Archives for Segurança category
Posted on jul 08, 2008 under Dicas Linux, Segurança |
Foi descoberta uma vulnerabilidade no protocolo DNS, essa falha de projeto permite a execução de um ataque conhecido como DNS cache poisoning attacks, esse ataque faz que o servidor DNS seja envenenado com os dados de servidores não autoritativos. Após receber esses dados o servidor irá colocá-los em cache para aumentar o rendimento.
Este ataque quando é bem sucedido pode redirecionar o tráfego de internet e email. Por exemplo o atacante cria uma página falsa então quando um cliente for abrir a página o tráfego é redirecionado para a página falsa sobre controle do atacante.
Essa vulnerabilidade foi corrigida pelo BIND sendo necessário a instalação da versão Bind 9.5.0-P1
New bind9 packages fix cache poisoning neste link mostra como atualizar o bind no Debian, mas tem uma descrição completa dos passos a serem seguidos independente de distribuição para assegurar um bom update.
Verifique se a sua distro já possui atualização do servidor de DNS.
O DNSsec, talvez seja a solução para as vulnerabilidades do DNS. Assisti um palestra no FISL9 do registro.br achei muito interessante inclusive eles disponibilizam um tutorial sobre DNSsec
Referências:
Vulnerabilidade CERT VU#800113
Patches coming today for DNS vulnerability
Posted on jul 05, 2008 under Segurança, Sem categoria |
As 5 maneiras para pegar vírus. Se você já fez alguma delas pode ter certeza que seu computador esta com vírus
1. Ir a sites porno
Geralmente esses sites abrem muitos pop-ups solicitam que instale o certificado de segurança. Cuidado pois se não pegar um vírus spyware com certeza irá pegar. Tem outros que pede para fazer uma conexão segura no tempo da internet discada e desconectava e discava para o exterior, imagina como ficava a conta de telefone.
2. Acessar sites Warez e Crack
Nestes sites é possível encontrar crack para quebrar programas, downloads de softwares completos e com certeza vírus, quem garante que o programa que você baixou não é um vírus.
3. Orkut, email, Msn
Quem nunca recebeu uma mensagem do tipo era você aqui.exe, te lembra dessa foto.exe, que flagra hein.scr, olha isso.pif. Essas mensagem são enviados por email, orkut, msn outras forma publiquei em um artigo anterior Pragas virtuais como se defender ?
3. Download por rede p2p
Exemplo você quer a música november rain do guns, manda pesquisar aparece em primeiro lugar novemberrain.exe você baixa e esta instalado o vírus. Sem mencionar que esses programas abrem várias portas tcp sendo um meio para invadir seu computador.
4. Download screensavers, toolbars, especialmente oferecida por pop-up
Todas as toolbars mesmo as legítimas como a do Google utiliza seu processador, então se instalar mais de uma com certeza sua navegação na internet ficará mais lenta, sendo que a grande maioria instala um monte de porcaria que é díficil de remover.
5. Download cursores animandos
Geralmente esses cursores trazem outros software junto com eles, como o whenU por exemplo é um software que monitora seus hábitos na internet e oferece propagandas não solicitadas.
Essas são as mais conhecidas. Faça um teste instale uma máquina virtual e execute todas ou algumas para ver se consegue se infectar com um vírus.
Boa Sorte.
Posted on jul 05, 2008 under Segurança |
Quem nunca pegou um vírus levante o mouse.
Os criadores de vírus de hoje não tem a intenção de danificar o hardware mais sim roubar informação, arquivos, senhas, usar o computador como zombi para atacar outras máquinas, e muito mais.
Os 10 vírus que mais infectaram computadores no mundo em Maio
Email-Worm.Win32.NetSky.q Trojan.generic 23.12
Email-Worm.Win32.NetSky.y Trojan.generic 9.70
Email-Worm.Win32.Scano.gen Trojan.generic 9.63
Email-Worm.Win32.Nyxem.e Trojan.generic 6.75
Email-Worm.Win32.NetSky.d Trojan.generic 6.27
Email-Worm.Win32.NetSky.x Trojan.generic 4.44
Email-Worm.Win32.NetSky.aa Trojan.generic 3.74
Email-Worm.Win32.NetSky.b Trojan.generic 3.26
Email-Worm.Win32.Bagle.gt Trojan.generic 2.75
Net-Worm.Win32.Mytob.u Worm.P2P.generic 2.60
Note que 9 començam com a descrição Email-Worm ou seja vírus enviados por email ou que contenham link para realizar o download do vírus.
Alguns cuidados no dia-a-dia para não sermos contaminados:
- Desconfie dos links em emails – Pois os servidores de email possuem antivírus integrados então os vírus são removidos antes de serem entregues na sua caixa de email. Então descobriram uma outra forma de contaminar agora eles enviam links para realizar o download do vírus.
- Emails do gênero veja as fotos que tiramos, te lembra desse dia, que flagra hein, seu nome está no SPC, etc…
- Coloque o mouse sobre um link dentro do email, irá aparecer na barra de status o endereço completo e se tiver um .exe não clique
- Existe vírus que pegam os nomes dos arquivos mais usados na lista de Documentos Recentes e criam um arquivo com o mesmo nome e mesmo ícone com a extensão .exe então cuidado não clique
- Bons hábitos de navegação na internet ajudam bastante
Mantenha sempre seu antivírus atualizado.
Descubra nesse post as cinco maneiras de pegar vírus
Posted on jun 08, 2008 under Dicas Linux, Segurança, Sem categoria |
Quando executamos o login no linux, várias medidas de segurança são executadas antes de permitir o acesso. Estas medidas podem variar de distribuição para distribuição, mas geralmente são as mesmas.
Read the rest of this entry »
Posted on mai 28, 2008 under Segurança |
Os vírus estão cada vez mais inteligentes, ele se disfarçam de arquivos que o usuário usa seguidamente como por exemplo: relatório.doc.exe. Os usuários atucanados de serviço acabam clicando e contaminado cada vez mais a máquina. Se os arquivos contaminados tiverem os mesmos nomes de arquivos protegidos do windows, não será possível removê-los, como por exemplo o arquivo c:\windows\system\scanreg.exe.
Uma solução boa que encontrei para resolver este problema é escanear a máquina infectada (windows), através do linux, o qual possui um excelente antivírus o CLAMAV, que também possui uma versão para windows o CLAWIN. Este antivírus é muito eficiente e remove até adwares.
Nesse pequeno tutorial mostrarei como escanear uma maquina windows infectada com vírus através do linux com o NFS(Network FileSystem).
O primeiro passo é iniciar a máquina windows com um cd do Kurumin 2007, eu prefiro utilizar como opção de boot knoppix 2, a qual inicia em modo texto, tornando mais rápido a inicialização.
Após inicializado o devemos desmontar o /dev/hda1 mas antes a swap deve ser desabilitada com o comando abaixo:
swapoff -a
umount /dev/hda1
Se a partição do windows for fat32, deve ser montada com o seguinte comando:
mount /dev/hda1 /mnt/hda1 -oumask=0,dmask=0
Com umask=0 e dmask=0 todos os usuários tem permissão de leitura e escrita.
Se a partição for ntfs
ntfs-3g -oumask=0,silent,locale=pt_BR.iso88591 /dev/hda1 /mnt/hda1
Agora devemos configurar o nfs informando o diretório que será exportado e o ip da máquina que pode montar remotamente este diretório.
vim /etc/exports
#diretório ipremoto(opções)
#exemplo
#exporta o diretório /mnt/hda1 para toda a rede 192.168.1.0 com permissão de leitura e escrita
/mnt/hda1 192.168.1.*(rw)
Após o exports configurado podemos iniciar o servidor nfs
nfs-server-ativar
Esta máquina pega o ip através de dhcp então devemos descobrir o ip que a maquina recebeu com o comando:
ifconfig eth0
Neste exemplo o ip é 192.168.1.200, iremos utiliza-lo para montar o diretório.
Agora o nfs estará exportando o diretório /mnt/hda1 devemos montá-lo na máquina que possui o clamav instalado e atualizado.
Opto por esta solução devido a minha maquina estar sempre com o clamav atualizado não utilizando os recursos da rede para baixar atualizações.
Caso você não possui o clamav instalado mostro um exemplo de como instalar no gentoo:
emerge -av clamav
Atualizar o antivirus
freshclam
Na máquina com o clamav devemos rodar os seguintes comandos:
mkdir /mnt/tmp
mount 192.168.1.200:/mnt/hda1 /mnt/tmp
Você também pode usar sshfs para montar o diretório remoto conforme mostrado neste post Montando SSHFS
Passar o antivírus em modo recursivo, informar quando encontrar um vírus e removê-lo
clamscan -ri --remove --unzip=/usr/bin/unzip /mnt/temp
Estou usando esta solução quando o antivírus instalado na maquina não resolve o problema, o clamav encontra e remove uma grande quantidade de vírus, sendo uma ótima solução de antivírus gratuito.
Comente!!Incentivem !!!
Posted on mai 25, 2008 under Dicas Linux, Segurança |
Deletar um arquivo com o comando rm, não apaga ele definitivamente do hd,pendrive ou diskette. O comando rm não é suficiente para deletar arquivos com conteúdos confidenciais pois o arquivo deletado pode ser recuperado com ferramentas de recuperação de dados.
Para deletar completamente o arquivo use bcwipe. Este comando sobrescreve repetidamente com padrões especiais o arquivo que será deletado. No modo normal, 35 passadas são usadas sendo 8 randômicas.
Exemplos de uso:
Remover a pasta src de modo recursivo
bcwipe -rvf /src
Apagar o HD inteiro com 7-passadas do padrão DOD
bcwipe -bvmd /dev/hda
Neste post é mostrado como usar o bcwipe no linux, mas esta ferramenta também existe para windows.
Posted on mai 23, 2008 under Dicas Linux, Segurança |
Olá Pessoal.
Seguidamente nas servidores onde presto suporte é necessário transferir arquivos entre a minha máquina e o servidor. Até então utilizava o comando scp para transferir arquivos o qual funciona super bem mas as vezes demora um pouco para elaborar o comando, informar senha, …
Então descobri o SSHFS(Secure Shell FileSystem), implemetado em FUSE(Filesystem in Userspace). Com o sshfs pode montar um diretório remoto, e trabalhar neste diretório de forma transparente.
Requisitos para Instalação no Cliente:
No gentoo
Instalar o fuse:
emerge sys-fs/fuse
Instalando o ssh-fuse:
emerge sys-fs/sshfs-fuse
Carregando o módulo:
modprobe fuse
Montando o diretório remoto através de SSH em um ponto de montagem local:
sshfs usuárioremoto@hostremoto:/caminho/para/diretorio_remoto pontodeMontagem_local
ou
# sshfs usuárioremoto@hostremoto:/caminho/para/diretorio_remoto pontodeMontagem_local
-o allow_other
Para permitir que outros usuários tenham acesso.
Para Desmontar:
fusermount -u pontodeMontagem_local
Tenho usado este recurso a bastante tempo, o melhor é que a transferência de arquivos com SSHFS
é segura.
Posted on mai 18, 2008 under C, Dicas Linux, Segurança |
Tenho a intenção de fazer uma série de artigos sobre dicas básicas de segurança em Linux. Muitas coisas passam despercebidas, às vezes nos preocupamos com as regras do firewall, os serviços que estão rodando mas nos esquecemos do básico.
Você já deve ter ouvido falar sobre SUID (Set User ID) Bit), SGID (Set Group ID). Mas qual a função destes atributos especiais ?
SUID
Quando executamos um programa o sistema operacional aloca recursos baseado no usuário que está executando o processo. Quando o SUID bit, é setado por exemplo para o usuário “root” o sistema irá permitir que um usuário comum execute funções não autorizadas. Muitos buffer overflow exploits são o resultado de programas SUID.
Arquivos com SUID: -rwsr-xr-x
SGID
Este atributo define as permissões para o grupo, funciona do mesmo modo que o SUID, mas a diferença é que as permissões tem efeito em diretórios. Então todos os arquivos e programas que estão dentro do diretório, quando executados ou editados por um usuário comum o sistema irá executar ou editar como se fosse o dono do arquivo.
Exemplo de exploit escrito em C
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>
int main()
{
setgid(0); setuid(0);
execl("/bin/sh","sh",0);
}
Com este código acima com SUID habilitado é possível conseguir acesso de root.
root@localhost ~ # gcc -o exploit exploit.c
root@localhost ~ # chown root exploit
root@localhost ~ # chmod u+s exploit
root@localhost ~ # exit
marlon@localhost ~ $ ./exploit
sh-3.2# id
uid=0(root) gid=0(root) grupos=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)
sh-3.2#
!!! Não me responsabilizo por uso indevido deste código, a divulgação é somente para conhecimento e prevenção!!!
Com o comando abaixo todos os programas com SUID e SGID são escritos no arquivo suidfile.txt
# /usr/bin/find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \; 2>/dev/null >suidfiles.txt
Executando o comando acima no gentoo retorna a seguinte lista.
# less suidfiles.txt
/bin/su
/bin/ping
/bin/mount
/bin/umount
/var/qmail/bin/qmail-queue
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/crontab
/usr/bin/chage
/usr/bin/expiry
/usr/bin/sperl5.6.1
/usr/bin/newgrp
/usr/bin/passwd
/usr/bin/gpasswd
/usr/bin/procmail
/usr/bin/suidperl
/usr/lib/misc/pt_chown
/usr/sbin/unix_chkpwd
/usr/sbin/traceroute
/usr/sbin/pwdb_chkpwd
Para remover o SUID executa-se o comando chmod -s em cada arquivo.
Eu removi quase todos deixando somente o necessário: su, gpasswd, qmail-queue, unix_chkpwd, pwdb_chkpwd.
Se estiver usando X, a lista com certeza será maior pois necessita de acesso mais elevado.
Referências:
http://tldp.org/HOWTO/Security-HOWTO/file-security.html
http://www.gentoo.org/doc/pt_br/security/security-handbook.xml?part=1&chap=6
http://www.homepage.montana.edu/~unixuser/051602/SUID.html
http://www.hoobie.net/security/exploits/index.html
Comentem, Incentivem !!!!!!!!!
Loading ...