Falha de Segurança no ArcServe

fevereiro 23, 2007

Sei que muitos acessam meu blog a procura de noticias sobre o mundo livre, mas irei colocar esse post justamente para isso. Mostrar que nem só do Mundo Livre falarei… (Mesmo que eu quisesse muito só fazer isso…), pois nem só de OpenSource vivo agora (Um dia eu consigo…).

Então indo ao problema desse post…

Hoje em minhas pesquisas diárias me deparei com uma notícia de falha no serviço de backup da CA.

Essa vulnerabilidade através de inserção de códigos maliciosos pode ocasionar o Buffer OverFlow que então pode liberar acesso de System Local para o invasor.

Muitas pessoas ficam tranquilas ao saber que seu servidor fica atrás de um firewall e assim impossibilitando o acesso de invasores externos, mas como estamos falando de empresas. Que tem diversas pessoas diferentes trabalhando entramos no fator invasão interna. Ou seja, a correção dessa falha deverá ser efetuada por todos.

A correção é de simples execução, mas como essas mudanças não me deixa muito seguro, enviei um e-mail para o suporte da CA. Estou aguardando respostas em relação as minhas rotinas atuais de Backup. Pelo que li não vi nada que posso impactar nas mesmas, mas não custa nada se precaver um pouco mais.

Essa falha abrange as seguintes versõe:

BrightStor Products
BrightStor ARCserve Backup r11.5
BrightStor ARCserve Backup r11.1
BrightStor ARCserve Backup for Windows r11
BrightStor Enterprise Backup r10.5
BrightStor ARCserve Backup v9.01
CA Protection Suites r2
CA Server Protection Suite r2
CA Business Protection Suite r2
CA Business Protection Suite for Microsoft Small Business Server Standard Edition r2
CA Business Protection Suite for Microsoft Small Business Server Premium Edition r2

Segurança é muito importante. Algumas vezes só vislumbramos isso depois do estrago. Seja pró-ativo.


ZFS – Sun Solaris Filesystem (parte 1)

fevereiro 10, 2007

“A última palavra em sistema de arquivos…”

Bom, assim começa a apresentação da Sun Microsystems sobre o ZFS. Realmente se analisarmos pelo menos alguns tópicos, dentre tantos listados pelos técnicos da Sun, ficaríamos realmente impressionados.

 As principais características, com certeza, são o conceito de Pooled Storage, que aposenta o conceito de volumes e capacidade impressionante de 128-bits.

Logo de cara, uma mudança conceitual drástica, enquanto os FS(filesystems) convencionais trabalham com a abstração de disco virtual, o ZFS traz o conceito de alocação dinâmica(malloc / free), ou seja, customizável e portável, podendo ser gerenciado de acordo com o dimensionamento dos seus recursos e necessidades. Fim das partições, agora são recursos em grupo(pool) que são sempre compartilhados. Utilização total de checksum, livre de arquivos corrompidos silenciosamente. Diferente dos FS convencionais, o checksum não é armazenado com o bloco de dados verificado e sim em um ponteiro para o bloco, permitindo uma validação do bloco em todo o seu caminho.

Com certeza, são inovações bastante interessante e que envolve muito mais complexidade e pesquisa do que foi demonstrado por aqui, mas espero que sirva como um startup, ainda mais com a disponibilidade do Open Solaris e a abertura do Java.

Estarei trazendo mais informções sobre o ZFS e demais características dessa plataforma, portanto, até a próxima.


Segurança pode ser contabilizada?

fevereiro 7, 2007

Muitos de nos, consultores, sempre usamos do medo para implantar um novo serviço em um cliente novo ou até mesmo antigo. Alguns desses dizem que isso é bom para manter o bom serviço do cliente, mas outros se entregam a dizer que é apenas mais uma forma de obter recurso ou mesmo o cliente novo.

O que é fato é:

A segurança de certo modo não pode ser contabilizada com somente um caso isolado, pois nem todo incidente de segurança pode levar alguém a falência. Tal como um mercado que tem um sistema de frente e fundo de caixa informatizado, se algum problema parar o serviço, um serviço manual resolverá o problema até o técnico chegar e colocar tudo “nos eixos”.

O que quero dizer não é que a segurança é dispensável, pelo contrário, estou ingressando nessa área como profissional, pois acho que é muito importante para os serviços de administração de rede que já desempenho.

Então, o que digo são as “falsas verdades” que é muito dita sobre os meninos gênios que nada tem o que fazer senão invadir pequenas redes para então roubar todos os dados e cobrar uma fortuna por eles. Não que isso seja impossível, mas vamos olhar de uma forma mais aberta, isso é muito improvável, mas como não trabalhos dessa forma devemos oferecer o melhor, mas sem exageros, por favor.

Nesse mesmo mercado a segurança é muito importante, ainda mais se existe alguma integração dos dados cadastrais do cliente trafegando nessa rede. Além de “sujar” o nome da empresa, poderá ocasionar em alguns processos judiciais.

Em ultimo ponto o que muito é passado, mas pouco pensado é:

Um Firewall/Proxy não é a solução dos problemas, sem uma política de segurança interna, perigos de dentro da rede podem levar por rio abaixo TODO seu investimento.

Então agora entra o X da questão, como contabilizar isso? Como saber o que devo fazer dentro da empresa e saber que deve ou não acessar tal informações?

Temos duas vertentes:

Tudo que não é expressamente liberado é proibido. – Parece um pouco rígido, mas acredite funciona muito bem em empresas com grandes riscos internos e pouco tempo para organização do mesmo.

Tudo que não é expressamente proibido é liberado. – Um pouco mais brando, mas é também uma ótima solução, muito bem difundida nas empreas, pois não há muito confronto com as idéias já existentes, mas se essas proibições não forem avaliadas com cuidado a organização pode nunca funcionar de verdade, pois como os problemas mudam a equipe deve se manter sempre atualizada.

Exemplos

Se uma empresa de vendas de sapatos solicita a informatização de todas suas filiais para centro único de dados da empresas com sistema de backup diário e site hospedado em sua própria rede com compras online!?

“De cara” visualizamos os serviços a serem usados. Servidor de Banco de Dados, Servidor Web, se não houver link de dados entre as filiais um servidor de VPN, Servidor de Backup, Firewall e Proxy.

No meu caso, em ordem ficaria – Mysqld, Apache, Openvpn, Amanda, Iptables, Squid+Mysar (Emissor de relatórios do squid).

Tudo certo não é? Mas e as recomendações de segurança? Lá vamos nos…

Nesse caso seria:

Os acessos a internet seriam restritos a sites corporativos tendo como exceção horário do almoço para alguns sites de noticias, lazer e afins, mas nunca de E-mails externos, pois além de serem uma porta aberta para vírus ainda sim ter o fato dos dados confidenciais serem tirados da empresa por algum empregado descontente ou mesmo desonesto. Os e-mails enviados pelos funcionários devem ser controlados e adicionados a um bom anti-spam.

Não somente os acessos a internet seriam controlados e também aos dados internos. Se for o caso de precisar de arquivos serem compartilhados entre maquinas de trabalho seria adicionado o serviço de Servidor de Arquivos a lista acima, o samba faria um ótimo trabalho. E assim os funcionários estariam logando em suas estações, que nesse caso poderia ser tanto Linux quanto Windows.

Alguns detalhes também seriam tratados, tais como portas usb, drivers de cdrom e modens dial-up. Todos uma GRANDE porta aberta tendo de entrada como de saída de dados, pois não só o fator confidencial está envolvido nesse problema e sim também a pirataria de software. Uma vez que é encontrado dentro de uma empresa um software pirata, a empresa é responsabilizada pelo mesmo. Então nesse caso o OCS Reports seria uma boa alternativa para detectar tais dispositivos nas maquinas clientes da rede.

Por fim, será isso tudo mesmo necessário para uma empresa de vendas de sapatos? Sim, pois estamos falando de um custo de no mínimo R$ 2.500 somente com o serviço de instalação e pequeno treinamento na manipulação dos serviços.

Falamos aqui de serviços e valores, mas que tamanho é essa empresa? Será mesmo que ele precisa trocar arquivos fora do processo normal do seu aplicativo de venda com seu banco? Será mesmo que uma retirada de TODOS os periféricos problemáticos e maquinas trancadas não resolveria? Tudo depende do que a empresa deseja utilizar, pois muitas empresas fazem acima do que pode e acabam pagando caro mais a frente, seja na utilização de recursos sem segurança ou no uso da segurança em excesso.

Cuidado, muito cuidado. Tais indicações devem ser devidamente analisadas.


O que faremos daqui para frente…

fevereiro 7, 2007

O Techfree abordará as nossas experiências com as ferramentas livres e novas tecnologias, como as mesmas foram usadas por nós, poderemos então demonstrar com maior certeza as nossas complicações e vislumbramentos do mesmo.

Em alguns pontos podemos apenas citar uma noticia ou alguma ferramenta a ser usada, mas essencialmente será feito por nossas próprias tentativas…

Divirtam-se…