Professional Documents
Culture Documents
MA
IN
Z
A
IO
R
O
A
IN UME
B
G
O
L A CO !
E
M AR TA
P
CF
GU ERS P ABER
O
C AP T
R P 13 ES
O
F
0
LL IO 2
A
C AR
BIN
0
1
O
OS S TO M
N
A ER O
C
CK ST
A
A H J E
D
I NOS NCE !
D
E 10 A ERE RTAS
C
E
E
H
NF
H2 IO RDS COES AB
ED CKE RI
HA INSC
AS
ED. 4
Julho 2013
ndice
Artigos
4
12
Por Alexos
18
25
Artigos Universitrios
Anlise do Processo de Intruso do Protocolo WEP
28
Eventos
BHACK CONFERENCE 2013
35
o dia 12 do ms de setembro de 2012, Phil Schiller, executivo da Apple, anunciou ao mundo o novo iPhone 5, com muitas novas funcionalidades, entre
elas, maior resoluo (1136x640), 18% mais fino e 20% mais leve do que o
modelo anterior, porm a grande novidade que quero destacar o chip A6.
um novo processador, que segundo a empresa, duas vezes mais rpido
que seu antecessor e possui dois ncleos de processamento.
Este novo modelo de processamento continua tendo suporte a multitarefa e com
isto permite a navegao entre mltiplas aplicaes, e diversas delas podero ser executadas em background.
Partindo para o mercado de computao em geral, a previso segundo o IDC,
conforme figura 1 na pgina seguinte, de que os smartphones devero continuar crescendo e cada vez mais substituindo os computadores, inclusive criando uma nova era
chamada de Ps PC, sejam eles portteis ou no.
Jordan M. Bonagura
Fonte: http://jornalocotidiano.com
ntrou em vigor no Brasil, no dia 02 de abril de 2013, a Lei Carolina Dieckmann, nmero 12.737/2012, que tipifica os crimes cibernticos (crimes informticos). A Lei, fruto de um casusmo, em que o inqurito policial relativo
a suposta invaso do computador da atriz sequer foi concludo, e nenhuma
ao penal intentada (porm os acusados mais que pr-julgados), passa a
punir determinados delitos, como a invaso de dispositivos informtcos, assim dispondo especificamente: Art. 154-A.
Invadir dispositivo informtico alheio, conectado ou no rede de computadores, mediante violao indevida de mecanismo de segurana e com o fim de obter, adulterar ou
destruir dados ou informaes sem autorizao expressa ou tcita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilcita: Pena - deteno, de 3 meses
a 1 ano, e multa.
10
05 e 06 de Outubro
Novotel Morumbi
So Paulo - SP
VULNERABILIDADES
Sistemas desatualizados so facilmente identificados
na internet. Uma pesquisa por servidores com sistemas
operacionais obsoletos (e.g Debian Sarge [5]) retorna
milhares de servios disponveis.
A varredura de portas abaixo revela servios com diversas
vulnerabilidades, as verses do Proftpd [6], Apache [7] e
PHP [8] possuem falhas que vo desde de negao de
servio execuo de cdigo remoto.
Figura 1 - Resultado busca por Debian
Sarge
12
PROTEO
Baseado no conceito de Application
Firewall [9] possvel criar uma camada
de segurana unindo proxy reverso e
ferramentas de proteo, prevenindo
servidores e aplicaes de diversos tipos
de ataques ( e.g. Vulnerability Scanning,
brute force, SQL injection, XSS, etc ).
O proxy reverso funciona como mediador,
recebendo as requisies oriundas da
Internet e redirecionando para mltiplos
servidores, geralmente Web. Alm disso,
ele pode ser utilizado para balanceamento
de carga, imap/pop3 proxy, caching e
otimizao de contedo.
As ferramentas de proteo Ossec HIDS
[10] e Portsentry [11] iro analisar os logs das
requisies, identificar atividades maliciosas
e, quando necessrio, bloque-las.
O Ossec Hids por padro capaz de
identificar uma grande quantidade de ataques
para vrios tipos de servidores (e.g. Linux,
Solaris, Windows), servios (e.g. E-mail,
Banco de dados, Web, FTP) e aplicaes
Web.
13
14
15
COMPLEMENTOS
A capacidade de adicionar novos elementos permite ampliar proteo de diversos
vetores de ataque, integrao com o Snort [13] e SELinux [14] por exemplo. Alguns destes
complementos podem suprir as limitaes para identificar ataques direcionados ao sistema
operacional como o acesso no autorizado e modificaes no sistema de arquivos e kernel.
To importante quanto proteger monitorar e acompanhar todos os eventos, neste caso
pode-se utilizar o Analogi [15], Splunk [16] ou Elsa [17].
Figura 10 Analogi
RESULTADOS
Os resultados obtidos durante a utilizao do appliance em ambientes de produo foram
bastante satisfatrios. Os vdeos abaixo demonstram a rapidez na identificao e bloqueio
de alguns ataques usando tcnicas evasivas.
Port Scanning [18]
SQL injection [19]
FTP Brute force backend [20]
CONCLUSO
Alguns ajustes em tempo de execuo so necessrios para evitar falsos positivos (e.g.
aplicaes enviando requisies SQL dentro do mtodo GET).
Ele deve ser utilizado como ferramenta para mapear ameaas ajudando no processo de
correo das vulnerabilidades.
16
REFERNCIAS
[1] http://wordpress.org/
[2] http://www.joomla.org/
[3] http://drupal.org/
[4] http://phpbb.org/
[5] http://www.debian.org/releases/sarge/
[6] http://www.cvedetails.com/vulnerability-list/
vendor_id-9520/product_id-16873/version_id99601/Proftpd-Proftpd-1.2.10.html
[7] http://www.cvedetails.com/vulnerability-list/
vendor_id-45/product_id-66/version_id-24084/
Apache-Http-Server-2.0.54.html
[8] http://www.cvedetails.com/vulnerability-list/
vendor_id-74/product_id-128/version_id-26452/
PHP-PHP-5.0.5.html
[9] http://en.wikipedia.org/wiki/Application_firewall
[10] http://ossec.net
[11] http://sourceforge.net/projects/sentrytools/
[12] http://www.modsecurity.org/projects/
modsecurity/nginx/index.html
[13] http://snort.org
[14] http://www.nsa.gov/research/selinux/
[15] https://github.com/ECSC/analogi
[16] http://splunk.com
[17] https://code.google.com/p/enterprise-logsearch-and-archive/
[18] https://vimeo.com/67658208
[19] https://vimeo.com/67658591
[20] https://vimeo.com/67634359
[21] http://blog.alexos.com.br/nucleo-doappliance/
17
sta uma srie de X artigos, em que irei falar sobre 8 vetores que encontrei
para comprometer um servidor Citrix XenApp por meio das aplicaes compartilhadas. O que o Citrix XenApp? De acordo com a pgina oficial (www.
citrix.com.br/products/xenapp/overview.html), o XenApp um software que
permite compartilhar um aplicao sob demanda ao usurio final, em qualquer
dispositivo e lugar, desde que haja compatibilidade com o aplicativo cliente que viabiliza
esse acesso. Esta tecnologia fornece acesso a programas de forma remota, como se estes estivessem instalados em seu equipamento, mas na realidade, esto em um ou mais
servidores em locais e/ou redes diferentes.
Como funciona?
18
19
abertura
20
21
Vetor 5: Browser
Outros softwares comumente encontrados
na gama de aplicaes virtualizadas so
os Browsers. Ester por sua vez permitem
acesso ao servidor Citrix, alm das funes
de interao com arquivos citadas acima,
22
Start Task Manager assim como trocar a senha e desligar e mquina ( se houver permisso
para isso) bem sugestivo no acha?
23
Por ultimo e no menos importante este vetor sobre arquivos embutidos, que so aqueles
que pode ser colocados dentro de outros arquivos. O exemplo bsico para esse vetor ser
embutir o arquivo cmd.exe no wordpad. H duas maneiras de ser fazer isso, usando o
prprio cmd servidor Citrix ou enviando o arquivo com o binrio embutido para o servidor,
esta segunda forma, evidentemente voc precisar de um cliente ftp, fazer download por
um browser, cliente e email, ou seja, verificar quais recursos esto disponveis para enviar/
receber o arquivo craftado. Use sua imaginao!
Basta clicar no cone do cmd.
Consideraes finais
Apesar deste artigo ter sido focado na
execuo do cmd.exe gostaria de deixar
claro que qualquer outro binrio pode ser
executado.
Outro ponto a ser observado a
importncia de se manter um rigoroso plano
de atualizao do parque de servidores,
ataques simples como estes poderiam
comprometer a mquina como mostrado
no vdeo abaixo. Como o servidor em
questo no possua os updates de
segurana necessrios, tornou-se um alvo
fcil. O atacante conseguiu realizar uma
escalao de privilgios locais, tornandose administrador.
w w w . y o u t u b e . c o m /
watch?v=2Mu0TiYOjhw
24
25
26
14 e 15 de Setembro
So Jos dos Campos - SP
Inscries abertas no site
www.valesecconf.com.br
28
Ela est em modo padro, ou seja, s recebe pacotes destinados a ela alm de precisar
estar associada a um AP.
Com o comando tcpdump ser possvel visualizar todos os pacotes que trafegam pela
wlan0. Conforme a figura abaixo, nenhum pacote encontrado j que a wlan0 no est
associada a nenhum AP.
-i : Define a interface.
-v: Modo verboso.
J uma interface de rede em modo promscuo, capaz de capturar qualquer pacote ao
seu alcance, mesmo sem estar associada a um AP. Com o comando airmon-ng ativa-se a
interface de rede em modo promscuo.
Conforme a figura abaixo, a interface mon0 foi ativada, outro detalhe o campo MODE:
MONITOR, ele indica que est interface est em modo de monitoramento, ou como antes
dito, modo promscuo.
O prximo comando tcpdump capturar os pacotes que esto trafegando pela interface
mon0, mostrando a diferena entre o modo padro (wlan0) e o modo promscuo (mon0).
Conforme a figura abaixo, em poucos segundos quase 200 pacotes so capturados. Partindo
deste princpio, apenas a interface mon0 ser utilizada na intruso, j que notebook-auditor
no estar associado a um AP.
-i : Define a interface.
-v: Modo verboso.
O prximo comando tcpdump ser responsvel por coletar todos os pacotes durante o
processo de intruso e posteriormente uma anlise mais detalhada ser realizada partir
dessa coleta. Outro detalhe que conforme a figura abaixo todos os pacotes coletados
29
-i : Define a interface.
-w: Define o arquivo de sada.
Identificao da Rede Wi-Fi
Nesse segundo momento outro terminal aberto e inicia-se o processo de intruso.
Primeiramente necessria a identificao da rede. Com o comando airodump-ng,
possvel visualizar todas as redes Wi-Fi ao alcance do notebook-auditor.
Conforme a figura abaixo, a rede usada para a intruso ser a lab-wep.
30
31
32
Pacotes Beacons
A figura abaixo representa um pacote beacon, ou seja, um pacote enviado do AP para
todos os clientes com a funo de dizer que o AP ainda est persistente, alm de sincronizar
informaes como SSID, velocidades de transmisso suportadas, canais, dentre outras.
Outro detalhe que este tipo de pacote no contm vetor de inicializao.
33
Consideraes Finais
Aps esse post pode-se concluir que apesar de existirem vrios tutoriais de intruso
a redes Wi-Fi espalhados pela internet, estas tcnicas vo muito alm do que apenas se
digitar comandos sequenciais em um terminal.
Na intruso do protocolo WEP, por exemplo, so somadas duas tcnicas para aumentar
exponencialmente a eficcia na intruso. Enquanto o mtodo FMS captura os pacotes
passivamente, o processo de injeo de pacotes ARP realizado a fim de gerar mais vetores
de inicializao para coleta. Neste processo aparentemente simples, deve ser levado em
considerao alguns porqus, como exemplo, por que usar apenas o protocolo ARP, e no
todos os protocolos?, isso se d ao fato de o AP responder um pacote ARP com outro ARP
e isso no acontece com outros protocolos. Ou seja, pode-se dizer que estas tcnicas na
verdade so solues complexas, produzidas por n componentes.
Jonas Barros
Analista com mais de trs anos de experincia em administrao de redes
e provisionamento de servios. Atualmente responsvel pela rede de dados
e telefonia da Visiontec da Amaznia
(empresa de mdio porte, situada em
Jacare/SP), atua como projetista e
mantenedor de solues para a rea
de infraestrutura da tecnologia da informao.
34
35
H2HC MAGAZINE
Edio 04
Julho 2013