WAF-FLE – Console opensource para o ModSecurity

Fiquei feliz em saber que um brasileiro acaba de lançar um novo produto bem interessante e que vai auxiliar a galera de segurança e Web. Klaubert Herr anunciou no evento OWASP AppSec’11 Latam, uma nova console opensource para o ModSecurity, a WAF-FLE.

Vejam as features deste novo brinquedinho:

• Central event console
• Support Modsecurity in “traditional” and “Anomaly Scoring”
• Able to receive events sent from mlogc (in real time or in batch using mlogc-batch-load.pl)
• No sensor number limit
• Dashboard with recent events information
• Drill down of events with filter
• Every (almost) data is “clickable” to drill down the filter
• Inverted filter (to filter for “all but this item”)
• Filter for network (in CIDR format, x.x.x.x/22)
• Raw event download
• Use Mysql as database
• Open Source released under GPL v2

O download do WAF-FLE poderá ser feito no seguinte link.

youtube to mp3, utorrent

JBoss Worm – Pegou muita gente de surpresa

No dia 18 de Outubro, saiu uma nova vulnerabilidade que afeta diversas versões do Jboss, um dos servidores aplicacionais JAVA mais utilizados do mercado. A vulnerabilidade foi encontrada na console JMX e pode ser explorada remotamente.

Acontece que já saiu alguns exploits que exploram esta vulnerabilidade e diversos administradores reportaram problemas, foram invadidos  .

Este link explica muito bem como a vulnerabilidade funciona, como ela pode ser explorada e como corrigi-la, mas acredito que o pessoal tenha esqucido de mencionar os seguintes pontos:

• Jamais libere o Jboss de cara para internet, sempre coloque um apache na frente utilizando omod_jk
• e não libere todo o contexto do seu ambiente /*, você estará abrindo as pernas do mesmo. Só libere os contextos das aplicações, contextos estes que deverão ser passado pelo time de desenvolvimento.

Tem muito desenvolvedor que acredita que o Jboss é um excelente Application Server e Web Server, ledo engano. Ele foi desenvolvido como um Application Server e atende muito bem nesta função, agora, se você colocá-lo de cara para internet, você terá uma desagradável surpresa. Há diferentes tipos de ataques que podem ser direcionados ao Jboss utilizando simples ferramentas, como o Jmeter.

youtube to mp3, utorrent

Ferramenta para ataque DDoS via SSL

O grupo de hackers alemão, The Hacker’s Choice, acaba de liberar uma interessante ferramenta que irá tirar o sono de muito administrador Web. É o THC-SSL-DOS que tem como objetivo realizar ataques DDoS via SSL. Essa ferramenta explora uma fraqueza no protocolo SSL e tem como foco os servidores WEB que o utilizam, quer dizer, mais de 50% do que rola na Internet.

Você poderá fazer o download da ferramenta, tanto para Unix como para o mundo M$ nos seguintes links abaixo:

Windows binary: thc-ssl-dos-1.4-win-bin.zip
Unix Source : thc-ssl-dos-1.4.tar.gz

Algumas dicas estão sendo liberadas para quem deseja testar a ferramenta e até mesmo, proteger o seu ambiente:

1. The average server can do 300 handshakes per second. This would require 10-25% of your laptops CPU.
2. Use multiple hosts (SSL-DOS) if an SSL Accelerator is used.
3. Be smart in target acquisition: The HTTPS Port (443) is not always the best choice. Other SSL enabled ports are more unlikely to use an SSL Accelerator (like the POP3S, SMTPS, … or the secure database port).

Uma coisa que me chamou a atenção foi o fato de você ter mais poder de fogo de acordo com a capacidade de processamento e da banda do atacante, um verdadeiro DDoS, diga-se de passagem.  Eu irei iniciar os testes ainda hoje.. 

Mais detalhes em breve.

P.S.: Acabei de compilar e testar no Mac e a ferramenta funcionou de boa. Já estou vendo uma possível assinatura para configurar no mod_security

P.S.S.: Ela funciona e muito bem. 

P.S.S.S.: O interessante da vulnerabilidade que está sendo explorada com a ferramenta acima é que ela é discutida desde 2003, mas só agora, algo foi liberado para explorá-la, publicamente. Uma das soluções mais discutidas para mitigar a exploração desta vulnerabilidade é desabilitar o SSL-Renegotiation nos servidores Web, mas isso gera outras vulnerabilidades. O correto seria implementar um Web application Firewall, como é o caso do mod_security. O parâmetro para desabilitar o SSL-Renegotation no Apache é o SSLVerifyClient Directive -  eu ainda estou estudando o caso.. 

youtube to mp3, utorrent

REMnux: Distribuição Linux para Engenharia Reversa de Malware

• 
  

REMnux é uma distribuição Linux, bem leve, e que foi desenvolvida para o seleto grupo de pessoas que trabalham com análise de malwares, aquelas praguinhas virtuais velhas conhecidas e que fazem a indústria de antivírus faturar milhões, por semana é claro.

REMnux se torna um laboratório a parte que ser para analisar o real tamanho que o malware pode fazer. Um ponto que eu achei interessante foi o fato que ele análise pragas web, desenvolvidas para o mundo Office do tio BILL e adobe.

Vocês poderão escolher entre a imagem VMWare ou o ISO/DVD:

• VMware virtual appliance archive
• ISO image of a Live CD

Muito cuidado com o que vocês forem fazer com ele e mais ainda na hora de plugar um pendrive.

frostwire, utorrent

Malwares criados por governos para espionar as pessoas

Analistas de segurança em todo o mundo vêm reportando a descoberta de uma série de malwares que foram criados por governos com o objetivo de infectar, monitorar e em alguns casos, causar danos aos computadores dos cidadãos.

Na semana passada foi a vez do governo alemão, o pessoal do Chaos Computer Clubencontrou um interessante malware que infectava máquinas Windows e para piorar a história, ele cria brejas para outras pragas infectarem o seu hospedeiro. Mas essa história não é novidade para quem trabalha com segurança da informação para governo, é até normal.

Grandes corporações já praticam isso há anos, os governos só copiaram a ideia para rastrear possíveis “criminosos”. Há relatos que fabricantes de antivírus foram obrigados a alterarem os seus produtos para não detectarem pragas geradas por governos.

O BigBrother é aquele que nos cobra, alimenta, cuida e enterra, o governo.

frostwire, utorrent

Hcon’s Security Testing Framework – Hcon STF

Hcon STF é um framework de segurança baseado no browser da Google, o Chromium. Hcon foi desenvolvimento nos últimos 3 meses para trazer uma alternativa de ferramentas para realização de pentests ou “estudos” de segurança. Vejam as especificações dele:

1. Based on Chromium Source (iron build) version 142. more secure and Tracking free from Google & Stable then other Chromium based builds3. Over 100 tools integration with very easy use interface4. Tested and heavily modified tools suggestions contributed by professional pentesters , web developers , Security researchers5. Free and open source
6. Totally Portable (no need to install) , you can carry it around in your usb , memory card etc. –Isso é importante.. 
7. Runs on all windows including windows – XP , VISTA , 7

Eu o achei bem interessante e promete ser uma boa ferramenta para quem gosta de alternativas ao Back Track

frostwire, utorrent

Básico de segurança em aplicações Web, em vídeo

Hoje, eu estava discutindo com um camarada sobre vulnerabilidades em aplicações Web. Comentei de XSS, SQL Injection e tantas outras, mas ele não entendeu muito bem. Normal, segurança de aplicações para muitos é uma coisa nova e um tanto que complicada. Não temos cursos sobre desenvolvimento de aplicações com segurança em faculdades, infelizmente.

Tem muito material legal por aí, mas poucos tem o trabalho de explicar como funciona um ataque e a defesa de aplicações Web. Acabei encontrando um conjunto de vídeo que demonstra isso e muito bem.

O primeiro deles é sobre Cross-site Scripting (XSS)

Já o segundo é sobre SQL Injection:

Eu sou dá opinião que para você saber se defender, você deve saber atacar. Era o mestre de artes marciais do Bruce Lee, Yip Man, que dizia que você tem que saber atacar para não atacar, ser neutro. Com certeza isso vale para segurança da informação.

Um problema que eu vejo, aqui no Brasil, é que poucos centros de treinamentos e cursos ensinam aos seus alunos como atacar e como se defender.

Estes cursos e ou centros alegam que é antiético e perigoso ensinar como realizar ataques, que o aluno poderá utilizar este conhecimento para o mal, mas como preparar, de fato, um profissional para defender uma rede, aplicação ou empresa se ele não sabe as características reais de um ataque, só possuindo uma ideia teórica sobre aquilo.

Por isso que eu estou indicando para vocês um curso sobre segurança em aplicações que será ministrado pelos organizadores do H2HC, Rodrigo Rubira Branco e Felipe Balestra. O nome do curso é Secure Coding e possui uma duração prevista de 2 dias.

Para quem não sabe, Rodrigo e Felipe são alguns dos profissionais de segurança mais respeitados no mercado, entendem e muito sobre o assunto e já ministraram dezenas de cursos. Ambos irão demonstrar ataque e defesa, excelente oportunidade para aprender com quem entende do assunto.

youtube to mp3, utorrent

Criminosos de dois bytes: Os efeitos em cascata das Ameaças Persistentes Avançadas

Infelizmente, o avanço na sofisticação e na habilidade de hackers e programadores de malware do mundo todo é uma notícia comum. Hospitais, governos e bancos sofreram ataques de hackers anônimos que se aproveitam de uma tecnologia poderosa. Eles roubam qualquer dado ou informação sensível que pode ser vendida ou usada para extorsão. E com o aprimoramento das ferramentas disponíveis aos hackers, o mesmo acontece com a ameaça que o malware representa. Os alvos já não estão direcionados somente a multinacionais e governos, mas miram também empresários e gerentes.

De acordo com o relatório mais recente sobre ameaças da Websense, mais da metade dos ataques de roubo de dados acontece por meio da internet. Muitos profissionais acreditam que já estão tomando as medidas necessárias a fim de garantir sua proteção, mas a segurança virtual ainda é a maior preocupação para empresas de qualquer porte.

Hoje, várias empresas estão relatando perdas significantes por causa desses ataques, mesmo aquelas de pouca rentabilidade. Isso é motivado, em parte, pelo aumento de APTs (Ameaças Persistentes Avançadas). As APTs são apresentadas por grupos criminosos bem focados que aproveitam técnicas avançadas e uma estrutura financeira sólida. Com o passar do tempo, a tecnologia envolvida nos incidentes mais comentados é disponibilizada em diversos kits mais baratos. Esse sempre foi o caso, mas a diferença é que hoje o ciclo de vida do malware acelerou dramaticamente. Agora, o período entre o desenvolvimento de um novo malware que custa mais que £1000k e a disponibilidade de kits de EUR$15 prontos para uso é de meses, e não anos. Além disso, as empresas ainda sofrem da falta de atualização de sistemas, criando uma receita fatal.

Isso significa que qualquer aprendiz de hacker pode causar danos de milhares de dólares com muito pouco conhecimento técnico ou investimento.¹ Usando as mesmas táticas avançadas de grandes hackers, os cibercriminosos menos adeptos se concentram no roubo de dados ou informações particulares. Seus métodos são cada vez mais diversificados e tecnicamente avançados, e esse é um dos motivos pelos quais eles conseguem causar tantos danos às empresas pequenas e médias.

Quatro dias depois do ataque chamado Aurora, que atingiu o Google em janeiro, o código usado foi divulgado para o mundo todo. Em 18 meses, houve 5.800 ataques usando o mesmo código. Com o passar do tempo, ao invés de perder sua força, mais pessoas ficaram sabendo desse tipo de código. Os riscos começam a atingir até as empresas que não se veem como um alvo.

Nem mesmo as maiores empresas da web estão imunes – aquelas que costumam acreditar que suas defesas atuais bastam. Quantas empresas estão com todas as suas atualizações em dia? Algumas podem atrasar essas atualizações ou agrupá-las para instalação conjunta, mas quanto maior o atraso, mais aumenta o prazo de eficiência do malware e o ciclo de vida da exploração. É por esse motivo que esses métodos de ataque ainda são incluídos em kits – mesmo com a disponibilidade de atualizações para fechar as brechas atacadas, os kits ainda funcionam em um número suficiente de máquinas que vale a pena.

A questão é que o malware moderno consegue facilmente evitar muitos dos sistemas de segurança já em uso. As medidas de segurança baseadas em assinaturas, como os AV (antivírus) e os firewalls, não são mais suficientes para enfrentar kits de malware avançados, e não há como confiar apenas nessas tecnologias ou no gerenciamento de atualizações para proteger as empresas. E só porque uma empresa não atua na área governamental ou multinacional, não significa que ela não possua dados cobiçados pelos cibercriminosos.

Deve-se avaliar o conteúdo do tráfego de entrada e saída para minimizar o risco porque, ao combinar uma engenharia social habilidosa com esse tipo de ataque, as empresas continuarão sendo uma presa fácil. É hora de examinar – em tempo real – o conteúdo de cada site acessado e cada e-mail para combater esse ciclo de vida de malware com eficiência.

O artigo acima foi escrito pelo Spencer Parker, Gerente de Grupo de Produtos da Websense. Achei interessante, então publiquei aqui, mas eu tenho uma ressalva quanto a oração/frase em negrito e marcada com o número 1.

Hoje, não há mais aprendizes de Hackers, o fato é que a Internet possibilita que qualquer pessoa aprenda a atacar uma ferramenta, aplicação ou servidor digitando poucas palavras no Google ou no Youtube.

O maior problema das empresas e subestimar a capacidade que o ser humano tem de aprender de forma rápida, principalmente quando o assunto é algo que lhe goste.

É da natureza humana achar que você é mais esperto que o outro. As empresas pensam da mesma forma e sofrem ataques todos os dias, pois descobrem que tem um cara de 20 e poucos anos mais esperto do que eles. Foi assim com a Sony e tantas outras.

Será que os últimos acontecimentos não ensinaram nada ?!

youtube downloader, utorrent