Raramente irei abrir exceções para posts que não sejam relacionados diretamente com segurança da Informação. Porém como sou um fã declarado dos serviços oferecidos pelo Google, hoje irei comentar sobre o Goosh.

O Goosh (Google Shell) é uma interface para o Google, similar ao shell do Linux, desenvolvida por Stefan Grothkopp. Ela já existe há algum tempo, porém eu fui apresentado a ela recentemente e gostei bastante.(É importante frisar que este projeto não é mantido oficialmente pelo próprio Google)

Ao abrir o site, você terá acesso a uma interface que lembra muito um console. A parti deste shell você poderá fazer buscas na Web, em Mapas, Imagens, Blogs, Vídeos, Feeds e muitos outros recursos, através de comandos e parâmetros.


Abaixo, segue a descrição de alguns comandos:

• help: É um tanto quanto óbvio que este comando serve para ajudar, exibindo a lista de comandos e suas sintaxes


• web [chave]: Faz uma busca da chave no Google


• lucky [chave]: Faz uma busca como web, mas abre o primeiro resultado em outra aba ou janela.


• images [chave]: Faz uma busca por imagens


• news [chave]: Busca no Google Notícias


• blogs [chave]: Busca no Google Blog Search


• feeds [chave]: Busca em Feeds


• video [chave]: Busca por vídeos


• place [chave]: Busca no Google Maps


• wiki [chave]: Faz uma busca no Wikipedia


• in [url] [chave]: Busca a chave em determinado site


• open [url]: Abre a página em outra aba ou janela


• go [url]: Abre a página na própria aba ou janela.


• read [url]: Lê um feed de uma página


• more: Traz mais resultados


• clear: Limpa a interface


• ls: Lista comandos


• login: Loga no sistema com sua conta do Google


• logout: Sai da sua conta do Google


• gmail: Abre o seu gmail no shell, caso você esteja logado


• man [comando]: Apresenta informações de como usar o comando:


• settings: Define configurações do seu shell

O buscador em modo texto suporta a tecla TAB para auto-completar comandos, histórico de comandos através das teclas para cima e para baixo, troca de idioma, além de vários outros comandos exibidos na ajuda, que por sinal é muito bem detalhada na exemplificação de cada comando.

Achei bem legal, que vale a pena conferir e testar.
Quem sabe você não gosta também.

Durante as palestras do IV SegInfo - Workshop de Segurança da Informação - realizado no dia 21 de julho na cidade do Rio do Janeiro, foram divulgados 2 desafios para os participantes do evento.

Os desafios agora podem ser feitos por todos os interessados bastando entrar em contato solicitando a participação. São exigidas habilidades básicas em criptoánalise e Análise de Artefatos, ambos os assuntos são abordados nos cursos Fundamentos de Criptografia e Análise de Malware da Academia Clavis.

Para obter mais informações e/ou solicitar a participação nos desafios basta entrar em contato através do email contato@seginfo.com.br com o assunto "Wargame SegInfo". O gabarito com a solução dos desafios será enviado por email para os participantes.

Uma das mais loucas e respeitadas conferência Hacker do mundo, irá ter início nesta semana. A DefCon 17 ocorrerá dos dias 30 de Julho a 2 de agosto de 2009 no Riviera Hotel em Las Vegas.

Vocês podem acompanhar todo o cronograma do DefCon 17 no link abaixo:
https://www.defcon.org/html/defcon-17/dc-17-schedule.html

Tenham certeza que esta semana será muito movimentada em todas as áreas da Segurança da Informação, com demonstrações e lançamentos de ferramentas, exploits e muito mais.

A Informação é atualmente o recurso mais valioso de uma empresa e garantir a sua segurança é uma atividade crítica e essencial para alcance do sucesso nos negócios de qualquer organização. Gerir ativos, informações, recursos e usuários de forma confiável, íntegra, estruturada e sustentável é, certamente, um importante diferencial competitivo, que demonstra ao mercado a preocupação da empresa em manter a confidencialidade, integridade e disponibilidade de suas informações.

Implementar diversos mecanismos de segurança, tais como Firewall, IDS, VPN, Sistema de Monitoramento com o objetivo de proteger a sua informação de forma proativa, não apenas dificulta ao máximo atividades não-autorizadas na rede como também identifica e registra quaisquer ocorrências que violem uma política de uso aceitável. Porém a implementação por si só não é suficiente. Tem que haver um acompanhamento contínuo, um gerenciamento controlado e centralizado destes mecanismos. É necessário que haja uma auditoria periódica em seus sistemas para avaliar se eles estão funcionando como deveriam.

O documento do NIST denominado "Guideline Network Test Security" enumera alguns dos principais testes de segurança que devemos realizar em nossa infra-estrutura e até mesmo sugere um plano definido de periodicidade de cada teste.

Dentre os testes mais importantes, podemos citar:

• Varredura de Rede


• Varredura de Vulnerabilidades


• Auditoria de Senhas


• Análise de Registros(logs)


• Verificação de integridade


• Teste de redes Wirelles


• Teste de Invasão

Existem uma série de ferramentas FOSS (sigla em inglês: Free and Open Source Software), que estão disponíveis em grande quantidade e com qualidade de recursos que nos possibilitam a realização de Teste de Segurança permitindo que seja avaliado servidores e até mesmo uma rede por completo. Porém para obter os melhores resultados, é necessário que seja feito por um profissional qualificado.

Dentre os teste sugeridos o Teste de Invasão merece um maoir destaque, pois algumas normas internacionais como SoX e PCI-DSS estão exigindo estes testes em sua adequação. Além disso ele é aplicado por muitas empresas quase sempre de forma errônea, sem agregar o devido valor a organização.

Teste de invasão são simulações controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurança do mesmo. Aqui na Clavis, elaboramos uma árvore de ataque e metodologias pré-definidas para cada tipo de Teste de Invasão, sempre focando no produto final(relatório + planejamento estratégico). Seguimos os padrões internacionais de Testes de Invasão, como a prória NIST 800-42, OWASP, OSSTMM e ISSAF/PTF.

A OSSTMM - Open Source Security Testing Methodology Manual tem como objetivo esclarecer os métodos e os resultados dos testes de segurança e assim permitir uma decisão mais eficiente para qualquer modelo de negócio.Ele incide sobre os detalhes técnicos de quais itens precisam ser testado, o que fazer antes, durante e depois de cada teste. Além disso ele oferece métricas para medir os resultados.

Em suma, mais do que proteger a sua infraestrutura com a implementação de mecanismos apropriados é extremamente importante que todo o seu perímetro seja testado e auditado. Desta forma você terá noites bem melhores de sono.

Em tempo:

Após 3 dias consecutivos do curso "Proteção de Perímetro I", ocorrido durante o IV SegInfo, estou aqui para informar que o curso, apesar de intenso e puxado, foi bem proveitoso e todos os alunos sairam bem satisfeitos. Aguardo vocês então, no curso "Proteção de Perímetro II" que ocorrerá aos sábados, a partir do dia 15/08.

Hoje vou apresentar uma ferramenta para vocês bastante util para o dia-a-dia de um analista de segurança, o OSSEC. O OSSEC hids é um Host-Based Intrusion Detection System opensource que possui como desenvolvedor principal, o brasileiro Daniel Cid. Ele realiza operações de Analise de Logs, Integridade de Sistemas, Detecção de rootkits, alertas e resposta ativa (regras no firewall ou TCP Wrappers).

Em 2007 foi eleita, pela Linuxworld, a melhor ferramenta de segurança Open Source.

Fácil  de instalar(totalmente intuitivo) e configurar (arquivo em formato xml), multiplataforma e sob a licensa GPLv3,  o OSSEC suporta uma vasta gam de logs, tais como:

Unix pam, sshd (OpenSSH) , Unix telnetd, Samba, Su, Sudo, Proftpd, Pure-ftpd, vsftpd, Solaris ftpd, Imapd and pop3d, Horde imp, Named (bind), Postfix, Sendmail, Iptables firewall, Solais ipfilter firewall, AIX , ipsec/firewall, Netscreen firewall, Snort IDS, Apache web server (access log and error log), IIS web server, Squid proxy, Windows event logs, Generic unix authentiction (adduser, logins, etc).

Ele possui os seguintes modos de atuação:

• Local – como o nome diz somente na maquina localmente.


• Agente – funciona como cliente e envia todas as informações para o servidor processar e analisar


• Servidor – analisa e une os logs e informes de vários agentes.

Atualmente o OSSEC está na versão 2.1 e pode ser encontrado no seguinte endereço:

http://www.ossec.net/main/downloads/

Utilizamos esta ferramenta  no último curso de hardening e todos os alunos gostaram muito.

Excelente ferramenta para que deseja manter o controle sobre o sistema, realizando um monitoramento ostensivo e eficáz, pois o OSSEC monitora o sistema em tempo real, avisando o administrador sobre possíveis ataques, mudança ou alguma ameaça no sistema, sem
a necessidade de análise total dos logs.

OBS: Amanhã 08:00 no segundo dia de Proteção de Perímetro I, que está sendo muito legal. :) !!!

Abs.[ ]

Em um dia cinza no Rio de Janeiro, profissionais de segurança de todo o Brasil se reuniram para participar das palestras do IV Seginfo - Workshop de Segurança da Informação. O "The Hackbusters" estava presente trabalhando na organização e na cobertura deste evento, que apesar de pequenas falhas administrativas, foi um sucesso.

O SegInfo contou com a participação de cerca de 100 pessoas (entre congressistas, palestras, organizadores e convidados) e foi realizado no auditório Vera Janacopoulos, no Prédio da Reitoria da Universidade Federal do Estado do Rio de Janeiro(Unirio), na Urca. Foi uma grande oportunidade para reencontrar velhos amigos companheiros de profissão como Ricardo Kléber (IFRN), Maxi Faria e Henrique Crang (UNIRIO), Túlio Alvarez, Fabricio Ribeiro, Rodrigo Fernandez, Rafael Costa, Liliana Velásquez, Ivo Peixinho, entre outros. Além disso o evento contou com a participação do Kauê Linden (Hostnet) e Gustava Guanabara (Guanabara.info).

Com assuntos como Gestão de Riscos, Análise Forense, Direito Digital e Teste de Invasão, as palestras foram o ponto alto do evento, como não deveria deixar de ser. Todas elas foram bem articuladas, com assuntos atuais, relevantes ao mercado e ao estudo de Segurança da Informação. Os palestrantes souberam fazer bem a ponte de interação com os congressitas, o que tornou o workshop mais colaborativo e paricipativo, menos monótono do que outros do mesmo estilo.

Durante a palestra "Direito Digital e o Judiciário Brasileiro – Melhores Práticas para Coleta de Provas Eletrônicas e Respostas a Incidentes", Patricia Peck deu um show, caracterizando a importância do Direito Digital, citnado o Projeto de Lei do senador Eduardo Azeredo e como agir diante de certas situações do contidiano do uso da internet. No final deixou para ser sorteado o DVD "Direito Digital no dia-a-dia".

Na palestra "Técnicas e Ferramental para Testes de Invasão", Rafael Soares mandou muito bem falando sobre o objetivo, a justificativa e a metodologia de ataques simulados a redes reais. Ele citou o passos que devem ser seguidos durante um Teste de Invasão, assim como algumas ferramentas open-source para execução de tal procedimento. No final ele divulgou 2 Wargames, o primeiro sobre criptoanálise e o segudo sobre análise de Malware. O Deadline para entrega da resolução dos Wargames
é sábado(25/07) às 23:59. E quem quiser participar basta entrar em contato com o palestrante, através do email "rafael at clavis dot com dot br". O prémio é uma camisa do IV SegInfo, no domingo o "The Hackbusters" irá divulgar o gabarito.


A última palestra do evento foi a do Ricardo Kléber sobre "Botnets: Cenário Atual, Riscos e Contra-medidas". A palestra foi bem didática e informativa, que contou a definição e a história dos bots, assim como suas formas de atuação. Também levantou algumas questões referentes ao futuro da utilização da internet e a capacidade do ataque do Conficker.


Para encerrar, foram sorteados 5 vagas em 5 cursos distintos oferecidos pela TechnoHall - Soluções em Tecnologia, patrocinadora do evento. Além disso foram sorteados 3 kits completos da SegInfo com pen-drive, camisa, canetas e chaveiros.

Abaixo segue o link de fotos exclusivas do SegInfo(Irei adicionando mais fotos ao longo da semana):

http://picasaweb.google.com.br/vanghorn/Seginfo


Durante todo o SegInfo, informações sobre o evento eram enviadas via Bluetooth para o celulares, tais como cronograma, informações sobre o curso, papel de parede do Tux, etc. Tudo oferecido pela Wage Mobile, apoiadora do evento.

Em suma, foi um excelente Workshop e ainda faltam os 3 dias de Cursos (Proteção de Perímetro, Shell Script, Fundamentos de Criptografia). Que com certeza também será um sucesso.

Parabéns a toda a equipe de organização e apoio, em especial para o Leonardo Machado, Bruno Salgado, Leandro, Zé, Carol e Carol Assis(que estavam trabalhando in-loco no evento).

A Clavis, pensando sempre no melhor para o seu público já começou a arquitetar e capitalizar recursos para o próximo evento, que terá uma estrutura totalmente inovadora. Então, que venha o V Seginfo. :) !!!!

Começa nesta quinta-feira (23/07) o curso "Proteção de Perímetro I" da Clavis Segurança da Informação, ministrado por mim. O curso visa capacitar a equipe de segurança de sua empresa a implantar e manter controles efetivos de segurança em seu ambiente de TI, garantindo assim o máximo de proteção em cada camada de defesa de sua organização.

Serão revisados e apresentados diversos aspectos da estrutura de proteção perimetral, tais como:

• Firewall de Borda (Netfilter/IPTables)


• Filtro de Conteúdo Web (Squid 3)


• Gerenciamento de Logs (Syslog-NG)


• Sistema de Detecção de Intrusão (Snort)


• Sistema de Monitoramento (Nagios 3)


• Redes Virtuais Privadas (OpenVPN)


• Auditoria de Segurança(OpenVAS, Nmap 5.0, John The Ripper, Rkhunter)

O Curso acabou de ser completamente atualizado e reestruturado para atender as reais necessidades do mercado. Com um enfoque totalmente prático, o curso oferece a oportunidade de não apenas conhecer detalhes técnicos das soluções de ponta em proteção de perímetro, como também de retornar à organização com experiência o suficiente para começar a aplicar tudo que foi aprendido imediatamente.

Excelente oportunidade para quem deseja se especializar ou revisar conceitos e técnicas fundamentais para um profissional de segurança.

Então, espero encontrar todos vocês lá.

Em tempo:

Amanhã começa o Seginfo e o "The Hackbuster" irá fazer a cobertura completa do evento. Então aguardem comentários e fotos sobre este, que é o maior e melhor Workshop de Segurança da Informação do Brasil.

Abs.[]

Via g0t hacked

Fora publicada hoje uma nova vulnerabilidade nos kernel do Linux e desta vez uma vulnerabilidade digamos um pouco diferenciada. A vulnerabilidade postada por Brad Spengler, autor do grsecurity, tem a diferença de ser praticamente impossível se descobrir somente fazendo uma auditoria no código-fonte.

A vulnerabilidade encontrada na implementação do net/tun, basicamente ocorre quando o desenvolvedor inicializa uma variável que pode conter o valor NULL e como de costume e boas práticas verifica e se for NULL (0) retorna um erro.

struct sock *sk = tun->sk; // initialize sk with tun->sk
…
if (!tun)
return POLLERR; // if tun is NULL return error

Até então parece perfeito, a questão é que quando o compilador faz o seu trabalho, que além de transformar em algo *executável* é otimizar o código e neste trabalho encontra-se o erro, o compilador irá ver que a variável já se encontra assinada e irá na verdade remover o bloco (if) (se o checagem do if for NULL) completamente quando o código for compilado. O compilador praticamente introduz uma vulnerabilidade que não existia no código-fonte.

Isso vai fazer o kernel tentar ler/escrever no endereço 0×00000000 que um atacante pode mapear por userland e assim sendo *ownar* a máquina. Algo interessante, Brad conseguiu *bypassar* SELinux, LSM e AppArmor com a vuln.

A correção também é bem simples basta por a verificação de valor NULL antes de assinar a variável.

O exploit pra vulnerabilidade já esta disponibilizada e funciona em sistemas 32 e 64 bits.

As informações foram retiradas de um post da SANS e as informações sobre o exploit foram primeiro divulgadas na Full Disclousure.

Foi lançado ontem a versão 5.0 do Nmap (“Network Mapper”). O Nmap é uma ferramenta de código aberto para exploração de rede e auditoria de segurança. Ela foi desenhada para escanear rapidamente redes amplas, embora também funcione muito bem contra hosts individuais. O Nmap utiliza pacotes IP em estado bruto (raw) de maneira inovadora para determinar quais hosts estão disponíveis na rede, quais serviços (nome da aplicação e versão) os hosts oferecem, quais sistemas operacionais (e versões de SO) eles estão executando, que tipos de filtro de pacotes/firewalls estão em uso, e dezenas de outras características. Embora o Nmap seja normalmente utilizado para auditorias de segurança, muitos administradores de sistemas e rede consideram-no útil para tarefas rotineiras tais como inventário de rede, gerenciamento de serviços de atualização agendados, e monitoramento de host ou disponibilidade de serviço.

Segue um resumo das principais novidades:

• Melhoria de performance


• Documentação aperfeiçoada


• Ncat - Sucessor do netcat (de 96), acrescentando funções interessantes como suporte à SSL, redirecionamento de tcp e udp, proxychaining e suporte à ipv6 e brokering para hosts debaixo de NAT.


• Ampliação da "NSE - Nmap Scripting Engine" - para automação e flexibilidade em varreduras complexas


• Ndiff (permite automatizar relatórios diferenciais da rede) e Zenmap

O Nmap 5.0 fornece uma grande variedade de informações sobre sistemas remotos, como mostrado na figura abaixo (Clique para ampliá-la):

O "The Hackerbuster" é adepto as campanhas de disseminação do uso seguro da Internet. Como responsável pelo blog, selecionei algumas campanhas para apresentar a todos vocês leitores. Divulguem para seus amigos, colegas de trabalho, família e ajudem a conscientizar a todos sobre a importância da segurança da Informação.

• Navegue Protegido

Com o objetivo de disseminar práticas mais seguras para compras online e operações bancárias, além de ensinar os usuários comuns de PC a identificar sites não seguros, a Microsoft Brasil, a Fundação Abrinq e a ONG Cidade Escola Aprendiz lançaram a campanha "Navegue Protegido", de esclarecimento sobre o uso seguro da internet.



• Antispam.br

Esta campanha digital é uma iniciativa do Comitê Gestor da Internet no Brasil (CGI.br) através da Comissão de Trabalho Anti-Spam e foi criada como um chamamento para a ação e a educação dos internautas e administradores de rede contra o abuso no envio de e-mails não solicitados e UCEs, do inglês Unsolicited Commercial E-mail, quando o conteúdo é exclusivamente comercial.

Assista os vídeos educativos produzidos pelo CGI.br -- Navegar é preciso, Os Invasores, Spam e A Defesa -- que de forma simples e divertida, informam e esclarecem sobre os perigos aos quais os usuários estão expostos, e oferecem dicas de como navegar com mais segurança na rede.



• Cartilha de Segurança para Internet


A Cartilha de Segurança para Internet contém recomendações e dicas sobre como o usuário pode aumentar a sua segurança na Internet. O documento apresenta o significado de diversos termos e conceitos utilizados na Internet e fornece uma série de procedimentos que visam melhorar a segurança de um computador.



• Campanha Nacional de combate à pedofilia na Internet

Tendo como principal meio de divulgação a Internet, a pedofilia movimenta milhões de dólares por ano e expõe milhares de crianças indefesas a abusos que nem mesmo adultos suportariam. Desenvolvendo um trabalho árduo, sem fins lucrativos, no combate ao crime, recebendo e repassando denúncias, com o auxílio de internautas que de algum modo, se viram diante de sites ou imagens contendo pornografia infantil ou pedofilia.



• Movimento Internet Segura

Iniciativa de maior participação corporativa em prol da segurança na rede, tem como um de seus objetivos levar informações que permitam aos usuários da internet no Brasil uma navegação mais segura e com maior confiança pela rede.

Estava procurando algum serviço de administração remota para gerenciar o Windows, porém não queria nada que tivesse ambiente gráfico, como o Real VNC, LogMeIn ou Remote Desktop. Eu queri um Servidor SSH mesmo, mas sem a necessidade de instalar toda a infraestrutura do Cygwin.

Foi ai que em uma pesquisa simples no Google, "SSH for Windows", encontrei o MobaSSH. O MobaSSH é um servidor SSH para Windows, que permite que você execute comandos e transfira arquivos de um computador remoto de qualquer sistema operacional (GNU / Linux, Unix, HP-UX, AIX, Windows, …) através de uma conexão de rede segura criptografada. O MobaSSH é 100% compatível com clientes Linux / Unix / HPUX / AIX SSH, e também com o Putty ou WinSCP no Windows.

Nem tanto flexível em sua versão Free, você terá apenas algumas opções de configuração, tais como alterar a porta do servidor, selecionar os usuários que poderão se autenticar remotamente, escolher o nível de informação dos logs, etc..

Muito bom para quem deseja:

. Executar comandos remotos em um computador com Windows;
. Transferir arquivos através de um canal criptografado;
. Obter informações sobre o computador remoto;
. Faça backups dos seus computadores através da rede;
. Instalar software remotamente em computadores com Windows;

Como ele utiliza os drives do CygWin, você pode dar os comandos Unix-like perfeitamente, como "ls", "passwd", "ps", entre outros. Caso queira utilizar os comandos do prompt de windows, basta digitar o comando "cmd".

Pessoal, ontem procurando por um exploit de OpenSSH para realizar testes em máquina virtual com o Metasploit, encontrei o site do Milworm on-line.

Na semana passada o site saiu do ar. O seu mantenedor conhecido como “str0ke”, lançou uma nota dizendo que não tinha mais tempo para continuar atualizando o site. Segue a nota completa:

"Well, this is my goodbye header for milw0rm. I wish I had the time I did in the past to post exploits, I just don’t . For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of, 0 to 72 hours (taking off weekends) isn’t fair to the authors on this site. I appreciate and thank everyone for their support in the past.Be safe, /str0ke"


Não sei exatamente se a administração do site foi repassada para outra pessoa, ou se o próprio "Stroke" desistiu da idéia e voltou a manter o site. O importante é que o mais popular repositório de exploits está no ar novamente e parece que com a corda toda.

Outra repositório que encontrei foi o Inj3ct0r, que é quase uma cópia do Milworm.

O site da Secunia publicou um relatório sobre a vulnerabilidade, considerada “altamente crítica” no consumo de memória do Firefox 3.5.

“A vulnerabilidade é causada por um erro de processamento de JavaScript e pode ser explorada por atacantes remotos para executar código arbitrário enganando o usuário para visitar páginas falsas na web”, diz o relatório. No exemplo dado pela Secunia, a tag HTML font poderia ser usada para explorar essa falha. Uma vez que uma página utilize a vulnerabilidade para ataques, o buffer do Firefox “explode”, permitindo controle sobre os arquivos do computador e também contaminação por vírus.

Uma das formas de evitar a vulnerabilidade é instalando o plugin NoScript, que dá ao usuário controle sobre como cada JavaScript é executado (ou não). A correção oficial para o problema deve ser disponibilizada em breve.

A outra forma seria alterando a configuração do browser, para desabilitar o novo motor Javascript TraceMonkey, que acelera o carregamento das páginas:

1. Abra o Firefox.
2. Na barra de endereços digitar about:config.
3. Clique no botão de alerta “Serei cuidadoso eu prometo”.
4. Pesquise pela chave de nome javascript.options.jit.content.
5. Dê um duplo clique nessa chave para alterar o valor para false.

Mais informações sobre esta falha de segurança, podem ser encontradas em:

http://www.vupen.com/english/advisories/2009/1868
http://secunia.com/advisories/35798/

Para quem quiser uma alternativa ao Firefox, recomendo o Opera Unite. Excelente browser, que traz como novidade um WebServer embutido. Utilizo ele há algum tempo e confesso a todos que nem lembro mais do FF.

Estão disponíveis no site do Grupo de Trabalho em segurança do Comitê Gestor da Internet no Brasil, o material(slides) e o vídeos das reuniões do GTS(Grupo de Trabalho em segurança) e do GTER (Grupo de Trabalho em Engenharia e Operações de Redes), ocorridas respectivamente nos dias, 19 e 20 de Junho deste ano na cidade de São Paulo.

As Palestras vocês podem conferir no endereço:
ftp://ftp.registro.br/pub/gts/gts13/

Já os Videos se encontram disponíveis em:
ftp://ftp.registro.br/pub/gter/gter27/videos/mp4/

As reuniões dos GTER ocorrem regularmente desde 1994 e a próxima edição acontece em novembro ainda deste ano, também na cidade de São Paulo.

Ainda estão disponíveis vagas para os 3 cursos (23 a 25 de julho) do SegInfo.
São eles:

• Fundamentos de Criptografia


• Proteção de Perímetro I


• Shell Script

Todos os curso possuem um enfoque totalmente prático, oferecendo a oportunidade dos alunos não apenas conhecerem detalhes técnicos das soluções de ponta do mercado, como também de retornar à organização com experiência o suficiente para começarem a aplicar tudo que foi aprendido imediatamente.

Ao se inscrever em um dos cursos, o aluno terá acesso às vagas reservadas para as palestras do dia 21 de julho de 2009.

Não perca esta oportunidade.

Acesse a página de inscrições para mais informações:
http://www.seginfo.com.br/inscricoes/index.php

A Microsoft tem se preocupado cada vez mais com a segurança de seus usuários. Além de implementar melhorias de segurança em seus sistemas operacionais e disponibilizar patchs de seguranças, a empresa de Redmond anda trabalhando na criação de novas ferramentas para garantir o máximo de proteção ao seus usuários. A última delas foi a criação de um Antivírus, Microsoft Security Essentials(MSE).

O lançamento foi feito em apenas quatro países, estados Unidos, Brasil, China e Israel (com seus respectivos idiomas) e foi limitado a 75 mil downloads. Felizmente, tive a oportunidade de baixar a o MSE e desde o seu lançamento, no dia 23 de junho de 2009, venho testando o seu potencial.

O Microsoft Security Essentials é caracterizado por um conjunto de aplicações de segurança, que agrega um cliente antimalware, um antivírus e um antispyware. Sua interface é uma combinação de menus, descrições e algumas rápidas opções. Seu estilo visual é bem simples e elegante, bem mais agradável do que o de alguns antivírus gratuitos no mercado(leia-se antivir, avast e avg).

O MSE roda em segundo plano é leve e não atrapalha no bom uso e desempenho do computador. O consumo de memória é algo desprezível em uso normal. As atualizações também rodam em segundo plano, o que significa que a janela do antivírus pode ser fechada enquanto o download das novas definições é realizado. Bem mais conveniente, do que os popups de seus concorrentes.

Apesar de toda esta facilidade e simplicidade, o MSE desempenha muito bem o seu papel de antivirus. Em modo "Completo" o aplicativo de segurança varre todo o computador, reconhecendo todos os arquivos e sites intencionalmente infectados que utilizei para testes.

Alé disso o antivírus também mantém um monitoramento em tempo real no sistema, analisando processos, pastas e dispositivos removíveis, de modo que tudo o que for perigoso possa ser prontamente detectado.

Uma das funcionalidade bem legais é a apresentação dos dados infectados. O MSE apresenta todo o caminho até a origem da infecção, o que está acontecendo com a sua máquina e um link para mais informações sobre o malware identificado.

Segue imagens abaixo da detecção do vírus conficker presente em meu pendrive após ida de emergência na gráfica da UFRJ.



Neste momento ele travou a execução do meu pendrive e alertou no canto da tela que uma "ação" precisava ser tomada. Abaixo segue screenshot da limpeza do malware.



O MSE também é totalmente configurável, que vai de agendamentos de verificação do sistema e exclusões de arquivos monitorados, até ações padrões ao detectar um malware e envio do artefato para análise da comunidade on-line, Microsoft SpyNet.

Em suma, o MSE é um excelente antivirus que ainda possui alguns pontos fracos, mas que realiza muito bem a atividade para qual foi desenvolvido. Fiz testes em Máquina Virtual baixando arquivos infectados, acessando sites maliciosos, utilizando macros de Office, entre outros, e tudo foi detectado com sucesso.

Dica do Autor: Fiquem atentos ao "Patch Tuesday" ( É hoje, por volta das 14hs !!!!!) e ao Service Pack 2 para Windows Vista, que traz uma série de correções e melhorias para o sistema operacional, tanto na parte de segurança quanto na parte de compatibilidade com o hardware.

Na próxima semana irei falar sobre a Suíte de ferramentas SysInternals.

abs.[]

Neste final de semana me deparei com uma bela surpresa, no Debian 5 o pacote RSyslog passou a ser o deamon predefinido para gerenciamento de logs do sistema, substituindo Syslogd e Klogd.

Rsyslog é um Syslogd com foco na segurança e confiabilidade. Entre outros, ele oferece suporte para "bufferização" sob-demanda, syslog confiável para TCP, SSL, TLS e RELP, grava em bancos de dados (MySQL, PostgreSQL, Oracle, e muitos mais), e-mail de alerta, formatos de saída totalmente configuráveis (incluindo timestamps de alta precisão), é possível filtrar qualquer parte da mensagem, compressão de mensagem, converção de arquivos texto para o syslog.

Suas funções avançadas o tornam adequado para ambientes corporativos, proteção por criptografia e configuração simples para usuários novatos. Interface web opcional - phpLogCon - pode ser usada para visualizar todas as informações on-line.

O arquivo de configuração do rsyslogd é "/etc/rsyslog.conf". O rsyslogd suporta o formato de configuração do syslog, entretanto para utilizar as configurações específicas do rsyslog, é necessário incluir configurações estendidas (que começam com o carácter $).

Segue um exemplo de configuração:

# /etc/rsyslog.conf #Configuration file for rsyslog v3. #### Módulos #### $ModLoad imuxsock # fornece suporte para o log local do sistema $ModLoad imklog # fornece suporte para o log do kernel #$ModLoad immark # fornece suporte para marcar as mensagens # Fornece suporte de recepção do syslog UDP #$ModLoad imudp #$UDPServerRun 514 # Fornce suporte de recepção do syslog TCP #$ModLoad imtcp #$InputTCPServerRun 514 #### Diretivas Globais #### # utiliza o formato padrão de timestamp $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # Define as permissões dos arquivos de log $FileOwner root $FileGroup adm $FileCreateMode 0640 $DirCreateMode 0755 # Regras (Mesmo formato explicado para o syslog) auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog #cron.* /var/log/cron.log daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log

O rsyslog também trabalha muito bem com infraestrutura de logs centralizado, implementando criptografia no tráfego, verificação na perda de dados e gerenciamento em banco de dados.

Para configurar um cliente de logs utilizando o rsyslog, adicione no final do arquivo de configuração as seguintes linhas:

*.* @IP_do_Servidor $ModLoad omrelp *.* :omrelp:IP_do_Servidor:4567;

obs: No exemplo acima, realizei uma configuração de infraestrutura cliente/servidor simples. As mensagens são enviadas para o servidor na porta 4567. Devido à natureza do protocolo UDP, de não ser orientado a conexão, poderiamos perder alguns logs enviados ao servidor. Para evitar esta perda de mensagens eu utilizo o módulo omrelp, que é um módulo de output confiável que evita a perda de dados.

Por fim reinicie o rsyslog.

No servidor, adicione as seguintes linhas no arquivo de configuração:

$ModLoad imudp $UDPServerRun 514 $ModLoad imrelp $InputRELPServerRun 4567 # colocaando a porta para 4567 $template DynKern, "/var/log/%HOSTNAME%/kernel" $template DynMsg, "/var/log/%HOSTNAME%/messages" $template DynAuth, "/var/log/%HOSTNAME%/secure" $template DynMail, "/var/log/%HOSTNAME%/mail" kern.* ?DynKern *.info;mail.none;news.none;authpriv.none ?DynMsg authpriv.* ?DynAuth mail.* ?DynMail

Com isso você estará aceitando conexões UDP com verificação de perda de pacote na porta 4567. Além disso, estará criando um template para separar os logs locais dos logs de clientes, facilitando assim o processo de auditoria.

Antes de reiniciar o syslog, edite o arquivo de incialização do mesmo em "/etc/init.d/rsyslog" e altera as opções de inicialização para:

RSYSLOGD_OPTIONS="-r -c2"

Pronto, agora o seu rsyslog estará pronto para receber os logs de seus clientes.

Durante esta semana irei testar o armazenamento de arquivos de log no banco de dados e criar um tunel criptografado para envios de log com TLS/SSL.

Writing syslog messages to MySQL:
http://www.rsyslog.com/doc-rsyslog_mysql.html

Encrypting Syslog Traffic with TLS (SSL):
http://www.rsyslog.com/doc-rsyslog_secure_tls.html

O site oficcial do rsyslog é o : http://www.rsyslog.com/

Já está disponível no site da ISSA Brasil a 7ª edição da revista Antebellum.

A ISSA (Information Systems Security Association) é uma organização internacional sem fins lucrativos formada por profissionais de segurança da informação. Eles lançaram uma revista eletrônica bimestral, chamada de Antebellum (ante, “antes,” e bellum, “guerra”), que busca agregar mais um serviço para os associados da ISSA no Brasil ao incluir em uma revista eletrônica artigos, colunas, entrevistas e informações do mercado com foco exclusivo em nossa indústria.

A edição deste mês tem como tema central a “Segurança em Aplicação” e conta com diversos artigos sobre este e outros assuntos de grande interesse da comunidade de segurança:

• Proteção de Aplicações: Mito ou Realidade?


• Web Application Firewall e Segurança de Aplicações


• Penetration Test: será mesmo o fim?


• Um Projeto de Criptografia em Seis Passos


• Um Novo Cenário para a Segurança de Aplicações


• Computação Confiável


• Enfrentando a crise e reduzindo custos com uma


• administração adequada de TI e Gestão de Riscos


• A cobertura da RSA Conference

No site da ISSA pode ser encontradas as edições anteriores da Antebellum, então boa leitura a todos.

Há poucos dias tomei conhecimento, atráves de troca de informações com profissionais do ramo, sobre o dashboard global de segurança da Arbor Networks, o ATLAS (Active Threat Level Analysis System).

Com mais de 70% da Internet sendo protegida pela suas plataforma, a Arbor Networks se encontra em uma excelente posição para trabalhar com escopo de análise de ameaça de rede.

O ATLAS é um painel público que proporciona uma visão sobre uma série de informações orginadas de seus sensores, tais como: Atividades de varredura de hosts e de portas, exploits "Zero day" e propagação de worms, eventos de segurança, vulnerabilidade divulgadas, botnets e phishing.

O ATLAS reúne uma série de fontes de dados, que incluem:

• Honeypots


• IDS


• Scan


• Estatísticas de DoS


• Relatórios de vulnerabilidades


• Amostras de captura de Malware


• Análise de Phishings


• Botnets

No design projetados, todos os dados coletados dos sensores são enviados para um datacenter central para armazenamento e posterior análise da equipe de engenharia de segurança e do time de resposta a incidentes(Arbor SERT). A partir dai eles são apresentados aos usuário no dashboard do ATLAS.

Vale a pena conferir.

Após divulgar no mês passado uma atualização para reparar mais de 28 falhas de segurança em seus programas(número recorde para uma única correção). A Microsoft anunciou nesta sexta-feira(10/09), em um boletim antecipado, seis correções de segurança que serão lançadas no dia 14 de julho. Tradicionalmente as correções da Microsoft são liberadas na segunda-terça feira do mês, conhecida como "Patch Tuesday".

O lançamento acontece em um período conturbado a respeito da demora da Microsoft em tomar uma atitude diante das falhas de segurança no controle ActiveX do Microsoft Video (msvidctl.dll). A empresa admitiu ter sido avisada da falha no início de 2008, mas só agora se pronunciou a respeito, o que causou muita indignação de seus usuários.

Esta vulnerabilidade afeta os sistemas Windows XP e Windows Server 2003 e permite que o atacante execute código remotamente com os privilégios do usuário. Ela pode explorada por uma página Web ou em situações mais raras por um e-mail malicioso.

Enquanto terça feira que vem não chega, a empresa aconselha os usuários a rodarem a solução temporária “Microsoft Fix It”, disponível em seu site, que desabilita o MSVidCtl.

Em tempo, aconselho a todos utilizarem a ferramenta para identificar as falhas de configurações e segurança da Microsoft, o "Microsoft Baseline Security Analyzer (MBSA)".

Trabalho com ela a bastante tempo e é uma ferramenta de fácil utilização. Foi desenvolvida para ajudar a determinar o nível de segurança do seu sistema, de acordo com as recomendações da própria Microsoft (Boletins de Segurança), apontando as melhores soluções para as falhas encontradas. Além disso ele reporta falhas como senhas fracas, acesso anônimo, autologon, compartilhamentos e muito mais. Por fim ele gera um relatório com as vulnerabilidades descrevendo todas com status e links para downloads das correções necessárias.

Para acessar os últimos boletins de segurança da Microsoft, acessem:
http://www.microsoft.com/brasil/security/boletins.mspx

Ah! E fiquem atentos ao "Patch Tuesday" no próximo dia 14.

Em breve estarei postando minhas consideração sobre o Microsoft Security Essentials (El Morro ?).

Estou postando hoje a 21º edição da (IN)Secure Magazine, que foi publicada em Junho de 2009. Até ontem eu não tinha encontrado tempo para ler, devido ao me envolvimento com várias atividades paralelas na empresa.

Nesta edição são abordados muitos assuntos interessantes, tais como:

• Malicious PDF: Get owned without opening


• Review: IronKey Personal


• Windows 7 security features: Building on Vista


• Using Wireshark to capture and analyze wireless traffic


• "Unclonable" RFID - a technical overview


• Secure development principles


• Q&A: Ron Gula on Nessus and Tenable Network Security


• Establish your social media presence with security in mind


• A historical perspective on the cybersecurity dilemma


• A risk-based, cost effective approach to holistic security

A(IN)Secure Magazine é voltada para profissionais de segurança da informação e oferece uma riqueza de informação em formato digital. A revista é disponibilizada em formato PDF que está disponível gratuitamente para download.

A revista aborda os principais temas sobre segurança da informação. O público alvo são profissionais de segurança, sejam técnicos ou gestores. Além de artigos de especialistas, a revista trás notícias, atualizações , lançamentos de novos produtos, eventos de segurança, opiniões sobre livros e produtos, entre outros...

Para que quiser ter acesso a 21º edição da revista, basta acessar:
http://www.net-security.org/insecuremag.php

No site ainda você poderá ter acesso a todo o acervo de revistas já publicadas, que abordam temas bem interessantes, que vão de "Malware" até "Segurança em Redes Sem Fio".

Foi disponibilizada nesta quinta-feira (09/07) uma nova versão do OSSIM (Open Source Security Information Management). Segue link para download.

Para quem não conhece, o OSSIM é um Framework/Dashboard que agrega as principais ferramentas de segurança e monitoramento de rede em uma única estrutura ( Arpwatch, P0f, Pads, OpenVAS, Snort, Spade, Tcptrack, NTOP, Nagios, Osiris, OCS-NG, Ossec, entre outros) permitindo a correlação entre as funcionalidades de cada uma, trazendo muitas possibilidades aos administradores de rede.

Muitas características foram melhoradas nesta versão (Otimização de código, acessórios para captura, integração e configuração mais simples e uma interface totalmente reconstruída) com o objetivo de aumentar o nível do OSSIM junto aos melhores Gerenciadores de Segurança da Informação disponíveis no mercado, sejam eles proprietários ou Open Source.

Seguem abaixo algumas modificações da nova versão:

• Política de Gestão completamente Reescrita


• Adicionado Módulos de Conformidade


• Nova interface, com maior usabilidade


• Adicionado relatórios personalizado


• Múltiplos perfis podem ser configurados para sistemas distribuídos: sensores, servidor de dados, etc ..


• Pacotes do sistema totalmente integrados, proporcionando maior usabilidade e correções de segurança.


• Migração do Nessus para o OpenVAS


• Utilização da nova versão do OSSEC 2.x

Como parte desse grande processo de atualização o OSSIM mudou a sua licença de BSD para GPLv2. Esta mudança foi necessária tanto para os utilizadores e contribuintes, como para a equipe de desenvolvimento e a empresa por trás do projeto.

Não posso deixar de dar os créditos neste post ao Vinicius Miasato, que tem tido muito trabalho realizando testes de homologação e integração desta incrível ferramenta.

O serviço SSH (Secure Shell) vem se tornando cada dia mais popular, por conta da sua facilidade de uso, clientes disponíveis para qualquer sistema operacional moderno e, principalmente, pela segurança na autenticação e proteção (criptografia) do tráfego.

Nos últimos dias surgiram rumores de um exploit "Zero Day" que explora uma vulnerabilidade no Servidor OpenSSH. As poucas informações divulgadas sugerem que o exploit afeta apenas versões antigas do Servidor.

Parece que toda a história começou depois de um post para a lista da Full-Disclosure em 4 de julho http://seclists.org/fulldisclosure/2009/Jul/0028.html). A postagem supostamente mostra um grupo hacker usando um "Zero Day" para explorar um servidor SSH.

Após realizar alguns testes a SANS chegou a conclusão de que foi apenas uma brincadeira. Tudo aponta para ataques de "BruteForce", que são comuns em servidores OpenSSH. Veja mais aqui

Independente do "Zero Day" existir ou não, é recomendado que se faça o fortalecimento (Hardening) do Servidor OpenSSH. Para isso existem algumas técnicas, tais como:

  
• Redução no número de equipamentos com serviço aberto para Internet

  
• Filtragem de origem: Utilizando recursos como tcpwrappers.

  
• Limitação de recursos

  
• Alterar a porta padrão do Serviço (Principal medida para evitar ataques "BruteForce" com ferramentas automáticas)

  
• Acesso somente via chaves públicas

  
• Limitar início de conexão SYN: Utilizando recurso de firewall

  
• Detecção de Assinaturas com um NIDS

  
• Utilizar técnicas de Port Knocking: Utilizando ferramentas como fwknop(Single Packet Authorization) ou knockd

No site do CERT.BR encontra-se um documento publicado por Nelson Murilo que
descreve algumas sugestões para defesa contra ataques de força bruta para SSH.

Uma ferramenta muito interessante também é o SSHTest, que analisa o arquivo de configuração do daemon de ssh (tipicamente /etc/ssh/sshd_config) em busca de problemas potenciais nas configurações. Desenvolvida em perl, ela faz uma séria de perguntas de forma interativa, para bloquear acesso de login do usuário root, limitar acesso para determinados usuários, restringir uso da versão do protocolo, etc... Após isso ele gera um arquivo de configuração pronto para ser usado.


Em suma, uma falha de segurança pode comprometer todo o seu sistema e causar grandes prejuízos ao seu projeto. Então mapeie as ameaças, mitigue os riscos e implemente mecanismos de segurança, objetivando tornar a sua infra-estrutura preparada para enfrentar quaisquer tentativas de ataque.

Conclusão sobre o OpenSSH Exploit: Mito !!!

 Será realizado entre os dias 21 e 25 de julho, na cidade do Rio de Janeiro, o IV Workshop de Segurança da Informação (SegInfo). O evento é dividido em duas etapas, com um dia de palestras e três dias de treinamentos intensivos.

No primeiro dia de programação, 21 de julho, serão ministradas sete palestras com renomados profissionais da área que trabalham em instituições como Inmetro, Polícia Federal, Módulo, CEFET/RN, Clavis Segurança da Informação, PPP Advogados e UNIRIO. Dentre os temas, serão apresentados Análise Forense Computacional, Testes de Invasão, Botnets, Gestão de Riscos, Auditoria em Sistemas Embarcados, Direito Digital e Normas.

As palestras serão realizadas no Auditório Vera Janacopoulos, no Prédio da Reitoria da Unirio, na Urca, com capacidade para até 180 pessoas.

Já os treinamentos, estão marcados para os dias 23, 24 e 25 de julho, no Centro do Rio de Janeiro, na Rua Buenos Aires, nº 90. Os cursos sobre “Proteção de Perímetro I”, “Fundamentos de Criptografia” e “Shell Script” possuem carga horária de 24 horas cada e serão ministrados por instrutores e especialistas de cada área.

As inscrições para as palestras estão abertas e os ingressos custam R$ 51. Estudantes e funcionários de empresas clientes da Clavis, ex-alunos da Academia Clavis e interessados que levarem 1 kg de alimento não perecível terão 50% de desconto. Vale lembrar que a inscrição nos cursos do SegInfo dá direito ao ingresso nas palestras.

Para obter outras informações acesse o site http://www.seginfo.com.br ou ligue para (21) 2561-0867.

Caros leitores do blog, estou publicando este formulário para caso necessitem entram em contato direto comigo. Todos os campos abaixo são obrigatórios.