • Navegar até ao separador Security, selecionar Root, abrir a árvore, selecionar CIMV2 e carregar no botão Security.
  • Acrescentar o utilizador que criamos e dar as seguintes permissões:
    • Execute Methods
    • Full Write (opcional)
    • Partial Write (opcional)
    • Provider Write (opcional)
    • Enable Account
    • Remote Enable
    • Read Security
    • Edit Security (opcional)

  1. Permissões no DCOM

7.1. Verificar a configuração do DCOM:

  • Execute no Run o comando DCOMcnfg
  • Clique em Component Services.
  • Expandir
  • Carregar com o botão direito em My Computer e selecione Properties.
  • Certifique-se que está ativo o Enable Distributed COM no computador.
  • Clique na tab Com Security.
  • Clique no botão Edit Limits localizado abaixo do Launch and Activation Permissions.
  • Na caixa Launch Permissions certificar-se que a conta de utilizador ou grupo está na listado de Groups or user names.
  • Na caixa Launch Permissions selecione a conta de utilizador ou grupo na lista de Group or user names e selecionar Remote Launch e Remote Activation e clique OK.

7.2. Configuração do DCOM no remote access:

  • Execute no Run o comando DCOMcnfg
  • Clique em Component Services.
  • Expandir
  • Carregar com o botão direito em My Computer e selecione Properties.
  • Clique na tab Com Security.
  • Clique no botão Edit Limits, localizado abaixo de Access Permissions.
  • No Access Permissions selecionar ANONYMOUS LOGON na lista Groups or user names.
  • Na coluna Allow debaixo de Permissions for User selecionar Remote Access e clique OK.

 

Autor: Nuno Barros @ SysValue
sysblog

Pequeno-almoço Tecnológico SysValue 2.0

Após 12 anos de atividade e de crescente especialização, a SysValue entra agora numa nova etapa do seu percurso empresarial.

A desmaterialização dos processos e modelos de negócio, a transferência para a “cloud” das infraestruturas tecnológicas e o aumento da criminalidade informática organizada e do ciberterrorismo elevam a segurança da informação para o topo das preocupações dos agentes económicos. Neste contexto, a procura de serviços profissionais de segurança da informação tenderá a crescer exponencialmente.

Em resposta a este desafio a SysValue realizou um forte investimento de R&D, com o desenvolvimento de soluções que complementam a oferta de serviços profissionais e permitem a disponibilização das competências profissionais e do “know-how” especializado da equipa da SysValue de forma global e contínua.

O que temos hoje para propor aos nossos clientes?

  • SysMon: solução de “continuous monitoring” – Monitorização de disponibilidade, performance e segurança de infraestruturas, sistemas e serviços internos e externos, fundamental numa época em que o mercado é bastante crítico relativamente a serviços lentos ou a falhas;
  • SysVuln: solução de “continuous auditing” – Auditorias e testes de intrusão continuadas a infraestruturas e serviços, com reporting diferenciado para os vários stakeholders, fundamental numa época em que o mercado é bastante crítico no que toca a intrusões em sistemas e perda de informação e privacidade;
  • SysToken: solução de “continuous access control” – Autenticação forte de dois factores para sistemas heterogéneos a operar com base na cloud, fundamental numa época em que as credenciais de primeiro nível não são claramente suficientes para proteger os sistemas de negócio e de suporte;
  • SysConnStudio: solução de “continuous social engineering” – Realização continuada de ataques de engenharia social contra os colaboradores de uma organização, potenciando uma permanente monitorização da sensibilização destes relativamente a estas práticas e, simultaneamente, capacitando-os para melhor se defenderem

Estamos a falar de soluções…

  • Open Software – desenvolvidas em ambientes abertos e de “know-how” facilmente partilhável;
  • Cloud-based – eliminando custos infraestruturais e “setups” complicados;
  • Baixo Custo – são do tipo “pay-as-you-grow” e “pay-if-you-like”;
  • 24×7 – Possibilitando a execução de processos/controlos de segurança de forma continuada.

 

Neste sentido a SysValue realizou no passado dia 15 de Outubro um Pequeno-Almoço Tecnológico onde apresentou a SysValue 2.0 a alguns convidados.
Estão disponíveis a apresentações do mesmo evento aqui:

 

1. Apresentação SysValue 2.0

 

2. Factor Humano da Segurança da Informação

 

3. Monitorização de Sistemas

 

4. Caso de Estudo – SICAD – Francisco Bolas

 

5. Auditoria de Segurança 2.0

 

 

 

sysblog

Riscos para Portugal da sua total desindustrialização em tecnologias da informação e de comunicações

Os efeitos da globalização fizeram-se sentir, entre outros, na alteração dos locais de fabricação de componentes core das tecnologias de informação e comunicações (adiante TIC) do eixo americano-britânico-franco-alemão para vários países do eixo ásia-pacífico. Complementarmente, e em associação com fragilidades económicas e estruturais de Portugal, este viu-se vítima de uma total desindustrialização nestes domínios, estando totalmente dependente do fornecimento de tecnologias por empresas estrangeiras.

Tal situação, fruto da convergência neste sector de práticas de criminalidade informática organizada, cyber-intelligence, ciber-guerra e outras formas de controlo de informação por múltiplos actores, nomeadamente estados-nações com agendas próprias, gera riscos múltiplos para as demais nações, seus cidadãos, empresas e instituições.

Esta monografia pretende, de forma sumária e simplificada, ilustrar riscos e apontar vias de mitigação para Portugal, vias essas que poderão ser também consideradas por outros países em situação similar.

Um pouco de história

Alguns apontamentos sobre a indústria das TIC em Portugal

Entre o início e meados da década de 70, Portugal tinha a central electro-mecânica de comunicações de voz mais automatizada e avançada do mundo. Eventualmente fruto do “orgulhosamente sós”, e independentemente da motivação patriótica ou de gestão de risco, toda a tecnologia subjacente a tal equipamento era desenhada por portugueses, produzida em Portugal, operada e mantida por equipas próprias dos CTT/TLP e tinha direito a um edifício que, não só mas também, tinha sido concebido para albergar tal “monstro” em Picoas, Lisboa[1].

De fábricas no Carregado sairam para casas em todo o Portugal um milhão de telefones especificamente preparados para interoperar com tal solução.

Nesse mesmo período, e independentemente da casa-mãe ser norte-americana, a Standard Eléctrica, presente em Portugal desde 1932, produzia neste país equipamentos rádio de campanha para o Exército Português[2], desenhados e projetados por professores universitários do Instituto Superior Técnico que acumulavam funções técnicas nessa empresa.

Alguns anos depois um outro projecto, desconhecido da vastíssima maioria dos portugueses, permite afirmar que Portugal foi efetivamente um país onde as tecnologias de informação e de comunicações viveram, ou tentaram viver, uma dinâmica industrial: “Nascido em 1979 na Faculdade de Ciências e Tecnologia da Universidade de Coimbra, o projecto do primeiro computador português seria dado como definitivamente concluído no Verão de 1982, na altura em que se procedia à adaptação industrial do projecto, assegurada por uma empresa com sede na Figueira da Foz.[3].

Notavelmente, Portugal chegou inclusivamente a ser um país exportador de tecnologia made in Portugal. A Timex Portugal, sob licença da Sinclair Spectrum, produziu para exportação mais de um milhão de computadores pessoais[4].

Muitas outras instituições nacionais tentaram trilhar esta via, com mais ou menos sucesso: Centrel (spin-off da Standard Eléctrica), EID (Empresa de Investigação e Desenvolvimento), LED (do Porto), RIMA, Datamatic e Infomatic (de Braga) sendo que estas últimas chegaram mesmo a desenhar e produzir micro-controladores[5].

Em tempos mais recentes, a única empresa portuguesa com protagonismo mundial no domínio das TIC de base – a Chipidea – foi comprada pela norte-americana MIPS por 146MUS$ (em cash)[6].

Hoje em dia, pouco mais de 30 anos depois, nenhum equipamento informático ou de comunicações digno desse nome é produzido, ou desenhado, em Portugal.

Ascenção e queda da indústria das TIC no E.U.A.

Embora não se possa estabelecer um paralelo entre as realidades norte-americana e portuguesa, também este país tem sofrido uma acentuada desindustrialização das TIC.

Os semi-condutores, posicionados no centro de todos os artefactos tecnológicos, criados nos E.U.A. na década de 50 do século XX, foram durante anos principalmente desenvolvidos nesse país e exportados para o resto do mundo.

Devido aos efeitos da globalização, analisados adiante, a quota mundial de produção deste país desceu de 50% em 1980 para 15% em 2012[7]. O movimento de relocação de tal produção deu-se a oriente, estando esta localizada no hub de semicondutores e electrónica de consumo da Ásia-Pacífico.

Embora existam ainda empresas com capacidades de integração vertical (desenho e fabrico) neste domínio, nomeadamente a IBM e a Intel, que mantêm relações de fornecimento preferenciais para semicondutores específicos e exclusivos para a indústria de defesa americana, a vasta maioria dos domínios de utilização destes dispositivos está hoje dependente do fornecimento por empresas estrangeiras.

O universo dos semicondutores é apenas uma instância desta tendência, resultante dos movimentos de outsourcing e offshoring que a globalização nas recentes três décadas gerou.

O eixo asiático industrial das TIC

Sendo uma ilustração de movimentos similares na mesma região, no início da década de 80 do séc. XX, agências Taiwanesas criaram programas de incentivo ao investimento em foundries (fábricas de produção de semicondutores para terceiros). O custo estimado para a criação de uma fábrica desta natureza é de cerca de 3 a 4Bi US$[8] o que claramente limita as geografias e economias dispostas a tal, para não mencionar as motivações de desenvolver e implementar tal estratégia.

Um jogador tardio desta estratégia foi também a China que apostou na escolha preferencial de fornecedores locais além da oferta de incentivos e subsídios (financiamento a custos controlados, reduções fiscais, etc.) aos investidores industriais. Tais esforços tiveram como objectivos atrair investimento estrangeiro e o estabelecimento de uma economia TIC chinesa forte[9].

As últimas décadas provam claramente que a China conseguiu tornar-se um player importante no sector das TIC mundiais. Duas das suas empresas-estrela são líderes mundiais nos seus sectores específicos: a Lenovo (definiticamente após a aquisição da área de negócio de PCs da IBM) e a Huawei no que respeita a computadores pessoais e telecomunicações, respectivamente.

O caso da Huawei é particularmente notável pois, ao contrário da Lenovo, o seu crescimento foi eminentemente orgânico, sendo hoje o maior fornecedor mundial de soluções de comunicações, seguido de próximo apenas pela Ericsson em gross sales.

A globalização e a mudança do eixo industrial das TIC

A mudança do eixo industrial americano-britânico-franco-germânico para a ásia-pacífico surgiu como consequência natural do contexto proporcionado pela globalização: desejo da redução de custos pelo recurso a mão-de-obra (muito) mais barata, possibilidade de utilização de meios de comunicação mais eficientes para a gestão à distância das necessidades de fabricação, evolução dos meios logísticos internacionais (nomeadamente os marítimos) em rapidez e capacidade de carga e acesso a recursos humanos locais com competências técnicas para a interpretação e operação dos processos de fabricação.

Porém, todos os elementos acima não seriam suficientes para a migração tão drástica (em termos de geografia e dos regimes políticos em questão) dos processos de fabrico. Duas situações proporcionaram tal (nomeadamente no que respeita à migração da fabricação dos semicondutores) e que, eventualmente, geraram a criação de toda uma economia TIC circundante.

Em primeiro lugar, em 1978 dois investigadores norte-americanos (Mead e Conway) redefiniram a micro-electrónica, possibilitando como uma das muitas consequências do seu trabalho seminal, o decoupling entre o desenho dos circuitos integrados e a sua fabricação. Este ponto específico permitiu aos fabricantes clássicos deste tipo de elementos aspirar a eficiências onde o offshoring ganhou um lugar primordial. A ideia subjacente é que o desenho manter-se-ia no local onde antes a integração vertical era realizada e apenas a fabricação seria relocalizada.

Em segundo lugar, as potências asiáticas emergentes (China, Índia, entre outras) consideraram esta situação como uma oportunidade dupla: dinamizar a economia local, mesmo considerando que o fabrico nunca seria a fatia de leão da margem gerada, e ganhar visibilidade sobre o funcionamento interno de componentes críticos de sistemas que também nesses países são relevantes para a sua Segurança Nacional e a para a própria indústria de defesa.

“China’s efforts to build an IT industry began with the idea that its national security would improve if it could rely on domestic production.”[10]. Não tendo um mercado interno, à data, suficientemente grande para suportar o investimento em R&D de base, todos estes países consideraram o offshoring e outsourcing proporcionado pelos países do 1º mundo como a via mais lógica, barata e imediata de conseguirem acesso a informação e tecnologia, tendo-o efetivamente obtido.

O crescimento explosivo das suas economias gerou então um movimento igualmente explosivo de demanda dos próprios produtos originalmente produzidos para exportação para os países ocidentais, criando condições finalmente propícias para a edificação de esforços de R&D próprios. O resultado é evidente, não sendo mais possível considerar o ocidente como claramente superior ao oriente em inovação tecnológica.  A Huawei investe 10% da sua facturação em R&D sendo hoje uma das organizações com mais patentes registadas na Europa[11].

As TIC como vector de ataque

As TIC como motor do mundo

Independentemente dos recursos energéticos, a água potável e a produção agro-pecuária serem claramente os ativos fundamentais à independência e bem-estar das nações, as TIC são absolutamente fundamentais para outros domínios de atuação não desprezáveis no contexto das ameaças e do equilíbrio de forças entre nações.

Efetivamente, pouca atividade nos dias de hoje não depende total ou parcialmente, das TIC para funcionar. Mobilidade (aviação, ferrovia e até circulação rodoviária), comunicações interpessoais de dados e voz, comunicação social (televisão, radio e imprensa escrita) e serviços hospitalares são exemplos de contextos que assentam hoje substancialmente das TIC para operarem. Planos de contingência certamente existirão em determinados players destes sectores mas na ausência de suporte tecnológico, a operação será sempre realizada em cenários de contingência extrema.

O sistema financeiro mundial assenta também ele nos sistemas de trading electrónico e nas comunicações de dados, estando a economia de nações dependente do correcto funcionamento de todo um ecossistema vulnerável a oscilações, mesmo que momentâneas, do funcionamento destes para não mencionar do seu abuso e manipulação criminosa.

Contextos mais críticos e onde failovers deficientes seriam catastróficos são os das infra-estruturas críticas[12] onde falhas severas seriam disruptivas para a vida em sociedade e geradoras de caos e eventuais mortes em larga escala.

No extremo da cadeia de importância das TIC para a segurança das nações encontra-se a própria indústria de defesa e armamento, hoje em dia totalmente dependente de meios informáticos e electrónicos para operar.

A American Manufacturing Association identifica[13] sete ramos industriais fundamentais para o esforço de defesa militar americana, tanto no contexto internos (homeland security) como externo: fasteners, semiconductors, copper-nickel tubing, lithium-ion batteries, hellfire missile propellant, advanced fabrics and telecommunications. Notavelmente, entre estes encontram-se os dois pilares da indústria das TICs, os semicondutores e os equipamentos de telecomunicações em si.

Ameaças à Segurança Nacional

Independentemente da definição de Segurança Nacional, dos ativos críticos que uma país deve proteger e de todas as práticas que medeiam os segundos da primeira, a transversalidade da presença e criticidade operacional das TIC é indubitável e incontornável. Consequentemente, é imperativo que a confiabilidade[14] das TIC que suportam processos e atividades críticas de um país esteja assegurada.

Entre todas as demais ameaças aplicáveis a este contexto, elencam-se neste documento três que estão directamente associadas ao distanciamento de uma nação do fabrico e necessária distribuição das TIC a que recorre.

Inserção de back-doors e hidden-channels em fábrica

A inserção de back-doors e/ou cavalos de tróia[15] pelos fabricantes de dispositivos informáticos e/ou de telecomunicações em fábrica é uma prática presente e de dificuldade de detecção crescente.

Pese embora a razão de tal prática seja sistematicamente publicitada como estando associada a práticas de organizações criminosas sofisticadas, existem suspeições recentes de que são na realidade práticas de estados-nação sob égide dos seus esforços de ciber-guerra, nomeadamente nas vertentes CNE e CNA (i.e. Computer Network Exploitation e Computer Network Attack respectivamente) e de ciber-intelligence[16], neste caso desenvolvidos por Serviços de Informações nacionais.

Este segundo caso implicaria um relacionamento estreito entre entidades governamentais com tais responsabilidades e os próprios fabricantes, situação que saltou para o tópico da agenda mediática com Edward Snowden e o disclosure massivo que este tem proporcionado nos últimos tempos.

Um exemplo deste tipo de prática foi recentemente trazido a público – nove modelos de telemóveis Samsung Galaxy, equipados com versões do sistema operativo Android desenvolvidas pela própria Samsung, apresentam back-doors que possibilitam o controlo remoto do equipamento, a utilização do microfone para escutas ambientais e intercepção de chamadas, entre outras capacidades. Basicamente, estes dispositivos (enviados aos milhões para todos os pontos do globo) poderiam facilmente tornarem-se dispositivo remotos de espionagem[17].

Adulteração de dispositivos na cadeia de fornecimento

A reputação internacional de fabricantes com presença mundial como Cisco, Intel, Microsoft, Motorola, entre muitos outros, fica extremamente lesada cada vez que o tópico do relacionamento estreito entre estas e serviços como a NSA (para o caso americano) é alvo de suspeição. Tal tem implicações, naturalmente, financeiras pois o boicote à aquisição de produtos destes fabricantes por alguns países afecta a balança comercial dos onde tais produtos têm origem e afectam a própria saúde financeira das empresas em si.

Num espírito de atrair, no limite, sobre si as atenções mediáticas e a responsabilidade final de práticas de adulteração de dispositivos TIC (salvaguardando a reputação dos fabricantes e a sua “face” e posição de mercado), têm surgido evidências de que a cadeia de distribuição de equipamentos de comunicações é o ponto de intercepção e abuso por serviços de informações[18].

O dimensão do efeito colateral que tais evidências geraram (uma pedido do CEO da Cisco ao presidente Obama[19] a pedir contenção na atividade da NSA) indicia a veracidade da situação e a eventual frequência de outras idênticas.

Evolução da complexidade dos elementos de base das TIC

O decoupling proporcionado pela revolução gerada pelos estudos de Mead e Conway, hoje em dia levada a extremos, foi aceite pelas sociedades ocidentais apenas porque nessa altura os elementos fabricados em geografias remotas, potencialmente antagónicas em termos de interesses económicos e até de defesa, eram simples e de natureza tal que a sua adulteração seria facilmente detectada.

Tal não é mais verdade. Os micro-processadores de hoje são elementos altamente complexos, capazes de fazer muito mais que a execução de simples instruções geradas por software a executar sobre eles, podendo facilmente incorporar capacidades paralelas independentes, indetectáveis a escrutínios menos atentos e capazes, como por exemplo realizar em determinadas circunstâncias determinados tipo de processamentos de informação e emitir resultados via rádio para captura por agentes fisicamente próximos.

A nova versão dos processadores Intel (Core vPro) promete conseguir fazer isto e muito mais[20]. Desenhados nos E.U.A. e produzidos em várias localizações no hub asiático, será com muita dificuldade difícil afirmar quem terá acesso mais qualificado aos meios de intercepção e abuso possíveis.

Os pontos anteriores ganham particular relevância hoje em dia pois sistemas eventualmente manipulados operam tipicamente em contextos complexos, em rede, onde conjuntamente com muitos outros dispositivos trocam-se quantidades enormes de dados em janelas temporais mínimas. Se bem desenhados, mecanismos de exfiltração de informação conseguem passar despercebidos no meio do ruído gerado por uma rede de dados activa. Tal é particularmente verdade quando existe uma via de comunicação entre o sistema em questão e a Internet.

Globalização, TIC e a segurança nacional

Tudo o anteriormente exposto deverá ver-se reflectido no modo como as nações reagem em contextos de fornecimentos TIC por empresas de origem estrangeira.

Status quo mundial

Com pouca surpresa, verifica-se uma crescente resistência à utilização de equipamentos produzidos por empresas de origem estrangeira em alguns contextos críticos. O caso mais notável foi o relatório produzido pelo Congresso Americano, em 2012, em que cabal e frontalmente foi reportado que as empresas Huawei e ZTE “cannot be trusted to be free of foreign state influence and thus pose a security threat to the United States and to our systems.”[21]. Curiosamente, e eventualmente de forma associada a  este evento, a própria Comunidade Europeia perspectivou em meados de 2013 a imposição de sanções às mesmíssimas empresas chinesas com suporte na utilização de práticas ilegais por estas (subsidiação)[22]. Muitos acreditam que tratou-se de um “favor” prestado pela C.E. ao seu parceiro norte-americano.

Similarmente, também a Austrália e a Índia usaram o argumento da segurança para vetar a utilização de produtos da Huawei. No caso da Índia, a situação despoletou a criação de um laboratório pelo Departamento de Telecomunicações (nacional) para investigar a presença de “spyware, malware and bugging software” em equipamentos de telecomunicações[23].

Um ano depois, a situação inversa começou a verificar-se se bem que com um teor mais diplomático. O governo chinês anunciou que executará testes de segurança aprofundados em todos os equipamentos que suportarão sistemas que afectem a segurança nacional e o interesse público, vetando a utilização dos que não superem tais testes. Esta iniciativa surge na sequência da acusação que os E.U.A. fizeram a cinco oficiais chineses (acusação de hacking de empresas norte-americanas) e da criação de um poderoso steering committee for internet security, liderado pelo próprio presidente Xi Jinping[24].

O caso inglês – Cyber Security Evaluation Centre – Huawei

Notavelmente, a Inglaterra coordenou com a Huawei um modelo diferente – seguramente devido à forte presença que a Huawei tem, em termos de economia e empregos gerados, na sociedade inglesa – de promover a aceitação dos equipamentos deste fabricante no país, eventualmente até em contextos críticos.

A Inglaterra, delegando no GCHQ, e a empresa chinesa criaram conjuntamente o Huawei Cyber Security Evaluation Centre, a operar com suposta independência da casa-mãe. Trata-se de um laboratório que tem como missão única analisar os equipamentos da Huawei de modo a identificarem-se potenciais vulnerabilidades.

O laboratório em questão foi alvo de uma investigação pelo Intelligence and Security Committee inglês tendo este reportado que os membros do staff do laboratório deveriam manter-se colaboradores da Huawei mas que o GCHQ deveria deter um papel relevante na sua liderança e gestão[25].

A Huawei encontrou no governo inglês o meio de introduzir mundialmente a noção que a existência de laboratórios de teste de equipamentos de natureza crítica (em termos da cadeia de valor), especificamente focados na confiabilidade dos mesmos, seria uma hipótese/via sólida de atingirem-se algumas garantias hoje praticamente impossíveis de conseguir de outro modo.

O caso português

Complementarmente à já repetidamente mencionada desindustrialização das TIC, Portugal não tem, aparentemente: a) qualquer prática de restrição à importação e utilização de tecnologias de qualquer fabricante de qualquer geografia; b) utilização preferencial de tecnologia de fabricantes específicos; c) nem meios instalados para validação da confiabilidade em tecnologias heterogéneas ou, mesmo, confinadas a um domínio específico.

A dimensão de Portugal não deveria justificar tal pois países igualmente pequenos detêm capacidades de R&D e produção de dispositivos relevantes como é o caso da Suíça, o maior produtor mundial de soluções de transmissão e codificação de sinal vídeo por satélite e cabo.

Com excepções verdadeiramente pontuais (caso da utilização de cartas criptográficas disponibilizadas pela NATO para as forças militares e, mais recentemente, de telefones móveis cifrados produzidos pelo Instituto Politécnico de Beja ao serviço do Governo e Presidência da República), caso os temores manifestados pelas mais variadas potências tenham um fundo de verdade, as instituições portuguesas, todas elas, estão hoje em dia potencialmente vulneráveis à intercepção de dados, disrupção de serviços ou adulteração de informação por agentes externos, tendencialmente ao serviço de estados-nação.

É efetivamente um facto que os mais variados fabricantes fornecem soluções para os mais variados ambientes, civis e militares, críticos e não críticos, bastando para verificar tal consultar os concursos públicos realizados em Portugal.

Tal estado de coisas é particularmente agravado pela situação financeira e económica nacional em que o custo é o principal elemento de avaliação de propostas tecnológicas, não sendo infrequente a aquisição de soluções do tipo “marca-branca” sem qualquer controlo de qualidade, nomeadamente para o casos dos computadores pessoais e servidores de uso indiferenciado.

Riscos da desindustrialização (hard IT) e a adopção de uma indústria de serviços (soft IT) para Portugal

Por todos os motivos que culminaram na transversal desindustrialização nacional, Portugal adoptou uma indústria TIC assente em serviços onde prosperam no máximo um punhado de empresas com aspirações globais sérias.

Isto implica que, em todos os domínios e contextos da sociedade portuguesa, a confiabilidade em tudo o que se faz, toda a informação que se produz, e a capacidade de se produzir ininterruptamente tornaram-se dependentes da confiança nos terceiros que criaram e forneceram os meios tecnológicos em questão em cada caso.

Tal é principalmente verdade, tanto em Portugal como em qualquer outra geografia, quando se consideram as explosivas capacidades de crescimento que a tecnologia tem sofrido em todas as dimensões: velocidade de processamento, velocidade de transmissão, volumetria da transmissão, volumetria do armazenamento de dados, etc. Basicamente, tornou-se impossível “guardar os guardas” das TIC, sendo incontornável a confiança nos fabricantes e nos normativos internacionais que supostamente respeitam.

A quem interessa Portugal

Poder-se-á sempre alegar que um país como Portugal é pouco interessante ou relevante em termos de espionagem com origem em estados-nação. Porém, Portugal – como muitos outros países – é hoje em dia uma parte num sistema complexo de relações empresariais e institucionais: a) é parte integrante de organizações internacionais relevantes (NATO, Europol, EuroNext e Comissão Europeia são exemplos), estando a elas interligada tecnologicamente; b) detém filiais de gigantes corporativos que são centros de competências internacionais (Siemens, Cisco e Microsoft são exemplos); c) tem relações diplomáticas privilegiadas com países que ganham hoje em dia relevância no panorama energético mundial (Angola, Brasil e Moçambique, nomeadamente); d) algumas poucas empresas têm dimensão e presença internacional em sectores críticos (casos da GALP e EDP); e e) é um país com uma bancarização evoluída e uma elevada taxa de penetração de Internet de banda-larga em todo o território nacional.

Qualquer dos cinco contextos supra-indicados poderá ser razão mais que suficiente para uma potência estrangeira achar interessante, nomeada e principalmente quando considerando uma análise custo/benefício, explorar o acesso a contextos de maior valor de forma indirecta (o último dos pontos menos que os demais, sendo principalmente interessante para a criminalidade informática organizada).

Adicionalmente a ser um ponto de passagem, Portugal, como outros países que apostam na indústria de serviços, poderá ver a sua propriedade intelectual e os seus segredos de natureza não tecnológica, o único valor que detém, facilmente ameaçados, de forma invisível, por agentes desconhecidos.

Mesmo considerando que para as camadas mais elevadas da cadeia de valor dos equipamentos de computação e comunicações (o sistema operativo e as aplicações que sobre ele executam) possa haver competências instaladas e disponíveis para efeitos de análise e detecção de problemas (brainware em faculdades e empresas da especialidade), o ghost within que poderá existir nos componentes mais básicos dos sistemas poderá aproveitar-se de canais escondidos para criar e explorar todo o tipo de situações abusivas.

Em resumo, não se pode com honestidade intelectual anunciar que Portugal está protegido contra ameaças à segurança nacional (e não só) pela via tecnológica, à distância e com origem desconhecida.

Conclusão

Assumindo que a concentração dos fabricantes de componentes mais transversais num país exige dimensão do seu mercado nacional e externos (e Portugal não está nestas condições), urge discutir-se que vias alternativas de criação de conforto estão disponíveis para as instituições preocupadas com a Segurança Nacional.

Considerando as ameaças supra-identificadas, dois tipos complementares de práticas surgem como mais adequadas e exequíveis do ponto de vista técnico, logístico e financeiro.

A primeira seria a edificação de um laboratório nacional de teste e análise (no que respeita à segurança da informação e confiabilidade funcional) de dispositivos TIC, muito à semelhança do reportado para a realidade inglesa, pese embora seja necessária agnosticidade relativamente à origem do fabricante. Considerando o grande número de dispositivos distintos no mercado, tal laboratório seria apenas praticável se previamente fosse determinado algum tipo de homogeneização dos equipamentos a usar nos contextos relevantes para a Segurança Nacional. Esta prática atribuiria um carácter de confiabilidade aos equipamentos no que respeita à implantação de back-doors e elementos afins em sede de fabricação.

Complementarmente, seria ainda necessário garantir-se que os equipamentos verificados neste laboratório não seriam adulterados em trânsito entre este e os destinos finais para a sua utilização. Uma via possível de garantir tal seria a edificação de uma cadeia logística que garantisse a inviolabilidade dos dispositivos. Os meios logísticos das Forças Armadas nacionais poderiam ser um meio adequado para tal.

O esforço destas duas práticas de mitigação é certamente elevado e eventualmente inviável para um número alargado de contextos. Porém, com um esforço preliminar de identificação das infra-estruturas críticas nacionais e de contextos complementares tais como forças de segurança, orgãos de soberania, estruturas diplomáticas e serviços de informações, seria um desígnio possível de alcançar-se.

[1] Figueiredo, A. D. (2004)
[2] Ferreira (2012)
[3] Figueiredo, A. D. (2004)
[4] Figueiredo, A. D. (2004)
[5] Figueiredo, A. D. (2004)
[6] Para uma história sumária da Chipidea e da sua área de atuação, recomenda-se a leitura da entrada Wikipedia respectiva: http://en.wikipedia.org/wiki/Chipidea
[7] Adams, Brigadier General John (2013-2).
[8] Para mais informações sobre foudries recomenda-se a leitura da informação disponível em: http://en.wikipedia.org/wiki/Semiconductor_fabrication_plant
[9] Lewis, James A. (2007).
[10] Lewis, James A. (2007), pp. 36
[11] Para mais informação consultar o site ChinaDaily (edição online de 7 de Março de 2014): http://www.chinadaily.com.cn/china/2014-03/07/content_17331800.htm
[12] Infra-estruturas críticas no sentido de grelhas energéticas, saneamento básico, processamento e transporte de água potável, fornecimento de gás, entre outras
[13] Adams, 2013
[14] Confiabilidade é utilizada neste contexto como a conjugação dos três pilares da segurança da informação no seu sentido clássico: integridade, disponibiidade e confidencialidade
[15] Backdoors (http://en.wikipedia.org/wiki/Backdoor_(computing)) e cavalos-de-tróia (http://en.wikipedia.org/wiki/Trojan_horse_(computing)) são mecanismos instalados ilegitimamente em dispositivos de modo a proporcionar a agentes externos o controlo sobre os mesmos
[16] Para uma introdução ao termo ciber-intelligence, recomenda-se a leitura do artigo disponível em: http://www.tripwire.com/state-of-security/security-data-protection/introduction-cyber-intelligence/
[17] Para mais informações sobre este caso consultar os posts da Tripwire (http://www.tripwire.com/state-of-security/top-security-stories/android-backdoor-discovered-nine-samsung-galaxy-models/) e da Free Software Foundation (https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor).
[18] Gallagher, Sean (2014). Notícia que evidencia a NSA a interceptar equipamentos Cisco em trânsito com o intuito de os adulterar para efeitos de intercepção e roubo de informação.
[19] Thomas, Daniel e Waters, Richard (2014)
[20] Para um visão alarmista promovida por apoiantes dos direitos civis recomenda-se a leitura do artigo (versão online) disponível em http://www.popularresistance.org/new-intel-based-pcs-permanently-hackable. Adicionalmente, recomenda-se também a visualização do vídeo de apresentação da própria Intel em que enaltece-se a utilização “positiva” das funcionalidades em questão.
[21] U.S. House of Representatives (2012)
[22] Para mais informação sobre este ponto, recomenda-se a leitura do artigo do The Telegraph (versão online) de 14 de Maio de 2013 – http://www.telegraph.co.uk/finance/china-business/10057301/EC-ready-to-hit-Chinese-companies-with-sanctions-over-illegal-subsidies.html
[23] Para mais informações, consultar o The Register (versão online) de 10 de Maio de 2013 – http://www.theregister.co.uk/2013/05/10/india_to_test_huawei_and_zte_kit/
[24] Para mais informações, consultar o South China Morning Post (versão online) de 14 de Junho de 2014 – http://www.scmp.com/news/china/article/1518208/china-vet-it-products-and-services-boost-national-security
[25] Darroch, Kim (2013)

Bibliografia

Figueiredo, A. D. (2004). Engenharia em Portugal no Século XX: Engenharia Informática, Informação, Comunicações. In M. Heitor, J. M. Brandão de Brito e M. F. Rolo (Editores). A Engenharia em Portugal no Séc. XX, Vol. III. Lisboa, D. Quixote, pp. 551-573. ISBN 927-20-2792-1, Dez. 2004

Ferreira, Major General Edorindo (Set. 2012). Standard Eléctrica – Os 20TPL. In História das Transmissões Militares. Disponível em:  https://historiadastransmissoes.wordpress.com/tag/standard-electrica

Adams, Brigadier General John (2013-1). Remaking American Security: Supply Chain Vulnerabilities & National Security Risks Across The U.S. Defense Industrial Base. Washington, Alliance for American Manufacturing. ISBN 978-0-9892574-0-4. Maio 2013.

Adams, Brigadier General John (2013-2). Chapter 7: Semiconductors. In Adams, Brigadier General John. Remaking American Security: Supply Chain Vulnerabilities & National Security Risks Across The U.S. Defense Industrial Base. Washington, Alliance for American Manufacturing, pp. 151-178. ISBN 978-0-9892574-0-4. Maio 2013.

Adams, Brigadier General John (2013-3). Chapter 12: Telecommunications. In Adams, Brigadier General John. Remaking American Security: Supply Chain Vulnerabilities & National Security Risks Across The U.S. Defense Industrial Base. Washington, Alliance for American Manufacturing, pp. 249-271. ISBN 978-0-9892574-0-4. Maio 2013.

Herring, Matt. The company that spooked the world. In The Economist, Ago. 2012. Disponível em: http://www.economist.com/node/21559929

Thomas, Daniel e Waters, Richard (2014). Cisco boss calls on Obama to rein in surveillance. In Financial Times (online edt. 18 Mar 2014). Disponível em: http://www.ft.com/intl/cms/s/0/a697c292-de80-11e3-9640-00144feabdc0.html?ftcamp=crm/email/2014?ftcamp=crm/email/2014518/nbe/ExclusiveComment/product_a2___a3__/nbe/ExclusiveComment/

product&siteedition=intl#axzz325bPWKrV

Gallagher, Sean (2014). Photos of an NSA “upgrade” factory show Cisco router getting implant. In arstechnica (online, 14 Maio 2014). Disponível em: http://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant

Lewis, James A. (2007). Bulding an Information Technology Industry in China. The CSIS Press. Washington. ISBN-13: 978-0-89206-489-2.

U.S. House of Representatives (2012). Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE. 112th Congress. 8 Out. 2012.

Darroch, Kim (2013). Huawei Cyber Security Evaluation Centre: Review by the National Security Adviser – Executive Summary. In Huawei Cyber Security Evaluation Centre: Review by the National Security Adviser. HM Governement, December 2013.

Autor: João Barreto 

  • Texto produzido no âmbito da avaliação individual do Módulo “Globalização  e  Riscos  de  Segurança”  da  1ª  Edição  da   Pós­‐Graduação  em  Gestão  de  Informações  em  Segurança  (ISEGI/IDN  2014)
sysblog

Network Packet Brokers (NPB)

Ao longo dos últimos anos, um dos requisitos operacionais que tem ganho mais importância é a visibilidade das aplicações e da infraestrutura que as suporta. Esta visibilidade é essencial para que as equipas de segurança estejam atentas ao tráfego malicioso e para que as equipas de operações possam alterar o seu comportamento de reactivo para proactivo.

Tem havido um aumento considerável de tecnologias para recolher e analisar pacotes de rede, para monitorização de aplicações, monitorização de segurança, monitorização de rede, e outros. No entanto existem vários desafios para obter visibilidade, tais como, escalabilidade, virtualização, flexibilidade e acesso.

A solução tem que ser escalável de forma a suportar o aumento de velocidade dos acessos e consequentemente o aumento do volume de pacotes de rede. Terá que suportar o aumento da infraestrutura, nomeadamente o aumento de localizações geográficas e novos sistemas. Terá que ser flexível para suportar as novas tecnologias para visibilidade e análise de tráfego.

Para responder a estes desafios apareceu no mercado uma nova categoria de equipamentos que permitem uma nova abordagem para a manipulação de pacotes, os Network Packet Brokers (NPB). Os NPBs permitem otimizar o acesso e a visibilidade de tráfego para monitorização, segurança, ferramentas de aceleração, etc. As capacidades do NPS incluem:

  • Agregação de tráfego monitorizado a partir de múltiplos links
  • Filtragem de tráfego para aliviar as ferramentas de monitorização
  • Balanceamento de carga através de um conjunto de sistemas
  • Regeneração de tráfego para múltiplos sistemas

NPB

As soluções de segurança que permitem uma implementação in-line, tais como, o IPS (Intrusion Prevention Systems) e o DLP (Data Loss Prevention) já existem há alguns anos mas tem havido algumas preocupações devido a questões de fiabilidade e performance em colocar estes equipamentos em modo in-line, onde são capazes de intersetar e bloquear o tráfego. Os NPBs permitem balancear o tráfego através de várias soluções de segurança melhorando a fiabilidade e a performance em caso de falha ou degradação de alguma appliance. Desta forma os inconvenientes em colocar as soluções de segurança, como o IPS e o DLP, em modo in-line deixam de existir, permitindo um aumento de segurança.

Os NPBs têm a capacidade de aplicar filtros de modo a restringir o tráfego interessante a monitorizar, por exemplo, restringir o envio de tráfego VoIP para um sistema que faça análise de tráfego VoIP.

O NPB permite aplicar filtros com base nos seguintes parâmetros:

  • MAC address (source, destination)
  • IP address (source, destination, range)
  • UDP, TCP, and ICMP (port, range)
  • VLAN
  • IP service type

Capacidades do NPB:

  • Full traffic aggregation
  • Traffic regeneration
  • Packet ordering
  • Packet de-duplication
  • Packet fragment reassembly
  • Conditional packet slicing/masking
  • Power-loss traffic-flow policies
  • Link state mirroring
  • Protocol stripping
  • Reboot accelerated failover
  • Health-check packets
  • Selected traffic aggregation
  • Hardware-based packet filtering
  • Session-aware load balancing
  • High data-burst buffering
  • Deep packet inspection
  • Time- and port-stamping

Os NPBs têm capacidade para processar, consolidar e filtrar o tráfego de forma a minimizar o investimento na infraestrutura de rede. Esta capacidade ajuda as empresas a resolver os desafios de monitorização de rede permitindo que as organizações utilizem ferramentas de segurança e monitorização de forma mais eficiente, centralizem os sistemas de monitorização e segurança, e permite partilhar o tráfego e sistemas entre grupos. A escalabilidade e a fácil utilização dos NPBs não só ajudam a baixar o CAPEX e OPEX, mas também permitem às organizações uma melhor gestão e eficiência da rede num ambiente dinâmico e desafiante.

Autor: Gonçalo Rey @ SysValue

 

heartbleed_cupid

Heartbleed, Cupid and Wireless

Since my presentation on cupid has gotten quite a bit of attention, I feel it’s necessary to provide a bit more context about this issue and what it is exactly. I’ve received some questions and I’ll try to post all the answers here.

 

What is cupid?

cupid is the name I gave to two source patches that can be applied to the programs “hostapd” and “wpa_supplicant” on Linux. These patches modify the programs behavior to exploit the heartbleed flaw on TLS connections that happen on certain types of password protected wireless networks.

hostapd is a program that sets up a configurable Access Point on Linux, so it is possible to create almost any kind of Wireless Network configuration and let clients connect to it.

wpa_supplicant is a program used to connect to wireless networks on Linux and also on Android.

Interesting side note: both hostapd and wpa_supplicant were written by the same author and share a lot of code, so the patches are very similar.

 

How does the attack work?

This is basically the same attack as heartbleed, based on a malicious heartbeat packet. Like the original attack which happens on regular TLS connections over TCP, both clients and servers can be exploited and memory can be read off processes on both ends of the connection.

The difference in this scenario is that the TLS connection is being made over EAP, which is an authentication framework/mechanism used in Wireless networks. It’s also used in other situations, including wired networks that use 802.1x Network Authentication and peer to peer connections.

EAP is just a framework used on several authentication mechanisms. The ones that are interesting in this context are: EAP-PEAP, EAP-TLS and EAP-TTLS, which are the ones that use TLS.

To exploit vulnerable clients, hostapd (with the cupid patch) can be used to setup an “evil” network such that, when the vulnerable client tries to connect and requests a TLS connection, hostapd will send malicious heartbeat requests, triggering the vulnerability.

To exploit vulnerable servers we can use wpa_supplicant with the cupid patch. We request a connection to a vulnerable network and then send a heartbeat request right after the TLS connection is made.

I saw a misconception on a lot of sources regarding heartbeat and it is a common question that I get: It’s not necessary to fully establish a TLS connection to perform the heartbleed attack. No actual keys or certificates need to be exchanged.

I have found it to be possible to send and receive heartbeat responses right after a “Client Hello” message (before certificates are presented or session keys are exchanged).

 

Do I need to provide a valid user/password to exploit this vulnerability?

In short, no. The vulnerability is triggered before a valid password needs to be presented. Sometimes in order to exploit a vulnerable server you must present a valid username (not password), as the specific EAP mechanism may request a valid username/realm to redirect the user to the proper authentication server.  But this can be easily sniffed off the air when a regular user tries to connect.

 

How to spot vulnerable systems:

You basically use cupid to trigger the vulnerability and look for a behaviour consistent with heartbleed on a packet sniffer.

The following image shows wpa_supplicant_cupid exploiting a vulnerable network:

heartbleed_cupid_img1

 

First we provide a username (EAP Identity), then we will create a TLS connection over EAP to authenticate (using EAP-PEAP). Note that cupid sends heartbeat requests right after “Client Hello”, there’s no need to perform the full TLS handshake. Up to 64kb of memory can be read for each heartbeat request.

 

The second image shows hostapd_cupid exploiting a vulnerable client in the same fashion:

heartbleed_cupid_img2

 

Note that, in this case, we didn’t even send a “Server Hello” message. The vulnerable client requested a TLS connection, sent a “Client Hello”, and we proceeded to send an heartbeat request. The client is happy to respond, leaking up to 64kb of process memory.

 

What is present on the memory that can be read?

Not enough testing was made to go into such detail, so we can only speculate. Most of the memory is zeroed out, but cursory inspection found interesting stuff on both vulnerable clients and servers. I can speculate that most likely the private key of the certificate used on the TLS connection is in memory. What can also be in memory is the user credentials used for authenticating the connection.

 

What software is affected?

Note that I’ve done very limited testing on this. I have confirmed however that on Ubuntu, if you are using a vulnerable version of OpenSSL the default installations of wpa_supplicant, hostapd, and freeradius can be exploited.

Android 4.1.0 and 4.1.1 use a vulnerable version OpenSSL. Also, all versions of Android use wpa_supplicant to connect to wireless networks, so I have to assume that these are probably vulnerable.

Regarding vulnerable clients:

If you have an Android device running 4.1.0 or 4.1.1 you should avoid connecting to unknown wireless networks unless you upgrade your ROM.

If you have a Linux system/device you’re using to connect to wireless networks you should make sure to upgrade your OpenSSL libraries, so if you followed heartbleed mitigation recommendations you should be fine.

 

Regarding vulnerable servers:

If you have an home router you are probably safe from this specific attack vector. This is because most home routers use a single key for Wireless Security (a pre-shared key), and do not use EAP authentication mechanisms.

 

If you have a corporate wireless solution on your company you should look at this problem, since most of the managed wireless solutions use EAP based authentication mechanisms. And some companies use OpenSSL. You should look at having your equipment tested or contacting your vendor and ask for more information.

You should also look at this issue if you have any type of EAP authentication mechanism on your corporate network. Note that 802.1x Network Access Controlled wired networks might also suffer from this problem.

You can contact us at SysValue if you need assistance on testing your corporate network regarding this issue.

 

Conclusion:

I hope this comprehensively addresses all the questions you have about cupid. I’ve put the source code online so that you can test more networks and devices. Please let me know of the results of your testing so I can update this post with the types of devices and configurations that are affected / not affect by this issue.

 

References:

Article written by Luis Grangeia

sysblog

Firewalling (1/5)

About this article

With the fast growing of the Infrastructure as a Service (IaaS) concept, usage and applicability, fueled by the cost-effectiveness demands and high-availability requirements of modern services provided in the cloud, more and more Platform as a Service (PaaS) and Software as a Service (SaaS) providers rush to find the most state of the art, performant and cost-effective IaaS provider to host the very engine of their online businesses.

These demands and the diversity of the requirements of small to medium-scale implementations, may lead to a single PaaS or SaaS provider to host its infrastructure in multiple IaaS providers, directly increasing the complexity, heterogeneity and/or disparity, either logical, virtual or physical, of the design of their globalized infrastructure.

While many IaaS providers already provide multiple services for integrated Firewalling, VPN, QoS, Caching, Load-Balancing, vRacks etc., when an infrastructure is based on a multi-vendor approach, a clean and low cost integration may be difficult to achieve.

This article will be focused on the Firewalling elements of a multi-vendor IaaS infrastructure by addressing ways to implements robust firewalls with simple low-cost solutions already available on the Open-Source Community. One of such solutions is the FWBuilder by Netcitadel, Inc. being it the one that will be referenced to build a hipotetical firewall throughout the main sections of this article.

Structure

This article is structured in five main Sections and five Annexes, enumerated below:

— Section I – Setting up the Skeleton

— Section II – Populating the Policies

— Section III – Deploying the Firewall Objects

— Section IV – Taking Advantage of Traffic Accounting

— Section V – Managing all nodes at once

— Annex I – Compiled Script for Skeleton

— Annex II – Deployment Scripts

— Annex III – SSH and DSA keys

— Annex IV – Monitoring Scripts

— Annex V – VPN: The first wall of defense

Assumptions

The contents of the following sections assume that the reader as some knownledge regarding Infrastructure and Networking design. Altough this article tends to be easy to understand for any professional in the IT business, an average understanding of the two elements pointed above will greatly enhance the experience and, hopefully, learning of the reader.

Base Environment

A minimalistic, hypothetical infrastructure will be described here in order to allow us to design a possible firewalling solution for such scenario. The infrastructure will be formed by two major platform components, being them a simple Webserver Cluster and a simple DBMS Cluster, each consisting of two nodes for core service delivery and another two nodes for High-Availability and Load-Balancing layers:

Webserver Cluster:

* 2 x HAProxy

* 2 x Apache Webserver

Database Cluster:

* 2 x MySQL Proxy

* 2 x MySQL Servers

As we’re assuming a multi-vendor infrastructure, the diverse network nodes are also assumed to be geographically distant, whose IP network addresses will uncontinous, or, in other words, not prone to be configurable in the same subnet. A theoretical addressing scheme, with interface specification, will be also used as described below:

* webclu-proxy-node-01

: eth0 IPv4 : 11.12.13.14 /24

: eth0 IPv6 : 1001:2001:3001:4001::1 /64

: gateway : 11.12.13.1

* webclu-proxy-node-02

: eth0 IPv4 : 20.21.22.23 /24

: eth0 IPv6 : 2001:3001:4001:5001::1 /64

: gateway : 20.21.22.1

* webclu-http-node-01

: eth0 IPv4 : 30.31.32.33 /24

: eth0 IPv6 : 3001:4001:5001:6001::1 /64

: gateway : 30.31.32.1

* webclu-http-node-02

: eth0 IPv4 : 40.41.42.43 /24

: eth0 IPv6 : 4001:5001:6001:7001::1 /64

: gateway : 40.41.42.1

* dbmsclu-proxy-node-01

: eth0 IPv4 : 50.51.52.53 /24

: eth0 IPv6 : 5001:6001:7001:8001::1 /64

: gateway : 50.51.52.1

* dbmsclu-proxy-node-02

: eth0 IPv4 : 60.61.62.63 /24

: eth0 IPv6 : 6001:7001:8001:9001::1 /64

: gateway : 60.61.62.1

* dbmsclu-mysql-node-01

: eth0 IPv4 : 70.71.72.73 /24

: eth0 IPv6 : 7001:8001:9001:1001::1 /64

: gateway : 70.71.72.1

* dbmsclu-mysql-node-02

: eth0 IPv4 : 80.81.82.83 /24

: eth0 IPv6 : 8001:9001:1001:1101::1 /64

: gateway : 80.81.82.1

Section I – Setting up the skeleton

This introductory section, aims to explain the fundamental concepts for proper usage of the FWBuilder interface, from installation of the application itself, to the deployment of the firewall into the configured target nodes.

Each sub-section will address a very specific component of the application and the importance of its role when designing long-term, manageable, firewalls. A few illustrations will be added on each sub-section when a clear idea of the interface is intended to be passed to the reader.

1.1. The FWBuilder

The FWBuilder is an Open-Source project being developed and improved by the Netcitadel, Inc. for more than a decade. It is a Graphical User Interface (GUI) firewall management application, serving as an abstraction layer for many firewall solutions on the market, including iptables, PF, Cisco ASA, Cisco PIX, Cisco FWSM and many more.

It’s centralized and scalable design, allows the management of literally hundreds of firewalls from a single, simple and dependable User Interface (UI).

The combined experience of its developers, sum more than 30 years of hands-on experience in networking and security technologies.

This turns the FWBuilder one of the most used and recommended Open-Source projects regarding firewall manangement.

1.2. Installing the FWBuilder

The FWBuilder can be downloaded from the http://www.fwbuilder.org. Along with an extremely well documented product, the support community around the project grants the users a reliable source of information to solve any issues that may occur.

It can be installed on 3 major Operating Systems (OS): GNU/Linux based, Windows and Mac OS X.

This article will guide the reader through an installation of the FWBuilder in a GNU/Linux OS, more specifically, the Debian 7 OS.

From the command line, enter the following command as superuser:

# apt-get install fwbuilder

This will install the FWBuilder and all it’s dependencies. As soon as the package manager finishes the installation of the newly requested packages, the FWBuilder will be ready to use.

To load the FWBuilder application, execute the following command:

$ fwbuilder

This will load the GUI, which will be explained in the next section.

1.3. User Interface – First Contact

The user will find the UI of the FWbuilder very familiar. It’s a typical and intuitive firewall GUI that allows an easy creation and deployment of firewalls, allowing a true centralized management. When the GUI is loaded, the following window will show:

front

In order to create a new firewall, the “Create new firewall” button should be pressed and the following dialog will show:

create

Here, the “NewFirewall” is set as the name of the firewall object. As we’re creating a firewall object for each of the nodes described in the environment section of this article, this name should be changed to one of the nodes, for example, “webclu-proxy-node-01”.

The initial setup for creating new FWBuilder firewall objects is completed in three simple steps:

The first step is shown above, where the user should set the firewall object name, the target software for which it should be compiled, and the target operating system where the firewall will run.

The second step is shown after clicking the “Next” button, diplaying the following dialog:

create_next

This will allow the user to choose the configuration method for the network interfaces of the target system. In order to cover the the manual interface configuration of the GUI and assuming the target node doesn’t have a SNMP server, we’ll opt to “Configure interfaces manually” by clicking “Next”:

create_next_next

On this dialog, it’s possible to configure the interfaces for the target node by clicking the ‘+’ button and entering the interface settings. If multiple interfaces exist, one can keep pressing the ‘+’ button in order to configure a new network interface for this node. As the interface configuration will be covered through the left context of the GUI interface, one can skip this dialog by clicking the “Finish” button. This will result in the following window to be displayed:

main_window

1.4. Base Firewall Object Structure

As the firewall rules may drastically increase over time for a single firewall object, a good practice to keep the simplicity of the object management is to create an initial base structure of well identified “Policy Rule Sets” (PRS) to allow a fast identification of the traffic processed through them. TheBased on this concept, we’ll create the following PSRs:

– Accounting

– Blacklist

– Default

– Inbound

– Outbound

To create a new PRS, right-click on the firewall object (in this case, the “webclu-proxy-node-01”) and left-click the “New Policy Rule Set” option. To change the PRS name, double-click the newly created PSR named “Policy_1” and change the “Name” field, located at the left-bottom corner of the displayed window. After changing it to “Accounting”, the user should have a similar content as diplayed in the following image:

new_policy

Repeat the steps to create the remaining suggested PSRs, except for “Default”, as this will not require the creation of a new PRS, since the “Policy” PRS can be renamed.

After all the PRSes are created, we’ll need to ‘route’ the traffic to each of the PSRs. This can be acomplished by making use of the “Default” PRS, by inserting “Branch” action rules:

— Configuring Outbound PRS:

– Double-click the “Default” PRS.

– Right-click on the rules dialog and select “Insert New Rule”.

– Right-click on Rule #0 Action column and select “Branch”.

– Drag and Drop the Outbound PRS into the “Policy ruleset object” field.

– Right-click on Rule #0 Direction and select “Outbound”.

— Configuring Inbound PSR:

– Double-click the “Default” PRS.

– Right-click on the rules dialog and select “Add New Rule at the Bottom”.

– Right-click on Rule #1 Action column and select “Branch”.

– Drag and Drop the Inbound PRS into the “Policy ruleset object” field.

– Right-click on Rule #1 Direction and select “Inbound”.

— Configuring Blacklist PSR:

– Double-click the “Default” PRS.

– Right-click on the rules dialog and select “Add New Rule at the Top”.

– Right-click on Rule #0 Action column and select “Branch”.

– Drag and Drop the Blacklist PRS into the “Policy ruleset object” field.

– Right-click on Rule #0 Direction and select “Both”.

— Configuring Accounting PSR:

– Double-click the “Default” PRS.

– Right-click on the rules dialog and select “Add New Rule at the Top”.

– Right-click on Rule #0 Action column and select “Branch”.

– Drag and Drop the Accounting PRS into the “Policy ruleset object” field.

– Right-click on Rule #0 Direction and select “Both”.

— Configuring a Clean-up rule:

– Double-click the “Default” PRS.

– Right-click on the rules dialog and select “Add New Rule at the Bottom”.

– Right-click on Rule #4 Action column and select “Deny”.

– Right-click on Rule #4 Direction and select “Both”.

The following image illustrates the current configuration:

init_structure

At this moment, any packets entering a specific “Branch” will not be allowed leave unless a “Continue” target is set at the bottom of each branch. In order to do so, the following procedures should be performed:

— Double-click the “Branch”.

— Right-click on the rules dialog and select “Insert New Rule” or “Add New Rule at the Bottom”.

— Right-click on Rule Action column and select “Continue”.

branch_continue

This rule must always be the last on each branch. Failing to do so, will cause any other rule below it to be ignored.

1.5. Configuring Interfaces

Once we skipped the network interface configuration on the previous sub-sections, these procedures will be addressed here. All the procedures here described can be replicated to create other devices in other firewall objects, as well as multiple interfaces on these same objects.

By creating interfaces in the firewall object, the FWbuilder will automatically enforce that configuration when deployed in the target firewall node. This usually is a great advantage, but the user should confirm twice any new or changed configuration, in order to grant that no incorrect settings that could stop the interface from running are present. If that happens, the remote node will stop responding from the misconfigured interface.

To create an interface on a firewall object, proceed as described below:

— Right-click on firewall object “webclu-proxy-node-01”.

— Click “New Interface”.

— Double-click on “Interface”.

— Change the name field to eth0.

— Right-click on “eth0” of the firewall object.

— Click “New Address”.

— Double-click the “webclu-proxy-node-01:eth0:ip” object.

— Change the “Address” field to: 11.12.13.14

— Change the “Netmask” field to: 255.255.255.0

— Right-click on “eth0” of the firewall object.

— Click “New Address IPv6”.

— Double-click the “webclu-proxy-node-01:eth0:ipv6” object.

— Change the “Address” field to: 1001:2001:3001:4001::1

— Change the “Netmask” field to: 64

The following image represent the current interface configuration for the IPv4 address:

interface_ipv4

The following image represent the current interface configuration for the IPv6 address:

interface_ipv6

1.6. Creating Objects

As the images presented in the previous sub-sections show, there’s a “Objects” category on the left dialog of the FWBuilder GUI. This folder contains a set of sub-categories that allow the user to create other types of objects other than firewall nodes and respective dependencies.

For now, we’ll be focused in the “Addresses” sub-category of the “Objects” main category. We’ll rely on this category to create the gateway addresses for each firewall node in order to allow us to configure the Routing table of the firewall (described in the next sub-section).

To create an Address object, go to the left upper corner of the GUI, expand the Objects category and proceed as follows:

— Right-click the “Addresses” category.

— Select “New Address”.

— Change the “Name” field contents to “webclu-proxy-node-01:gw”.

— Change the “Address” field contents to “11.12.13.1”.

address

The image above illustrates the newly created address. The user may now create all the remaining gateway addresses by repeating the specified steps for address creation.

1.7. Setting up the Routing Table

The FWBuilder also supports the configuration and maintenance of the routing table for the target nodes. This is specially useful from the point of view of centralized management for network devices or critical exposed systems.

Altough useful, it still is a dangerous configuration element that must be handled with extremelly care, as a wrong configuration entry may prevent the target node from being able to communicate out of its broadcast domain.

When used, the user must grant that all required routing table entries are configured for that particular firewall object, as the compiled configuration to be deployed, generated by FWBuilder, will replace any current configurations running on that node with the ones defined in the routing Routing Policy.

We’ll only address the default gateway entry for each firewall object referenced in this document. The user must configure any other required Routing entry and ensure that it contains all the required data in order to avoid the node from being unreachable.

The process to configure the default gateway entry in the “Routing” policy is described below:

— Double-click the “Routing” policy entry of the current firewall object.

— Right-click on the “Routing” policy rules panel.

— Select “Insert New Rule”.

— Drag the “webclu-proxy-node-01:gw” Address Object into the “Gateway” field of the Rule #0.

— Drag the “eth0” Interface Object into the “Interface” field of the Rule #0.

— Leave or grant that the “Destination” field of the Rule #0 is set to “Default”.

The following image demonstrates the result of the configuration steps described above:

routing

1.8. Compiling and Testing the Skeleton

We’re now able to compile and test the skeleton for the “webclu-proxy-node-01” firewall object. Since this skeleton isn’t allowing any inbound or outbound traffic yet, our test will be simply a compilation test in order to grant that everything is fine at this stage. The resulting script should not be installed and executed in the target node, as this will cause it to be unreachable.

To compile the skeleton, go to the FWBuilder tool bar and click on the Compile icon. This will open the following dialog:

compile_skeleton

By clicking the “Next” button, the compilation process will start. If everything is correctly configured, no errors nor warnings will occur. If the compilation process detects any errors or warnings, please review all the steps from the beggining of this document in order to fix any issues that may exist. After the compilation process is complete, the following dialog will show:

compile_skeleton_finish

The user may click on the “Inspect generated files” button to further analyze the resulting script and grant that everything is correctly generated. A copy of the resulting script from the current configuration can be found on Annex I – Compiled Script for Skeleton.

By clicking “Finish”, the dialog will close and the user will return to the main GUI window.

1.9. Section Final Thoughts

Thoughout this section, we’ve analyzed and/or reviewed some of the most important configuation elements of the FWBuilder. The user should now be familiarized with the GUI and have a clear “big picture” of the overall GUI functionalities.

The next sections will focus on creating the firewall rules for each of the hypothetical nodes described in the beggining of this document, as well as the steps for automated installation of the generated firewalls.

A final section (Section IV) will address some important aspects of the “Accounting” PRS, which will allow the integration of those results with a monitoring system.

Annex I – Compiled Script for Skeleton

annex1_firewalling

Autor: Pedro Hortas @ SysValue