24 de fevereiro de 2006

Sniffer

A quem diga que depois da WinPcap qualquer um desenvolve um sniffer, a biblioteca WinPcap é usada pela maioria das ferramentas que fazem análise de pacotes, dentre elas eu destaco Ethereal e Nmap, lógico que quando falamos de WinPcap estamos falando dessas ferramentas para ambiente Windows.

Segue um link para a documentação da WinPcap, inclusive com um how-to de como utilizar a biblioteca no seu projeto e alguns exemplos
http://winpcap.mirror.ethereal.com/301a/docs/main.html

Site para baixar o WinPcap
http://www.winpcap.org/

Outra solução utilizada a API WinSock 2.2 da Microsoft que possui muita documentação disponibilizada no site do MSDN

Um artigo descrevendo o desenvolvimento de uma ferramenta de monitoração, com exemplo de como funciona a API WinSock 2.2
http://www.rnp.br/newsgen/0209/monitoracao_trafego_winsock.html

Seçao de Communication Services and Networking do MSDN
http://msdn.microsoft.com/library/default.asp?url=/
library/en-us/wcecomm5/html/
wce50conCommunicationServicesandNetworking89.asp

Guide

A microsoft disponibiliza um guide bem interessante para quem quer desenvolver um planejamento de monitoramento de segurança e detecção de ataques. Outras fontes e estudos devem ser feitos, mais sem dúvida é um bom começo.

Batendo os olhos o que me chamou atenção foi o detalhamento sobre os ID de cada tipo de log, qual o propósito do log e como deve ser tratado, eu recomendo a leitura desse guide.

Guia de Planejamento de Monitoramento de Segurança e Detecção de Ataques
http://www.microsoft.com/brasil/security/
guidance/attackdetection/default.mspx

Sniffer

A quem diga que depois da WinPcap qualquer um desenvolve um sniffer, a biblioteca WinPcap é usada pela maioria das ferramentas que fazem análise de pacotes, dentre elas eu destaco Ethereal e Nmap, lógico que quando falamos de WinPcap estamos falando dessas ferramentas para ambiente Windows.

Segue um link para a documentação da WinPcap, inclusive com um how-to de como utilizar a biblioteca no seu projeto e alguns exemplos
http://winpcap.mirror.ethereal.com/301a/docs/main.html

Site para baixar o WinPcap
http://www.winpcap.org/

Outra solução utilizada a API WinSock 2.2 da Microsoft que possui muita documentação disponibilizada no site do MSDN

Um artigo descrevendo o desenvolvimento de uma ferramenta de monitoração, com exemplo de como funciona a API WinSock 2.2
http://www.rnp.br/newsgen/0209/monitoracao_trafego_winsock.html

Sessão de Communication Services and Networking do MSDN
http://msdn.microsoft.com/library/default.asp?url=/
library/en-us/wcecomm5/html/
wce50conCommunicationServicesandNetworking89.asp



Guide

A microsoft disponibiliza um guide bem interessante para quem quer desenvolver um planejamento de monitoramento de segurança e detecção de ataques. Outras fontes e estudos devem ser feitos, mas sem dúvida é um bom começo.

Batendo os olhos o que me chamou atenção foi o detalhamento sobre os ID de cada tipo de log, qual o propósito do log e como deve ser tratado, eu recomendo a leitura desse guide.

Guia de Planejamento de Monitoramento de Segurança e Detecção de Ataques
http://www.microsoft.com/brasil/security/
guidance/attackdetection/default.mspx


23 de fevereiro de 2006

Autoruns

Últimamente tenho falado só de ferramentas, é porque tá complicado comentar sobre os assuntos e conceitos que nos deparamos todos os dias em security, então tenho ficado nesses posts rápidos por falta de tempo, mais em breve volto a explorar outras coisas...

Recentemente eu andei utilizando mais uma ferramenta da sysinternals, a ferramenta é a autoruns, a ferramenta é excelente, ela faz um scan na sua maquina por entradas em registros, serviços, plugins de browser, etc...Ela não fica só no básico como muitas outras ferramentas, ela trás informações inclusive da assinatura dos arquivos, outro recurso interessante é a possibilidade de você salvar um scan e depois comparar com outros scans. Quando você instala alguns softwares e depois desinstala ficam vários lixos na sua maquina, com o autoruns você consegue arrancar tudo com um simples delete.



Autoruns - http://www.sysinternals.com/Utilities/Autoruns.html

Autoruns

Últimamente tenho falado só de ferramentas, é porque tá complicado comentar sobre os assuntos e conceitos que nos deparamos todos os dias em security, então tenho ficado nesses posts rápidos por falta de tempo, mas em breve volto a explorar outras coisas...

Recentemente eu andei utilizando mais uma ferramenta da sysinternals, a ferramenta é a autoruns, a ferramenta é excelente, ela faz um scan na sua maquina por entradas em registros, serviços, plugins de browser, etc...Ela não fica só no básico como muitas outras ferramentas, ela trás informações inclusive da assinatura dos arquivos, outro recurso interessante é a possibilidade de você salvar um scan e depois comparar com outros scans. Quando você instala alguns softwares e depois desinstala ficam vários lixos na sua maquina, com o autoruns você consegue arrancar tudo com um simples delete.



Autoruns - http://www.sysinternals.com/Utilities/Autoruns.html

22 de fevereiro de 2006

Antivírus

Estou cansado de ver empresas que optam erroneamente por utilizar antivírus como avast, avg por serem freeware, o que muitos não sabem é que eles estão cometendo crime de pirataria, esses antivírus tem sua licença freeware para uso doméstico, não para uso comercial.

Procurando por uma solução que não custe os olhos da cara e seja eficiente eu resolvi testar o comentado e gratuito Clamav, ele tem seu código fonte aberto, sua base de assinaturas é atualizada diariamente e dizem algumas publicações que sua técnica de análise é diferenciada, não tive a oportunidade de estudar melhor ela, qualquer novidade eu adiciono aqui. Utilizando na minha maquina se mostrou bastante eficiente.

Podendo ser gerenciado por linha de comando ou interface gráfica nativa no Windows, o KDE possui uma interface gráfica para linux, compativel com todos as versões de Windows, é uma boa opção para ambientes que utilizam servidores windows e linux e tem sua base de desktop baseado em plataforma windows.



Versão Windows: http://www.clamwin.com/
Versão Linux: http://www.clamav.net/

Antivírus

Estou cansado de ver empresas que optam erroneamente por utilizar antivírus como avast, avg por serem freeware. O que muitos não sabem é que eles estão cometendo crime de pirataria, esses antivírus tem sua licença freeware para uso doméstico, não para uso comercial.

Procurando por uma solução que não custe os olhos da cara e seja eficiente eu resolvi testar o comentado e gratuito Clamav, ele tem seu código fonte aberto, sua base de assinaturas é atualizada diariamente e dizem algumas publicações que sua técnica de análise é diferenciada. Não tive a oportunidade de estudar melhor ela, qualquer novidade eu adiciono aqui. Utilizando na minha maquina se mostrou bastante eficiente.

Podendo ser gerenciado por linha de comando ou interface gráfica nativa no Windows, o KDE possui uma interface gráfica para linux, compativel com todos as versões de Windows, é uma boa opção para ambientes que utilizam servidores windows e linux e tem sua base de desktop baseado em plataforma windows.



Versão Windows: http://www.clamwin.com/
Versão Linux: http://www.clamav.net/

20 de fevereiro de 2006

IPsec

Como já havia comentado por aqui, os algoritmos MD5 e Sha1 subiram no telhado, a existência de colisões pode trazer alguns problemas.

O IPsec é uma das soluções que podem ser afetadas, o IPsec quando implementado os protocolos AH e ESP garante confidencialidade e integridade, o AH especificamente é responsável pela integridade e faz uso do algoritmo de hash para isso. Ele é responsável por evitar sequestros de sessão (session hijack), main the midle, etc...

Então com o uso de algoritmo de hash que podem sofrer colisões essas caracteristicas ficam prejudicadas. Já que o IPsec tem seus protocolos abertos, resolvi procurar algum documento sobre a implementação de Sha-256 por exemplo. Encontrei o seguinte documento:

The HMAC-SHA-256-128 Algorithm
and Its Use With IPsec
http://w3.antd.nist.gov/iip_pubs/
draft-ietf-ipsec-ciph-sha-256-01.txt


Mais ainda temos outro problema, o IPsec com seu algoritmo de 128 já degrada muito a performance, como vai ficar com algoritmo ainda mais complexo? Algo a se estudar...

IPsec

Como já havia comentado por aqui, os algoritmos MD5 e Sha1 subiram no telhado, a existência de colisões pode trazer alguns problemas.

O IPsec é uma das soluções que podem ser afetadas, o IPsec quando implementado os protocolos AH e ESP garante confidencialidade e integridade, o AH especificamente é responsável pela integridade e faz uso do algoritmo de hash para isso. Ele é responsável por evitar sequestros de sessão (session hijack), main the midle, etc...

Então com o uso de algoritmo de hash que podem sofrer colisões essas caracteristicas ficam prejudicadas. Já que o IPsec tem seus protocolos abertos, resolvi procurar algum documento sobre a implementação de Sha-256 por exemplo. Encontrei o seguinte documento:
The HMAC-SHA-256-128 Algorithm 
and Its Use With IPsec

http://w3.antd.nist.gov/iip_pubs/
draft-ietf-ipsec-ciph-sha-256-01.txt


Mais ainda temos outro problema, o IPsec com seu algoritmo de 128 já degrada muito a performance, como vai ficar com algoritmo ainda mais complexo? Algo a se estudar...

17 de fevereiro de 2006

Password Safe

Tenho visto com uma certa frequência empresas utilizando softwares para armazenamento de senhas, que eu particularmente acho uma boa pratica se apoiado por outros controles e processos.

Antes várias senhas em uma base, do que uma senha díficil que é repetida no ambiente todo. E recomendo para usuários que possuam muitas senhas, podem usar uma senha em cada lugar e gravar a senha do software.

Eu já havia utilizado algum desses softwares, mais vou deixar aqui algumas informações sobre, acredito eu os três mais usados.

Whisper32

Achei muito fraco em recursos, a criptografia é baseado no algoritmo Phil Karn, sci.crypt, 13 Feb 1992' e seu último release é de 29 de Agosto de 2004 (faz tempo hein).

Site: http://www.ivory.org/whisper.html



Password Safe

O Responsável pelo desenvolvimento e manutenção do password safe ninguém menos que Bruce Schneier, eu achei um "fusquinha" simples, funcional e robusto, baseado lógico no algoritmo Blowfish, possui código aberto e seu último release é de 27 de Janeiro de 2006.

Site: http://schneier.com/passsafe.html



Keepass

Na minha opinião o mais completo de todos os softwares, interface intuitiva, vários idiomas inclusive o português do Brasil e muitos recursos, possui inclusive uma versão para pocket. Utiliza o algoritmo AES e Twofish, possui código aberto e seu último release é de 4 de Janeiro de 2006.

Site: http://keepass.sourceforge.net/











Obs.: antes que alguém comente alguma coisa sobre os softwares serem de código aberto e segundo o Kevin Mitnick mais vulnerável que os fechados, só tenho uma coisa a dizer: para o Kevin Mitnick dizer que código aberto é mais vulnerável que o fechado ele só pode ter analisado códigos fontes onde os autores deixavam seu nome e telefone.

Password Safe

Tenho visto com uma certa frequência empresas utilizando softwares para armazenamento de senhas, que eu particularmente acho uma boa pratica se apoiado por outros controles e processos.

Antes várias senhas em uma base, do que uma senha díficil que é repetida no ambiente todo. E recomendo para usuários que possuam muitas senhas, podem usar uma senha em cada lugar e gravar a senha do software.

Eu já havia utilizado algum desses softwares, mas vou deixar aqui algumas informações sobre, acredito eu os três mais usados.

Whisper32

Achei muito fraco em recursos, a criptografia é baseado no algoritmo Phil Karn, sci.crypt, 13 Feb 1992' e seu último release é de 29 de Agosto de 2004 (faz tempo hein).

Site: http://www.ivory.org/whisper.html



Password Safe

O Responsável pelo desenvolvimento e manutenção do password safe ninguém menos que Bruce Schneier, eu achei um "fusquinha", simples, funcional e robusto, baseado lógico no algoritmo Blowfish, possui código aberto e seu último release é de 27 de Janeiro de 2006.

Site: http://schneier.com/passsafe.html



Keepass

Na minha opinião o mais completo de todos os softwares, interface intuitiva, vários idiomas inclusive o português do Brasil e muitos recursos, possui inclusive uma versão para pocket. Utiliza o algoritmo AES e Twofish, possui código aberto e seu último release é de 4 de Janeiro de 2006.

Site: http://keepass.sourceforge.net/











Obs.: antes que alguém comente alguma coisa sobre os softwares serem de código aberto e segundo o Kevin Mitnick mais vulnerável que os fechados, só tenho uma coisa a dizer: para o Kevin Mitnick dizer que código aberto é mais vulnerável que o fechado ele só pode ter analisado códigos fontes onde os autores deixavam seu nome e telefone.

15 de fevereiro de 2006

Imagens no Google

Vocês já tentaram usar a busca de imagens do google para pesquisar assuntos relativos a segurança? Pode-se encontrar coisas bem interessantes através dela. Só não se assuste se encontrar aquela topologia de rede ultra-secreta da sua empresa que você publicou no seu servidor web, o google está de olho.

Segue alguns exemplos segundo a palavra usado para pesquisa:

Alta Disponibilidade



Security Management



Pentest

OWASP

Informo a todos que já temos um capítulo Brasil do OWASP (Open Web Application Security Project) um projeto que tem como objetivo a criação de guias e desenvolver pesquisas sobre desenvolvimento seguro em aplicações WEB.

Lider do capítulo Brasil: Wagner Elias
Organização: Augusto Paes de Barros, Thiago Zaninotti e Victor Pereira

O projeto é aberto e conta com a participação de toda comunidade para que possamos desenvolver um bom trabalho e destacar o capítulo Brasil. Se o Brasil é famoso por seus desenvolvedores, chegou a hora de mostrar a cara.

OWASP = http://www.owasp.org
Capítulo Brasil = http://www.owasp.org/local/brazil.html

Imagens no Google

Vocês já tentaram usar a busca de imagens do google para pesquisar assuntos relativos a segurança? Pode-se encontrar coisas bem interessantes através dela. Só não se assuste se encontrar aquela topologia de rede ultra-secreta da sua empresa que você publicou no seu servidor web, o google está de olho.

Segue alguns exemplos segundo a palavra usado para pesquisa:

Alta Disponibilidade



Security Management

Pentest


Sql Injection

Os programadores ainda estão se dando conta do simples ataque de Sql Injection que usa combinações para burlar o sistema de login e as ferramentas e técnicas estão cada dia mais avançadas e intuitivas, através de um Sql Injection você pode ter total controle sobre uma maquina, dar comando em shell, criar e deletar objetos e muitas outras coisas.

Quando digo que os ataques estão ficando intuitivos é porque a cada dia aparecem ferramentas como essa que vou mostrar aqui.





Sql Power Injection = http://www.sqlpowerinjector.com
Documentação = http://www.sqlpowerinjector.com/docs/TutorialSPInj.pdf

OWASP

Informo a todos que já temos um capítulo Brasil do OWASP (Open Web Application Security Project) um projeto que tem como objetivo a criação de guias e desenvolver pesquisas sobre desenvolvimento seguro em aplicações WEB.

Lider do capítulo Brasil: Wagner Elias
Organização: Augusto Paes de Barros, Thiago Zaninotti e Victor Pereira

O projeto é aberto e conta com a participação de toda comunidade para que possamos desenvolver um bom trabalho e destacar o capítulo Brasil. Se o Brasil é famoso por seus desenvolvedores, chegou a hora de mostrar a cara.

OWASP = http://www.owasp.org
Capítulo Brasil = http://www.owasp.org/local/brazil.html

Sql Injection

Os programadores ainda estão se dando conta do simples ataque de Sql Injection que usa combinações para burlar o sistema de login e as ferramentas e técnicas estão cada dia mais avançadas e intuitivas. Através de um Sql Injection você pode ter total controle sobre uma maquina, dar comando em shell, criar e deletar objetos e muitas outras coisas.

Quando digo que os ataques estão ficando intuitivos é porque a cada dia aparecem ferramentas como essa que vou mostrar aqui.



Sql Power Injection = http://www.sqlpowerinjector.com
Documentação = http://www.sqlpowerinjector.com/docs/TutorialSPInj.pdf


14 de fevereiro de 2006

VI

Esse post é pra quem não vive sem o bom e velho VI do *nix, se você quer usar ele em ambiente windows, amiga e outros pode usar o VIM. Além de um poderoso editor em modo gráfico você tem ele só CLI.





Vim = http://www.vim.org/download.php#pc

VI

Esse post é pra quem não vive sem o bom e velho VI do *nix, se você quer usar ele em ambiente windows, amiga e outros pode usar o VIM. Além de um poderoso editor em modo gráfico você tem ele só CLI.





Vim = http://www.vim.org/download.php#pc

13 de fevereiro de 2006

Core Dump

Core dump é um arquivo gerado para que se possa analisar o que aconteceu em um crash do sistema. Mais por segurança esse recurso deve estar desabilitado por guardar informações sensiveis que podem ser usadas por pessoal mal intencionadas.

O core dump deve ser habilitado somente em uma análise de um servidor que vem apresentando problemas, por padrão os SO *Nix já vêm desabilitado, mais o SO windows vêm com ele habilitado por default.


Meu computador/Propriedades/Avançado

Essa ferramenta da Microsoft permite o debug de um arquivo memory.dmp gerado pelo dump do windows.

Dumpchk - http://support.microsoft.com/kb/156280/en-us

Core Dump

Core dump é um arquivo gerado para que se possa analisar o que aconteceu em um crash do sistema. Mas por segurança esse recurso deve estar desabilitado por guardar informações sensiveis que podem ser usadas por pessoal mal intencionadas.

O core dump deve ser habilitado somente em uma análise de um servidor que vem apresentando problemas, por padrão os SO *Nix já vêm desabilitado, mais o SO windows vêm com ele habilitado por default.


Meu computador/Propriedades/AvançadoEssa ferramenta da Microsoft permite o debug de um arquivo memory.dmp gerado pelo dump do windows.

Dumpchk - http://support.microsoft.com/kb/156280/en-us

10 de fevereiro de 2006

Threat Modeling

Uma das atividades principais de um processo de desenvolvimento de software seguro sem dúvida é Modelagem de ameaças.

Através de uma boa modelagem conseguimos mitigar possíveis ameaças e consequentemente desenvolver um software com mais qualidade e segurança.

Eu realizei uns testes com a ferramenta Threat Modeling Tool da Microsoft, achei ela muito interessante, sem contar que ela é freeware. Ela possibilita um mapeamento completo, integração com o visio e gera bons relatórios.


Visão geral


Integração com o visio


Detalhe relatório 1


Detalhe relatório 2

Threat Modeling Tool
http://www.microsoft.com/downloads/thankyou.aspx?
familyId=62830f95-0e61-4f87-88a6-e7c663444ac1&displayLang=en


Um pouco sobre Modealagem de Ameaça
http://www.microsoft.com/brasil/security/
guidance/topics/devsec/secmod76.mspx

Nessus

Quem utiliza o Nessus para análise de vulnerabilidades lógicas (scan) sempre sentiu falta de relatórios mais apresentaveis. O Reason é uma boa opção!





Reason - http://reason.idealogica.com/

Threat Modeling

Uma das atividades principais de um processo de desenvolvimento de software seguro sem dúvida é Modelagem de ameaças.

Através de uma boa modelagem conseguimos mitigar possíveis ameaças e consequentemente desenvolver um software com mais qualidade e segurança.

Eu realizei uns testes com a ferramenta Threat Modeling Tool da Microsoft, achei ela muito interessante, sem contar que ela é freeware. Ela possibilita um mapeamento completo, integração com o visio e gera bons relatórios.


Visão geral


Integração com o visio


Detalhe relatório 1


Detalhe relatório 2

Threat Modeling Tool
http://www.microsoft.com/downloads/thankyou.aspx?
familyId=62830f95-0e61-4f87-88a6-e7c663444ac1&displayLang=en


Um pouco sobre Modealagem de Ameaça
http://www.microsoft.com/brasil/security/
guidance/topics/devsec/secmod76.mspx


Nessus

Quem utiliza o Nessus para análise de vulnerabilidades lógicas (scan) sempre sentiu falta de relatórios mais apresentaveis. O Reason é uma boa opção!





Reason - http://reason.idealogica.com/

9 de fevereiro de 2006

Password Crack

Até hoje ainda encontramos pessoas que se espantam quando descobrem a facilidade para se quebrar senhas. Não é meu objetivo dar material a Script Kid mais acho interessante que se saiba dos riscos e dá atual facilidade para se conseguir tal resultado.

Eu já estudei e troquei muita informação sobre rainbow tables, tabelas enormes de hashs pré-compilados que são usadas para quebra de senha, já sabia de ferramentas como cain que utilizavam desse recurso, mais eu fui testar uma ferramenta que torna o processo ainda mais fácil.

Ophcrack - http://blog.tech-security.com/?p=15



Mais o que o Ophcrack faz de interessante? Ele simplesmente te trás a possibilidade de baixar a rainbow table no momento da instalação. Dai pra frente você já pode imaginar os resultados.

Password Crack

Até hoje ainda encontramos pessoas que se espantam quando descobrem a facilidade para se quebrar senhas. Não é meu objetivo dar material a Script Kid mas, acho interessante que se saiba dos riscos e dá atual facilidade para se conseguir tal resultado.

Eu já estudei e troquei muita informação sobre rainbow tables, tabelas enormes de hashs pré-compilados que são usadas para quebra de senha, já sabia de ferramentas como cain que utilizavam desse recurso, mas eu fui testar uma ferramenta que torna o processo ainda mais fácil.

Ophcrack - http://blog.tech-security.com/?p=15



O que o Ophcrack faz de interessante? Ele simplesmente te trás a possibilidade de baixar a rainbow table no momento da instalação. Dai pra frente você já pode imaginar os resultados.

3 de fevereiro de 2006

Debug

Estou cansado de resolver problemas aparentemente complicadissimos somente usando o Filemon. Principalmente se tratando de permissões NTFS, incrível como ainda tem gente que apanha com isso.


Filemon

O filemon vai te dar uma ampla visão de quais os componentes (dll, ocx, etc...) que estão sendo chamados e lhe dará informações sobre o funcionamento, se um componente chamar um outro componente que não existe ele irá mostrar o nome do arquivo ausente, se ele tentar acessar um componente e não tiver acesso ele irá informar, com essas informações fica muito mais fácil encontrar um problema.

Filemon - http://www.sysinternals.com/Utilities/Filemon.html

Se você é hardcode e quer pegar o bicho na unha, existe um artigo do Mark Russinovich explicando como funciona a API de depuração do Windows, artigo de excelente qualidade.

Native API - http://www.sysinternals.com/Information/NativeApi.html