Archive

Archive for September, 2006

Instalando um vserver no Ubuntu Linux

09/29/2006 3 comments

O Linux-VServer provê um sistema de virtualização para sistemas GNU/Linux. Isto é possível atraves de um isolamento a nível de kernel, permitindo a execução de múltiplos ambientes virtuais.
Estes ambientes são suficientimente isolados para garantir a segurança necessária, mas utiliza os recursos disponíveis eficientemente, como se estivesse sendo executado no mesmo kernel.

Para instalar os pacotes é necessário adicionar as seguintes linhas no seu
/etc/apt/sources.list

deb http://ubuntu.uni-klu.ac.at/ubuntu.uniklu/ dapper uniklu-vserver

Em seguide execute estes comandos

wget http://ubuntu.uni-klu.ac.at/uniklu-debuild.pub

sudo apt-key add uniklu-debuild.pub
sudo apt-get update

Faça o download do kernel com o vserver patch no site ubuntu.uni-klu.ac.at ( neste site você encontrará imagens para várias arquiteturas ) e instale esta imagem da seguinte forma

wget http://ubuntu.uni-klu.ac.at/ubuntu.uniklu/dists/dapper/uniklu-vserver/binary-i386/
linux-image-2.6.17-11-386_2.6.17-11.24vs2.0.2.1_i386.deb

sudo dpkg -i linux-image-2.6.17-11-386_2.6.17-11.24vs2.0.2.1_i386.deb

Instale os outros pacotes necessários para a implantação do Vserver

sudo apt-get install util-vserver vserver-debiantools

Altere o symlink para o seu $VROOTDIR

sudo mkdir /home/vservers
sudo ln -snf /home/vservers /etc/vservers/.defaults/vdirbase

Configure o arquivo /etc/vserver/newvserver-vars

sudo vi /etc/vserver/newvserver-vars

# Architecture: overide on non-Debian host such as Redhat otherwise dpkg
# will detect whether we are i386/powerpc/sparc/etc
#ARCH=””

# Which debian distribution (Warning. unstable and testing distributions
# change frequently so you can not expect it to work out of the box).
DIST=”dapper”

# Local or nearest location of a debian mirror (must include the /debian)
MIRROR=”http://ubuntu.uni-klu.ac.at/ubuntu”

# Default network interface for vservers:
INTERFACE=”eth0″

# Package caching
#PKGCACHE=1

Salve e saia

Reinicie a máquina. Precione ESC na inicialização para acessar a tela do GRUB e escolha o kernel instalado anteriormente.

Criando Vservers

Criando um novo vserver

sudo newvserver -v –hostname smith –domain “ideiadigital.com.br” –ip <Endereço IP

Iniciando o novo vserver

sudo vserver smith start

Acessando o novo vserver

vserver smith enter

sudo apt-get update && apt-get dist-upgrade

Parando o vserver

sudo vserver smith stop

Para iniciar o vserver durante o boot faça

sudo echo “default” > /etc/vservers/smith/apps/init/mark

Testando o script de inicialização

sudo /etc/init.d/vserver-default start

sudo vserver-stat

CTX PROC VSZ RSS userTIME sysTIME UPTIME NAME
0 73 219.2M 100.3M 4h28m22 19m27s15 5d23h57 root server
49156 1 1.5M 540K 0m01s32 0m02s28 21h49m30
49161 2 5.1M 2.2M 0m00s00 0m00s00 0m02s47 smith

sudo /etc/init.d/vservers-default stop

vserver-stat

CTX PROC VSZ RSS userTIME sysTIME UPTIME NAME
0 73 219.2M 100.3M 4h28m22 19m26s99 5d23h57 root server
49156 1 1.5M 540K 0m01s32 0m02s28 21h49m23

Outros aplicativos

Estes aplicativos são úteis para manutenção fora do ambiente do vserver

VAPT-GET

sudo vapt-get — install

VSERVER-stat

sudo vserver-stat

VSERVER-COPY

Copia um vserver template (como endereço IP etc)

sudo /usr/sbin/vserver-copy template web01

Copia o webserver com mudanças na configuração

sudo /usr/sbin/vserver-copy -i 192.168.5.62 -d example.com template web62

Move um vserver em produção para outro roothost

sudo /usr/sbin/vserver-copy -s web62 roothost02

Você tambem irá encontrar este how-to na wikipage do Time de
Segurança

Categories: Uncategorized Tags:

Arquivos infectados Windows x Ubuntu Linux

09/26/2006 7 comments

Recebi um email do Jose Vitor pedindo para explicar se um usuário usando Windows clicasse no link da figura 1 abaixo e um usuário usando Ubuntu fizesse o mesmo qual seria o resultado.

Figura1

Vamos lá:

O link aponta para a seguinte fonte http://psy.korea.ac.kr/upload/cartao.exe, já vimos que isso não tem nada a ver com um Webcard.

Essa é a forma mais simples e efetiva de implantar um aplicativo chamando trojan horse ( cavalo de tróia ) no seu sistema, com esse aplicativo um cracker poderá ter acesso total a seu sistema, podendo então gravar senhas, obter controle remoto,utilizar sua máquina como zumbi para outros ataques ou praticas nada lícitas. Isso tudo se sua máquina possuir o Windows instalado.
Agora vem a pergunta clássica.

Mas por que quem usa Ubuntu não é afetado?

1) Porque o binário *.exe não é suportado nativamente pelo Linux. Isso quer dizer que se você tentar rodar um binário *.exe no linux nada irá ocorrer.

2) Normalmente estes programas são criados para serem suportados num ambiente Microsoft ( c:, c:/windows, etc… )

Agora vai um ALERTA!!!!

Se você clicar neste link e o wine estiver instalado no Ubuntu ele irá perguntar se você quer executá-lo usando o wine ( Figura2 ), se você confirmar bau bau.
Não não não é o seu Linux que será infectado e sim o seu ambiente wine ( normalmente /home/<usuário>/.wine), então o que você faz para corrigir este problema? Apague a pasta .wine que está no seu home e pronto.

Figura2

Nem precisa responder porque isso irá acontecer não é?!?!?!?Mas vou responder assim mesmo.

O wine é responsável em criar uma API[1] do Windows em seu Linux. Todo o sistema de diretórios e registro do Windows você encontra no wine, por isso que ele é infectado se você executar um aplicativo malicioso usando-o.

Isso não quer dizer que não exista vírus pra linux, existe mas esses atualmente só aproveitam bugs de serviço ou falhas no kernel, são os chamados exploits. Mas isso fica para uma outra aula.

AVISO: POR FAVOR NÃO ACESSEM ESTE LINK!!!!!!

[1] API, de Application Programming Interface (ou Interface de Programação de Aplicativos) é um conjunto de rotinas e padrões estabelecidos por um software para utilização de suas funcionalidades por programas aplicativos — isto é: programas que não querem envolver-se em detalhes da implementação do software, mas apenas usar seus serviços. Fonte: Wikipedia

Mais um serviço de utilidade pública do Ubuntu Brazilian Security Team.

Categories: Uncategorized Tags:

Lei contra crimes de informática

09/21/2006 4 comments

Aprovado em junho pela Comissão de Educação, o Projeto de Lei 76/2000 do Senado é o mais completo texto legislativo já produzido no país para regular a repressão a crimes de informática. O PLS 76, relatado pelo Senador Eduardo Azeredo com a assessoria do Dr. José Henrique Santos Portugal, incorpora atualizações e contribuições de outros projetos de lei menos abrangentes e altera o Código de Processo Penal, o Código Penal Militar e a Lei de Interceptação de Comunicações Telefônicas.

O PLS 76 define para fins jurídicos o que é dispositivo de comunicação, sistema informatizado, identificação de usuário e autenticação de usuário, tipificando e criminalizando uma extensa pauta de condutas, até então só atingíveis pelos braços da lei através da analogia com crimes tradicionais, como roubo e estelionato. Através da nova tipificação, o PLS 76 pretende munir as delegacias e tribunais com os instrumentos normativos necessários para punir os crimes na rede sem perder tempo com deliberações acerca da pena a ser aplicada.

Antes de ser aprovado em caráter final, o projeto ainda deve passar pela Comissão de Constituição, Justiça e Cidadania do Senado, e em seguida, pelo Plenário. Uma vez aprovado no Senado, irá à Câmara dos Deputados para nova tramitação em Comissão Especial e novamente ao Plenário, por se tratar de um assunto que envolve diversas comissões especializadas.

Caso obtenha sucesso, a dificuldade de enquadrar condutas criminosas que até então carecem de cobertura penal específica deve ser em grande parte reduzida. A lista de condutas que passam a ser criminalizadas é grande: invasão, phishing, difusão de vírus, quebra de privacidade de banco de dados, não armazenar dados de conexões, alteração de dados, guardar dados obtidos indevidamente e permitir acesso anônimo à rede, entre outros.

Dentre todos os dispositivos inclusos no texto, o mais polêmico é a determinação de que todo aquele que prover acesso à Internet terá de arquivar informações do usuário como o nome completo, data de nascimento e endereço residencial, além dos dados de endereço eletrônico, identificador de acesso, senha ou similar, data, hora de início e término, e referência GMT da conexão. A medida tem sido alvo de críticas enérgicas entre aqueles que prezam pela privacidade e o anonimato na rede, sob a alegação de que dados de cunho pessoal não devem ficar em bancos de dados, expostos a uma possível devassa judicial, além do possível extravio para fins escusos.

Fonte: InfomediaTV

Categories: Uncategorized Tags:

[SA21906]Múltiplas Vulnerabilidades no Firefox

09/15/2006 7 comments
As vulnerabilidades descobertas no Firefox podem permitir a execucao de
ataques do tipo man-in-the-middle, ataques de cross-site scripting e
ate'
mesmo a execucao de codigo malicioso no sistema vulneravel, podendo
assim
compromete-lo.

A seguir uma breve descricao dos 7 alertas publicados pela Mozilla
Foundation:

1) Um erro no tratamento de expressoes regulares na linguagem
JavaScript
pode ser explorado para causar um estouro de pilha na memoria do
sistema,
podendo permitir a execucao de codigo arbitrario no mesmo.

2) Devido 'a utilizacao de SSL no mecanismo de atualizacao do Firefox,
caso o usuario tenha aceitado um certificado SSL auto-assinado e nao
verificado, o processo de atualizacao pode ser direcionado para um site
malicioso, podendo permitir a execucao de um ataque do tipo
man-in-the-middle.

3) Alguns erros encontrados na exibicao de textos no navegador podem
corromper a memoria do sistema e permitir a execucao de codigo
malicioso
no sistema afetado.

4) Um erro existe no processo de verificacao de assinaturas no pacote
da
biblioteca Network Security Services (NSS).

5) Um erro de cross-domain pode ser explorado para injetar codigo HTML
arbitrario e codigos na forma de scripts em um sub-frame de um outro
website via a chamada "[window].frames[index].document.open()".

6) Existe um erro nos pop-ups bloqueados quando eles sao abertos
atraves
da barra de status do navegador, na funcionalidade "blocked popups". Os
pop-ups podem ser abertos em um contexto incorreto, podendo permitir a
execucao de codigo HTML arbitrario e codigos na forma de scripts no
browser do usuario.

7) Alguns erros de corrompimento de memoria nao especificados podem ser
utilizados para executar codigo malicioso no sistema afetado.

Sistemas afetados:

. Mozilla Firefox 0.x
. Mozilla Firefox 1.x

Correcoes disponiveis:

Recomenda-se fazer a atualizacao para as versoes disponiveis em:

. Mozilla Firefox 1.5.0.7 (todos os idiomas e sistemas)
  http://www.mozilla.com/firefox/all.html

* Normalmente tambem e' possivel atualizar o Mozilla Firefox
    atraves da opcao "Check for Updates...", disponivel no menu
    "Help" do proprio software.

Mais informacoes:

. Mozilla Firefox Multiple Vulnerabilities (SA21906)
  http://secunia.com/advisories/21906/

. SANS ISC Handler's Diary September 15th 2006 - Get your fresh Firefox
updates
  http://www.isc.sans.org/diary.php?storyid=1702

. Known Vulnerabilities in Mozilla Products - Fixed in Firefox 1.5.0.7

http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox1.5.0.7

								
Categories: Uncategorized Tags:

[USN-346-2] Correção do linux-restricted-modules-2.6.15 para atualização anterior do kernel do Linux

09/14/2006 2 comments

Uma falha de segurança afeta os seguintes Ubuntu releases:

Ubuntu 6.06 LTS

Este alerta tambem se aplica as correspondentes versões do
Kubuntu, Edubuntu, e Xubuntu.

O problema poderá ser corrigido atualizando as seguintes versões dos pacotes:

Ubuntu 6.06 LTS:
avm-fritz-firmware-2.6.15-26 2.6.15.11-4
avm-fritz-kernel-source 2.6.15.11-4
fglrx-control 2.6.15.11-4
fglrx-kernel-source 2.6.15.11-4
linux-restricted-modules-2.6.15-26-386 2.6.15.11-4
linux-restricted-modules-2.6.15-26-686 2.6.15.11-4
linux-restricted-modules-2.6.15-26-amd64-generic 2.6.15.11-4
linux-restricted-modules-2.6.15-26-amd64-k8 2.6.15.11-4
linux-restricted-modules-2.6.15-26-amd64-xeon 2.6.15.11-4
nic-restricted-firmware-2.6.15-26-386-di 2.6.15.11-4
nic-restricted-firmware-2.6.15-26-amd64-generic-di 2.6.15.11-4
nic-restricted-modules-2.6.15-26-386-di 2.6.15.11-4
nic-restricted-modules-2.6.15-26-amd64-generic-di 2.6.15.11-4
nvidia-glx 2.6.15.11-4
nvidia-glx-dev 2.6.15.11-4
nvidia-glx-legacy 2.6.15.11-4
nvidia-glx-legacy-dev 2.6.15.11-4
nvidia-kernel-source 2.6.15.11-4
nvidia-legacy-kernel-source 2.6.15.11-4
xorg-driver-fglrx 2.6.15.11-4
xorg-driver-fglrx-dev 2.6.15.11-4

Depois da atualização padrão do sistema será necessário reiniciar o seu computador para que as mudanças façam efeito.

Detalhes abaixo:

USN-346-1 provê uma atualização do kernel do Linux para corrigir falhas de segurança
. Infelizmente a atualização danificou o driver ‘nvidia’ do linux-restricted-modules.
Está atualização corrige este problema. Nós pedimos desculpa pelo incoveniente.

Está na hora do velho e bom sudo apt-get update && sudo apt-get dist-upgrade

Mantenham seus sistemas atualizados

Ubuntu Brazilian Security Team

Categories: Uncategorized Tags:

Múltiplas Vulnerabilidades no Bind9

09/13/2006 2 comments
Uma das vulnerabilidades esta' presente na maneira como algumas versoes
de
BIND tratam Resource Record Sets (RRsets) do tipo DNS Security
Extensions
(DNSSEC). Outra vulnerabilidade existe na maneira como o BIND trata
consultas recursivas. Um atacante que explore estas vulnerabilidades
com
sucesso pode causar uma condicao de negacao de servico (DoS) no servico
DNS.

Sistemas afetados:

. BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3b1 e 9.3.3rc1
. BIND 9.4.0a1, 9.4.0a2, 9.4.0a3, 9.4.0a4, 9.4.0a5, 9.4.0a6 e 9.4.0b1

Correcoes disponiveis:

Recomenda-se fazer a atualizacao para as versoes BIND 9.4.0b2, BIND
9.3.3rc2, BIND 9.3.2-P1, BIND 9.2.7rc1 ou BIND 9.2.6-P1 (ou mais
recente):

. ISC BIND - Downloads
  http://www.isc.org/index.pl?/sw/bind/

Mais informacoes:

. 172003/NISCC/BIND9 - Multiple DoS Vulnerabilities in the BIND 9
  http://www.niscc.gov.uk/niscc/docs/re-20060905-00590.pdf?lang=en

. BIND Vulnerabilities - BIND: Multiple DoS vulnerabilities
  http://www.isc.org/index.pl?/sw/bind/bind-security.php

. Q-303: Multiple DoS Vulnerabilities in the BIND 9 Software
  http://www.ciac.org/ciac/bulletins/q-303.shtml

. SANS ISC Handler's Diary September 6th 2006 - Internet Systems
  Consortium BIND Denial of Service Vulnerabilities
  http://isc.sans.org/diary.php?storyid=1676

. Bugtraq ID 19859 - ISC BIND Multiple Remote Denial of Service
Vulnerabilities
  http://www.securityfocus.com/bid/19859

. VU#915404 - BIND vulnerable to an assertion failure when querying for
SIG records
  http://www.kb.cert.org/vuls/id/915404

. VU#697164 - BIND vulnerable to an INSIST failure via sending of
multiple recursive queries
  http://www.kb.cert.org/vuls/id/697164

Identificador CVE (http://www.cve.mitre.org): CVE-2006-4095,
CVE-2006
Mantenham seus sistemas atualizados.
Ubuntu Brazilian Security Team
Categories: Uncategorized Tags:

[USN-344-1] Vulnerabilidade no X.org

Uma falha de segurança afeta os seguintes Ubuntu releases:

Ubuntu 5.04
Ubuntu 5.10
Ubuntu 6.06 LTS

Este avso tambem se aplica as correspondentes versões do Kubuntu, Edubuntu, and Xubuntu.

O problema será corrigido atualizando as seguintes versões dos pacotes:

Ubuntu 5.04:
libfs6 6.8.2-10.4
xserver-xorg 6.8.2-10.4

Ubuntu 5.10:
libxfont1 1:0.99.0+cvs.20050909-1.2

Ubuntu 6.06 LTS:
libxfont1 1:1.0.0-0ubuntu3.2

Após a atualização padrão do sistema será necessário reiniciar sua sessão X para efetuar as mudanças necessárias.

Detalhes abaixo:

O centro de segurança iDefense encontrou falhas de overflows integer na biblioteca de fontes do
X.org. Usando especialmente o arquivo de fonte Type1 CID, um usuário local poderá exploitar e derrubar o servidor X ou executar códigos arbitrários com previlégios administrativos ( root ).

Links para os pacotes atualizados estão na seção Alertas do wiki.ubuntubrasil.org/Seguranca

Está na hora do velho e bom sudo apt-get update && sudo apt-get dist-upgrade

Mantenham seus sistemas atualizados.

Ubuntu Brazilian Security Team.

Categories: Uncategorized Tags:
Follow

Get every new post delivered to your Inbox.