Leandro Almeida

0day no IIS FTP - Microsoft Windows

2009-09-08T04:42:00.000-07:00

No último dia 31/08/09 o hacker conhecido como Kingcope, divulgou no site milw0rm um exploit 0day que explora vulnerabilidades no serviço IIS FTP do windows server.
De acordo com a Microsoft as versões afetadas vão desde windows 2000 até 2008, passando por XP e Vista. Até o presente momento não existe correção para esta falha, porém a microsoft "recomenda" alguns "workarounds"(vulgo GATO):
1º Tire o serviço do ar se não utiliza-lo x);
2º Remova a permissão de escrita no diretório do FTP para usuários anônimos;
3º Não permita acesso de usuários anônimos (detalhe, por default o serviço permite);
4º Modifique as permissões do drive NTFS para não permitir a criação de diretórios;

Um vídeo exemplificando o ataque pode ser visto no link abaixo:
http://www.offensive-security.com/videos/microsoft-ftp-server-remote-exploit/msftp.html

Nos próximos posts, irei descrever como uma técnica(Single Packet Authorization) pode ser útil para que o ataque por um exploit 0day não tenha sucesso!!! =D

Links:

http://www.milw0rm.com/exploits/9559
http://www.microsoft.com/technet/security/advisory/975191.mspx
http://isc.sans.org/diary.html?storyid=7063

Criando um Repositório CentOS

2009-09-04T13:19:00.001-07:00

- Requisitos

* Apache (httpd)
* Rsync (rsync)
* Createrepo (createrepo)
* Espaço em disco (80GB)

- Configurando o Repositório
- Criação dos diretórios

Para cada versão do CentOS, um diretório será criado para servir de repositório. Obedecendo a seguinte lógica:

* /var/www/html/centos/VERSÃO/{os,updates}/{i386,x86_64}

Onde:

* VERSÃO → corresponde a versão do CentOS (4.4, 5, 5.2,…)
* os → corresponde ao diretório para onde serão copiados todos os CDs/DVDs da versão correspondente (diretório base)
* updates → corresponde ao diretório para onde serão sincronizados todas as atualizações do CentOS
* i386 → arquitetura 32 bits
* x86_64 → arquitetura 64 bits

Exemplos:

32 bits:

* mkdir /var/www/html/centos/5/os/i386
* mkdir /var/www/html/centos/5/updates/i386

64 bits:

* mkdir /var/www/html/centos/5/os/x86_64
* mkdir /var/www/html/centos/5/updates/x86_64

- Criando o repositório Base

O repositório base, localizado dentro do diretório “os”, é o local onde serão copiados os CDs/DVDs da versão correspondente. Por exemplo, na versão 5:

* cp -R /CDROM /var/www/html/centos/5/os/i386/

Após a criação do repositório base, devemos executar o comando createrepo que cria informações de repositório para oferecer suporte a novas versões do yum (e possivelmente para repositórios de outros programas clientes). O comando createrepo armazena estes dados numa pasta chamada repodata.

* createrepo /var/www/html/centos/5/os/i386/

- Sincronizando o Repositório

A sincronização do repositório, deve ser feita com algum Mirror oficial do CentOS, garantindo assim uma fonte confiável. Os mirrors disponíveis podem ser localizados neste link:

* http://www.centos.org/modules/tinycontent/index.php?id=30

Escolha um mirror que tenha um servidor rsync para a sincronização (ex.:kernel.org , stanford.edu,…). Após escolher, sincronize com o comando abaixo:

* rsync -avrt rsync://mirrors.kernel.org/centos/5/updates/i386/ /var/www/html/centos/5/updates/i386/

Obs1: Este passo, quando feito pela 1º vez tende a demorar bastante, visto que o rsync vai sincronizar seu servidor atual (vazio) com a base atualizada, tendo que fazer o download de todos os pacotes. Da 2º vez em diante, o rsync faz a adição/remoção apenas das diferenças, o que tende a ser muito mais rápido

Obs2: É recomendável colocar o comando descrito acima no crontab, para que em um intervalo de tempo programável ele seja executado.

Obs3: Certifique-se que a porta 22, que é utilizada pelo rsync, está aberta no firewall. Caso contrário a sincronização irá falhar.

Após este passo, o seu servidor de repositório CentOS já está em funcionamento.
Configurando o Cliente

A configuração do cliente se dá através da edição de um arquivo. Edite o arquivo CentOS-Base.repo e coloque apenas o conteúdo abaixo:

[base]

name=CentOS-$releasever - Base

baseurl=http://IP_DO_SERVIDOR/centos/$releasever/os/$basearch/

gpgcheck=1

gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5

##############################################################

[update]

name=CentOS-$releasever - Updates

baseurl=http://IP_DO_SERVIDOR/centos/$releasever/updates/$basearch/

gpgcheck=1

gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5

- Informações Úteis

http://www.centos.org/modules/tinycontent/index.php?id=30

http://mirror-status.centos.org/

http://yum.baseurl.org/

http://createrepo.baseurl.org/

Criptografia Quântica

2009-07-14T10:19:00.001-07:00

Este foi um dos temas que estava na minha lista de possíveis temas para a monografia da pós em segurança da informação. Apesar de não ter sido escolhido, devido a falta de documentação, vale a pena um post no blog sobre o futuro da criptografia e de toda a computação.
A criptografia clássica, baseada na matemática, utiliza a fatoração de números primos para a construção dos seus problemas. Sabe-se que todo e qualquer problema baseado na criptografia clássica é vulnerável a um tipo de ataque, a força bruta. No entanto, pode acontecer o seguinte: os recursos gastos para a resolução de um problema, podem ser maiores do que a informação ali contida. Isto acontece devido ao poder computacional atual, que não consegue em tempo hábil resolver tais problemas.
Com o advento da computação quântica, os sistemas criptográficos baseados na criptografia clássica estão prestes a se tornarem obsoletos. Isto deve-se ao altissímo poder computacional dos computadores quânticos, que conseguirão resolver problemas matemáticos em um intervalo de tempo muito curto. Além disso, uma linha de pesquisa conhecida como criptografia quântica, está sendo considerada como a criptografia inquebrável, até mesmo pelos computadores quânticos.
A criptografia quântica, que tem seus princípios básicos na mecânica quântica, é uma linha de estudo que visa aperfeiçoar a criptografia clássica atual, utilizando a natureza quântica dos fótons para a distribuição segura de chaves em um meio inseguro (Internet).

FISL 10

2009-07-01T07:52:00.001-07:00

Indiscutivelmente o melhor evento de Software Livre do Brasil. O FISL (Fórum Internacional de Software Livre) esse ano esteve na sua 10º edição, e essa foi minha segunda participação. Pra quem nunca foi, fica o convite para o próximo ano =D

Single Packet Authorization - III ENSOL

2009-06-19T09:12:00.000-07:00

Gostaria de agradecer a todos que compareceram na palestra que aconteceu hoje pela manhã no III ENSOL.

Single Packet Authorization

View more Microsoft Word documents from lcavalcanti.almeida.

O vídeo da palestra está hospedado no seguinte link:
http://www.flavioribeiro.com/SPA/SinglePacketAutorization.avi

Valeu ai smurf pela hospedagem =D

Como adicionar um storage externo e compartilhado em máquinas virtuais no VMWare ESXi

2009-04-15T11:24:00.000-07:00

Este post serve para aqueles que estão utilizando o VMWare ESXi, e necessitam que suas máquinas virtuais tenham acesso a storages externos(Sun, HP, FreeNAS,...) e compartilhados. Antes de configurar o acesso é necessário configurar toda a estrutura necessária para que o hipervisor tenha acesso ao storage, como por exemplo:
- instalar a interface HBA no Hipervisor
- Conectar a Fibra na interface HBA e no Storage
- Criar e configurar o acesso dessa HBA as LUNs no storage
Feito isso, podemos partir para a configuração nas máquinas virtuais.
Depois de quebrar muito a cabeça, pude verificar que o processo é muito simples. Nas configurações da máquina virtual que terá acesso ao storage, você deve adicionar um novo controlador SCSI e marcá-lo como físico, como a imagem abaixo.

Feito isso, crie um novo disco, setando a LUN do storage que você deseja, e coloque como controlador SCSI o criado no passo anterior.

Integrando o Samba com o LDAP

2009-04-03T17:37:00.000-07:00

Faz um tempo que estou com este post guardado, e agora resolvi colocar aqui pra esclarecer melhor as dúvidas sobre a integração do Samba com o LDAP. Não porque seja difícil e trabalhoso, mas sim por falta de organização da minha parte =D.

Um dos principais problemas que os administradores de rede (Linux) enfretam, é ter que gerenciar todas as informações (login e password) relativas a usuários de uma maneira descentralizada, por exemplo: um novo usuário chega na sua empresa e então começa a peregrinação dos admininstradores, tendo que percorrer todos os serviços(mail, proxy, domínio,...) que serão alocados para este usuário e criar contas separadamente para cada serviço.
Derivando do X.500, o LDAP (Lightweight Directory Access Protocol) surge como uma alternativa para o problema citado no exemplo acima. Existem diversas aplicações para o LDAP, dentre as mais conhecidas estão o OpenLDAP e o Active Directory.

Criei um cenário, que está exemplificado na figura abaixo:

Neste cenário utilizei um servidor Debian lenny, com o OpenLDAP instalado, além do phpLDAPadmin, que é uma interface WEB de gerenciamento para a base LDAP. No lado cliente utilizei um Windows 2000 professional, que irá acessar os compartilhamentos concedidos pelo Samba.

Os pacotes instalados (via apt-get) no servidor foram:

slapd
lpad-util
libdb4.3
libdb4.3-dev
libdb4.3-util
phpldapadmin
samba
smbldap-tools
smbclient
smbfs

Após a instalação, edite o arquivo /etc/ldap/slapd.confda sequinte maneira:

#Arquivos Schema

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/nis.schema

include /etc/ldap/schema/inetorgperson.schema

include /etc/ldap/schema/samba.schema #obtido junto ao tarball do samba

#Parâmetros de log

loglevel 0

pidfile /var/run/slapd/slapd.pid

argsfile /var/run/slapd/slapd.args

# Where the dynamically loaded modules are stored

modulepath /usr/lib/ldap

moduleload back_bdb

#Parâmetros do Banco de Dados

database bdb

sizelimit 500

tool-threads 1

backend bdb

checkpoint 512 30

#Raiz da Arvore

suffix "dc=empresa,dc=com"

#Administrador do domínio

rootdn "cn=administrador,dc=empresa,dc=com"

rootpw "senha123"

Após a configuração do slapd.conf vamos criar os arquivos ldifs, que é um modelo de arquivo para a inserção de dados na árvore de diretório. Neste exemplo iremos criar 3 arquivos:

Domínio
Equipes
Usuários

- dominio.ldif:

dn: dc=empresa,dc=com

objectClass: top

objectClass: dcObject

objectClass: organization

dc: empresa

o: empresa

- equipe.ldif:

dn: ou=atendimento,dc=empresa,dc=com

objectClass: top

objectClass: organizationalunit

objectClass: dcObject

dc: empresa

ou: atendimento

dn: ou=redes,dc=empresa,dc=com

objectClass: top

objectClass: organizationalunit

objectClass: dcObject

dc: empresa

ou: redes

dn: ou=seguranca,dc=empresa,dc=empresa

objectClass: top

objectClass: organizationalunit

objectClass: dcObject

dc: empresa

ou: seguranca

dn: ou=bd,dc=empresa,dc=com

objectClass: top

objectClass: organizationalunit

objectClass: dcObject

dc: empresa

ou: bd

- usuarios.ldif:

dn: uid=joao,ou=atendimento,dc=empresa,dc=com

objectClass: top

objectClass: person

objectClass: inetorgperson

cn: joao

sn: Carneiro

mail: joao@empresa.com

telephonenumber: 3157-4403

uid: joao

userPassword: senha123

dn: uid=andre,ou=redes,dc=empresa,dc=com

objectClass: top

objectClass: person

objectClass: inetorgperson

cn: andre

sn: Silva

mail: andre@empresa.com

telephonenumber: 3467-9251

uid: andre

userPassword: senha123

dn: uid=maria,ou=seguranca,dc=empresa,dc=com

objectClass: top

objectClass: person

objectClass: inetorgperson

cn: maria

sn: Villas

mail: maria@empresa.com

telephonenumber: 3512-0245

uid: maria

userPassword: senha123

dn: uid=marcos,ou=bd,dc=empresa,dc=com

objectClass: top

objectClass: person

objectClass: inetorgperson

cn: marcos

sn: Nobrega

mail: marcos@empresa.com

telephonenumber: 3234-7640

uid: marcos

userPassword: senha123

Após criar os arquivos, o próximo passo é adicionar a base LDAP. Adicione os arquivos com os seguintes comandos:

# ldapadd -f dominio.ldif -x -D cn=administrador,dc=suporte,dc=gti -W

# ldapadd -f equipes.ldif -x -D cn=administrador,dc=suporte,dc=gti -W

#ldapadd -f usuarios.ldif -x -D cn=administrador,dc=suporte,dc=gti -W

obs: Parâmentros

-f : indica qual arquivo será incluído no diretório
-x : informa que irá utilizar autenticação simples
-D : informa o dn
-W : invoca um prompt pedindo a digitação da senha

Para visualizar a árvore criada, utilize o phpldapadmin. Para isso digite: http://ipdoservidorldap/phpldapadmin .

O Próximo passo é configurar o samba, para integrar-se ao LDAP. Edite o arquivo smb.conf, e deixe como abaixo:

[global]

workgroup = ldap

security = user

encrypt passwords = yes

#Configuração para a integração com o LDAP

ldap admin dn="cn=administrador,dc=empresa,dc=com"

passdb backend = ldapsam:ldap://127.0.0.1/

ldap suffix = "dc=suporte,dc=gti"

ldap ssl = off

[compart]

comment = Compartilhamento na máquina ldap/samba

writeable = yes

path = /arquivos

public = yes

browseable = yes

Feito isso, devemos configurar o cliente Windows seguindo os passos abaixo:

Colocar a máquina Windows 2000 no mesmo grupo de trabalho do samba (variável workgroup)
Criar os usuários no servidor debian(comando adduser).

Obs: este passo só será necessário porque o samba necessita de contas criadas no servidor.

Remova o arquivo do samba “secrets.tdb”
Digite o comando:

# smbpasswd -w (senha do admin-ldap)

Coloque os usuário criados no samba (passo anterior) com o comando

# smbpasswd -a usuario (a partir deste momento os usuários serão inseridos no LDAP)

Reinicie o samba:

# /etc/init.d/samba restart

Na máquina windows faça:

iniciar(botao direito) → explorar → meus locais de rede → computadores próximos a mim → escolha o servidor samba.

Informe um usuário/senha criado anteriormente no servidor samba.

Obs: Configure as permissões para os usuários acessarem os compartilhamentos criados.

TCOS - Thin Client Operating Systems

2009-03-24T16:07:00.001-07:00

Neste post vou falar um pouco sobre o TCOS - Thin Client Operating Systems, que é um software livre criado e mantido por Mario Izquierdo . O TCOS é uma aplicação para criar e gerenciar as redes compostas por Thin Clients, ou clientes magros. Um thin client é um computador com pouco poder de processamento e armazenamento, que é colocado em uma rede, onde desde o processo boot até a execução de aplicativos são realizadas e gerenciadas num servidor, que neste caso pode ser um TCOS ou mesmo LTSP.
O grupo TCOS-Brasil foi criado a pouco tempo, com o intuito de criar documentação em nosso idioma, além de dar suporte aos usuários brasileiros com o TCOS. Mesmo com um pequeno grupo, o TCOS-Brasil já tem presença confirmada no FISL10 e no III ENSOL-PB, por isso se você tem interesse em conhecer esta nova ferramenta para redes de clientes magros, vale a pena aparecer em um destes dois eventos.

Virtualização com o Vmware ESXi

2009-03-06T15:07:00.000-08:00

Faz pouco tempo que a VMware que está disponibilizando gratuitamente em seu site o produto VMware ESXi. Gostei tanto do que vi, que resolvi escrever um pouco sobre ele.
A principal característica que diferencia o ESXi dos outros produtos de virtualização,é o fato que ele é um Hypervisor Nativo. Hypervisor refere-se ao fato de que ele é um Monitor de Máquinas Virtuais (VMM), e Nativo ao fato de que ele não precisa de um "Sistema Operacional" para executar, ou seja, o ESXi é a "única" camada de abstração entre o hardware e a máquina virtual.

Só o fato de não existir o overhead de um sistema operacional entre o hardware e a aplicação, o ESXi se torna muito mais poderoso. Não fosse só isso, inúmeras características o fazem uma aplicação diferenciada. abaixo vou listar algumas destas características:

Gratuito ($$ = 0)
Ocupa 32 MB no disco após a instalação
Suporta Storages (SAN, NAS,...)
Possibilita a criação de Redes Virtuais (switches virtuais)
Suporte a VLAN, Traffic Shapping
Suporte a Paravirtualização
Suporte a multiprocessadores
Melhoria no gerenciamento de recursos( através da funcionalidade "Pool de Recursos")
Upgrades(para versões pagas) sem precisar de reinstalação
Snapshots do disco e da memória
Downloads e Uploads de VMs (download pode ser "a quente")
Priorização de I/O ao disco
Ordem de Boot e Shutdown
Suporte ao Microsoft Clustering Service :p
Gerenciamento através do vmware infrastructure client(só p/ windows :/ )
....

Mais informações podem ser encontrados em:
- www.vmware.com
- blogdovicente.com

HLBR no CentOS

2008-11-13T11:26:00.000-08:00

O HLBR (Hogwash Light BR) é um projeto brasileiro derivado do projeto Hogwash (desenvolvido por Jansen Larsen).
O HLBR é um IPS (Intrusion Prevention System) que atua na camada 2 do modelo OSI, portanto, não necessita de endereço IP na rede(ou seja, é um IPS invisível).
O HLBR trabalha baseado em um arquivo de regras simples, podendo inclusive utilizar expressões regulares(a partir da versão 1.0) o que aumenta consideravelmente o seu poder de detecção.
Mais detalhes sobre o HLBR podem ser encontrados em:
http://hlbr.sourceforge.net/
Grupo de Discussão

Um ponto interessante é que o HLBR é recomendado para Debian e Slackware, no entanto eu precisava instalar o HLBR em um CentOS 5.2, por isso criei este post para auxiliar a quem precise instalar o HLBR no CentOS.

Primeiramente antes de instalar o HLBR precisamos instalar alguns pacotes:
-gcc
-c++
-pcre

Para instalar execute o seguinte comando:

# yum -y install gcc gcc-c++

O pacote pcre está disponível em ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.6.tar.bz2

Descompacte-o com o comando:

# tar xjvf pcre-7.6.tar.bz2
pcre-7.6/
pcre-7.6/doc/ ......

Entre no diretório criado:

# cd pcre-7.6

Execute:
# ./configure
#make
#make install

Se tudo ocorrer bem a biblioteca pcre foi instalada corretamente.

Agora podemos instalar o HLBR. Faça o download da versão mais recente e descompacte-o com o comando:

# tar -xvzf hlbr-1.6.tar.gz

Entre no diretório criado:

# cd hlbr-1.6/

ATENÇÂO!!!!!

Neste momento devemos alterar uma linha do script configure, para que a instalação ocorra sem problemas. Devemos indicar o caminho correto da biblioteca pcre instalada anteriormente. Para isso abra o arquivo configure, procure pela seção da biblioteca pcre e deixe como abaixo:

# vi configure
echo -n "Buscando libpcre / Checking for libpcre............"
if [ -e /usr/local/include/pcre.h ]
then
echo "Encontrado / Found"
else
echo "Nao encontrado / Not found"
exit 1
fi

Para instalar o HLBE execute:

# ./configure
# make
# make install

Se tudo ocorrer bem o HLBR já esta instalado. Para testar o HLBR entre no diretório /etc/hlbr e execute:
# hlbr -c hlbr.config -r empty.rules

Os arquivos de configuração encontram-se em /etc/hlbr, inclusive as regras que podem ser criadas, deletadas ou alteradas.

Apresentando o "asleap"

2008-10-07T11:28:00.000-07:00

Asleap é uma ferramenta que tem como finalidade recuperar senhas que utilizem o método LEAP(Cisco's Lightweight Extensible Authentication Protocol) para autenticação e em VPN's que utilizem o protocolo PPTP.

Vou mostrar um exemplo de utilização do asleap, em um cenário de uma VPN baseada no protocolo PPTP da Microsoft. Primeiramente o cenário utilizado para a criação do túnel VPN foi o da figura abaixo:

Basicamente na figura acima temos duas redes (10.0.1.0/24 e 10.0.2.0/24) distintas e conectadas a um mesmo roteador Linux. A comunicação entre essas redes só é possível porque esse roteador atua como uma bridge (ponte); sendo assim temos um cenário minímo para a configuração de uma VPN. Na máquina RWindows XP (10.0.1.1) foi configurado uma nova conexão para acessar um serviço VPN que executa na maquina RWindows 2000 Server (10.0.2.1). Como foi descrito acima a única função da máquina Linux(IPs - 10.0.1.254 e 10.0.2.254) é rotear pacotes entre as duas redes; neste caso basicamente habilitamos o roteamento via kernel. Já na máquina 2000 Server (10.0.2.1) foi configurado um serviço VPN utilizando o protocolo PPTP, além da criação de um usuário para a utilização e acesso a esse serviço VPN.

Com o cenário apto para que a comunicação VPN aconteça, executamos na máquina cliente o pedido de conexão ao servidor VPN-PPTP com as credenciais do usuário criado. Após a autenticação uma nova conexão foi criada, ou seja, um túnel lógico VPN foi criado para a comunicação entre o cliente e o servidor VPN.

No momento da criação do túnel, automaticamente endereços IPs são configurados para os dois extremos, caracterizando assim uma nova rede lógica entre estes dois extremos do túnel. Neste método de configuração de VPN baseada em PPTP existem várias falhas de segurança, como por exemplo a negociação de parâmetros para o estabelecimento da conexão que é feita sem nenhuma proteção, as mensagens do canal de controle do PPTP são transmitidas sem qualquer forma de autenticação ou proteção de integridade, além do fato de que o cliente só precisa se autenticar após a conclusão do processo de estabelecimento de parâmetros. Além dos problemas do protocolo em si, existem vulnerabilidades da implementação do PPTP pela Microsoft, como por exemplo o método de armazenamento e transmissão de hashes de senhas conhecido como LANMAN, e no tamanho e processo de geração de chaves criptográficas para o serviço de cifragem.

Sabendo dessas vulnerabilidades capturei os pacotes durante uma tentativa de conexão ao servidor da VPN PPTP. Utilizei o tcpdump(http://www.tcpdump.org/) para capturar os pacotes no roteador linux, e salvei estes pacotes em um arquivo .dump .

Primeiramente submeti este arquivo ao Wireshark(http://www.wiresahrk.org) e consegui vizualisar diversas vulnerabilidades descritas anteriormente(Como por exemplo o login do usuário, que no exemplo foi unibratec).

Após estes testes, submeti o arquivo .dump ao asleap e verifiquei que ele realmente consegue decifrar as "credenciais" utilizada na autenticação da VPN baseada no protocolo PPTP da Microsoft.
A versão mais nova do asleap pode ser encontrada no site http://www.willhackforsushi.com/Asleap.html . Coloquei um tarball e um arquivo .deb (debian e derivados) do asleap, que podem ser baixados nos links abaixo:

http://savefile.com/projects/808697518

A instalação do asleap necessita que alguns pacotes estejam instalados em seu sistema, abaixo segue a lista de pacotes:

gcc
make
build-essential
libpcap-dev
openssl
libssl-dev

Após a instalação dos pacotes acima iremos instalar o asleap. Caso você baixe o .deb, para instalar basta apenas digitar:

# dpkg -i asleap-1.4.deb

Veja se a instalação ocorreu corretamente com o comando:

#asleap

Caso você baixe o tarball, siga os passos abaixo:
Descompactando com o comando:

# tar xvzf asleap-2.2.tgz
Entre no diretório criado:

# cd asleap-2.2

Rode o comando para instalar:

#make

Se tudo ocorreu bem, teste o asleap digitando o comando:

#./asleap

Após a instalação, iremos primeiramente criar dois arquivos(um .dat e outro .idx). Estes arquivos deverão ser criados de acordo com o arquivo de dicionário utilizado (neste exemplo o dicionário pode ser baixado em http://savefile.com/projects/808697518). Para criar os arquivos digite:
Ex:
#genkeys -r ARQUIVO_DE_DICIONARIO -f ARQ.dat -n ARQ.idx

#genkeys -r worldlistpt-br.txt -f dict.dat -n dict.idx

Agora podemos executar o asleap:
Ex:
#asleap -r PACOTES_CAPTURADOS -f ARQ.dat -n ARQ.idx

#asleap -r captura.pcap -f dict.dat -n dict.idx

Verificamos que o usuário com login unibratec tem a senha senha123.

Acho que esse post já ficou longo demais!! =D

Certificação Linux

2008-10-01T12:48:00.000-07:00

Nunca fui muito de escrever em blogs, mas estou tentando manter esse aqui aos trancos e barrancos =D
Bem como o título diz , neste tópico vou falar um pouquinho da Certificação Linux. Uma das certificações mais importantes para quem trabalha com Linux, é a famosa LPI 101 e 102. A LPI (Linux Professional Institute) teve origem em 1999 no Canadá, sendo hoje o principal instituto que promove provas de certificações relacionadas ao Linux.
Ainda não tenho nenhuma certificação, apesar de trabalhar com linux um bom tempo(pelo menos 3 anos), mas meu primeiro passo foi comprar o livro "Certificação Linux LPI", que por sinal é um ótimo livro. Estou ainda nos primeiros capítulos mas já posso dizer que é uma ótima referência não só pra quem vai fazer a prova como também quem esta procura de uma boa fonte de informação sobre o Linux.
Ainda não marquei a data da prova, mas criarei um tópico aqui avisando quando isto ocorrer! =D

Fortaleza - CESOL

2008-08-24T05:23:00.000-07:00

Esta semana no CESOL-CE, em Fortaleza, apresentei uma palestra sobre Perícia Forense Computacional. Fiquei só dois dias na cidade, não deu pra conhecer muita coisa :/

Na palestra falei um pouco sobre o SACI(Sistema de Auditoria Computacional Inteligente), que é um projeto para o estudo e criação de uma ferramenta que possa ser usada na parícia forense computacional. Os slides podem ser encontrados abaixo:

PerÃcia Forense Computacional

view presentationtags:

Gostaria de agradecer a todos que compareceram! =D

Single Packet Authorization

2008-08-08T12:46:00.000-07:00

Muitos administradores de rede necessitam acessar seus sistemas remotamente, porém se nenhuma medida de segurança for tomada para estas situações, existe uma grande possibilidade de um atacante explorar vulnerabilidades de protocolos e serviços, conseguindo ter acesso não autorizado ao sistema.
Algumas técnicas são utilizadas com o intuito de diminuir o risco de um possível acesso não autorizado. A primeira delas é o uso de senhas, porém hoje já existem diversas alternativas para conseguir ter acesso não autorizado através de senhas legítimas, dentre elas podemos citar o ataque por força bruta, engenharia social, dentre outras.

Há algum tempo surgiu uma técnica chamada de Port Knocking, que basicamente consiste em liberar um determinado serviço, que atualmente esteja bloqueado, após o recebimento de uma sequência pré-determinada de pacotes (TCP/UDP). Esta técnica funciona de acordo com a figura abaixo:

No exemplo acima temos um cenário típico onde um cliente tenta acessar um servidor remoto através de um serviço de SSH. No primeiro momento(azul) o cliente tenta acessar remotamente o servidor, porém regras no firewall(iptables) impedem conexões na porta tcp/22(ssh). No segundo momento(vermelho) o cliente tenta a liberação do acesso através da técnica de Port Knocking, onde uma sequência(knock) pré-determinada de pacotes é enviada para o firewall, porém uma camada conhecida como libpcap, que atua a frente do firewall trata esta sequência, e cria uma nova regra(temporária) no firewall(iptables) para aceitar conexões ssh apenas da máquina cliente. A partir dai o acesso remoto pode acontecer normalmente, com um nível maior de segurança(verde).

O esquema exemplificado acima ainda possui alguns “pontos fracos”, que podem comprometer toda a segurança implementada. Primeiro é interessante saber que o Port Knocking utiliza apenas os campos das portas(TCP/UDP) para a verificação da sequência “knock”, ignorando os “dados” do pacote, sendo impossível assim o uso da criptografia no processo. Um atacante com um snnifer na rede poderia conseguir a sequência “knock” e se passar por um cliente, tendo assim acesso ao sistema. Outro ponto é a possibilidade da entrega fora de ordem dos pacotes, impossibilitando assim o acesso. Além destes, existem outros pontos que de alguma maneira invialbilizam o uso do Port Knocking em um cenário como o descrito acima.

Uma técnica mais elaborada, baseada no Port Knocking, é conhecida como Single Packet Authorization(SPA). O SPA herda os pontos positivos do Port Knocking, como também corrige os pontos negativos encontrados. A principal diferença entre as duas técnicas é que no SPA apenas um pacote é enviado, e não uma sequência, corrigindo assim problemas de pacotes fora de ordem. E neste pacote as informações que serão tratadas pela camada “libpcap” estão na parte de dados, e não nas portas, corrigindo assim o problema de criptografia e replay(atacante captura sequência knock e se passa por um cliente legítimo) .

No mesmo cenário que foi descrito o Port Knocking, iremos exemplificar o Single Packet Authorization. A figura 2 mostra o primeiro momento, em que um cliente tenta acessar um serviço remotamente, mas não consegue fazê-lo devido as regras no firewall(iptables).

Uma solução para o cenário acima é utilizar a técnica do SPA. O software que implementa este serviço é o fwknop(FireWall KNock OPerator) que pode ser encontrado em http://cipherdyne.org/fwknop/. Atualmente o fwknop encontra-se na versão 1.9.6, e pode ser baixado gratuitamente, além do acesso ao seu código-fonte ser liberado. Existem pacotes RPM pré-compilados(server/client), Tarballs(server/client) e uma versão para clientes Windows.

Para Debian e derivados(Ubuntu, Kurumin...) se faz necessário a instalação dos seguintes pacotes(e suas dependências):

apt-get install build-essential
apt-get install libpcap-dev

Para instalar o fwknop primeiro descompacte o pacote, e depois rode o script de instalação como poderes de super usuário:

# tar xjvf fwknop-1.9.6.tar.bz2

# cd fwknop-1.9.6

# ./install.pl

Para Red Hat e derivados(CentOS, Fedora,...) se faz necessário a instalação dos seguintes pacotes(e suas dependências):

yum install gcc
yum install libpcap-devel

Para instalar o fwknop basta compilar o pacote RPM:

# rpm -i fwknop-1.9.6-1.i386.rpm

Após a instalação,e ambas máquinas(server/client), podemos passar para a fase de configuração do fwknop. No servidor edite o arquivo /etc/fwknop/access.conf deixando com o seguinte conteúdo:

#Configuração do Servidor Fwknop

SOURCE: ANY;

OPEN_PORTS: tcp/22;

FW_ACCESS_TIMEOUT: 60;

KEY: senha123;

Após configurar o servidor, inicie o serviço fwknop com o comando:

# /etc/init.d/fwknop start

Se tudo estiver correto, seu servidor já estará executando a técnica do Single Packet Authorization.

Obs: Fica subentendido que exista uma regra bloqueando conexões na porta TCP/22, como por exemplo: iptables -A INPUT -i eth0 -p tcp –dport 22 -j REJECT

No lado do cliente(caso o mesmo execute Linux), basta executar o seguinte comando:

# fwknop -A 'tcp/22' -a 192.168.0.10 -D 192.168.0.254

Uma senha será requisitada, digite a senha cadastrada na variável “KEY” do arquivo access.conf.

Após os procedimentos descritos acima, a camada libpcap irá tratar este pacote, resultando na criação de uma nova regra temporária no firewall permitindo apenas conexões remotas que tenham o endereço IP do cliente(192.168.0.10) por um tempo de 60 segundos(variável FW_ACCESS_TIMEOUT do access.conf). A figura abaixo ilustra estes procedimentos:

A partir deste momento, durante um período de 60 segundos o firewall irá permitir conexões remotas para a porta tcp/22 no servidor.

Com o encerramento da conexão, a regra temporária que permitia conexões na porta tcp/22 vindos do IP 192.168.0.10 automaticamente é removida do firewall, voltando assim para o cenário inicial, ou seja, bloqueando conexões.

Todos sabemos que é impossível obter um sistema 100% seguro, porém existem soluções que tentam aumentar o nível de segurança dos sistemas. O SPA pode ser considerada uma técnica que “aumenta” a segurança em acessos remotos, mas está “longe” de ser uma solução 100% segura que barre toda e qualquer tentativa de acesso não autorizado.

Bibliografia

http://cipherdyne.org/fwknop/

http://www.linux.com/feature/135100

http://www.linux.com/articles/37888

http://www.jsena.info/palestras-recentes/JansenSena_FISL9_Single_Packet_Authorization.pdf

Migrando Ubuntu 8.04 - Fedora 9.

2008-07-18T12:57:00.000-07:00

Esta semana migrei meu sistema do Ubuntu 8.04 para o Fedora 9. Tomei esta decisão pois já faz um bom tempo que tinha vontade de mudar pra outra distro que não fosse baseada no debian, e trabalhar com outros tipos de pacote. Pensei no OpenSuse, Solaris, Red Hat... mas acabei ficando com o Fedora. Consegui baixar a .iso do DVD da nova versão do Fedora 9 - Sulphur, e instalei na antiga partição "/" do ubuntu, deixando meu "/home" intacto. Estou começando a usar esta nova distro, e de cara posso dizer que a parte gráfica é uam das melhores que já vi, porém, como nem tudo são rosas uma queixa que deixo é sobre as atualizações do fedora 9, que diferentemente do Ubuntu são muito lentas. Pesquisei em alguns foruns e vi que o Fedora 9 carrega toda a lista de pacotes para a atualização( o que se torna um processo demorado), para resolver o problema recorri ao blog do meu amigo allisson, e lá ele fala sobre um plugin(yum-presto) que faz com que ele carregue apenas as "diferenças" dos pacotes, reduzindo em até 80% o tempo das atualizações. No mais estou gostando da distro! =D

Projeto SACI

2008-07-01T11:57:00.000-07:00

Acabei de criar este blog, e a minha primeira postagem será sobre um projeto de Software Livre que participo: o Projeto SACI (Sistema de Auditoria Computacional Inteligente). Basicamente o SACI de dispõe a ser um software que venha atuar na área da Perícia Forense Computacional. Criado e mantido por um restrito grupo de pessoas, o saci está em fase de desenvolvimento, e logo estará disponível para download não só a aplicação, mas também seu código fonte. Para maiores informações : saci.comunicacaodigital.org