Essa primeira versão utilizável do Fedora 13 visa proporcionar aos desenvolvedores de todas as variantes customizadas e empacotadores, um meio de testar e aperfeiçoar os pacotes e as Spins. Além de proporcionar aos aficionadas por inovação experimentarem o que está por vir nessa nova versão. As principais inovações são:

1. Melhoria do suporte 3D para placas de vídeos Nvidia, através do drive Nouveau;
2. RPM versão 4.8;
3. Inicialização do sistema em menor tempo;
4. Instalação do sistema com pré-definição de partições separadas para Home e Boot;
5. Firefox 3.6;
6. Melhoria no suporte a Webcams;
7. NetworkManger suporta conexão a internet por meio de celular conectado via Bluetooth;
8. Kernel 2.6.32
9. KDE 4.4

Para maiores informações acesse o release notes.

Para baixar a versão Alfa para o Fedora 13 clique aqui.

De acordo com a US-CERT, o software instalado insere dois arquivos .dll no sistema hospedeiro (UsbCharger.dll e Arucer.dll). Após instalado o software utiliza UsbCharger.dll para prover comunicação com a porta USB, ela também é responsável por executar Arucer.dll via o mecanismo rundll32.exe do Windows .

Obs : O software \Windows\system32\rundll32.exe é um arquivo confiável do Windows, mas pode ser usado para fins não tão confiáveis, como é esse o caso.

Agora temos o segundo problema. Caso a maquina seja da versão XP SP2 ou superior, ele será provida de um firewall pessoal, porém esse firewall irá acusar que o rundll32.exe irá utilizar uma dll como um aplicativo, algo bastante utilizado por outros software relativamente confiáveis, mas não necessariamente correto (essa discussão fica pra outro post).

Caso o usuário escolha a opção de desbloquear, esse tipo de comportamento será aceitável, assim novos malwares que usam a mesma técnica não terão esse obstáculo. Cuidado!

Uma vez em execução como aplicativo, será aberta uma porta TCP 7777, que possibilitará que comandos possam ser enviados remotamente.

Vale atentar que a biblioteca Arucer.dll não é novidade, ela foi criada em 2007.

A empresa Energizer junto com a US-CERT trabalha com a hipótese de que o software foi modificado após liberado para download.

Caso você esteja com o software instalado, a empresa aconselha que o mesmo seja removido imediatamente, que o problema será resolvido, mas não é tão simples, procure e remova o arquivo Arucer.dll e reinicie a sua máquina para ter certeza que o malware seja removido.

Caso esteja com a opção de utilizar dll como aplicativo em seu firewall Windows, remova essa opção para evitar futuros ataques.

Você é um administrador de rede e deseja procurar se existe alguém infectado em sua rede? Use o nmap ou metasploit para esse trabalho.

Você tem um servidor SNORT em sua rede? Use as regras abaixo para verificar se existe algum infectado em sua rede:

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer Command Execution”; flow:established; content:”|C2 E5 E5 E5 9E DD A4 A3 D4 A6 D4 D3 D1 C8 A0 A7 A1 D3 C8 D1 87 D7 87 C8 A7 A6 D4 A3 C8 D3 D1 D3 D2 D1 A0 DC DD A4 D2 D4 D5 98 E5|”; classtype:trojan-activity; sid:1000004; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer DIR Listing”; flow:established; content:”|C2 E5 E5 E5 9E D5 D4 D2 D1 A1 D7 A3 A6 C8 D2 A6 A7 D3 C8 D1 84 D7 D7 C8 DD D2 A6 D2 C8 D2 A7 A7 D2 D7 A4 D6 D7 A3 D4 DC A3 98 E5|”; classtype:trojan-activity; sid:1000005; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer WRITE FILE command”; flow: established; content:”|C2 E5 E5 E5 9E DC DD A1 DC D0 DD A3 A6 C8 A1 D5 A4 D7 C8 D1 83 D4 86 C8 A7 DD D1 D4 C8 D7 D6 D7 A4 A7 D6 D0 D2 A0 D2 A6 DD 98 E5|”; classtype:trojan-activity; sid:1000006; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer READ FILE Command”; flow:established; content:”|C2 E5 E5 E5 9E A3 D3 A6 D1 D6 A0 D4 A4 C8 D4 D0 D0 D4 C8 D1 D5 D5 D5 C8 A4 D1 DD D6 C8 A6 D6 D3 D4 DC D3 DC A4 A0 A6 D1 D4 98 E5|”; classtype:trojan-activity; sid:1000007; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer NOP Command”; flow:established; content:”|C2 E5 E5 E5 9E D2 DD D6 A0 A4 A6 A7 A3 C8 A0 A3 DD A7 C8 D1 DC DD 80 C8 A4 D5 D0 DC C8 A3 D5 A7 D0 A7 A1 D4 D7 D3 D1 D4 A0 98 E5|”; classtype:trojan-activity; sid:1000008; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer FIND FILE Command”; flow:established; content:”|C2 E5 E5 E5 9E A0 A4 D2 A4 D7 A0 A7 D2 C8 D4 A0 D1 DC C8 D1 81 D0 83 C8 A7 D1 A1 DD C8 A1 D3 D3 D1 D0 A7 D2 D1 D1 D5 A0 D6 98 E5|”; classtype:trojan-activity; sid:1000009; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer YES Command”; flow:established; content:”|C2 E5 E5 E5 9E A0 D7 A4 A6 D0 D5 DD DC C8 D6 DD D7 D5 C8 D1 D6 83 80 C8 DD A4 D1 A1 C8 A4 D2 D5 D7 DD A3 A4 A1 DD A6 D7 DD 98 E5|”; classtype:trojan-activity; sid:1000010; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer ADD RUN ONCE Command”; flow:established; content:”|C2 E5 E5 E5 9E D6 DD D1 A0 A7 A0 D7 A6 C8 A3 DC A0 A4 C8 D1 83 D3 87 C8 DC D1 A0 A3 C8 A6 DC A1 D7 A1 A4 D0 DD A3 A1 D4 D6 98 E5|”; classtype:trojan-activity; sid:1000011; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer DEL FILE Command”; flow:established; content:”|C2 E5 E5 E5 9E D1 A3 D1 A3 D5 A1 DD DD C8 A0 D2 D4 D0 C8 D1 87 D4 83 C8 A7 D6 D4 D4 C8 D3 D4 A0 D0 D6 D5 A6 D7 A6 DD A3 A6 98 E5|”; classtype:trojan-activity; sid:1000012; rev:2;

Fonte : SANS Diary

Outras referências:

http://www.threatexpert.com/report.aspx?md5=3f4f10b927677e45a495d0cdd4390aaf

http://www.kb.cert.org/vuls/id/154421

http://www.marketwatch.com/story/energizer-announces-duo-charger-and-usb-charger-software-problem-2010-03-05

Para instalar e começar usar o Proftpd é muito fácil, mas o que poucos sabem é que a sua configuração padrão, assim como em qualquer outro serviço, é focada apenas para experimentação, ou seja, em um ambiente de produção ele deve ser customizado, seja de acordo a carga de utilização de seu ambiente ou a sua segurança.

Irei tratar hoje sobre alguns aspectos de segurança desse serviço, que com pequenas alterações são resolvidos.

Todos as configurações explicadas abaixo serão encontradas no arquivo do proftpd, que geralmente está localizado em /etc/proftpd/proftpd.conf

• Evitar Footprinting

Footprinting é o processo de obter informações do alvo, antes de iniciar um ataque, sendo assim vamos dificultar essa coleta de informações adicionando a seguinte linha:

ServerIdent Off

• Tentativas de login

Para evitar que o invasor efetue a quantidade necessária de tentativas para “adivinhar” sua senha, adicione a seguinte linha no seu arquivo de configuração:

MaxLoginAttempts 3

• Inibir

O que poucas pessoas sabem é, que as vezes uma medida simples pode ter um retorno interessante.

As vezes um alerta antes de uma tentativa de acesso indevido é o bastante para afastar alguns tipos de invasores, ou ao menos deixá-los avisados que aquele servidor foi alvo de uma modificação com foco em segurança.

Crie dois arquivos em seu servidor, em um dos arquivos coloque um texto a ser exibido antes do usuário tentar efetuar logon e outro para após.

O texto que será exibido antes, deve conter um texto sério, que tem como objetivo demonstrar a seriedade da organização que hospeda o serviço e quais as implicações o invasor terá caso ele apenas tente efetuar uma invasão, ele ao menos pensará um pouco mais antes de iniciar um ataque para aquele ativo.

Para a mensagem que ficará antes do acesso adicione a seguinte linha:

DisplayConnect /home/ftp/texto_antes.msg

Para a mensagem que ficará depois, adicione a seguinte linha:

DisplayLogin /home/ftp/texto_depois.msg

Basicamente, essas são as medidas mais simples a serem tomadas com seu servidor FTP, que em minha opinião farão uma enorme diferença na utilização do seu serviço.

Existem outras medidas que podem ser aplicadas em sua configuração, mas como algumas delas divergem quanto ao fim devido do serviço, preferi me manter no básico.

Caso tenha mais alguma sugestão, pode comentar, atualizarei o post caso necessário.

Até a próxima!

Normalmente o Nmap funcionava da seguinte forma:

Caso uma porta não estivesse aberta, o alvo retorna um pacote ICMP (tipo 3, Código 3), sendo assim o Nmap entendia que aquela porta estava fechada, caso não houvesse resposta, algum tipo de firewall pode estar bloqueando a comunicação e assim o Nmap retornava da seguinte forma:

# nmap -sU -p123 192.168.122.254

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-28 13:17 Eastern Standard Time

Interesting ports on 192.168.122.254:
PORT STATE SERVICE
123/udp open|filtered ntp
MAC Address: 00:17:0E:0C:B7:61 (Cisco Systems)

Nmap done: 1 IP address (1 host up) scanned in 1.91 seconds

Para essa checagem é enviado um pacote não válido como requisição padrão, nesse caso o NTP.

O problema é que ao receber esse pacote mal formado, o servidor NTP simplesmente descarta esse pacote, ou seja, não temos certeza se a porta está filtrada por um firewall ou aberta.

A versão 5.21 do Nmap promete resolver esse problema. Ao adicionar os payloads corretos, é possível requisitar o serviço corretamente e então obter um resultado mais preciso, tal como podemos verificar abaixo:

# nmap -sU -p 123 192.168.122.254

Starting Nmap 5.20 ( http://nmap.org ) at 2010-01-21 22:15 Eastern Standard Time

Nmap scan report for 192.168.122.254
Host is up (0.0019s latency).
PORT    STATE SERVICE
123/udp open  ntp
MAC Address: 00:17:0E:0C:B7:61 (Cisco Systems)

Nmap done: 1 IP address (1 host up) scanned in 6.88 seconds

Agora vejam a comunicação com os payloads corretos:

O Nmap 5.21 tem suporte de payloads para os seguintes serviços/portas :

udp/7 echo
udp/53 domain
udp/111 rpcbind
udp/123 ntp
udp/137 netbios-ns
udp/161 SNMP
udp/177 xdmcp
udp/500 ISAKMP
udp/520 route
udp/1645 and udp/1812 RADIUS
udp/2049 NFS
udp/5353 zeroconf
udp/10080 amanda

Interessado no Nmap 5.21 ? Baixe os fontes aqui.

Usa algum distribuição de pacotes RPM? Execute o seguinte comando:

# rpm -vhU http://nmap.org/dist/nmap-5.21-1.i386.rpm

Fonte – SANS Diary

Eu estarei lá, e você?

Obrigado a todos que participaram da minha vida esse ano, que por sinal foi muito bom, pois casei com o amor da minha vida e de quebra ainda fui, pela primeira vez, como palestrante ao FISL! Muito bom, hein?

Iniciei colaborando com código para um projeto de Software Livre do meu amigo Hugo Dória.

O post ficaria pequeno para um resumo do ano! E vocês nem teriam interesse em ler tudo! Vou parar por aqui!!!

Valeu pessoal!

Acabaram de lançar a versão 0.21.4. Essa é uma versão de manutenção que deve ser usada em substituição a todas as versões anteriores da série 0.21.x.

Gostou? Conheça, use, participe e contribua com este projeto de software livre!

Sabe desenvolver em Ruby? Quer começar a contribuir? Comece pelos bugs simples.

Após uma conversa com meu amigo Elton Pereira no IM da Google, fiquei sabendo da existência de um plugin interessante do Gedit.

Esse plugin tem como objetivo auxiliar os programadores. Vejam abaixo o que ele pode fazer:

Viu? Arruma as classes de forma bem interessante, o que facilita a visualização. O que se reverte em produtividade!

Isso é uma das coisas que mais adoro na comunidade de Software Livre, uma pessoa tem uma necessidade, ela resolve seu problema, libera o código pra outros e todo mundo pode contribuir e utilizar. Assim resolvendo seus problemas e auxiliando a resolver novas complicações. Fantástico!

Gostou? Quer instalar? É simples! Baixe o plugin nesse link.

Coloque os arquivos e pastas descompactados na pasta ~/.gnome2/gedit/plugins  (caso não exista a pasta, pode criar uma).

Então vá no menu Editar>Preferências>Plugins e habilite o Class Browser.

Update1 : Usa Archlinux? Os caras são realmente rápidos, após ler essa notícia, já colocaram o plugin no repositório AUR. Obrigado Lokidarkeden

Hugo Doria, o seu criador, fez um post em seu blog muito interessante, que explica bastante sobre a ferramenta em termos práticos.

Eu nunca havia programado em python, depois de muito estudo, esforço e ajuda de amigos desenvolvedores, consegui criar meu primeiro módulo, como noticiei nesse post.

Querendo agilizar o desenvolvimento dessa fantástica ferramenta promovi o Coding Home, que reuniu alguns amigos desenvolvedores e então conseguimos alguns avanços interessantes. Noticiei aqui também. Até o momento, o hntool tem checagens para :

1. Configuração de autenticação
2. Segurança do filesystem (Bem superficial ainda)
3. Configuração do Apache (Esse que eu fiz )
4. Configuração do engine PHP
5. Configuração do PostgreSQL
6. Configuração do SSH
7. Portas abertas
8. Serviços com acesso remoto liberado

Temos agora duas saídas disponíveis:

1. Terminal
2. HTML (Valeu Aurium)

Estamos reconfigurando o core do Hntool para que ele suporte entrada de parâmetros para os módulos, o que facilitará a colaboração futura.

Hugo Dória já me informou que o site do hntool estará disponível em pouco tempo.

Estamos pensando em criar códigos para cada erro, assim poderemos colocar link no output HTML, para que cada erro tenha um detalhamento melhor em nossa página e que uma sugestão sucinta de como resolver o problema seja relacionada.

Enfim, o projeto está andando, e se você estiver interessado em contribuir, seja com código, teste, uma logo para o projeto ou coisa parecida. Não fique acanhado, faça! e nos mande.

Para testar o hntool é fácil. Baixe-o daqui e descompacte-o. Depois é só entrar no diretório descompactado e rodar:

./hntool

Achou um bug? Reporte aqui! Esse em um dos melhores tipos de ajuda que um não desenvolvedor pode nos dar nesse momento. (Precisa se registrar, mas é bem rápido!)

Resolvi mudar o tema do blog novamente. Achei que o antigo não facilitava a leitura, sendo assim consegui um tempo para mudar o layout.

O que acharam do novo tema? Opinem por favor!

Obrigado!