O conceito de CitySec foi criado por Richard Bejtlich, Chris Walsh e Adam Shostack do Emergent Chaos e pela Matasano. Atualmente estes encontros são realizados nas cidades de Campinas ( CamSec ), São Paulo ( SampaSec ), Vitória ( VitoriaSec ), Porto Alegre ( PoASec ), Londrina ( LondrinaSec ).

O principal objetivo é iniciar uma comunidade ativa e participativa permitindo que estes encontros ocorram frequentemente independentemente do local ou de uma agenda pré-estabelecida.

Nosso 1o. encontro ocorrerá dia 07/05 ( sábado ) apartir das 09:00 horas no prédio da Pósgraduação da Unijorge localizado no Stiep.

Não deixe para se inscrever na última hora o espaço está limitado a 50 participantes.

Fonte – Alexos Core Labs

APPSEC BRASIL 2010

CHAMADA DE TRABALHOS

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes tópicos de interesse:

• Modelagem de ameaças em aplicações (Application Threat Modeling)
• Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
• Aplicações de Revisões de Código (Hands-on Source Code Review)
• Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
• Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
• Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
• Práticas de Programação Segura (Secure Coding Practices)
• Programas de Segurança para todo o Ciclo de Vida de aplicações
• (Secure Development Lifecycle Programs)
• Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
• Controles de Segurança para aplicações Web (Web Application Security countermeasures)
• Testes de Segurança de aplicações Web (Web Application Security Testing)
• Segurança de Web Services ou XML (Web Services, XML and Application Security)

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip, que deve ser enviado através da página da conferência no site Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010

Cada apresentação terá 45 minutos de duração, seguidos de 10 minutos para perguntas da platéia. Todas as apresentações deverão estar em conformidade com as regras definidas pelo OWASP em seu “Speaker Agreement”.

Datas importantes:

• A data limite para apresentação de propostas é 17 de agosto de 2010 às 23:59, horário de Brasília.
• A notificação de aceitação ocorrerá até o dia 8 de setembro de 2010.
• A versão final das apresentações deverá ser enviada até o dia 30 de setembro de 2010.

A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:

• Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
• OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
• Página do OWASP: http://www.owasp.org
• Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
• Formulário para apresentação de propostas: http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip

ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário

Favor divulgar a todos os possíveis interessados.

Retirado daqui.

De acordo com a US-CERT, o software instalado insere dois arquivos .dll no sistema hospedeiro (UsbCharger.dll e Arucer.dll). Após instalado o software utiliza UsbCharger.dll para prover comunicação com a porta USB, ela também é responsável por executar Arucer.dll via o mecanismo rundll32.exe do Windows .

Obs : O software \Windows\system32\rundll32.exe é um arquivo confiável do Windows, mas pode ser usado para fins não tão confiáveis, como é esse o caso.

Agora temos o segundo problema. Caso a maquina seja da versão XP SP2 ou superior, ele será provida de um firewall pessoal, porém esse firewall irá acusar que o rundll32.exe irá utilizar uma dll como um aplicativo, algo bastante utilizado por outros software relativamente confiáveis, mas não necessariamente correto (essa discussão fica pra outro post).

Caso o usuário escolha a opção de desbloquear, esse tipo de comportamento será aceitável, assim novos malwares que usam a mesma técnica não terão esse obstáculo. Cuidado!

Uma vez em execução como aplicativo, será aberta uma porta TCP 7777, que possibilitará que comandos possam ser enviados remotamente.

Vale atentar que a biblioteca Arucer.dll não é novidade, ela foi criada em 2007.

A empresa Energizer junto com a US-CERT trabalha com a hipótese de que o software foi modificado após liberado para download.

Caso você esteja com o software instalado, a empresa aconselha que o mesmo seja removido imediatamente, que o problema será resolvido, mas não é tão simples, procure e remova o arquivo Arucer.dll e reinicie a sua máquina para ter certeza que o malware seja removido.

Caso esteja com a opção de utilizar dll como aplicativo em seu firewall Windows, remova essa opção para evitar futuros ataques.

Você é um administrador de rede e deseja procurar se existe alguém infectado em sua rede? Use o nmap ou metasploit para esse trabalho.

Você tem um servidor SNORT em sua rede? Use as regras abaixo para verificar se existe algum infectado em sua rede:

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer Command Execution”; flow:established; content:”|C2 E5 E5 E5 9E DD A4 A3 D4 A6 D4 D3 D1 C8 A0 A7 A1 D3 C8 D1 87 D7 87 C8 A7 A6 D4 A3 C8 D3 D1 D3 D2 D1 A0 DC DD A4 D2 D4 D5 98 E5|”; classtype:trojan-activity; sid:1000004; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer DIR Listing”; flow:established; content:”|C2 E5 E5 E5 9E D5 D4 D2 D1 A1 D7 A3 A6 C8 D2 A6 A7 D3 C8 D1 84 D7 D7 C8 DD D2 A6 D2 C8 D2 A7 A7 D2 D7 A4 D6 D7 A3 D4 DC A3 98 E5|”; classtype:trojan-activity; sid:1000005; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer WRITE FILE command”; flow: established; content:”|C2 E5 E5 E5 9E DC DD A1 DC D0 DD A3 A6 C8 A1 D5 A4 D7 C8 D1 83 D4 86 C8 A7 DD D1 D4 C8 D7 D6 D7 A4 A7 D6 D0 D2 A0 D2 A6 DD 98 E5|”; classtype:trojan-activity; sid:1000006; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer READ FILE Command”; flow:established; content:”|C2 E5 E5 E5 9E A3 D3 A6 D1 D6 A0 D4 A4 C8 D4 D0 D0 D4 C8 D1 D5 D5 D5 C8 A4 D1 DD D6 C8 A6 D6 D3 D4 DC D3 DC A4 A0 A6 D1 D4 98 E5|”; classtype:trojan-activity; sid:1000007; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer NOP Command”; flow:established; content:”|C2 E5 E5 E5 9E D2 DD D6 A0 A4 A6 A7 A3 C8 A0 A3 DD A7 C8 D1 DC DD 80 C8 A4 D5 D0 DC C8 A3 D5 A7 D0 A7 A1 D4 D7 D3 D1 D4 A0 98 E5|”; classtype:trojan-activity; sid:1000008; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer FIND FILE Command”; flow:established; content:”|C2 E5 E5 E5 9E A0 A4 D2 A4 D7 A0 A7 D2 C8 D4 A0 D1 DC C8 D1 81 D0 83 C8 A7 D1 A1 DD C8 A1 D3 D3 D1 D0 A7 D2 D1 D1 D5 A0 D6 98 E5|”; classtype:trojan-activity; sid:1000009; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer YES Command”; flow:established; content:”|C2 E5 E5 E5 9E A0 D7 A4 A6 D0 D5 DD DC C8 D6 DD D7 D5 C8 D1 D6 83 80 C8 DD A4 D1 A1 C8 A4 D2 D5 D7 DD A3 A4 A1 DD A6 D7 DD 98 E5|”; classtype:trojan-activity; sid:1000010; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer ADD RUN ONCE Command”; flow:established; content:”|C2 E5 E5 E5 9E D6 DD D1 A0 A7 A0 D7 A6 C8 A3 DC A0 A4 C8 D1 83 D3 87 C8 DC D1 A0 A3 C8 A6 DC A1 D7 A1 A4 D0 DD A3 A1 D4 D6 98 E5|”; classtype:trojan-activity; sid:1000011; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer DEL FILE Command”; flow:established; content:”|C2 E5 E5 E5 9E D1 A3 D1 A3 D5 A1 DD DD C8 A0 D2 D4 D0 C8 D1 87 D4 83 C8 A7 D6 D4 D4 C8 D3 D4 A0 D0 D6 D5 A6 D7 A6 DD A3 A6 98 E5|”; classtype:trojan-activity; sid:1000012; rev:2;

Fonte : SANS Diary

Outras referências:

http://www.threatexpert.com/report.aspx?md5=3f4f10b927677e45a495d0cdd4390aaf

http://www.kb.cert.org/vuls/id/154421

http://www.marketwatch.com/story/energizer-announces-duo-charger-and-usb-charger-software-problem-2010-03-05

Para instalar e começar usar o Proftpd é muito fácil, mas o que poucos sabem é que a sua configuração padrão, assim como em qualquer outro serviço, é focada apenas para experimentação, ou seja, em um ambiente de produção ele deve ser customizado, seja de acordo a carga de utilização de seu ambiente ou a sua segurança.

Irei tratar hoje sobre alguns aspectos de segurança desse serviço, que com pequenas alterações são resolvidos.

Todos as configurações explicadas abaixo serão encontradas no arquivo do proftpd, que geralmente está localizado em /etc/proftpd/proftpd.conf

• Evitar Footprinting

Footprinting é o processo de obter informações do alvo, antes de iniciar um ataque, sendo assim vamos dificultar essa coleta de informações adicionando a seguinte linha:

ServerIdent Off

• Tentativas de login

Para evitar que o invasor efetue a quantidade necessária de tentativas para “adivinhar” sua senha, adicione a seguinte linha no seu arquivo de configuração:

MaxLoginAttempts 3

• Inibir

O que poucas pessoas sabem é, que as vezes uma medida simples pode ter um retorno interessante.

As vezes um alerta antes de uma tentativa de acesso indevido é o bastante para afastar alguns tipos de invasores, ou ao menos deixá-los avisados que aquele servidor foi alvo de uma modificação com foco em segurança.

Crie dois arquivos em seu servidor, em um dos arquivos coloque um texto a ser exibido antes do usuário tentar efetuar logon e outro para após.

O texto que será exibido antes, deve conter um texto sério, que tem como objetivo demonstrar a seriedade da organização que hospeda o serviço e quais as implicações o invasor terá caso ele apenas tente efetuar uma invasão, ele ao menos pensará um pouco mais antes de iniciar um ataque para aquele ativo.

Para a mensagem que ficará antes do acesso adicione a seguinte linha:

DisplayConnect /home/ftp/texto_antes.msg

Para a mensagem que ficará depois, adicione a seguinte linha:

DisplayLogin /home/ftp/texto_depois.msg

Basicamente, essas são as medidas mais simples a serem tomadas com seu servidor FTP, que em minha opinião farão uma enorme diferença na utilização do seu serviço.

Existem outras medidas que podem ser aplicadas em sua configuração, mas como algumas delas divergem quanto ao fim devido do serviço, preferi me manter no básico.

Caso tenha mais alguma sugestão, pode comentar, atualizarei o post caso necessário.

Até a próxima!

Normalmente o Nmap funcionava da seguinte forma:

Caso uma porta não estivesse aberta, o alvo retorna um pacote ICMP (tipo 3, Código 3), sendo assim o Nmap entendia que aquela porta estava fechada, caso não houvesse resposta, algum tipo de firewall pode estar bloqueando a comunicação e assim o Nmap retornava da seguinte forma:

# nmap -sU -p123 192.168.122.254

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-28 13:17 Eastern Standard Time

Interesting ports on 192.168.122.254:
PORT STATE SERVICE
123/udp open|filtered ntp
MAC Address: 00:17:0E:0C:B7:61 (Cisco Systems)

Nmap done: 1 IP address (1 host up) scanned in 1.91 seconds

Para essa checagem é enviado um pacote não válido como requisição padrão, nesse caso o NTP.

O problema é que ao receber esse pacote mal formado, o servidor NTP simplesmente descarta esse pacote, ou seja, não temos certeza se a porta está filtrada por um firewall ou aberta.

A versão 5.21 do Nmap promete resolver esse problema. Ao adicionar os payloads corretos, é possível requisitar o serviço corretamente e então obter um resultado mais preciso, tal como podemos verificar abaixo:

# nmap -sU -p 123 192.168.122.254

Starting Nmap 5.20 ( http://nmap.org ) at 2010-01-21 22:15 Eastern Standard Time

Nmap scan report for 192.168.122.254
Host is up (0.0019s latency).
PORT    STATE SERVICE
123/udp open  ntp
MAC Address: 00:17:0E:0C:B7:61 (Cisco Systems)

Nmap done: 1 IP address (1 host up) scanned in 6.88 seconds

Agora vejam a comunicação com os payloads corretos:

O Nmap 5.21 tem suporte de payloads para os seguintes serviços/portas :

udp/7 echo
udp/53 domain
udp/111 rpcbind
udp/123 ntp
udp/137 netbios-ns
udp/161 SNMP
udp/177 xdmcp
udp/500 ISAKMP
udp/520 route
udp/1645 and udp/1812 RADIUS
udp/2049 NFS
udp/5353 zeroconf
udp/10080 amanda

Interessado no Nmap 5.21 ? Baixe os fontes aqui.

Usa algum distribuição de pacotes RPM? Execute o seguinte comando:

# rpm -vhU http://nmap.org/dist/nmap-5.21-1.i386.rpm

Fonte – SANS Diary

Hugo Doria, o seu criador, fez um post em seu blog muito interessante, que explica bastante sobre a ferramenta em termos práticos.

Eu nunca havia programado em python, depois de muito estudo, esforço e ajuda de amigos desenvolvedores, consegui criar meu primeiro módulo, como noticiei nesse post.

Querendo agilizar o desenvolvimento dessa fantástica ferramenta promovi o Coding Home, que reuniu alguns amigos desenvolvedores e então conseguimos alguns avanços interessantes. Noticiei aqui também. Até o momento, o hntool tem checagens para :

1. Configuração de autenticação
2. Segurança do filesystem (Bem superficial ainda)
3. Configuração do Apache (Esse que eu fiz )
4. Configuração do engine PHP
5. Configuração do PostgreSQL
6. Configuração do SSH
7. Portas abertas
8. Serviços com acesso remoto liberado

Temos agora duas saídas disponíveis:

1. Terminal
2. HTML (Valeu Aurium)

Estamos reconfigurando o core do Hntool para que ele suporte entrada de parâmetros para os módulos, o que facilitará a colaboração futura.

Hugo Dória já me informou que o site do hntool estará disponível em pouco tempo.

Estamos pensando em criar códigos para cada erro, assim poderemos colocar link no output HTML, para que cada erro tenha um detalhamento melhor em nossa página e que uma sugestão sucinta de como resolver o problema seja relacionada.

Enfim, o projeto está andando, e se você estiver interessado em contribuir, seja com código, teste, uma logo para o projeto ou coisa parecida. Não fique acanhado, faça! e nos mande.

Para testar o hntool é fácil. Baixe-o daqui e descompacte-o. Depois é só entrar no diretório descompactado e rodar:

./hntool

Achou um bug? Reporte aqui! Esse em um dos melhores tipos de ajuda que um não desenvolvedor pode nos dar nesse momento. (Precisa se registrar, mas é bem rápido!)

Na maioria dessas caixas, os fornecedores apenas criam a interface, sendo que o produto em si é um conjunto de softwares de mercado, na maioria dos casos sob a licença open source. Sendo assim o que temos é uma configuração realizada pelo fornecedor para integrar os mesmos, criando um único sistema.

Agora uma pergunta. Esses softwares são constantemente atualizados? De quem é a responsabilidade de atualizar os mesmos? Ficaremos atentos as notificações do fornecedor da caixa ou teremos que buscar quais softwares temos na caixa para então verificar suas notificações?

Esse é um grande problema, pois a atualização de um software específico na caixa nem sempre é possível, em muitos casos nem temos acesso.

Vejamos uma exemplo prático. Há pouco tempo tivemos uma grande falha no protocolo SSL e seus derivados. Sendo assim todos os softwares que usam OpenSSL estão vulneráveis, ou seja, todos as caixas que usam esses softwares também. Vale salientar que a lista de softwares não é pequena (OpenVPN, mod_ssl do apache, OpenSSH e muitos outros)

Na próxima segunda irei verificar junto a meus fornecedores essa questão, afim de estar alinhado com as atualizações dos softwares utilizados. Eu aconselho você a fazer o mesmo.

Fonte: Sans Diary

Para maiores detalhes sobre a falha da renegociação, veja esse link.

O Openvpn, que é um dos serviços que utilizam o OpenSSL, um dos derivados do SSL, lança hoje sua nova versão (2.1_rc22), com duas importantes mudanças:

1 – Remoção da SSL/TLS renegotiation, porém essa remoção não afetas outras funcionalidades do tipo mid-session SSL/TLS renegotation e afins.

2 – Hardening para mid-session SSL/TLS renegotation e similares, forçando a criação de uma nova sessão a partir do zero.

Obs: Para quem sofreu com a instalação do cliente do Openvpn no Vista até perceber que o mesmo deveria rodar no modo administrador, pode ficar tranquilo, pois esse problema também foi resolvido.

Veja outras novidades nesse link.

Até o presente momento, nem o Arch, Fedora ou Debian tinham empacotado essa nova versão do OpenVPN, quem estava mais próximo é o Debian Sid com a versão 2.1~rc21-2.

Fonte : Sans Diary

De acordo com a NTA Monitor, a cada três websites que estão hospedados na internet um apresenta falhas graves de segurança em seu código. Dais quais podem ser exploradas por diversas técnicas de ataques.

Falando em técnicas de ataque, você sabe o que é SQL Injection? Não! Se você é o responsável pela segurança da sua empresa, deveria saber.

SQL Injection é a técnica que consiste em enviar consultas SQL pela interface da aplicação. Como isso é possível?

Veja no exemplo abaixo:

O código da aplicação faz a validação do usuário com a consulta abaixo:

SELECT id, nome, usuario, senha FROM vendedores WHERE usuario = ‘rafael’ and senha = ‘senha’

O nome de usuário e senha serã passado pela aplicação.

Imagine se ao invés de enviar o nome do usuário correto eu fizesse o seguinte:

* Usuário: ra’; DROP TABLE vendedores–

Você deve estar se perguntando, “mas o que é isso?” O sinal de ; simboliza o inicio de outra consulta SQL e a aspas simples informa que o código informado será interpretado normalmente. Então a solicitação ficaria da seguinte maneira:

SELECT id, nome, usuario FROM vendedores WHERE usuario = ‘ra’ ‘; DROP TABLE vendedores–senha = ‘senha’

Ou seja, o usuário ra não seria encontrado, mas a tabela seria deletada e tudo após o — não seria interpretado, pois o SQL encara como comentário.

Uma falha que impactará no quesito disponibilidade, pois sua aplicação não será mais capaz de autenticar um usuário sequer após esse incidente.

Fique ligado, aguardem os próximos artigos

Como já puderam perceber, estou iniciando uma série de posts com o tema segurança. Para mais posts, veja esse link.

Um dos grandes exemplos que povoou a mídia no ano passado foi o roubo do notebook da Petrobrás. A empresa não informou detalhes do problema de segurança, mas alguns acreditam que informações valiosas poderiam ser furtadas naquele episódio.

Veja que o maior problema nesse caso não é o custo do equipamento, e sim o sigilo da informação contida no mesmo. Algo que poderia valer mais do que um lote inteiro do notebook roubado.

Existe um documento que informa o número de perda de dados em 2009, vale a pena dar uma olhada.

O que pode ser feito? Encriptar os dados é uma ótima solução.

Agora, qual ferramenta devo usar, se quiser existe uma ferramenta opensource que provavelmente atende sua demanda.

E essa ferramenta é a TrueCrypt.

Essa ferramenta tem as seguintes funcionalidades:

# Criar disco virtual encriptado como um arquivo e montá-lo como um disco real.
# Encriptar uma partição inteira ou dispositivo de storage tal como um Pen drive USB ou disco rígido.
# Encriptar uma partição ou disco onde o Windows está instalado. (Pré-autenticação no boot).
# Encriptar automática, em tempo real e transparente.
# Paralelização e pipelining permite que o dado seja lido e escrito tão rápido como se o dado não estivesse criptografado.
# Prover plausível negação de acesso.
# Algorítimo de encriptação: AES-256, Serpent, and Twofish. Modo de operação: XTS.

Ou seja, tem tudo que precisa para manter seu dado seguro!

Se você usa o Fedora, não precisa se preocupar. Procure em seu repositório oficial. Ele estará lá.

Clique em Sistema>Administração>Instalar/Remover programas e instale o seu truecrypt.

Baseado em Sans Diary