Archive
Saiu do forno – OSSEC v2.1
O Ossec HIDS faz parte do meu dia a dia a um bom tempo. Ele é o cara que me mostra se tudo está correndo bem nos servidores que monitoro, permitindo sempre uma ação pró-ativa.
O Ossec é ferramenta básica para qualquer Sysadmin que não quer ser pego de surpresa. Hoje saiu um novo release dessa excelente ferramenta.
Veja as novas features disponibilizadas:
* Configuração Centralizada
* Reinicialização do agente remotamente
* Checagem de integridade em tempo real
* Novo suporte a regras de log
Mais informações no changelog
Ubuntu sobrevive ao desafio hacker
Quando Charlie Miller chegou para tentar invadir o recém-lançado MacBook Air com o OS X 10.5.2 (Leopard) -o mais recente representante da linhagem dos sistemas operacionais que já teve fama de praticamente inviolável-, havia expectativa se ele conseguiria ser o primeiro hacker a vencer o desafio PWN TO OWN 2008. Miller já chamou o desafio de “Superbowl dos hackers”, em alusão à grande disputa do futebol americano.
Era o segundo dia do desafio. No primeiro, com regras mais rígidas, os três sistemas a serem desafiados -OS X, Ubuntu e Vista- passaram incólumes.
Enquanto Miller calmamente conectava seu desgastado MacBook Pro ao fininho Air, cerca de 20 pessoas se postaram à sua frente. Ele tinha 30 minutos para usar uma falha que o permitisse acessar, na vítima, um arquivo escolhido pela organização do evento.
Cerca de três minutos depois, ele disse: “Está feito”, para gritos e aplausos da platéia. “Foi fácil”, mas faltava checar.Um dos organizadores -aquele que entrou em um site com um código malicioso criado por Miller, como permitia a regra para o segundo dia- sorriso no rosto, verificou aqui e ali. Estava feito.
Miller então teve que assinar um documento garantindo que ele não vazaria as informações sobre o bug antes que a falha utilizada fosse corrigida. Foi divulgado, apenas, que era um problema no Safari.
Miller já sabia o que fazer. “Trabalhei nisso [no bug] cerca de uma semana”, disse ele à Folha. Questionado se esse tipo de concurso não era prejudicial, pois jogava luzes sobre problemas que poderiam ser utilizados por criminosos, Miller respondeu: “Não. Agora a Apple vai conhecer a falha e corrigi-la. Se não fosse assim, ela continuaria lá. Como existem diversos outros bugs para serem explorados.”
Miller, que trabalha na empresa de segurança digital Independent Security Evaluators, é conhecido por ser um dos primeiros hackers a descobrir uma falha que permite invadir o iPhone.
Resta umNo terceiro dia, quando o Air já não estava na disputa, os computadores receberam populares programas desenvolvidos por terceiros -o navegador Firefox e o OpenOffice, por exemplo.
Depois de algumas horas tentando, um trio utilizando um MacBook Pro conseguiu explorar uma falha no Flash e invadir o Windows Vista. Restou intacto o Ubuntu, para a surpresa dos organizadores. Shane Macaulay, que ajudou a invadir o Vista, já havia contribuído para invadir um Mac no ano passado.
Fonte: Invasao.com.br
Dez falhas em Segurança da Informação!
Tenho observado que a maioria dos problemas de segurança da informação ocorrida em organizações está relacionada a um conjunto básico de falhas na implantação e desenvolvimento do processo de segurança da informação. Destaco as seguintes falhas mais comuns e mais graves em uma organização:
1. Não existência de uma estrutura de políticas, normas e procedimentos
Os regulamentos (políticas, normas e procedimentos) existem para explicitar como a organização deseja que o recurso informação deva ser tratado. Além do mais, como não temos legislação no Brasil em certos assuntos, por exemplo monitoramento de mensagem de correio eletrônico, a organização precisa dizer aos seus usuários com será tratado esta questão.2. A gestão do controle de acesso permite uma identificação para uso comum.
Eu ainda fico admirado, mas, ainda encontro em muitas organizações identificações que não são individuais e são utilizadas por um grupo de usuários. Não me refiro aqui às situações de exceção. São casos normais de acesso à informação. Com esse acesso comum é muito difícil identificar qual usuário fez determinado acesso.3. Não existência de gestor da informação.
Historicamente a área de tecnologia exercia a função de gestor da informação. Mas, mesmo nos anos iniciais da tecnologia da informação a área de informática deveria ser apenas um prestador de serviço, deveria ser o custodiante da informação. É fator crítico de sucesso para o processo de segurança da informação a existência do gestor da informação que deve ser a pessoa da área de negócio ou da área administrativa que á a responsável por aquela informação. É o gestor da informação que vai autorizar (ou negar) o acesso dos demais usuários da empresa àquela informação.4. Planos de continuidade que são apenas belos documentos.
Planos de continuidade de negócio ou planos para situações de contingência devem ser um processo vivo. Mas, muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenário.5. Registros de ações realizadas: não existem ou pouco tempo de guarda.
Registros para investigação (auditoria ou computação forense) precisam ter definidos sua existência e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado apenas um dia é muito pouco caso haja uma investigação sobre uma ação indevida nesta aplicação. Também é importante a existência do registro de tentativas de acesso e erros de identificação/senha.6. Cópias de segurança: definição da informática.
As cópias de segurança devem existir por razões de recuperação do ambiente de tecnologia, requisitos legais, aspectos históricos e exigências de auditoria. Apenas o primeiro caso é de responsabilidade da área de tecnologia. Requisitos legais e necessidade de guarda por questões históricas devem ser definidos pela área de negócio. Exigências de auditoria devem ser definidas pelas auditorias internas ou externas.7. Não existência de um gestor do processo de segurança.
A segurança da informação é uma responsabilidade de todos. Porém, um profissional deve ser responsável pela existência do processo de segurança da informação. Empresas de médio e grande porte podem ter um funcionário dedicado a esta função,evidentemente desde que ele tenha os pré requisitos para a mesma.8. Não existência de uma gestão de risco.
Quando não existe uma gestão de risco, as análises de risco e de ameaças são feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organização deve ter uma gestão de risco contínua.9. Não alinhamento da segurança com o negócio.
A segurança deve considerar as prioridades do negócio da organização. Mas lembro que as áreas de negócio e a direção da organização devem considerar a participação da segurança da informação em definições estratégicas. Evidentemente não falo aqui de situações de extremo segredo, como por exemplo, a junção de duas instituições financeiras.10. Usuário: pouco treinamento e conscientização.
A pessoa humana é o fator determinante para o sucesso ou fracasso do processo de segurança da informação em uma organização. Cada usuário precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que não pode fazer.Garanta que a sua organização não falha nestes dez itens citados. Se você conseguir isto com certeza sua organização terá um excelente nível de proteção da informação.
Fonte – Blog do Edison Fontes
Worm Conficker é responsável pela maior rede zumbi do mundo
Faz algum tempo que não me atualizo muito sobre vírus, a cada dia vejo novas pragas surgindo mas nenhuma dessas pragas virtuais fizeram tanto alarde e tanta movimentação e acredito que muito estrago quanto o Conficker.
Especialistas em segurança criaram a Conficker Working Group, entidade responsável por acompanhar e combater o worm.
“Segundo eles, o vírus contaminou 4,6 milhões máquinas. As variantes A e B da praga respondem por 3,4 milhões dos computadores contaminados. A variante C, que deveria ter se ativado em 1º de abril, atacou outros 1,2 milhão de PCs. China, Brasil e Rússia são os países mais afetados.” diz a IDG Segurança
Lembrando que a versão 4.85BETA7 do Nmap possui um recurso de busca de máquinas infectadas pelo Conficker na rede.
Leia mais em IDG-Segurança
Telefônica está sendo atacada
Especialistas da Trend Micro e F-secure informam que a Telefônica vêm sofrendo ataques em massa em sua infra-estrutura. Os ataques que estão sendo realizados de forma distribuida e planejada vem prejudicando a dias o acesso de banda larga Speedy
“Os ataques congestionaram os servidores da Telefônica, impedindo que a operadora pudesse prestar o serviço. Por meio de comunicado, a companhia admitiu que foi alvo “de ações deliberadas e de origem externa”, mas não mencionou abertamente que estava sendo atacada por crackers.” Segundo a IDG Segurança
Não é a primeira e não vai ser a última vez que a Telefônica sofre problemas em sua infra-estrutura .
Fonte: IDG Now – Segurança
Localizando máquinas infectadas com o worm Conficker
No dia 1o. abril todas as midias estavam focadas em um único assunto relacionado a redes e internet. Todo o planeta estava em alerta por causa da ação de um worm chamado Conficker.
No Slashdot e em todos os sites especializados no assunto segurança da informação surgiam a cada momento novos posts sobre este o worm,.
Isto me lembra muito cerca de 09 anos atrás um worm devastador chamado Sircam, esse cara fez um estrago imenso na rede Petrobrás onde eu trabalhava na época.
Porém como não poderia deixar ser Fyodor e sua trupe criaram uma nova feature no NMAP. Esta feature permite scanear uma rede a procura por hosts infectados com o worm Conficker. .
Para isso digite o seguinte comando:
nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 [Rede_Alvo]
Se a máquina estiver limpa surgirá o aviso: Conficker: Likely CLEAN, senão surigirá Conficker: Likely INFECTED
Divirtam-se!!!
Google usado para vazar dados de cartões de crédito
Que o Google é uma excelente ferramenta e facilita nas atividades do dia a dia todos sabem, porém existe também o “lado negro da força” e por isso fiz uma série de posts[1] [2] [3] falando sobre como usar o Google como ferramenta para adquirir informações privilégiadas.
“Os detalhes dos cartões de crédito de 19 mil britânicos que compraram online recentemente vazaram no Google.co.uk. O buscador confirmou, nesta segunda-feira (30/03), que os dados foram removidos dos resultados.
O mecanismo de busca mostrava, além do nome e endereço de clientes da Visa, Mastercard e American Express, todos os detalhes dos cartões. Presume-se que criminosos tornaram as informações públicas ao tentarem vendê-las.”
Leia mais IDG-Segurança
MacBook invadido em 10 segundos
“O pesquisador de segurança Charlie Miller invadiu um Mac em menos de 10 segundos. Miller foi o vencedor do concurso para hackers da CanSecWest no ano passado, quando invadiu um notebook da Apple em dois minutos e levou para casa o prêmio de 10 mil dólares.
Nesta edição, o pesquisador melhorou consideravelmente seu tempo e conquistou o prêmio novamente. Além de 5 mil dólares em dinheiro, ele ganhou o MacBook que invadiu na competição.
“Não posso falar os detalhes da vulnerabilidade, mas este era um Mac, completamente reparado, com Safari também com suas falhas corrigidas”, disse Miller na quarta-feira (18/03), logo após o fim do concurso. “Levei cerca de cinco ou dez segundos”, declarou ele afirmando que havia pesquisado e escrito o código de exploração da falha antes de chegar ao local do desafio.
Há duas semanas, Miller havia previsto que o Safari rodando no Mac seria alvo fácil no concurso de hackers.”
Leia mais em IDG-Segurança
Vulnerabilidades no Apache
Foram encontradas vulnerabilidades no Apache Web Server que atingem os seguintes sistemas:
Ubuntu 6.06 LTS
Ubuntu 7.10
Ubuntu 8.04 LTS
As vulnerabilidades encontradas permitem que um atacante remoto explore-a modificando contéudo ou obtendo dados confidenciais, ataques de cross-site scripting e DoS.
Para maiores informações sobre estas e outras vulnerabilidades acessem a seção ALERTAS na wiki page do Time de Segurança.
Vulnerabilidade no NetworkManager
Foi encontrada uma vulnerabilidade no NetworkManager que afeta os seguintes sistemas:
Ubuntu 6.06 LTS
Ubuntu 8.10
O NetworkManager não executa corretamente as pesmissões quando reponde a requisições do dbus, esta vulnerabilidade permite que um usuário local faça consultas para ver senhas e chaves pré-compartilhadas do sistema.
Para maiores informações sobre estas e outras vulnerabilidades acessem a seção ALERTAS na wiki page do Time de Segurança.
Banners
Selos
Debian Administration
- Look before you leap into Disk Encryption
- Debian 7.0, "Wheezy" released
- A brief introduction to the beanstalkd queue
- Writing a simple indexer and searcher with Lucy::Simple
- The next release of Debian GNU/Linux is due soon ..
