Archive

Archive for February, 2008

Podcast com Mark Shuttleworth

02/27/2008 1 comment

Ouçam o podcast com o Mark Shuttleworth, onde ele fala sobre as raízes do Ubuntu, relacionamentos, o desejo de ampliar a colaboração na comunidade Linux e muito mais numa conversa com Jim Zemlin, diretor executivo da Linux Foundation.


mp3


ogg

Categories: Uncategorized Tags: ,

FLISOL-BA 2008 – Chamada de Trabalhos

02/27/2008 3 comments

Iniciamos a chamada de trabalhos para as palestras do FLISOL 2008 em Salvador. Os interessados devem acessar a twiki do evento para maiores informações.

Categories: Uncategorized Tags: ,

Pentest usando o Metasploit Framework

02/24/2008 3 comments

O Metasploit framework é um conjunto das melhores plataformas de aprendizagem e investigação para o profissional de segurança ou do hacker ético.
Ele possui centenas de exploits, payloads e ferramentas muito avançadas que nos permite testar vulnerabilidades em muitas plataformas, sistemas operacionais, e servidores.
Este framework deve ser utilizado com muita cautela e somente para fins éticos.

Veja a official release notes da versão 3.1

Inicialmente instale as dependências necessárias

sudo aptitude install ruby libruby rdoc libyaml-ruby libzlib-ruby libopenssl-ruby libdl-ruby libreadline-ruby libiconv-ruby rubygems libgtk2-ruby libglade2-ruby svn

Instale o Ruby on rails

sudo gem install -v=1.2.2 rails

* OBS: Eventualmente um erro de versão não encontrada ocorre durante a instalação do ruby, não se preocupe, tente instalar novamente.
Se você instalar uma versão mais atual do ruby, será necessário alterar o arquivo de configuração informando a versão instalada.

Instalando o Metasploit

mkdir -p ~/pentest/metasploit && cd ~/pentest/metasploit

sudo svn co http://metasploit.com/svn/framework3/trunk/

Para atualizá-lo

sudo svn update

Veja alguns videos de utilização do Metasploit Framework

creysson

Categories: Uncategorized Tags: , , , ,

Usando o Nikto webserver scanner

02/23/2008 4 comments

O Nikto é web server scanner escrito em perl usado para detectar vulnerabilidades em servidores web. Ele é muito simples de ser usado e atualizado gerando relatórios em txt,html e csv.

Baixando o Nikto

wget -c http://www.cirt.net/nikto/nikto-current.tar.gz

Não é necessário fazer a instalação do mesmo pois ele é um script perl.

Help do Nikto

-Cgidirs+ scan these CGI dirs: ‘none’, ‘all’, or values like “/cgi/ /cgi-a/”
-dbcheck check database and other key files for syntax errors (cannot be abbreviated)
-evasion+ ids evasion technique
-Format+ save file (-o) format
-host+ target host
-Help Extended help information
-id+ host authentication to use, format is userid:password
-mutate+ Guess additional file names
-output+ write output to this file
-port+ port to use (default 80)
-Display+ turn on/off display outputs
-ssl force ssl mode on port
-Single Single request mode
-timeout+ timeout (default 2 seconds)
-Tuning+ scan tuning
-update update databases and plugins from cirt.net (cannot be abbreviated)
-Version print plugin and database versions
-vhost+ virtual host (for Host header)
+ requires a value

Atualizando os plugins

./nikto.pl -update

Usando o Nikto

./nikto.pl -C all -host 200.128.X.X -o vitima.txt

– C all – Força a checagem de todos os diretórios em busca de cgi
– host – Ip da vitima
-o – Gera um arquivo de relatório

Relatório gerado

- Nikto 2.02/2.03 – cirt.net
+ Target IP: 200.128.X.X
+ Target Hostname: Vitima
+ Target Port: 80
+ Start Time: 2008-02-23 23:39:34
—————————————————————————
+ Server: Apache/2.0.54 (Win32) PHP/5.1.4
- Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP method (‘Allow’ Header): ‘TRACE’ is typically only used for debugging and should be disabled. This message does not mean it is vulnerable to XST.
+ Apache/2.0.54 appears to be outdated (current is at least Apache/2.2.6). Apache 1.3.39 and 2.0.61 are also current.
+ PHP/5.1.4 appears to be outdated (current is at least 5.2.5)
+ OSVDB-0: GET /………………/config.sys : PWS allows files to be read by prepending multiple ‘.’ characters. At worst, IIS, not PWS, should be used.
+ OSVDB-877: TRACE / : TRACE option appears to allow XSS or credential theft. See http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details
+ OSVDB-3092: GET /manual/ : Web server manual found.
+ OSVDB-3233: GET /index.html.var : Apache default foreign language file found. All default files should be removed from the web server as they may give an attacker additional system information.
+ OSVDB-3268: GET /icons/ : Directory indexing is enabled: /icons
+ OSVDB-3268: GET /manual/images/ : Directory indexing is enabled: /manual/images
+ OSVDB-6659: GET /h2vP3F1siX65X0gGCoedXf11K8PpZSTPQP599a3I4u0TTqw1nGlL616opBSyM7IxVsF3TVoyZtpH59PqXNhFuRiEw4wGseD97ZeeLbLfvLoQcijFLIvNLslTZt3nd687RcPNpahPUA2FAPgiuADL5939Ic4es2fwarKmkKfW2XJrkRrQtPaOMYZnPCGDzZ7pw8xJ8b56GiWdh2nxFw5GE8z6TOgSWfJDEFACED<!–//– : MyWebServer 1.0.2 is vulnerable to HTML injection. Upgrade to a later version.
+ 17457 items checked: 11 item(s) reported on remote host
+ End Time: 2008-02-24 0:32:00 (3192 seconds)
—————————————————————————
+ 1 host(s) tested
Read more…

Categories: Uncategorized Tags: , , , ,

Microsoft abre código de programas

02/22/2008 12 comments

A Microsoft acaba de anúnciar a abertura do código dos programas:

* Windows Vista;
* Windows Server 2008;
* SQL Server 2008;
* Office 2007;
* Exchange Server 2007;
e Office SharePoint 2007.

Ela tornará pública a informação técnica necessária em seu site e os programadores de software não precisarão pagar licenças nem outras taxas para ter acesso a ela.

Essa ação visa promover alguns princípios:

* Assegurar os códigos abertos;
* Promover a portabilidade de dados;
* Aumentar o apoio para os padrões industriais;
e buscar um compromisso mais aberto com clientes e indústria, incluindo as comunidades de código aberto.

Minha opinião:

a) A Microsoft deu as costas para a internet por muito tempo e após cair na real, veio como um lobo voraz acabando com o crescimento da Netscape com o péssimo IE.

b) S.O. e aplicativos estão se tornando uma comoditie com o advento da Web 2.0, do Google onde seus aplicativos estão disponíveis na internet e do movimento OpenSource.

c) O foco agora é informação, isso explica a “compra” do Yahoo, a criação de um aplicativo que “monitora” os sentimentos de um individuo.

d) Se redimir com a União Européia, que hoje é o seu tendão de aquiles;

e) A Novell se lascou!!!!

Opiniões?!?

Fonte: Terra Noticias

Categories: Uncategorized Tags: ,

Chamada da Trabalhos

O William Lima está convocando palestrantes para um evento ( Semana de Engenharia ) que ocorrerá em maio na faculdade onde ele estuda em São José do Rio Preto – SP.

Haverá ajuda de custo em transporte(terrestre), alimentação e hospedagem.

Nunca ocorreu nenhuma palestra sobre software livre neste evento, este é o momento ideal para apresentação de excelentes trabalhos.

Para obter maiores informações enviem uma mensagem para wildoidao@gmail.com.

Categories: Uncategorized Tags: ,

Backup fácil usando o Gspace+Gmail

02/07/2008 4 comments

Recentemente precisei dar uma guaribada no meu sistema, até ai está tudo tranquilo. O problema é que minha partição /home está criptografada e quando eu instalei o novo sistema meus dados ficaram inacessiveis.

Após algumas tentativas sem sucesso acabei perdendo meus dados e por incrivel que pareca eu não tinha um backup atualizado.

Como na vida cometer o mesmo erro 2 vezes é burrice, procurei uma solução simples e rápida para gerar um backup dos meus dados e achei o Gspace.

O Gspace é um plugin do firefox que funciona como um cliente de ftp, só precisa informar a conta do gmail, criei uma conta só para manter meus arquivos.

Com certeza agora posso ficar tranquilo em manter meu /home encriptado.

null

gspace

Categories: Uncategorized Tags: ,

Enfim…O ano começa

02/06/2008 1 comment

Finalmente o ano de 2008 começou de verdade, enfim acabaram-se todas as festividades que fazem da nossa capital a área de lazer do Brasil.

Tudo começa em Novembro e se estende até o “final” do carnaval. Então tudo para por aqui, não se fecha negócios, não se arruma emprego… tudo fica para depois do carnaval.

Eu odeio este periodo, posso parecer um louco dizendo isso já que nasci nesta terrinha onde 365 dias do ano é verão, onde qualquer coisa é sinônimo de festa. Eu odeio axé music e pagode com todas as minhas forças…. Ahhhhhh!!!!!!

Mudei minha vida totalmente, agora só estou lecionando à noite assim posso passar mais tempo com meus filhos e acompanhar o crescimento deles e estudar mais.

Nos horários livres posso fazer algumas consultorias. Vejo as oportunidades de emprego de forma mais seletiva já que estou dando prioridade aos que me dão flexibilidade de horário e que eu possa trabalhar em casa.

Como hobby estou fazendo a coleção das séries Dragonball, DBZ e DBGT e estou achando o máximo.

Então é isso ai, agora é andar para frente e pronto!!!

Categories: Uncategorized Tags:
Follow

Get every new post delivered to your Inbox.