Wagner Elias - Think Security First

A quem diga que depois da WinPcap qualquer um desenvolve um sniffer, a biblioteca WinPcap é usada pela maioria das ferramentas que fazem análise de pacotes, dentre elas eu destaco Ethereal e Nmap, lógico que quando falamos de WinPcap estamos falando dessas ferramentas para ambiente Windows.

Segue um link para a documentação da WinPcap, inclusive com um how-to de como utilizar a biblioteca no seu projeto e alguns exemplos
http://winpcap.mirror.ethereal.com/301a/docs/main.html

Site para baixar o WinPcap
http://www.winpcap.org/

Outra solução utilizada a API WinSock 2.2 da Microsoft que possui muita documentação disponibilizada no site do MSDN

Um artigo descrevendo o desenvolvimento de uma ferramenta de monitoração, com exemplo de como funciona a API WinSock 2.2
http://www.rnp.br/newsgen/0209/monitoracao_trafego_winsock.html

Sessão de Communication Services and Networking do MSDN
http://msdn.microsoft.com/library/default.asp?url=/
library/en-us/wcecomm5/html/
wce50conCommunicationServicesandNetworking89.asp

A microsoft disponibiliza um guide bem interessante para quem quer desenvolver um planejamento de monitoramento de segurança e detecção de ataques. Outras fontes e estudos devem ser feitos, mas sem dúvida é um bom começo.

Batendo os olhos o que me chamou atenção foi o detalhamento sobre os ID de cada tipo de log, qual o propósito do log e como deve ser tratado, eu recomendo a leitura desse guide.

Guia de Planejamento de Monitoramento de Segurança e Detecção de Ataques
http://www.microsoft.com/brasil/security/
guidance/attackdetection/default.mspx

Últimamente tenho falado só de ferramentas, é porque tá complicado comentar sobre os assuntos e conceitos que nos deparamos todos os dias em security, então tenho ficado nesses posts rápidos por falta de tempo, mas em breve volto a explorar outras coisas...

Recentemente eu andei utilizando mais uma ferramenta da sysinternals, a ferramenta é a autoruns, a ferramenta é excelente, ela faz um scan na sua maquina por entradas em registros, serviços, plugins de browser, etc...Ela não fica só no básico como muitas outras ferramentas, ela trás informações inclusive da assinatura dos arquivos, outro recurso interessante é a possibilidade de você salvar um scan e depois comparar com outros scans. Quando você instala alguns softwares e depois desinstala ficam vários lixos na sua maquina, com o autoruns você consegue arrancar tudo com um simples delete.

Autoruns - http://www.sysinternals.com/Utilities/Autoruns.html

Estou cansado de ver empresas que optam erroneamente por utilizar antivírus como avast, avg por serem freeware. O que muitos não sabem é que eles estão cometendo crime de pirataria, esses antivírus tem sua licença freeware para uso doméstico, não para uso comercial.

Procurando por uma solução que não custe os olhos da cara e seja eficiente eu resolvi testar o comentado e gratuito Clamav, ele tem seu código fonte aberto, sua base de assinaturas é atualizada diariamente e dizem algumas publicações que sua técnica de análise é diferenciada. Não tive a oportunidade de estudar melhor ela, qualquer novidade eu adiciono aqui. Utilizando na minha maquina se mostrou bastante eficiente.

Podendo ser gerenciado por linha de comando ou interface gráfica nativa no Windows, o KDE possui uma interface gráfica para linux, compativel com todos as versões de Windows, é uma boa opção para ambientes que utilizam servidores windows e linux e tem sua base de desktop baseado em plataforma windows.

Versão Windows: http://www.clamwin.com/
Versão Linux: http://www.clamav.net/

Como já havia comentado por aqui, os algoritmos MD5 e Sha1 subiram no telhado, a existência de colisões pode trazer alguns problemas.

O IPsec é uma das soluções que podem ser afetadas, o IPsec quando implementado os protocolos AH e ESP garante confidencialidade e integridade, o AH especificamente é responsável pela integridade e faz uso do algoritmo de hash para isso. Ele é responsável por evitar sequestros de sessão (session hijack), main the midle, etc...

Então com o uso de algoritmo de hash que podem sofrer colisões essas caracteristicas ficam prejudicadas. Já que o IPsec tem seus protocolos abertos, resolvi procurar algum documento sobre a implementação de Sha-256 por exemplo. Encontrei o seguinte documento:

The HMAC-SHA-256-128 Algorithm
and Its Use With IPsec

http://w3.antd.nist.gov/iip_pubs/
draft-ietf-ipsec-ciph-sha-256-01.txt

Mais ainda temos outro problema, o IPsec com seu algoritmo de 128 já degrada muito a performance, como vai ficar com algoritmo ainda mais complexo? Algo a se estudar...

Tenho visto com uma certa frequência empresas utilizando softwares para armazenamento de senhas, que eu particularmente acho uma boa pratica se apoiado por outros controles e processos.

Antes várias senhas em uma base, do que uma senha díficil que é repetida no ambiente todo. E recomendo para usuários que possuam muitas senhas, podem usar uma senha em cada lugar e gravar a senha do software.

Eu já havia utilizado algum desses softwares, mas vou deixar aqui algumas informações sobre, acredito eu os três mais usados.

Whisper32

Achei muito fraco em recursos, a criptografia é baseado no algoritmo Phil Karn, sci.crypt, 13 Feb 1992' e seu último release é de 29 de Agosto de 2004 (faz tempo hein).

Site: http://www.ivory.org/whisper.html

Password Safe

O Responsável pelo desenvolvimento e manutenção do password safe ninguém menos que Bruce Schneier, eu achei um "fusquinha", simples, funcional e robusto, baseado lógico no algoritmo Blowfish, possui código aberto e seu último release é de 27 de Janeiro de 2006.

Site: http://schneier.com/passsafe.html

Keepass

Na minha opinião o mais completo de todos os softwares, interface intuitiva, vários idiomas inclusive o português do Brasil e muitos recursos, possui inclusive uma versão para pocket. Utiliza o algoritmo AES e Twofish, possuí código aberto e seu último release é de 4 de Janeiro de 2006.

Site: http://keepass.sourceforge.net/

Obs.: antes que alguém comente alguma coisa sobre os softwares serem de código aberto e segundo o Kevin Mitnick mais vulnerável que os fechados, só tenho uma coisa a dizer: para o Kevin Mitnick dizer que código aberto é mais vulnerável que o fechado ele só pode ter analisado códigos fontes onde os autores deixavam seu nome e telefone.

Vocês já tentaram usar a busca de imagens do google para pesquisar assuntos relativos a segurança? Pode-se encontrar coisas bem interessantes através dela. Só não se assuste se encontrar aquela topologia de rede ultra-secreta da sua empresa que você publicou no seu servidor web, o google está de olho.

Segue alguns exemplos segundo a palavra usado para pesquisa:

Alta Disponibilidade

Security Management

Pentest

Informo a todos que já temos um capítulo Brasil do OWASP (Open Web Application Security Project) um projeto que tem como objetivo a criação de guias e desenvolver pesquisas sobre desenvolvimento seguro em aplicações WEB.

Lider do capítulo Brasil: Wagner Elias
Organização: Augusto Paes de Barros, Thiago Zaninotti e Victor Pereira

O projeto é aberto e conta com a participação de toda comunidade para que possamos desenvolver um bom trabalho e destacar o capítulo Brasil. Se o Brasil é famoso por seus desenvolvedores, chegou a hora de mostrar a cara.

OWASP = http://www.owasp.org
Capítulo Brasil = http://www.owasp.org/local/brazil.html

Os programadores ainda estão se dando conta do simples ataque de Sql Injection que usa combinações para burlar o sistema de login e as ferramentas e técnicas estão cada dia mais avançadas e intuitivas. Através de um Sql Injection você pode ter total controle sobre uma maquina, dar comando em shell, criar e deletar objetos e muitas outras coisas.

Quando digo que os ataques estão ficando intuitivos é porque a cada dia aparecem ferramentas como essa que vou mostrar aqui.

Sql Power Injection = http://www.sqlpowerinjector.com
Documentação = http://www.sqlpowerinjector.com/docs/TutorialSPInj.pdf

Esse post é pra quem não vive sem o bom e velho VI do *nix, se você quer usar ele em ambiente windows, amiga e outros pode usar o VIM. Além de um poderoso editor em modo gráfico você tem ele só CLI.

Vim = http://www.vim.org/download.php#pc