#FISL 12: #segurança e software livre

Baseada na afirmação de August Kerckoffs de que "A segurança de qualquer sistema criptográfico não está no segredo, ele deve ser capaz de cair nas mãos do inimigo sem inconveniência" (tradução livre), a palestra do David Mirza, da Subgraph (@subgraph), mostrou os pontos positivos da segurança baseada em software livre, e explicou que diversas coisas não teriam evoluído se não fosse o fato de que a segurança é baseada em padrões abertos.

Segundo o David, mais do que "condenar" a segurança pela obscuridade, o princípio/postulado/axioma/<sua palavra preferida> de Kerckhoff aponta na direção de padrões abertos para a segurança. É a partir desta premissa que ele desenvolve sua palestra, mostrando que a segurança feita a partir de padrões e soluções abertas é mais efetiva que as baseadas em soluções e padrões fechados e proprietários.

Ele cita como exemplo a comunidade de segurança, extremamente ativa, apaixonada e colaborativa, cujos resultados são reconhecidos mundialmente: Phrack Magazine, Bugtraq, Defcon, Blackhat, Recon, etc. E citou ainda uma série de ferramentas: nmap, BackTrack, Helix, snort, Metasploit, etc.

O David seguiu mostrando como a lista bugtraq foi revolucionária, obrigando os fornecedores a disponibilizarem soluções para bugs mais rapidamente e fornecendo um canal de informações abertos para os usuários, que tinham agora uma fonte de informações aberta sobre falhas de segurança. Isto culminou com as iniciativas de "bug bounty" da Mozilla e Google, que incentivam a pesquisa de falhas em seus softwares para aprimorar a segurança de seus produtos.

Ele citou ainda exemplos de soluções de anti-exploitation que começaram no software livre e depois foram inclusive adotadas por softwares comerciais, e deu o exemplo do non-exec stack patch para o Solaris, de 1997, que foi o precursor de soluções como o NX (No-execute), implementado via hardware, e posteriormente suportado por outros sistemas, como Windows e MAC OS X.

O David contou ainda a história do SSH, desenvolvido como freeware em 1995, fechado em 1999 e redesenvolvido pelo pessoal do OpenBSD como software livre, o OpenSSH, um projeto de extremo sucesso e que fez com que serviços como telnet, rsh e rlogin fossem abandonados por sua falta de segurança frente ao OpenSSH.

E continuou defendendo que segurança baseada em código aberto é melhor porque permite a inspeção do código, sem a dependência de um fornecedor, entre outras vantagens, e questionou porque as pessoas não demandam soluções de seguranças baseadas em sofware livre.

Depois ele abordou as soluções de segurança para web, mais especificamente, apontando uma série de problemas nas soluções livres atuais, como falta de integração, interfaces ruins, instalações complicadas, abandono, entre outros, e indicando algumas soluções comerciais interessantes, como NetSparker e BurpSuite, embora pontuando alguns problemas aqui também, como preço e falta de acesso ao código.

Finalmente, o David apresentou a visão da Subgraph, a empresa de segurança dele, sobre as ferramentas de segurança para web, e indicou a solução deles, VEGA, que é baseada em software livre (mas tem uma versão pro, paga) e que resolve os problemas apontados (claro!), possuindo integração com diversas ferramentas de modo a compor um framework de testes de segurança para aplicações web.

Feita em Java, a ferramenta pode funcionar como scanner de falhas em aplicações web ou como proxy, podendo ser utilizada inclusive em testes de penetração. Tudo isso com uma interface bonita (segundo ele) e suporte a testes de SQL e XML Injection, path traversal, command injection, ataques de força bruta e até verificação de configurações incorretas.

Eu já baixei! Agora é ver se o software é bom mesmo.

Siga-nos no Twitter! ou Buzz
Receba os textos via e-mail ou RSS!
Confira outros textos sobre o tema!

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!