O verdadeiro problema por trás da atualização do W7 (KB2823324)

April 11th, 2013 No comments

A semana começou agitada para quem utiliza o Windows 7.

Na última terça feira uma atualização (KB2823324) disponibilizada pela Microsoft estaria causando indisponibilidade do sistema após a reinicialização (a temida tela azul !).

A notícia do problema, e algumas soluções de contorno, se espalharam rapidamente :

http://www.tecmundo.com.br/windows-7/38456-atualizacao-do-windows-7-pode-inutilizar-o-seu-computador.htm

http://www.baboo.com.br/2013/04/atualizacao-kb2823324-para-windows-7-causa-danos-ao-pc/

http://social.technet.microsoft.com/Forums/pt-BR/winvistapt/thread/a8a900f5-a5b2-45bb-8ac5-b1b3afb22ad7

Todos os indícios apontavam que o problema ocorria somente na versão 32bits do Windows 7 em português, fato no mínimo curioso já que desde o Windows Vista o windows é “Multilingual“.

Passado o pânico inicial é importante identificar a verdadeira causa do problema…

No Brasil vários bancos utilizam um software chamado Guardião. O objetivo desse software e trazer segurança para os clientes do banco quando acessam suas contas pela Internet. Entretanto esse software é tema de constantes discussões nas comunidades de segurança devido ao fato de ter  um comportamento similar ao de um malware e ser de uso obrigatório.

Cada Banco possui uma versão do Gardião específica. Algumas versões, menos intrusivas, requisitam que apenas uma DLL seja instalada:

Outras todavia solicitam a instalação de um executável, que fica ativo sempre que sua máquina é iniciada, mesmo que você não esteja acessando o banco.

 

O problema desta semana (KB2823324) , atribuído precipitadamente à Microsoft, não está na versão distribuída pelo Windows Update mas parece estar no software Guardião, que impede a execução correta do procedimento.

Aqui na Universidade simulamos o problema considerando os seguintes cenários :

Windows 7 (português) com Guardião – Tela Azul !

Windows 7 (português) sem Guardião – Atualizado sem problemas

Windows 7 (inglês) com Guardião – Tela Azul !

Windows 7 (inglês) sem Guardião – Atualizado sem problemas

Além do Guardião outros softwares, que possuem o mesmo comportamento, podem estar causando o problema. Segundo o site da Linha Defensiva, há relatos de outros produtos que podem estar impedindo que a atualização seja realizada,

http://www.linhadefensiva.org/2013/04/teste-mostra-incompatibilidade-de-atualizacao-com-plugin-bancario/

Este problema vai reacender a discussão em torno dos  Softwares de segurança,  novos rounds estão por vir …

Abraço,

 

 

 

 

 

 

 

 

 

Minhas Palestras no Teched Brasil 2011

October 7th, 2011 Comments off

Esse ano participei com 3 palestras e também como co-owner, junto do meu amigo Fabio Hara, das palestras de segurança.

Agradeço a todos que estiveram nas minhas palestras e, conforme combinamos, estou disponibilizando os links com os PPTs, enjoy !

- Configurando o DirectAccess em 30min (QS31)

- Como Montar um Ambiente de Alta Disponibilidade com o Hyper-v (VIR303)

- O Futuro da Plataforma de Infraestrutura da Microsoft (SRV202)
* Palestra feita com o meu amigo Airton Leal

Abraços,

Como melhorar a Segurança da Rede com algumas soluções da Microsoft

June 14th, 2011 Comments off

Garantir a segurança dos dados e sistemas de uma empresa é um dos grandes desafios dos profissionais que atuam na área de Segurança da Tecnologia da Informação (Security IT).

A preocupação em atender algumas demandas vivenciadas pelas empresas é fundamental. Saber quem são seus usuários e ativos de redes se torna um problema na realidade atual onde acesso remoto, wireless, várias filiais e sistemas distribuídos são uma realidade nas empresas. O modelo tradicional, figura abaixo, usado para “garantir” a segurança de um ambiente tinha como ponto principal isolar o acesso entre sua rede e a Internet com o uso de um Firewall.

Entretanto a realidade atual é um pouco mais complexa. O aumento das necessidades de interconexões entre redes, devices e etc, está forçando a nos preocupar na segurança mais próxima do cliente (host), vocês já devem ter ouvido falar em “Defesa em Profundidade”. Apoiado nas tecnologias da Microsoft como podemos reduzir os riscos de segurança no seu ambiente?

 

Public Key Infrastructure (PKI)

Alguns dos principais projetos de segurança envolvem o uso de Certificados Digitais. Em alguns projetos de segurança a utilização de Certificados Digitais permite uma interoperabilidade entre diversas plataformas, por exemplo: um projeto de Isolamento de Servidores e Domínio, com IPSEC, o uso de Certificados Digitais permite trabalhar tanto com máquinas Windows como Linux.

Alguns dos Projetos de Segurança mais comuns, utilizando as Tecnologias da Microsoft, que se beneficiam de uma estrutura de PKI são :

- Autenticação com 2 fatores;

- IPSEC com Certificado Digital;

- NAP com Certificado Digital;

- Right Management Service (RMS);

Projeto de PKI ( Certificação Digital)
Objetivos Requisitos
- Criar uma estrutura de Servidores com o papel de autoridades certificadores para a rede local;- Implementar e configurar certificados digitais para diversos serviços da rede como IPSEC, NAP, Wireless, SSL, RMS, DirectAccess e etc;- Implementar autenticação com mais de um fator, utilizando Smartcard ou Token. Aos servidores e/ou estações de trabalho; Windows 2008 R2

 

Sua Rede Interna está segura ?

Você consegue garantir que, agora, em sua rede somente máquinas que você conhece estão conectadas e utilizando seus recursos e servidores ? Agora imagine esse cenário em uma empresa onde existem vários prédios, milhares de pontos de rede, centenas de Access Point (AP) para acesso Wireless, dezenas de empresas parceiras trabalhando em projetos conjunto e etc. Server and Domain isolation(usando IPSEC e group policy), essa é a solução para endereçarmos problemas como esse.

Um cenário típico de aplicação dessa solução é o que encontramos na figura abaixo.

 

Nesse exemplo temos a necessidade de garantir o acesso aos servidores e dados da rede interna somente para máquina confiáveis, maquinas do nosso domínio.

O objetivo secundário é de isolar, dentro da rede já protegida criada pelo IPSEC, o acesso ao servidor de código fonte a um grupo restrito de máquinas e com o máximo de segurança, no caso com todo o tráfego criptografado.

Como o Internet Protocol Security (IPSEC) funciona na camada de rede do protocolo, abaixo da camada de aplicação, o trafego pode ser autenticado ou criptografado, de maneira centralizada com group policy no Active Directory.

 

Projeto de IPSEC ( Isolamento de Servidores e Domínio)
Objetivos Requisitos
- Aumentar a segurança da rede local permitindo o acesso aos computadores somente de máquinas cadastradas (confiáveis);- Isolamento de Servidores críticos para acesso somente de um conjunto de computadores autorizados;- Criptografar todo o tráfego de dados; Active Directory

 

Sua Rede Wireless está segura ?

Com o crescente aumento dos notebooks e dispositivos móveis nas empresas ter uma rede Wireless internamente não é mais uma opção. O gerenciamento centralizado dos computadores e/ou usuários que terão acesso ao seu ambiente Wireless é determinante garantir a segurança de todo o seu ambiente.

 

A implementação de um servidor RADIUS é necessária para que, de maneira centralizada, você possa criar políticas de acesso e segurança (incluindo a exigência de Certificados Digitais, caso você tenha uma solução de PKI implementada), no Windows 2008 R2 devemos utilizar a Role Network Policy and Access Services.

 

Wireless Segura
Objetivos Requisitos
- Configurar uma rede wireless segura;- Restringir o acesso à rede Wireless somente para computadores cadastrados;- Fazer o deploy de maneira centralizada e automática para os clientes; Windows 2008 R2

 

O computador que acessa seus dados está saudável ?

 

Nos ambientes tradicionais já existe vários níveis de proteção, Firewall de Borda, DMZ e etc, todavia a maior frequência das ocorrências de segurança estão no nível do Host (máquina do usuário). Para endereçar essa questão a Microsoft, a partir da Versão 2008 do Windows Server, lançou o Network Access Protection, com o NAP podemos definir estados de “saúde” dos computadores e com isso garantir que somente máquinas que estejam em conformidade com as políticas da rede possam ter acesso aos dados e servidores em sua rede local. Os exemplos mais comuns são de garantir que a máquina precisa estar atualizada (atualizações do Windows), anti-virus ligado e atualizado e também firewall ativo.

Trabalhando com centenas de parceiros a Microsoft permite que o NAP seja estendido á vários produtos do mercado, como anti-virus, analisadores de rede, e etc.

 

Network Access Protection (NAP)
Objetivos Requisitos
- Garantir que somente máquinas que estão em conformidade com a políticas de rede possa ter acesso à rede local;- Máquinas que não estão “saudáveis” são corrigidos automaticamente;- Melhorar a segurança para clientes remotos, como consultores e vendedores externos (Notebooks); Windows 2008 R2

 

Como oferecer ao seu usuário acesso remoto seguro ?

Oferecer os recursos para que os funcionários da sua empresa tenham sempre acesso, de forma segura, às informações necessárias para que seus trabalhos sejam realizados é determinante nos tempos atuais.

A forma mais tradicional e usada é disponibilizar o acesso via VPN (Virtual Private Network), todavia nesse tipo de acesso temos uma exposição maior devido a fragilidade das senhas de acesso, independente da política de senhas que sua empresa utiliza (senhas fortes, caracteres especiais e etc) é indiscutível que restringir o acesso a mais de um fator é a melhor forma de mitigar esse problema. Utilizando de recursos de PKI, requisito para essa solução, podemos garantir que somente usuários com o Certificado, ou token de acesso, conseguirão se autenticar remotamente na sua empresa.

 

Acesso Remoto Seguro (VPN + PKI)
Objetivos Requisitos
- Garantir acesso remoto seguro (VPN);- Acesso remoto somente para usuários autorizados e com Certificado Digital; Windows 2008 R2PKI

E os ataques de Phishing não param

June 5th, 2011 Comments off

Hoje recebi mais um email de Phishing, todavia fiquei impressionado com a “qualidade” do site, vamos analisar a anatomia do ataque. Este foi o email que recebi, tentador para os usuário do programa de milhagem da TAM;

Clicando do email somos direcionados para o suposto site da TAM;

Essa foi a parte que me impressionou, reparem que o site é muito bem feito, uma cópia quase que perfeita do site oficial da TAM, os links dos menus a esquerda está corretos e direcionando para o site oficial ;

 

Mas porque é necessário colocar a assinatura eletrônica e a senha de resgate no cadastramento de promoção ???  Infelizmente imagino que muitas pessoas não farão esse questionamento e serão vitimas desse ataque.

Abri o link nos 3 browsers que utilizo, Internet Explorer, Google Chrome e Firefox, e até o momento deste post nenhum deles identificou o link como um risco para o usuário.

 

 

 

Olhando com um pouco mais de atenção podemos verificar que a URL é estranha

 

Se procurarmos pelo domínio somos direcionados para um site de automóveis no exterior, provavelmente este site não pertence mais a eles e já está em comprometido;

Mas o que um profissional de TI pode fazer quando encontra um ataque como esse ?

1 – Cadastrei o site para análise no serviço de SMARTSCREEN da Microsoft, acredito que em pouco tempo este ataque não terá tanta eficácia para os usuários do IE;

2 – Enviei as informações, com mais detalhes, para a TAM;

3 – E principalmente informei os usuário da minha rede, domínio onde recebi o email com o Phishing;

Abraços,

Livro de Segurança (Autor Brasileiro !)

May 27th, 2011 Comments off

livroQuem trabalha e estuda a disciplina de segurança sabe o quanto é difícil bons livros de autores nacionais, todavia tive uma excelente experiência lendo o livro dos meus amigos Yuri Diógenes e Alberto Oliveira (Revisor Técnico), o livro tem uma didática muito boa, a leitura é agradável e fácil.

 

Um ponto forte são as seções “1 a 1 com o autor”, onde os autores passam dicas e experiências práticas que fortalece o entendimento do assunto.

 

Definitivamente recomendo a leitura !

 

Abraços,

Categories: Uncategorized Tags: , ,

Projeto Baboo 2.0

December 17th, 2010 Comments off

 

Em Julho de 2010 o Baboo me procurou sobre sua necessidade de fazer uma grande atualização em seu ambiente.

A proposta era uma atualização total, que seria desde as configurações dos servidores, sistema operacional até mesmo os softwares utilizados no ambiente e serviços dos sites do Baboo.

Confesso que fiquei bastante motivado com a idéia desse projeto, afinal eu sabia que o site do Baboo (www.baboo.com.br ) tem mais de 1,2 milhões de acessos/mês e o Forum (http://www.babooforum.com.br/forum/) tem mais de 4,2 milhões de internautas / mês.

*** com o novo ambiente a VM de SMTP envia mais de 540 mil mensagens em menos de 4 horas !  Rápido o suficiente para não criar nenhum fila …

A diretriz do Baboo era simples, “temos de montar um ambiente com melhor performace e segurança para suportar o crescimento e novos ambientes que vamos colocar no ar”, e com base em todo esse cenário nasceu o projeto Baboo 2.0

Finalizei o projeto, implementação e migração do ambiente antigo para o novo em meados de setembro e tudo correu como o esperado. Separei algumas informações interessantes para vocês conhecerem um pouco mais do projeto, enjoy !

Abraços ,

Infraestrutura e segurança dos servidores do Baboo 2.0

Diante da constante evolução e crescimento do ambiente de TI, torna-se imprescindível zelar pela segurança da informação e mitigar riscos provenientes desse mundo “inseguro”, tais como acesso indevido, fraudes, sabotagens, vírus, indisponibilidade, quebra de sigilo, ataques externos e consequentes prejuízos financeiros e de imagem, com essa premissa o novo projeto de infraestrutura para os sites do Baboo está apoiado sobre o tripé clássico da segurança da informação:

· Confidencialidade: controle de acesso às informações, garantindo o sigilo e o uso adequado das informações;

· Disponibilidade: garantia de que a informação esteja sempre disponível quando os usuários e/ou clientes necessitarem;

· Integridade: garantia de que as informações estarão corretas quando chegarem aos usuários ou clientes;

Abaixo segue uma ilustração do modelo lógico e físico do novo ambiente:

Segurança do Hardware

 

Hospedado em um dos melhores data centers em operação nos Estados Unidos (www.peer1.com) todo o ambiente do Baboo está coberto por todos itens de segurança física, seguindo padrões mundiais de excelência (redundância de link, data center de alta segurança, autonomia de energia, etc).

Segurança Lógica

Todo o acesso aos sites e serviços do Baboo passam por um firewall de borda, configurador e monitoramento constantemente pela equipe de segurança interna da Peer1 e também pela equipe do Baboo;

Todos os servidores, individualmente, foram configurados – procedimento de hardening – seguindo as recomendações de segurança da Microsoft.

Toda a comunicação interna entre os servidores está protegida por políticas de IPSEC.

A equipe do Baboo faz auditorias de segurança regularmente, considerando as vulnerabilidades recentes, para verificar e garantir que o ambiente esteja seguro em relação as mais novas técnicas de ataque.

Todo ambiente é monitorado pró-ativamente por profissionais altamente capacitados e detentores de certificações internacionais de segurança.

A política de backup é executada em conjunto entre a equipe do Baboo e o data center – Peer1 – para garantir que todos os dados necessários estejam verificados e armazenados em segurança, de acordo com a frequência e demanda existente.

Disponibilidade do Ambiente

 

Além do contrato de SLA firmado com o Datacenter – Peer1 – todos os servidores possuem estrutura de redundância de discos, minimizando substancialmente qualquer risco de indisponibilidade do serviço devido a problemas em discos.

Arquivos com as Palestras do Teched Brasil 2010

September 23rd, 2010 Comments off

 

Desde 2003 tenho participado como palestrante do Teched Brasil e confesso que este ano fiquei surpreso com a estrutura do evento (organização e local). Em 2008 tive a oportunidade de palestrar na edição americana do evento e, guardada as devidas proporções, a edição do Teched Brasil 2010 não deixou nada a desejar !

Esse ano participei com 3 palestras e também como co-owner, junto do meu amigo Fabio Hara, das palestras de segurança.

Agradeço a todos que estiveram nas minhas palestras e, conforme combinamos, estou disponibilizando os links com os PPTs, enjoy !

- Utilizando o AppLocker para proteger seu ambiente da execução de aplicações não autorizadas

- Segurança fim-a-fim:Juntando as peças do quebra-cabeça

* Palestra feita em parceria do MVP Vitor Nakano

- Dicas e Truques de Performance: Como obter o máximo do Windows Server 2008 R2 Hyper-V
* Palestra feita com o IT Pro Evangelist

Abraços,

DirectAccess Solution Accelerator

June 12th, 2010 Comments off

 

Várias pessoas me perguntam sobre a instalação e configuração do DirectAccess.

Na maioria dos casos a implementação do DirectAccess é relativamente simples, entretanto quando ocorre algum problema o troubleshooting (resolução de problemas) não é fácil. Do lado do servidor temos várias ferramentas que nos ajudam a resolver um problema, mas do lado do cliente as opções são mais restritas.

Pensando nisso a Microsoft disponibilizou um assistente – Microsoft DirectAccess Connectivity Assistant – para ajudar na resolução dos problemas de conexão dos clientes.

Todas as informações, com os procedimentos de instalação e configuração, estão no arquivo Microsoft_DirectAccess_Connectivity_Assistant_DeploymentGuide. De qualquer forma segue um pequeno passo a passo com algumas dicas :

Passo 1 : Copiar o arquivo DirectAccess Connectivity Assistant GP.adml para a pasta %systemroot%\PolicyDefinititions\language dentro de um servidor Windows Server 2008 R2;

Passo 2 : Copiar o arquivo DirectAccess Connectivity Assistant GP.ADMX para a pasta %systemroot%\PolicyDefinitions dentro de um servidor Windows Server 2008 R2;

Passo 3 : Criar uma GPO para aplicar nos computadores que fazem parte do grupo de acesso via DirectAccess;

Passo 4 : As duas configurações mínimas que devem ser feitas na GPO são nas opções DTE e CorporateResources.

- Para preencher a opção DTE você pode recuperar os dados dentro do servidor onde o DirectAccess está instalado. Nas configurações de IP (ipconfig) procure os endereços IP (IPV6)da opção do 6TO4, no formato PING:XXX:XXX:XXX::XXX

 

- A opção CorporateResources deve ser preenchida com algum dos recursos que está disponibilizado para acesso externo, por exemplo :  PING:<SERVIDOR DE ARQUIVOS> ou HTTP:http://siteinterno .

Passo 5 : Instalar o agente no cliente;

 

Uma vez instalado o programa, e com a GPO aplicada,  você já consegue colher algumas informações :

Ambiente Operacional

Problema na Conexão

Problema na Conexão

 

No caso de um problema de conexão o usuário pode gerar dados detalhados com as configurações de todo seu ambiente e enviar ao Administrador da Rede para identificação e correção.

 

Desta forma o traballho de troubleshooting fica muito mais fácil …

Abraços,

UVV – Estudo de Caso Publicado

March 20th, 2010 Comments off

A Microsoft publicou um video que fez na UVV sobre os últimos dois Estudos de Caso que publicamos :

 

Video Publicado – http://www.microsoft.com/everybodysbusiness/pt/br/products/windows-server-2008.aspx

 

Estudo de Caso I – ../projeto-de-virtualizacao-estudo-de-caso-microsoft

Estudo de Caso II – ../usando-o-directaccess-com-sdi-ipsec-estudo-de-caso-microsoft

 

Abraços,

Porque você deve considerar o uso do IPSec agora …

December 22nd, 2009 Comments off

Você já deve ter ouvido falar no IPSEC, mais específicamente associado à conexões VPN, mas é o IPSEC no modo de Transporte ?

 

Projetos de segurança baseados somente na proteção do perímetro não são mais suficientes, com a diversidade dos cenários, clientes e dispositivos precisamos ampliar nosso projeto de segurança para endereçar diversos fatores, são eles :

 

- Acesso Remoto – Clientes com acesso remoto;
- Acessos de Parceiros – Acesso local e/ou remoto de computadores que não fazem parte do seu domínio;
- Wireless – Acesso aos dados em qualquer ponto da empresa;
- Rede Fisica – Permitir acesso à rede somente para computadores cadastrados;

 

Um dos primeiros contatos que tive com o IPSEC foi em um projeto que desenvolvemos aqui na Universidade( http://www.uvv.br ) 2004, nesta ocasião precisávamos de uma solução para melhorar nossa segurança na rede local, este projeto precisava contemplar os sequintes requisitos :

 

- Melhorar a Segurança da Rede Local
- Precisávamos ter certeza de que somente máquinas confiáveis teriam acesso à rede local;
- Restrição de Acesso a alguns servidores e serviços
- Alguns Servidores  e Serviços deveriam ter acesso restrito a um grupo de usuários/computadores;
- Baixo orçamento disponível
- Não havia orçamento para substituição de ativos de rede, no caso de escolhermos 802.1X;

 

Decidimos implementar um projeto de Isolamente de Servidores e Domínio (IPSec) ( ../voce-sabe-quem-esta-usando-sua-rede ) , com esta implementação conseguimos atingir os seguintes objetivos :

 

- Máquinas não conhecidas (confiáveis) não tinham mais acesso aos nossos dados ;
- Dados sigilosos passaram a ser criptografados;
- Gerenciamente centralizado e Baseado em Políticas;
- Transparente para o usuário;

 

É verdade que com o Windows Server 2003 desenvolver um projeto baseado em políticas de IPSEC pode ser um pouco complexo, principalmente devido ao fato da configuração das políticas não ter uma interface muito amigável, todavia este problema foi completamente removido com a evolução para o Windows Server 2008, várias questões que poderiam causar problemas, ou gerar mais esforço de implementação, foram resolvidas nessa nova versão.

 

O número necessário de políticas de IPSEC no Windows 2008, para fazer as mesmas funções que no Windows 2003, reduziram drasticamente graças à nova Interface. Outros fatores também somam às evoluções :

 

- Integrado ao Windows Firewall with Advanced Security;
- Melhor performace para fallback, Windows Vista and later send both connection, IPsec and nos-IPsec.

 

Neste post ( ../e-o-ipsec-no-vista-e-windows-server-2008 )  existe uma comparação entre um script para o Windows Server 2003 e para o Windows Server 2008.

 

E o futuro ?

 

Que você já ouviu falar no IPV6 eu tenho certeza, mas você também acha que é um futuro distante ?

 

Uma das novas features de segurança do Windows 7 e do Windows Server 2008 R2 é o DirectAccess ( ../reinventando-o-acesso-remoto-com-directaccess ), com ele podemos dizer que estamos dando o primeiro passo, e porque não dizer empurrão, na direção do uso do IPV6.

Abraços,

Categories: Uncategorized Tags: , , , , ,