Archive

Archive for May, 2009

Configurando um DNS secundário com DNSsec habilitado no Debian Lenny

Aproveitando o material que compilei para as aulas que estou ministrando sobre serviços de internet Linux na Pós em Gestão de Segurança na Unijorge, resolvi criar este post complementando os anteriores sobre o DNSsec e a configuração do Bind9 no Debian.

Então segue um tutorial sobre como configurar um DNS secundário com DNSsec habilitado.

Aproveitem!

Execute os passos abaixo no servidor SLAVE

Instale o Bind9

aptitude install bind9

Crie o diretório /etc/bind/zones

mkdir /etc/bind/zones

Mude o dono e as permissões para este diretório

chown bind:bind /etc/bind/zones
chmod g+w /etc/bind/zones

Edite o arquivo /etc/bind/named.conf.options

vim /etc/bind/named.conf.options

Adcione a linha abaixo:

dnssec-enable yes;

Crie a chave que será compartilhada pelo servidores:

dnssec-keygen -a hmac-md5 -b 128 -n host acme.local

Acesse o arquivo .private que estará no /etc/bind, como no exemplo abaixo:

vim /etc/bind/Kacme.local.+157+47805.private

Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: fHRX4is1JElf9Al1v21odA==
Bits: AAA=

Guarde o hash da linha Key

Edite o arquivo /etc/bind/named.conf

vim /etc/bind/named.conf

Adicione a seguinte linha:

key “TRANSFER” {
algorithm hmac-md5;
secret “INFORME A CHAVE GERADA AQUI“;
};

Edite o arquivo /etc/bind/named.conf

vim /etc/bind/named.conf

Adicione a seguinte linha:

server 192.168.0.1 {
keys {
TRANSFER;
};
};

Edite o arquivo /etc/bind/named.conf.local

vim /etc/bind/named.conf.local

Adicione informações sobre o dominio

zone “acme.local” {
type slave;
file “/etc/bind/zones/slave_acme.local”;
masters { 192.168.0.1; };
allow-notify { 192.168.0.1; };
};

Edite o arquivo /etc/bind/named.conf

vim /etc/bind/named.conf

Adicione a linha

include “/etc/bind/rndc.key”;

Execute os passos abaixo no servidor MASTER

Edite o arquivo /etc/bind/named.conf.options

vim /etc/bind/named.conf.options

Adcione a linha abaixo:

dnssec-enable yes;

Edite o arquivo /etc/bind/named.conf

vim /etc/bind/named.conf

Adicione a seguinte linha:

key “TRANSFER” {
algorithm hmac-md5;
secret “INFORME A CHAVE GERADA NO SLAVE AQUI“;
};

Edite o arquivo /etc/bind/named.conf

vim /etc/bind/named.conf

Adicione a seguinte linha:

server 192.168.0.2 {
keys {
TRANSFER;
};
};

Edite o arquivo /etc/bind/named.conf

vim /etc/bind/named.conf

Adicione a linha

include “/etc/bind/rndc.key”;

Instale os pacotes necessários para sincronização da hora do sistema:

aptitude aptitude install ntp ntpdate

Atualize a hora

ntpdate ntp.pop-ba.rnp.br

Reinicie o Bind9

/etc/init.d/bind9 restart

Instale o ntpdate no slave e sincronize a hora com o master

ntpdate 192.168.0.1

Reinicie o Bind9

/etc/init.d/bind9 restart

Após reiniciar o Bind no slave o arquivo slave_acme.local deve surgir no diretório /etc/bind/zones. Se esse arquivo não for criado dê uma olhada no arquivo de log daemons.log e verifique o erro apresentado.

Fonte: HowtoForge

creysson.jpg

Jon “Maddog” Hall na Unijorge em Salvador ( Atualizado )

05/26/2009 5 comments

Aproveitando a vinda do Jon “Maddog” a Salvador para palestrar no 3o. Encontro Nordestino de Software Livre, eu e Ricardo Cropalato conseguimos um espacinho em sua agenda para uma palestra na Unijorge.

É isso o cachorro louco fará uma palestra na quinta-feira ( 28/05 ) às 21:00 no auditório do Zélia Gattai onde o tema será Free and Open Source in Education.

Alunos, ex-alunos da Unijorge e membros da comunidade de Software Livre da Bahia comparecam e vejam o que o nosso vovô tem a dizer.

225px-JonMaddogHallFlourish

Ubuntu sobrevive ao desafio hacker

05/26/2009 11 comments

Quando Charlie Miller chegou para tentar invadir o recém-lançado MacBook Air com o OS X 10.5.2 (Leopard) -o mais recente representante da linhagem dos sistemas operacionais que já teve fama de praticamente inviolável-, havia expectativa se ele conseguiria ser o primeiro hacker a vencer o desafio PWN TO OWN 2008. Miller já chamou o desafio de “Superbowl dos hackers”, em alusão à grande disputa do futebol americano.

Era o segundo dia do desafio. No primeiro, com regras mais rígidas, os três sistemas a serem desafiados -OS X, Ubuntu e Vista- passaram incólumes.

Enquanto Miller calmamente conectava seu desgastado MacBook Pro ao fininho Air, cerca de 20 pessoas se postaram à sua frente. Ele tinha 30 minutos para usar uma falha que o permitisse acessar, na vítima, um arquivo escolhido pela organização do evento.
Cerca de três minutos depois, ele disse: “Está feito”, para gritos e aplausos da platéia. “Foi fácil”, mas faltava checar.

Um dos organizadores -aquele que entrou em um site com um código malicioso criado por Miller, como permitia a regra para o segundo dia- sorriso no rosto, verificou aqui e ali. Estava feito.

Miller então teve que assinar um documento garantindo que ele não vazaria as informações sobre o bug antes que a falha utilizada fosse corrigida. Foi divulgado, apenas, que era um problema no Safari.

Miller já sabia o que fazer. “Trabalhei nisso [no bug] cerca de uma semana”, disse ele à Folha. Questionado se esse tipo de concurso não era prejudicial, pois jogava luzes sobre problemas que poderiam ser utilizados por criminosos, Miller respondeu: “Não. Agora a Apple vai conhecer a falha e corrigi-la. Se não fosse assim, ela continuaria lá. Como existem diversos outros bugs para serem explorados.”

Miller, que trabalha na empresa de segurança digital Independent Security Evaluators, é conhecido por ser um dos primeiros hackers a descobrir uma falha que permite invadir o iPhone.
Resta um

No terceiro dia, quando o Air já não estava na disputa, os computadores receberam populares programas desenvolvidos por terceiros -o navegador Firefox e o OpenOffice, por exemplo.

Depois de algumas horas tentando, um trio utilizando um MacBook Pro conseguiu explorar uma falha no Flash e invadir o Windows Vista. Restou intacto o Ubuntu, para a surpresa dos organizadores. Shane Macaulay, que ajudou a invadir o Vista, já havia contribuído para invadir um Mac no ano passado.

Fonte: Invasao.com.br

Hoje é o dia do orgulho NERD

05/25/2009 2 comments

É verdade o NERD também tem o seu dia.
E para felicitar todos os meus amigos Nerds e também para lembrar. Segue a lista de nossos direitos e deveres:

Direitos

1. O direito de ser ainda mais nerd.
2. O direito de não sair de casa.
3. O direto de não ter um par romântico e de ser virgem.
4. O direito de não gostar de futebol ou de qualquer outro esporte.
5. O direito de se associar a outros nerds.
6. O direito de ter poucos (ou nenhum) amigo.
7. O direito de ter tantos amigos nerds quanto quiser.
8. O direito de não ter que estar “no estilo”.
9. O direito ao sobrepeso (ou subpeso) e de ter problemas de vista.
10. O direito de expressar sua nerdice.
11. O direito de dominar o mundo.

Deveres

1. Ser nerd, não importa o quê.
2. Tentar ser mais nerd do que qualquer um.
3. Se há uma discussão sobre um assunto nerd, você tem que dar sua opinião.
4. Guardar todo e qualquer objeto nerd que você tenha.
5. Fazer todo o possível para exibir seus objetos nerds como se fosse um “museu da nerdice”.
6. Não ser um nerd genérico. Você tem que ser especialista em algo.
7. Assistir a qualquer filme nerd na noite de estréia e comprar qualquer livro nerd antes de todo mundo.
8. Esperar na fila em toda noite de estréia. Se puder ir fantasiado, ou pelo menos com uma camisa relacionada ao tema, melhor ainda.
9. Não perder seu tempo em nada que não seja relacionado à nerdice.
10. Tentar dominar o mundo!

CB009957

Categories: Uncategorized Tags: , ,

Dez falhas em Segurança da Informação!

05/14/2009 5 comments

Tenho observado que a maioria dos problemas de segurança da informação ocorrida em organizações está relacionada a um conjunto básico de falhas na implantação e desenvolvimento do processo de segurança da informação. Destaco as seguintes falhas mais comuns e mais graves em uma organização:

1. Não existência de uma estrutura de políticas, normas e procedimentos
Os regulamentos (políticas, normas e procedimentos) existem para explicitar como a organização deseja que o recurso informação deva ser tratado. Além do mais, como não temos legislação no Brasil em certos assuntos, por exemplo monitoramento de mensagem de correio eletrônico, a organização precisa dizer aos seus usuários com será tratado esta questão.

2. A gestão do controle de acesso permite uma identificação para uso comum.
Eu ainda fico admirado, mas, ainda encontro em muitas organizações identificações que não são individuais e são utilizadas por um grupo de usuários. Não me refiro aqui às situações de exceção. São casos normais de acesso à informação. Com esse acesso comum é muito difícil identificar qual usuário fez determinado acesso.

3. Não existência de gestor da informação.
Historicamente a área de tecnologia exercia a função de gestor da informação. Mas, mesmo nos anos iniciais da tecnologia da informação a área de informática deveria ser apenas um prestador de serviço, deveria ser o custodiante da informação. É fator crítico de sucesso para o processo de segurança da informação a existência do gestor da informação que deve ser a pessoa da área de negócio ou da área administrativa que á a responsável por aquela informação. É o gestor da informação que vai autorizar (ou negar) o acesso dos demais usuários da empresa àquela informação.

4. Planos de continuidade que são apenas belos documentos.
Planos de continuidade de negócio ou planos para situações de contingência devem ser um processo vivo. Mas, muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenário.

5. Registros de ações realizadas: não existem ou pouco tempo de guarda.
Registros para investigação (auditoria ou computação forense) precisam ter definidos sua existência e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado apenas um dia é muito pouco caso haja uma investigação sobre uma ação indevida nesta aplicação. Também é importante a existência do registro de tentativas de acesso e erros de identificação/senha.

6. Cópias de segurança: definição da informática.
As cópias de segurança devem existir por razões de recuperação do ambiente de tecnologia, requisitos legais, aspectos históricos e exigências de auditoria. Apenas o primeiro caso é de responsabilidade da área de tecnologia. Requisitos legais e necessidade de guarda por questões históricas devem ser definidos pela área de negócio. Exigências de auditoria devem ser definidas pelas auditorias internas ou externas.

7. Não existência de um gestor do processo de segurança.
A segurança da informação é uma responsabilidade de todos. Porém, um profissional deve ser responsável pela existência do processo de segurança da informação. Empresas de médio e grande porte podem ter um funcionário dedicado a esta função,evidentemente desde que ele tenha os pré requisitos para a mesma.

8. Não existência de uma gestão de risco.
Quando não existe uma gestão de risco, as análises de risco e de ameaças são feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organização deve ter uma gestão de risco contínua.

9. Não alinhamento da segurança com o negócio.
A segurança deve considerar as prioridades do negócio da organização. Mas lembro que as áreas de negócio e a direção da organização devem considerar a participação da segurança da informação em definições estratégicas. Evidentemente não falo aqui de situações de extremo segredo, como por exemplo, a junção de duas instituições financeiras.

10. Usuário: pouco treinamento e conscientização.
A pessoa humana é o fator determinante para o sucesso ou fracasso do processo de segurança da informação em uma organização. Cada usuário precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que não pode fazer.

Garanta que a sua organização não falha nestes dez itens citados. Se você conseguir isto com certeza sua organização terá um excelente nível de proteção da informação.

Fonte – Blog do Edison Fontes

Categories: Uncategorized Tags: , ,
Follow

Get every new post delivered to your Inbox.