Saudações pessoal,

Que tal saber um pouco mais sobre o que lhe cerca virtualmente? Conexões de rede às quais sua máquina está ligada, tabelas de roteamento, estatísticas de interfaces, conexões mascaradas, multicasting, etc.. ?

Apesar de muitos conhecerem o netstat, poucos sabem que ele é capaz de tudo isso e mais um pouco. O netstat é sem sombra de dúvidas uma rica ferramenta que possui inúmeros comandos e combinações que sequer cabem em um artigo simples como este post.

A ideia vai ser apenas apresentar algumas opções que podem ser bem interessantes no dia a dia de um administrador de redes/sysadmin.

Vamos lá…

1. Listar todas as portas, incluindo portas que estão sendo escutadas e portas que não estão:

1.1 Para listar TODAS as portas, podemos utilizar o parâmetro -a:
[root@tuxcaverna ~]# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 localhost.localdo:55481 *:*                     LISTEN
tcp        0      0 *:60634                 *:*                     LISTEN
tcp        0      0 *:6881                  *:*                     LISTEN
tcp        0      0 172.16.1.6:46714        gru03s08-in-f20.1:https TIME_WAIT
tcp        0      0 172.16.1.6:40899        gx-in-f138.1e1:www-http ESTABLISHED
tcp        0      0 localhost.localdo:48742 localhost.localdo:55481 ESTABLISHED
tcp        0      0 172.16.1.6:48643        125-233-152-234.d:21990 TIME_WAIT
tcp        0      0 172.16.1.6:46717        gru03s08-in-f20.1:https TIME_WAIT
tcp        0      0 172.16.1.6:57293        apache2-fungi.:www-http TIME_WAIT
tcp        0      0 172.16.1.6:36444        gru03s05-in-f22.1:https ESTABLISHED
tcp        0      0 172.16.1.6:57659        gru03s06-in-f1:www-http ESTABLISHED
tcp        0      0 localhost.localdo:55481 localhost.localdo:48742 ESTABLISHED
tcp        0      0 172.16.1.6:50581        gru03s06-in-f23.1:https ESTABLISHED
tcp        0      0 172.16.1.6:39979        sn1msg1010828.phx.:msnp ESTABLISHED
…

Não coloquei a saída inteira, pois era bem extensa e ainda temos muitos parâmetros para ver. Onde existe XXX.XX.X.XX, obviamente, era o endereço IP que ocultei por puro protesto pela alta no preço do amendoim.

1.2 Para listar todas as portas UDP, utilizamos os parâmetros -au:

[root@tuxcaverna ~]# netstat -au

Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State udp 0 0 *:bootpc *:* udp 0 0 *:49119 *:* udp 0 0 *:mdns *:*

1.3 Para listar todas as portas TCP, utilizamos os parâmetros -at:

[root@tuxcaverna ~]# netstat -at
Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost.localdo:39307 *:* LISTEN tcp 0 0 *:64758 *:* LISTEN tcp 0 0 XXX.XX.X.XX:54293 gru03s06-in-f21.1:https ESTABLISHED tcp 1 0 XXX.XX.X.XX:58732 sn1msg3020104.sn1.:msnp CLOSE_WAIT

2. Listar os Sockets que estão no estado Listening ou escuta:

2.1 Para listar todas no estado Listening, utilizamos o parâmetro -l:

[root@tuxcaverna ~]# netstat -l

Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost.localdo:39307 *:* LISTEN tcp 0 0 *:64758 *:* LISTEN Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node Path unix 2 [ ACC ] STREAM LISTENING 10443 @/tmp/.ICE-unix/1396 unix 2 [ ACC ] STREAM LISTENING 8262 /var/run/xdmctl/dmctl/socket unix 2 [ ACC ] STREAM LISTENING 8277 /var/run/xdmctl/dmctl-:0/socket

2.2 Para listar apenas as portas TCP no estado Listening, utilizamos os parâmetros -lt:

[root@tuxcaverna ~]# netstat -lt

Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost.localdo:39307 *:* LISTEN tcp 0 0 *:64758 *:* LISTEN

2.3 Para listar apenas as portas UNIX em estado Listening, utilizamos os parâmetrox -lx:

[root@tuxcaverna ~]# netstat -lx

Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node Path unix 2 [ ACC ] STREAM LISTENING 10443 @/tmp/.ICE-unix/1396 unix 2 [ ACC ] STREAM LISTENING 8262 /var/run/xdmctl/dmctl/socket unix 2 [ ACC ] STREAM LISTENING 8277 /var/run/xdmctl/dmctl-:0/socket

3. Apresentar as estatísticas para cada protocolo:

3.1 Para apresentar as estatísticas de todos os protocolos, utilizamos o parâmetro -s:

[root@tuxcaverna ~]# netstat -s

Ip: 98790 total packets received 54 with invalid headers 2 with invalid addresses 0 forwarded 0 incoming packets discarded 94778 incoming packets delivered 79070 requests sent out Icmp: 0 ICMP messages received 0 input ICMP message failed. ICMP input histogram: 0 ICMP messages sent 0 ICMP messages failed ICMP output histogram: Tcp: 2019 active connections openings 2 passive connection openings 10 failed connection attempts 161 connection resets received 14 connections established 88977 segments received 75703 segments send out 297 segments retransmited 0 bad segments received. 216 resets sent Udp: 2986 packets received 0 packets to unknown port received. 0 packet receive errors 3080 packets sent 0 receive buffer errors 0 send buffer errors

…

…

3.2 Para apresentar as estatísticas do protocolo TCP (ou) UDP, utilizamos os parâmetros -st (ou) -su:

[root@tuxcaverna ~]# netstat -st

Tcp: 2031 active connections openings 2 passive connection openings 10 failed connection attempts 164 connection resets received 10 connections established 89257 segments received 76010 segments send out 297 segments retransmited 0 bad segments received. 219 resets sent

ou

[root@tuxcaverna ~]# netstat -su

Udp: 3012 packets received 0 packets to unknown port received. 0 packet receive errors 3107 packets sent 0 receive buffer errors 0 send buffer errors

4. Apresentar o PID (ID do prcesso) e os nomes de programas:

4.1 Neste caso utilizamos o netstat com o parâmetro -p para receber a informação de “PID/Nome do Programa” na saída do netstat. Esta opção é muito útil para debugar e identificar qual programa está rodando em uma porta específica. O parâmetro -p pode ser combinado com demais parâmetros:

[root@tuxcaverna ~]# netstat -pt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 XXX.XX.X.X:6881         83-228-34-45.btc-:11729 SYN_RECV    -
tcp        0      0 XXX.XX.X.X:39508        200.123.194.16:www-http ESTABLISHED 30741/chromium
tcp        0      0 XXX.XX.X.X:36321        208.46.17.59:www-http   ESTABLISHED 30741/chromium
tcp        0      0 XXX.XX.X.X:57411        65.55.142.101:https     ESTABLISHED 3292/python2
tcp        0      0 XXX.XX.X.X:6881         bd3e1c77.virtua.c:59298 ESTABLISHED 20447/qbittorrent

5. Não resolver host, porta ou nome de usuário:

5.1 Utiliza-se o parâmetro -an quando não se deseja receber na saída do netstat informações de host, porta ou usuarios com seus respectivos nomes resolvidos. Ao invés destas informações virão números:

[root@tuxcaverna ~]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:61108           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:6881            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:49155         0.0.0.0:*               LISTEN

5.2 Se você não quizer descartar as 3 informações de uma vez, pode optar por ocultar apenas uma em específico, conforme abaixo:

[root@tuxcaverna ~]# netstat -a –numericports

ou

[root@tuxcaverna ~]# netstat -a -numeric-hosts

ou

[root@tuxcaverna ~]# netstat -a numeric-users

6. Que tal ter uma saída contínua de informações em tempo real? Para isso usa-se o parâmetro -c, que vai atualizar as informações do netstat a cada segundo:

[root@tuxcaverna ~]# netstat -c
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 XXX.XX.X.X:57411        65.55.142.101:https     ESTABLISHED
tcp        0      0 XXX.XX.X.X:6881         bd3e1c77.virtua.c:59298 ESTABLISHED
tcp        1      0 XXX.XX.X.X:49920        sn1msg2010605.phx.:msnp CLOSE_WAIT
tcp        0      0 XXX.XX.X.X:45554        111-240-177-108.dy:8921 TIME_WAIT

7. Encontrar famílias de endereços não suportadas em seu sistema:

Utilizamos o parâmetro –verbose. Repare que nas últimas linhas do retorno teremos algo como:

[root@tuxcaverna ~]# netstat -c
netstat: no support for `AF IPX’ on this system.
netstat: no support for `AF AX25′ on this system.
netstat: no support for `AF X25′ on this system.
netstat: no support for `AF NETROM’ on this system.

8. Para apresentar informações de rotas do kernel utilizamos o parâmetro -r:

[root@tuxcaverna ~]# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         172.16.1.1      0.0.0.0         UG        0 0          0 wlan0
172.16.1.0      *               255.255.255.0   U         0 0          0 wlan0

…ou, pode-se utilizar -rn para apresentar em formato numérico ao invés de nomes de hosts.

9. Para descobrir em qual porta um determinado programa está rodando utilizamos os parâmetros -ap:

[root@tuxcaverna ~]# netstat -ap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:61108                 *:*                     LISTEN      3452/wish
tcp        0      0 *:6881                  *:*                     LISTEN      20447/qbittorrent
tcp        0      0 localhost.localdo:49155 *:*                     LISTEN      4010/GoogleTalkPlug
tcp        0    269 172.16.1.3:58742        52.60.in-addr.arp:12814 FIN_WAIT1   -
tcp        0      0 172.16.1.3:6881         bd3e1c77.virtua.c:59298 ESTABLISHED 20447/qbittorrent

9.1 Se quizer especificar o programa, ao invés de o procurar em uma extensa lista, utilize um filtro com o grep da seguinte forma:

[root@tuxcaverna ~]# netstat -ap | grep chromium
unix  2      [ ACC ]     STREAM     LISTENING     252100   30741/chromium       /tmp/.org.chromium.Chromium.bSJLzX/SingletonSocket
unix  3      [ ]         STREAM     CONNECTED     309051   30741/chromium
unix  3      [ ]         STREAM     CONNECTED     308785   30741/chromium

9.2 Se ao invés de especificar o programa, você quizer especificar uma porta e saber o que está rodando nela, pode-se utilizar o filtro do grep da seguinte forma:

[root@tuxcaverna ~]# netstat -an | grep ‘:80′

10. Para terminar, podemos utilizar o parâmetro -i para listar nossas interfaces de rede:

[root@tuxcaverna ~]# netstat -i
Kernel Interface table
Iface   MTU Met   RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0   1500 0         0      0      0 0             0      0      0      0 BMU
lo    16436 0       662      0      0 0           662      0      0      0 LRU
wlan0  1500 0    157377      0      4 0        133487      0      0      0 BMRU

Se desejar informações mas detalhadas sobre cada interface, pode-se utilizara combinação de parâmetros -ie:

[root@tuxcaverna ~]# netstat -ie
Kernel Interface table
eth0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500  metric 1
ether a4:ba:db:d7:41:c0  txqueuelen 1000  (Ethernet)
RX packets 0  bytes 0 (0.0 B)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 0  bytes 0 (0.0 B)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
device interrupt 47  base 0xc000

Happy Hacking…

Já é sabido que a maior vulnerabilidade dentro das empresas ou mesmo computadores pessoais são justamente os próprios funcionários ou usuários.

Manter uma boa política de senhas é fundamental para garantir a segurança básica de suas informações e tentar minimizar as chances de alguém ter acesso indevido a elas.

Vou apresentar dicas simples para uma boa política de senhas que vão além das dicas comuns como “mantenha uma senha que contenha mais de 8 caracteres, sendo eles números, letras minúsculas, maiúsculas e caracteres especiais…”.

Em escritórios é importante haver também uma política de troca de senha regular. Mas, como forçar os usuários a seguirem essa política de troca de senha regular? Evitando que o mesmo se logue caso não troque a senha de forma periódica, claro.

Vamos começar pelo básico.

1- Definindo a complexidade das senhas de usuários:

Para definir a complexidade, precisaremos alterar a configuração de definição de senhas de usuários. O processo pode ser diferente, de acordo com a sua distribuição.

Arch Linux:

Edite o arquivo passwd que se encontra em /etc/pam.d/passwd, da seguinte forma:

# vim /etc/pam.d/passwd

Debian, Ubuntu, RedHat, CentOS e outras:

# vim /etc/pam.d/system-auth

Configure sua linha de senha de forma que fique algo parecido com o seguinte:

password       required        pam_cracklib.so difok=3 minlen=10 ucredit=3 ocredit=2 retry=3

Onde:

difok=3 -> Informa a quantidade de caracteres que podem se repetir em relação à última senha. Por exemplo: Se minha antiga senha era “kalib” e eu tento usar “kalamba” como nova senha, receberei uma informação de erro, pois eu repeti 3 letras que já existem na senha anterior “kal”.

minlen=10 -> Informa qual a quantidade mínima de caracteres aceitos para a senha do usuário. No exemplo, o mínimo de caracteres aceitos serão 10, caso contrário será apresentada uma mensagem de erro solicitando que o usuário tente uma nova senha.

ucredit=3 ->Informa a quantidade de letras maiúsculas que deverão compor minha senha. No exemplo, eu precisarei utilizar no mínimo 3 letras em maiúsculo, ou “Uper Characters” em minha nova senha.

ocredit=2 -> Informa a quantidade de “outros caracteres” ou caracteres especiais, como por exemplo *, &, %, $, _, etc.

retry=3 -> Informa quantas vezes o usuário vai poder tentar, em caso de senha indevida, antes de receber a mensagem de erro.

Outros parâmetros que podem ser utilizados são os seguintes:

dcredit=x -> Informa a quantidade de dígitos que deverão ser utilizados como números na senha, onde x é o número mínimo desejado.

lcredit=x -> Informa a quantidade de caracteres minúsculos, ou “Lower Characters”, mínimos em sua senha.

2- Definindo que a nova senha não poderá ser igual às anteriores:

No mesmo arquivo do ponto anterior, iremos inserir o parâmetro remember na linha conforme exemplo:

password sufficient pam_unix.so use_authtok md5 shadow remember=10

remember=10 -> Informa que a nova senha não poderá ser igual às últimas 10 senhas utilizadas por este usuário.

Agora que já sabemos como definir uma política para criação de senhas seguras, vamos conhecer o “chage“, que nos ajudará a definir a política de datas ou validade das senhas.

3- Checando as políticas de validade de senhas de um determinado usuário:

# chage -l usuário

O comando acima verifica os atributos de validade daquela senha, e lhe retornará algo similar ao seguinte:

Last password change : May 11, 2011

Password expires : never

Password inactive : never

Account expires : never

Minimum number of days between password change : 0

Maximum number of days between password change : 99999

Number of days of warning before password expires : 7

 
As informações acima apresentam dados como data de última mudança de senha, data de expiração, tempo de inatividade, quantidade mínima de dias para se trocar a senha antes de a mesma expirar, etc.
 
4- Criando uma “validade” ou período de expiração para a senha de um determinado usuário:

# chage -M 99999 linustorvalds

 
Este comando vai desabilitar o período de validade da senha, informando que a mesma não expira nunca.
 

# chage -M 50 -m 7 -W 7 linustorvalds

 
Este comando aplica a política de senha para o usuário “linustorvalds” onde:
-M 50 -> Define que a senha será válida por um máximo de 50 dias, quando a mesma deverá ser trocada.
-m 7 -> Define o número mínimo de dias em que o usuário poderá trocar sua senha antes do período especificado para expiração. Caso o usuário possa trocar a qualquer momento ou dia, o valor deverá ser 0.
-W 7 -> Número de dias antes de expirar nos quais o usuário vai receber alertas informando que sua senha irá expirar.
 
Caso você deseje especificar um dia exato no qual a senha de determinado usuário vai expirar, você pode utilizar o parâmetro -E seguido da data desejada no formato AAAA-MM-DD.
 
Além disto, você pode desejar que a senha do usuário “linustorvalds” seja trocada no próximo login do mesmo. Neste caso você poderá utilizar o parâmetro -d, conforme exemplo abaixo:

# chage -d 0 linuxtorvalds

 
O -d significa quantidade de dias também.
 

É isso pessoal.

Have fun!

É hora de se inscrever no Dia Livre!

Gostaria de comunicar que a grade para o 1º Dia Livre já foi fechada e liberada.

Neste sábado estarei ministrando a palestra “Software Livre e Cultura Hacker: Tenha ética e ganharás respeito” na Faculdade Farias Brito durante o 1º Dia Livre.

Segue grade do encontro:

Quando?

23 de Julho, Sábado – A partir das 08:00

Onde?

Faculdade Farias Brito
Rua Castro Monte, 1364 Varjota – Fortaleza, CE

Serão realizados dois sorteios ao final do encontro:

1 camisa da Tux-CE;

1 livro: The Art of Community – O’Reilly

Nos vemos lá!

Saudações pessoal.

Para quem não sabe, hoje é o lançamento da primeira edição da Revista Segurança Digital.

Segurança Digital é o mais novo projeto no qual estou engajado e espero poder ajudar no que for possível para a constante melhoria do projeto.

É com grande satisfação que estamos fazendo o lançamento oficial de nosso projeto com a primeira edição da Revista Segurança Digital. Neste mês de Julho a revista aborda aspectos mais genéricos em relação à Segurança da Informação como um todo. Desde as técnicas de FootPrinting e Varredura para identificação de vulnerabilidades e possíveis brechas até estratégias e mecanismos de Enumeração para reconhecimento de ambientes.

Com a matéria sobre Enumeração explicamos a importância de se fazer um mapeamento completo do alvo, que consiste em descobrir o máximo de informações possíveis sobre o mesmo, desde sistema operacional até mesmo versões de anti-vírus, firewall, aplicativos instalados, etc.

Recentemente todos perceberam que vários ataques de DoS e DDoS foram realizados à sites do Governo, Petrobras, dentre outros. Um artigo com uma breve explicação sobre como funcionam estes ataques é apresentado como forma de ilustrar de forma básica o funcionamento de um DoS/DDoS.

Resolvemos fazer uma breve apresentação sobre o BackTrack, uma distribuição Linux voltada para testes de segurança. Nesta matéria apresentamos alguns de seus recursos e ferramentas que podem ser utilizadas no dia-a-dia de qualquer profissional de Segurança da Informação para facilitar suas tarefas e análises, bem como auxiliar em projetos de PenTesting.

Aproveitamos para informar sobre a mais nova parceria realizada entre o Projeto Segurança Digital e a empresa de consultoria e soluções livres 4Linux que é líder no mercado no que diz respeito à soluções de tecnologia com ferramentas livres bem como treinamentos especializados nos mais diversos segmentos da computação como redes, bancos de dados, segurança, programação, dentre outros.

Não deixe de fazer o download desta edição e conferir o resultado desta força tarefa inicial.

Esperamos que gostem.

Banner do Flisol quixadá

Saudações galera!

Algumas pessoas já me perguntaram nos últimos 3 dias porque eu não estava no Flisol Fortaleza este ano. “Cara, nem lhe vi lá pelo Flisol correndo pra cima e pra baixo esse ano.”

Bom, como eu havia informado anteriormente, mas nem todos devem ter notado (certo Rodrigo, hehehe), este ano estive no Flisol de Quixadá. A oportunidade de palestrar por lá surgiu e resolvi mudar o ambiente do meu Flisol este ano.

Logo na sexta-feira, dia em que cheguei em Quixadá, tive duas boas primeiras impressões:

1- O clima estava melhor do que o de Fortaleza. Sim, já não aguentava mais o nosso calor infernal. Por mais que eu já estivesse esperando um calor ainda maior, fiquei surpreso ao perceber que o tempo estava mais fresco. Talvez por conta da umidade…

2- Poucos minutos depois de minha chegada esbarro com o Ronaldo, também membro da Tux-CE, que optou por também palestrar no Flisol de Quixadá. Nos esbarramos no Hotel mesmo, já que acabamos ficando no mesmo.

Já que citei o Hotel, gostaria de fazer dois agradecimentos. Primeiro ao Samy e demais membros da organização que possam ter feito os contatos com hotéis e agilizado nossa reserva por lá. Obrigado Samy e demais envolvidos. Segundo, a todos do Hotel Monólitos que nos receberam super bem e prestaram um excelente serviço. Sim, NOS receberam bem. Porque plural? Pelo fato de minha namorada, Mari, ter ido também para Quixadá. Acho que também devo agradecer a ela pelo apoio que me deu e boa vontade (saco e paciência) de assistir minha palestra bem como outras durante todo o dia do evento. ;]

Logo na sexta aproveitamos para descansar depois de uma semana corrida de trabalho em Fortaleza. Eu, Mari e Ronaldo fomos para um restaurante que ficava próximo ao Hotel, onde tomamos umas cervejinhas e comemos uma excelente carne. No domingo fui descobrir que neste mesmo restaurante fazem a melhor bisteca que já comi na minha vida. Portanto, se alguém tiver a chance de visitar Quixadá, não deixe de comer uma bisteca caprichada no Ponto da Bisteca. O Araújo, que estava no time de organização do evento, acabou nos encontrando por lá rapidamente nesta noite.

No sábado, optei por ir bem cedo ao evento. Sim, gosto de ver as coisas por trás dos bastidores. Não gosto de apenas chegar, palestrar e ir embora. Minha primeira surpresa do dia? Uma equipe de aproximadamente 30 pessoas na equipe de organização do Flisol! o.O Bom, sei que no dia já parabenizei a todos eles, várias vezes por sinal, mas deixo novamente os parabéns. Estive envolvido direta ou indiretamente em todas as edições do Flisol Fortaleza desde o ano de 2006 e nunca vi uma equipe de organização com tanta gente disposta a ajudar. Vocês estão de parabéns.

Membros da organização - Mesa de credenciamento

Depois de “participar” como ouvinte da primeira reunião do dia com a equipe de organização do evento, os preparativos de última hora começaram e aproveitei para conhecer o local do evento, dar uma volta, etc. O evento aconteceu na Faculdade Católica Rainha do Sertão, que por sinal é linda e bem arborizada.

O evento contou com duas apresentações de abertura: Um show de humor e um grupo de dança. Infelizmente não lembro o nome do Humorista ou do grupo de dança para deixar os devidos créditos. Mas, ambos estão de parabéns também.

Ainda durante a apresentação de humor tive minha segunda surpresa do dia. Um dos integrantes do time de organização me chamou para um canto mais afastado do ginásio e me fez um convite para uma breve filmagem que eles estavam preparando. Como não estava esperando por isso, acabei tendo de improvisar algo. Mas deu tudo certo, espero. o.O

Em seguida tive minha terceira surpresa do dia. O evento contou com uma rápida mesa de cerimônia para abertura oficial do evento, para a qual fui convidado de surpresa, Samy vocẽ me paga onde foi dada uma breve explicação sobre o intuito e importância do evento bem como do Software Livre como um todo para a comunidade em geral.

Mesa de cerimônia na abertura do evento

Mesa de cerimônia na abertura do evento

Mesa de cerimônia - "Milagre, Marcelo não citou ou mostrou nada do Arch?" Sim, a camisa.

Após esta breve apresentação foram iniciadas as palestras. E como fui o primeiro palestrante do dia, tive a minha quarta surpresa no evento. Sim, muitas surpresas logo no período da manhã. hehe

Início de minha palestra sobre cultura hacker

A surpresa? A enorme quantidade de pessoas que estavam ali sentadas assistindo minha palestra. Por achar que não teria a menor condição de palestrar sem microfone acabei optando por utilizar o microfone e subir no palco que, até então, só havia sido utilizado para a apresentação de dança. De lá eu poderia ter uma visão melhor do público, bem como eles de mim. Apenas lá de cima pude ver a real quantidade de pessoas. Não tenho números, mas eram muitas. Talvez o Samy possa dar alguma média aqui nos comentários do blog!? Por outro lado, acho que as fotos falam por si só.

Platéia durante minha palestra

Platéia durante minha palestra - Ronaldo e Mari no canto direito

Platéia durante minha palestra

Abordei dois temas:

1- Cultura Hacker – Tenha ética e ganharás respeito

2- Software Livre – Nunca vi nem comi, eu só ouço falar

Casa cheia, certo?

Eu realmente não esperava tanta gente. Bom saber que em Quixadá temos tantas pessoas interessadas em conhecer algo novo. As possibilidades são enormes e as chances de saírem dali futuros militantes do software livre são óbvias.

Após a minha palestra o evento teve uma pausa para o almoço. Eu e a Mari aproveitamos para passear mais um pouco e ver como andava o movimento do lado de fora do ginásio onde se encontrava o Sertão em Rede. Do que se trata este Sertão em Rede? É um projeto que visa a inclusão socio-digital. Imagine um tele-centro para capacitação, oficinas, etc. Agora imagine um ônibus para levar o equipamente do tele-centro as mais diversas cidades.  Legal, certo? E se ambos fossem um só? O tele-centro e o ônibus? Sim, é isso mesmo. O ônibus que leva o tele-centro é o próprio tele-centro. Equipado com máquinas com Linux, ar-condicionado, lousa, cadeiras, mesas e toda a estrutura necessária para se realizar um curso ou capacitação qualquer. Sim, ele também possuí conectividade com a Internet, do contrário não poderia se chamar Sertão em Rede, certo?! Particularmente, achei brilhante. Parabéns aos responsáveis pelo projeto bem como ao Flisol por ter levado o Sertão em Rede para ser apresentado no evento.

Ônibus Sertão em Rede

Ambiente interno do Ônibus Sertão em Rede

Ambiente interno do Ônibus Sertão em Rede

Ainda nesta pausa para o almoço pude reparar nos ônibus que estavam estacionados no local. Sim, vieram muitas pessoas de outras cidades próximas para o evento como podem ver na foto abaixo. ;]

Ônibus que vieram de outras cidades próximas

Claro, não posso deixar de citar o almoço. Acredito que a Mari e os demais tenham gostado tanto quanto eu. Excelentes peixes, frito e cozido com molho de camarão, carne de sol, etc. Obrigado Samy Soares e Italo Bethoven por terem nos convidado para apreciar a excelente culinária do restaurante Abelardo.

No período da tarde aconteceram demais palestras e atividades previstas do evento como sala de games, sala de vídeos, install-fest, etc. Aproveitei para assistir algumas palestras, infelizmente não tinha como assistir todas, e visitar as demais atividades do evento.

Sala de Games

Sala de palestras - Palestra sobre HTML5 com George Gomes, SEDUC

Palestra O que o Software Livre Pode Fazer Por Você – Marcelo “Bill”, F13

Conheci novas pessoas e pude rever alguns velhos amigos e companheiros como o Marcelo “Bill” da F13 Informática e o Pedro Henrique, também membro da Tux-CE. Ambos palestraram no período da tarde.

Claro, no final da tarde todos estavam esgotados e optamos por nos recolher em nossos respectivos hotéis/casas para um banho e rápido descanso antes de nos encontrarmos novamente para o jantar.

Bom, cá entre nós. É fácil para o Samy combinar de tomarmos banho e descansarmos por cerca de 2 horas até ele voltar e nos encontrarmos para o jantar. Ele mora lá. Mas, nós estavamos como visita. Descansar? Ficar deitado? Isso nós podemos fazer em casa, certo?

Depois que eu e Mari terminamos o banho e descemos para o térreo do Hotel, já estavam por lá prontos também o Ronaldo, Pedro, Bill, sua namorada Poliana e outro camarada cujo nome, infelizmente, não lembro. Então já começamos uma pequena roda ali mesmo na fachada do hotel onde tomamos umas cervejinhas e tivemos um papo descontraído enquanto aguardávamos o Samy, que chegou com uma pontualidade que impressionaria qualquer britânico.

De lá pegamos a estrada e fomos jantar no restaurante Pé de Serra. Não fica exatamente em Quixadá. Digamos que fica entre Quixadá e Quixeramobim. O restaurante é lindo e a comida é divina. Foi excelente pois, já com a mente menos acelerada, pudemos bater um papo legal. Tirando algumas indecências insanas saídas da mente do Bill, tudo o mais foi tranquilo.

Após a janta resolvemos ir para um pub chamado Bom Motivo, onde estava acontecendo um tributo ao eterno Raul Seixas. O local era bem aconchegante e animado. Talvez por isso a casa estivesse com tanta gente. Com isto fechamos a confraternização de pós-flisol.

No Domingo apenas descansamos no Hotel e rodamos um pouco pelas ruas da cidade. No período da tarde conheci a tal bisteca do Ponto da Bisteca. Sem comentários. Será que eles fazem entrega em domicílio se eu disser que meu endereço fica em Fortaleza? o.O

Novamente, obrigado a todos pela recepção e hospitalidade e parabéns pelo excelente evento.

Espero que boa parte do público tenha absorvido as ideias e sementes que ali foram plantadas pelo pessoal da organização e palestrantes como um todo. Que ideias sejam trocadas e fortalecidas.

Mais fotos do evento? Clique aqui!

Abraços!

Você sabe o que é rootkit?

Nunca vi, nem comi, eu só ouço falar!

É um vírus? É um trojan? É um spyware? Não, é um rootkit mesmo.

A verdade é que ainda não existe um consenso em relação ao que o rootkit é de fato. Muitos dizem que é um tipo de vírus, alguns dizem que é um trojan, como você chamaria? Eu prefiro chamar de malware, que, ao pé da letra, seria um termo utilizado para algum aplicativo contendo código malicioso. o.O Acho que seria um meio termo aceitável para que possamos utilizar como base.

Mas esse bicho morde? É de comer?

Bom, em tese um Rootkit é um tipo de malware, como expliquei acima, cuja principal intenção é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus.

Teoricamente, é exatamente isto que ele tenta fazer. Passar despercebido. De fato a grande maioria dos antivírus não são capazes de rastrear Rootkits justamente por conta do seu comportamento. É aí que surgiram ferramentas especializadas neste tipo de busca. Alguns antivírus, os mais caros, já agregam excelentes ferramentas para buscar rootkits. Mas, como eles conseguem se camuflar tão bem?

Estas aplicações, rootkits, têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado.

Imagine que você está utilizando sua máquina e seu sistema operacional solicita a leitura ou abertura de um determinado arquivo, podendo ser a seu mando ou mesmo do antivírus, por exemplo, o rootkit intercepta os dados que são requisitados e faz uma filtragem dessa informação, deixando passar apenas o que ele deseja, ou seja, código não infectado. E o que acontece? O antivírus ou qualquer outra ferramenta ficam impossibilitadas de encontrar o arquivo malicioso ou o código, dependendo do caso.

Não é incomum encontrar o Rootkit como não apenas uma aplicação, mas um conjunto de aplicações ou, como também chamamos, toolkit.

Resumidamente poderíamos dizer que é um programa com código malicioso que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação para tal.

Geralmente escondem suas chaves nos registros do sistema operacional e escondem seus processos no gerenciador de tarefas, o que torna uma missão quase impossível para um usuário identificar por conta própria. Outra prática comum de quem escreve rootkits é fazer com que eles se escondam em drivers de hardware, que são arquivos de sistema fundamentais para que o sistema operacional funcione corretamente com seus dispositivos.

O nome RootKit é por conta da função para a qual o mesmo é desenvolvido. Primeiramente ele é um kit de funcionalidades e códigos maliciosos cujo objetivo é se infiltrar nos sistemas de forma silenciosa e despercebida, geralmente liberando um  *backdoor para que o invasor possa posteriormente acessar o sistema infectado com privilégios de super usuário ou usuário administrador (root).

Para quem nunca ouviu falar em backdoors, a explicação pode ter parecido um tanto quanto confusa, portanto aqui vai a nota de rodapé: Backdoor é, assim como na tradução ao pé da letra, uma porta dos fundos. Uma falha de segurança intencional que possibilita a invasão do seu sistema de forma que o invasor possa ter este acesso e controle com um mínimo de trabalho.

Sem mais papo furado, vamos conhecer algumas ferramentas que buscam rootkits em seu Linux.

RKHUNTER

A primeira ferramenta que vou apresentar se chama rkhunter, que é a minha favorita.

Se, assim como eu, você for usuário do Arch Linux, poderá encontrar o rkhunter no AUR através deste link.

A instalação é simples e segue o padrão de qualquer instalação a partir do AUR, conforme passos abaixo:

1- Descompacte o arquivo:

[kalib@tuxcaverna downloads]$ tar -xvzf rkhunter.tar.gz

2- Acesse o diretório criado:

[kalib@tuxcaverna downloads]$ cd rkhunter/

3- Execute o PKGBUILD para criação do pacote em si:

[kalib@tuxcaverna rkhunter]$ makepkg

4- Com o pacote criado, basta instalar:

[kalib@tuxcaverna rkhunter]$ sudo pacman -U rkhunter-1.3.8-1-any.pkg.tar.xz

Feito.

Seu rkhunter está pronto para ser utilizado, mas como toda e qualquer aplicação de varredura, como antivírus, por exemplo, é sempre recomendado atualizar sua base de dados antes de iniciar a busca, portanto digite o seguinte para atualizar a base com as propriedades dos arquivos existentes:

# rkhunter –propupd

Em seguida é a hora de atualizar a base de dados do rkhunter em si:

# rkhunter –update

Agora, vamos vasculhar o sistema:

# rkhunter -c

Você terá uma listagem das checagens parecida com esta:

Perceba que é tudo apresentado de forma simples e objetiva.

No final da checagem ele gera um arquivo onde ele armazena todas as informações que ele registrou bem como lhe aponta uma descrição dos resultados da busca.

TIGER

Esta será a nossa segunda ferramenta.

O Tiger é uma ferramenta de segurança que não pensa tanto na aparência, portanto não espere uma tela tão amigável e colorida quanto a do rkhunter. ;]

A instalação da mesma no Arch Linux também se dá através do pacote do AUR que pode ser encontra neste link.

A instalação segue o mesmo procedimento que utilizamos no rkhunter, conforme abaixo:

[kalib@tuxcaverna downloads]$ tar -xvzf tiger.tar.gz

[kalib@tuxcaverna downloads]$ cd tiger/

[kalib@tuxcaverna tiger]$ makepkg

[kalib@tuxcaverna tiger]$ sudo pacman -U tiger-3.2.3-2-x86_64.pkg.tar.xz

Finalizado. Para executar, basta rodar:

# tiger

Ele iniciará a busca e lhe trará uma interface como esta:

Assim como o rkhunter, no ato de finalização ele irá gerar um arquivo com o relatório da checagem. Ele lhe informará o caminho do arquivo, mas provavelmente será em /var/log/tiger/.

CHKROOTKIT

Agora vamos para a terceira e última ferramenta deste post.

Para usuário Arch, desta vez a instalação é ainda mais simples do que as duas anteriores, visto que o pacote já se encontra nos repositórios do pacman.

[kalib@tuxcaverna ~]$ sudo pacman -S chkrootkit

Instalado!

Assim como o Tiger, o chkroot também possui uma interface simples sem cores ou enfeites, conforme pode ser visto abaixo:

Apesar de não ser colorida e enfeitada, é uma interface bem simples e de fácil entendimento, concordam?

Claro, não existem apenas estas ferramentas para busca de rootkits e códigos maliciosos, mas levaria muito tempo para escrever sobre todos ou ao menos a maioria.

No mais, acho que já é um bom começo para um entendimento básico sobre o que é esse tal Rootkit e o que esse bicho faz.

Com estas ferramentas as chances de algum rootkit passar despercebido em seu ambiente Linux já são bem limitadas.

Abraços!

Brute-Force? O Dirb lhe ajuda a identificar vulnerabilidade em seu site!

Agora que já conhecemos um pouco sobre as técnicas de brute-force e a ferramenta Dirb, que tal conhecer outra mais apresentável?

Me refiro ao DirBuster. Uma aplicação multithread desenvolvida pelo OWASP (The Open Web Application Security Project) que tem como objetivo realizar brute-force em diretórios e nomes de arquivos na web. Assim como o Dirb, o DirBuster trabalha em cima de dicionários ou listas. Ao todo ele trás 9 listas que podem ser utilizadas para nossas varreduras e testes. Como todas as suas listas foram criadas na unha, após exaustívas pesquisas e buscas na web por nomes mais utilizados para arquivos e diretórios em servidores web, o DirBuster mostra-se extremamente efetivo para este tipo de atividade conseguindo encontrar até mesmo os arquivos mais ocultos e escondidos.

Mas se você não ficar satisfeito, nós garantimos a devolução do seu dinheiro, com apenas utilizar o modelo de dicionários, o DirBuster ainda lhe possibilita o ataque de brute-force mais purista. Tentativa e erro com combinações possíveis de caracteres. Claro, se você tem muito poder de processamento e tempo sobrando, boa sorte. ;]

Legal Kalib, quer dizer que agora posso sair invadindo sites?

o.O Como diria o Chaves: Ai que burrrrroooo.. dá zero pra ele…

Não amigo. O meu intuito não é incentivar ou apresentar qualquer mecanismo ou técnica para este tipo de atividade. O DirBuster não foi feito para este propósito e nem conseguirá efetuar isto. Ele não fará nenhum tipo de exploit em arquivos ou diretórios que ele encontre. O DirBuster serve exatamente para identificar possíveis alvos para estes tipos de ataque, o que nos permite agir de forma corretiva ou preventiva em nossos servidores web. ;]

Chega de lenga lenga.. vamos ao que interessa!

Como instalar?

Bom, se você utiliza Arch Linux, pode pegar o pacote no AUR através do seguinte link(Lembrem-se de votar nele):

http://aur.archlinux.org/packages.php?ID=20809

Feito isto, basta seguir o procedimento padrão para pacotes do AUR.

1- Descompactar: [kalib@tuxcaverna downloads]$ tar -xvzf dirbuster.tar.gz

2- Entrar no diretório dirbuster e gerar o pacote: [kalib@tuxcaverna dirbuster]$ makepkg

3- Instalar o pacote: [kalib@tuxcaverna dirbuster]$ sudo pacman -U dirbuster-0.12-1-x86_64.pkg.tar.xz

Feito. ;]

Outras distribuições? Não tenho certeza se o pessoal de outras distribuições empacotou o DirBuster, portanto provavelmente você vai precisar baixar o arquivo compactado do site oficial do projeto. Busquei tanto no Debian quanto no (K)Ubuntu 10.10 e em nenhum destes encontrei o DirBuster nos repositórios através do aptitude.

Portanto se você não utiliza o Arch, segue link para download da ferramenta:

http://www.owasp.org/index.php/DirBuster#tab=Download

Mas qual a cara do bicho?

Como explicado antes, ele funciona parecido com o Dirb, porém em uma interface GUI (gráfica).

Como podem ver, é uma interface simples e de fácil manuseio.

Vamos aos pontos:

1- No campo Target, você deverá inserir a URL que será alvo do seu brute-force de diretórios e arquivos web.

2- Logo abaixo, vocẽ escolhe se deseja utilizar apenas GET ou HEAD & GET.

3- Agora é a vez de escolher quantas threads deseja utilizar. Quanto maior o número de threads, mais requisições simultâneas você estará utilizando. ;]

4- Abaixo você deverá escolher o tipo de brute-force.

* Baseado em dicionários, neste caso você deverá escolher um dos dicionários que a ferramenta já lhe disponibiliza através do seguinte caminho: /opt/DirBuster/

* Baseado em brute-force puro. Neste caso você deverá escolher qual conjunto de caracteres deseja que sejam utilizados, quantidade mínima e máxima de caracteres por tentativa.

5- Em seguida é a hora de escolher os filtros: Deseja fazer brute-force apenas em diretórios? Arquivos também? Modo recursivo? Extensões em branco? Diretório inicial para o scan? Que tipo de extensão?…

E como é o retorno que ele me dá?

Bom, vou escolher meu alvo e vou utilizar 20 threads em simultâneo. Não vou deixar a ferramenta rodando por muito tempo pois estou apenas fazendo uma demonstração.

Como podem ver, filtrei para que o brute-force comece no diretório raiz (/) e optei pela maior lista que o DirBuster possui como dicionário. Deixei rodando por cerca de 30 segundos e já tive o seguinte resultado.

A parte borrada no início da imagem não é um defeito. Vocês não pensaram que eu iria deixar exposto o alvo no qual fiz o teste, certo? No caso, optei pelo site de uma de nossas instituições de ensino. Bom, a imagem acima é um exemplo do retorno que consigo com a ferramenta. É a visão em Lista. Além dela você pode optar pela visão em árvore, que, como o nome informa, lhe trará a árvore de diretórios, sub-diretórios e arquivos que foram encontrados. Abaixo um exemplo da visão em árvore:

O resultado, mesmo deixando a ferramenta rodando por apenas 30 segundos, foi o esperado. Um espantoso caso de descuido com a segurança do site.

Alguns leves exemplos que me chamaram a atenção na lista que consegui:

Um diretório de administração exposto desta forma indicando que existe uma sessão do site com acesso permitido apenas para administradores. O que isso me leva a crer? Que quem conseguir acesso a esta sessão consegue manipular o sistema do site? O que nos leva a uma posterior análise da página index contida nele que possibilita uma tentativa de brute-force de login e senha? psssiiiuuuu… o.O

Um diretório para uploads de Arquivos? Que tal testar ele? Apenas usuários administradores possuem permissão de upload? Ou alunos conseguem fazer upload de fotos, trabalhos, por exemplo? De qualquer forma, isso me indica que existe a possibilidade de eu subir arquivos para o servidor deles. Que tal um script em php que me permitiria ter um console shell no servidor deles para inclusão, exclusão, edição, etc.. ? pssiiiiuuuu… o.O

Pode não ser nada.. mas também pode ser muita coisa.. O que um diretório chamado “gerencia” faz ali tão exposto e com um nome tão… tão… discreto? o.O psssiiiuuuuu

Acho que já conseguiram entender um pouco do que o DirBuster faz.

Abraços!

Happy Hacking…

PS: Wrong developers! Never play security by obscurity!

Para quem não conhece, brute-force é um ataque bastante utilizado em serviços web tais como smtp, pop, ssh, ftp, iax dentre outros. O ataque consiste em basicamente forçar o login em um determinado serviço que esteja disponível online sem que seja necessário um ataque mais sofisticado ou mesmo grandes conhecimentos sobre a tecnologia em questão. Por ser demasiado simples de se utilizar, visto que existem milhares de ferramentas disponíveis na web para este fim, ele acaba se tornando um dos pesadelos mais constantes dos administradores de redes, SysAdmins, etc.. Pois é um fato! Se você possui um serviço web ele já sofreu tentativa de ataques brute-force. Não sofreu? Não se preocupe, sofrerá. ;]

Basicamente existem duas formas de brute-force, porém eu prefiro acrescentar uma terceira forma…rude e grosseira, mas infelizmente já vi casos de pessoas que se utilizam dela, então vamos lá.

1- Brute-force puro ou força bruta, como prefiram chamar. É a metodologia mais lenta por testar uma quantidade absurdamente grande de combinações de caracteres de forma aleatória a ponto de tentar descobrir uma senha. Utilizam-se classes como “alfanuméricos”, “numéricos”, “caracteres especiais”, etc. Por exemplo. Supondo que nosso alfabeto fosse composto apenas das letras A, B e C. E alguém possui uma senha para um determinado serviço web. Com uma tentativa de brute-force, eu utilizaria uma ferramenta que geraria todas as combinações possíveis a partir destas 3 letras, o que, ocasionalmente, me daria acesso ao serviço uma vez que, com certeza, eu descobriria a senha, uma hora ou outra. A ferramenta começaria a tentar logar com senhas da seguite forma:

A
AA
AB
AC
B
C
BA
BB
BC
C
CA
CB
CC
AAB
AAC
…
ACABCAACB
…

Enfim.. Faria todas as combinações possíveis com estas 3 letras e cedo ou tarde teria sucesso no login, mas… Nosso alfabeto não é tão pequeno assim. E os números? E os caracteres especiais como %, $, #, @, !, “, &, *, (, ), _, -, +, =, etc…

Já imaginaram quantas tentativas seriam necessárias para se descobrir uma senha, por exemplo, de 8 caracteres contendo letras, números e caracteres especiais? o.O

Quanto mais demorado for o ataque, mais fácil será de detectar o mesmo.

Por estas questões ele acaba não sendo a primeira opção para estes ataques. O que nos leva para a outra forma que é a mais utilizada hoje em dia e que tem se provado a mais eficaz, graças a triste realidade global de que as pessoas não possuem uma política eficiente para escolha de suas senhas, acabando por utilizar senhas com palavras reais como: deus, amor, sexo, felicidade, vida, segredo, secreto, etc.

2- Dicionários. Lembra daquela sua senha que faz sentido e você gosta porque é fácil de lembrar? Aquela “deus”, “amor”, “sexo”, “cerveja”, etc. Bom, ela corre grandes riscos se passar por um ataque que se utiliza de dicionários. Ataques com dicionários se resumem ao mesmo ataque de tentativa e erro com o intuito de logar em algum serviço web porém de forma mais coerente e orientada. O dicionário consiste em classes ou arquivos texto com uma sequência de palavras pré-formatadas pelo atacante que serão utilizadas como banco de possíveis senhas, ao invés de simplesmente sair tentando todas as combinações possíveis.

Supondo que sua senha seja “cachorro”. Eu lanço o ataque de brute-force utilizando-me de um dicionário de strings, ou palavras, que possui as seguintes:

amor
deus
ceu
inferno
gato
sexo
divino
futebol
cachorro
galinha
absurdo
segredo
naodigo
…
…

Como percebem, é uma simples lista de palavras. Porém, notaram que cachorro está na lista? Bom, o meu ataque faria de forma automática tentativas de login com todas estas possíveis senhas até chegar na vez do “cachorro”, que me resultaria em acesso à sua conta, serviço, site, aplicação ou o que quer que estivesse “protegido” com a senha “cachorro”.

Imagine a mesma senha cachorro. Já imaginou quantas tentativas seriam necessárias com a outra técnica? A de combinações? Imaginem quantas milhares de combinações seriam necessárias utilizando o nosso alfabeto completo até chegarmos à palavra cachorro. o.O

Claro, quem utiliza-se de dicionários não possui um arquivo de strings tão curto como este exemplo que dei. Sequer apenas em português. Geralmente pegam arquivos prontos na internet que são feitos para este fim que possuem uma infinidade de palavras incluindo nomes próprios, cidades, países, objetos, frutas, etc, etc…

Ou seja, se você possui uma senha bobinha e que é uma palavra de fato e faz sentido, pense seriamente em trocar por algo um pouco mais elaborado. ;]

Sobre a terceira metodologia, se é que pode-se chamar assim, não possui um nome definido, sequer é reconhecida, porém vou citar pois ela é utilizada em casos mais amadores e específicos. O que seriam esses casos amadores e específicos? Algo como:

* mulher/namorada tentando descobrir senha do orkut/email/etc do marido/namorado ou o oposto;
* jovens tentando descobrir senha de orkut/email/msn/etc de outros jovens por qualquer motivo que o seja (briguinha na escola? o.O)…

3- Lammer ou seja o que deus quizer. Independente da causa e das pessoas envolvidas, por mais incrível que possa parecer, esta modalidade ainda é bastante utilizada por aí. E o que é pior? Muitas vezes funciona. Não tirando os “méritos” o.O da pessoa que consegue a senha de alguém através dessa “metodologia”, mas em 100% 200% dos casos a culpa é apenas da vítima que insiste em colocar uma senha mais do que absurda como por exemplo: telefone de casa, seu número de celular, sua data de nascimento, seu sobre-nome, nome da namorada, nome da sogra (que o Diabo carregue), etc.

Acho que já ficou claro como essa metodologia funciona, certo? Caso não, é o seguinte. É um “ataque” (será que possa chamar assim?) completamente direcionado, como informei anteriormente, onde se conhece o alvo e sabe algumas informações sobre essa pessoa. Neste caso a pessoa, supondo a esposa, não vai se utilizar de tecnologia alguma ou ferramenta específica. Vai apenas abusar do bom senso, torcer pela inocência do marido e tentar a sorte.

Ela abre algum navegador de internet, acessa a página do orkut do cidadão e começa a tentar senhas como: telefone de casa, data de nascimento dele(a), etc.. Sim, ainda hoje vejo senhas simples como estas citadas e que acabam por ser descobertas. E o que é pior? As pessoas dizem: “Hackearam minhas senha!” hehehe… Parece exagero? o.O

Acredito que já falei demais sobre isso. Resumi as 3 2 técnicas utlizadas para ataques de brute-force. Mas este não é o objetivo principal do post, mas sim como inspecionar seu site ou sistema web para saber se o mesmo está livre de tentativas deste tipo de ataque.

Para isso utilizaremos a ferramenta Dirb.

Dirb é um URL Bruteforcer. Um WCS (Web Content Scanner) que tem a função de buscar por objetos Web Ocultos. Basicamente funciona com o lançamento um ataque baseado em dicionários contra o servidor Web analizando as respostas do mesmo. O principal propósito do Dirb é auditoria em aplicações web.

Dentre as funcionalidades avançadas do Dirb destacam-se:

* setar diferentes cookies;
* adicionar qualquer tipo de HTTP header desejado;
* utilizar proxys para mascarar a conexão;
* utilizar catalogos ou arquivos utilizando dicionários definidos ou templates fazendo uma varredura direcionada.

Mas, chega de falatório.. vamos ao teclado…

A ferramenta pode ser baixada através do site do projeto: http://sourceforge.net/projects/dirb/

A compilação é simples e sem grandes mistérios.

Descompacte o arquivo e compile seguindo os seguintes comandos:

[kalib@tuxcaverna downloads]$ tar -xvzf dirb203.tar.gz

[kalib@tuxcaverna downloads]$ cd dirb/

[kalib@tuxcaverna dirb]$ ./configure

[kalib@tuxcaverna dirb]$ make

Pronto. O Dirb está pronto para funcionar.

Se você apenas executar o dirb sem nenhum parâmetros lhe serão apresentados os parâmetros deisponíveis para utilização bem como uma descrição dos mesmos:

[kalib@tuxcaverna dirb]$ ./dirb
—————–DIRB v2.03    By The Dark Raver—————–
./dirb <url_base> [<wordlist_file(s)>] [options]
….
….
….

Mas vamos ao uso mais básico.

A forma mais simples é utilizando apenas a URL que deseja testar, por exemplo http://www.meulaboratorio.com.br

[kalib@tuxcaverna dirb]$ ./dirb http://www.meulaboratorio.com.br

—————–

DIRB v2.03

By The Dark Raver

—————–

START_TIME: Mon Jan 31 10:05:16 2011

URL_BASE: http://www.meulaboratorio.com.br

WORDLIST_FILES: wordlists/common.txt

—————–

GENERATED WORDS: 1942

—- Scanning URL: http://www.meulaboratorio.com.br/ —-

+ http://www.meulaboratorio.com.br/A

(FOUND: 301 [Moved Permanently] – Size: 241)

+ http://www.meulaboratorio.com.br/a

(FOUND: 200 [Ok] – Size: 419)

+ http://www.meulaboratorio.com.br/about

(FOUND: 301 [Moved Permanently] – Size: 237)

+ http://www.meulaboratorio.com.br/accessibility/

==> DIRECTORY

+ http://www.meulaboratorio.com.br/account

(FOUND: 302 [Moved Temporarily] – Size: 227)

+ http://www.meulaboratorio.com.br/accounts

(FOUND: 302 [Moved Temporarily] – Size: 192)

+ http://www.meulaboratorio.com.br/ad

(FOUND: 301 [Moved Permanently] – Size: 223)

+ http://www.meulaboratorio.com.br/ads/

==> DIRECTORY

Cortei pois o resultado seria muito grande. Mas, como podem ver, ele escaneia a URL por diretórios, arquivos, etc., que podem ser alvos de tentativas de brute-force.

No nosso simples caso, vi que foi identificado um diretório chamado accounts. Este diretório já é um alvo que merece ser inspecionado com mais atenção pois as chances de ele conter algo que interesse ao invasor são grandes.

Como eu havia dito, o Dirb funciona com dicionários. Como devem ter reparado, eu não setei nenhum dicionário, portanto ele utilizou o dicionário padrão “common”. Mas você pode especificar manualmente qual dicionário deseja utilizar.

No diretório dirb, você encontrará um diretório chamado wordlists que conterá os dicionários disponíveis.

[kalib@tuxcaverna dirb]$ cd wordlists/

[kalib@tuxcaverna wordlists]$ ls

big.txt  catala.txt  common.txt  euskera.txt  extensions_common.txt  indexes.txt  mutations_common.txt  others  small.txt  spanish.txt  stress  vulns

Bom, e sobre parâmetros?

Vou apresentar apenas algumas possibilidades.

Para utilização de um dicionário em específico, basta adicionar o nome do dicionário desejado ao final do comando:

[kalib@tuxcaverna wordlists]$ ./dirb http://www.meulaboratorio.com.br euskera.txt

Para utilização de SSL, apenas inclua o HTTPS na url desejada:

[kalib@tuxcaverna wordlists]$ ./dirb https://www.meulaboratorio.com.br euskera.tx -i

Você também pode utilizar múltiplos dicionários separando-os com vírgulas:

[kalib@tuxcaverna wordlists]$ ./dirb http://www.meulaboratorio.com.br euskera.txt,common.txt,spanish.txt,big.txt

Além disto você pode filtrar sua busca por uma extensão em específico através do parâmetro -X:

[kalib@tuxcaverna wordlists]$ ./dirb http://www.meulaboratorio.com.br euskera.txt -X .asp,.php,.jsp

Agora é sair experimentando combinações e testando os resultados. Seja criativo em seus testes. ;]

Abraços!

Quantas vezes você já foi surpreendido por alguma falha grave em seu sistema de arquivos, disco rígido ou mesmo por vírus (no caso de quem utiliza Sistemas Operacionais Genéricos) e depois de perder centenas de arquivos e informações se perguntou: Porque eu não fiz backup disso antes?

É natural do ser humano ignorar o ditado “Não deixe para amanhã o que pode ser feito hoje” dando espaço ao mais utilizado e adotado (quase que enraizado na cultura brasileira) “Não faça agora o que pode esperar para amanhã”, e, por consequência desta atitude, milhares de dados são perdidos diariamente no mundo inteiro pela falta de um simples backup.

Existem milhares de ferramentas de backup super eficientes para meios corporativos, portanto não abordarei este tópico. Empresas já possuem (ou ao menos deveriam possuir) seus especialistas em TI que conhecem boas soluções e estratégias de backup para garantir a continuidade dos serviços da empresa em casos de necessidade ou perda.

Hoje vou apresentar uma ferramenta bem simples e interessante aos usuários domésticos. Sim, backup não é apenas para empresas. Sempre é bom que se tenha backup mesmo em sua máquina doméstica. Não perca sua monografia que levou tanto tempo para ser trabalhada, ou aquele projeto importante, quem sabe até aquelas fotos de 10 anos atrás que você tanto preza.

É comum ver amigos fazendo tais backups em dvds, pendrives, email, etc. Porém, isso me parece um tanto quanto amador.

Se você realmente preza pelos seus dados, é hora de planejar um backup sério.

Lhes apresento o SimpleBackup, ou simplesmente SBackup.

Uma apresentação informal rápida…

O Simple Backup é uma solução de backup simples para atender as necessidades de usuários desktop. O projeto foi patrocinado pelo Google durante o Google Summer of Code 2005.

Instalação? Se você utiliza Arch Linux, basta pedir ao nosso amigo pacman:

# pacman -S sbackup

OBS: Ele lhe dará duas ferramentas depois de instalado:

* Configuração do Backup

* Restauração de Bakcup

Vamos começar pela Configuração do Backup.

E agora, a tão esperada Cara do Bixo.

Essa é a tela inicial. Simples e modesta. Sem propagandas ou logomarcas coloridas.

O Simple Backup lhe permite fazer backups simples, completos ou incrementais.

Nesta primeira tela, você decide a forma desejada. Sugiro que para o primeiro teste, selecione a opção Somente backup manual. Desta forma iremos configurar um backup simples e rápido para testar a ferramenta.

Selecionada a opção de “Somente backup manual”, vamos à próxima aba chamada “Inclusões”. Nos será apresentada a tela a seguir:

Por padrão ele vai trazer vários diretórios, pode Remover os diretórios que ele lhe trás e adicionar alguns poucos diretórios (de preferência com poucos arquivos, apenas para agilizar nosso teste. ;] Um total de 20 ou 30 MBs já resolve para nosso teste.

No meu exemplo, eu desejo backup apenas dos diretórios “/home/kalib/imgs/” e “/home/kalib/amsn_received/”, conforme pode ser visto na imagem anterior.

Uma vez que você tenha finalizado a configuração dos diretórios desejados, vamos para a próxima aba: “Exceções”

Esta aba servirá para informarmos o que NÃO deverá entrar no backup. Esta sessão se divide em 4 categorias, como pode ser visto na imagem abaixo:

1- Pastas - Aqui você lista quais pastas ou arquivos não deseja incluir no backup. Repare que ele já trás vários diretórios por padrão. Pode remover todos. Por exemplo:

Supondo que eu tenha marcado o diretório /home/kalib/imgs/ para backup, porém dentro deste diretório existem os diretórios /imgs1 /imgs2 e /imgs3. Eu não quero o /imgs3 em meu backup, então posso incluir nestas Exceções de Pastas o caminho “/home/kalib/imgs/imgs3/”. Deverá ficar algo como ilustrado a seguir:

2- Tipos de arquivos – Aqui devemos descriminar quais tipos de arquivos iremos deixar fora fora do backup. Novamente, ele já trás vários diretórios por padrão. Pode remover todos. Esta função é útil por exemplo para quem não deseja levar no backup algum tipo de arquivos em específico.

Por exemplo, supomos que nos diretórios que eu marquei para fazer backup, eu não deseje que sejam levados também os arquivos do tipo .mp3.

Para isto, eu clico na opção Adicionar e na janela que será apresentada escolho a opção de formato mp3.

Deverá ficar da seguinte forma:

3- Expressões Regulares – Esta é para quem possui conhecimentos em regex. Caso você não entenda o que são expressões regulares, sugiro que remova os que ele trás por padrão e deixe este campo em branco.

4- Tamanho Máximo – Por último, definiremos o tamanho máximo de cada arquivo que estará no backup. Vamos supor que eu não queira que ele leve arquivos maiores que 10 MB. Basta indicar neste campo e seguir em diante.

Agora vamos conhecer a próxima aba, “Destino”.

Nesta aba, como o próprio nome já diz, deveremos escolher o local para onde será enviado o nosso backup. Aqui temos três opções:

1- Usar a pasta padrão backups que se localiza em /var/backup

2- Usar uma pasta personalizada: Neste caso você vai escolher em qual diretório você deseja que o backup seja feito. Lembrando que este destino pode ser também um disco externo que possa estar plugado via usb, por exemplo.

3- Utilizar uma pasta remota: Neste caso você envia o backup para uma outra máquina pela rede através de ssh ou ftp.

No meu caso, optei por enviar via ssh para uma outra máquina, como pode ser visto na imagem anterior. Mas, qualquer que seja a opção escolhida por você, servirá para o nosso teste. Apenas a nível de curiosidade, segue comando que digitei como meu destino:

ssh://MEU_USUARIO:MINHA_SENHA@192.168.0.83/home/marcelo.cavalcante/backups/

Onde:

MEU_USUARIO = nome do usuário na máquina que receberá este meu backup

MINHA_SENHA = senha deste usuário

192.168.0.83 = ip da máquina para onde o backup será enviado

/home/marcelo.cavalcante/backups/ = diretório onde eu desejo que o backup seja guardado na outra máquina

A próxima aba é a de “Agendamento”. Nela você irá definir a frequência com que seu backup será realizado. Diário, semanal, mensal, a cada 2 dias, a cada 10 dias, etc… Qual dia? Qual hora? Qual minuto?

Estas configurações, caso habilitadas, serão para um backup incremental, ou seja, apenas o que foi adicionado desde o último backup.  Repare na opção “Faça um backup completo uma vez a cada XX dias”. Caso você faça os agendamentos anteriores e determine neste campo o valor de 10 dias, estará significando que o seu agendamento anterior será para backups incrementais e apenas depois de 10 dias ele será completo.

Esta é a cara da criança:

Como nada disso importa para este nosso teste, deixe como na imagem acima mesmo… sem agendamentos e datas.

Vamos à última aba: “Limpeza”

É aqui que você configura sua política de limpeza de backups. por exemplo. Se eu faço backups diários incrmentais e um completo a cada semana, rapidamente eu terei uma quantidade de arquivos de backups enormes e desnecessários, então posso especificar nesta aba que desejo que arquivos de backup de 30 dias atrás, por exemplo, sejam removidos automaticamente.

Novamente, deixemos isto para lá por enquanto. Não utilizaremos em nosso teste. Segue imagem:

Feitas estas configurações, clique em “Salvar”. Isto irá gravar as configurações feitas por você. Após isto, basta clicar em “Backup Agora!”

O backup será iniciado em background, portanto não espere por uma barra de progresso. Caso deseje acompanhar se o processo realmente iniciou, utilize ferramentas como o top ou o ps em seu linux. ;]

Como colocamos poucos diretórios e arquivos, esta tarefa deve levar poucos minutos.

Passados alguns minutos, pode reparar no local que você especificou como destino. Lá estarão seus arquivos de backup, com data e hora deste momento em que foi executado.

E caso, eu tenha escondido um vírus neste blog e os arquivos de seu hd sejam removidos em 2 minutos? >]

Não se desespere. Uma vez que você já realizou backup de seus dados, tudo o que você precisa fazer é restaurar o mesmo.

Inicie agora a outra ferramenta: Restauração de backup

Esta é a aparência, também simples, da mesma:

Tudo o que tem a fazer é escolher o arquivo de backup que deseja restaurar e clicar em restaurar. ;]

Ela lhe permite inclusive escolher o que exatamente você deseja restaurar e onde deseja restaurar. Tudo isso com uma interface bastante simples e intuitiva.

Que bom ter uma cópia de seus dados em casos de catástrofes, certo?!

Abraços!

Gostaria de informar que amanhã teremos a segunda edição do Dia Livre aqui em Fortaleza.

Neste Sábado acontecerá na Faculdade Integrada do Ceará.

Para quem ainda não conhece, é um pequeno encontro da comunidade contando com três palestras. A cada mês, um novo local, sendo este faculdade ou escola, sedia o evento.

Nesta edição teremos palestras abordando os seguintes assuntos:
* GNU/Linux
* Jogos
* Gestão de TI e Software Livre

Local: FIC – Unidade Moreira Campos (http://www.fic.br/v4/conheca/mapamc.html)
Horário: 08:00 – 11:00

Nos vemos lá!?