sábado, 19 de março de 2011

ZFS - poderoso sistema de arquivo da Sun

Você conhece o projeto  ZFS-FUSE? Não?

O objetivo deste projeto é permitir com que possamos criar, montar, usar e gerenciar o sistema de arquivos chamado ZFS da San no Linux.

Considerado por alguns o mais avançado sistema de arquivo criado em todos os tempos, veja abaixo o que o ZFS pode oferecer para o seu sistema:

Integridade provável

ele faz um checksum de todos os dados do sistema, o que torna possível realizar detecção de hardware.

Saiba como ZFS ajudou a detectar uma fonte de alimentação com defeito depois de apenas duas horas de uso, que anteriormente estava silenciosamente corrompendo dados por quase um ano! Acesse o post (em inglês) aqui.


Atualizações Atômica

significa que o estado do disco é consistente em todos os momentos, não há necessidade de realizar uma verificação demorada no sistema de arquivos após a reinicialização força ou  falha de energia.

Opção para compressão

Alta Escalabilidade

Modelo de Armazenamento Pooled

a criação de sistemas de arquivos é tão fácil como criar um novo diretório.

Raid

RAID-0, espelhos (RAID-1) e RAID-Z (que é como software RAID-5, mas mais eficiente devido ao ZFS).

Entre outros

tamanhos de setor variável, endianness adaptativo etc.


Para maiores informações acesse o site do projeto:

http://zfs-fuse.net/

Veja também este post que fala sobre o ZFS:

http://techfree.wordpress.com/2007/02/10/zfs-sun-solaris-filesystem-parte-1/

Essas informações foram tiradas do site do projeto e traduzidas utilizando o Google Tradutor, com algumas alterações para melhor intedimento.

IDS Snort Combinado com Framework Sguil

Fonte: http://under-linux.org

Guy Bruneau, o expert  em segurança à frente do IPSS Inc., liberou imagens ISO de um sistema operacional completo utilizando o IDS Snort (2.9.0.4) e o framework  Sguil. A disponibilidade se dá em três formas, que pode ser apenas o sensor, apenas o banco de dados, ou até mesmo todos os componentes incluídos no mesmo sistema.

O framework Sguil trata-se de um conjunto de aplicações (software livre) para monitoramento de segurança de rede (NSM) e análise orientada a eventos, como alertas de um IDS. Ele é escrito em Tcl/Tk e pode ser executado com qualquer sistema operacional com suporte a referida linguagem. Os ISOs estão disponíveis pra sistemas de 32 e 64-bits.

Link para o download da versão em 32 bits:
http://www.whitehats.ca/downloads/ids/shadow-slack/shadow_v7.1.iso

Link para o download da versão em 64 bits:
http://www.whitehats.ca/downloads/ids/shadow-slack/shadow64_v7.1.iso

Para saber como instalar e configurar leia o documento "install.pdf".
 
Para mais informações acesse o link:


http://isc.sans.edu/diary.html?storyid=10534

quarta-feira, 16 de março de 2011

OSSIM - Open Source Security Information Management



OSSIM significa Open Source Security Information Management. É uma ferramenta para gerenciamento de segurança da informação de código fonte aberto, seu objetivo é fornecer uma compilação abrangente de ferramentas que juntas oferecem ao administrador detalhes de cada aspecto do ocorrido, seja um ataque DoS, uma varredura de scan, um exploit na rede etc.


Espero poder fazer um post mais detalhado desta ferramenta, mostrando como instalae e usar, infelizmente não tenho tido muito tempo, mas vai a dica para quem quiser testar e aqueles que já usaram que possam então compartilhar sua experiência.


Segue alguns links abaixo para enriquecer seus conhecimentos:


Artigo muito bom que fala sobre a estrutura do OSSIM:


http://www.vivaolinux.com.br/artigo/Framework-OSSIM-Open-Source-Security-Information-Management


Site oficial da comunidade OSSIM:


http://alienvault.com/community


Fórum oficial:

https://www.alienvault.com/forum/index.php?t=thread&frm_id=15&S=464cee0760f4316eba1326024fe4b960


Post do Fórum oficial que mostra como instalar em Português:


https://www.alienvault.com/forum/index.php?t=msg&th=1810&start=0&S=464cee0760f4316eba1326024fe4b960


https://www.alienvault.com/forum/index.php?t=msg&th=1811&start=0&S=464cee0760f4316eba1326024fe4b960


https://www.alienvault.com/forum/index.php?t=msg&th=1820&start=0&S=464cee0760f4316eba1326024fe4b960


https://www.alienvault.com/forum/index.php?t=msg&th=1821&start=0&S=464cee0760f4316eba1326024fe4b960


Guia de Instalação em Português:

http://www.alienvault.com/wiki/doku.php?id=installation


Webcast do blog do Luiz da 4linux (hackproofing.blogspot.com):


http://hackproofing.blogspot.com/2011/03/webcast-gratuito-sobre-monitoramento.html

by Osvaldo H Peixoto

segunda-feira, 14 de março de 2011

Grupo Exploits-Brasil

O Luiz da 4linux e o Ronaldo Lima iniciaram um grupo de discussão sobre desenvolvimento de exploits e pesquisa de vulnerabilidades, em língua portuguesa.

O grupo Exploits-Brasil é destinado a todos que se interessam pelo assunto, independentemente do nível de conhecimento de cada um.

Para se inscrever no grupo acesse esse endereço:

https://groups.google.com/group/exploits-brasil
Sou completamente a favor e apoio a iniciativa, participe e divulgue.

by Osvaldo H Peixoto


h4(k3r foR 1!f3 - isso da grana

Ok. Pegue sua agenda e anote o seguinte:
“Todo começo de ano no mês de março acontece o Pwn2Own”.

Eai anotei e agora???

Para aqueles que não sabem o Pwn2Own (pwn = hack, 2, own = dono, próprio) é um concurso aberto para o público e ganha aquele que “hackear“ um sistema Windows, Linux ou Mac OSX sobre determinadas condições, onde quem conseguir "hackear" além de ganhar uma grana em cash ainda leva pra casa o dispositivo 'hackeado", por isso o nome pwn2own.

Vocês lembram em 2008, já no segundo dia do concurso Charlie Miller pioneiro a explorar uma falha no iPhone de forma remota, pois é, conseguiu explorar uma falha no Safari que permitiu acesso via telnet em um Mac Book Air rodando com todas as atualizações de segurança, atitude que lhe rendeu $ 10.000.

Já neste ano (2011), no segundo dia Miller e Dion Blazakis conseguiram explorar uma falha no Safari através de uma pagina visitada pelo usuário que lhe permitiu ter acesso a Agenda de Endereços do iPhone 4 rodando o sistema 4.2.1.

Se você realmente se importa com segurança fique de olho nesse evento, os exploits usados nesse evento viram uma tendência do mundo underground.

Para maiores informações acesse os sites abaixo:


by Osvaldo H Peixoto


domingo, 13 de março de 2011

Porque tantos defacements?

Segundo o site zone-h.org, que possui registros de sites vitimas de defacements, no ano passado (2010) foram registrados 1.419.203 ataques desse tipo, onde a maioria dos defacements foram realizados utilizando técnicas: file inclusion, SQL injection, webdav e  erros de configuração.


É claro que no ano de 2010 esses skiddie (script kiddie) tiveram uma grande ajuda do Linux, estou me referindo ao grande número de exploits que foram publicados que exploravam falhas locais no Linux que permitiam elevar privilégios.

Infelizmente no Brasil são poucas empresas que realmente priorizam ou valorizam os responsáveis pela Segurança de TI, sem contar que muitas empresas não possuem uma equipe especifica responsável pela segurança da informação. No final do ano passado (2010) tentei ajudar algumas empresas e para a minha surpresa o termo “segurança” não vale muito quando se trata de sistemas, tentei avisar essas empresas sobre brechas de segurança em seus sistemas web, principalmente aquelas que eram exploradas usando SQLi, e nenhum email enviado foi retornado. Primeiramente imaginei que eles não teriam respondido o email por algum receio, mas no fundo acreditava que a equipe de segurança de TI da empresa tinha sido alertada sobre o problema e os responsáveis estariam trabalhando para corrigir essas brechas, como eu estava iludido. Só por curiosidade depois de 1 mês chequei os mesmos sistemas e todos ainda estavam vulneráveis. Alertei mais de 20 empresas de pequeno, médio e grande porte. Simplesmente inacreditável.

Vai um alerta para todos, tome muito cuidado onde você compra e expõe seu cartão de crédito, em algumas dessas empresas conseguir todas as informações de seus clientes incluindo o cartão de crédito.

Os desenvolvedores despreocupados com segurança estão sempre facilitando a vida dos skiddie, outro dia fiz um teste que realmente chamou minha atenção. Encontrei um site que tinha uma brecha que poderia ser explorada usando SQLi (minha técnica favorita, não que eu seja um expert de SQL injection) e no rodapé do site tinha informações da empresa que desenvolveu o site, fui até o meu melhor amigo (google) e fiz algumas pesquisas e achei outros sites que a mesma empresa tinha desenvolvido, você imagina o que achei??? Pois é, quase 90% dos outros sites desenvolvido pela empresa poderiam ser explorados usando SQLi, fiz os meus testes só com sqli ainda tem outras técnicas que não testei.

Vamos falar um pouco do governo no Brasil, sai “governo entra governo” com isso há uma mudança drástica das pessoas com cargo de confiança, pessoas que estão na frente de vários setores do órgão público, como o setor de desenvolvimento por exemplo. Analisando o relatório do site zone-h podemos ver que as duas principais técnicas utilizadas para explorar esses servidores foram brechas causadas pela equipe de desenvolvimento, a pergunta é:

 “Quem estamos contratando para assumir posições de extrema importância na área de TI? Quem estamos contratando para desenvolver nossos sistemas Web?”.

Na minha pequena lista (essa é outra lista) o Estado de São Paulo no ano passado sofreu muitos defacements e neste ano (2011) já contabilizei uma boa quantia também, será que SP vai quebrar seu record do ano passado??

Quero deixar bem claro que os skiddie são extremamente necessários no dia de hoje, você esta se perguntando por quê? Peense um pouco.


sábado, 12 de março de 2011

AIR - front-end do comando dc3dd

O AIR (Automated Image and Restore) é um front-end do dc3dd que na verdade é um patch do comando dd com novas funcionalidades que facilitam a vida de qualquer expert em análise forense, veja abaixo um screenshot da ferramenta:


Para saber mais acesse o site do projeto:
http://sourceforge.net/apps/mediawiki/air-imager/index.php?title=Main_Page

by Osvaldo H Peixoto

Lazy Linux Wiki - tudo na mão

Com certeza este site vai para os meus Favoritos, excelente fonte de informação, aqui você tudo sobre como configurar e usar o Linux, tudo dividido por tópicos.

http://www.linuxfunkar.se/lazy/LazyLinuxWiki/

By Osvaldo

domingo, 6 de março de 2011

Mobius Forensic Toolkit - framework para analise forense

Mobius Forensic Toolkit é um framework forense escrito em Python/GTK que gerencia todo o processo de investigação forensic, fornecendo uma interface abstrata para o desenvolvimento de extensões que servem para tarefas especificas.

Segundo o desenvolvedor da ferramenta, atualmente as ferramentas de código aberto forense são desenvolvidas em várias linguagens diferentes dificultando a integração entre elas e a padronização para coleta e resultado dos dados.

Com o Mobius você pode criar suas próprias extensões ou usar as extensões já criadas como a “Hive” que permite trabalhar com arquivos de registro do Windows, as extensões são escritas em XML facilitando a integração com outras ferramentas.
O programa vem com instruções de instalação e um manual bem prático, veja abaixo dois screenshots da ferramenta:




Faça o download aqui:

http://packetstormsecurity.org/files/download/98775/mobiusft-0.5.7.tar.gz

By Osvaldo H Peixoto


Linux Security Checklist Tool 2.0.3

É um script em perl que realiza uma auditoria em um sistema linux e propõe melhorias de segurança para o sistema.

Esta versão esta em Espanhol, baixe usando o link abaixo:


by Osvaldo


Imposto de Renda 2011 (IRPF 2011) no Linux

Este post é o que todos os pinguins precisam, mostra como instalar o programa do imposto de renda de 2011 no sistem Linux, a grande novidade é que você pode baixar o programa em formato .deb ou .rpm.

Leia o post aqui: http://sinapseslivres.com.br/2011/03/imposto-de-renda-2011-linux/

by Osvaldo