Alexandro Silva: Infraestrutura para Aplicações Web Seguras parte 2 – SGBDs ( Updated )

O SGBD é ao mesmo tempo o bom e o mau elemento deste processo. Se bem configurado e mantido será um aliado poderoso, infelizmente isto nem sempre ocorre sendo bastante otimista.

As últimas noticias revelam que as boas práticas não estão sendo obedecidas. A técnica de ataque mais utilizada atualmente é o SQL Injection que é injectar código malicioso permitindo desde a criação de um simples usuário até a total indisponibilidade do serviço.

99.99% dos sites comprometidos ( defacements ) diariamente estão vulneráveis a este de ataque.Esta falha não está somente ligada ao SGBD, um código mau escrito abre esta e outras vulnerabilidades na aplicação como veremos na 3a. parte do nosso artigo.

Os SGBDs mais utilizados numa infraestrutura baseada em software livre são o MySQL e o Postgresql. Cada um destes sistemas possuem características que atendem a várias demandas de performance, produtividade, escalabilidade e segurança.

A implementação de uma infraestrutura segura para banco de dados inicia-se na modelagem do banco, uma modelagem bem feita permitirá que sua base de dados expanda mantendo a total integridade, escalabilidade e segurança. Evitando brechas de segurança e evitando as sempre presentes “gambiarras”.

Como definimos anteriormente o sistema de arquivos* e o tipo de redundância dos discos** serão itens criticos na performance e segurança na manipulação dos dados.

* Recomendo o uso do sistema de arquivos XFS
** Recomendo o uso do RAID 0+1

SGBD MySQL Seguro

1 – Amplie a segurança local

Desabilite o uso do comando LOAD DATA LOCAL INFILE prevenindo contra ataques que permitem a leitura dos arquivos locais. Isso é importante caso haja ataque de SQL Injection através de uma vulnerabilidade no código PHP.

Adicione o seguinte parâmetro na seção [mysqld] do arquivo /chroot/mysql/etc/my.cnf:

set-variable=local-infile=0

2 – Altere a senha do usuário root do banco

mysqladmin -u root password ‘NOVA_SENHA’ -p

3 – Remova usuários e bases padrões

mysql> drop database test;
mysql> use mysql;
mysql> delete from db;
mysql> delete from user where not (host=”localhost” and user=”root”);
mysql> flush privileges;

4 – Renomeie a conta do admin ( root )

mysql> update user set user=”mydbadmin” where user=”root”;
mysql> flush privileges;

5 – Crie contas de usuários separadas para cada aplicação

mysql -u mydbadmin -p

mysql> CREATE DATABASE blog;
mysql> CREATE DATABASE guestbook;

mysql> CREATE USER ‘blgu’@'localhost’ IDENTIFIED BY ‘SENHA’;
mysql> CREATE USER ‘gbu’@'localhost’ IDENTIFIED BY ‘OUTRASENHA’;

mysql> GRANT ALL PRIVILEGES ON blog.* TO ‘blgu’@'localhost’ WITH GRANT OPTION;
mysql> GRANT ALL PRIVILEGES ON guestbook.* TO ‘gbu’@'localhost’ WITH GRANT OPTION;

mysql> FLUSH PRIVILEGES;

MySQL Tunning

Para fazer o tunning do MyQSL recomendo o uso do seguinte script:

MySQL Performance Tuning Primer Script

O uso desta ferrramenta é recomendado após 48 horas de uso do banco permitindo que o script detecte os valores corretos para o tunning do banco.

Links Recomendados:

* Making MySQL Secure Against Attackers

* Six steps to secure sensitive data in MySQL

SGBD Postgresql Seguro

No caso do Postgresql recomendo a leitura do material do Fernando Ike aka Fike, o cara é uma sumidade no assunto. Nesta apesentação ele aborda o tunning de performance e segurança do Postgresql

* Performance Tuning para banco de dados PostgreSQL

Links Recomendados:

* Securing your PostgreSQL Database
* PostgreSQL – Security

Auditoria – Ferramentas

* OWASP SQLiX Project
* Security Database
* SQL Injection Tools
* SQL Injection Vulnerability Online Test
* SQL Inject Me – Firefox Addon

Outros Links

* SQL Injection Prevention Cheat Sheet
* Database Security
* Blind SQL Injection

Tweet This Post

Alexandro Silva: Infraestrutura para Aplicações Web Seguras parte 1 – Sistema ( Updated )

Neste artigo abordarei como montar/manter um servidor seguro. Uso o Debian GNU/Linux como sistema base mas todas as ferramentas e procedimentos listados servem para qualquer Unix-like.

Um dos grandes inimigos na implementação de qualquer solução é o tempo. Tudo tem que ser feito no menor tempo possível, com o menor gasto possível e com 0% de falha. Para respeitamos todas essas premissas as orientações apresentadas serão de rápida implementação e fácil manutenção.

Hardening

Trocando em miúdos o hardening é o fortalecimento de um sistema, serviço ou aplicação com o objetivo de minimizar ou dificultar a ação de hackers e crackers.

Iniciamos o hardening antes da instalação do sistema. Neste momento planejamos:

1 – Daemons/serviços que serão disponibilizados;
2 – Particionamento;

1 – Como o foco do nosso artigo são aplicações Web já sabemos que vamos trabalhar com o Quarteto Fantástico – Linux, Apache, PHP e MySQL ou Postgresql. De antemão já temos definidos os serviços que serão disponibilizados.

2 – Com isso definido recomendo que o diretório /var permaneca numa partição separada, lá ficarão os arquivos do site no /var/www e os arquivos do banco em /var/lib/mysql.
Dependendo da aplicação é possivel que o BD cresca rapidamente então recomendo separar a maior parte do disco para está partição e também recomendo a utilzação do sistema de arquivos XFS.

Quer saber porque recomendo o uso deste sistema de arquivos? CLIQUE AQUI

Feito todo o planejamento e com o S.O. instalado iniciaremos os procedimentos de pós-instalação:

1 – Atualizar todo o sistema. No caso do Debian recomendo antes de tudo ajustar o arquivo sources.list removendo todo o conteúdo e adicionado os seguintes repositórios:

deb http://ftp.us.debian.org/debian stable main contrib
deb http://security.debian.org/ stable/updates main contrib

Feito isso use o velho e bom aptitude update && aptitude safe-upgrade

2 – Remova todos os serviços desnecessários:

Recomendo a instalação do Nmap, assim de forma fácil e rápida descobriremos as portas abertas e os serviços em execução.

Exemplo:

nmap localhost

Starting Nmap 5.21 ( http://nmap.org ) at 2010-02-25 00:53 BRT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000021s latency).
Hostname localhost resolves to 2 IPs. Only scanned 127.0.0.1
Not shown: 996 closed ports
PORT STATE SERVICE
xx/tcp open xxx
xxx/tcp open xxxx
xxx/tcp open xxx
xxx/tcp open xxxxx

Nmap done: 1 IP address (1 host up) scanned in 0.22 seconds

Você poderá remover a aplicação indesejada usando o comando aptitude remove [aplicação] ou apenas impedir que ela seja executada durante o boot, como por exemplo o MTA exim usando o comando update-rc.d -f exim remove. Dessa forma o exim permanecerá instalado, por ser dependência para outras aplicações, mas não será executado durante o boot.

3 – Use o sudo

Evite logar no sistema usando o usuário root e não deixe que membros da equipe façam o mesmo, assim é possivel fortalecer a auditoria de autenticação, instalação e remoção de pacotes e ações que podem danificar o sistema.

4 – Bloqueie o usuário root

Use o comando usermod -L root para bloquear o login usando o usuário root.

5 – Mude a porta padrão do ssh e bloqueie o login do usuário root

Segurança por obscuridade é uma das técnicas utilizadas para dificultar o footprinting, e o port scanning do seu sistema.
Para fazer estas modificações acesse o arquivo /etc/ssh/sshd_config e altere as seguintes linhas:

Port 22

para por exemplo

Port 3000

PermitRootLogin yes

para

PermitRootLogin no

Refinando o processo de Hardening

Algumas ferramentas podem ser utilizadas para ajudar no processo de hardening do sistema. Recomendo fortemente o uso das seguintes ferramentas:

Hntool

Este é um novo projeto do meu amigo sergipano Hugo Doria que vem crescendo bem rápido e vem contando com novas contribuições diariamente.
O objetivo desta ferramenta é facilitar a vida do Sysadmin informando as melhorias necessárias para fortalecer os serviços e o próprio sistema.
Como ele é totalmente modular fica muito fácil contribuir. Se você quer aprender a programar em Python essa é hora.
Contribua com o desenvolvimento do Hntool. A comunidade de brasileira de segurança da informação agradece.

Bastille

O Bastille protege o sistema operacional, configurando o sistema de maneira pro-ativa para aumentar sua segurança e reduzir as chances de comprometimento. Ele também pode ser usado para assessorar no processo de Hardening do sistema, reportando e detalhando cada configuração de segurança usada pelo programa.

Ele auxilia o usuário/administrador do sistema a escolher exatamente como fortalece-lo. No modo de operação/hardening padrão, ele interage com o usuário fazendo perguntas , explicando cada tópico para, então, criar uma política baseada nas respostas do usuário. Logo em seguida, aplica-se as políticas no sistema. No modo de auditoria, ele cria um relatório para ensinar o usuário sobre as configurações de segurança disponíveis, além de informar quais configurações foram definidas/ajustadas.

Para ajudar na instalação e configuração disponibilizo o capitulo referente ao Bastille que criei para minha aula na Pós em Segurança da Informação da Unijorge.

Monitoramento Seguro

Após todos os ajustes necessários é hora de monitorar e manter o ambiente sempre disponível e seguro. Para isso recomendo a instalação das seguintes ferramentas:

Ossec HIDS

O OSSEC é um escalável, multi-plataforma, e open source HIDS. Ele integra análise de log, checagem de integridade de arquivos, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.

Para facilitar a implentação postei 03 artigos com a instalação do Ossec Server, o Agente e a Interface Web.

Lenbrando que existe a opção da instalação local ( standalone ) permitindo que você seja alertado através do email.

Munin

O Munin é uma ferramenta de gerência de desempenho muito simples de instalar e configurar. Ela permite que você obtenha informações em tempo real de como anda o seu sistema.

Veja o post que disponibilizei sobre está excelente ferramenta.

Apticron

O Apticron é um script que alerta via email diariamente sobre novas atualizações no seu servidor, no alerta você encontra a lista de pacotes que precisam ser atualizados e todo o changelog.

Acesse os links 1 ou 2 para obter informações de como instalar e configurar está ferramenta bastante útil.

Conclusão

Finalizo aqui a 1a. parte da nossa saga. Peço desculpas aos leitores que querem mais informações técnicas sobre os assuntos abordados, só que o objetivo destes artigos é trazer recomendações e referências rápidas. Prometo trazer informações mais técnicas sobre os assuntos abordados em breve.

Tweet This Post

Aurelio A. Heckert: Mono, the trojan

Nós, brasileiros de classe média, adoramos repetir "O povo não tem memória" como explicação para o fato de Arruda, ACM, Sarney, Maluf e outros serem reeleitos apesar de seu passado e, na seqüencia, protagonizam um novo escândalo.

Bem, isso não é uma característica exclusiva do "povo" brasileiro.

“Linux is a cancer that attaches itself in an intellectual property sense to everything it touches.”

Steve Ballmer, Microsoft CEO

Esse não foi o único ataque, mas parece sintetizar o pensamento da Microsoft sobre o Software Livre. Hoje muitos ignoram os riscos jurídicos de tecnologias baseadas em .Net, como o Mono.

O "pacto de não agressão" ao software livre referente a uso de .Net tem faltas que deveriam ser consideradas graves, mas a maioria nem as conhece. Fora isso a MS fez outro problemático "Pacto Moonlight" com a Novell, definindo diversos limites a sua implementação e uso.

O Pacto se opõe fortemente a GPL e, de imediato, foi retirado todo o código GPL do Monlight. É uma aberração e não tenho notícia de outro caso parecido com esse. Além disso só é possivel participar do desenvolvimento do Mono caso você ceda seus direitos a Novell, para que ela possa relicenciar o código de acordo com seus interesses. (isso é colaboração ou trabalho escravo?)

Apesar de todos os males (veja no Groklaw e no Boycott Novell) os desenvolvedores do Mono parecem se sentir blindados a mudanças de humor da MS e não se importam com o risco que estão criando para o ecossistema do SL. Na conclusão do Moonlight, Jeffrey disse:

"you're free to remain in the stone age, living in a cave, trying to write software by scraping coal along the cave walls"

...ou seja, não só não se preocupam, como ignoram/desrespeitam a existência de outras tecnologias (muitas livres), nas quais os desenvolvedores investem muito trabalho para que a web continue evoluindo.

Não quero Mono na minha máquina. O que faço?

Alguns softwares livres são baseados em .Net (Mono). Para facilitar o trabalho de impedir a instalação automática do Mono foram criados alguns pacotes para conflitar com o pacote do Mono e bloquear sua instalação. Baixe e instale: nomono.pkg para Arch e mononono.deb para Debian e Ubuntu.

Tiago Bortoletto Vaz: Intervozes – Levante sua voz

Belo trabalho!!!

Atualizado: Belo e EMOCIONANTE.

Intervozes – Levante sua voz from Pedro Ekman on Vimeo.

Alexandro Silva: Efeito Redmond: Trojan Zeus infecta 74.000 hosts espalhados pelo globo

2.500 organizações espalhadas pelo globo, cerca de mais de 74.000 máquinas, estão envolvidas em uma botnet global devido a infestação do trojan Zeus permitindo que várias senhas bancárias, contas de email e dados confidencias sejam roubados.

Este trojan é enviado em um e-mail bastante convincente que simula uma mensagem da NSA, a Agência Nacional de Segurança do governo americano. O email pede que a vitima faça o download do relatório “2020 Project.” outra variante mascara o remetente nobody@sh16.ruskyhost.ru com a conta de email admin@intelink.gov.

Como característica básica de um trojan horse ele pode ser usado para pesquisar e roubar arquivos em vários computadores, fazer o download e a instalação de vários programas e permite o controle remoto do computador infectado.

Somente 16 dos 39 anti-virus usados pelo Virustotal.com detectaram o arquivo infectado.

Alguns alvos destes ataques são empresas como Merck, Cardinal Health, Paramount Pictures, e Juniper Networks. Existem algumas especulações que os criminosos responsáveis pelos ataques estão localizados no Leste Europeu usando um servidor localizado na Alemanha.

Mais de 75 Gig de dados já foram roubados 68.000 logins de acesso a emails, contas bancárias, redes sociais, Yahoo, Hotmail e cerca de 2.000 certificados digitias ( SSL ) e dados individuais. Os computadores atacados também estão infectados pelo malware Waledac. As maiores vitimas destes ataques estão localizadas no Egito, Arábia Saudita, Turquia e Estados Unidos dentre os 200 países que possuem hosts infectados.

Como ocorreu anteriormente com o plugin Sothink Web Video Downloader do Firefox somente os usuários do sistema operacional de Redmond estão fadados a sofrer esse mal irremediável.

Este não será o 1o. nem o último ataque global aos usuários deste sistema. Culpa somente de tio Bill e os seus comparsas? Acredito que não. Acredito que boa parte culpa venha dos usuários pelas seguintes razões:

1o. Usar Windows
2o. Usar Windows
3o. Não possuir o mínimo discernimento do valor das informações contidas em suas máquinas
4o. Não se proteger usando ferramentas de segurança além do já batido e cada vez mais ultrapassado AV.
5o. Clicar em qualquer maluquice que surge em sua tela.
6o. Não verificar a procedência das mensagens que surgem em suas caixas de email
7o. Vou parar aqui senão a lista não acaba.

Posso facilmente listar alguns worms e malwares que acabaram com metade do globo na última decada:

Nimda
Sircam
Blaster
Sasser

Quer a lista completa desde 1970? Clique AQUI

Para ajudar este intrépidos usuários disponibilizo o LINK de uma ferramenta para remoção do Zeus.

Infelizmente não posso garantir a eficácia da ferramenta porque sou um feliz e seguro usuário do GNU/Linux desde 1997, inclusive fiquei um pouco desatualizado sobre o assunto vírus por causa desta escolha.

Fonte
-

Tweet This Post

Aurelio A. Heckert: Windows Mata

Já ouvi várias pessoas dizendo: "Se usar Linux no hospital e alguém morrer por falha do SO, eu não posso processar ninguém."

Bom, eu prefiro não morrer a ter a chance de processar alguém. ;-)

Acabo de ler o artigo Pacientes do hospital Universitário de Middlesex sofrem com a relação entre o Serviço Nacional de Saúde (NHS em Inglês) e a Microsoft de Roy Schestowitz.

Lá você encontra uma lista de links sobre outros casos:

• Links de Segurança: Outro Hospital é pego por Spyware de Windows; Outro Trojan e Botnet
• Exército dos EUA torna-se Exército de Zumbis; Hospitais de Londres continuam doentes (Vírus de Windows)
• NHS Nunca aprende: Vírus de Windows leva pacientes britânicos à Morte, novamente
• Quantas Pessoas precisarão morrer até que se abandone o Windows?
• Utah tem a Novell, SCO, e ... Conficker (worm) nos Hospitais
• Novas vítimas do Microsoft Windows?
• Sim, o Windows às vezes causa mortes

Mas se procurar encontrará muito mais.

Como bónus eu entrego este artigo, para quem acha que a riqueza dada a algum homem pode retornar benefício para a humanidade:

Gestor de Organização de Combate a AIDS diz:
“(Bill) Gates criou uma enorme operação compra-sangue
que só se preocupa com o dinheiro, não com as pessoas”

Alexandro Silva: Habilitando o MSA ( submission ) no Postfix

Entendo que estou postando está solução um pouco tarde, já que a polêmica gerada por causa desse assunto iniciou-se em janeiro.

Habilitar o MSA ( Mail Submission Agent ) no postfix é muito simples apenas descomente a linha abaixo:

submission inet n – n – – smtpd

submission inet n – n – – smtpd

Reinicie o Postfix:

invoke-rc.d postfix restart

invoke-rc.d postfix restart

Teste a conexão

telnet localhost 587

telnet localhost 587

Recomendo a leitura das seguintes RFCs, evitando assim comentários infudados.

RFC 4409 – Message Submission for Mail

RFC 5068 – Email Submission Operations: Access and Accountability Requirements

Tweet This Post