Otimize seu sistema: 5 mitos sobre a segurança de aplicações

O ambiente corporativo abriga algumas distorções e mitos a respeito da segurança de aplicações internas e da web, levando a um aumento na incidência de ataques e à redução do número de defesas. Alguns mitos tendem a minimizar os riscos, transmitindo uma falsa sensação de segurança, seja através do uso de uma nova tecnologia "fantástica" ou da falta de visibilidade do problema. Essa ilusão de segurança normalmente leva a empresa a subestimar ameaças bem reais, quando ela não mobiliza os recursos que devia para suas medidas de segurança.

A internet se tornou o principal ponto de convergência dos sistemas corporativos, integrando operações entre parceiros, fornecedores, clientes e terceiros através do mesmo canal eletrônico. De acordo com o grupo Gartner, o número global de dispositivos conectados ultrapassou os 2.4 bilhões em 2014.

Com esta quantidade imensa de usuários consumindo sistemas de informação numa rede pública, a segurança de sistemas diretamente disponibilizados na web ou integrados através dela se tornou um item de altíssima prioridade na agenda dos gerentes de TI. Além disso, o cenário está aumentando em complexidade, com a disseminação da computação distribuída na nuvem, o uso de big data, a interação entre estes serviços distribuídos e a crescente necessidade de se implementar a governança corporativa.

É cada vez mais necessário eliminar os mitos que em nada contribuem para uma proteção de sistemas bem sucedida. Listamos abaixo cinco mitos que podem atrapalhar uma percepção adequada da segurança:

6 dicas de segurança no desenvolvimento de softwares

O desenvolvimento de softwares deve levar em consideração diversos fatores. As necessidades do cliente, o público-alvo e a exigência de entrega de builds rápidas são apenas alguns detalhes da rotina de um time de desenvolvimento. O cuidado com a segurança, por exemplo, é indispensável nas aplicações modernas.

Mesmo no caso de apps mobile simples, não podemos ignorar a necessidade de trabalhar com métodos de desenvolvimento seguros. A importância dada para a segurança da informação aumenta a confiabilidade do software final. Em um universo onde o compartilhamento de informações pela internet e entre aparelhos faz parte do dia a dia dos usuários de smartphones, tablets e computadores, a segurança digital será fundamental para a criação de novas soluções de TI.

No texto de hoje, falaremos um pouco mais sobre as melhores práticas para quem procura desenvolver apps mais seguros e como garantir que a sua equipe crie ferramentas confiáveis. Acompanhe:

Tudo o que você precisa saber sobre ataques em aplicações mobile

Ultimamente, o uso dos smartphones e tablets vem aumentando consideravelmente, favorecendo o crescimento do mercado de aplicações mobile. Esse mercado, que inicialmente era voltado para a produção de jogos, já ganhou aplicativos para auxiliar o usuário final em diversas áreas, tanto em sua vida pessoal quanto na profissional.

O grande problema do crescimento desenfreado do desenvolvimento de aplicações mobile é a falta de padrões de desenvolvimento, frameworks e a linguagem de desenvolvimento em si, o que acaba abrindo brechas para diversos tipos de ataques.

Como o DevOps está acabando com a manutenção de sistemas

Ao procurar entregar novas versões de aplicações em etapas, gerentes de TI tiveram que redefinir a maneira como gerenciam as suas equipes (que, igualmente, tiveram que atualizar os seus métodos de trabalho). Times mais integrados e o feedback do usuário passaram a ser indispensáveis para desenvolver novas funções em sistemas mais dinâmicos. O DevOps passou, portanto, a ser considerado um dos métodos mais inovadores para criar e cuidar da manutenção de sistemas atualmente.

Esse novo método de se pensar a criação de programas fez com que o programador passasse a ser responsável pela captura de erros e pelo suporte ao usuário. Ao diminuir prazos de entrega de novas builds e ir contra todos os métodos de produção em cascata (seja por meio do Scrum ou Métodos Ágeis), o DevOps fez com que o trabalho fosse feito com base em equipes mais integradas e uma produção mais rápida. Times de desenvolvimento, design, qualidade, suporte e operações passam a atuar juntos em busca da maior satisfação do cliente.

O que as leis brasileiras dizem sobre os cybercrimes?

É inegável que a internet tornou-se parte de nossas vidas. Uma revolução da informação que criou um verdadeiro mundo virtual. Redes sociais, smartphones, sites de empresas, bancos, apps para transações econômicas e de troca de mensagens, vídeos e fotos. Estamos inseridos em uma condição nova, com fronteiras indeterminadas e o fazemos acreditando na segurança dessas informações. Mas, como se tem visto, essa segurança não é infalível e o conceito do cybercrime está fortemente em debate.

A discussão já existe há mais de vinte anos, mas no Brasil a Lei de número 12737 de 2012, sancionada em 2013 (apelidada de Lei Carolina Dickman) foi a primeira a tratar penalmente da questão. A referida lei teve como fato impulsionador o vazamento de fotos íntimas da atriz Carolina Dickman na internet — daí o apelido da lei — e colocou na pauta a questão dos crimes cibernéticos.

Antes dessa lei, e de outras que a seguiram, os crimes cibernéticos eram tratados no Brasil por meio da interpretação da legislação penal comum. No entanto, viu-se que essa legislação não dava conta da amplitude, da especificidade e da gravidade que os cybercrimes possuem. Saiba mais sobre o assunto!

Entenda a relação do Pentest com PCI-DSS

Entre os requerimentos do PCI-DSS, está a obrigação das organizações que armazenam e processam qualquer tipo de informações de um dono de cartão de crédito efetuarem testes regulares nos seus sistemas de segurança. Isso inclui os testes de penetração (também conhecidos como PenTest). Eles devem estar incluídos nas rotinas de busca por vulnerabilidades, uma vez que são uma importante ferramenta para identificar falhas de segurança que levam a ataques e vazamentos de dados.

Para um gerente de TI, é importante entender não só a importância do PenTest, mas também todos os seus componentes, como ele se diferencia de uma busca tradicional por vulnerabilidades, as suas aplicações e quais as suas etapas de aplicação.

Entenda o que é e como o PCI-DSS atua na segurança de suas aplicações

A troca de dados que ocorre durante uma venda efetuada em sites de compra, por cartões de crédito ou telefone, envolve dados privados que, uma vez expostos, podem levar a grandes prejuízos a todas as partes envolvidas. 

Consistindo em 6 categorias distintas, o PCI-DSS (ou Payment Card Industry Data Security Standard, do original em inglês) garante a maior segurança contra fraudes em transações financeiras.

Qual é o processo de desenvolvimento de software seguro?

Durante o desenvolvimento de um software, os gerentes de TI buscam garantir a entrega de um produto com uma baixa quantidade de bugs no menor tempo possível. No entanto, durante esse processo, não são raros os casos em que gestores ignoram práticas de segurança que evitam, no futuro, vazamento de dados sigilosos. 

Diante desse cenário, é fundamental que certas rotinas sejam tomadas, ainda que os modelos de criação de software mais tradicionais não sejam focados no desenvolvimento de software seguro.

Entenda a importância da modelagem de ameaças de segurança

Garantir a segurança dos dados do negócio é uma preocupação que as empresas devem levar ainda mais em conta diante do cenário atual de evolução das ameaças e possibilidades de sofrer ataques ao sistema. No entanto, a segurança online não se resume a tomar uma medida definitiva, nem depende exclusivamente de um método, técnica ou ferramenta utilizada. É preciso, sobretudo, entender quais são as ameaças para efetivamente se proteger contra elas. E a modelagem de ameaças é uma forma de pôr isso em prática.

Estruturar um modelo para lidar com as ameaças implica refletir sobre o problema dividindo ele por partes. Ter uma modelagem de ameaças significa ter uma abordagem estruturada para combater esses problemas e, assim, aumentar as chances de ser eficaz quanto à manutenção da segurança da empresa. A seguir, entenda a importância da modelagem e conheça os benefícios dessa atitude de prevenção!

Entenda a importância do Code Review para o PCI-DSS

As transações feitas com cartões de crédito movimentam bilhões de reais todos os anos. Por meio do “dinheiro de plástico”, nossas vidas tornaram-se mais práticas e seguras. E foi para garantir que a troca de dados entre os sistemas que armazenam, processam e verificam dados bancários tenham o máximo de segurança que o padrão PCI-DSS foi criado. Ele envolve uma série de rotinas e configurações que aumentam a confiabilidade de sistemas e empresas.

Entre as diversas medidas a serem tomadas, o code review está presente na documentação do padrão PCI-DSS desde a sua primeira versão. Entenda melhor o assunto!

Prejuízos causados por ataques hacker e roubo de dados via internet

Veja como garantir a qualidade de um teste de invasão em cloud computing

A proteção efetiva dos recursos e dados da sua empresa depende não só da competência com que são desenvolvidos os softwares, mas também da qualidade dos testes realizados para verificar sua segurança. No âmbito de Cloud Computing, se torna ainda mais tênue a linha que separa a confiança e a vulnerabilidade dos sistemas, visto que, hoje em dia, a disseminação de servidores de Cloud contribuiu para que a maior parte dos dados estratégicos das companhias migrasse para um ambiente totalmente virtual.

Hoje vamos falar como elaborar um bom teste de penetração, que coloca à prova o comportamento do software ao ser invadido. Acompanhe:

5 recursos fundamentais para aumentar a segurança da informação das empresas

Vivemos em uma época em que praticamente todas as informações necessárias para um negócio operar e prosperar estão armazenadas no ambiente virtual. E é justamente por isso que qualquer incidente relacionado à segurança da informação é capaz de provocar prejuízos imensos, não somente para a empresa, mas também para seus funcionários, fornecedores, clientes, parceiros e outros públicos de interesse.

Mas caso esse assunto seja levado a sério pelo empreendedor e por sua equipe de TI, as chances de falhas podem ser reduzidas consideravelmente. 

Conheça 5 recursos fundamentais para aumentar a segurança da informação em sua empresa:

As melhores práticas em segurança de aplicações para profissionais de TI

Atualmente, a descoberta de falhas de segurança e a incidência de invasões por ataques hackers estão crescendo muito no mundo e a maioria das empresas e profissionais dá área desconhecem a melhor forma de se proteger. 

Confira a seguir 6 dicas para aumentar a segurança de aplicações na sua área de TI:

Quais os princípios do teste de segurança em aplicativos?

O mercado mobile está em expansão em todo o mundo. No Brasil, em especial, a “invasão” dos celulares, smartphones e tablets já é uma realidade: dados da Agência Nacional de Telecomunicações (Anatel) divulgados em março de 2015 indicam 1,3 linha de telefonia móvel para cada brasileiro. Ou seja: 77 milhões de linhas móveis a mais do que brasileiros capazes de fazerem uso delas.

Seja no desenvolvimento de apps para empresas ou para o consumidor final, diversos empreendedores brasileiros vêm aproveitando as oportunidades que surgem nesse imenso mercado. E se antes a preocupação com segurança era algo restrito às grandes empresas, hoje é obrigação de todo desenvolvedor que deseja um produto de escala global. Para ajudá-lo na missão de tornar seus apps mais seguros, seja você o desenvolvedor ou o cliente de uma solução customizada, vamos abordar o teste de segurança em aplicativos móveis. Confira!

Os 3 benefícios em investir na segurança de aplicações

Durante muito tempo as equipes de tecnologia da informação tiveram muito trabalho na implementação dos pacotes de gestão empresarial, que são utilizados como apoio na rotina das companhias. Porém, a utilização desses métodos não consome apenas energia dos profissionais de TI, mas também se mostra como um investimento alto. O que gera a discussão sobre o custo e benefício desses pacotes de gestão empresarial.

Para definir se vale ou não a pena o investimento em determinados projetos as empresas passaram a adotar o sistema de avaliação ROI (Return on Investiment, ou Retorno sobre o Investimento). Essa metodologia tem por objetivo precisar quanto tempo uma empresa precisa para recuperar os investimentos feitos em equipamentos, projetos ou tecnologias. Dessa forma, consegue responder se determinado investimento é viável ou se deve ser deixado de lado.

Dentro dos setores de tecnologia da informação, o ROI costuma ser utilizado de diversas maneiras. Seja para sustentar as vendas, para defender investimentos em TI diante de diretores resistentes ou na implantação e criação de projetos tecnológicos, como as aplicações.

Análise estática substitui a revisão de código?

A resposta curta é NÃO. Bom, isso não esclarece muita coisa, não é? Então vamos para a resposta média: devemos sempre buscar o desenvolvimento elegante de software. Por elegante queremos significar execução que cumpre os requisitos usando economicamente seus recursos e tendendo atrasos a zero. Precisão, economia e pontualidade podem ser razões difíceis de defender na frente de seus stakeholders, mas se a pressão aumentar demais, puxe um ás da manga: o custo da não qualidade.

No excelente livro "The Art of Sofware Testing" (MYERS, 1979) seu autor nos apresenta a 'Regra de 10', afirmando que quanto mais cedo se descobre e corrige um erro, menor é o se custo para o projeto. De acordo com Myers, o custo das correções cresce DEZ vezes a cada etapa do processo de desenvolvimento de software. Se um aumento exponencial dos custos não for o suficiente para convencer qualquer stakeholder sobre a importância de se aplicar revisão em pares (feita por humanos) somada à análise estática do código (feita por máquinas) desde os estágios iniciais de desenvolvimento, você está com um problema.

Mas fique tranquilo. Acompanhe este texto até final para que possamos ajudá-lo a construir uma argumentação sólida e factual em defesa da qualidade de software. Vamos à resposta longa.

Os erros comuns na configuração de um firewall

Os firewalls são essenciais dentro de uma empresa. Esses dispositivos servem de base para proteger a rede e são capazes de gerenciar e aplicar diversas políticas de segurança, além de controlar a autenticação e a navegação dos usuários. Porém, ao fazer a configuração de maneira errada, seu funcionamento e eficácia podem ser completamente afetados. Confira quais são os erros mais comuns na hora configurar os firewalls e fique atento para não cometê-los na sua empresa!

4 dicas para treinar a equipe para o gerenciamento das vulnerabilidades

Garantir a segurança de uma empresa ou, ainda, de softwares em desenvolvimento, não é tarefa fácil. Ao contrário do que muitos pensam – principalmente os empreendedores que não atuam na área de tecnologia –, segurança não funciona como um “produto” qualquer, que pode ser comprado em uma prateleira. É preciso apostar pesado em tecnologia, desenvolver e aplicar políticas internas, estabelecer processos e, acima de tudo, treinar pessoas para tal propósito. Em outras palavras, é preciso realizar um trabalho de gestão profissionalizado.

Acontece que, para que todas essas medidas alcancem resultados consistentes, a estratégia da empresa deve incluir tanto um planejamento, quanto um gerenciamento específico, voltado para a área de segurança, integrando, com sucesso, todos os elementos que citamos anteriormente. Esse processo se chama Gerenciamento de Vulnerabilidades. Nesse post, pretendemos passar algumas dicas importantes para que você desenvolva esse tipo de gerenciamento com sucesso no seu desenvolvimento de software.

Razões para investir em segurança de aplicações

Não há como abrir mão da tecnologia para lidar com os negócios. Por outro lado, não há como usufruir da tecnologia sem segurança. Dados desprotegidos acarretam custos para a empresa porque comprometem a privacidade dos clientes, incorrendo em prejuízos à imagem da própria empresa, além de possíveis sansões legais.

A segurança é item indispensável para que uma aplicação opere trazendo bons resultados. Ocorre que para lidar com segurança há custos. O que é mais dispendioso? Monitorar e prevenir ataques ou lidar com as consequências posteriores às invasões? Há um consenso crescente de que os custos com segurança são reduzidos a partir de medidas de monitoramento, teste e verificação de vulnerabilidades feitas o quanto antes.

Confira mais algumas razões para investir em segurança de aplicações e entenda por que não se pode negligenciar este aspecto.

A CONVISO marca presença no MIND THE SEC 2015

O Mind the Sec é o principal evento de segurança da informação do mercado corporativo brasileiro.

A Conviso fará parte desse encontro esclarecendo dúvidas e apresentando seu modelo de negócio.

Além disso, o evento contará com grandes nomes como: Eugene Kaspersky e Bruce Schneier.

O evento acontecerá nos dias 26 e 27 de agosto, das 8h às 18h, no Grand Hyatt, em São Paulo.

Quer saber mais sobre o evento que é sucesso?

Acesse o link:http://mindthesec.com.br

Segurança de aplicações: conheça os 7 mitos

Diversos mitos e conceitos errados povoam o imaginário corporativo quando falamos em segurança de aplicações na internet. Esse é um grande problema, pois o gestor passa a ter uma visão mais limitada e acaba não prevenindo o seu setor de TI como deveria, por acreditar em coisas que não são verdadeiras.

Com tantos sistemas e aplicativos novos em redes públicas, a segurança para aplicativos web deve ser sim uma preocupação constante para os gestores de TI, especialmente levando em conta a atual complexidade dos sistemas de TI, como o Big Data, a computação em nuvem, entre outros.

Dessa forma, se faz necessária a implantação de uma segurança efetiva de aplicações, mas, para que isso aconteça, é preciso que os mitos da segurança de aplicações sejam derrubados. Para isso, veja os 7 mitos mais comuns nessa área:

Aplicações na web: os desafios das empresas

Quando a World Wide Web surgiu, um dos desafios do mercado era a popularização, a expansão dessa tecnologia (por um preço acessível) para o maior número de consumidores possível. Quase 25 anos depois, o atual momento tecnológico não requer apenas uma expansão, pois isso acontece e acontecerá de forma natural e gradativa.

O desafio, hoje, está em manter os dados e as aplicações na web em segurança. E nessa tarefa, há muitos desafios. Confira agora alguns deles!

Playing with Sandbox: An analysis of Capsicum

Introduction

In this post we talk a little about sandbox. People that work and study software exploitation know the sandbox concept. This kind of feature when properly implemented on a system makes hard to exploit some kind of vulnerabilities, especially that involving memory corruption. In wikipedia we have a good reference about this:

"In computer security, a sandbox is a security mechanism for separating running programs. It is often used to execute untested code, or untrusted programs from unverified third parties, suppliers, untrusted users and untrusted websites. A sandbox typically provides a tightly controlled set of resources for guest programs to run in, such as scratch space on disk and memory. Network access, the ability to inspect the host system or read from input devices are usually disallowed or heavily restricted."

The sandbox is a security mechanism that separates running processes. Basically we have a process with least privileges (target) and another process with greater privileges (broker). If the process with least privileges need execute some operation that is not allowed, a request is sent to the process with greater privileges that checks whether the operation has permissions to be executed and run with return to target (process with least privilege). Sandbox normally is used to protect the application and can also be used to provide a restricted environment for execute and test some malicious binaries, one example of this is Cuckoo Sandbox that used for malware analysis.

In this post we talk about Capsicum[1], is that a kind of sandbox developed by the University of Cambridge that support several common commands of the system such as tcpdump[2], hastd, dhclient, kdump and sshd as mentioned in the website[3]. The Capsicum is a new kind of sandbox but we have support for use in the FreeBSD and Linux[4]. The first experimental version was made only for FreeBSD[5] and available since version 9.0. This sandbox add two new features to the system, called capability mode and capabilities.

Here we introduced a rapid explanation about two modes. Capability mode is the feature that enable for the developers isolate processes allowing only that some system calls execute some tasks reducing the permissions of the process. Capabilities enables a more refined control over the files and devices. This post has more focus on the capability mode.

Entenda as diferenças entre testes de aplicações dinâmicos e estáticos

No cenário atual onde vulnerabilidades e vazamentos de dados rotineiramente são notícia, as empresas devem prestar atenção especial aos seus processos de desenvolvimento de software, incorporando boas práticas de segurança em todas as suas etapas — especialmente no ponto focal deste artigo: o teste dinâmico de aplicação e o teste estático de código de software.

As análises estáticas e dinâmicas são os dois tipos mais populares de abordagem para garantia de qualidade do software — vamos usar os termos "teste" e "análise" de maneira intercambiável nesse artigo, exceto quando houver algum ponto mais específico. Esses procedimentos devem ser antecedidos por um desenvolvimento carregado de boas práticas de segurança, pois teste algum é capaz de imunizar o software contra programação pobremente executada. Os testes devem ser considerados investimentos no software, já que mobilizam profissionais e recursos, e portanto devem ser gerenciados com atenção.

Quer trabalhar com segurança da informação? Temos 4 vagas abertas

A Conviso é uma empresa com foco em pesquisa e serviços de consultoria em segurança de aplicações fornecendo soluções personalizadas e inovadoras que visam proteção efetiva de recursos computacionais. Atuante no mercado desde 2008, possui em sua carteira clientes associados aos mais diversos setores produtivos na economia brasileira, governo e também no exterior.

Estamos com as seguintes vagas abertas:

2 vagas: Analistas de segurança da informação seniores

Características da vaga:

• Para trabalhar em SP home-office ou alocado em projetos de clientes
• Contratação CLT + Benefícios

Requisitos mínimos:

• Fluência em inglês
• Formação superior

Diferenciais:

• Certificações na área

Quais os desafios?

• Realizar revisões de código
• Realizar testes de invasão
• Apresentar sugestões de correções para vulnerabilidades identificadas
• Desenvolver guias e documentação para desenvolvimento seguro de software

1 vaga: Analista de Marketing

Características da vaga:

• Para trabalhar no escritório da Conviso em Curitiba
• Contratação CLT + Benefícios

Requisitos mínimos:

• Fluência em inglês
• Formação superior

Diferenciais:

• Fluência em Espanhol
• Experiência no desenvolvimento de marcas internacionais

Quais os desafios?

• Suportar e desenvolver o plano de marketing
• Trabalhar no desenvolvimento da marca e no marketing dos produtos e serviços
• Suportar as iniciativas da área comercial

1 vaga: Analista Administrativo

Características da vaga:

• Para trabalhar no escritório da Conviso em Curitiba
• Contratação CLT + Benefícios

Requisitos mínimos:

• Fluência em inglês
• Formação superior

Diferenciais:

• Experiência com contabilidade de empresas S.A.

Quais os desafios?

• Acompanhar o processo de contas a  pagar e receber
• Cadastro de clientes e acompanhamento de contratos de clientes
• Reporte de informações a contabilidade
• Elaborar planilhas e relatórios gerenciais

Como aplicar para as vagas:

Envie um email com currículo para o email rh@conviso.com.br informando no assunto a vaga.

Tecnologia e segurança: 4 tendências que serão parte da rotina das empresas

No mercado de tecnologia as mudanças são tão rápidas quanto a velocidade de conexão no Japão. E, junto com tantas inovações tecnológicas, os riscos associados ao mundo virtual são tão difíceis de prever quanto necessários de se prevenir. Uma pesquisa publicada recentemente pela consultoria Gartner aponta algumas tendências no ramo de segurança da informação que se tornarão rotina nas empresas nos próximos anos.

Aspectos da Internet das Coisas (IoT), a ampliação de funcionários usando seus próprios devices e técnicas de seguranças centradas no usuário final são alguns dos assuntos para os quais todos os empreendedores e profissionais da área precisam se preparar, de acordo com o estudo. Confira no post de hoje algumas dessas tendências:

Aumentando a segurança das aplicações com headers HTTP de segurança

Neste blogpost iremos abordar a utilização de alguns headers HTTP que podem aumentar a segurança das aplicações web. Mesmo com a adoção da versão 2.0 do protocolo HTTP ganhando espaço, esses headers ainda serão utilizados. Vamos discutir um pouco sobre suas características e como implementá-los.

Quais são esses headers?

Treinamento em segurança para desenvolvedores: 3 motivos para investir

Qualquer investimento que não consiga comprovar retornos tangíveis para um negócio, seja em redução de despesas ou aumento no faturamento, acaba gerando dúvidas entre os gestores.

Os treinamentos em segurança são um desses investimentos, pois, geralmente, tomam tempo de trabalho dos desenvolvedores que, consequentemente, ficam impossibilitados de escrever códigos. No entanto, os treinamentos para desenvolvedores não podem ser deixados de lado pelas empresas que querem garantir a segurança de dados.

6 recursos fundamentais para aumentar a segurança da informação das empresas

Vivemos em uma época em que praticamente todas as informações necessárias para um negócio operar e prosperar estão armazenadas no ambiente virtual. E é justamente por isso que qualquer incidente relacionado à segurança da informação é capaz de provocar prejuízos imensos, não somente para a empresa, mas também para seus funcionários, fornecedores, clientes, parceiros e outros públicos de interesse.

Caso esse assunto seja levado a sério pelo empreendedor e por sua equipe de TI, as chances de falhas podem ser reduzidas consideravelmente.

Conheça 6 recursos fundamentais para aumentar a segurança da informação em sua empresa:

Vulnerabilidade GHOST: O que precisamos saber?

O que é?

Durante uma auditoria, pesquisadores de segurança da Qualys encontraram uma vulnerabilidade dentro da Biblioteca GNU C Library (glibc). A glibc nada mais é do que uma biblioteca nativa dos sistemas operacionais Linux, ou seja, nenhum sistema dessa plataforma funciona corretamente sem ela.

Por que GHOST?

Os pesquisadores encontraram uma falha de buffer overflow na função __nss_hostname_digits_dots () da glibc, ela pode ser explorada tanto local como remotamente através da funcao gethostbyname()* usada para resolução de hostnames. Utilizando um jogo de palavras eles transformaram gethostbyname()* em GetHOSTbyname, muito por conta de atualmente as vulnerabilidades vem recebendo nomes, digamos, mais fáceis de memorizar. Mas se você esta interessado em CVE, o identificador desta vulnerabilidade é CVE-2015-0235.

Quais os perigos?

Sendo assim, um atacante pode explorar a vulnerabilidade, executar um código malicioso e escalar privilégios nas maquinas vulneráveis, ganhando acesso aos sistemas. Os pesquisadores efetuaram testes e conseguiram um bypass em algumas das proteções existentes em sistemas de 32 e 64 bits.

Por se tratar de algo essencial na maioria dos sistemas Linux a atualização deve ser imediata, evitando assim janelas de oportunidades para possíveis atacantes. Ainda não se sabe quais os potencias da exploração, mas as empresas já estão cientes e estão trabalhando para atualizar seus sistemas. Infelizmente por tratar-se de biblioteca core do SO, é necessário reinicializar o sistema.

Quanto tempo ela nos assombra?

Segundo os pesquisadores, a primeira versão afetada pela vulnerabilidade foi a glibc 2.2, liberada em Novembro de 2000. Da mesma maneira, foram identificadas correções entre as versões 2.17 e 2.18, entretanto como era uma vulnerabilidade desconhecida a maioria dos sistemas legados e de uso continuo não foram atualizados, o que expande as possibilidades de ataque nesta já grande janela de 14 anos. Alguns sistemas utilizados largamente em ambientes mundo a fora estão vulneráveis, tais como:  Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04.

O que fazer?

Atualizar os sistemas o mais rápido possível. Felizmente antes da divulgação os pesquisadores enviaram as informações para as empresas mantenedoras dos sistemas e na sua grande maioria atualizações ja estão disponíveis.

Caso esteja escrevendo algum código em C, o recomendado seria usar a função getaddrinfo(), pois a função gethostbyname() é considerada DEPRECATED, é possível ver o uso do getaddrinfo() em muitos projetos OpenSource como exemplo o MySQL, Ruby entre outros.

Existe um PoC (Proof of Concept) para verificar a existência da vulnerabilidade:

https://gist.github.com/koelling/ef9b2b9d0be6d6dbab63

Ou pode-se utilizar a seguinte linha de comando para outra verificação:

# lsof | awk '/.*libc-/{printf("%- 15s %- 15s\n", $1, $9);}' | sort -u

 Referencias:

QualysAdvisory:https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

RedHat: https://rhn.redhat.com/errata/RHSA-2015-0090.html

Ubuntu: https://launchpad.net/ubuntu/+source/eglibcuf

Debian: https://security-tracker.debian.org/tracker/CVE-2015-0235

GNU C Library: http://www.gnu.org/software/libc/

Mitre: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235

Matasano:http://chargen.matasano.com/chargen/2015/1/27/vulnerability-overview-ghost-cve-2015-0235.html

Buffer Overflow : https://www.owasp.org/index.php/Buffer_overflow_attack