LulzSec, Anonimous, Operação AntiSec…2011 bombando!!

21 de Junho de 2011, 0:00, por Software Livre Brasil - sem comentários ainda

LuLzSec
O Anchises postou em seu excelente blog um comentário bastante sóbrio sobre o LuLzSec. Segue um techo:

Várias empresas e profissionais de segurança de todo o mundo estão em alerta desde que os grupos hacktivistas Anonymous e LulzSec lançaram a “Operation Anti-Security” (em português, “Operação Anti-Segurança”), ou simplesmente, AntiSec.

O grupo Lulz Security (conhecido principalmente como LulzSec) surgiu recentemente, como um dissidência do Anonymous. Enquanto o Anonymous tem focado suas operações recentes principalmente em ataques e protestos com motivação política, o LulzSec tem realizado ataques com objetivo de expor a fragilidade de várias empresas, como a Sony, um de seus alvos prediletos e que deu destaque ao grupo. Após um breve rumor surgido na semana passada de que os dois grupos estariam em guerra, ambos soltaram um comunicado em conjunto neste final de semana (no dia 19/06, mais precisamente) avisando de que juntaram forças e deram início a uma nova campanha contra governos, bancos e grandes empresas de todo o mundo, chamada “Operation Anti-Security”.

Recomendo muito a leitura!

Leia mais em AnchisesLandia

See:

Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

13 de Junho de 2011, 0:00, por Software Livre Brasil - sem comentários ainda

<a href="http://blog.alexos.com.br/wp-content/uploads/2011/06/zmeu.jpg"><img class="alignleft size-thumbnail wp-image-2661" title="zmeu" src="http://blog.alexos.com.br/wp-content/uploads/2011/06/zmeu-150x150.jpg" height="150" alt="" width="150" /></a>A <a href="http://www.pentestit.com/2010/01/15/list-free-web-application-scanners/">enchurrada de Web scanners</a> disponíveis na internet e o infeliz do <a href="http://linux.m2osw.com/zmeu-attack">ZmEu bot</a> acabam tornando a vida dos nossos servidores Web um inferno. Geralmente o Apache responde a estas tentativas com sucessivos error 400 ( Bad Request ). Para acabar com essa apurrinhação podemos bloqueá-las usando o <a href="http://www.ossec.net/">Ossec HIDS</a>. Exemplo de um log do ZmEu bot <blockquote> 82.145.xx.xx – &#8211; [13/Aug/2010:07:19:36 -0300] “GET /phpadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu” 82.145.xx.xx – &#8211; [13/Aug/2010:07:19:35 -0300] “GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 198 “-” “ZmEu” 82.145.xx.xx – &#8211; [13/Aug/2010:07:19:35 -0300] “GET /mysqladmin/scripts/setup.php HTTP/1.1″ 404 194 “-” “ZmEu” 82.145.xx.xx – &#8211; [13/Aug/2010:07:19:34 -0300] “GET /myadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu” 82.145.xx.xx – &#8211; [13/Aug/2010:07:19:33 -0300] “GET /dbadmin/scripts/setup.php HTTP/1.1″ 404 191 “-” “ZmEu” 82.145.xx.xx – &#8211; [13/Aug/2010:07:19:33 -0300] “GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 196 “-” “ZmEu” </blockquote> Para isso adicione as linhas abaixo dentro da tag Active Response Config localizada no arquivo /var/ossec/etc/ossec.conf <div class="codecolorer-container xml geshi" style="overflow: auto; white-space: nowrap;"> <table> <tr> <td class="line-numbers"> <div>1 2 3 4 5 6 7 8</div> </td> <td> <div class="xml codecolorer" style="white-space: nowrap;"><!&#8211; Active response to block http scanning &#8211;&gt; &nbsp; &nbsp; &lt;active-response&gt; &nbsp; &nbsp; &nbsp; &nbsp; &lt;command&gt;route-null&lt;/command&gt; &nbsp; &nbsp; &nbsp; &nbsp; &lt;location&gt;all&lt;/location&gt; &nbsp; &nbsp; <!&#8211; Multiple web server 400 error codes from same source IP &#8211;&gt; &nbsp; &nbsp; &nbsp; &nbsp; &lt;rules_id&gt;31151&lt;/rules_id&gt; &nbsp; &nbsp; &nbsp; &nbsp; &lt;timeout&gt;600&lt;/timeout&gt; &nbsp; &nbsp; &lt;/active-response&gt;</div> </td> </tr> </table> </div> A configuração acima executará o script route-null sempre que a regra 31151 em web_rules.xml for detectada bloqueando o atacante por 10 min ( 600s ), isto significa que ocorrendo vários erros 400 no log do Apache o ip de origem será bloqueado por 10 min. Fonte: <a href="http://itscblog.tamu.edu/protecting-web-servers-with-ossec/">ITSC Blog</a> <div><h3>See:</h3><ul><li><a href="http://blog.alexos.com.br/?p=2180&amp;lang=pt-br" class="crp_title">Nessus Viewer</a></li><li><a href="http://blog.alexos.com.br/?p=1644&amp;lang=pt-br" class="crp_title">Beta-Testing: Ossec 2.4 Beta</a></li><li><a href="http://blog.alexos.com.br/?p=1345&amp;lang=pt-br" class="crp_title">Habilitando o MSA ( submission ) no Postfix</a></li><li><a href="http://blog.alexos.com.br/?p=2157&amp;lang=pt-br" class="crp_title"> H3ll0 2k11</a></li><li><a href="http://blog.alexos.com.br/?p=1630&amp;lang=pt-br" class="crp_title">Novidades FLISOL 2010 Salvador</a></li></ul></div>

Ossec HIDS 2.6 Beta Testing – Novas funcionalidades

9 de Junho de 2011, 0:00, por Software Livre Brasil - sem comentários ainda

O Ossec HIDS 2.6 está no forno. A versão beta desta que para mim é uma das melhores ferramentas de segurança da atualidade foi anunciada recentemente pelo Daniel Cid, criador e principal mantenedor.
Venho acompanhando a evolução desta versão através do respositório no Bitbucket.

Vejam algumas funcionalidades anunciadas:

Suporte IPv6

Novas regras para OpenBSD, Clamav, BRO-ids, active response logs,etc

Criação e configuração automatizada das chaves dos agentes através do os-authd

Melhorias nos relatórios de alteração dos arquivos

Bloqueio contra tentativas de intrusão repetitivas

Algumas destas novas funcionalidades estão sendo bastante úteis no meu dia a dia.

Relatórios de alteração dos arquivos

A checagem de integridade faz parte do Ossec desde de sua criação. Este versão diponibiliza uma relatório mais apurado dos arquivos alterados. Um exemplo interessante é o monitoramento das alterações dentro do diretório /var/www. Para isso adicione uma tag directories dentro do arquivo /var/ossec/etc/ossec.conf com as seguintes opções:

realtime=”yes”
report_changes=”yes”

Info:

realtime – Fará o monitoramento em tempo real do diretório
report_changes – Informará o que foi alterado em um arquivo

OBS: Outras opções podem ser encontradas no Manual do Ossec HIDS

Segue o exemplo de um simples relatório gerado após está alteração:

zcat /var/ossec/logs/alerts/2011/May/*.gz | /var/ossec/bin/ossec-reportd

Top entries for ‘Filenames’:
————————————————
/etc/apache2/sites-available/XXX.. |3 |
/etc/apache2/sites-enabled/XXX |3 |
/etc/ld.so.cache |2 |
/etc/ossec-init.conf |2 |
/etc/alternatives/www-browser |1 |
/etc/alternatives/www-browser.1.gz |1 |
/etc/apache2/sites-available/XXX |1 |
/etc/apache2/sites-enabled/XXX |1 |
/etc/init.d/.depend.boot |1 |
/etc/init.d/.depend.start |1 |
/etc/init.d/.depend.stop |1 |
/etc/mailcap |1 |
/usr/bin/www-browser |1 |

Bloqueio contra tentativas de intrusão repetitivas

Isso soa como música para meus ouvidos. Venho usando esta funcionalidade a algum tempo e realmente faz a diferença em servidores muito visados com os de FTP por exemplo. Para habilitá-la siga o exemplo apresentado no blog do DCid

Os desenvolvedores do Ossec HIDS estão mandando muito bem. Por enquanto não estou encontrando bugs nos testes desta versão beta, tenham certeza que eles estão sendo realizados em sistemas onde as tentativas de invasão são constantes.

See:

Saia do casulo!!!

7 de Junho de 2011, 0:00, por Software Livre Brasil - sem comentários ainda

casulo

A comunidade brasileira de segurança da informação vêm crescendo bastante durante os últimos anos. As mídias digitais como os blogs e outras mídias sociais estão tratando sobre o assunto com bastante frequência, acredito que isto vêm ocorrendo porque “falar” de segurança da informação, hacking e assuntos afins seja COOL!!!

O acesso fácil as ferramentas, a popularização do Backtrack, e dos sites de video como Securitytube, Vimeo dentre outros dispertam o interesse de entusiastas e security newbies.

O que me deixa realmente preocupado é que mesmo com este crescimento poucos colaboram com material original, novas pesquisas, novos vulnerabilidades, novas ferramentas… “genuinamente” brasileiras.

Nossa agenda de eventos cresce a cada ano porém a quantidade de publicações não segue o mesmo caminho. Existem pessoas que dedicam um pouco do seu escasso tempo livre colaborando com material de excelente qualidade como os veteranos do I sh0t the Sheriff do Security Lounge e o pessoal do StaySafe Podcast.

Os fundadores do StaySafe Podcast e da H2HC trabalham juntos na revista H2HC StaySafe que encontra-se em sua 4a. edição. O grande “problema” é que para manter a continuidade da revista é necessário que novos artigos sejam enviados.

Lá fora temos Packetstorm, SecDocs, Hackin9 e tantos outros sites e revistas onde novos artigos são publicados constantemente. Aqui por enquanto a H2HC StaySafe é a única publicação que mata nossa sede de conhecimento então temos que prestigiar e colaborar.

Como falei anteriormente somos carentes de publicações feitas no Brasil. A quantidade de blogs sobre o assunto é imensa porém a revista carece de novos artigos.

Se você está fazendo uma pesquisa, passou por algum problema ligado a segurança e encontrou uma solução interessante, está desenvolvendo uma nova ferramenta ou descobriu um forma mirabolante para tratar de um assunto envie seu artigo.

Não sabe escrever um artigo??? O pessoal da Hackin9 disponibiliza um excelente material que ajuda e muito.

Eu já submeti o meu só falta você!!!

Software livre Brasil

9 amigos

4 comunidades

Posts do blog

LulzSec, Anonimous, Operação AntiSec…2011 bombando!!

See:

Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

Ossec HIDS 2.6 Beta Testing – Novas funcionalidades

See:

Saia do casulo!!!

See:

Conheça

Colabore

Compartilhe

Apoio

Entrar

Software livre Brasil

9 amigos

4 comunidades

Posts do blog

Alexos Core Labs

LulzSec, Anonimous, Operação AntiSec…2011 bombando!!

See:

Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

Ossec HIDS 2.6 Beta Testing – Novas funcionalidades

See:

Saia do casulo!!!

See:

Conheça

Colabore

Compartilhe

Apoio