TechfreeA Tecnologia pode ser livre

A SSASec é um encontro informal de profissionais, estudantes, pesquisadores, hackers e interessados em geral por segurança da informação, visando a troca de experiência, networking e como uma forma de nos mantermos atualizados sobre os assuntos ligados a área.

O conceito de CitySec foi criado por Richard Bejtlich, Chris Walsh e Adam Shostack do Emergent Chaos e pela Matasano. Atualmente estes encontros são realizados nas cidades de Campinas ( CamSec ), São Paulo ( SampaSec ), Vitória ( VitoriaSec ), Porto Alegre ( PoASec ), Londrina ( LondrinaSec ).

O principal objetivo é iniciar uma comunidade ativa e participativa permitindo que estes encontros ocorram frequentemente independentemente do local ou de uma agenda pré-estabelecida.

Nosso 1o. encontro ocorrerá dia 07/05 ( sábado ) apartir das 09:00 horas no prédio da Pósgraduação da Unijorge localizado no Stiep.

Não deixe para se inscrever na última hora o espaço está limitado a 50 participantes.

Fonte – Alexos Core Labs

Começou o Call for Papers do OWASP AppSec Brasil 2010, veja abaixo a reprodução da chamada em  português.

APPSEC BRASIL 2010

CHAMADA DE TRABALHOS

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes tópicos de interesse:

• Modelagem de ameaças em aplicações (Application Threat Modeling)
• Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
• Aplicações de Revisões de Código (Hands-on Source Code Review)
• Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
• Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
• Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
• Práticas de Programação Segura (Secure Coding Practices)
• Programas de Segurança para todo o Ciclo de Vida de aplicações
• (Secure Development Lifecycle Programs)
• Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
• Controles de Segurança para aplicações Web (Web Application Security countermeasures)
• Testes de Segurança de aplicações Web (Web Application Security Testing)
• Segurança de Web Services ou XML (Web Services, XML and Application Security)

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip, que deve ser enviado através da página da conferência no site Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010

Cada apresentação terá 45 minutos de duração, seguidos de 10 minutos para perguntas da platéia. Todas as apresentações deverão estar em conformidade com as regras definidas pelo OWASP em seu “Speaker Agreement”.

Datas importantes:

• A data limite para apresentação de propostas é 17 de agosto de 2010 às 23:59, horário de Brasília.
• A notificação de aceitação ocorrerá até o dia 8 de setembro de 2010.
• A versão final das apresentações deverá ser enviada até o dia 30 de setembro de 2010.

A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:

• Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
• OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
• Página do OWASP: http://www.owasp.org
• Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
• Formulário para apresentação de propostas: http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip

ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário

Favor divulgar a todos os possíveis interessados.

Retirado daqui.

Um fato, no mínimo inusitado, ocorreu nos últimos dias, por algum motivo ainda não conhecido, um código malicioso estava sendo distribuído junto a um software da empresa Energizer. Esse software é responsável por monitorar o nível de carga do equipamento Energizer DUO para a plataforma Microsoft Windows.

Read the rest of this entry »

Para quem não conhece, o Proftpd é um software responsável pelo serviço de FTP. Talvez um dos mais usados no ambiente Gnu/Linux.

Para instalar e começar usar o Proftpd é muito fácil, mas o que poucos sabem é que a sua configuração padrão, assim como em qualquer outro serviço, é focada apenas para experimentação, ou seja, em um ambiente de produção ele deve ser customizado, seja de acordo a carga de utilização de seu ambiente ou a sua segurança.

Irei tratar hoje sobre alguns aspectos de segurança desse serviço, que com pequenas alterações são resolvidos.

Todos as configurações explicadas abaixo serão encontradas no arquivo do proftpd, que geralmente está localizado em /etc/proftpd/proftpd.conf

• Evitar Footprinting

Footprinting é o processo de obter informações do alvo, antes de iniciar um ataque, sendo assim vamos dificultar essa coleta de informações adicionando a seguinte linha:

ServerIdent Off

• Tentativas de login

Para evitar que o invasor efetue a quantidade necessária de tentativas para “adivinhar” sua senha, adicione a seguinte linha no seu arquivo de configuração:

MaxLoginAttempts 3

• Inibir

O que poucas pessoas sabem é, que as vezes uma medida simples pode ter um retorno interessante.

As vezes um alerta antes de uma tentativa de acesso indevido é o bastante para afastar alguns tipos de invasores, ou ao menos deixá-los avisados que aquele servidor foi alvo de uma modificação com foco em segurança.

Crie dois arquivos em seu servidor, em um dos arquivos coloque um texto a ser exibido antes do usuário tentar efetuar logon e outro para após.

O texto que será exibido antes, deve conter um texto sério, que tem como objetivo demonstrar a seriedade da organização que hospeda o serviço e quais as implicações o invasor terá caso ele apenas tente efetuar uma invasão, ele ao menos pensará um pouco mais antes de iniciar um ataque para aquele ativo.

Para a mensagem que ficará antes do acesso adicione a seguinte linha:

DisplayConnect /home/ftp/texto_antes.msg

Para a mensagem que ficará depois, adicione a seguinte linha:

DisplayLogin /home/ftp/texto_depois.msg

Basicamente, essas são as medidas mais simples a serem tomadas com seu servidor FTP, que em minha opinião farão uma enorme diferença na utilização do seu serviço.

Existem outras medidas que podem ser aplicadas em sua configuração, mas como algumas delas divergem quanto ao fim devido do serviço, preferi me manter no básico.

Caso tenha mais alguma sugestão, pode comentar, atualizarei o post caso necessário.

Até a próxima!

Como muitos devem saber, o scanning de portas UDP funciona de forma distinta do TCP, pois tendo em vista que esse protocolo não é orientado a conexão, é necessário que haja algum tipo de interação entre o scanner e seu alvo.

Normalmente o Nmap funcionava da seguinte forma:

Caso uma porta não estivesse aberta, o alvo retorna um pacote ICMP (tipo 3, Código 3), sendo assim o Nmap entendia que aquela porta estava fechada, caso não houvesse resposta, algum tipo de firewall pode estar bloqueando a comunicação e assim o Nmap retornava da seguinte forma:

# nmap -sU -p123 192.168.122.254

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-28 13:17 Eastern Standard Time

Interesting ports on 192.168.122.254:
PORT STATE SERVICE
123/udp open|filtered ntp
MAC Address: 00:17:0E:0C:B7:61 (Cisco Systems)

Nmap done: 1 IP address (1 host up) scanned in 1.91 seconds

Para essa checagem é enviado um pacote não válido como requisição padrão, nesse caso o NTP.

Read the rest of this entry »

Como já expliquei nesse post, fui convidado por meu amigo Hugo a participar desse projeto de criação de uma ferramenta para hardening de servidores unix, na linguagem python.

Hugo Doria, o seu criador, fez um post em seu blog muito interessante, que explica bastante sobre a ferramenta em termos práticos.

Read the rest of this entry »

Em muitas empresas é comum utilizar produtos prontos em caixas, que têm interface web de fácil manipulação, tudo isso por um preço bem atrativo.

Na maioria dessas caixas, os fornecedores apenas criam a interface, sendo que o produto em si é um conjunto de softwares de mercado, na maioria dos casos sob a licença open source. Sendo assim o que temos é uma configuração realizada pelo fornecedor para integrar os mesmos, criando um único sistema.

Read the rest of this entry »

Com a descoberta da falha de renegociação em tráfego criptografado com SSL, e seus derivados, muitos dos serviços que utilizam esse protocolo ficaram também vulneráveis, pois como é uma falha no processo da comunicação cifrada, não há muito o que ser feito, a não ser corrigir o protocolo utilizado.

Para maiores detalhes sobre a falha da renegociação, veja esse link.

O Openvpn, que é um dos serviços que utilizam o OpenSSL, um dos derivados do SSL, lança hoje sua nova versão (2.1_rc22), com duas importantes mudanças:

Read the rest of this entry »

Sim, essa informação é assustadora, porém é um momento para reflexão. Estamos realmente nos preocupando com esse assunto?

De acordo com a NTA Monitor, a cada três websites que estão hospedados na internet um apresenta falhas graves de segurança em seu código. Dais quais podem ser exploradas por diversas técnicas de ataques.

Falando em técnicas de ataque, você sabe o que é SQL Injection? Não! Se você é o responsável pela segurança da sua empresa, deveria saber.

Read the rest of this entry »

É um absurdo como boa parte das empresas de TI ou não ainda não se preocupam com a segurança dos seus dados em trânsito.

Um dos grandes exemplos que povoou a mídia no ano passado foi o roubo do notebook da Petrobrás. A empresa não informou detalhes do problema de segurança, mas alguns acreditam que informações valiosas poderiam ser furtadas naquele episódio.

Veja que o maior problema nesse caso não é o custo do equipamento, e sim o sigilo da informação contida no mesmo. Algo que poderia valer mais do que um lote inteiro do notebook roubado.

Read the rest of this entry »