G

MA

IN
Z
A

IO
R
O
A

IN UME
B
G
O

L A CO !
E
M AR TA

P
CF

GU ERS P ABER
O
C AP T

R P 13 ES
O
F
0
LL IO 2
A
C AR
BIN

0
1
O

OS S TO M
N
A ER O

C
CK ST
A
A H J E

D
I NOS NCE !
D
E 10 A ERE RTAS
C
E
E
H
NF
H2 IO RDS COES AB
ED CKE RI
HA INSC
AS

ED. 4
Julho 2013

ndice
Artigos
4

Inovando com Smartphones

Por Jordan M. Bonagura

Reflexes sobre os impactos da Lei de Crimes Informticos na Segurana da Informao

Por Jos Antnio Milagre

Criando um Appliance Open Source para Mitigar

Vulnerabilidades de Servios e Aplicaes

12

Por Alexos

8 Vetores para Subverter Servidores Executando

Citrix XenApp: da Calculadora ao Shell

18

Por Ewerson Guimares

Tempos Modernos, Preconceitos Antigos

25

Por Henrique Lima

Artigos Universitrios
Anlise do Processo de Intruso do Protocolo WEP

28

Por Jonas Barros

Eventos
BHACK CONFERENCE 2013

35

Inovando com Smartphones

Jordan M. Bonagura

o dia 12 do ms de setembro de 2012, Phil Schiller, executivo da Apple, anunciou ao mundo o novo iPhone 5, com muitas novas funcionalidades, entre
elas, maior resoluo (1136x640), 18% mais fino e 20% mais leve do que o
modelo anterior, porm a grande novidade que quero destacar o chip A6.
um novo processador, que segundo a empresa, duas vezes mais rpido
que seu antecessor e possui dois ncleos de processamento.


Este novo modelo de processamento continua tendo suporte a multitarefa e com
isto permite a navegao entre mltiplas aplicaes, e diversas delas podero ser executadas em background.


Partindo para o mercado de computao em geral, a previso segundo o IDC,
conforme figura 1 na pgina seguinte, de que os smartphones devero continuar crescendo e cada vez mais substituindo os computadores, inclusive criando uma nova era
chamada de Ps PC, sejam eles portteis ou no.

Figura 1 Evoluo dos Smartphones. Fonte: IDC

Ok, j sabemos o quanto este mercado

de smartphones tem crescido, e que este
dever continuar sua trajetria de sucesso,
obtendo diariamente novos usurios, seja
para fins de uso pessoal ou empresarial.
Ento voc deve estar se questionando
o porqu de um profissional, que
normalmente fala sobre segurana
da informao est tratando sobre o
crescimento do mercado de smartphones.
Fcil! Voc adivinhou! Este artigo
demonstrar o quo importante proteger
minhas informaes contidas no celular de
um usurio mal intencionado, que poder
um dia invadir meu equipamento e roubar
meus dados de contatos, e-mails e outras
informaes. Certo?

No, no sobre este ponto que quero

tratar, pois isto no mais novidade
para ningum, e nem mesmo a idia de
demonstrar a importncia do crescimento
deste mercado, e esta nova Era mvel,
tudo isto foi s a base para o grande X da
questo, ou devo dizer da Miopia do CSO...
O grande problema est novamente
relacionado com questes que envolvem a
poltica de segurana da informao de uma
empresa e o meio pelo qual esta gerida.
Refiro-me a este ponto, pois muitas vezes,
principalmente em grandes corporaes
e at mesmo rgos governamentais,
onde o acesso a informao , ou deveria
ser, ainda mais restrita, profissionais tem
literalmente seus notebooks barrados

no momento do acesso, ou ento uma

burocracia extrema para entrar com seu
equipamento.
Se em algum momento voc questionar o
porqu desta atitude, certamente obter a
resposta: Por uma questo de segurana
... Ser que podemos passar a chamar a
gesto relacionada segurana como um
todo de mope?
Literalmente existem menores
computadores nas mos de seus
concorrentes ou crackers, e estes podem
realizar com xito todo o trabalho de um
notebook em um processo de invaso e
obteno dos dados, alis, as principais

ferramentas para isto j esto disponveis

e podem at automatizar grande parte do
processo, como voc pode ver na figura 2,
e ainda mais agora que so multitarefas e
possuem grande poder computacional de
processamento.
Atualmente chamamos isto de
Smartphones!!!
Vocs concordam que no caso de
espionagem industrial, muito melhor um
celular aparentemente inofensivo no bolso
do terno em uma rpida visita ao banheiro,
do que um notebook com o adesivo (figura
3) eu leio o seu e-mail ou meu outro
computador o seu computador.

Figura 2 Backtrack e Metasploit no Smartphone - Fonte: Backtrack-linux.org

Jordan M. Bonagura

Figura 3 Notebook adesivado.

Fonte: Elaborado pelo autor

Pesquisador em Segurana da Informao /

CEH.
Fundador do Projeto Stay Safe
Graduado em Cincias da Computao
Ps Graduado em Gesto Estratgica de
Negcios, Docncia e Estratgia para Empresas
Organizador da Vale Security Conference
Ex Membro Diretor do Cloud Security Alliance
Brasil. Membro da Comisso de Crimes de
Alta Tecnologia da OAB.
Professor e Coordenador de Curso em TI.
Information Security Consultant Regional
Manager Daryus.
Fundador do SJC Hacker Clube. Palestrante
em eventos de segurana da informao
(CNASI, H2HC, SegInfo, WebSecForum, ITA,
entre outros)

Reflexes sobre os Impactos

da Lei de Crimes Informticos
na Segurana da Informao
Jos Antnio Milagre

Fonte: http://jornalocotidiano.com

ntrou em vigor no Brasil, no dia 02 de abril de 2013, a Lei Carolina Dieckmann, nmero 12.737/2012, que tipifica os crimes cibernticos (crimes informticos). A Lei, fruto de um casusmo, em que o inqurito policial relativo
a suposta invaso do computador da atriz sequer foi concludo, e nenhuma
ao penal intentada (porm os acusados mais que pr-julgados), passa a
punir determinados delitos, como a invaso de dispositivos informtcos, assim dispondo especificamente: Art. 154-A.
Invadir dispositivo informtico alheio, conectado ou no rede de computadores, mediante violao indevida de mecanismo de segurana e com o fim de obter, adulterar ou
destruir dados ou informaes sem autorizao expressa ou tcita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilcita: Pena - deteno, de 3 meses
a 1 ano, e multa.

Trata-se de crime em que basta a

conduta, no se exigindo resultado.
Invadir significa devassar, entrar a
fora. Esta invaso deve se dar em
um dispositivo informtico, que embora
esteja associado a um hardware que
armazena, trata ou processa informaes
ou dados, possa ter sua interpretao
estendida por autoridades nos casos de
invaso de ativos lgicos como um disco
virtual, arquivo base de esteganografia,
rede social, webmail de um servio web ou
ativos lgicos protegidos que armazenem
informaes (Embora tais interpretaes
devam ser freadas pelo principio da
legalidade, o que esperamos.)
Deve-se esclarecer que a invaso,
para ser criminosa, deve se dar sem a
autorizao expressa ou tcita do titular
do dispositivo ou dos dados (caso em
que este usa um servio Cloud SaaS,
por exemplo) Logo, o agente que realiza
teste de intruso pentest, no pode
ser punido, por no estarem reunidos os
elementos do crime. Caber, no entanto,
s empresas de segurana e auditoria,
adaptarem suas propostas, polticas e
contratos de servios e pesquisa neste
sentido, prevendo expressamente a
excluso de eventual incidncia criminosa
nas atividades desenvolvidas.
J as intruses em sistemas cujo
titular no autorizou, podero ser
consideradas condutas criminosas,
desde que comprovado que o agente
o fez com o objetivo de obter, adulterar
ou destruir dados ou informaes ou
instalar vulnerabilidade para obteno de
vantagem ilcita. Mas como comprovar a
finalidade de uma intruso?
A questo da finalidade de obter dados
tambm polmica. Para um grupo de
juristas, a espiada no seria crime, s

se falando em objetivo de obteno nos

casos de cpia ou tentativa de cpia dos
dados do dispositivo, ou quando o agente
tentou entrar ou entrou na posse dos
dados. Para outra corrente, o simples
acesso a dados (um select em uma das
tabelas da vtima, por exemplo) j agride o
bem jurdico protegido pelo Direito Penal,
e demonstra a inteno em obter dados
eis que j permite ao cracker, em certos
casos, se beneficiar das informaes,
de modo que tal contato com os dados
estaria inserido no contexto do obter
dados, previsto no tipo penal trazido pelo
artigo 154-A da Lei Dieckmann.
o Judicirio quem vai interpretar
esta questo, porm ao contrrio do
que alegam alguns advogados, no
necessrio a cpia dos dados para a
prtica do crime, pois trata-se de crime
formal e de perigo abstrato, diga-se, basta
a invaso com a inteno da obteno
dos dados. Tal fato poder ser provado
por percia tcnica. A percia capaz de,
em se analisando os indcios deixados,
ponderar sobre a inteno do cracker.
O agente que realiza o footprinting
(levantamento de informaes do alvo)
com programas como nmap ou outro
scanner, apenas para identificar se o alvo
est ativo, as vulnerabilidades do sistema,
portas abertas, servios desnecessrios
rodando, sistema operacional, dentre
outros, em tese no comete crime, pois
atos preparatrios no so punveis e o
agente no chegou a dar incio a invaso
(ato executrio).
Deste modo, quem encontra
vulnerabilidade em sistema alheio,
mesmo sem autorizao para pesquisa, e
comunica o administrador, est realizado
a revelao responsvel, no podendo
incidir nas penas o art. 154-A, agora

previsto no Cdigo Penal. J a prova de

conceito, desenvolvida por quem descobre
falha em ativo, sem autorizao do titular,
depender da apreciao pericial para
se verificar como afetava o dispositivo
atingido e qual foi a extenso decorrente
da PoC. possvel s empresas de
pesquisa em segurana adaptar suas
PoCs, para que no sejam consideradas
ferramentas criminosas. Por exemplo,
uma prova onde o payload executar o
notepad.exe, revela claramente a inteno
do agente, que no pode ser considerada
maliciosa, mesmo que no tenha
autorizao para testar determinado ativo.
possvel tambm se pensar na invaso
tentada, onde o agente chega a executar
a invaso, mas impedido pelo time de
resposta a incidentes, equipe de forense,
ou IDS (Intrusion Detection System) que
detecta o evento em tempo de execuo.
Caber ao perito digital avaliar se os
cdigos executados tinham aptido
tcnica para que o agente pudesse ter
acesso s informaes, manipul-las ou
para instalar vulnerabilidades(sic).
O agente que invade sistema, sem
autorizao, para to somente demonstrar
a insegurana e cooperar para o
aprimoramento dos controles, em tese
no responde pelo crime. Tal inteno
poder ser demostrada pelas fases da
sua conduta (sempre menos ofensiva
empresa ou titular do dispositivo)
ou mesmo pela atuao pericial ou
depoimentos, no decorrer de eventual
inqurito policial ou ao penal.
Outras formas de acesso indevido, onde
no ocorre a invaso, que conduta
comissiva/ativa, podem no se enquadrar
no tipo penal. Assim, na engenharia
social que faz com que a vitima fornea
credenciais de acesso ou mesmo acesse

voluntariamente determinado programa

que libera o acesso a seu dispositivo, fica
eliminada, em tese, a incidncia do delito
em comento, podendo o agente, diante
do caso concreto, responder por outros
delitos do Cdigo Penal, de acordo com a
extenso do dano.
Do mesmo modo, o acesso indevido
feito por um agente atravs de protocolo
RDP (Remote Desktop Protocol) ou
tecnologias como Terminal Service, VNC,
PCAnywhere, Logmein, dentre outras,
no caracterizam invaso se o servio
de assistncia remota foi habilitado
pelo titular do dispositivo sem qualquer
mecanismo de autenticao, o que
equivaleria a uma autorizao tcita do
titular do dispositivo para acessos.
No que diz respeito a empresas de
pesquisa e segurana da informao,
a Lei tenta imitar os princpios da
conveno de Budapeste, tambm
punindo aquele que produz, oferece,
distribui, vende ou difunde dispositivo ou
programa de computador com o intuito de
permitir a prtica da invaso. Temos que
entender ou ler, no intuito de permitir
a prtica da invaso com fins ilcitos, tal
como previsto no caput artigo 154-A (A
Conveno do Cibercrime de Budapeste
recomenda at mesmo a punio de quem
disponibiliza senhas para acesso a ativos
de terceiros).
Assim, distribuies Linux como
Backtrack, programas para invaso
como sqlmap, havij, e frameworks como
Metasploit, so amplamente utilizados por
profissionais de segurana e empresas
na consecuo dos seu trabalhos, e no
podero ser confundidos, por autoridades,
com por exemplo, cdigos para coleta de
dados de carto de crdito, Keyloggers
bancrios desenvolvidos especificamente

para lesar correntistas, dentre outros

cdigos maliciosos ou para invaso que
por sua natureza e diante do contexto do
caso concreto, avaliada por perito digital,
restar claro no se tratar de ferramentas
usadas para boas finalidades ou
anlises de segurana da informao.
Porm repise-se. No a ferramenta
que define a finalidade do agente,
mas o prprio agente define como
usar a ferramenta, para boas ou ms
finalidades. Infelizmente, o legislador
no pensou nesta hiptese. Caber
dose extraordinria de bom-senso s
autoridades e observncia s concluses
da percia em geral para constatar que
no porque algum encontrado
distribuindo ferramentas ou cdigos que
permitam invaso que este algum um
criminoso.
Para pesquisadores e profissionais
que desenvolvem exploits, provas
de conceito, cdigos, frameworks,
ferramentas de pentest, caber a reviso
das polticas de uso e distribuio dos
referidos programas, fazendo meno
expressa ausncia de responsabilidade
do desenvolvedor diante do mau uso,
consignando expressamente a finalidade
lcita da criao da ferramenta.
Por fim, repise-se que a invaso, para
caracterizar conduta criminosa, deve
ocorrer em ativo protegido por mecanismo
de segurana. Resistimos a simplicidade
daqueles que entendem que basta
uma senha no dispositivo para que ele
esteja protegido, logo preenchendo
os requisitos da lei. Poderemos ter a
hiptese de um sistema operacional,
por exemplo, Windows, com senha, mas
que tem uma vulnerabilidade antiga
no navegador nativo (MS11_003 por
exemplo). Nestes casos a percia dever

10

constatar que a despeito da senha, a

mquina estava desprotegida, com
patches desatualizados e que o titular,
por sua conta e risco assim mantinha
o servio na rede em um sistema
defasado. Em vrios manuais de
segurana da informao aprendemos
que vulnerabilidade a falha ou ausncia
de mecanismos de segurana. Dever
o perito tambm precisar se a invaso
subverteu mecanismo de segurana
instalado ou se no interagiu com
ele, se consumando por outros meios
desprotegidos. (Como por exemplo no
caso do agente que coleta uma HD com
Sistema operacional e senha e a monta
como unidade slave, no rompendo
mecanismo algum de segurana para
acesso aos dados)
Logo, preciso esclarecer que nem
todo o dispositivo com senha est com
efetivo mecanismo de segurana e,
consequentemente, nem todo a invaso
a dispositivo com senha, poder ser
considerada conduta criminosa, como
muitos pensam. Cada caso um caso.
Por outro lado, a lei tambm veio para
proteger usurios comuns, pessoas
fsicas, logo, no se pode engessar a
aplicabilidade porque tal usurio no
empreendeu o melhor mecanismo de
segurana existente para proteger seu
ativo. preciso repetir, cada caso dever
ter suas caractersticas e circunstncias
avaliadas pelo Judicirio, no existindo
soluo pronta, e sendo indispensvel a
atividade pericial.
Seja como for, a segurana da
informao, agora, passa a ser no
apenas til para impedir que o ato
potencialmente criminoso ocorra,
garantindo a disponibilidade, integridade e
confidencialidade da informao, mas, em
caso de invaso consumada, para que o

criminoso possa responder criminalmente.

Como visto, a no conformidade em
segurana da informao, agora, pode
representar claramente a impunidade
e a responsabilidade civil em casos de
invaso, pois no se pode invadir o que
est aberto ou desprotegido, por
ntida falha, negligncia, imprudncia ou
impercia dos contratados e profissionais
que tinham o dever de garantir
segurana do ativo de informao de
algum. Sobretudo agora, Segurana da
Informao e Direito Digital, precisam
caminhar juntos.
Jos Antnio Milagre
Vice-Presidente da Comisso Estadual
de Informtica da OAB/SP.
MCSO, CHFIc, SANS 508c, DSO,
Profissional com mais de 12anos
de experincia rea de Computao
Forense e Direito da TI.
Advogado especializado em Direito da
TI e Segurana da Informao.
MBA em Tecnologia da Informao.
Diretor da Consultoria Legaltech
LATAM.
Perito Judicial em So Paulo em Informtica e Telecom.
Palestrante de grandes eventos como
Congresso de Crimes Eletrnicos
FECOMERCIO, CNASI, BHACK, H2HC,
WEBSECFORUM, SECURITYDAY,
CPBR6, dentre outros.
E-mail: jose.milagre@legltech.com.br

05 e 06 de Outubro
Novotel Morumbi
So Paulo - SP

Faa sua inscrio com

desconto at o dia 21/07
com o cdigo abaixo:
MAG13
www.h2hc.org.br

Criando um Appliance Open

Source para Mitigar Vulnerabilidades de Servios e Aplicaes
Alexos

diversidade, descentralizao administrativa e peculiaridades das aplicaes

so alguns dos fatores que dificultam a gesto das vulnerabilidades, principalmente devido ao alto custo de tempo/pessoas na manuteno, testes de
correo, impacto das mudanas, sistemas rfos, etc. Um provvel cenrio
seria um datacenter hospedando aplicaes heterogneas (Wordpress [1],
Joomla [2], Drupal [3], PHPBB [4] ou de desenvolvimento interno) com mdulos de terceiros, ambientes sem administrao interna e sistemas operacionais obsoletos. Cenrio
bastante hostil para Sysadmins que buscam seguir boas prticas de segurana como
manter um ambiente atualizado por exemplo.

VULNERABILIDADES
Sistemas desatualizados so facilmente identificados
na internet. Uma pesquisa por servidores com sistemas
operacionais obsoletos (e.g Debian Sarge [5]) retorna
milhares de servios disponveis.
A varredura de portas abaixo revela servios com diversas
vulnerabilidades, as verses do Proftpd [6], Apache [7] e
PHP [8] possuem falhas que vo desde de negao de
servio execuo de cdigo remoto.
Figura 1 - Resultado busca por Debian
Sarge

Figura 2 Identificando servios vulnerveis usando varredura de portas

Falhas de aplicao tambm so facilmente identificadas, um exemplo o uso de verses

antigas do Wordpress ou plugins desatualizados.

12

Figura 3 - Wordpress obsoleto

Figura 4 Verso recente do Wordpress com plugins desatualizados

PROTEO
Baseado no conceito de Application
Firewall [9] possvel criar uma camada
de segurana unindo proxy reverso e
ferramentas de proteo, prevenindo
servidores e aplicaes de diversos tipos
de ataques ( e.g. Vulnerability Scanning,
brute force, SQL injection, XSS, etc ).
O proxy reverso funciona como mediador,
recebendo as requisies oriundas da
Internet e redirecionando para mltiplos
servidores, geralmente Web. Alm disso,
ele pode ser utilizado para balanceamento
de carga, imap/pop3 proxy, caching e

otimizao de contedo.
As ferramentas de proteo Ossec HIDS
[10] e Portsentry [11] iro analisar os logs das
requisies, identificar atividades maliciosas
e, quando necessrio, bloque-las.
O Ossec Hids por padro capaz de
identificar uma grande quantidade de ataques
para vrios tipos de servidores (e.g. Linux,
Solaris, Windows), servios (e.g. E-mail,
Banco de dados, Web, FTP) e aplicaes
Web.

13

A arquitetura escalvel e distribuda permite a integrao com outras ferramentas de

segurana (e.g. Firewall, SIEM, IPS) e a criao de novas regras so bastante simples.
O Portsentry integrado ao Ossec auxilia na deteco de portscans evitando a enumerao
de portas e servios.
Abaixo exemplos de identificao e bloqueio de scans de vulnerabilidades:

Figura 5 - Identificao de varredura

Figura 6 - Bloqueio do atacante

Figura 7 - Identificao de Web scanner

Figura 8 - Bloqueio do atacante

14

APPLICATION FIREWALL APPLIANCE

VS WAF

A principal diferena entre esse appliance

e um WAF a integrao com vrios
elementos dentro da infraestrutura, alm
de tambm prevenir contra ataques
direcionados a servios e sistema
operacional.
Apesar de serem excelentes ferramentas
os WAFs atendem prioritariamente contra
ataques direcionados a aplicaes Web.
O ModSecurity [12] para Nginx , durante a
criao deste artigo, ainda est em verso
beta por exemplo.

Alm dos pontos citados anteriormente,

sabemos que a criao de novas regras no
muito intuitiva.
FUNCIONAMENTO
Depois de implantado o appliance passar a
escutar todas as requisies, a figura abaixo
demonstra a proteo de aplicaes web,
ftp, servio de email e banco de dados. A
instalao de agentes facilita a comunicao
entre o appliance e outros ativos, mas ele
tambm capaz comunicar-se sem o uso de
agente (agentless) com switches, firewalls e
roteadores garantindo a proteo tanto do
permetro quanto em profundidade.

Figura 9 Appliance protegendo diversos servios e aplicaes

15

COMPLEMENTOS
A capacidade de adicionar novos elementos permite ampliar proteo de diversos
vetores de ataque, integrao com o Snort [13] e SELinux [14] por exemplo. Alguns destes
complementos podem suprir as limitaes para identificar ataques direcionados ao sistema
operacional como o acesso no autorizado e modificaes no sistema de arquivos e kernel.
To importante quanto proteger monitorar e acompanhar todos os eventos, neste caso
pode-se utilizar o Analogi [15], Splunk [16] ou Elsa [17].

Figura 10 Analogi

RESULTADOS
Os resultados obtidos durante a utilizao do appliance em ambientes de produo foram
bastante satisfatrios. Os vdeos abaixo demonstram a rapidez na identificao e bloqueio
de alguns ataques usando tcnicas evasivas.
Port Scanning [18]
SQL injection [19]
FTP Brute force backend [20]
CONCLUSO
Alguns ajustes em tempo de execuo so necessrios para evitar falsos positivos (e.g.
aplicaes enviando requisies SQL dentro do mtodo GET).
Ele deve ser utilizado como ferramenta para mapear ameaas ajudando no processo de
correo das vulnerabilidades.

16

As boas prticas de segurana (e.g. hardening e gesto de vulnerabilidades) devem ser

seguidas, levando em conta que, qualquer soluo de segurana est suscetvel a tcnicas
evasivas durante a execuo de um ataque.
Por ser baseado em blacklists e no possuir uma ferramenta grfica de configurao exigese um grande esforo tcnico durante a implantao e tuning.
CRIANDO O NCLEO DO APPLIANCE

Um pequeno tutorial para a criao do appliance est disponvel no link [21].

REFERNCIAS
[1] http://wordpress.org/
[2] http://www.joomla.org/
[3] http://drupal.org/
[4] http://phpbb.org/
[5] http://www.debian.org/releases/sarge/
[6] http://www.cvedetails.com/vulnerability-list/
vendor_id-9520/product_id-16873/version_id99601/Proftpd-Proftpd-1.2.10.html
[7] http://www.cvedetails.com/vulnerability-list/
vendor_id-45/product_id-66/version_id-24084/
Apache-Http-Server-2.0.54.html
[8] http://www.cvedetails.com/vulnerability-list/
vendor_id-74/product_id-128/version_id-26452/
PHP-PHP-5.0.5.html
[9] http://en.wikipedia.org/wiki/Application_firewall

[10] http://ossec.net
[11] http://sourceforge.net/projects/sentrytools/
[12] http://www.modsecurity.org/projects/
modsecurity/nginx/index.html
[13] http://snort.org
[14] http://www.nsa.gov/research/selinux/
[15] https://github.com/ECSC/analogi
[16] http://splunk.com
[17] https://code.google.com/p/enterprise-logsearch-and-archive/
[18] https://vimeo.com/67658208
[19] https://vimeo.com/67658591
[20] https://vimeo.com/67634359
[21] http://blog.alexos.com.br/nucleo-doappliance/

Alexandro Silva consultor na

iBliss Segurana & Inteligncia
atuando nodesenvolvimento e execuo de projetos para deteco
de vulnerabilidades de infraestrutura e aplicaes, auditoria de
segurana, criao e configurao
de ambientes seguros (Hardening),
tambm foi o responsvel pelo
projeto e execuo dasegurana
da rede social Dilma na Rede,
principal portal da campanha da
presidente Dilma Rousseff, criado
e mantido pela Colivre.

17

8 Vetores para Subverter Servidores Executando Citrix XenApp:

da Calculadora ao Shell.
Crash

sta uma srie de X artigos, em que irei falar sobre 8 vetores que encontrei
para comprometer um servidor Citrix XenApp por meio das aplicaes compartilhadas. O que o Citrix XenApp? De acordo com a pgina oficial (www.
citrix.com.br/products/xenapp/overview.html), o XenApp um software que
permite compartilhar um aplicao sob demanda ao usurio final, em qualquer
dispositivo e lugar, desde que haja compatibilidade com o aplicativo cliente que viabiliza
esse acesso. Esta tecnologia fornece acesso a programas de forma remota, como se estes estivessem instalados em seu equipamento, mas na realidade, esto em um ou mais
servidores em locais e/ou redes diferentes.

Como funciona?

O Citrix XenApp trabalha com um

conjunto de dois protocolos: o formato
proprietrio chamado ICA e o famoso RDP
da Microsoft (Terminal Service).
No processo de execuo de uma
aplicao compartilhada, criada uma
instncia de Terminal Service para o
usurio autenticado e a aplicao
efetivamente executada nesta instancia,
ou seja, qualquer interao da aplicao
compartilhada ir interagir diretamente com
servidor e no com mquina do usurio.
Pode-se observar essa caracterstica
claramente quando necessrio salvar ou
abrir algum arquivo, na qual a estrutura de
diretrios apresentada a do servidor e
no do dispositivo local.
Seguido este contexto, comecei
a procurar vetores em aplicaes
comumente publicadas no Citrix como:
Editores de texto, leitores de PDF,
pacote MS Office, clientes de e-mail e

18

navegadores. A seguir, irei relatar os 8

vetores que encontrei para comprometer o
servidor Citrix XenApp.
Vetor 1: Macro do Microsoft Office

Considerando que o MS Excel uma das

aplicaes que foram compartilhadas com
meu usurio. Ao carregar o programa, eu
criei uma macro com a seguinte linha: shell
(cmd.exe)
Por conta da aplicao ser carregada
a partir de um servidor remoto,
evidentemente, foi aberto na minha
mquina o prompt de comando do servidor,
possibilitando executar qualquer comando
diretamente no servidor, dentro do
privilgio de acesso do meu usurio.

Vetor 2: Help do windows

Qual seria o perigo de uma simples
calculadora publicada?
A resposta simples:
Verificando os menus disponveis na
calculadora me deparei com o menu Help
(F1), que quando executado, claro, traz
o help do servidor, que nos permite no s

consultar a documentao da calculadora

mas tambm de qualquer outro recurso do
sistema operacional.
Na maioria dos casos, permite acessar
recursos a partir do prprio Help. Logo,
bastou uma pesquisa simples por cmd
para conseguir um link de execuo para o
prompt de comando do servidor.

19

Isso se torna um grande problema, pois o

help est disponvel apenas pressionando a
tecla F1, tornando-o praticamente um vetor
universal, assim como a funes de abrir/
salvar arquivos.
Vetor 3: Funes de
salvamento de arquivos.

abertura

A maioria esmagadora dos softwares

permite interao com arquivos, seja
para carrega-los no sistema,
importar
transferir ou salvar informaes. Como
vimos anteriormente todas essas funes

interagem diretamente com o servidor

Citrix, sendo assim, podemos usar ester
recursos para mais um vetor universal.
Neste exemplo foi usando o bloco de notas
(notepad), o procedimento trivial: com
seu notepad virtualizado aberto clique em
abrir, altere a extenso de TXT para todos
os arquivos, na barra de endereos entre
em c:\windows\system32, sero exibidos
todos os arquivos do diretrio, localize o
cmd ou qualquer outro executvel, clique
com direto e finalmente em abrir.

Este procedimento pode ser executado, como mencionado anteriormente, em qualquer

sistema que tenham essas funes.

20

Vetor 4: Recursos de Acessibilidade

Continuando a pesquisa em torno de
vetores universais, encontrei as teclas
de aderncia (recurso do Windows para
pessoas que tem dificuldade em pressionar
duas teclas ao mesmo tempo).
Como no h tratamento por parte do Citrix
XenApp, ao pressionar 5 vezes a teclas

shift ser exibida a tela de configurao

em ambos os ambientes, na estao de
trabalho e servidor. Basta ignorar o alerta do
computador local e clicar no link da tela do
servidor, que o levar diretamente a central
de configurao e permitir a execuo de
qualquer binrio.

Ignoramos a mensagem local e exploramos a que veio do servidor Citrix clicando em Go

to the Ease of Acess Center do disable the keyboard shortcut.

21

Vetor 5: Browser
Outros softwares comumente encontrados
na gama de aplicaes virtualizadas so
os Browsers. Ester por sua vez permitem
acesso ao servidor Citrix, alm das funes
de interao com arquivos citadas acima,

podemos usar a barra de endereos para

evocar um executvel somente colocando
seu endereo na barra ou usando o
formato file:///endereo_do_binrio.

Basta clicar em Run e seu binrio ser executado.

Vetor 6 e 7: Citrix HotKeys
Curiosamente o XenApp disponibiliza duas HotKeys que nos permite usa-las como
vetores para execuo de comandos no servidor, so elas: Control + F1 e Control + F3
que nos permitem abrir gerenciador de tarefas e usar a opo Nova Tarefa (New Task).

22

Ao pressionar Control + F1 temos:

Start Task Manager assim como trocar a senha e desligar e mquina ( se houver permisso
para isso) bem sugestivo no acha?

J o Control +F3 poupa todo o seu trabalho, e

abre diretamente o gerenciador de tarefas:

23

Vetor 8: Arquivos embutidos (Embedded files)

Por ultimo e no menos importante este vetor sobre arquivos embutidos, que so aqueles
que pode ser colocados dentro de outros arquivos. O exemplo bsico para esse vetor ser
embutir o arquivo cmd.exe no wordpad. H duas maneiras de ser fazer isso, usando o
prprio cmd servidor Citrix ou enviando o arquivo com o binrio embutido para o servidor,
esta segunda forma, evidentemente voc precisar de um cliente ftp, fazer download por
um browser, cliente e email, ou seja, verificar quais recursos esto disponveis para enviar/
receber o arquivo craftado. Use sua imaginao!
Basta clicar no cone do cmd.
Consideraes finais
Apesar deste artigo ter sido focado na
execuo do cmd.exe gostaria de deixar
claro que qualquer outro binrio pode ser
executado.
Outro ponto a ser observado a
importncia de se manter um rigoroso plano
de atualizao do parque de servidores,
ataques simples como estes poderiam
comprometer a mquina como mostrado
no vdeo abaixo. Como o servidor em
questo no possua os updates de
segurana necessrios, tornou-se um alvo
fcil. O atacante conseguiu realizar uma
escalao de privilgios locais, tornandose administrador.
w w w . y o u t u b e . c o m /
watch?v=2Mu0TiYOjhw

24

Ewerson Guimares formado em

Cincia da Computao pela Universidade Fumec, Analista de Segurana
na empresa Ibliss focado em pentest
e pesquisa. Certificado pela Offensive
Security (OSCP) como pentester, tem
exploits publicados e alertas sobre vulnerabilidades de softwares de grandes
empresas como Mcafee, IBM, TrendMicro, Citrix e Skype. Alm disso, contribui para o desenvolvendo de mdulos
do projeto Metasploit Framework.
Membro do grupo de pesquisa DcLabs
e fundador da BHack Conference.

Alm disso, foi possvel escrever um

malware que ativado somente quando
uma aplicao virtualizada executada
na mquina do cliente, no POC o malware
grava um executvel no servidor Citrix e o
executa como finalizao do ataque sem
que haja interao do usurio final.

Tempos Modernos, Preconceitos Antigos.

Henrique Lima

culo XXI, o sculo da

evoluo humana, o sculo
de grandes mudanas, o sculo do futuro. Tudo est mudando de forma acelerada - a
tecnologia, os costumes, nossa rotina.
Atualmen te, estamos fadados a utilizar a
tecnologia para tudo no dia a dia. No possvel imaginar os dias atuais sem um computador, tablet ou mesmo um smartphone.
Os aparelhos eletrnicos hoje so utilizados para tudo - pesquisas cientficas,

explorao do universo, trabalho, locomoo, cura de doenas, entre outras

coisas. No entanto, apesar de nossas
vidas estarem totalmente ligadas a essa
nova era e mudana de paradigmas, ns,
em nossa grande maioria, ainda insistimos em ter alguns antigos preconceitos.
A palavra preconceito significa ter uma
opinio ou pensamento acerca de algo ou
de algum, cujo teor construdo a partir de
anlises sem fundamentos, ou preconcebidas sem conhecimento e/ou at mesmo sem
reflexo.

25

Sim, infelizmente ainda vivemos

afundados em nosso preconceito,
temos a conduta de julgar o que no
conhecemos, seja para nos defendermos
daquilo que um dia aprendemos ser
prejudicial, ou para evitar uma possvel
decepo.
Estamos sempre julgando algo ou
algum, tomando como verdade um
acontecimento, idia ou notcia, sem ao
menos analisar os fatos.
E nesses julgamentos falhos entra um
conceito utilizado bastante recentemente
na sociedade, com a efetivao da Lei
12.737/2012, apelidada de Lei Carolina
Dieckmann, que o uso do termo hacker.
Mas, antes de falar sobre isso, vamos
voltar ao nosso tempo de escola, l no
ensino fundamental. Voc se lembra de
quando frequentava as aulas e tinham
aqueles alunos inteligentes, que se
destacavam na sala de aula?
Todo mundo lembra-se deles, os
comedores de livros que sabiam tudo,
que passavam horas na biblioteca
pesquisando, todos queriam fazer prova
em dupla com eles, tiravam as melhores
notas, as experincias nas aulas de
cincias eram as melhores e por a vai.
Este tipo de gente ainda existe,
e ainda continuam afundados em
bibliotecas e continuam buscando
constantes conhecimentos, porm, e
logicamente, em diferentes reas. A
palavra Hacker a palavra que define
essa categoria de pessoas, ou seja,
pesquisadores natos em uma busca
incessante pelo conhecimento. Todos
aqueles equipamentos hospitalares super
modernos, aquele trem extremamente
rpido, o celular mais moderno com
vrios recursos, o computador mais

26

fino, e mais aquela infinidade de

aparelhos tecnolgicos. Aquilo tudo
no foi construdo sozinho, o sistema
operacional do seu computador no
foi feito por robs, aquela televiso 3D
finssima no foi feita por aliengenas.
Algum precisou criar uma tecnologia
para ela funcionar. E a sua facilidade
ao usar o banco pela internet? Algum
precisou e precisa programar isso, no
? E tambm algum precisa manter
isso seguro. E sabe quem esta por trs
de todas essas coisas que facilitam sua
vida? Ns, os hackers.
Ento, o seu pai ou algum dos anos 80
l esse texto aqui e fala: No, o hacker
o cara que invadiu o computador da
fulana, que roubou a conta da beltrana,
que invadiu e detonou todo o sistema
e todo esse papo sensacionalista que a
mdia divulga. Mas no, no isso, j
que estamos lidando com conceitos mal
formados, ento vamos usar um pouco
de fico pra desenhar a realidade.
Sabe os gnios do mal de filmes que
vocs assistem na sesso da tarde ou
nos desenhos modernos? Pois , eles
tambm existem e a definio correta pra
eles Cracker e no Hacker. A principal
diferena entre os dois tipos, e a mais
importante de todas, que o Cracker
utiliza o conhecimento adquirido de
forma ilcita, visando sempre o ganho
prprio e/ou o prejuzo alheio e so
frequentemente caracterizados como
estelionatrios, vndalos e pichadores
digitais.
A partir do que foi exposto acima,
entendemos que o hacker um
pesquisador nato e, como todo
pesquisador, ele precisa de um

espao de estudos. Com isso, viu-se

a necessidade de se criar espaos
comunitrios onde esse nicho de pessoas
pudessem se encontrar em um local onde
tivesse disponvel uma infraestrutura
adequada para desenvolvimento de
pesquisas e que tambm pudessem
servir de catalisador da difuso do
conhecimento.
Assim, foram criados os Hackerspaces
(ou Hacker Clubes), que nada mais so
do que centros de convivncia, locais
onde buscadores de conhecimento se
renem para aprender, com palestras,
oficinas, entre outras atividades.
So ambientes abertos a todos que
tenham interesse em aprender, desde
coisas corriqueiras e bsicas como
realizao de reparos simples em
equipamentos eletrnicos ou introduo
a programao Web, at participar
de discusses complexas sobre
programao,
desenvolvimento de robs, automao
residencial, entre outra infinidade de
assuntos.

transmitimos, pois sentimos prazer em

ajudar os outros.
E voc, que depois de ler este artigo,
ainda no se convenceu disso, visite
qualquer um destes e tenho certeza que
voc se surpreender com o que pode
aprender e repassar de conhecimento, e
consequentemente rever seus conceitos
sobre ns.
Fica a dica!
Henrique de Oliveira Lima
Formando em Anlise e Desenvovimento de Sistemas na ETEP
Scio-fundador do SJC Hacker Clube.
Atual: Tier 2 Service Desk Analyst na
Pilkington Brasil

No Brasil, nos ltimos anos, foram

criados vrios destes espaos
comunitrios, entre eles o SJC Hacker
Clube, em So Jos dos Campos, interior
de So Paulo. Na cidade de So Paulo,
o Garoa Hacker Clube, alm do LHC, em
Campinas, Kernel 40, no Rio de Janeiro,
entre outros.
Infelizmente, o hacker foi estigmatizado
pela sociedade como sendo uma
pessoa do mal, que comete crimes e
prejudica pessoas, quando na verdade,
como vimos acima, exatamente o
contrrio. Temos a tica e a lei como
valores, buscamos o conhecimento e o

14 e 15 de Setembro
So Jos dos Campos - SP
Inscries abertas no site
www.valesecconf.com.br

Anlise do Processo de Intruso

do Protocolo WEP
Jonas Barros

processo de intruso em redes Wi-Fi configuradas com o protocolo WEP

utiliza-se de ataques do tipo Fluhrer, Mantin and Shamir (FMS). Segundo a
documentao do aircrack-ng, ataques FMS baseiam-se na ideia de que o
atacante recebe passivamente as mensagens enviadas por alguma rede,
salvando esses pacotes criptografados com os vetores de inicializao usados por eles. Isso porque os primeiros bytes do corpo da maioria dos pacotes so facilmente previsveis e o atacante pode conseguir usando alguma pouca matemtica e analisando uma grande quantidade de pacotes, descobrir a senha de criptografia da rede.
Laboratrio
O cenrio proposto para o laboratrio da anlise foi composto por:

1 (um) notebook com Backtrack 5 R3 (notebook-auditor);

1 (um) roteador Wi-Fi Multilaser (Access Point - AP);

4 (quatro) dispositivos Wi-Fi (2 notebooks e 2 smartphones);

1 (um) computador desktop.
No AP foi configurado o protocolo de WEP e os 4 dispositivos Wi-Fi mais o computador
desktop conectavam-se por meio deste, gerando trfego de modo natural.
O notebook-auditor estava no alcance do sinal emitido pelo AP e foi simulado um ataque
FMS (Fluhrer, Mantin, Shamir) para obter-se o acesso rede.

Placa de Rede em Modo Promscuo

Um conceito que deve estar claro desde o inicio o de interface de rede em modo
promscuo. Os seguintes passos demonstram a diferena entre uma interface de rede em
modo padro e uma interface de rede em modo promscuo. Com o resultado do comando
iwconfig, possvel identificar na figura abaixo uma interface Wi-Fi instalada ao sistema,
sendo esta a wlan0.

28

Ela est em modo padro, ou seja, s recebe pacotes destinados a ela alm de precisar
estar associada a um AP.

Com o comando tcpdump ser possvel visualizar todos os pacotes que trafegam pela
wlan0. Conforme a figura abaixo, nenhum pacote encontrado j que a wlan0 no est
associada a nenhum AP.

-i : Define a interface.
-v: Modo verboso.
J uma interface de rede em modo promscuo, capaz de capturar qualquer pacote ao
seu alcance, mesmo sem estar associada a um AP. Com o comando airmon-ng ativa-se a
interface de rede em modo promscuo.
Conforme a figura abaixo, a interface mon0 foi ativada, outro detalhe o campo MODE:
MONITOR, ele indica que est interface est em modo de monitoramento, ou como antes
dito, modo promscuo.

O prximo comando tcpdump capturar os pacotes que esto trafegando pela interface
mon0, mostrando a diferena entre o modo padro (wlan0) e o modo promscuo (mon0).
Conforme a figura abaixo, em poucos segundos quase 200 pacotes so capturados. Partindo
deste princpio, apenas a interface mon0 ser utilizada na intruso, j que notebook-auditor
no estar associado a um AP.

-i : Define a interface.
-v: Modo verboso.
O prximo comando tcpdump ser responsvel por coletar todos os pacotes durante o
processo de intruso e posteriormente uma anlise mais detalhada ser realizada partir
dessa coleta. Outro detalhe que conforme a figura abaixo todos os pacotes coletados

29

sero armazenados em um arquivo chamado lab.wep.analise.arp.

-i : Define a interface.
-w: Define o arquivo de sada.
Identificao da Rede Wi-Fi
Nesse segundo momento outro terminal aberto e inicia-se o processo de intruso.
Primeiramente necessria a identificao da rede. Com o comando airodump-ng,
possvel visualizar todas as redes Wi-Fi ao alcance do notebook-auditor.
Conforme a figura abaixo, a rede usada para a intruso ser a lab-wep.

Coleta de Vetores de Inicializao

Com a rede j identificada, inicia-se a coleta de vetores de inicializao, em um novo
terminal utiliza-se novamente o comando airodump-ng, porem desta vez com a funo
especifica de coletar os vetores de inicializao unicamente da rede lab-wep. Outro detalhe
que conforme a figura abaixo todos os vetores de inicializao sero armazenados em um
arquivo chamado lab.wep.analise.iv.

--ivs: Salva somente os vetores de inicializao.

--bssid: Endereo MAC do AP.
--chanel: Nmero do canal configurado no AP.
--write: Define o arquivo de sada.
Injeo de Pacotes ARP
Enquanto a coleta ocorre em segundo plano, inicia-se o processo de injeo de pacotes
ARP a fim de acelerar o processo da coleta de vetores de inicializao.
Para injetar pacotes preciso antes estar associado ao AP, caso contrrio, o AP simplesmente
rejeitaria os pacotes. A partir do comando aireplay-ng solicitado uma falsa associao ao
AP, como mostra a figura abaixo, O notebook-auditor se passa por um cliente j associada
ao AP para conseguir a associao.

30

-1: Falsa autenticao.

0: Perodo entre as tentativas.
-a: Endereo IP do AP.
-h: Endereo IP do cliente.
Conforme a figura abaixo, aps o processo de falsa associao, utiliza-se novamente o
comando aireplay-ng para ouvir pacotes ARP que trafegam pela rede Wi-Fi.

-3: Injeo de pacotes ARP.

-b: Endereo IP do AP.
-h: Endereo IP do cliente.
Assim que um pacote ARP encontrado, o aireplay-ng responde instantaneamente com
um broadcast ARP (ARP request replay). Este broadcast por sua vez respondido pelo AP
e consecutivamente respondido por outro broadcast ARP, gerando assim um lao repetitivo
entre o aireplay-ng e o AP. Como antes dito, esta tcnica tem como nico objetivo criar
novos vetores de inicializao para a coleta.

Quebra da Criptografia WEP

Enquanto a injeo de pacote ocorre em segundo plano, um novo terminal realiza a tentativa
de quebra da criptografia WEP.
Ao se completar em mdia 4000 pacotes beacons capturados, o comando aircrack-ng
executa um algoritmo estatstico baseado na coleta do arquivo lab.wep.analise.iv. Conforme
a figura abaixo, a senha encontrada em poucos segundos.

31

Command: ~# aircrack-ng -1 lab.wep.analise.iv-01.ivs

Resultados das Coletas
Aps a intruso foi extrado do notebook-auditor o arquivo lab.wep.analise.arp para anlise.
O mesmo continha em mdia 400.000 pacotes capturados. A partir da ferramenta Wireshark
puderam ser identificados neste arquivo os pacotes que trafegavam entre os clientes do AP,
os pacotes ARP injetados pelo aireplay-ng e os pacotes beacons.
Pacotes Transmitidos Entre os Clientes
A figura abaixo representa uma troca de informao entre os clientes do AP. Outro detalhe
o vetor de inicializao, que foi capturado pelo airodump-ng antes da injeo de pacotes.

32

Pacotes ARP Injetados Pelo aireplay-ng

A figura abaixo representa um broadcast ARP enviado pelo aireplay-ng. Outro detalhe o
vetor de inicializao, que foi injetado pelo aireplay-ng e capturado pelo airodump-ng.

Pacotes Beacons
A figura abaixo representa um pacote beacon, ou seja, um pacote enviado do AP para
todos os clientes com a funo de dizer que o AP ainda est persistente, alm de sincronizar
informaes como SSID, velocidades de transmisso suportadas, canais, dentre outras.
Outro detalhe que este tipo de pacote no contm vetor de inicializao.

33

Consideraes Finais
Aps esse post pode-se concluir que apesar de existirem vrios tutoriais de intruso
a redes Wi-Fi espalhados pela internet, estas tcnicas vo muito alm do que apenas se
digitar comandos sequenciais em um terminal.
Na intruso do protocolo WEP, por exemplo, so somadas duas tcnicas para aumentar
exponencialmente a eficcia na intruso. Enquanto o mtodo FMS captura os pacotes
passivamente, o processo de injeo de pacotes ARP realizado a fim de gerar mais vetores
de inicializao para coleta. Neste processo aparentemente simples, deve ser levado em
considerao alguns porqus, como exemplo, por que usar apenas o protocolo ARP, e no
todos os protocolos?, isso se d ao fato de o AP responder um pacote ARP com outro ARP
e isso no acontece com outros protocolos. Ou seja, pode-se dizer que estas tcnicas na
verdade so solues complexas, produzidas por n componentes.
Jonas Barros
Analista com mais de trs anos de experincia em administrao de redes
e provisionamento de servios. Atualmente responsvel pela rede de dados
e telefonia da Visiontec da Amaznia
(empresa de mdio porte, situada em
Jacare/SP), atua como projetista e
mantenedor de solues para a rea
de infraestrutura da tecnologia da informao.

34

BHACK CONFERENCE 2013

35

H2HC MAGAZINE
Edio 04
Julho 2013

Direo Geral/ Editores:

Rodrigo Rubira Branco
Filipe Balestra
Diretora de Criao:
Amanda Vieira
Coordenadora Administrativa/
Mdias Sociais:
Laila Duelle
Captao de Artigos/ Redao:
Jordan M. Bonagura
Agradecimentos:
Jota Mossadihj
Jos Antnio Milagre
Alexandre Silva (Alexos)
Ewerson Guimares (Crash)
Henrique Lima
Jonas Barros