TREND MICRO NOVAMENTE #1 EM PROTEÇÃO

24/03/2010 - 04:42

Trend Micro novamente #1 em proteção
Agora segundo testes da AV-Test.org

AV-Test.org testou o desempenho da segurança em terminais corporativos fornecida pelas soluções das cinco principais empresas do mercado: Symantec, McAfee, Microsoft, Sophos e Trend Micro.

Os testes tradicionais concentram-se em identificar o produto que melhor detecta um conjunto conhecido de arquivos malware durante experiências fechadas. Esse tipo de teste está superado e não leva em conta como as ameaças se propagam hoje em dia, nem o modo pelo qual os computadores são usados.

No experimento da AV-Test.org, foi utilizada uma metodologia mais adequada ao mundo real, na qual as amostras são URLs maliciosas associadas a arquivos malware, o que permitiu às soluções bloquear as ameaças na sua fonte (URL) ou durante o download. Também foi testada a habilidade de isolar, analisar e proteger contra qualquer amostra que não fora detectada durante a primeira bateria, mas somente em uma segunda bateria realizada uma hora depois.

Clique aqui Para descarga do reporte ou consulte as perguntas mais freqüentes no documento anexo (idioma inglês).

Postado por luiz.oliveira

Nenhum comentário »

Adicione aqui seu comentário

Nova pesquisa da NSS LABS publicada - Análise de Anti-malwares

5/11/2009 - 02:05

Durante muito tempo os grandes laboratórios que realizam pesquisas sobre a eficiência das ferramentas anti-malware trabalharam com um conceito de testes baseado exclusivamente com bases de vacinas (pattern), sendo os testes realizados no seguinte formato:

  1. É selecionada um hard disk contendo o maior número possível de malwares conhecidos e instalado em uma máquina de testes;
  2. Nesta mesma máquina é instalada a ferramenta anti-malware a ser testada e então é iniciada a verificação do hard disk com os malwares;
  3. Ao final do scan é verificado o relatório apresentado pela ferramenta e analisado para se constatar qual o percentual de malwares que a ferramenta conseguiu detectar / eliminar;
  4. Após a repetição do mesmo teste com todas as ferramentas do escopo, os relatórios de desempenho são analisados e é gerado o relatório final da pesquisa, contendo o comparativo entre o desempenho de todas as ferramentas testadas;

O tipo de teste descrito acima foi eficiente durante muito tempo, porém nos últimos anos a complexidade dos malwares aliada a dificuldade em sua detecção forçou os fabricantes de ferramentas anti-malware a mudarem a sua estratégia para conseguir manter a eficiência na proteção a seus clientes. A principal modificação na estratégia de proteção é trabalhar com novas tecnologias, além das bases de vacinas, como por exemplo reputações de web sites, co-relação de ameaças, etc.

Analisando está nova estratégia de proteção, é fácil concluir que o teste de desempenho citado no início deste post é atrasado, não levando em consideração estas novas tecnologias incorporadas as estratégias de proteção, logo não conseguem refletir o real percentual de proteção fornecido pelas ferramentas testadas.

Buscando melhorar o procedimento de testes das ferramentas anti-malware, o NSS LABS desenvolveu um novo procedimento para testes, fazendo a análise das ferramentas agora simulando um ambiente real, com acessos a internet, arquivos, utilização de pendrives e demais atividades normais no cotidiano de uma empresa. Este novo processo de testes foi feito da seguinte forma:

  1. Foram escolhidas as principais ferramentas anti-malware do mercado para participarem dos testes;
  2. A ferramenta anti-malware a ser avaliada é implementada no ambiente seguindo todas as melhores práticas de configuração / implementação do fabricante da ferramenta;
  3. A ferramenta anti-malware é avaliada pelo período de 21 dias, sendo submetida a ameaças web, novos malwares que ainda não possuem vacina (devem ser identificados pelo seu comportamento) e demais ameaças existentes;
  4. Após o período de 21 dias foram gerados todos os relatórios referentes ao seu nível de desempenho;
  5. O procedimento é repetido com todas as ferramentas que participam do teste;
  6. Ao final é gerado um relatório com o comparativo entre todas as ferramentas testadas;

Com este novo procedimento para os testes das ferramentas, todo o potêncial de proteção das mesmas é validado, sendo que o relatório final gerado a partir da análise das ferramentas pode ser considerado o mais próximo da realidade.

O último relatório da NSS LABS testou as 10 (dez) principais ferramentas anti-malwares disponíveis no mercado, sendo que a que oferece melhor proteção é a ferramenta OfficeScan do fabricante TREND MICRO. Abaixo seguem os principais dados deste relatório e os links para acesso ao relatório completo em PDF:

Ferramentas Analisadas e suas respectivas Versões (lista em ordem alfabética)

  • AVG Internet Security, version 8.5.364
  • Eset Smart Security 4, version 4.0.437
  • F-Secure Client Security version 8.01
  • Kaspersky Internet Security 2010, version 9.0.0.459
  • McAfee VirusScan Enterprise:8.7.0 + McAfee Site Advisor Enterprise:2.0.0
  • Norman Endpoint protection for Small Business and Enterprise
  • Sophos Endpoint Protection for Enterprise - Anti-Virus version 7.6.8
  • Symantec Endpoint Protection (for Enterprise), version 11
  • Panda Internet Security 2009, version 14.00.00
  • Trend Micro Office Scan Enterprise, version 10

Tabela Comparativa dos Resultados Finais:

Resultados dos Testes da NSS LABS

Resultados dos Testes da NSS LABS

Para acesso aos relatórios completos: link (é necessário realizar o cadastro no site da NSS LABS para ter acesso aos relatórios) No link existem os relatórios dos testes das versões corporativas das ferramentas e das versões para uso pessoal.

Acesso ao site da empresa Trend Micro: Link

O grande diferencial das soluções Trend Micro é a sua estratégia, denominada Smart Protection Network, vale a pena acessar o link e entender como ela funciona. Logo teremos um post dedicado e ela em nosso blog.

Postado por André Luiz Latansio de Oliveira

Tags: , , , ,
Nenhum comentário »

Adicione aqui seu comentário

Trend Micro lança Service Pack para o Antívirus Worry-Free 6.0

20/10/2009 - 04:42

 

  Trend Micro

 

O Worry-Free Business Security, também conhecido pela sigla  WFBS, que oferece proteção mais segura e inteligente para pequenas Empresas, lança seu mais novo Service Pack, com o objetivo de tornar o mesmo operacional para sistemas Windows 7. Este novo Service Pack não para por aí – ele oferece muito mais segurança e novidades especialmente desenvolvidas para um mundo com ameaças cada vez mais sofisticadas.

Abaixo segue a lista dos recursos que esse Pack tende a melhorar:

Worry-Free Business Security 6.0 Service Pack 1:
• Suporte à Windows 7 e Windows Server (Foundation) 2008 R2
• Suporte à Virtualização
• Proteção contra ataques direcionados à própria solução de segurança
• Mais facilidade no gerenciamento do firewall
• Suporte à reputação Web de HTTPS

Esse Service Pack é disponível para as versões Standard e Advanced.

Para baixá-los entre nos links abaixo:

Versão Worry-Free Business Security – Advanced

http://www.trendmicro.com/download/product.asp?productid=39

 

Logo Após baixe o Arquivo:

WFBS Advanced 6.0 SP1 (WFBS6.0_Advanced_EN_ServicePack1_B2122.exe, 104.1MB)

 Versão Worry-Free Business Security – Standard

http://www.trendmicro.com/download/product.asp?productid=40

 

Logo Após baixe o arquivo:

WFBS Standard 6.0 SP1 (WFBS6.0_Standard_EN_ServicePack1_B2122.exe, 104.1MB).

Antes de realizar a instalação do Service Pack é de suma importância ler os Guias de instalação que se encontram, junto às paginas de downloads citadas acima:

Readme

Installation Guide

Administrator’s Guide

Fonte:  www.trendmicro.com.br

 

                                                                                                                                                                   Compatível com Windows 7

Postado por Edinaldo Tiedt

Nenhum comentário »

Adicione aqui seu comentário

Virtualização de desktops com o Citrix XenDesktop

1/10/2009 - 09:42

Citrix XenDesktop é a escolha clara para virtualização de desktop e oferece desktops virtuais como um serviço para os usuários em qualquer lugar. Com o Citrix XenDesktop, os usuários podem acessar suas áreas de trabalho virtuais e aplicativos em qualquer rede e dispositivo. Ao implementar uma solução de virtualização de desktop que você pode reduzir o TCO gerenciamento de desktops de até 40%, centralizando os desktops virtuais no datacenter e simplificar o ciclo de vida do desktop tradicional.

Citrix XenDesktop é a única solução de virtualização de desktop que proporciona ao usuário uma experiência de alta definição através de qualquer conexão - a partir da rede corporativa local para redes de alta latência ampla área para acesso de desktop remoto utilizando tecnologia Citrix HDX.

Citrix XenDesktop é construído sobre uma arquitetura aberta para oferecer aos clientes a escolha e flexibilidade da plataforma de virtualização e dispositivos de endpoint. Ao contrário de ou outros  alternativas virtualização de desktop (VDI), o Citrix XenDesktop simplifica o gerenciamento de desktop usando uma única imagem principal de desktop virtual para oferecer desktops virtuais personalizados para as máquinas físicas, o que lhe permite gerir os níveis de serviço com monitoramento de desempenho built-in e reduzir o espaço em disco necessário em até 90%.

“Se você tirar as aplicações da equação, é possível usar a mesma imagem para centenas de usuários, em vez de criar uma para cada um”, disse o diretor da Citrix para Europa e Oriente MédioDave Austin. Trabalhando em conjunto com a virtualização de aplicações você ganha em desempenho, pois vai entregar os aplicativos separado da imagem do Desktop. Dessa forma podemos ter os aplicativos centralizados em um só lugar isso quer dizer somente um ponto de gerencia, atualização e instalação. Isso é possivel usando o XenApp.

A Altatech possui a solução completa de virtualização

A Altatech possui a solução completa de virtualização

Dentre os principais benefíos do Citrix XenDesktop se destacam:

O melhor TCO para desktops - centralizando e simplificando o gerenciamento de desktops em todo o ciclo de vida do ambiente de trabalho reduz a sobrecarga de gerenciamento de desktop e requisitos de armazenamento; estende os ciclos de vida de desktops, e reduz custos de energia e refrigeração.

Uma única imagem de gerenciamento para os desktops - Manter uma única imagem de desktop virtual no datacenter, proporcionando aos usuários um up-to-date, área de trabalho de excelente qualidade a cada início de sessão. Reduz drasticamente os esforços para aplicação de patchs e manutenção,  reduz os custos de armazenamento por até 90%. Pois você só tera que alterar e manter atualizada uma imagem que será distribuida a todos.

Experiência do usuário em alta definição - Se os desktops estão remotos ou local, o XenDesktop garante ao usuário uma experiência de alta definição a partir de qualquer dispositivo, em qualquer rede.

Built-in de aplicativos virtuais - aplicações virtuais (XenApp) permitem deixar menor e mais simples as imagens de desktop virtual e eliminar conflitos com o sistema. Isto pode reduzir a aplicação de testes de regressão e aumentar o desempenho de desktop virtual em até duas vezes.

A arquitetura aberta - O Citrix XenDesktop integra-se com XenServer, Microsoft Hyper-V e VMware ESX, e funciona out-of-the-box com servidores físicos. Isso garante uma aberta e flexível implementação de virtualização de desktop, sem dependência de fornecedores de virtualização ou dispositivos terminais.

Antes de virtualizar reveja com cuidado as soluções disponíveis no mercado. Com certeza uma solução Citrix vai atender as suas necessidades e superar suas expectativas.

A Altatech possui vários clientes usando as soluções Citrix (XenServer, XenApp e XenDesktop) em suas redes e profissionais qualificados para propor um projeto baseado na sua real necessidade.

Video mostrando o XenDesktop com 4 monitores:

Video comparando as soluções VDI’s Citrix XenDesktop vs. VMWare VDM:

Video com um comparativo RDP vs ICA:

Postado por Frederico Mercer de Lima

Tags: , , , , ,
Nenhum comentário »

Adicione aqui seu comentário

EVENTO - RoadShow Todos Conectados

18/06/2009 - 09:06

RoadShow Todos Conectados

Conecte-se às mais avançadas tecnologias.
Conecte-se aos mais inovadores fabricantes mundiais.
Conecte-se aos renomados palestrantes da área.

Ou melhor, deixe que a gente conecta tudo isso a você

Participe do principal evento de tecnologia do ano: RoadShow CNT Brasil 2009, que une você aos mais importantes fabricantes de tecnologia, palestrantes da área e mídias do segmento de TI.

 

Fabricantes:

  • 3Com
  • Citrix
  • Wyse
  • Trend Micro
  • RSA
  • NetApp
  • TrendNet
  • ThinPrint
Agenda do Evento

Inscreva-se aqui

Postado por Carlos Balconi

Nenhum comentário »

Adicione aqui seu comentário

Altatech presente em conferência de segurança: YSTS 3.0

24/05/2009 - 03:37

Pela segunda vez consecutiva, eu (Bruno), analista de segurança da Altatech, serei palestrante em uma das mais importantes conferências de segurança do Brasil, a Y0u shot the sheriff (www.ysts.org), a conferência que será realizada no dia 22 de Junho em São Paulo/SP em um lugar onde só poderão saber os participantes (nem eu sei ainda) tem um clima diferenciado por ser produzido em um bar, palestras com os profissionais em destaque no Brasil e no mundo, esse ano 10 palestras sendo 3 nacionais e as demais internacionais (com tradução simultânea) é uma ótimo lugar para conhecer pessoas importantes no mundo da segurança e troca de informações, abaixo vai a grade oficial:

Políticas - Policy - The Biscuit Game of Infosec

Jim O’Gorman

Atrás das Cortinas – explicando os processos do Microsoft Security Response

MIKE REAVEY: Director, MSRC

W3af – Um Framework para dominar a WEB (agora, com código estável)

Andrés Riancho

Perfilando Ataques Híbridos e Ameaças Modernas

Derek Manky

Atacando Sistemas de Mensagens em Telefones celulares

Luis Miras

Zane Lackey

Hackeando do banheiro

Bruno Gonçalves de Oliveira

Riscos de RIA (Rich Internet Applications)

Kevin Stadmeyer

Jon Rose

Engenharia Reversa e auditoria de subsistemas Microsoft e implementações 3rd party
Aaron Portnoy

Como Transformar uma Abotoadura em um Boné
Porque os gestores devem olhar de perto os controles técnicos de segurança

Eduardo V. C. Neves

Segurança e técnicas de intrusão em ambiente Oracle

Wendel Guglielmetti Henrique

Se quiser ver ótimas palestras, conhecer ótimas pessoas, faça já sua inscrição ;)

Postado por Bruno Gonçalves de Oliveira

Nenhum comentário »

Adicione aqui seu comentário

Trend Micro lança software de segurança Smart Surfing para Mac OS X e iPhone/iPod touch

19/05/2009 - 08:59

A Trend Micro trouxe recentemente para o mundo Apple o seu software de segurança Smart Surfing. Há algumas semanas, ele chegou à App Store;  e foi lançado em versão para o Mac OS X.

22-smart_surfing_iphone01-246x500

No iPhone/iPod touch, o Smart Surfing funciona como um browser qualquer, porém com camadas extras de segurança para evitar que usuários visitem sites com conteúdos maliciosos. Cada página aberta é checada no banco de dados Web Reputation, da Trend Micro. Quando a URL bate com um item da lista negra, a pessoa é alertada e pode optar por continuar ou não. O app oferece, inclusive, uma configuração que permite ao usuário definir o nível de proteção desejado.

No Mac, o Smart Surfing bloqueia mensagens instantâneas e links de emails que possam levar o usuário a sites perigosos, além de trazer proteção contra scams de phsihing, vírus, worms, cavalos de Tróia e outros malwares. Além disso, ele oferece um sistema de controles parentais que filtram o acesso a conteúdos por categoria.

O Smart Surfing para iPhones/iPods touch requer o firmware 2.0 e está disponível gratuitamente na App Store (400KB). Já o Smart Surfing para Mac custa US$70/ano, porém uma versão trial de 30 dias pode ser baixada no site da Trend Micro. Ele requer o Mac OS X 10.4.11 ou superior.


Postado por Edinaldo Tiedt

Nenhum comentário »

Adicione aqui seu comentário

Cyber Warfare no Mundo Corporativo

18/05/2009 - 12:55

Por muito tempo se tem notícias de guerras cibernéticas, ou seja, *guerras* que acontecem nos sistemas de informação de um governo. Apesar dos mais céticos duvidarem que isso existia, hoje é inegável que isto esteja mais perto do que imaginávamos.

Muitas notícias evidenciam de forma, bem clara, como isto é realidade, a última mais impactante foi o roubo de um projeto de USD 300 bi de um super-caça americano, para que alguém se arriscaria tanto? O projeto estava sendo hospedado dentro do Pentágono, não é necessário dar mais detalhes né?

Agora como um projeto tão valioso estava em um computador *de alguma forma* plugado na Internet? Um certo absurdo, que ainda não consigo imaginar de quem foi essa idéia *brilhante*.

Essa guerra, apesar de vários desconhecer, ultrapassa os limites de crenças, religiões, patriotismo, etc. Hoje essa é uma questão financeira que movimenta muito dinheiro. Mas o que aprendemos com isso? A guerra cibernética é aplicada, em muito mais quantidade, dentro do mundo corporativo, onde ex-funcionários, empresas concorrentes fazem de tudo para conseguir informações privilegiadas.

O uso de *crackers* como espiões industriais são práticas comuns no mundo *underground* onde são pagos para descobrir segredos e informções que possam favorecer produtos/serviços da empresa concorrente. Apesar do crescimento de uma conscientização relacionada a segurança da informação, muitas grandes empresas ainda não descobriram o valor real de se averiguar e avaliar o seu próprio sistema de informação.

E, pode ser, que o seu *caça de USD 300 bi* esteja tão exposto quanto esse que foi roubado. A auditoria e a classificação de informações deve ser rigorosa e contar com uma consultoria. Quando as estatísticas demonstram que 70% dos ataques a redes corporativas são feitos através de informações sigilosas, isto é, com informações provindas diretamente de alguma pessoa com privilégios suficientes dentro da corporação, a avaliação dos sistemas deve avaliar também até onde seu colaborador pode chegar e que tipo de informações ele pode levar pra fora de seu alcance.

Como, em tudo, nada é 100% perfeito, se ainda não houver consciência esses ataques serão ainda muito mais fáceis e acessíveis. Mesmo depois da disseminação da importância da segurança, muitos empresários ainda se retém a custos e não conseguem calcular quantos benefícios as políticas de segurança bem empregadas poderiam trazer a sua empresa.

Postado por Bruno Gonçalves de Oliveira

Nenhum comentário »

Adicione aqui seu comentário

Rede sem fio. Segurança é mais que obrigação!

28/04/2009 - 03:29

Quem nunca ouviu “eu uso a rede sem fio do meu vizinho de graça, ele nem sabe” ou algo equivalente?
Pois é, o que parece a principio uma boa forma de se usar a internet sem ter que pagar ou até mesmo para tentar fingir para os amigos que é um “craque” da informática por estar roubando a internet do vizinho, pode trazer complicações muito sérias para quem rouba e para quem é roubado.

Suponhamos que o seu vizinho “ladrão” esteja envolvido com algo ilegal na internet, fazendo tudo que ele quer através de sua conexão, quando os investigadores chegarem a descobrir o IP do equipamento que estava fraldando a rede darão de cara com você, que nada sabe e nem saberá até que a polícia esteja aí em sua porta, te acusando de coisas que você nem mesmo tem idéia de que estava acontecendo.

Para se livrar desde problema ou de outros mais ou menos graves, uma simples configuração em seu roteador wireless para impedir por completo ou ao menos dificultar bastante que sua conexão seja usada indevidamente por terceiros, pode ser feita. Hoje todos os roteadores - que eu conheça - tem as opções de segurança disponíveis para que você possa deixar sua rede  mais segura e que possa dormir mais tranquilo ao deixar o seu roteador ligado.

Vamos ver um pouco sobre as formas de proteção mais comuns que encontraremos em nossos roteadores, que são: WEP, WPA, WPA2.

WEP - Wired Equivalent Privacy

A segurança de uma rede sem fios é muito importante, especialmente para a hospedagem de aplicativos e de informações valiosas. Por exemplo, redes transmitindo números de cartão de crédito para verificação ou armazenando informações sensíveis definitivamente precisam ter sua segurança reforçada. Nesses casos, você deve ser proativo na proteção de sua rede contra ataques de segurança.

Quando ativamos o Access Point com os parâmetros originais de fábrica, todos os equipamentos com adaptadores WiFi em sua área de cobertura poderão se conectar a ele e visualizar os dados sendo transmitidos. Isso pode permitir que hackers violem seu sistema ou roubem dados sigilosos. A primeira medida para evitar esse problema é ativar WEP em sua rede.

WEP, sigla para o protocolo de segurança de redes sem fio padrão 802.11, é um padrão opcional de criptografia e compressão que está disponível na maioria das placas de interface de rede e nos elementos ativos, tais como Access Points. Quando implementamos uma rede Wireless, devemos estar bem atentos à ativação do WEP para melhor a segurança.

O Funcionamento do WEP

Se um usuário ativa WEP, o adaptador de rede codifica o pacote de dados (cabeçalho e corpo) de cada frame 802.11 antes da transmissão, usando uma chave fixa que deve estar configurada no Access Point, e faz a decodificação no momento da recepção do frame. WEP somente codifica dados entre estações 802.11. Uma vez os dados tenham sido recebidos, WEP não é mais aplicado.

Como parte do processo de codificação, WEP prepara para uma chave concatenando a chave compartilhada configurada pelo usuário com um vetor de inicialização (IV). O vetor de inicialização é usado para prolongar a vida da chave, uma vez que a transmissão pode ser feita com um elemento diferente do IV, gerando chaves pseudo-aleatórias mais complexas. Os pacotes WEP também incluem um campo de verificação de integridade (ICV).
O ICV é uma validação de integridade que a estação receptora recalcula e compara com a enviada pelo transmissor para determinar se os dados sofreram qualquer modificação durante sua viagem no ar. Se a estação receptora calcular um ICV que não combina com o valor no frame, ela pode rejeitar o pacote ou alertar o usuário.

WEP especifica chaves compartilhadas fixas de 40 ou 64 bits para codificar e decifrar os dados. Alguns vendedores incluem também chaves de 128 bits (conhecido como WEP2) em seus produtos. Com WEP, a estação receptora deve usar a mesma chave para decodificação. Cada NIC e ponto de acesso, então, devem ser manualmente configurados com a mesma chave.
Antes da transmissão acontecer, WEP combina a chave com o pacote de dados e o ICV através de um Ou Exclusivo binário, que produz dados codificados. WEP inclui o Vetor de Inicialização não codificado dentro dos bytes iniciais do corpo do frame. A estação receptora usa este Vetor de Inicialização junto com a chave compartilhada configurada para decifrar o corpo do pacote.

Na maioria dos casos, o transmissor usará um Vetor de Inicialização diferente para cada pacote (isso, porém, não é exigido pelo padrão 802.11). Quando são transmitidas mensagens tendo uma origem única, o início de cada pacote codificado será o mesmo quando se usa uma mesma chave. Isso simplificaria o trabalho dos hackers a violar o algoritmo de criptografia. Mas, como o IV é diferente para a maioria dos pacotes, esse problema é evitado. Esse recurso é fundamental para a segurança de seu rede Wireless.

O que há de errado com WEP?

WEP faz parte do padrão 802.11 original de setembro de 1999. Naquela época, o comitê 802.11 estava ciente de algumas limitações do WEP; porém, WEP era a melhor opção disponível. Não obstante, WEP sofreu muitas críticas durante os anos seguintes.

WEP é vulnerável por causa do tamanho limitado dos Vetores de Inicialização e pelas chaves serem estáticas. Os problemas do WEP não têm nada a ver com o protocolo RC4 de criptografia. Com apenas 24 bits de comprimento, o universo de valores do IV, faz com que muitos pacotes usem o mesmo IV para criptografia. Para uma cadeia com alto tráfego, essa repetição de IV pode acontecer em menos de uma hora. Isso resulta em pacotes com a parte inicial muito semelhante. Se um hacker capturar bastante pacotes com o mesmo IV, ele pode calcular a chave compartilhada e daí decifrar todos os pacotes da rede.

A natureza estática das chaves compartilhadas torna mais sério o problema da troca das chaves das estações. Como conseqüência, muitos administradores de redes utilizam a mesma chave por semanas, meses e até anos. É justamente essa prática que traz a má do WEP. Alguns fabricantes já fornecem mecanismos de troca dinâmicas de chaves entre seus dispositivos e isso em breve vai estar disponível em todos equipamentos WiFi.

Quando faz sentido ativar WEP

Apesar das falhas e das vulnerabilidades,WEP é melhor que nada, e você deve habilitar WEP como um nível mínimo de segurança. As táticas de wardriving são muito comuns e redes sem WEP facilitam muito o trabalho desses hackers.

O Wardriving consiste em utilizar um detector de Wifi ou mesmo um computador portátil com um adaptador Wifi e sair pelas ruas com analisadores de protocolo e sniffers para descobrir WLANs. A maioria dessas pessoas são capazes encontrar sua rede Wifi e usa-la para carregar trojans ou mesmo usar sua conexão para navegar na Internet.

Com o Wep ativo, você minimiza significativamente o risco de isso vir a acontecer, especialmente se você tiver uma rede em casa ou no escritório. WEP funciona bem em manter a maioria das pessoas fora, pelo menos aqueles não estão decididos a entrar em sua rede. No entanto, tome cuidado, já que existem hackers de verdade que podem explorar as fragilidades do WEP e acessar redes sem WEP, especialmente aquelas com alto uso.

WPA - Wi-Fi Protected Access

WPA (Wi-Fi Protected Access) é um protocolo de comunicação via rádio. É um protocolo WEP melhorado. Também chamado de WEP2, ou TKIP (Temporal Key Integrity Protocol), essa primeira versão do WPA (Wi-Fi Protected Access) surgiu de um esforço conjunto de membros da Wi-Fi Aliança e de membros do IEEE, empenhados em aumentar o nível de segurança das redes sem fio ainda no ano de 2003, combatendo algumas das vulnerabilidades do WEP.

A partir desse esforço, pretende-se colocar no mercado brevemente produtos que utilizam WPA, que apesar de não ser um padrão IEEE 802.11 ainda, é baseado neste padrão e tem algumas características que fazem dele uma ótima opção para quem precisa de segurança rapidamente:

* Pode-se utilizar WPA numa rede híbrida que tenha WEP instalado.
* Migrar para WPA requer somente atualização de software.
* WPA é desenhado para ser compatível com o próximo padrão IEEE 802.11i.

A segurança WPA

Se o acesso não estiver bem configurado na sua rede sem fios, você fica totalmente exposto a usuários mal intencionados, que podem vir a tentar descobrir seus dados e se utilizar dos seus arquivos(escuta de conexão). Permitirá que outros usuarios usem a sua rede e a sua ligação à Internet para distribuir as suas próprias comunicações, acesso a Internet pela conexão sem segurança. A segurança melhorada que você obtém com o WPA aumenta o nível de proteção dos seus dados a ajuda na prevenção de invasões de vírus, de acessos não autorizados ou destruição da sua informação pessoal.

Melhorias do WPA sobre o WEP

Com a substituição do WEP pelo WPA, temos como vantagem melhorar a criptografia dos dados ao utilizar um protocolo de chave temporária (TKIP) que possibilita a criação de chaves por pacotes, além de possuir função detectora de erros chamada Michael, um vetor de inicialização de 48 bits, ao invés de 24 como no WEP e um mecanismo de distribuição de chaves.

Além disso, uma outra vantagem é a melhoria no processo de autenticação de usuários. Essa autenticação se utiliza do 802.11x e do EAP (Extensible Authentication Protocol), que através de um servidor de autenticação central faz a autenticação de cada usuário antes deste ter acesso a rede.

O WPA, que deverá substituir o atual WEP (Wired Equivalent Privacy), conta com tecnologia aprimorada de criptografia e de autenticação de usuário. Cada usuário tem uma senha exclusiva, que deve ser digitada no momento da ativação do WPA. No decorrer da sessão, a chave de criptografia será trocada periodicamente e de forma automática. Assim, torna-se infinitamente mais difícil que um usuário não-autorizado consiga se conectar à WLAN.

A chave de criptografia dinâmica é uma das principais diferenças do WPA em relação ao WEP, que utiliza a mesma chave repetidamente. Esta característica do WPA também é conveniente porque não exige que se digite manualmente as chaves de criptografia - ao contrário do WEP.

WPA2 / IEEE 802.11i - Wi-Fi Protected Access 2

O WPA2 (Wi-Fi Protected Access 2), é uma certificação de produto disponível através da Wi-Fi Alliance, que certifica o equipamento sem fio quanto à compatibilidade com o padrão IEEE 802.11i.

O padrão IEEE 802.11i substitui formalmente o WEP (Wired Equivalent Privacy) no padrão IEEE 802.11 original com um modo específico do AES (Advanced Encryption Standard) conhecido como protocolo CBC-MAC (Counter Mode Cipher Block Chaining-Message Authentication Code) ou CCMP. O CCMP oferece confidencialidade (criptografia) e integridade dos dados. Este artigo descreve os detalhes da implementação WPA2 do CCMP do AES para criptografia, descriptografia e validação da integridade dos dados dos quadros sem fio 802.11.

Recursos de criptografia do WPA2

Vamos ver como são abordados os pontos fracos pelo WPA2:

  1. O IV(vetor de inicialização) é muito pequeno
    • No CCMP do AES, o IV foi substituído por um campo de Número do pacote e duplicou em tamanho, para 48 bits.
  2. Integridade dos dados fraca
    • O cálculo da soma de verificação criptografada pelo WEP foi substituído pelo algoritmo CBC-MAC do AES, que foi criado para fornecer uma integridade dos dados forte. O algoritmo CBC-MAC calcula um valor de 128 bits, e o WPA2 usa os 64 bits de ordem superior como um MIC (código de integridade da mensagem). O WPA2 criptografa o MIC com a criptografia do modo de contador do AES.
  3. Usa a chave mestra em vez de uma chave derivada
    • Como o WPA e o protocolo TKIP (Temporal Key Integrity Protocol), o CCPM do AES usa um conjunto de chaves temporais derivadas de uma chave mestra e de outros valores. A chave mestra é derivada do processo de autenticação do 802.1X do EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ou do PEAP (Protected EAP).
  4. Sem rechaveamento
    • O CCMP do AES faz o rechaveamento automaticamente para derivar novos conjuntos de chaves temporais.
  5. Sem proteção contra reexecução
    • O CCMP do AES usa um campo de Número do pacote como contador para fornecer proteção contra reexecução.

Chaves temporais do WPA2

Ao contrário do WEP, que usa uma única chave para a criptografia de dados em unicast e normalmente uma chave separada para a criptografia de dados em multicast e de difusão, o WPA2 usa um conjunto de quatro chaves diferentes para cada par de AP sem fio/cliente sem fio (conhecidas como chaves temporais emparelhadas) e um conjunto de duas chaves diferentes para o tráfego multicast e de difusão.

O conjunto de chaves emparelhadas usadas para dados em unicast e EAP por mensagens de chave EAPOL da LAN consiste no seguinte:

  • Chave de criptografia de dados - Uma chave de 128 bits usada para criptografar quadros em unicast.
  • Chave de integridade de dados - Uma chave de 128 bits usada para calcular o MIC em quadros em unicast.
  • Chave de criptografia EAPOL - Uma chave de 128 bits usada para criptografar mensagens da chave EAPOL.
  • Chave de integridade EAPOL - Uma chave de 128 bits usada para calcular o MIC das mensagens da chave EAPOL.

O WPA2 deriva as chaves temporais emparelhadas usando um processo de handshake de quatro vias que é o mesmo do WPA.

Processo de criptografia e descriptografia do WPA2

O CCMP do AES usa o CBC-MAC para calcular o MIC e o modo de contador do AES para criptografar a carga do 802.11 e o MIC. Para calcular o valor de um MIC, o CBC-MAC do AES usa o seguinte processo:

  1. Criptografa um bloco inicial de 128 bits com o AES e a chave de integridade de dados. Isso produz um resultado de 128 bits (Resultado1).
  2. Executa uma operação OR (XOR) exclusiva entre Resultado1 e os 128 bits de dados seguintes pelos quais o MIC está sendo calculado. Isso produz um resultado de 128 bits (XResultado1).
  3. Criptografa o XResultado1 com o AES e a chave de integridade de dados. Isso produz o Resultado2.
  4. Executa um XOR entre Resultado2 e os 128 bits de dados seguintes. Isso produz o XResultado2.

As etapas 3-4 se repetem para os blocos de 128 bits adicionais dos dados. Os 64 bits de ordem superior do resultado final são o MIC do WPA2. A figura a seguir mostra o processo de cálculo do MIC.

Bb878096.cg080501_tn(pt-br,TechNet.10).gif

Para calcular o MIC de um quadro IEEE 802.11, o WPA2 constrói o seguinte:

Bb878096.cg080502_tn(pt-br,TechNet.10).gif

  • O bloco inicial é um bloco de 128 bits descrito posteriormente neste artigo.
  • O cabeçalho MAC é o cabeçalho MAC 802.11 com os valores dos campos que podem ser alterados em trânsito definidos como 0.
  • O cabeçalho CCMP tem 8 bytes e contém o campo Número do pacote de 48 bits e campos adicionais.
  • Os bytes de preenchimento (definidos como 0) são adicionados para garantir que a parte do bloco de dados inteiro até os dados de texto sem formatação seja um número integral de blocos de 128 bits.
  • Os dados são a parte de texto sem formatação (não criptografados) da carga do 802.11.
  • Os bytes de preenchimento (definidos como 0) são adicionados para garantir que a parte do bloco de dados do MIC que inclui os dados de texto sem formatação seja um número integral de blocos de 128 bits.

Ao contrário da integridade de dados do WEP e do WPA, o WPA2 fornece integridade de dados para o cabeçalho do 802.11 (exceto os campos alteráveis) e a carga do 802.11.

O bloco inicial para o cálculo do MIC consiste no seguinte:

Bb878096.cg080503_tn(pt-br,TechNet.10).gif

  • O campo Sinalizador (8 bits) é definido como 01011001 e contém vários sinalizadores, como um sinalizador que indica que o MIC usado no quadro 802.11 tem 64 bits de comprimento.
  • O campo Prioridade (8 bits) é reservado para finalidades futuras e é definido como 0.
  • O Endereço de origem (48 bits) é do cabeçalho MAC 802.11.
  • O Número do pacote (48 bits) é do cabeçalho CCMP.
  • O comprimento dos dados de texto sem formatação em bytes (16 bits).

O algoritmo de criptografia do modo de contador do AES usa o seguinte processo:

  1. Criptografa um contador inicial de 128 bits com o AES e a chave de criptografia de dados. Isso produz um resultado de 128 bits (Resultado1).
  2. Executa uma operação OR (XOR) exclusiva entre Resultado1 e o primeiro bloco de 128 bits dos dados que estão sendo criptografados. Isso produz o primeiro bloco criptografado de 128 bits.
  3. Incrementa o contador e o criptografa com o AES e a chave de criptografia de dados. Isso produz o Resultado2.
  4. Executa um XOR entre Resultado2 e os 128 bits de dados seguintes. Isso produz o segundo bloco criptografado de 128 bits.

O modo de contador do AES repete as etapas 3-4 para os blocos de 128 bits adicionais de dados, até o bloco final. Para o bloco final, o modo de contador do AES executa o XOR do contador criptografado com os bits restantes, produzindo dados criptografados do mesmo comprimento que o último bloco de dados. A figura a seguir mostra o processo do modo de contador do AES.

Bb878096.cg080504_tn(pt-br,TechNet.10).gif

O valor inicial do contador do modo de contador do AES consiste no seguinte:

Bb878096.cg080505_tn(pt-br,TechNet.10).gif

  • O campo Sinalizador (8 bits) é definido como 01011001, que é o mesmo valor de Sinalizador usado para o cálculo do MIC.
  • O campo Prioridade (8 bits) é reservado para finalidades futuras e é definido como 0.
  • O Endereço de origem (48 bits) é do cabeçalho MAC 802.11.
  • O Número do pacote (48 bits) é do cabeçalho CCMP.
  • O campo Contador (16 bits) é definido como 1 e será incrementado apenas se uma carga do 802.11 for fragmentada em cargas menores. Observe que este campo Contador não é o mesmo que o valor do contador de 128 bits usado no algoritmo de criptografia do modo de contador do AES.

Para criptografar um quadro de dados em unicast, o WPA2 usa o seguinte processo:

  1. Insere o bloco inicial, o cabeçalho MAC 802.11, o cabeçalho CCMP, o comprimento dos dados e campos de preenchimento no algoritmo CBC-MAC com a chave de integridade de dados para produzir o MIC.
  2. Insere o valor do contador inicial e da combinação dos dados com o MIC calculado no algoritmo de criptografia do modo de contador do AES com a chave de criptografia de dados para produzir os dados criptografados e o MIC.
  3. Adiciona o cabeçalho CCMP contendo o Número do pacote à parte criptografada da carga do 802.11 e encapsula o resultado com o cabeçalho e as informações finais do 802.11.

A figura a seguir mostra o processo de criptografia do WPA2 para um quadro de dados em unicast.

Bb878096.cg080506_tn(pt-br,TechNet.10).gif

Para descriptografar um quadro de dados em unicast e verificar a integridade dos dados, o WPA2 usa o seguinte processo:

  1. Determina o valor do contador inicial a partir dos valores nos cabeçalhos do 802.11 e do CCMP.
  2. Insere o valor do contador inicial e a parte criptografada da carga do 802.11 no algoritmo de descriptografia do modo de contador do AES com a chave de criptografia de dados para produzir os dados descriptografados e o MIC. Para a descriptografia, o modo de contador do AES executa o XOR do valor do contador criptografado com o bloco de dados criptografados, produzindo o bloco de dados descriptografados.
  3. Insere o bloco inicial, o cabeçalho MAC 802.11, o cabeçalho CCMP, o comprimento dos dados e campos de preenchimento no algoritmo CBC-MAC do AES com a chave de integridade de dados para calcular o MIC.
  4. Compara o valor calculado do MIC com o valor do MIC não criptografado. Se os valores do MIC não corresponderem, o WPA2 descartará os dados silenciosamente. Se os valores do MIC corresponderem, o WPA2 passará os dados para as camadas de rede superiores para processamento.

A figura a seguir mostra o processo de descriptografia do WPA2 para um quadro de dados em unicast.

Bb878096.cg080507_tn(pt-br,TechNet.10).gif

Postado por Valdinei Ferreira de Lima

Tags: , , ,
Nenhum comentário »

Adicione aqui seu comentário

Malwares - conhecemos a real ameaça ??

17/04/2009 - 09:15

Neste post quero tratar sobre um grande problema que já incomodava muito e com a popularização da internet e dos computadores pessoais se potencializou, trazendo cada vez mais medo e insegurança para todos. O assunto de hoje serão os Malwares !!!

Segundo a Wikipedia (www.wikipedia.org), Malwares são programas de computador maliciosos que tem como principal objetivo causar dano ou roubar informações de computadores e dispositivos computacionais. Sendo assim se enquadram dentro desta definição ameaças como spywares, worms, keyloggers e assim por diante.

A grande pergunta neste ponto é: “Estamos realmente seguros contra todas estas ameaças?” Muitos vão me responder: “Claro, eu tenho um software antivírus instalado e atualizado em meu computador !!”, porém a realidade é que estamos muito menos seguros do que imaginamos.

Para entender o motivo primeiramente vamos entender como funciona a atualização de um software antivírus, iniciando na descoberta de um novo malware (as chamadas ameaças zero day) e finalizando com a distribuição da vacina para proteção / remoção deste malware.

Processo para criação de vacinas contra malwares

Na imagem acima, iniciamos o fluxo com a descoberta de um novo malware, sendo então realizado o envio de uma amostra desta ameaça para as equipes de pesquisadores dos fabricantes de antivírus. Com a amostra em mãos, os pesquisadores analisam o malware para descobrir seu comportamento e assim conseguem desenvolver a “vacina” para combater o malware que é então empacotada na base de vacinas do fabricante e enviada para os usuários do antivírus.

Fazendo uma análise deste processo, em um primeiro momento podemos acreditar que tudo está bem e não precisamos nos preocupar com os malwares, pois sempre vamos ter as vacinas para combate-los, porém antes de mais nada vamos analisar o gráfico abaixo que mostra o crescimento do número de malwares com o passar dos anos (amostras únicas).

AV-Test.org / Enero 2008

Não sei qual a sensação que você está tendo ao analisar este gráfico, mas na primeira vez em que o vi fiquei boquiaberto com o crescimento exponencial das ameaças nos últimos cinco anos !! Outro ponto que me deixou curioso após ver o gráfico foi a questão do tempo de resposta aos malwares, pois como vimos anteriormente existe um ciclo que os pesquisadores das empresas de antivirus seguem para criar as vacinas, sendo necessários recursos humanos e tecnológicos para esta tarefa. Será que as empresas tem conseguido acompanhar a velocidade do surgimento das ameaças e criar as vacinas em tempo hábil para que nós possamos nos sentir protegidos ??? A resposta para essa pergunta é NÃO !!! Mesmo com as empresas aumentando o número de pesquisadores de ameaças e disponibilizando mais vacinas a cada dia (existem casos de empresas que já publicam mais de 800 vacinas por hora) o crescimento exponencial das ameaças é um grande concorrente … e ainda nos deparamos com as limitações de nossos links de internet atuais … é quase impossível conseguir baixar todas as vacinas em tempo hábil para nos mantermos sempre protegidos !!!

E será que estamos perdidos ? devemos abandonar a internet ? … claro que não, hoje já não conseguimos nos imaginar sem internet e com todos os benefícios e facilidades que ela nos traz já não podemos abdicar de sua utilização. E agora você deve estar pensando … “os antivirus não conseguem me proteger de forma eficaz, eu sou dependente da internet no meu dia-a-dia … e agora ??” … realmente a situação é complicada, porém as empresas que combatem estas ameaças já estão desenvolvendo outro modelo de proteção, criando uma camada além da confecção das vacinas … esta camada tem sido chamada de “Segurança na Nuvem” e utiliza a Cloud Computing para proteger os usuários.

“E como ela vai fazer isso ?” deve ser a grande questão a ser respondida … e a resposta ao contrário do que você deve imaginar é bem simples  …. reputação !!! Verificações baseadas em reputação são a grande arma que está sendo utilizada contra os malware. É fato que a grande maioria dos malwares são executados nos computadores dos usuários enquanto eles navegam pela internet ou quando clicam em links enviados via e-mail. Ao acessar um determinado sítio com conteúdo malicioso, ou mesmo ser redirecionado para ele através de um e-mail, o malware é executado e infecta o computador do usuário.

Imaginemos então como a verificação de reputação se encaixa neste contexto. Apenas para ilustrar vamos imaginar que você vai ao banco para fazer um empréstimo, vai até o gerente e então o banco realiza uma série de verificações sobre a sua vida financeira … verifica se você tem dívidas em seu nome, se paga seus impostos, se tem residência própria e mais uma série de coisas … neste momento o banco está verificando a sua reputação financeira para decidir se lhe concede ou não o empréstimo solicitado.

Agora voltando aos malwares, porque as nossas ferramentas de proteção não podem verificar a reputação de um sítio antes do acesso, verificando se ele é confiável ou não, sendo o acesso ao mesmo somente liberado no caso de uma respota OK para boa reputação ? É exatamente assim que esta nova camada de proteção trabalha, os desenvolvedores de ferramentas antimalwares estão criando bases de reputação em seus servidores que são consultadas a cada acesso do usuário, bloqueando o acesso a sítios com conteúdo malicioso antes mesmo que eles tenham a oportunidade de realizar qualquer ação que prejudique o computador deste usuário !!

É claro que esse é apenas o início do caminho que as empresas de antivírus terão que percorrer para conseguir acompanhar a velocidade do crescimento do número de Malwares que tem sido exponencial a cada ano, e por isso devemos cada vez mais estar atentos aos sítios que acessamos, e-mails que recebemos e qualquer outra troca de informações realizada pela web, pois não estamos totalmente protegidos contra elas e atualmente o principal objetivo dos Malwares é quase puramente fincanceiro, buscando informações que possam ser utilizadas pelos seus criadores para conseguir dinheiro.

Postado por André Luiz Latansio de Oliveira

Tags: ,
Nenhum comentário »

Adicione aqui seu comentário

« Posts Mais Antigos