Entrevista


Código de fogo - Entrevista com Martin Roesch, criador do Snort

Esta entrevista foi visualizada 27029 vezes.

Publicado em 15/12/2011 às 10:59

Versão para impressão Enviar por email



Martin Roesch é mais conhecido como o criador do Snort, uma ferramenta de detecção de invação open-source das mais utilizadas pelo mercado corporativo. As chances de você ser um profissional de segurança e não conhecer o Snort são definitivament muito remotas.

Com a crescente adoção do programa desde o seu lançamento, em 1998, ficou cada vez mais inviável a manutenção de seu desenvolvimento de maneira amadora. Martin começou então a viabilizar uma alternativa que capitalizasse o produto, antes que alguma outra pessoa ou empresa o fizesse antes dele.

A iniciativa era arriscada, pois o mercado de segurança é dominado por gigantes como a Symantec ou a McAfee. No entanto, a aposta feita por Martin em seu principal produto parece ter rendido bons frutos desde a fundação da Sourcefire, em 2001. Hoje, além do Snort, comercializado na forma de //appliances// de alto desempenho, a Sourcefire possui uma linha de produtos que inclui programas como o Inmunet, um antivírus que funciona na nuvem e que foi adquirido pela empresa no início de 2011. A seguir, você confere a entrevista exclusiva concedida por Martin Roesch à Linux Magazine Brasil, por ocasião de uma passagem do executivo pelo Brasil.


por Kemel Zaidan, editor da Linux Magazine.


Linux Magazine »Por que você optou por usar a palavra “hacker”, ao invés da palavra “cracker”?


Martin Roesch » Quando estou com uma platéia como essa, a sua maioria não está familiarizada com os termos técnicos, como eu e você, então eu prefiro usar “hacker” ao invés de “cracker”, eles podem não entender, eles não conhecem as diferenças. Então, ao preparar minhas apresentações, tendo em mente que falo para diferentes platéias por todo o mundo, com níveis diferentes de conhecimento sobre o assunto, prefiro usar um linguajar mais simples e me focar no que as pessoas já conhecem. Em uma sala cheia de caras como eu, a conversa seria bem diferente.


LM » A palestra foi bem clara, as explicações técnicas foram excelentes e suficientes, pode-se entender como (o Snort) funciona.


MR » Venho explicando esse funcionamento, para pessoas de diferentes níveis de compreensão técnica, por dez anos já, com isso você aprende a fazer sua mensagem ser transmitida. Eu procuro manter uma média entre uma apresentação que não seja completamente técnica, assim qualquer um pode aprender alguma coisa, e nem tão simples, para não ficar desinteressante. É uma prática de pisar em ovos.


LM » Como o Snort começou?


MR » O Snort começou porque fiquei frustrado com o tcpdump, haviam algumas coisas que eu queria que o tcpdump fizesse enão fazia, e me interessei em aprender o funcionamento do libpcap, que é uma biblioteca de captura de pacotes com que o Snort começou a ser desenvolvido. Então, em um final de semana em casa, pensei: “Bom vou escrever um novo sniffer (farejador) que faça as coisas que eu preciso que faça, usando libpcap, assim aprendo como escrever sniffers, isso será legal.” Começou dessa maneira, e construi o princípio do Snort e fiquei trabalhando seu código por mais ou menos um mês, depois o lancei como um projeto com código aberto. À princípio, ele era apenas um sniffer, que possui um modo de registro, que fazia o programa gravar os diferentes fluxo de dados da rede em arquivos distintos, assim, poderia ir para a casa de noite e ver quem estava mexendo na minha conexão.


LM » Então ele começou para seu uso pessoal?


MR » Isso, eu o usava para depurar outros aplicativos que estava escrevendo na época, ele era um sniffer para uso interno, e então eu decidi…


LM » Você estava na universidade na época?


MR » Não, eu trabalhava para uma empresa sob um contrato do governo, meu trabalho consistia em desenvolver ferramentas como o Snort, eu sempre gostei de programar, era o que me fazia chegar em casa e desenvolver ainda mais outros programas. Então, trabalhei no Snort e disponibilizei o aplicativo como código aberto. Algumas semanas depois de ter colocado o código no ar, acrescentei no código o recurso de reconhecimento de padrões, permitindo que o software buscasse por atividades específicas nas conexões, e os comentários começaram a surgir, pedindo por este ou aquele recurso. Construi esse sistema de detecção de intrusos trivial, que foi o Snort 1.0, então percebi que a arquitetura do aplicativo não era muito boa, então o reescrevi completamente e lancei o Snort 1.5 que lancei em dezembro de 1999, um ano após o lançamento da primeira versão do Snort. A arquitetura básica usada no Snort 1.5 ainda é a mesma usada hoje, com o estabelecimento de pré-processadores, a linguagem de detecção, o motor, a infraestrutura capaz de suportar complementos.


LM » Quando o Snort se tornou um produto comercial?


MR » Eu criei a Sourcefire em janeiro de 2001, e começamos a vender nosso primeiro produto comercial em setembro do mesmo ano.


LM » Como foi essa mudança?


MR » Para mim, fez muito sentido, eu já estava trabalhando no Snort, além do meu emprego regular. Então eu chegava em casa e continuava meu trabalho no Snort ao longo da noite, respondia emails e comentários sobre o aplicativo, eu trabalhava no Snort mais quarenta horas por semana, além do meu emprego. Além disso, o Snort estava sendo usado em todo o lugar, ficou impossível ignorar o fato de que o Snort estava sendo usado em absolutamente todo o lugar. Quase todos que estavam trabalhando com proteção de redes estavam usando o Snort. Então pensei que se não pensasse em uma maneira de tirar dinheiro disso, alguém o faria, e eu já estava me acabando de trabalhar todo o dia.


Um dos números sobre o Snort, que levantei há alguns anos, mostram que desde o final de 1999 até a metade de 2002 eu escrevi em torno de três mil emails para a lista de discussão do software. Esse era o nível do trabalho que eu estava executando, além das mensagens e comentários também recebi contribuições, mas grande parte do código ainda era escrita por mim, e eu não vi nenhum tipo de compensação. Pensei em um modelo de negócio e comecei a procurar por investidores. Para mim, a transição foi bem natural. Quanto à comercialização do Snort, achei apropriado trabalhar com os problemas que as pessoas tem com o Snort e com isso conclui que meu mercado-alvo seriam as grandes empresas, porque elas tem duas coisas: problemas com a escalonabilidade do Snort e muito dinheiro. Tive como objetivo esse mercado porque eles estavam usando o software, mas tinham problemas com seu desempenho nas múltiplas máquinas e com o volume de tráfego de sua rede, essas empresas já estavam prontas para comprar algum produto envolvendo o Snort. Eu não estava indo contra meus ideais de código aberto ou nada, eu estava perpetuando o projeto e fazendo ele valer alguma coisa para mim.


LM » Todos os produtos da Sourcefire são dispositivos, correto?


MR » Sim, trabalhamos também com dispositivos virtuais, que operam com soluções de virtualização, mas nossos principais produtos são dispositivos reais, com um hardware real.


LM » Qual a diferença entre o software presente nesses dispositivos e o Snort?


MR » Quase nada. Todos os pré-processadores, lógica de detecção, complementos de saída são os mesmos que estão disponíveis no snort.org, não fizemos nenhum truque com o que está no hardware. A verdadeira diferença estão nos códigos de aquisição de pacote e manipulação de pacotes, que são proprietários, para o transporte rápido de pacotes para dentro e para fora do Snort, e também o código para balanceamento de carga. Mas não temos uma “edição comunitária” que foi reduzida à um básico, ou qualquer coisa do tipo.


LM » E como se nota essa diferença?


MR » Usamos hardware personalizado, então se você tenta construir um sensor Snort de 10 gigabit, lembrando que qualquer um pode construir um sensor de 100 megabits, não é difícil, mas pensando em um volume de dados de 10 Gigabit você começa a encontrar problemas com latências e o tempo que cada pacote leva para ser processado, então o Snort tem esse componente chamado de Data Acquisition Plugin System, que permite que você use diferentes módulos de aquisição de dados e oferecemos esses módulos proprietários.


LM » Qual é o sistema operacional das caixas Snort?


MR » Linux, originalmente trabalhavamos com o OpenBSD, mais tarde que migramos para Linux. E fazia sentido, na época o FreeBSD era considerada o melhor sistema para segurança que havia no mercado, e ainda é um sistema muito bom, mas a arquitetura do OpenBSD é extramemente politizada e o desenvolvimento para suporte de determinadas determinados recursos como múltiplos processadores, especificamente de produtos da Intel, começou a ser negligenciado, e já não podiamos ignorar isso. Então passamos para o Linux, que possui um kernel com suporte mais eficiente à múltiplas CPUs e múltiplos núcleos, estamos falando dos anos 2002 e 2003, quando fizemos a mudança. Estamos bem habituados ao Linux, mas meu ambiente de desenvolvimento preferido foi o FreeBSD, por ser estável e previsível, eles não mudavam grandes partes do kernel a cada mês.


LM » Como você vê a competição de grandes empresas, também no setor de segurança?


MR » Eles não são tão grandes quanto parecem, mas competimos com eles com medidas objetivas, como as tomadas pelo NSS Labs, que mostram que fazemos o trabalho da melhor maneira, nosso desempenho é melhor, nossos índices de detecção são melhores, somos mais difíceis de enganar, temos dispositivos com melhor desempenho, temos o melhor custo por megabit, a melhor marca no consumo de energia, nós vencemos a competição em praticamente todos as medições que existem.


LM » E quanto ao Brasil, como estão os negócios da Sourcefire no país?


MR » Vão bem, aliás, vão tão bem que abrimos dois escritórios aqui no Brasil e começamos a contratar contratarmos pessoal, temos presença no país já há 18 meses. Estamos expandindo nossas atividades por toda a América continental, mas o Brasil foi um dos lugares em que tivemos mais sucesso, é um grande mercado.


LM » Quão grande?


MR » Não posso falar em dinheiro, mas trabalhamos com empresas de telecomunicações, provedores de internet…


LM » Algum cliente do governo?


MR » Temos alguns trabalhos com o governo, eu não sei ao certo quantos, não tenho os números comigo. Mas sempre buscamos diálogo com governos, já somos um dos maiores fornecedores de soluções de segurança pra o governo americano, o que costuma servir como cartão de visita quando apresentamos soluções para outros governos.


LM » Você falou durante sua apresentação sobre a computação em nuvem e os desafios de segurança que essa nova fase da computação deve trazer. Contudo, você não comentou sobre soluções específicas da Sourcefire para o problema.


MR » Acreditamos que nossos produtos pode ser aplicados universalmente dentro desses ambientes, a tecnologia de “Awareness”, por exemplo, permite que você acompanhe o que está acontecendo em todo o seu ambiente de máquinas virtualizadas. Para as nuvens, somos capazes de assegurar o transporte de dados em ambas as direções e assegurar segurança dentro do seu próprio domínio. Na realidade, temos até um programa que opera com o ambiente de nuvem, instâncias AWS que você pode executar em um ambiente de nuvem, contudo sua adoção ainda não é relevante.


LM » Se a nuvem é privada, é mais fácil protegê-la, e se pensarmos em uma nuvem pública, como lidar com questões de segurança em uma nuvem pública?


MR » É praticamente impossível, todo o modelo hoje é problemático. Não importa qual provedor que você escolha, há um problema sério com permissões e segurança nesses serviço. Em outras palavras, se você está colocando algo na nuvem, é melhor criptografar esses dados. Ou você depende da criptografia ou você depende da confiabilidade dos provedores, afinal “é o Google”. Nenhuma crítica direta aqui, o Google parece levar muito à sério a segurança de seu sistema, apesar dos problemas que tem enfrentado quanto à isso…


LM » Você tocou num ponto interessante, hoje em dia, empresas são responsáveis não apenas pelos seus dados, mas também pelos dados de seus clientes, sejam esses outras empresas ou consumidores. Essas companhias parecem que ainda estão por entender a seriedade dessa responsabilidade. Você acredita que o governo deveria atuar de alguma maneira com isso?


MR » Sim, certamente deveriam haver leis quanto à isso. Contudo, há um problema em se estabelecer leis sobre TI, que é o fato do legislador conhecer tão pouco sobre o assunto que é mais provável que ele faça mais mal do que bem com normas específicas. Acredito que quanto à isso, é mais interessante que existe uma espécie de Carta de Direitos, ao invés de leis que criminalizam condutas. Deve se tomar muito cuidado para pedir aos que fazem leis para lidar com os problemas de segurança, pois corre-se o risco do remédio se tornar mais prejudicial que a doença.


LM » Você poderia nos contar um pouco sobre o Immunet?


MR » Acreditamos que o que o Immunet faz é realmente o próximo passo nesse campo dos antivírus e proteção contra malwares, há uma presunção, que já dura 20 anos, de que todo computador à ser defendido não está ligado à nada. Há uma nova realidade em que todos os computadores estão ligados à rede, os períodos que as pessoas passam offline é bem menor do que os períodos passados online. Os sistemas que ignoram esse fato, não podem fazer seu trabalho muito bem. Você não veria uma solução como o Immunet surgir de algum dos grandes fornecedores, por conta da inércia que seus produtos geram. Os desenvolvedores que criaram o Immunet saíram dessas grandes empresas.


Essas grandes e tradicionais fornecedores de antivírus estão fazendo um trabalho realmente ruim, mas não existe nenhuma pressão sobre eles, pois todos estão fazendo exatamente a mesma coisa. Com o Immunet, acredito seja uma maneira fundamentalmente melhor de lidar com o problema, com a possibilidade de compartilhar informação e definições, melhor a capacidade do sistema de detectar ataques às vulnerabilidades 0-day e malware polimórfico.


Essa é uma excelente e nova oportunidade para nós, e nos coloca em uma posição privilegiada contra empresas como a McAfee. Tradicionalmente, o problema que temos quando enfrentamos essas empresas é que podemos vencê-los tecnologicamente em praticamente todos os campos, mas não conseguíamos enfrentá-los no mercado de antivírus e eles usavam isso em vantagem para eles, oferecendo outras soluções de segurança, gratuitamente, junto com a venda das licenças de antivírus. Para nós, com o Immunet, temos como oferecer produtos melhores em todos os campos, oferecemos agora tecnologia superior em defesa de ponto e de rede.


LM » Então ele opera também como um sistema de defesa da rede?


MR » Ele atua como uma ajuda em momentos de quebra de segurança, quando os invasores tentam expandir seu controle sobre os sistemas, com keyloggers e outras coisas, e o Immunet detecta isso e impedem a ação desses aplicativos maliciosos. O programa oferece mais opções de proteção contra ameaças. Hoje em dia, se a ameaça passa pelas suas defesas principais, ou seja, passa pelo seu IPS ou pelo seu antivírus, você já era. Com o Immunet você tem mais chances de detectar malwares no ambiente, e é capaz de ver mudanças no ambiente, de apontar mudanças que são contrárias às políticas do ambiente. Então é uma forma mais poderosa e efetiva de evitar problemas.


LM » Ele examina cada arquivo, como um antivírus comum?


MR » Não, apenas os que são acessados. Você pode fazer uma varredura completa do sistema, para que ele olhe para toda a máquina e catalogue o que encontrar, mas uma vez feito isso, você não terá que realizar essa varredura novamente. Não é necessário executar a mesma varredura, nos mesmos arquivos, de novo e de novo, importam mesmo os novos eventos, os novos arquivos que são introduzidos ou mudados no sistema.


LM » Qual é o efeito disso sobre o tráfego da rede?


MR » Não muito, pense quantas vezes você abre um aplicativo por dia, ou abre um documento, ou mesmo as vezes que você usa um navegador web. Para cada página aberta, em especial páginas que possuem algum conteúdo muito pesado, o navegador realiza alguns pedidos DNS, e finalmente todo o conteúdo da página é carregado. O tráfego de rede do Immunet se parece muito com um pedido DNS, há um pedido, uma resposta, elas são atualmente encapsuladas em UDP - o TCP virá na próxima versão. Se considerarmos isso, o Immunet é bem mais leve no tráfego da rede do que um navegador web.


LM » A demanda para o lado do servidor deve ser bem elevada...


MR » Na nuvem? Certamente que sim! Usamos atualmente o sistema de nuvem da Amazon, AWS, mas o sistema foi desenvolvido com escalonabilidade em mente. Atualmente temos mais de 100 instâncias, ou seja, mais de 100 servidores, que são a coluna vertebral do sistema. Mas é elástico, então pode ser expandido se necessário.


LM » Vocês estão usando um serviço de nuvem pública para o servidor?


MR » Sim, acredito que atingiremos em breve o ponto de custo em que se tornará mais econômico para nós usar uma nuvem privada para isso.


LM » O que você pode falar sobre o novo projeto em código aberto Razorback?


MR » É um sistema que foi construído com o propósito de realizar análise profunda na estrutura dos arquivos, de uma maneira relacionada com análise forense. A razão de sua existência vem da necessidades alguns usuários avançados, que enfrentam problemas reais com ameças persistentes, que não são detectadas pelas ferramentas de análise em tempo real que existem hoje no mercado, por conta do número de truques que pessoas mal intencionadas vem usando. Esses usuários desenvolveram o Razorback em resposta à isso.


O Razorback é um sistema de análise em quase-tempo real, que cataloga tudo o que já vasculhou e realiza uma análise detalhada da estrutura de arquivos. Por exemplo, alguns antivírus realizam uma conferência de assinaturas do arquivo, conferem seu hash, se ele não bate com o de uma ameaça não existe mais nada a se fazer o arquivo, ele não olha para estrutura do arquivo. O Razorback varre a estrutura do arquivo, então podemos pegar arquivos PDF, em sua totalidade ou pequenas seções, e realizar uma análise minuciosa de seu conteúdo, se o PDF possuir JavaScript embarcado, ou alguma outra estrutura genérica para um heap overflow, nós saberemos.


Além disso, é capaz de realizar essas análise detalhada e reportar o resultado para outros elementos da cadeia de segurança, e ainda podemos atualizar as capacidades de detecção do sistema durante sua execução. Então é uma tecnologia construída para lidar com a necessidade de segurança de alguns clientes avançados contra ameaças, principalmente malwares ainda não detectados, e ser capaz de buscar informações sobre o arquivo. O sistema será capaz de operar com o Snort, que pode pegar arquivos em trânsito na rede e entregá-los ao Razorback, o ClamAV enviar arquivos do spool do mail e enviá-los ao Razorback. E o sistema rastreia e cataloga tudo o que receber, então teremos oportunidade de ver de onde veio o arquivo ou de marcar seções de arquivos que são consideradas perigosas. O sistema também é capaz de subir um alerta, sempre que o mesmo trecho marcado for encontrado, além disso, pode gerar assinaturas e enviá-los ao Snort e realizar outras formas de interessantes de interação como essas.


É uma ferramenta de próxima geração, para a análise, detecção e reação inteligente contra malwares e outras ameaças. É um projeto ainda incipiente, que começamos a desenvolver em março desse ano.


Comentários

lançamento!

LM 119 | Backup e Restauração




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Soluti Certificação Digital em busca de especialista Linux

    Publicado em 19/04/2017 às 17:18 | 540110 leituras

  1. Seminário sobre gestão de privilégios do Linux dá direito a certificado CPE

    Publicado em 23/05/2017 às 10:35 | 457139 leituras

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 443508 leituras

  1. 4Linux abre vagas para Líder Técnico em São Paulo e Brasília

    Publicado em 25/07/2017 às 14:12 | 297732 leituras

  1. Novo evento "Universidade Livre" será realizado em Belém/PA em 06/05/2017

    Publicado em 28/04/2017 às 11:19 | 266729 leituras

  1. Entrevista em vídeo com Greg Kroah-Hartman: Drivers, código não GPL e redes sem fio

    Publicado em 16/05/2008 às 10:25 | 14284 leituras

  1. Cisco premiará projetos de internet das coisas com US$ 250 mil

    Publicado em 03/06/2014 às 11:28 | 6870 leituras

  1. Um Clover Trail só para Linux

    Publicado em 19/09/2012 às 17:17 | 9098 leituras

  1. Facebook, Google e Yahoo farão testes com IPv6

    Publicado em 18/01/2011 às 11:10 | 8617 leituras

  1. Hyper-V no OpenNebula

    Publicado em 19/03/2012 às 13:31 | 11528 leituras

whitepapers

mais whitepapers