VULNERABILIDADE DO AGENTE DUDE

Em 21 de fevereiro, Tenable publicou um novo CVE, descrevendo uma vulnerabilidade, que permite a proxy de uma solicitação TCP / UDP através da porta Winbox dos roteadores, se estiver aberta à Internet. Tenable havia entrado em contato com MikroTik anteriormente sobre este assunto, então uma correção já foi lançada em 11 de fevereiro de 2019 em todos os canais de lançamento do RouterOS.

O problema não afeta os dispositivos RouterBOARD com a configuração padrão, se a caixa de seleção “Roteador do firewall” estiver ativada. O problema não representa qualquer risco para o próprio roteador, o sistema de arquivos não é vulnerável, o problema só permite o redirecionamento de conexões se a porta estiver aberta. O dispositivo em si é seguro.

O problema é corrigido em:

  • 6.43.12 (2019-02-11 14:39)
  • 6,44beta75 (2019-02-11 15:26)
  • 6.42.12 (2019-02-12 11:46)

Como sempre, o MikroTik recomenda que todos os usuários mantenham seus dispositivos atualizados, sejam protegidos contra todas as vulnerabilidades conhecidas e garantam que as portas administrativas do seu roteador sejam protegidas por firewalls de redes não confiáveis. O menu “serviços ip”, onde você pode proteger o serviço “winbox”, também afeta o serviço “dude agent”, portanto, se você tiver acesso limitado com esse menu, ele também protege você deste problema. 

 

FONTE: https://blog.mikrotik.com/security/cve-20193924-dude-agent-vulnerability.html

API do Twilio

API do Twilio : O Twilio é uma estrutura de comunicações em nuvem que permite aos desenvolvedores de software fazer e receber chamadas telefônicas programaticamente e enviar e receber mensagens de texto usando suas APIs de serviço da Web usando HTTP. Usando o Twilio, você pode criar aplicativos de telefonia e ter um sistema de telefonia on-line completo na nuvem. Oferece recursos como números sob demanda em mais de 40 países, aceita ligações telefônicas para números de twilio, grava mensagens de áudio, reúne respostas de usuários, processa lógica de back-end capturando número de telefone e respostas de usuários, conferência, fala para texto e uma API muito poderosa.

 

Fontehttps://www.twilio.com/

Crackers brasileiros ampliam campanhas de malware financeiro para atacar países de língua espanhola

Uma análise detalhada de pesquisadores de segurança mostra como o malware financeiro brasileiro está se espalhando para além das fronteiras nacionais para atacar bancos em países de língua espanhola através do sul e da América Latina, e Portugal e Espanha na Europa.

Os Crackers brasileiros são muitas vezes ofuscados na mídia por notícias sobre hackers russos, chineses, iranianos e norte-coreanos – mas uma nova pesquisa da Cybereason sugere um crescente conhecimento técnico e uma aspiração proveniente do Brasil.

Assaf Dahan, diretor sênior de caça às ameaças da Cybereason, e analista de segurança da Cybereason, Joakim Kandefelt, acompanharam e analisaram campanhas recentes e descobriram uma campanha de malware furtivo de vários estágios que foge do radar e é difícil de detectar ( A Cybereason usou detecção comportamental baseada em IA). A pesquisa foi publicada agora .

Eles também descobriram que a campanha não se limita a atacar bancos no Brasil de língua portuguesa, mas se espalhou amplamente para os países de língua espanhola. “Esses países”, observam os pesquisadores, “incluem Argentina, Bolívia, Chile, Venezuela e Espanha. A Cybereason encontrou amostras anteriores de malware brasileiro direcionadas a mais países, como México, Portugal, Colômbia e outros países latino-americanos.

A campanha começa com engenharia social e termina com a entrega de um RAT. O RAT parece ser uma adaptação do RAT Delphi_Remote_Access_PC disponível no GitHub. O código do GitHub não tem nenhuma funcionalidade diretamente relacionada ao malware, e a Cybereason acredita que ele foi reaproveitado por cibercriminosos brasileiros para uso próprio.

A campanha usa uma metodologia de infecção em vários estágios. Embora essa não seja uma nova abordagem, ela continua sendo eficaz para evitar a detecção. Começa com um e-mail de phishing, muitas vezes disfarçado de uma fatura comercial legítima ou um e-mail falso da VIVO (a maior empresa de telecomunicações do Brasil). Contém um URL abreviado ou um anexo que busca um downloader do primeiro estágio. Se um anexo estiver incluído, geralmente é um arquivo PDF que dispara uma solicitação para o URL abreviado quando é clicado em qualquer lugar.

Esse downloader de primeiro estágio inclui outra URL encurtada projetada para buscar o downloader do segundo estágio de um serviço de hospedagem, como o GitHub, Pastebin, AWS ou Dropbox.

O segundo estágio do downloader, geralmente disfarçado como uma atualização em Flash ou Java, geralmente é um script do PowerShell ofuscado que busca a carga principal. Por vezes inclui funcionalidades concebidas para criar persistência e executar verificações anti-análise. Um exemplo fornecido pelos pesquisadores é descrito como “um script do PowerShell que verifica uma infecção existente, descarta um arquivo em lotes que verifica os valores no registro, descarta um arquivo .lnk que aponta para o arquivo em lotes supramencionado para persistência e busca um arquivo secundário”. carga útil criptografada xor do mesmo servidor remoto. “

A carga final que rouba dados bancários on-line dos bancos-alvo encontrados na configuração de malware é novamente baixada de serviços de hospedagem legítimos. A configuração é incorporada na carga útil dos serviços legítimos ou obtida de um servidor C & C.

Esse método de entrega encadeada, usando encurtadores de URL legítimos e serviços da Web, dificulta a detecção de uma séria anomalia no tráfego de rede da vítima. Mas todo o processo faz uso generalizado de técnicas furtivas. Por exemplo, muitos dos payloads do primeiro estágio compreendem um script ofuscado ou um conjunto de comandos ofuscados.

Um exemplo fornecido pelos pesquisadores “usa uma ofuscação que gradualmente constrói sua carga útil”. Eles acreditam que o método de ofuscação é adotado pelo projeto Invoke-Obfuscation, de Daniel Bohannon. “Depois que o PowerShell é executado, a carga útil real do downloader não aparece nos argumentos da linha de comando do processo.”

Os criminosos também usam aplicativos assinados pela Microsoft, geralmente descritos como “vivendo fora da terra”, para disfarçar ainda mais suas atividades. Em um exemplo, um arquivo .lnk falsificou um atalho do Internet Explorer. Uma vez executado, um payload secundário foi baixado e executado usando o msiexec da Microsoft.

Em outro exemplo, um arquivo .lnk usava o Certutil da Microsoft para decodificar uma carga base64 que era mais ofuscada com carets inseridos entre quase todos os outros caracteres. Depois de decodificado e desofuscado, o comando baixou uma carga secundária.

O malware final é geralmente um malware brasileiro bastante comum, conhecido como Banload , Banbra , Bancos, Delf e Spy / Banker .

“O malware financeiro brasileiro”, alerta o relatório, “é conhecido por sua eficácia em superar a autenticação multifatorial (MFA), implementando sofisticados truques de engenharia social para extrair códigos SMS e outras informações de tokens de segurança, usando telas de sobreposição.”

O malware principal é executado por vários métodos. Isso inclui técnicas de seqüestro de DLL “contra fornecedores de segurança confiáveis, incluindo Avira e McAfee, e empresas de tecnologia confiáveis ​​como VMware, NVIDIA, HP, Realtek e Adobe”. No entanto, esse método relativamente comum foi desenvolvido pelos hackers brasileiros – dividindo a carga de malware em dois componentes. Uma seria uma DLL falsa que carrega malware criptografado na memória, descriptografa e executa.

A carga de malware, no entanto, não pode ser executada sem o carregador separado. Essa codependência entre o carregador e a carga útil criptografada dificulta a detecção e a análise do malware.

As infecções não terminam com o malware financeiro. A Cybereason encontrou pós-infecção adicional em máquinas comprometidas. “Além dos cavalos de Troia bancários”, escrevem os pesquisadores, “descobrimos que as mesmas campanhas estavam distribuindo mineradores de criptomoedas, infostealers e malwares que visam o Microsoft Outlook. Malware que atinge o Outlook é uma preocupação especial, pois representa um grande risco para organizações em todo o mundo”. “

A pesquisa da Cybereason demonstra até que ponto os hackers brasileiros tentam esconder sua atividade. Também demonstra que as campanhas de malware financeiras existentes expandiram suas metas do Brasil de língua portuguesa para vários países de língua espanhola. Esta pesquisa foca em campanhas bancárias específicas para falantes de português e espanhol, mas “é seguro assumir”, disse Assaf Dahan à SecurityWeek, “que existem outros atores de ameaças brasileiros também em outros países”.

A Cybereason, de Boston, Massachusetts, levantou US $ 100 milhões em financiamento da Série D da SoftBank Corp em junho de 2017; elevando o total para US $ 188,6 milhões.

 

Fonte:  https://www.securityweek.com/brazilian-financial-malware-spreads-beyond-national-boundaries

Stone sofre vazamento de informação e chantagem em véspera de abertura de capital

A empresa de maquininhas de cartão Stone, que deve lançar ações na Bolsa de tecnologia americana Nasdaq nesta quinta-feira, informou à SEC (Securities and Exchange Commission, o regulador do mercado financeiro americano) que teve parte do código de seus softwares de pagamento vazada nesta terça-feira (23).

Além da publicação de uma porção do código-fonte do sistema Pagar.me na internet e da maquininha Stone, a empresa afirmou que começou a sofrer chantagem, com pedidos de pagamentos em dinheiro para que novos trechos do programa não fossem vazados. O documento informando o vazamento dos dados foi entregue à SEC nesta quarta (24).

“Nós acreditamos que não houve acesso não autorizado, transferência ou uso inadequado de informações pessoais e financeiras ou de dados de negócios de nossos clientes e seus consumidores”, disse a Stone ao regulador americano.

“Além disso, a fatia do código-fonte vazada não contém informações sensíveis do ponto de vista concorrencial”, afirmou.

A Stone acrescentou no documento que há risco, devido à natureza do negócio, de divulgação de informações sem autorização, o que pode afetar o preço das ações da empresa e que isso está detalhado no prospecto informativo do processo de abertura de capital da companhia, na seção de fatores de risco.

Não há informações se o vazamento pode afetar o IPO (oferta pública inicial de ações, na sigla em inglês).

Nesta quarta, segundo a agência de notícias Bloomberg, a Stone fixou o preço da ação no IPO em US$ 23 por papel, no topo da faixa estipulada. A formação de preço estava prevista para a quinta-feira, mas teria sido antecipada pela alta demanda pelos papéis da companhia. A operação deve movimentar US$ 1,26 bilhão (R$ 4,7 bilhões).

A expectativa é de que a empresa passe a ser listada na Nasdaq nesta quinta (25), também um dia antes do inicialmente previsto.

A abertura de capital da empresa brasileira atraiu grandes investidores internacionais, como o fundo Berkshire Hathaway, de Warren Buffett, e a Ant Financial, braço financeiro da gigante chinesa Alibaba.

A Stone é a segunda empresa de meios de pagamentos brasileira a abrir capital no exterior. Antes dela, a PagSeguro movimentou US$ 2,3 bilhões (R$ 8,6 bilhões) na Bolsa de Nova York. Desde o lançamento de ações, em janeiro, os papéis da companhia se valorizaram quase 40%.

As principais concorrentes no mercado brasileiro de maquininhas são a Cielo (Bradesco e Banco do Brasil), Rede (Itaú) e Getnet (Santander).

SÃO PAULO, SP (FOLHAPRESS) –

 

 

FERRAMENTA PENTEST – T50

T50 é uma ferramenta para DoS desenvolvida pelo brasileiro Nelson Brito, sendo de fácil uso.
O código fonte do T50 encontra-se no link abaixo:
Deve ser compilado (como root) em um terminal linux (pode ser qualquer um, eu uso o Debian como Distro) com make.
Para realizar uma simulação de DoS contra um determinado IP e uma determinada porta, digite no terminal:
./t50 –flood –turbo –S –p 80 192.168.1.1 –flood –turbo –S
A sintaxe para se usar o ataque de DoS “-p” indica que a porta 80 será atacada e 192.168.1.1 indica o IP da vítima – No exemplo o roteador.

 

https://sourceforge.net/projects/t50/files/latest/download

Roubo de endereço IP (Mystification/Spoofing)

Como acontece a usurpação de endereço IP

usurpação de endereço IP (spoofing IP) é uma técnica que consiste em substituir o endereço IP do remetente de um pacote IP pelo endereço IP de outra máquina. Esta técnica permite que o hacker envie pacotes anonimamente. Não se trata de mudar o endereço IP, mas de um disfarce do endereço IP ao enviar os pacotes.

Algumas pessoas tendem a assimilar o uso de um proxy (que permite, de certa forma, mascarar o endereço IP) com o spoofing IP. No entanto, os proxys só enviam os pacotes. Assim, ainda que o endereço esteja aparentemente mascarado, você pode encontrar facilmente um hacker graças ao arquivo de registos do proxy.

Ataque por usurpação

A técnica da usurpação de endereço IP pode permitir que um hacker envie pacotes a uma rede sem que estes sejam interceptados pelo sistema de filtragem de pacotes (firewalls).
Na verdade, os sistemas de firewall se baseiam em regras de filtragem que indicam os endereços IP autorizados a se comunicarem com a rede das máquinas internas:

Using spoofing to break through a firewall
Assim, um pacote usurpado com o endereço IP de uma máquina interna parecerá provir da rede interna e será retransmitido à máquina alvo, enquanto um pacote que contém um endereço IP externo será automaticamente rejeitado pelo firewall.

Contudo, o protocolo TCP (protocolo que basicamente garante o transporte fiável de dados pela Internet) se baseia em relações de autenticação e de confiança entre a rede das máquinas. Isto significa que para aceitar o pacote, o receptor deve acusar recepção do emissor, e este, deve acusar recepção da confirmação.

Como modificar o cabeçalho TCP

Na Internet, as informações circulam graças ao protocolo IP, que garante o encapsulamento de dados em estruturas chamadas pacotes (ou, mais exatamente, datagramas IP). Veja a estrutura de um datagrama:

Versão Longitude do cabeçalho Tipo de serviço Longitude total
Identificação Indicador Compensação de fragmento
Tempo de vida Protocolo Soma de verificação do cabeçalho
Endereço IP de origem
Endereço IP de destino
Dados

Usurpar um endereço IP consiste em alterar o campo fonte a fim de simular um datagrama que provém de outro endereço IP. Contudo, na Internet, os pacotes são geralmente transportados pelo protocolo TCP, que garante uma transmissão confiável.

Antes de aceitar um pacote, uma máquina deve acusar recepção deste junto à máquina emissora, e esperar que ela confirme a boa recepção da acusação.

Os links de aprovação

O protocolo TCP é um dos principais protocolos da camada transporte do modelo TCP/IP. Ele permite, a nível das aplicativos, gerenciar os dados oriundos (ou com destino) da camada inferior do modelo (ou seja, o protocolo IP).

O protocolo TCP assegura a transferência dos dados de modo fiável, embora utilize o protocolo IP (que não integra nenhum controle de entrega de datagrama) graças a um sistema de avisos de recepção (ACK) que permitem ao cliente e ao servidor verificarem a boa recepção dos dados.

As unidades datagramas IP introduzem pacotes TCP (chamados segmentos), cuja estrutura é:

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Porta Fonte Porta destino
Número de ordem
Número de aviso de recepção
Desfasamento de dados
dados
reservado URG ACK PSH RST SYN FIN Janela
Soma de controle Ponteiro de emergência
Opções
Dados

Na emissão de um segmento, um número de ordem (também chamado de número de sequência) é associado, e uma troca de segmentos com campos específicos (chamados bandeiras – flags) permite sincronizar o cliente e o servidor. Este diálogo (chamado aperto de mãos em três tempos) permite iniciar a comunicação, ele se apresenta em três tempos, como o seu nome indica:

Inicialmente, a máquina emissora (o cliente) transmite um segmento cuja bandeira SYN é de 1 (para assinalar que se trata de um segmento de sincronização), com um número de ordem N, que chamamos de número de ordem inicial do cliente;

Em segundo lugar, a máquina receptora (o servidor) recebe o segmento inicial que provém do cliente, em seguida ele envia um alerta de recepção, ou seja, um segmento cuja bandeira ACK é ‘não nula’ (aviso de recepção) e a bandeira SYN é de 1 (porque ainda se trata de uma sincronização). Este segmento contém um número de sequência igual ao número de ordem inicial do cliente. O campo mais importante deste segmento é o aviso de recepção (ACK), que contém o número de ordem inicial do cliente, incrementado de 1.

Por último, o cliente transmite ao servidor uma acusação de recepção, isto é, um segmento onde a bandeira ACK não seja nula e, cuja bandeira SYN está em zero (não se trata mais de um segmento de sincronização). Seu número de ordem é incrementado e o número de aviso de recepção representa o número de sequência inicial do servidor incrementado de 1.

A máquina usurpada vai responder com um pacote TCP cuja bandeira RST (reset) é não nula, o que cortará a conexão.

Distruir a máquina usurpada

No contexto de um ataque por usurpação de endereço IP, o atacante não tem nenhuma informação de retorno porque as respostas da máquina alvo vão para outra máquina da rede (blind attack – ataque às cegas):

The spoofed machine responds to the ACK with an RST
Além disso, a máquina usurpada priva o hacker de qualquer tentativa de conexão, porque envia sistematicamente uma bandeira RST à máquina alvo. O trabalho do hacker consiste em invalidar a máquina falsificada tornando-a inacessível durante o ataque.

Como prever os números de sequência

Quando a máquina falsificada for invalidada, a máquina alvo espera um pacote que contenha o aviso de recepção e o número de sequência correto. O trabalho do hacker consistirá, então, em adivinhar o número de sequência a enviar ao servidor para que a relação de confiança seja estabelecida.

Para isso, os hackers utilizam a fonte routing, ou seja, eles utilizam o campo Opção do cabeçalho IP para indicar um caminho de retorno específico para o pacote. Assim, graças ao sniffing, o hacker poderá ler o conteúdo das tramas de retorno:

Search for sequence numbersAssim sendo, conhecendo o último número de sequência emitido, o hacker estabelece estatísticas relativas ao seu incremento e envia avisos de recepção até obter o número de sequência correto.

 

Fonte: http://br.ccm.net/contents/40-roubo-de-endereco-ip-mystification-spoofing

Aprenda a instalar e usar o EVE-NG para emular roteadores da MikroTik

Nesse vídeo iremos ensinar como instalar e usar o EVE-NG para emular roteadores da MikroTik.

O EVE-NG é um emulador de redes que está ganhando cada vez mais usuários.

Esse novo emulador possui várias vantagens em relação ao GNS3, abaixo listamos algumas delas:
– Melhor performance de CPU devido ao uso do KVM.
– Pode ser usado em uma máquina virtual.
– Fácil instalação e poucos problemas.

Como ver quais sites o seu computador acessa secretamente

Dos computadores que você tem em casa, quantos deles estão conectados na internet? Praticamente todas as máquinas que saíram das lojas nos dois últimos anos, seja notebook ou PC, estão ligadas à rede mundial de computadores, o que faz com elas se tornem alvo de usuários mal-intencionados.

Existem diversos programas que ajudam a proteger sua máquina dessas pragas, mas nem sempre eles são suficientes para impedir que elas invadam o computador. Outro problema bem comum é que os aplicativos de proteção não conseguem detectar 100% dos invasores que batem à porta do usuário.

Um tipo bem comum de spyware é aquele que não tem a intenção de roubar dados, mas sim de utilizar o computador como zumbi, utilizando a sua conexão com a internet para hackear sites e serviços disponíveis na rede. Mas existe uma forma de monitorar a sua conexão com a internet e ver todo e qualquer site ou endereço de IP que é acessado por meio do seu roteador.

 

Como fazer?

O primeiro passo para descobrir quais serviços estão sendo acessados do seu computador é iniciar o prompt de comandos do Windows com os privilégios de administrador. Para isso, abra o Menu Iniciar e escreva “cmd” na caixa de pesquisa. Em seguida, clique com o botão direito do mouse sobre a opção encontrada e escolha o item “Executar como administrador”.

O “-a” do comando significa que todas as conexões e portas serão ouvidas e armazenadas no arquivo; o “-b” mostrará quais aplicações estão criando os caminhos para acesso à internet; o “-f” gravará os DNS completos de cada conexão, para facilitar a compreensão dos dados. Caso queira que apenas os endereços IPs sejam gravados, coleque o -n no lugar do “-f”, ficando ”-abn”. O valor “5” indica o intervalo de tempo, em segundos, entre uma leitura e outra.

Não será mostrado nada na tela enquanto o comando estiver sendo executado. Depois de alguns minutos, pressione Ctrl+C para encerrar a leitura das conexões e finalizar a gravação dos dados no arquivo. Agora é só abrir o arquivo de? texto criado e começar a investigar quais são os serviços acessados a partir do seu computador.

Como interpretar os resultados?

Ao abrir o arquivo activity.txt você poderá notar que o conteúdo está dividido em quatro colunas principais: “Proto”, “Endereço local”, “Endereço externo” e “Estado”. A primeira indica o protocolo de comunicação utilizado pelo processo. A segunda e a terceira mostram os endereços IP utilizados e a última coluna exibe a atividade que estava sendo realizada no momento da leitura.

É na terceira coluna que os esforços serão concentrados, pois ela indica as URLs e endereços IP externos acessados utilizando a sua máquina. Uma maneira fácil de encontrar alguma atividade suspeita é olhar o nome dos processos, apresentados entre colchetes ao longo do documento.

Ao notar um processo estranho, verifique o endereço externo que ele utiliza. Se mesmo assim você não conseguir identificar do que se trata, uma boa saída é procurar pelo nome da atividade no Google. Se for algo comum nos computadores, certamente há algum site explicando do que se trata.

Outra forma de descobrir o serviço acessado é utilizando algum serviço que rastreia endereços IP. Duas boas opções são o IP Address Tracer e o Global Whois Search. Nos dois casos, você só precisa copiar o IP nos campos de pesquisa e aguardar até que a busca seja finalizada e os dados comecem a aparecer na tela.

 

Outras ferramentas

Existem diversos aplicativos que ajudam a monitorar as portas e conexões abertas em um computador. O CurrPorts é um dos mais usados pelos usuários com um pouco mais de experiência, pois é relativamente fácil de usar e a interpretação dos resultados exibidos na tela se dá de forma mais natural.

Há ainda o Wireshark, mais indicado para quem possui uma rede de computadores em casa, pois ele também analisa a troca de mensagens entre as máquinas conectadas pelo hub (ou switch). Assim, caso algum PC esteja infectado e a invasão acabe se propagando pela rede, você consegue detectá-la sem maiores problemas.

 

O que faço depois?

Se o resultado das investigações apontarem que o processo é, de fato, um invasor, é preciso tomar algumas providências para que ele seja eliminado do computador e não utilize mais a sua conexão. A maneira mais simples de fazer isso é utilizando aplicativos de segurança, como anti-spywares, que varrem a máquina em busca de possíveis sanguessugas de internet.

 

 

Caso as ferramentas não tenham efeito algum sobre o possível invasor, uma alternativa é buscar na rede mundial de computadores por injeções específicas para determinada praga. O Google sempre ajuda nessas horas. É muito comum as empresas de segurança lançarem soluções gratuitas para combater apenas determinadas ameaças.

…..

Agora que você já sabe como usar o “netstat” e viu como é fácil interpretar os dados e utilizar as informações fornecidas, comece as investigações em seu computador para descobrir se não há nenhum processo rodando escondido e que esteja prejudicando a sua conexão. Depois não se esqueça de voltar aqui para deixar um comentário contando a sua experiência.

 

Fonte: https://www.tecmundo.com.br/seguranca-de-dados/16199-como-ver-quais-sites-o-seu-computador-acessa-secretamente.htm

Dicas para proteger sua rede no auge do KRACK

KRACK

A vulnerabilidade KRACK recente almeja o link entre seu dispositivo eo ponto de acesso Wi-Fi, que provavelmente é um roteador em sua casa, seu escritório ou seu café favorito. Essas dicas podem ajudar a melhorar a segurança de sua conexão.

vulnerabilidade dos ataques KRACK tem agora mais de 48 horas e foi discutida em detalhes em vários sites relacionados à tecnologia , por isso não repito os detalhes técnicos do ataque aqui. Para resumir:

  • Uma falha no protocolo de handshake sem fio WPA2 permite que os atacantes cheirem ou manipulem o tráfego entre seu dispositivo e o ponto de acesso wi-fi.
  • É particularmente ruim para dispositivos Linux e Android, devido a formulação ambígua no padrão WPA2 ou a mal-entendidos durante sua implementação. Efetivamente, até que o SO subjacente seja corrigido, a vulnerabilidade permite que os atacantes forçam todo o tráfego sem fio a acontecer sem qualquer criptografia.
  • Esta vulnerabilidade pode ser corrigida no cliente, então o céu não caiu e o padrão de criptografia sem fio WPA2 não está obsoleto no mesmo sentido em que o padrão WEP é (não “conserta” esse problema mudando para o WEP).
  • As distribuições de Linux mais populares já estão sendo enviadas atualizações que corrigem essa vulnerabilidade no cliente, então aplique as suas atualizações de forma adequada.
  • O Android será correções de remessa para esta vulnerabilidade muito em breve. Se o seu dispositivo estiver recebendo correções de segurança do Android, você receberá uma correção antes. Se o seu dispositivo já não receber essas atualizações, essa vulnerabilidade específica é apenas uma outra razão pela qual você deve parar de usar dispositivos Android antigos e não suportados.

Dito isto, da minha perspectiva, o Wi-Fi é apenas um outro link na cadeia de infra-estrutura não confiável e, em geral, devemos evitar tratá-lo como um canal de comunicação confiável.

Wi-Fi como infra-estrutura não confiável

Se você está lendo este artigo de seu laptop ou seu dispositivo móvel, então sua cadeia de comunicação provavelmente se parece com algo assim:

Blank Network Diagram - Basics.png

O ataque KRACK visa o link entre o seu dispositivo eo ponto de acesso Wi-Fi, que provavelmente é um roteador em sua casa, seu escritório, sua biblioteca de bairro ou seu café favorito.

Diagrama de rede em branco - Onde Kracks acontece (1) .png

Na realidade, esse diagrama deve ser semelhante a este:

Diagrama de rede em branco - Em todo o lado (1) .png

Wi-Fi é apenas o primeiro link em uma longa cadeia de comunicação que acontece por canais que não devemos confiar. Se eu adivinhe, o roteador de Wi-Fi que você está usando provavelmente não recebeu uma atualização de segurança desde o dia em que foi montado. Pior ainda, provavelmente veio com credenciais administrativas padrão ou fácil de adivinhar, que nunca foram alteradas. A menos que você configure e configure esse roteador e você se lembre da última vez que você atualizou o firmware, você deve assumir que agora ele é controlado por outra pessoa e não pode ser confiável.

Passando o roteador Wi-Fi, entramos na zona de desconfiança geral da infra-estrutura em geral – dependendo dos níveis gerais de paranóia. Aqui temos fornecedores de internet e provedores, muitos dos quais foram capturados monitorando, alterando, analisando e vendendo nosso tráfego pessoal na tentativa de ganhar dinheiro extra com nossos hábitos de navegação. Muitas vezes, seus próprios planos de parcelamento de segurança deixam muito a desejar e acabam expondo nosso tráfego a olhos maliciosos.

Na Internet em geral, temos que nos preocupar com potentes atores de nível estadual com capacidade de manipular protocolos de rede principais para realizar programas de vigilância em massa ou executar filtragem de tráfego a nível do estado.

Protocolo HTTPS

Felizmente, temos uma solução para o problema da comunicação segura sobre o meio não confiável, e usamos todos os dias – o protocolo HTTPS criptografa nosso tráfego na Internet ponto a ponto e garante que podemos confiar em que os sites com os quais nos comunicamos são quem eles dizem que são.

As iniciativas da Fundação Linux, como o Let’s Encrypt, tornam mais fácil para os proprietários de sites em todo o mundo oferecer criptografia de ponta a ponta que ajuda a garantir que qualquer equipamento comprometido entre nossos dispositivos pessoais e os sites que estamos tentando acessar não importa.

Diagrama de rede em branco - HTTPS (1) .png

Bem … quase não importa.

DNS continua a ser um problema

Mesmo que possamos usar o HTTPS com segurança para criar um canal de comunicação confiável, ainda existe a chance de um invasor com acesso ao nosso roteador Wi-Fi ou a alguém que possa alterar nosso tráfego Wi-Fi – como é o caso do KRACK – pode nos engana em se comunicar com o site errado. Eles podem fazê-lo aproveitando o fato de que ainda confiamos muito no DNS – um protocolo não criptografado, facilmente falsificado da década de 1980 .

Diagrama de rede em branco - LOL DNS.png

DNS é um sistema que traduz nomes de domínio amigáveis ​​para humanos como “linux.com” em endereços IP que os computadores podem usar para se comunicar uns com os outros. Para traduzir um nome de domínio para um endereço IP, o computador consultaria o software resolver – geralmente executado no roteador Wi-Fi ou no próprio sistema. O resolvedor então consultaria uma rede distribuída de servidores de nomes “raiz” para descobrir qual sistema na Internet tem o que é chamado de informações “autoritativas” sobre o endereço IP que corresponde ao nome de domínio “linux.com”.

O problema é que toda essa comunicação ocorre por meio de protocolos não-autenticados, facilmente falsificados e de texto claro, e as respostas podem ser facilmente alteradas por atacantes para que a consulta devolva dados incorretos. Se alguém conseguir esconder uma consulta DNS e retornar o endereço IP errado, eles podem manipular onde o nosso sistema acaba enviando a solicitação HTTP.

Felizmente, o HTTPS tem muita proteção integrada para garantir que não seja fácil para alguém fingir ser outro site. O certificado TLS no servidor mal-intencionado deve corresponder ao nome DNS que você solicita e ser emitido por uma Autoridade de Certificação respeitável reconhecida pelo seu navegador. Se esse não for o caso, o navegador mostrará um grande aviso de que o host com o qual você está tentando se comunicar não é quem eles dizem que são. Se você vir esse aviso, seja extremamente cauteloso antes de optar por substituí-lo, pois você pode estar afastando seus segredos para as pessoas que os usarão contra você.

Se os atacantes tiverem o controle total do roteador, eles podem impedir sua conexão de usar o HTTPS em primeiro lugar, interceptando a resposta do servidor que instrui seu navegador a configurar uma conexão segura (isto é chamado de ” ataque de tira SSL ” ). Para ajudar a protegê-lo desse ataque, os sites podem adicionar um cabeçalho de resposta especial dizendo ao seu navegador que use sempre HTTPS quando se comunicar com eles no futuro, mas isso só funciona após sua primeira visita. Para alguns sites muito populares, os navegadores agora incluem uma lista codificada de domínios que sempre devem ser acessados ​​através do HTTPS mesmo na primeira visita.

A solução para a falsificação de DNS existe e é chamada DNSSEC , mas tem adotado uma adoção muito lenta devido a obstáculos importantes – reais e percebidos. Até que DNSSEC seja usado universalmente, devemos assumir que as informações de DNS que recebemos não podem ser totalmente confiáveis.

Use VPN para resolver o problema de segurança da última milha

Então, se você não pode confiar no Wi-Fi – e / ou o roteador sem fio no porão que provavelmente é mais velho do que a maioria dos seus animais de estimação – o que pode ser feito para garantir a integridade da comunicação “última milha”, a única Isso acontece entre o seu dispositivo e a Internet em geral?

Uma solução aceitável é usar um provedor VPN respeitável que estabeleça um link de comunicação seguro entre o seu sistema e sua infraestrutura. A esperança aqui é que eles prestam mais atenção à segurança do que o seu fornecedor de roteadores e seu provedor de Internet imediato, de modo que eles estão em melhor posição para garantir que seu tráfego esteja protegido contra o cheiro ou a falsificação de festas maliciosas. O uso da VPN em todas as suas estações de trabalho e dispositivos móveis garante que vulnerabilidades como ataques KRACK ou roteadores inseguros não afetem a integridade de sua comunicação com o mundo exterior.

Diagrama de rede em branco - VPN.png

A importante ressalva aqui é que, ao escolher um provedor VPN, você deve estar razoavelmente seguro de sua confiabilidade; Caso contrário, você está simplesmente negociando um conjunto de atores maliciosos para outro. Fique longe de qualquer coisa que ofereça “VPN grátis”, pois provavelmente estão ganhando dinheiro espionando você e vendendo seu tráfego para empresas de marketing. Este site é um bom recurso que permite que você compare vários provedores de VPN para ver como eles se empilham uns contra os outros.

Nem todos os seus dispositivos precisam ter uma VPN instalada neles, mas as que você usa diariamente para acessar os sites com suas informações pessoais privadas – e especialmente qualquer coisa com acesso ao seu dinheiro e sua identidade (governo, sites bancários, redes sociais, etc.) devem ser protegidos. A VPN não é uma panaceia contra todas as vulnerabilidades do nível de rede, mas definitivamente ajudará a protegê-lo quando estiver preso usando Wi-Fi inseguro no aeroporto, ou a próxima vez que uma vulnerabilidade tipo KRACK for descoberta.

Saiba mais em “O Guia Essencial de SysAdmin para a Segurança da Estação de Trabalho Linux” da Fundação Linux. Baixe o ebook gratuito e a lista de verificação agora!

Fontehttps://www.linux.com/blog/2017/10/tips-secure-your-network-wake-krack

A segurança do bitcoin pela força computacional

 

A segurança no bitcoin é alcançada pela descentralização e pela força computacional. Este não é um vídeo técnico, mas sim uma visão geral do funcionamento da tecnologia.

Para fontes mais técnicas e detalhas, ver artigos abaixo.

Para saber mais:

Artigo “A grande inovação tecnológica do bitcoin Parte 1/2” http://www.infomoney.com.br/blogs/cam… Mining Bitcoin Wiki: https://en.bitcoin.it/wiki/Mining

Beginners’ Guide to Mining: https://99bitcoins.com/beginners-guid…

Bitcoin Mining Explained: https://chrispacia.wordpress.com/2013…

Everything you need to know about BTC mining: https://www.bitcoinmining.com/

How the bitcoin protocol actually works: http://www.michaelnielsen.org/ddi/how…

“Bitcoin – a Moeda na Era Digital”, livro publicado pelo Instituto Mises Brasil em 2014. http://www.mises.org.br/Ebook.aspx?id=99

Blog “Moeda na Era Digital” no portal InfoMoney http://www.infomoney.com.br/blogs/cam…

Está pensando em usar ou comprar bitcoin? Leia aqui antes: http://www.infomoney.com.br/blogs/cam…

Apoie este canal! Bitcoin: 1C6qa2DctPUcyAasDkgdBTJjhgpXaVjcUE

Contatos: Email: ulrich@mises.org.br

Facebook: https://www.facebook.com/fernando.ulrich

Twitter: https://twitter.com/fernandoulrich

Proposta de identificação de ataques ao serviço SSH usando padrões no consumo de corrente em plataformas embarcadas

Resumo: Este trabalho apresenta a obtenção de curvas de consumo de corrente elétrica, a partir das respostas geradas por um sistema embarcado de baixo custo Raspberry Pi 2 Model B executando o sistema operacional Linux Raspbian trabalhando como um servidor de acesso remoto SSH, que é avaliado através de diferentes tipos de acessos e ataques de força bruta com dicionários através das ferramentas especializadas Medusa e Hydra, como também a ferramenta não especializada Metasploit. O comportamento energético é interpretado por um sistema de medição de consumo de corrente desenvolvido pela plataforma embarcada de baixo custo Arduino Uno que administra um sensor de corrente baseado no chip ACS721ELC- 5A de efeito Hall, que possui a capacidade de coletar as variações geradas pela plataforma de teste em resposta aos eventos produzidos pelos cenários de provas propostos, os dados são processados pelo Framework Matlab que coleta, analisa e normaliza por meio do método de Welch o sinal de corrente que é interpretado pelo Arduino Uno, posteriormente apresentase uma curva padrão que caracteriza um determinado evento baseado nos cenários de provas. Os resultados apresentam as diferentes curvas padrões normalizadas, e contextualizadas nos tipos de cenários avaliados, seguidamente apresenta-se um modelo matemático teórico do consumo de corrente proposto, como também as regras ou assinaturas propostas para identificar um ataque através do método de detecção por padrões que utilizada o IDS Snort. Essas curvas de corrente facilitam o entendimento e obtenção de um padrão de consumo de corrente para cada acesso e ataque na plataforma embarcada.

https://bdtd.ufs.br/handle/tede/3365

PROPOSTA DE IDENTIFICAÇÃO DE ATAQUES AO SERVIÇO SSH USANDO PADRÕES NO CONSUMO DE CORRENTE EM PLATAFORMAS EMBARCADAS

Este trabalho apresenta a obtenção de curvas de consumo de corrente elétrica, a partir das respostas geradas por um sistema embarcado de baixo custo Raspberry Pi 2 Model B executando o sistema operacional Linux Raspbian trabalhando como um servidor de acesso remoto SSH, que é avaliado através de diferentes tipos de acessos e ataques de força bruta com dicionários através das ferramentas especializadas Medusa e Hydra, como também a ferramenta não especializada Metasploit. O comportamento energético é interpretado por um sistema de medição de consumo de corrente desenvolvido pela plataforma embarcada de baixo custo Arduino Uno que administra um sensor de corrente baseado no chip ACS721ELC- 5A de efeito Hall, que possui a capacidade de coletar as variações geradas pela plataforma de teste em resposta aos eventos produzidos pelos cenários de provas propostos, os dados são processados pelo Framework Matlab que coleta, analisa e normaliza por meio do método de Welch o sinal de corrente que é interpretado pelo Arduino Uno, posteriormente apresentase uma curva padrão que caracteriza um determinado evento baseado nos cenários de provas. Os resultados apresentam as diferentes curvas padrões normalizadas, e contextualizadas nos tipos de cenários avaliados, seguidamente apresenta-se um modelo matemático teórico do consumo de corrente proposto, como também as regras ou assinaturas propostas para identificar um ataque através do método de detecção por padrões que utilizada o IDS Snort. Essas curvas de corrente facilitam o entendimento e obtenção de um padrão de consumo de corrente para cada acesso e ataque na plataforma embarcada.

CAPÍTULO 1 INTRODUÇÃO De acordo com [COELHO et al. 2014], a segurança da informação tem a responsabilidade de proteger a informação sendo determinante para assegurar a competitividade, a lucratividade, e o atendimento aos requisitos legais, preservando a imagem da organização junto ao mercado. A segurança de informação, segundo [GIAVAROTO et al. 2013], não é um produto, é um processo, e por isso, há uma enorme dificuldade em determinar qual é o nível de segurança apropriado. É necessário investigar os riscos, realizar testes, validar as políticas de segurança e tecnologias utilizadas com o objetivo de atender os preceitos de segurança da informação. A segurança nas comunicações [STALLINGS 2007] é uma prática que contém como tarefa principal, prevenir o acesso não autorizado a certos recursos informáticos. Esta conotação é mais estrita no sentido de desenho das soluções entre duas entidades que tentam estabelecer um meio de comunicação comum e seguro. Neste contexto, os protocolos de comunicações são os responsáveis de administrar mecanismos necessários, a fim de estabelecer uma ligação entre uma origem e um destino de forma que os dados enviados sejam transmitidos em forma segura [AMATO 2001]. A confidencialidade, segundo os autores [KUROSE et al. 2010], é um conceito que garante a segurança na transmissão de mensagens e devem ser compreendidas somente pelo remetente e pelo destinatário. A forma de afiançar esta segurança é através de técnicas de cifragem de dados combinada com a autenticação do ponto final. Na atualidade existem soluções em software que cifram os canais de comunicação garantindo a confiabilidade dos dados transmitidos, um exemplo são as redes privadas virtuais VPN [MASON et al. 2002], arquitetura de comunicação que concede um nível aceitável de segurança. Esta arquitetura de segurança exposta a condições de ataques especializados pode chegar a comprometer sua segurança, desta forma um atacante externo está possibilitado a interceptar as mensagens enviadas e recebidas com o agravante de manipular as comunicações à sua vontade [ASHIDANI 2009]. O serviço de comunicação SSH [SILVERMAN et al. 2001] é o serviço de rede mais difundido e utilizado na administração remota de recursos informáticos. Uma das capacidades que possui SSH é estabelecer um canal de comunicação cifra entre uma origem e um destino, este serviço é muito utilizado com o fim de realizar a administração geral de um sistema informático remoto [LAUDON et al. 2013]. Desde o ponto de vista dos administradores de sistemas é a ferramenta por excelência na administração remota, também um ponto de ataque relevante para potenciais intrusões e tudo tipo de ameaças [TABISH et al. 2009]. Hoje em dia se conhecem Malwares [INCE 2008] muito sofisticados que automatizam tudo o processo de conexão a um sistema remoto baseado em ameaças conhecidas [MORTENSEN et al. 2013]. Os sistemas embarcados de acordo com os autores [MORENO et al. 2003] são definidos como uma unidade central de processo integrado a um sistema maior com o objetivo de auxiliar o controle e execução de tarefas, ademais os sistemas embarcados em termos gerais são considerados dispositivos eletrônicos de propósitos gerais. Um claro exemplo é o projeto Raspberry Pi Foundation1 , esta iniciativa nasceu com o objetivo de estimular o ensino da informática baseado na filosofia Open hardware e Open software. Seu desenvolvimento está direcionado em uma economia de escala, frente a um mercado competitivo de sistemas embarcados existentes, tais como: Oluxino2 , Cubieboard23 , Odroid4 , Beagleboard5 , Raspberry Pi possui a maior cota de mercado neste segmento, isso se deve à relação que existe entre o preço e as características disponíveis. Na Tabela 1.1 apresentam-se as características técnicas dos sistemas embarcados mencionados anteriormente…

 Link: https://bdtd.ufs.br/bitstream/tede/3365/2/VICTOR_GABRIEL_GALVAN.pdf

Balanceamento Web – Proxy Reverso

Um servidor de Proxy será um servidor que ficará a frente dos servidores WEB. As conexões chegaram a ele primeiro, e ele será responsável por distribuir as conexões para os outros servidores através de um Proxy.

O Proxy reverso será responsável por repassar, ou rotear o tráfego recebido para o, ou os servidores WEB. É muito utilizado para balancear carga em servidores WEB.

Podemos lidar com vários fatores, ou melhor, podemos ter várias características, entre elas:

  • Segurança
  • Criptografia
  • Balanceamento de Carga
  • Cache
  • Compressão

Nestes termos acima, podemos ter segurança a vários tipos de ataques, já que os mesmos passarão pelo Proxy primeiro, antes de, por exemplo, algum tipo de injeção (Injection), além de podermos tratar a criptografia ssl no próprio Proxy, têm outros fatores muito interessantes, como o Balanceamento de carga, que é o foco de nosso Post, mas temos ainda o Cache, para acelerar a resposta e compressão de Dados.

Existem muitos aplicativos que podem fazer isso, tal como Cisco, Iplanet Web Proxy, Isa, Squid, Nginx e Apache. Em nosso Post veremos o Squid Proxy e Apache Server.

Configurando Proxy Reverso no Apache

 

Para configuração do Apache, são necessários três módulos: proxy, proxy_balancer, proxy_http. Neste ambiente usei três Servidores Apaches que são:

  • 192.168.0.200                        Servidor Proxy Reverso
  • 192.168.0.201                        Servidor WEB 1
  • 192.168.0.202                        Servidor WEB 2

Em todos os servidores devemos instalar o apache2:

apt-get install apache2

 

Nos servidores WEB 1 e 2, alterei a pagina index.html em /var/www, colocando o endereço IP dos próprios para podermos identificar se o balanceamento está ocorrendo de fato, no servidor WEB 1, adicionei a linha “Servidor 192.168.0.201” e no Servidor WEB 2 adicionei a linha “Servidor 192.168.0.202” em seus respectivos index.html.

Obviamente, você fará a configuração do seu servidor conforme necessidade, como instalar PHP, Java, banco de dados se for o caso. Note que neste ultimo caso do Banco de dados é interessante termos outro servidor que centralizará essas informações.

Agora vamos à configuração do Servidor Proxy. O primeiro passo é habilitar os módulos:

a2enmod proxy proxy_balancer proxy_http

 

Devemos editar o arquivo /etc/apache/sites-available/default:

<Proxy balancer://mycluster>BalancerMember http://192.168.0.201:80BalancerMember http://192.168.0.202:80</Proxy&gt;

ProxyPass /test balancer://mycluster

 

Deve-se usar a diretiva <Proxy> para informar ao Apache, usar o módulo proxy, seguido do balancer, que será o identificador. Qualquer nome poderá ser usado sem nenhum problema.

O valor colocado em BalancerMember já fala por si só. Serão os servidores reais, do qual queremos balancear.

ProxyPass – ProxyPass permite mapear a árvore de documentos de um servidor Web no espaço de documentos de seu servidor proxy. Enfim, ele fará o redirecionamento de /test para balancer://mycluster. Se caso você deseje redirecionar a própria raiz do servidor basta trocar “/test” por “/”.

Após esse procedimento basta reiniciarmos o apache e fazermos o teste.

 

invoke-rc.d apache2 restart

 

Acesse o endereço do Proxy Server, ele deverá redirecionar a cada requisição para um servidor diferente.

Podemos também utilizar o próprio modulo do balancer para gerenciamento como será feito a carga, para isso precisamos criar uma nova configuração, chamando o módulo do balancer, veja abaixo:

 

<Location /balancer-manager>SetHandler balancer-managerOrder deny,allowAllow from all

</Location>

 

A deve-se adicionar uma nova entrada para a entrada balancer-manager, mas devemos prestar atenção, esta diretiva deve ser colocada antes da diretiva ProxyPass anterior, no caso de redirecionamento da raiz inteira, como citado anteriormente trocando “/test” por “/”. Pois como ele está redirecionado toda a raiz para os servidores membros, ele acabará tentando redirecionar também “servidor/balancer-manager”.

Mas caso tenha feito como o exemplo acima, você poderá colocar logo abaixo da diretiva “</Location>”. Veja a entrada abaixo:

 

ProxyPass /balancer-manager !

 

A diretiva irá redirecionar o /balance-manager para o mesmo diretório, que na realidade nem existe de fato.

Para acessar, basta ir ao endereço “http://192.168.0.200/balancer-manager”, e você verá uma tela como abaixo:

 

Como podemos ver acima, bastam selecionar um dos servidores, que será exibida os valores para “Load fator:”, por exemplo se quisermos alterar o balanceamento para 2/3 para um e 1/3 para o outro, basta alterar o valor para 2, como visto acima. Podemos também ver estatísticas de acesso, em “Elected To”.

 

Configurando Proxy Reverso no Squid

 

Outra forma de fazermos o proxy reverso, é utilizando o Squid, nosso proxy padrão no Linux.

Ele possui essa opção, para podermos fazer o balanceamento entre servidores, como visto anteriormente com Apache.

O primeiro passo a ser feito é a remoção do servidor WEB e a instalação do Squid no Servidor Proxy WEB, em nosso caso no 192.168.0.200.

 

invoke-rc.d apache2 stop

apt-get remove apache2

apt-get install squid

 

Com isso, já estamos prontos para configuração de nosso proxy reverso.

A feature que permite isso é a cache_peer. Esta diretiva é usada para especificar outros caches na hierarquia, como por exemplo usar proxy cascateados, em nosso caso iremos usar para redirecionar não para outro proxy e sim para outros servidores.

Ele possui cinco campo é o nome ou endereço Ip do servidor , já especificado a porta. O segundo campo indica o tipo de relacionamento, o terceiro campo define a porta Http do servidor de destino, enquanto o quarto define a port ICP (UDP) para consulta, e o quinto campo pode conter zero ou mais palavras chaves e opções.

Entre os tipos temos :

  • parent             Relacionamento que redirecionará pedidos para o cache pai.
  • sibling             Relacionamento entre irmãos, onde somente alguns objetos serão solicitados.
  • multicast        O pacote Multicast é de uma máquina para outra ou outras.

Quanto a opções temos várias interessantes:

  • proxy-only                  Especifica que os objetos que foram buscados para este cache , n
  • Weight=n                   Especificar um peso para o parent. O peso deve ser um número inteiro.
  • no-query                     Essa opção é definida entre pares, que não suportam consulta ICP.
  • round-robin                Define um conjunto de parent que devem ser utilizados de forma um round-robin (algoritmo).
  • originserver               Faz com que este servidor seja contatado como o servidor de origem. Feito para ser usado nas configurações de acelerador quando o par (peer) é um servidor WEB.

 

Existem muitas outras configurações, mas para o nosso caso, não vamos precisar fazer um curso de cache_peer.rsrs

Num primeiro momento, devemos então, alterar a porta http_proxy, para escutar a porta 80, e configuramos nossos cache_peer. Veja abaixo as linhas que deverão ser adicionadas e alteradas , no caso de já existirem, como no caso do http_proxy:

 

http_port 192.168.0.200:80 vhost defaultsite=www.site.com.brcache_peer 192.168.0.201 parent 80 0 no-query originserver round-robincache_peer 192.168.0.202 parent 80 0 no-query originserver round-robin

 

No primeiro item, alteramos a porta padrão 3128, para IP do servidor na porta 80, o valor de vhost, servirá somente colocar no header um host, caso este não venha especificado. Como não estamos usando domínio neste Post, coloquei um qualquer, mas funcionará normalmente.

Já as duas linhas seguintes, especificamos nossos servidores , como parent, trabalhando na porta 80, serem tratados como servidores originais, e usarem round-robin ( Uma conexão para cada distribuída igualmente).

Se caso quiséssemos fazer um balanceamento desigual, deveríamos usar o valor“weight=n”, para dar peso. Seguindo o exemplo anterior, 2/3 para o primeiro e 1/3 para o segundo, ficaria da seguinte forma:

 

cache_peer 192.168.0.201 parent 80 0 no-query originserver round-robin weight=2cache_peer 192.168.0.202 parent 80 0 no-query originserver round-robin weight=1

 

O segundo passo é em relação às próprias acl do Squid. Como sabemos ele vem negando tudo com a acl “http_access deny all”. Para resolver isso, precisamos criar um acl contendo nossos servidores e o próprio proxy, e permitir acesso a eles. Certifique-se que esteja antes da linha “http_access deny all”, para que funcione.

 

acl hosts dst 192.168.0.200 192.168.0.201 192.168.0.202http_access allow hosts

 

Com isso estamos prontos para testar, basta reiniciar o Squid, e fazer o teste , enviando solicitação WEB para o Proxy, e o mesmo redirecionará para os dois servidores WEB 192.168.0.201 e 192.168.0.202.

 

Conclusão

 

Como podemos ver acima, os dois processos são muito simples, não requer um grande estudo e preparo. Não foi necessário usar roteamento, ou alterar a tabela de roteamento, bem como regras de firewall.

Obviamente se você possui um firewall, este terá que ter regras que permitam tais acessos.

E mais uma vez, espero que aproveitem o Post.

 

 

Fonte: http://stato.blog.br/wordpress/balanceamento-web-com-proxy-reverso/

Gerenciamento de Continuidade de Serviço de TI

Vamos para mais um artigo sobre ITIL. Lembrando que nossos artigos têm apenas a finalidade de resumo ou de guia de estudos. Caso deseje estudar para a prova, recomendamos o uso de materiais oficiais e cursos credenciados.

Gerenciamento de continuidade de serviço de TI

Este pode ser um assunto extremamente complexo quando se trata de sua aplicação, mas igualmente necessário para manter o recurso funcionando. A continuidade de serviço de TI é responsável pela habilidade de recuperação necessária para os serviços de TI e seus componentes de apoio em um evento de desastre. Dentre estes eventos temos:

  • Incêndios
  • Enchentes
  • Terrorismos
  • Tempestades
  • Vandalismos
  • Blackouts e apagões

Como o processo de disponibilidade foca na operação normal do negócio, cabe ao gerenciamento de continuidade de serviço de TI se preocupar com desastres. Este processo auxilia na introdução de medidas de redução de riscos e opções para a recuperação dos serviços.

Seu propósito:

  • Apoiar o processo de continuidade do negócio
  • Gerenciar riscos que podem afetar seriamente os serviços de TI
  • Garantir a provisão no mínimo SLA.

Suas Definições:

  • Definir e manter planos de continuidade de serviços de TI
  • Realizar regularmente análise de impacto
  • Análise de gerenciamento de riscos
  • Orientar as outras áreas sobre continuidade e recuperação dos serviços de TI
  • Assegurar a implantação dos mecanismos adequados
  • Avaliar o impacto de todas as mudanças nos planos de continuidade de serviços de TI
  • manutenção contínua nos planos

Análise de impacto:

Ao criar um modelo de análise de impacto, devemos levar em conta:

  • Serviços críticos do negócio de TI
  • Impactos causados pela indisponibilidade
  • Cenários de impacto
  • Obrigações da empresa perante a lei vigente
  • Tempo em que a empresa aguentaria sem os serviços e TI
  • Requisitos para recuperação
  • Determinar o tempo mínimo e máximo dos níveis de serviços a serem recuperados
  • Definir quais processos de negócio devem ser recuperados por completo

Análise de riscos:

  • Para determinar os requisitos de continuidade é importante ter um entendimento da probabilidade que um evento de desastre ou outra interrupção maior no serviço poderá de fato ocorrer. Isto é feito por meio de uma avaliação de riscos.
  • A avaliação determina as ameaças e o quanto a organização está vulnerável à elas
  • A Avaliação também pode ser usada em outros processos como gerenciamento de disponibilidade e gerenciamento de segurança da informação

 

AMEAÇAS: incêndios, falta de energia, etc

VULNERABILIDADES: ponto fraco que pode ser explorado pela falha

riscos

Fonte: http://www.purainfo.com.br/itil/itil-resumo-de-gerenciamento-de-continuidade-de-servico-de-ti/

Curso Wireless Hacking

001 – Instalando o BackTrack para os testes de invasao.wmv
002 – Entendendo o nosso contexto e ambiente de testes.wmv
003 – Baixando e Instalando o vistumbler.wmv
004 – Baixando o Wireless Network Watcher.wmv
005 – Definindo um Alvo e Tomando nota das informaçoes Necessárias.wmv
006 – Clonando MACs windows xp e restriçoes windows 7.wmv
007 – Exemplificando a Clonagem de MACs no BackTrack.wmv
008 – Rodando um scanner de vulnerabilidades nos hosts da rede wireless.wmv
009 – Quebrando chaves wep com o aircrack-ng.wmv
010 – Quebrando a segurança de redes wi-fi com wpa – aircrack-ng e crunch.wmv
Pentest em Redes sem Fio.mp4

Black Hat Python: Programação Python para Hackers e Pentesters

Sobre o autor

    Justin Seitz é um pesquisador sênior de segurança Immunity, Inc., onde ele passa sua caça bug tempo, engenharia reversa, escrever exploits, e codificação Python. Ele é o autor de cinza Hat Python , o primeiro livro para cobrir Python para análise de segurança.

Sobre os Revisores Técnicos

   Dan Frisch tem mais de dez anos de experiência em segurança da informação. Atualmente, ele é um sênior de segurança analista em uma agência de aplicação da lei canadense. Antes que o papel, ele trabalhou como consultor fornecendo avaliações de segurança para as empresas financeiras e de tecnologia na América do Norte. Porque ele está obcecado com tecnologia e possui uma faixa preta terceiro grau, você pode assumir (corretamente) que toda a sua vida é baseada em torno A Matrix . Desde os primeiros dias do Commodore PET e VIC­20, a tecnologia tem sido um companheiro constante (e às vezes uma obsessão!) para Cliff Janzen. Cliff descobriu sua paixão carreira, quando ele se mudou para segurança da informação em 2008, após uma década de operações de TI. Durante os últimos anos tem sido Cliff felizmente empregado como um consultor de segurança, fazendo tudo de revisão da política de testes de penetração, e ele se sente sortudo por ter uma carreira que é também o seu passatempo favorito.

black-hat-python-programacao-python-para-hackers-e-pentesters-justin-seitz

Prefácio

Python ainda é a língua dominante no mundo da segurança da informação, mesmo se a conversa cerca de idioma de sua escolha, por vezes, parece mais uma guerra religiosa. ferramentas baseadas em Python incluem todos os tipos de fuzzers, proxies, e até mesmo o ocasional explorar. Exploit frameworks como CANVAS são escritos em Python como são ferramentas mais obscuros como PyEmu ou Sulley. Apenas sobre cada fuzzer ou explorar tenho escrito tem estado em Python. De fato, a pirataria automóvel pesquisa que Chris Valasek e eu realizada recentemente continha uma biblioteca para injetar mensagens CAN sobre sua rede automotiva usando Python! Se você está interessado em mexer com as tarefas de segurança da informação, Python é uma grande linguagem de aprender por causa do grande número de engenharia e exploração bibliotecas reversa disponíveis para seu uso. Agora, se apenas os desenvolvedores Metasploit viria a seus sentidos e mudar em Ruby, Python, nossa comunidade estariam unidos. Neste novo livro, Justin cobre uma grande variedade de tópicos que um jovem hacker empreendedor seria necessário para sair do chão. Ele inclui instruções passo a passo de como ler e escrever pacotes de rede, como farejar a rede, bem como qualquer coisa que você pode precisar para auditoria de aplicações web e de ataque. Ele em seguida, passa mergulho de tempo significativa em como escrever código para lidar com especificidades de atacar Sistemas Windows. Em geral, Preto Hat Python é uma leitura divertida, e enquanto ele não pode transformá­lo em um Super hacker de golpe como eu, certamente pode ajudar a começar no caminho. Lembre­se, a diferença entre script kiddies e profissionais é a diferença entre simplesmente usando outra ferramentas das pessoas e escrever o seu próprio.

Charlie Miller

St. Louis, Missouri

setembro 2014.

Derrubar senha de Root no Ubuntu, Debian e Linux Mint

Essa dica, literalmente, vale ouro. Muitos Analistas Linux e técnicos em geral, já ganharam dinheiro fazendo isso… vamos lá.

Imagine se você esqueceu a senha de root da sua máquina e precisa instalar alguma aplicação como root (na grande maioria dos casos o comando sudo resolveria esta situação)… ou começou a trabalhar em uma empresa e a pessoa que você substituiu não lhe passou as senhas dos servidores? O que fazer? É simples!

NOTA: Este tutorial foi feito em Ubuntu, porém funciona em todas as distribuições baseadas em Debian e que possuem o bootloader Grub (inclusive a versão 2.00).

Primeiramente reinicie a máquina (se for Ubuntu, fique pressionando a tecla SHIFT durante o boot para que seja exibido o menu do Grub).

No menu acima, selecione a versão de kernel que você está usando e pressione a tecla “e”:

No final da linha linux /boot/vmlinux-x.x.xx (…) $vt_handoff  adicione o conteúdo abaixo:

rw init=/bin/bash

Deixando-a assim:

Após isso tecle F10 e será aberto um terminal como o mostrado abaixo:

Após isso, siga os seguintes passos:

# mount -o remount,rw /
# mount -a
# mount

A partir daqui você poderá editar o /etc/shadow

# nano /etc/shadow

Apague o conteúdo que estiver no segundo campo depois de root:

root:$1$fmdlkdjslj¨5$rdgd:14693:0:99999:7:::

Deixe assim:

root::14693:0:99999:7:::

Salve o arquivo e continue:

# sync
# umount -a
# mount -o remount,ro /

Agora pressione Ctrl+Alt+Del para reiniciar.

Após o reboot do sistema, abra um terminal e se logue como root (sem senha, é claro):

$ su

E digite:

# passwd root

E redefina outra senha de root. Se você estiver trabalhando em um servidor, após o reboot digite “root” ou invés de “su”.

 

Fonte: http://sejalivre.org

Ataque man-in-the-middle

Comunicação normal.

Comunicação interceptada.

O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo você e o seu banco, são de alguma forma interceptados, registrados e possivelmente alterados pelo atacante sem que as vitimas se apercebam.1 Numa comunicação normal os dois elementos envolvidos comunicam entre si sem interferências através de um meio, aqui para o que nos interessa, uma rede local à Internet ou ambas.

Durante o ataque man-in-the-middle, a comunicação é interceptada pelo atacante e retransmitida por este de uma forma discricionária. O atacante pode decidir retransmitir entre os legítimos participantes os dados inalterados, com alterações ou bloquear partes da informação.

Como os participantes legítimos da comunicação não se apercebem que os dados estão a ser adulterados tomam-nos como válidos, fornecendo informações e executando instruções por ordem do atacante.

Exemplo de um ataque

Suponha que Alice quer comunicar com Bob. Enquanto isso, Mallory deseja interceptar a conversa para ler a mesma e, possivelmente, (embora este passo é desnecessário) entregar uma mensagem falsa para Bob.

Primeiro, Alice pede Bob para sua chave pública. Se Bob envia sua chave pública para Alice, e Mallory é capaz de interceptá-lo, um ataque man-in-the-middle pode começar. Mallory envia uma mensagem forjada para Alice que afirma ser de Bob, mas em vez disso inclui a chave pública de Mallory.

Alice, acreditando que esta chave pública venha de Bob, criptografa sua mensagem com a chave de Mallory e envia a mensagem cifrada de volta para Bob. Mallory novamente intercepta, decifra a mensagem usando sua chave privada, possivelmente altera a mesma se ele quiser, e re-encripta a mesma usando a chave pública Bob originalmente enviado para Alice. Quando Bob receber a mensagem cifrada, ele irá acreditar que ela veio de Alice.

1. Alice envia uma mensagem para Bob, que é interceptado por Mallory:

Alice "Oi Bob, sou eu, Alice. Me passe a sua chave"-->  Mallory      Bob

2. Mallory envia esta mensagem para Bob; Bob não pode dizer que não é realmente de Alice:

Alice      Mallory "Oi Bob, sou eu, Alice. Me passe a sua chave"-->   Bob

3. Bob responde com sua chave de criptografia:

 Alice      Mallory   <--[Chave de Bob] Bob

4. Mallory substitui a chave de Bob com a sua, e transmite isso para Alice, alegando que é a chave de Bob:

Alice   <--[Chave de Bob] Mallory      Bob

5. Alice criptografa uma mensagem com o que ela acredita ser a chave de Bob, pensando que só Bob pode lê-lo:

Alice "Me encontre no ponto de ônibus!"[Encriptado pela chave de Mallory]-->   Mallory      Bob

6. No entanto, porque ele realmente foi criptografado com chave de Mallory, Mallory pode decifrá-lo, lê-lo, modificá-lo (se desejar), re-criptografar com chave de Bob, e envia-o Bob:

 Alice      Mallory "Me encontre na avenida brasil, em uma van branca sem janela!"[Encriptado pela chave de Bob]-->   Bob

7. Bob acha que esta mensagem é uma comunicação segura de Alice.

 

Origem: Wikipédia, a enciclopédia livre.

Um grupo hacker que se identificou como membro do grupo jihadista Estado Islâmico conseguiu invadir e alterar as contas do Twitter e do YouTube do Comando Central do Pentágono (CENTCOM).

pentagono-hack

Em comunicado, o CENTCOM confirmou o hack, que aconteceu ao mesmo tempo em que opresidente dos EUA, Barack Obama, fazia um discurso sobre segurança cibernética na Comissão Federal de Comércio em Washington.

O CENTCOM é responsável pela iniciativa militar dos EUA contra o Estado Islâmico (ISIS), na Síria e no Iraque.

Em coletiva de imprensa, o secretário de imprensa da Casa Branca, Josh Earnest assegurou que o episódio não representa violação de dados confidenciais estratégicos.

No Twitter, o grupo hacker publicou mensagens de apoio ao Estado Islâmico, ameaças contra militares e supostos dados confidenciais, que se provaram, após investigação, dados públicos.

Algumas horas depois do primeiro pronunciamento, o CENTCOM assegurou que nenhuma informação confidencial foi comprometida. O ataque foi classificado como vandalismo digital.

Apesar de não ter causado danos reais, o hackeamento das contas pe um importante alerta para empresas. Contas em mídias sociais devem ser tratadas com seriedade, instituindo-se senhas fortes e protocolos de segurança, pois são a “cara” de empresas e instituições. Uma invasão desse tipo pode arranhar a credibilidade e, potencialmente, afastar clientes.