Indisponibilidade do serviço Dynamic DNS No-IP

No seguimento de uma ação jurídica imposta pela Microsoft sobre a No-IP, e de forma a desactivar duas botnet’s conhecidas com os nomes Bladabindi (também conhecida por NJrat) e Jenxcus (também conhecida por NJw0rm), o serviço No-IP está agora a ser gerido pela Microsoft.

Microsoft

Esta ação está a causar a indisponibilidade de serviços importantes em mais de 4 milhões de domínios, o que significa que neste momento há impossibilidades de acesso a servidores e serviços de rede que dependem deste serviço gratuito/pago, como é o caso de servidores de jogos, acesso remoto, VPN e outros serviços críticos para muitas organizações. É provável que o serviço continue indisponível nos próximos dias, por tempo indefinido…

É importante recomendar a quem tem serviços Dynamic DNS gratuitos que estão dependentes da No-IP para se efectuar a alteração imediata do serviço para outros fornecedores de serviços e/ou propor a aquisição de um IP fixo.

Comunicado da No-IP: https://www.noip.com/blog/2014/06/30/ips-formal-statement-microsoft-takedown/

Comunicado da Microsoft: http://blogs.technet.com/b/microsoft_blog/archive/2014/06/30/microsoft-takes-on-global-cybercrime-epidemic-in-tenth-malware-disruption.aspx

Para os clientes que têm Dynamic DNS da No-IP activo, deixa de ser possível aceder aos serviços que dependem do No-IP. Esta ação está a ter um impacto significativo e extremamente negativo no negócio da No-IP.

Esta ação da Microsoft vem no seguimento de uma vulnerabilidade que tem sido exponencialmente explorada por indivíduos mal intencionados, que pretendem tirar o partido da simplicidade de instalação e o baixo bloqueio que é feito nestes serviços, permitindo grandes níveis de penetração e de proliferação de malware.

Recomendo a visualização de um video da CISCO que aborda este tema e o impacto que está a ter no serviço Dynamic DNS:

Advertisement

Compreendendo as Vulnerabilidades de Software

Neste artigo vamos analisar de uma forma geral o que representa as vulnerabilidades para as organizações e para as pessoas, nomeadamente qual a origem e seu o seu impacto.

Uma vulnerabilidade, múltiplos vectores:

• Rede Remota
• Rede Local
• Sistema local

Falhas com origem no código de aplicação devido a:

• Falha de segurança
• Erros funcionais

Onde estão essas aplicações:

• Servidores
• PCs, Portáteis, VMs
• Dispositivos móveis
• Impressoras, switch’s e router’s
• Appliances domésticas/empresariais

 

Da vulnerabilidade à ameaça

---

1. Um hacker identifica uma vulnerabilidade
2. Desenvolve uma forma de utilizar a vulnerabilidade para manipular a aplicação, dando origem a um exploit
3. O exploit é executado com sucesso
4. O hacker faz a festa.

Ameaças múltiplas

---

• Uma única vulnerabilidade pode ter diversos exploits
• As defesas mais comuns protegem exploits, não vulnerabilidades

 

Gestão de Riscos

---

• Conhecimento de vulnerabilidade e ameaças
• Nem todas as vulnerabilidades representam risco idêntico.
• Conhecimento de todos os equipamentos
• Nem todos os equipamentos têm, ou precisam, do mesmo nível de segurança

 

Visão global de vulnerabilidade, factos

Em 2013:

• 10 falhas zero-day foram descobertas nas 50 aplicações mais populares
• 14 falhas zero-day foram descobertas no total na generalidade das aplicações
• 13,073 vulnerabilidades foram descobertas em 2289 produtos vulneráveis
• Aumento de 45% em vulnerabilidades (tendência 5 anos)
• 79% das vulnerabilidades tiveram um patch disponível no dia em que foram divulgados.

Isto significa que é possível corrigir a maior parte das vulnerabilidades, e que as empresas e utilizadores finais têm fortes probabilidades de ter uma solução disponível para a origem do problema das suas falhas de segurança originadas nas vulnerabilidades do software.

Fonte: “Secunia Vulnerability Review 2014”

Novas e velhas ameaças

---

“Houve um aumento surpreendente de incidentes envolvendo o work Conficker, apesar de ter sido disponibilizado uma patch desde 2008.”

Fonte: “Information Security Breaches Survey 2013.” Technical Report. PwC

“Criando um código malicioso não é nenhuma ciência impossível: Em 2012, uma criança com 11 anos de idade desenvolveu um Trojan para roubar dados de login de jogadores online.”

Fonte: “AVG Community Powered Threat Report.” Q4 2012. AVG

Ao que estamos sujeitos

---

Fonte: Microsoft Security Intelligence Report volume 11 

É interessante analisar este gráfico que nos dá várias métricas e informação de análise, desde o momento em que é reportada a falha, até que é lançado o update. Devemos ainda considerar que que antes de ser reportada a falha pode já estar a ser explorada.

Mais curioso ainda é analisar a quantidade de ataques, sendo que há um pico de ataques no momento em que é lançada a atualização, surgindo no 1º mês seguintes uma maior intensidade dos ataques e no 2º mês após a falha ter sido detetada, dão-se ataques intensivos.

 

O que vulnerabilidades não resolvidas podem fazer

---

Departamento de Energia dos EUA

• A exploração das vulnerabilidades dos seus sistemas de informação causaram um roubo de informação pessoal de mais de 104.000 individuos
• Os atacantes neste caso foram capazes de utilizar exploits bem conhecidos e disponibilizados na internet, para ganhar acesso aos sistemas relevantes e retirar grande quantidade de dados
• informação que pode afectar os interesses pessoais e financeiros de muitos individuos.

Custos de limpeza:

• um valor estimado de 1,6 milhões de dólares (monitorização de crédito e de trabalho), mais 2,1 milhões devido a perdas de produtividade.

Universidade da California, Berkeley

• Milhões de tentativas de ataque registadas, numa base semanal.
• O tempo entre o anúncio da vulnerabilidade e quando são verificados os primeiros ataques tornaram-se cada vez mais curtos. Falamos de dias, e por vezes horas.

Snapchat

• Esta popular aplicação de troca de envio de fotos orientada principalmente ao mercado mais jovem, foi atingida por uma falha de segurança devido a uma vulnerabilidade.
• Especificamente, a relutância da empresa Snapchat em resolver os problemas de segurança levou a que fossem roubados nomes e números de telefones de 4,6 milhões de utilizadores da aplicação.

Facebook

• Cerca de 6 milhões de utilizadores foram afectados por uma vulnerabilidade de software, resultando na exposição de informação pessoal (ex: emails e números de telefone) durante cerca de 1 ano após o erro de software ter sido corrigido.
• Adicionalmente, o Facebook detetou uma infeção causada por malware em portáteis de diversos funcionários em Fevereiro, levando a que houvesse ataques direcionados aos programadores que visitassem o site de desenvolvimento que tinha sido comprometido.

Fontes:
“Department of Energy’s July 2013 Cyber Security Breach.” Special Report: IG-0900. Energy.gov. Dezembro 2013
“Universities Face a Barrage of Cyberattacks.” The New York Times. Julho 2013
“Technologists scold Snapchat for poor security.” USA Today, Janeiro 2014
“Top 10 Security Breaches of 2013.” CRN, Dezembro 2013

 

Custos operacionais por incidente de segurança

---

• Linha da frente (possui ferramentas e estratégias)
• Bombeiros (age sobre necessidade e solicitação; medidas reactivas)
• Líderes (um consultor de segurança, com medidas preventivas e monitorização)

 Fonte: “Defending Yesterday – The Global State of Information Security Survey 2014”, PWC, CIO magazine, CSO magazine, 2013

Investigação de vulnerabilidades

---

• Investigação, descobrindo e coordenando a divulgação de vulnerabilidades ajuda a melhorar a segurança geral e performance quer para os negócios, quer para os utilizadores
• As vulnerabilidades no software variam como elas podem expor máquinas e ambientes
• Compreendendo os riscos relacionados com cada vulnerabilidade permite que sejam classificados de acordo com o nível de importância
• O ponto anterior permite prioritizar o esforço de mitigação e de enfoque nas operações de segurança
• Investigação é um elemento chave no tratamento e resposta das vulnerabilidades.

 

Gestão de vulnerabilidades

---

As brechas vão continuar a acontecer, como tal devemos considerar:

1. Incluir segurança da informação como parte da estratégia do negócio
2. Desenvolver políticas e obrigar a que essas políticas estejam alinhadas com a estratégia
3. Focar em reduzir a área de ataque ou possibilidades de ataque
4. Preparar para responder a falhas
5. Monitorizar e reportar as actividades
6. Estar informado e acompanhar sobre o panorama das vulnerabilidades e ameaças

 

Performance counter registry hive consistency check

Estás a tentar instalar o Microsoft SQL Server 2008 e não consegues prosseguir porque aparece o erro Performance counter registry hive consistency check ?

Este erro já existe à alguns anos, a primeira vez que me deparei com o mesmo foi por volta de 2008 pouco depois do SQL Server 2008 ter saído e não foi directamente comigo mas com colegas da faculdade que não conseguiam instalar por dar este erro. Decidi publicar no meu blog pois ainda hoje no trabalho tive a explicar a um colega como se contornava este problema.

Basicamente este erro sucede em apenas algumas instalações do sistema operativo, tanto podes ter a sorte de não ter que fazer nada como poderás ter que fazer alterações para o ultrapassar, o mesmo acontece porque a instalação do SQL procura uma chave do registry e que caso a mesma não se encontre no registo, não é possível prosseguir com a instalação. Com este post pretendo partilhar a solução que arranjei na altura e que funciona muito bem, sem correr riscos de danificar o sistema operativo.

Para esta resolução precisas da ferramenta Process Monitor (grátis, da Microsoft):

• http://technet.microsoft.com/en-us/sysinternals/bb896645
• Editor de Texto (pode ser Bloco de Notas) ou Editor de Folhas de Cálculo
• NOTA: Estas instruções não obrigam a conhecimentos avançados de informática mas obrigam a um cuidado acrescido pois se manuseares mal o regedit podes impedir que o teu sistema operativo arranque ou originar outros problemas.

Passos:

1. Executar o utilitário Process Monitor e esperar breves minutos para que seja feito o carregamento dos últimos acessos de sistema;
2. Minimizar o Process Monitor;
3. Executar instalação do Microsoft SQL Server 2008 e seguir até ao ponto em que dá erro/efectua a verificação (é preciso obrigá-la a fazer a verificação para que haja uma tentativa de acesso ao registry);
4. Voltar a abrir o Process Monitor e dentro do programa aceder ao menu “Tools” > “Registry Summary“;
5. Clicar em “Save As…” e guardar o ficheiro onde desejares para o abrires posteriormente;
6. Podes abrir o mesmo com um Editor de Folhas de Cálculo ou mesmo com um editor de texto simples como o Bloco de Notas;
7. No editor que estiveres a utilizar procura utiliza a ferramenta de pesquisa e coloca “Perflib“;
8. Quando encontrares uma chave parecida com HKLM\Software\Microsoft\Windows NT\Current Version\Perflib\009, aponta os números a seguir ao \Perflib, (neste exemplo é a 009), essa é a chave que o instalador está a tentar aceder e que não existe no teu sistema;
9. Vamos então proceder à criação do registo que ele procura, inicia o regedit através do Menu Iniciar > Executar > “regedit” ou se tiveres no Windows Vista ou Windows 7 procura apenas por regedit;
10. Navega até à chave que encontraste no ficheiro, neste caso seria até HKLM\Software\Microsoft\Windows NT\Current Version\Perflib, verás uma chave já criada, por exemplo a 007;
11. Encontrarás dois valores dentro dessa chave “Counter” e “Help“;
12. Cria a chave que tinhas encontrado no passo 8 e dentro dessa nova chave cria os dois valores em formato Multi-String, não te esqueças de copiar o conteúdo da chave que já tinhas no registry;
13. Fecha o regedit e o Process Monitor, faz o re-run da instalação do Microsoft SQL Server 2008, agora já vai correr tudo impecável! :-)

Este work-around poderá não ser o melhor disponível mas é certo que funciona em todas as máquinas e não cria qualquer problema para o utilizador. Poderá parecer complicado mas é uma tarefa que com experiência se faz em menos de 5 minutos.

Microsoft Outlook 2007 Lento

A Microsoft lançou uma actualização para o Microsoft Outlook 2007 que diminui a performance e cria dificuldades na utilização do Outlook.

A actualização foi lançada à 2 dias e eu actualizei, na altura não associei que tinha sido devido a uma actualização mas a utilização do meu Outlook estava a ser impossível e massacrante. Eram precisos cerca de 10 segundos sempre que navegava pelas pastas.

Tentei diversas ações para contornar o problema, pensei inclusivamente que poderia estar relacionado com o facto de ter mais de 5000 e-mails na caixa de correio (faço o arquivamento dos meus e-mails com uma frequência anual), mas vim a descobrir que foi da actualização lançada pela Microsoft.

Bastará remover a última actualização feita ao Microsoft Outlook, para resolver o problema.

Numa altura destas, tendo em consideração a dimensão da Microsoft e o número de utilizadores desta aplicação, não consigo compreender como é que uma empresa de software lança uma actualização sem a testar intensivamente, demonstra uma enorme falta de profissionalismo por parte da Microsoft.

No meu caso prático, não me dá jeito nenhum estar a formatar e reinstalar tudo de novo, mas acredito que tenha havido e haja muita gente a contornar o problema através de reinstalações e a pensar que o problema reside no seu computador.

Este é um grande exemplo de como é importante testar as aplicações e as suas actualizações antes de as entregar ao cliente.

O Petróleo do Futuro

Certamente já repararam que estamos a viver uma altura em que as T.I. estão claramente a destacar-se ao fazer com que a informação das pessoas e das empresas seja despejada na Web. Por um lado, esta tendência leva a que a informação seja acessível a partir de qualquer lugar, a qualquer altura, no entanto, será tudo perfeito?

Obviamente que Não! Questões como a segurança e a privacidade da informação estão a obter um enorme relevo exactamente porque começa a haver falta de controlo por parte da informação que é colocada online.

Um exemplo deste fenómeno é a famosa rede social Facebook que tem sido constantemente obrigada a facilitar e permitir uma maior segurança da informação das pessoas. O Facebook tem neste momento mais de 500 milhões de utilizadores activos e os seus utilizadores passam mais de 700 biliões de minutos online por mês (ver estatítiscas aqui), olhando para o perfil de cada pessoa, é fácil imaginar a quantidade de informação que esta empresa tem em sua posse, tornando-a um alvo apetecível para qualquer organização, para o próprio Facebook e seus investidores, ou, inclusivamente, para pessoas mal intencionadas.

Cada vez mais distante vai o tempo em que as petrolíferas e os investidores do petróleo dominam o mundo derivado à sua dependência generalizada, passando as Tecnologias de Informação a ser a nova dependência mundial.

Com a intensificação da aposta na Cloud Computing (ver definição), com empresas de relevo na área como a Google e a Microsoft a apostar cada vez mais nessa vertente, disponibilizando aplicações e recursos online, as organizações e as pessoas passarão cada vez mais a colocar o seu trabalho e a sua informação online, dependendo cada vez mais da Web.

Se por um lado há vantagens em colocar a informação online, por outro surgem muitas perguntas:

• até que ponto será seguro?
• que informação se pode colocar online?
• que dependências existem ou podem vir a existir?
• como podem os profissionais de T.I. contribuir para garantir o sucesso e eficácia desta tendência?

Pretendo com este blogue responder a estas e outras perguntas através da análise e discussão de ideias e publicação de notícias da área de T.I..