gutocarvalho.net

1. Feeds

SecurityFocus Vulnerabilities
http://www.securityfocus.com/rss/vulnerabilities.xml

Security Focus News
http://www.securityfocus.com/rss/news.xml

Secunia Watchdog blog
http://secunia.com/blog_rss/o.rss

Secunia Security Advisories
http://secunia.com/information_partner/anonymous/o.rss

Helpnet Security Advisories
http://feeds.feedburner.com/HelpNetSecurity-Advisories?format=xml

Helpnet Vulnerabilities
http://feeds.feedburner.com/HelpNetSecurity-Vulnerabilities?format=xml

2. Sites

http://owasp.ort

http://lwn.net

http://lwn.net/Security/

http://cve.mitre.org

http://www.sans.org

http://nvd.nist.gov/

http://www.linuxsecurity.com.br/

3. Distros

Debian
http://www.debian.org/security/

Ubuntu
http://www.ubuntu.com/usn

Suse
http://www.novell.com/linux/security/securitysupport.html

Redhat
https://rhn.redhat.com/errata/rhel-server-errata.html

Mandriva
http://www.mandriva.com/rss/feed/security

[]’s
Guto

Compilação anos 80

Leia o post completo;

Presente no kernel linux desde a versão 2.6.19, o filesystem EXT4 ainda não era considerado maduro,  por isto ele vinha marcado como sistema de arquivos em desenvolvimento, mas a partir do kernel linux 2.6.28 o EXT4 não terá mais este aviso, isto demonstra que o filesystem atingiu sua maturidade de acordo com a opnião dos desenvolvedores do kernel linux.

Bom o EXT4 pode ser considerado estável a partir do novo kernel, porém não custa olhar com calma,  analisar, fazer testes antes de colocá-lo em ambientes de produção, seja um sysadmin cauteloso neste momento ;)

Referências:
http://osnews.com/story/20409/Ext4_Completes_Development_Phase
http://en.wikipedia.org/wiki/Ext3
http://en.wikipedia.org/wiki/Ext4

Nova entrada na wiki que descreve como gerar a ISO do OpenBSD 4.3.

http://gutocarvalho.net/mediawiki/index.php/Gerando_a_ISO_do_OpenBSD_4.3

[]’s
Guto

Foi lançado ontem às 13:30 o xorg 7.4.

http://www.x.org/wiki/Releases/7.4
http://www.osnews.com/story/20319/X_Org_7_4_Finally_Released
http://www.phoronix.com/scan.php?page=article&item=xorg_74_final&num=1

[]’s
Guto

Se você setar a variável TMOUT=1800 no seu sistema, o bash vai encerrar a sessão se ela estiver inativa há mais de 30 minutos, evitando que você esqueça a máquina logada, você pode por exemplo colocar esta variável no /etc/bash.bashrc e sempre que um usuário logar no sistema ela será carregada.

[]’s

Guto

O objetivo deste tutorial é falar sobre bridges, nele vamos aprender a implementar uma bridge em ambiente gnu/linux entendendo quais são as vantagens e quais as aplicações desta tecnologia. Estarei abordando também como trabalhar com filtros de frames EBTABLES e filtros de pacotes IPTABLES dentro da bridge.

Leia o tutorial direto na wiki:
http://gutocarvalho.net/mediawiki/index.php/Bridges_em_ambiente_Gnu/Linux

[]’s
Guto

Instalei o vmware 1.07 aqui em um estação de trabalho debian etch e tive o seguinte problema quando iniciei o console e fui escolher uma imagem ISO para instalar na VM criada.

(vmware-server-console:5254): libgnomevfs-WARNING **: Cannot load module `/usr/lib/gnome-vfs-2.0/modules/libfile.so’ (/usr/lib/vmware-server-console/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_4.2.0′ not found (required by /usr/lib/libstdc++.so.6))

Depois de uma rápida busca no google encontrei algumas menções a um bug relacionado ao libstdc++6 do debian e a libgcc_s do vmware.

De qualquer forma existe uma forma de contornar o bug utilizando a seguinte variável de ambiente:

VMWARE_USE_SHIPPED_GTK=yes

Você pode colocá-la no seu .bashrc ou então setá-la manualmente antes de iniciar o vmware-console.

[]’s
Guto

Para quem não conhece, o ULTRASURF é um software desenvolvido pela empresa ULTRAREACH,  este software permite que os usuários em redes que possuem um rígido controle de conteúdo para acesso web consigam burlar esta segurança utilizando um túnel criptografado via porta 443/TCP Através deste túnel eles conseguem acesso automático a um pool de servidores de proxy anônimo, que provavelmente são máquinas da rede que foram invadidas.

Usando o ultrasurf estes usuários conseguirão acessar qualquer site web e baixar qualquer tipo de arquivo. O problema é que os ingênuos usuários que infrigem as normas de TI das instituições na qual trabalham, não pensam em nenhum momento que o pessoal da ULTRAREACH pode (e com certeza tem) ter um sniffer capturando todo o tipo de informação dos espertinhos que se acham crackers por utilizarem tal programa, incluindo senhas de acesso aos sistemas internos e a sites, números de cartão de crédito, perfil de acesso de cada usuário, tudo isto vai parar na mão da ULTRAREACH que vende a ilusão de privacidade. ao usuários do programa. Outra possibilidade que ainda estou analisando é o ultrasurf possuir em seu código algum tipo de sistema VPN bem simples que permitiria que as pessoas da ULTRAREACH possam acessar a rede do usuário, e isto é na minha opinião o fator mais grave do uso do túnel por este programa. Bom nem precisa dizer que o ultrasurf é um binário executável, não temos acesso ao código fonte,  portando não temos como saber o quão malicioso é seu código, resta-nos a engenharia reversa.

O Ultrasurf é um programa que testa a capacidade do sysadmin pois não é uma tarefa simples bloqueá-lo, seja utilizando sistemas proxy como SQUID, mesmo com dansguardian e similares, ou através de filtros  de pacotes como o netfilter/iptables, digo isto pois tudo acontece depois que a conexão SSL é estabelecida, e este tipo de conexão normalmente é liberada pois existe uma grande gama de serviços na internet que utiliza acesso seguro (SSL/443/TCP). O problema é que não existe um IP único que você pode bloquear, pois eles tem um pool de servidores possibilitando queo cliente abra conexões SSL  para endereços aleatórios.

Isto estava tirando o sono de muitos sysadmin mundo afora. Alguns foram radicais e bloquearam qualquer acesso a porta 443, liberando apenas os sites necessários, algo como uma big-whitelist. Nem preciso dizer que isto gerou caos e desordem em muitas instituições.

Bom, felizmente este mês o Sr. Augusto Ferronato publicou na SNORT-BR uma regra criada pela equipe de segurança do SERPRO-RECIFE que detecta o uso do ULTRASURF. A equipe do SERPRO fez uma análise das conexões do ultrasurf e identificou que um dos comportamentos do programa era o envio de uma requisição DNS para servidores externos com um pacote com o tamanho de 554 bytes, sendo 480 bytes desdes com valor igual a 0, isto acontece sempre que o cliente é iniciado.

A primeira regra publicada foi pelo Augusto (baseada na rule do serpro) foi:

alert udp $HOME_NET any -> !$HOME_NET 53 (msg: “Consulta de DNS Externo - Possivel Ultrasurf”; content:”|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|”; classtype: policy-violation; sid: 1000059; rev:1; )

Depois da publicação, Rodrigo Montoro (Sp0oKeR) fez um ajuste para melhorar a visualização do log.

alert udp $HOME_NET any -> !$HOME_NET 53 (msg: “[OSSEC] Consulta de DNS Externo Possivel Ultrasurf”; content:”|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|”; classtype: policy-violation;threshold:type limit, track by_src, count 1, seconds 5; sid:1000059; rev:2; )

Com este ajuste o SNORT envia apenas 1 alerta para o arquivo de log mesmo que existam N tentativas em menos de 5 segundos, deixando a leitura do log mais clean.

Através do OSSEC HIDS o sysadmin pode criar um ação para ser executada baseando-se nos alertas do log do SNORT, esta seria a maneira mais indicada de executar uma ação. Uma outra alternativa é criar um shellscript bem simples que leia o log buscando as informações para que seja executada uma ação, seja enviado um alerta por e-mail, seja bloqueando os endereços IP via netfilter/iptables.

Pensando na segunda opção, criei um script para ler o log, bloquear o ip e enviar uma notificação ao sysadmin, veja o script em minha wiki clicando no link abaixo:

http://gutocarvalho.net/mediawiki/index.php/NoSurf

Essa regra do snort foi testada até a versão 9.1 do UltraSurf e funciona muito bem.

Deixo aqui um agradecimento especial ao pessoal do SERPRO-Recife por criar e compartilhar a regra. Agradeço ao Sr. Augusto Ferronato por publicar a regra no SNORT-BR e agradeço também  o Sp0oKeR por otimizar a regra para facilitar a leitura dos logs.

Espero que estes exemplos de compartilhamento de informação, código, conhecimento e experiências sejam seguidos sempre ;)

Referências:
http://listas.cipsga.org.br/cgi-bin/mailman/listinfo/snort-ids
http://snort.linuxsecurity.com.br/
http://www.snort.org.br/
http://www.snort.org

[]’s
Guto

O DebConf é ótimo para receber dicas interessantes vindas dos participantes, hoje de madrugada por exemplo eu conheci o Bonjour, o qual é uma implementação do ZeroConf feito pela Apple para o iChat. O mais interessante é que esta implementação é suportada pelo Pidgin, estranho não? Nem tanto!

Veja, ele funciona da seguinte forma, por baixo ele usa o ZeroConf e XMPP para permitir que 2 clientes iChat-like possam se comunicar, sem configuração, sem servidor, sem registro de usuário, você precisa apenas digitar o seu nome e sobrenome e todo o resto é feito por eles.

Bom se você quer testar o bonjour, primeiro você deve criar uma conta Bonjour no Pidgin e habilitá-la, sua workstation após este procedimento vai começar a se anunciar na rede local via avahi-daemon que é a implementação ZeroConf utilizada no debian e ubuntu por exemplo, os outros computadores da rede local também fazem anúncios e escutam anúncios, desta forma, após alguns segundos todos que tem uma conta compatível com o bonjour (e para isto todos devem ter suas implementações ZeroConf rodando) vão ser anunciados no Pidgin ou no cliente IM utilizado, normalmente estes usuários serão apresentados em um grupo chamado “Bonjour”.

Ele usa as portas 5297 TCP, 5298 TCP/UDP, 5353 UDP e estas precisam estar liberadas para que a sua workstation possa se comunicar com os demais clientes. Um detalhe importante, você não precisa adicionar ninguém, basta aguardar e em poucos segundos sua lista  vai crescendo de acordo com o número de pessoas que estejam utilizando o Bonjour em sua rede.

E agora, está instalado, funcionando, quais são as vantagens?
Pense o seguinte, você tem um IM disponível, apenas em rede interna, simples, rápido sem necessidade de implementar um serviço como o OpenFire, Ejabberd, Jabberd, e isto a um custo baixíssimo, claro que esta solução não utiliza todos os recursos do protocolo XMPP, mas funciona de forma estável, sendo uma alternativa aos im’s tradicionais (pelo menos na rede interna).

Agradeço ao Léo Serra por ter dado a dica ;)

Fike, eu gostei tanto da ferramenta que eu tinha que fazer um comentário de leve aqui no meu blog, mas eu sei que tu está fazendo um post mais detalhado, ficamos aguardando ;)

Referências:
http://en.wikipedia.org/wiki/Bonjour_(software)
http://psi-im.org/wiki/Bonjour
http://developer.apple.com/networking/bonjour/index.html

[]’s
Guto