This is default featured slide 1 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 2 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 3 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 4 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 5 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

sexta-feira, 30 de dezembro de 2016

Mikrotik - Channel to frequency table

Channel to frequency table


802.11a:
36 - 5180
40 - 5200
44 - 5220
48 - 5240
52 - 5260
56 - 5280
60 - 5300
64 - 5320
100 - 5500
104 - 5520
108 - 5540
112 - 5560
116 - 5580
120 - 5600
124 - 5620
128 - 5640
132 - 5660
136 - 5680
140 - 5700
149 - 5745
153 - 5765
157 - 5785
161 - 5805
165 - 5825
802.11b:
1 - 2412
2 - 2417
3 - 2422
4 - 2427
5 - 2432
6 - 2437
7 - 2442
8 - 2447
9 - 2452
10 - 2457
11 - 2462
12 - 2467
13 - 2472
Channel map for 900MHz in 2.4GHz frequency for GZ-901: 1 (2412) = 868
2 (2417) = 873
3 (2422) = 878
4 (2427) = 883
5 (2432) = 888
6 (2437) = 893
7 (2442) = 898
8 (2447) = 903
9 (2452) = 908
10 (2457) = 913
11 (2462) = 918
12 (2467) = 923
13 (2472) = 928
Channel mapping for 2.4GHz for SR9:
3 (2422) 922 MHz
4 (2427) 917 MHz
5 (2432) 912 MHz
6 (2437) 907 MHz

sexta-feira, 23 de dezembro de 2016

rrdtool - Playing with rrdtool counter resets

http://zewaren.net/site/node/141 
 
 

Playing with rrdtool counter resets

Not so frequently asked questions and stuff: 

Creating and plotting some data normally

Let's create a standard rdd file, with a counter:
?
1
rrdtool create test.rrd --start $start --step 60 DS:something:COUNTER:600:0:U RRA:AVERAGE:0.5:1:1440
Now let's update it with some values.
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
#!/usr/bin/env perl -w
 
use strict;
use warnings;
 
my $start = 1417392000;
my $counter = 0;
 
for my $x (1..60*24) {
    my $time = $start + 60*$x;
    $counter += 1000+ int(250*sin(1/(48)*$x));
    my $command = "rrdtool update test.rrd $time:$counter";
    system($command);
}
Let's graph!
?
1
2
3
rrdtool graph test.png -a PNG --start 1417392000 --end 1417478400 -t "Sure looks like a sine" -v "avg potato per second" \
    DEF:something=test.rrd:something:AVERAGE \
    LINE1:something#111111:"My superb value"
Image
So far, so good.

Having a counter reset

Now, let's recreate the same data, but with a counter reset in the middle.
?
1
2
3
if ($x == 1000) {
    $counter = 0;
}
The dreaded spike appears!
Image
Folder http://oss.oetiker.ch/rrdtool/pub/contrib/ contains many tools to remove spikes from rrd data files. My favorite one is spikekill (spikekill-1.1-1.tar.gz).
?
1
php removespikes.php -d -A=avg -M=variance -P=5000 -R=test.rrd
The spike is then replaced by a small innocent glitch.
Image
To prevent counter reset spikes, you should use DERIVE instead of COUNTER. Tuning the rrd file solves the problem.
?
1
rrdtool tune test.rrd --data-source-type something:DERIVE
 

segunda-feira, 19 de dezembro de 2016

Artigo - 7 tendências de startups para acompanhar em 2017


Inteligência Artificial será uma área pródiga no próximo ano, juntamente com segurança cibernética, chatbots e realidade virtual
Autor da Foto
De acordo com profissionais entrevistados para este artigo, a inteligência artificial e a aprendizagem de máquina vão ajudar a impulsionar a economia de tecnologia em 2017.
Quando CIO.com postou uma consulta no Help a Reporter, um site criado para ajudar os jornalistas a se conectar com as fontes, perguntando sobre as tendências para ficar de olho em 2017, a esmagadora maioria dos inquiridos apontou para inteligência artificial. Este próximo ano e além, a IA vai ajudar as empresas a "perturbar setores que não foram totalmente disruptivos", diz Anthony Glomski, diretor da AG de ativos advisory, uma empresa de consultoria financeira. "A IA está em seus estágios iniciais com enorme impacto potencial."
Aqui estão as sete tendências apontadas como as mais quentes para o próximo ano.
1. Inteligência artificial e aprendizagem de máquina
Em 2016, as grandes empresas investiram recursos em tecnologias mais inteligentes e melhores em prever coisas utilizando inteligência artificial, de acordo com Ludo Ulrich, da Salesforce. Simultaneamente, a tecnologia avançou o suficiente para permitir que empresas menores participassem da revolução da inteligência artificial, diz ele, e as universidades começaram a oferecer aulas destinadas a educar os alunos sobre as possibilidades da IA. Estes desenvolvimentos estão "criando um pool de talentos", o que ajudará a promover a inovação em um ritmo muito mais rápido em 2017, de acordo com Ulrich.
"Agora que a verdadeira importância e impacto da IA foram descobertos e o uso da tecnologia começa a tornar-se mais acessível do que nunca, 2017 será o ano em que o conhecimento que costumava ser possuído por um seleto grupo vai permear todo o cenário tecnológico. Startups mais jovens vão inovar verdadeiramente nessa área", diz Ulrich.
No passado, apenas algumas empresas tinham cientistas de dados e pessoal capazes de usufruir dos recursos de aprendizagem de máquinas, de acordo com Ulrich. Hoje, ambos são "basicamente esperados", diz ele.
Em seu simpósio anual, o Gartner posicionou a inteligência artificial e o machine learning entre suas principais dez tendências estratégicas de tecnologia para 2017. "Inteligência artificial aplicada e a aprendizagem de máquina avançada vão dar origem a um espectro de implementações inteligentes, incluindo dispositivos físicos (robôs, veículos autônomos, eletrônica de consumo), bem como aplicativos e serviços (assistentes pessoais virtuais e consultores inteligentes)", de acordo com David Cearley, vice-presidente e fellow do Gartner. "Essas implementações serão entregues como uma nova classe de aplicativos e coisas obviamente inteligentes, além de fornecer inteligência incorporada para uma ampla gama de dispositivos mesh e soluções de software e serviços existentes".
O banco americano Wells Fargo é uma das muitas empresas que estão testando a tecnologia de inteligência artificial, de acordo com Braden More, head de estratégia de pagamentos do banco. "Estamos explorando como a tecnologia da IA ​​pode permitir que os clientes realizem uma transação bancária enquanto estão nas mídias sociais", diz ele. "Nós também estamos explorando assistentes virtuais que podem proativamente apoiar clientes através de alertas, lembretes e sugestões contextuais." E a IA também pode ser usada para detectar fraudes bancárias, diz Braden.
Também é esperado que a inteligência artificial desempenhe um papel crescente na cibersegurança em 2017. Uma das razões é que não existem pessoas com habilidades de segurança cibernética suficientes para preencher os empregos disponíveis. Estima-se que 1 milhão de empregos de cibersegurança estão por ser preenchidos em todo o mundo, de acordo com a Cisco. Ao mesmo tempo, é esperado que o número de vagas de cibersegurança aumente para 6 milhões em todo o mundo em 2019, segundo a Symantec.
"A realidade é que o conhecimento de segurança cibernética precisa ser automatizado de alguma forma", diz John Shearer, CEO e cofundador da DarkLight, um provedor de análise de segurança cibernética e automação. "As startups emergirão e reconhecerão essa enorme necessidade do mercado de misturar conhecimentos humanos com IA."
O big data ─ e o volume de dados que o mundo acumula atualmente ─ é outra força motriz por trás da ascensão da inteligência artificial. Todos os dias, o mundo gera 2,5 quintilhões de bytes de dados, com 90% dos dados no mundo criado nos últimos dois anos, de acordo com estimativas da IBM.
As empresas precisam da IA para aprender com as tendências e padrões de seus clientes, ampliar a eficiência da automação e ajudar os funcionários a serem mais inteligentes em seu trabalho, diz Steve Goodman, sócio da firma de VC Toba Capital.
2. Chatbots 
Chatbots são serviços que interagem com o usuário e oferecem informações, em especial para os consumidores, através de uma interface de chat automatizado. E a IA é uma das tecnologias que estão ajudando a tornar os chatbots mainstream. "Graças à inteligência artificial, os chatbots viraram o centro das atenções em 2016, e esperamos que essa tendência estimule ainda mais a inovação em 2017", diz Ashu Garg, sócio geral da Foundation Capital, empresa de capital de risco do Silicon Valley.
As empresas vão cada vez mais olhar para chatbots para ajudar a reduzir os gastos com atendimento ao cliente nas áreas de seguros e comércio, "campo que estão maduros para a disrupção", diz Garg. "Chatbots serão quentes simplesmente porque há muito a ganhar", afirma.
Em 2020, mais de 85% das interações com o cliente não irão incluir um ser humano, e chatbots serão a aplicação de consumo número 1 da inteligência artificial, durante os próximos cinco anos, de acordo com pesquisa do Gartner e da TechEmergence, divulgada pela Business Insider.
Em 2017, esperamos "uma agitação nas plataformas de mensagens para a integração a chatbots", diz Garg. "Enquanto o Facebook ainda é a plataforma de mensagens dominante, o WhatsApp, o Kik, o WeChat e outras plataformas de mensagens globalmente relevantes irão ser os combustíveis da inovação em chatbot. Como a tecnologia ganha tração e as aplicações de Inteligência Artificial continuam a avançar, vamos começar a ver chatbots cada vez mais integrados com os sistemas backend das empresas, mudando a forma como as pessoas se comunicam com elas".
3. Startups de segurança cibernética
Cybersecurity esteve frequentemente no noticiário em 2016, graças, em parte, à disputa da Apple com o FBI em torno da quebra da criptografia do iPhone e muitos ataques de ransomware contra empresas. Muitos especialistas esperam um crescimento contínuo na área de segurança cibernética em 2017.
Para cada novo vetor de ataque ou a vulnerabilidade exposta em 2016, "uma empresa de segurança cibernética surgiu para preencher o espaço", diz Nate Locke, sócio da empresa de gestão de investimentos Kayne Anderson Capital Advisors. "As empresas que buscam reforçar suas defesas de segurança investiram em software e outros aparelhos. Esperamos que as empresas comecem a investir menos em soluções de endpoint e mais em serviços gerenciados que ajudem a dar sentido à sua infraestrutura existente".
A segurança é complexa e difícil de gerenciar, de acordo com Locke, "e enquanto as empresas têm investido pesadamente em produtos de segurança, muitas ainda não estão usufruindo o suficiente dessas tecnologias. A partir de 2017 veremos o papel dos prestadores de serviços de segurança gerenciados como cada vez mais importante para ajudar as organizações a reduzir o risco de violação de segurança ".
4. Transformação digital e nuvem
A partir de 2017, as empresas passarão por uma transformação digital "em grande escala", segundo a empresa de pesquisa IDC, habilitada pela "Terceira Plataforma" composta pela nuvem, mobilidade, tecnologias sociais e big data/analytics.
"Estamos em um ponto de inflexão, como os esforços de transformação digital mudando do status de projeto para um imperativo estratégico de negócios", afirma Frank Gens, vice-presidente e analista-chefe da IDC, em um comunicado de imprensa de novembro. "Cada empreendimento (em crescimento), independentemente da idade ou da indústria, deve tornar-se" nativo digital "na forma como seus executivos e funcionários pensam, o que produzem e como operam. Essa mudança está acontecendo muito mais rápido do que as vantagens competitivas mais esperadas e antecipadas e sairão na frente aquelas empresas que puderem acompanhar o ritmo da emergente economia DX (transformação digital) ".
A IDC acredita que a nuvem será um facilitador primordial da transformação digital e prevê que até 2020, 67% da infraestrutura de TI e os gastos com software da empresa estarão relacionados a tecnologias baseadas na nuvem. Durante esta transição, quase todas as empresas serão um provedor de serviços em nuvem para o seu próprio mercado, tornando as capacidades de nuvem uma preocupação de TI, bem como um problema de operações de negócios.
5. Realidades virtual e aumentada
No rescaldo do fenômeno Pokémon Go, a realidade aumentada (RA) ingressou de vez no radar de muitas pessoas. O grande irmão da RA, a realidade virtual (RV), também oferece potencial emocionante para as empresas a partir de 2017.
Durante o próximo ano, 30% das empresas Global 2000 orientadas para o consumidor devem experimentar RA e RV em suas iniciativas de marketing, prevê a IDC. "As interfaces são a porta de entrada essencial para o engajamento do cliente e estão evoluindo muito mais rápido do que muitos previram", diz a empresa de pesquisa. "A IDC espera que as realidades virtual e aumentada atinjam níveis de adoção em massa até 2021, quando mais de um bilhão de pessoas no mundo acessarão regularmente aplicativos, conteúdo e dados através de uma plataforma RA/RV".
Mas a realidade virtual não será simplesmente uma tecnologia de entretenimento. "Em 2017, RV vai ser adotada por muito mais startups para o desenvolvimento de soluções de colaboração", prevê Zach Holmquist, CEO e cofundador da Teem, um serviço baseado em nuvem para gerenciar áreas de trabalho. "A RV será usada para acomodar a evolução da definição de "empregado" para incluir tanto os funcionários dentro e fora do escritório contribuindo remotamente. A economia GIG, baseada no trabalho autônomo, continuará a crescer, forçando as empresas a usarem todos os recursos disponíveis para acomodar esta categoria emergente de empregado e a tecnologia de VR vai ajudá-las a atingir esse objetivo. "
6. Vestuário inovador
O enorme sucesso do Spectacles, óculos de sol que grava vídeos de até 10 segundos do Snapchat, está "dando uma nova vida" para a categoria wearables, de acordo com Gregory Kennedy, cofundador e presidente da Minds Uncharted. "Parece que a abordagem divertida, peculiar e barata da Snap tem a combinação vencedora de recursos e preços que todos os outros jogadores perderam na primeira onda de wearables".
7. Coisas inteligentes
"As coisas inteligentes" estão na intersecção entre a inteligência artificial e a Internet das Coisas e estão entre as dez principais tendências estratégicas do Gartner para 2017. A Internet da Coisas inteligente vai "além da execução de modelos rígidos de programação", explorando inteligência artificial e machine learning para oferecer comportamentos avançados e interagir mais naturalmente com os arredores e com as pessoas", diz o Gartner. "Como as coisas inteligentes, como drones, veículos autônomos e aparelhos inteligentes, permeiam o ambiente, o Gartner antecipa uma mudança de coisas inteligentes autônomas para um modelo de coisas inteligentes colaborativas".

 
 

sexta-feira, 16 de dezembro de 2016

Segurança - Auditorias Teste de Invasão


Auditorias Teste de Invasão para Proteção de Redes Corporativas


Introdução



Há diversos procedimentos de auditoria que têm por objetivo aferir a segurança de uma rede, sistema ou aplicação. Cada um deles tem suas características, objetivos, vantagens e desvantagens próprias.

Com base nestes fatores, o auditor deve avaliar as necessidades de seu cliente a fim de definir qual auditoria de segurança é a mais adequada para atendê-las, e assim oferecer melhores resultados.

A auditoria Teste de Invasão é uma das auditorias de segurança que podem ser realizadas sobre ativos do cliente. O principal diferencial deste tipo de auditoria é que a avaliação de segurança é realizada através de simulações de ataques reais aos ativos do cliente.

Isto quer dizer que a auditoria Teste de Invasão vai além da simples identificação de potenciais vulnerabilidades. Ao contrário da simples identificação de vulnerabilidades, há verificação da representação de risco real destas e apreciação do impacto associado à exploração destas vulnerabilidades sobre a segurança da informação, além do próprio negócio do cliente.

A auditoria Teste de Invasão é uma das auditorias de segurança que podem ser realizadas sobre ativos do cliente. O principal diferencial deste tipo de auditoria é que a avaliação de segurança é realizada através de simulações de ataques reais aos ativos do cliente.

Motivação para realizar uma auditoria Teste de Invasão

O benefício gerado pela contratação de uma auditoria Teste de Invasão é difícil de definir para uma equipe gerencial (Return of Investment - ROI), pois qualquer auditoria é, por natureza, um procedimento preventivo, que visa mitigar, pró-ativamente, um problema que ainda não surgiu.

Uma forma de mensurar o benefício que uma auditoria Teste de Invasão traria a uma organização é comparar o custo da auditoria ao prejuízo estimado de um ataque bem sucedido, incluindo prejuízos associados à indisponibilidade de sites comerciais, ações judiciais por quebra de sigilo de informações de terceiros e até desconfiança dos clientes em manter sua relação comercial com a organização.

Além disso, a auditoria Teste de Invasão oferece uma visão ampla sobre a segurança da organização, permitindo homologar a segurança da mesma como um todo. Isto é, ainda que se implemente um mecanismo de segurança complexo para uma aplicação crítica, é possível que haja vulnerabilidades em outras aplicações ou até outros ativos que permitam contornar este mecanismo e comprometer a segurança da informação e dos próprios usuários.

De nada adianta, por exemplo, um modelo complexo de segurança em camadas, firewalls duplos, redundância e IDSs distribuídos, se um usuário utiliza por exemplo a senha "12345".

Finalmente, auditorias Teste de Invasão periódicas cada vez mais tem aparecido como requisito para conformidade com normas internacionais. No Brasil, este requisito já é exigido pelos padrões de segurança PCI-DSS e a família ABNT 27000.
Linux: Auditorias Teste de Invasão para Proteção de Redes Corporativas

Características das auditorias Teste de Invasão

Uma auditoria Teste de Invasão deve ser conduzida de forma totalmente transparente, ou seja, o escopo da auditoria deve ser cuidadosamente definido e todas as simulações de ataque modeladas, devem ser apresentadas previamente ao cliente para aprovação.

Em seguida, todo o processo deve ser minuciosamente documentado para que o cliente possa, de maneira simples, identificar quais atividades ofensivas são oriundas da auditoria. Além disto, é importante que o auditor seja capaz de estimar os impactos (inclusive efeitos colaterais) de cada vetor a ser explorado, pois o cliente pode querer limitar os testes temendo algum tipo de impacto no seu negócio.

Outros aspectos importantes que devem ser definidos antes da execução da auditoria são:
  • A posição do auditor em relação aos ativos contemplados;
  • O nível de conhecimento do auditor;
  • O nível da equipe de gerência técnica dos ativos sobre a auditoria.

Estes aspectos são importantes, pois influenciam diretamente na forma como o teste é realizado e quais técnicas podem ser utilizadas.

Primeiramente, a posição do auditor em relação aos ativos contemplados diz respeito à localização da origem das simulações de ataque, isto é, a auditoria será realizada dentro da rede interna ou a partir da Internet.

A definição deste aspecto permite avaliar a segurança dos ativos frente às ameaças públicas vindas de opositores externos (auditoria externa) ou de ex-funcionários insatisfeitos, que se aproveitam do acesso interno que ainda possuem (auditoria interna).

Em seguida, o nível de conhecimento do auditor sobre os ativos diz respeito à quantidade de informação que é fornecida sobre os ativos. A definição deste aspecto permite avaliar a segurança dos ativos frente a ataques realizados por opositores que só conhecem informações públicas sobre os ativos (auditoria caixa preta), ou de ex-funcionários ou ex-desenvolvedores, que têm amplo conhecimento sobre a forma como a aplicação funciona (auditoria caixa branca).

Finalmente, o nível de conhecimento da equipe de gerência técnica destes ativos sobre a auditoria diz respeito ao quanto esta equipe sabe sobre a auditoria.

A divulgação da realização da auditoria (auditoria anunciada), por um lado, pode evitar que mudanças inadvertidas nos ativos contemplados sejam feitas durante a auditoria, alterando o resultado de algumas simulações de ataque, mas, por outro lado, pode ser encarada pela equipe técnica como uma verificação da qualidade do seu trabalho, que pode, propositalmente, fazer modificações temporárias que forneçam resultados enganosos para a auditoria.

Já a não divulgação da realização da auditoria (auditoria não-anunciada), permite que o cliente avalie a capacidade da equipe técnica em detectar e reagir às simulações de ataque, no entanto, pode dificultar a divulgação de informações sobre os ativos para auditorias caixa branca.


Vídeos, Palestras e Webinars



Segue uma lista de vídeos, palestras e Webinars sobre o tema para complementar a leitura.

Conclusão

Com as constantes e aceleradas mudanças na área de TI, novas ferramentas, sistemas e protocolos surgem a cada dia, tornando tantas outras obsoletas. O mesmo vale para técnicas de ataque e ferramentas associadas.

Para ser um bom profissional de segurança, é preciso mais do que dominar suas ferramentas de trabalho, deve entender conceitos e técnicas por trás de cada ferramenta.

Só assim você será capaz de modelar seus ataques, dimensionar seu trabalho e aplicar com confiança o que sabe, através do ferramental mais atual e técnicas mais adequadas àquele problema.


fonte: https://www.vivaolinux.com.br/artigos/impressora.php?codigo=13906

Desafio: Análise Forense Computacional - Forense em Tráfego de Rede

Desafio: Análise Forense Computacional - Forense em Tráfego de Rede [Resolvido]



Descrição do desafio



Veja abaixo todas as informações sobre o desafio. A solução foi publicada na página 2.

Descrição do jogo

Filipe é dono de uma padaria e possui uma receita incrível para fazer seus pães, onde todos em sua cidade adoram. Mas Rafael, que é um concorrente, deseja obter esta receita, e para isso fingiu ser o neto de Filipe para obter a receita secreta.

Alguns dias após o ocorrido, descobriram o que Rafael havia feito, e por sinal, encontraram um arquivo dentro de seu computador:
padaria.pcap (md5:9c546f3e88828c6d3182fcd25f5304b2)

... mas não foram capazes de identificar o que de fato aconteceu.

Obs.: Baixar o arquivo de:
Você é um perito e seu objetivo é descobrir como Rafael fez isso!

Perguntas:
  • Qual nick Rafael utilizou para se passar pelo neto de Filipe?
  • Qual foi o primeiro comentário na conversa entre os dois?
  • Qual o nome do arquivo que foi transferido durante a conversa?
  • O que aconteceu após a transmissão de tal arquivo?
  • Onde Rafael encontrou o arquivo que contém a receita secreta?
  • Qual é a receita secreta?

Abaixo, os vídeos relacionados ao desafio de Análise Forense Computacional de Tráfego de Rede.

Webinar #10 - Captura (grampo) e análise de tráfego em redes de computadores:
Webinar #2 - Análise forense computacional em tráfego de rede:

Webinar #9 - As provas e as evidências na investigação dos crimes informáticos:
 
 
 Palestra: Desafios em computação forense e resposta a incidentes - Sandro Suffert - Workshop SegInfo 2011: 
 
 
O gabarito do desafio será publicado como atualização deste artigo na próxima semana.


Solução / Gabarito do desafio



Segue a solução/gabarito do exercício proposto na página anterior.

Link da imagem:
Linux: Desafio: Análise Forense Computacional - Forense em Tráfego de Rede
0. Após baixar a imagem acima, vamos conferir a sua MD5 para confirmar que não houve nenhuma falha na transmissão:

md5sum DesafioEsteg.jpg
a5d78511149bcf68afddd82a1ed6db29 DesafioEsteg.jpg


1. Com a imagem em mãos, vamos analisar o tipo do arquivo:

file DesafioEsteg.jpg
DesafioEsteg.jpg: JPEG image data, JFIF standard 1.02


2. Vamos verificar se, por acaso, não existem strings escondidas na imagem, antes de tentar usar um programa:

strings DesafioEsteg.jpg
0101011001010111010110100011001101011010011011010110011001000100011100010101100
0010011100011010001001001010010000101011000110000011001000111100101000010001100
1101100001011011100110100000110000011000110101011101000110011100010110010001111
0010100001000110000010010010100011101101100011100010110010101000111010110100111
0010011000100110111001010001011001110110000101010111010110010110011101010011010
0100001000110011011010101100101010111001101010011010001001001010001100110100001
1100010110001001001000011100000011001101011010011011100101000001000100011100000
0110010010110010110011101100001010101110101100101100111010101000110111001001110
0111001001100100010010000110010001111001010110100111001101001111011011100111011
1001101100100111000110000010011000110100101000010010010010110010001001000010011
1001110100011000010111001101001111011011100101101001101001010000100111101001100
1000100100001101000001101000101101001101001010000100100110001100100010010000110
0100011110010101101001110011010011110110111001110111001101100100111000110000010
0100101000111011011000111000101001001010001010101101000110110011000010101011100
1101010011010101100100010010000110001101100111011000010110111001001001011001110
1010111010101110111000000110100011001010101011101101111011001110110000101010111
0110111101100111010101000110111001001110011010000101101001101110011010100100010
0011011110011001101010001011001110110000101101110010010010110011101100010010110
0001101100001101010110010001010100011011110111011001001100001100100100101001101
0010101100101101001001101010110111001100011010110000101001001110011010011000110
1101011010000111100001011010011011010100011001110101011001010100001100110101011
0111101100100010010000100100101110101010110100011001101100011011101100110000100
1100110101001000110011011000110110110101011010011011110101101001101110010100010
1110100011000010101011101101111011101000100111001111010011001110111010001100010
0101100001010010001100110101101001101110011001110111010001011010011011100111000
0011100000110001001101110011011000011000001100100011110010011000101110001011000
1101101001001100010011010101100001011011100110100000110101011000010110100100110
0010111000001100001011010010011000101110101011000110011001001000110011011010110
0101010001110101101000110000010011000101011101011010011011110101101001101101011
0110001110001011000110110110100110101011011010100110001010111011010000111100001
0110100110110101000110011101010110010101000011001100010011010001100001011011010
1111000001101100110010000110010010110100111101001100001010001110101100101110100
0110000101010111010110010111010001100010011011100100111001110010011001000100100
0011001000111100101011010011011010110100001101101011001000100000101101111001111
01


3. Como a mensagem está em binário, precisamos convertê-la para ASCII. Para isso você pode usar o Binary to Text (ASCII) Conversion.

* Questão bônus: Como fazer isso sem sair do shell?
VWZ3ZmfDqXN4IHV0dyB3anh0cWFqdyB0IGlqeGZrbnQgaWYgSHFmYW54IFhqbHp3ZnPDp2Yga
WYgTnNrdHdyZsOnw6N0LiBIdHNtasOnZiBzdHh4ZiBLdHdyZsOnw6N0IGlqIEZ6aW55dHcganIgWWp4
eWogaWogTnNhZnjDo3QganIgbXl5dTovL2JiYi5ncXRsLmhxZmFueC5odHIuZ3cva3R3cmZoZnQtaWo
tNzgtbXR3ZngtZnppbnl0dy1qci15anh5ai1pai1uc2FmeGZ0LWZoZmlqcm5mLWhxZmFueC14amx6d2
ZzaGYtaWYtbnNrdHdyZmhmdAo=


4. Agora, decodificamos a mensagem de base64:

echo "VWZ3ZmfDqXN4IHV0dyB3anh0cWFqdyB0IGlqeGZrbnQgaWYgSHFmYW54IFhqbHp3ZnPD
p2YgaWYgTnNrdHdyZsOnw6N0LiBIdHNtasOnZiBzdHh4ZiBLdHdyZsOnw6N0IGlqIEZ6aW55dHcganI
gWWp4eWogaWogTnNhZnjDo3QganIgbXl5dTovL2JiYi5ncXRsLmhxZmFueC5odHIuZ3cva3R3cmZoZn
QtaWotNzgtbXR3ZngtZnppbnl0dy1qci15anh5ai1pai1uc2FmeGZ0LWZoZmlqcm5mLWhxZmFueC14a
mx6d2ZzaGYtaWYtbnNrdHdyZmhmdAo=" | base64 -d

Ufwfgésx utw wjxtqajw t ijxfknt if Hqfanx Xjlzwfsçf if Nsktwrfçãt. Htsmjçf
stxxf Ktwrfçãt ij Fzinytw jr Yjxyj ij Nsafxãt jr myyu://bbb.gqtl.hqfanx.htr.
gw/ktwrfhft-ij-78-mtwfx-fzinytw-jr-yjxyj-ij-nsafxft-fhfijrnf-hqfanx-xjlzwfshf- if-nsktwrfhft


5. Por fim, seguindo a dica da foto (salada caesar), vemos que o texto está cifrado usando a Cifra de Caesar, com chave de deslocamento de valor 5.

Para cada letra (exceto as acentuadas), substitua pela quinta letra anterior (valor ASCII menos 5). Você pode usar o cipher.py para ler a mensagem:
" Parabéns por resolver o desafio da Clavis Segurança da Informação. Conheça nossa Formação de Auditor em Teste de Invasão em http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao "


Até o próximo desafio! 8-)


fonte: https://www.vivaolinux.com.br/artigos/impressora.php?codigo=13924

quinta-feira, 15 de dezembro de 2016

OpenVPN - Conceitos de autenticação

Authentication

This page discusses the concepts of authentication in OpenVPN.

Authentication basics

OpenVPN needs to verify the authenticity of the remote side it is connecting to, otherwise there's no security provided at all. You don't want to let any random system connect to your VPN. Both ends authenticate the other, and the authentication must pass on both sides for a valid connection to be made.
Depending on the mode and configuration, the following are possible methods to authenticate connections:
  • keypairs and certificates
  • username + password
With TLS, the server always has its own key, an issued certificate, and the CA certificate; all clients must have a copy of this CA certificate as well. Clients can be authenticated using their own certificates, user credentials, or both at once as a form of 2-factor authentication.
Note that the process of authenticating connections is available only in TLS modes. The other basic mode OpenVPN has is with a pre-shared key (PSK), and here the authentication is provided only by ownership of the symmetric key. The remainder of this page discusses authentication in TLS mode specifically.

Overview of the auth process

The process of connecting and authenticating in TLS mode is described below.
In short, the client & server exchange keypairs (although the client may be configured not to have one) and verify the presented certs. Any user credentials provided are then processed by the server. Finally, ccd files are checked and acted on. If all enabled authentication steps pass, the connection is allowed. Otherwise the connection is dropped or rejected somewhere during this process.

Authentication process details

  1. A client initiates a connection to the server
  2. The server responds by presenting its own cert chain to the client for verification:
    1. The client uses its own copy of the CA cert to verify the received cert from the server
    2. If this check fails, the connection is terminated
    3. If a CRL is used by the client, the presented cert must not be listed as revoked
  3. If the client has its own keypair, then:
    1. The client presents its cert chain to the server
    2. The server verifies this cert against its own copy of the CA cert
    3. If the server's verification of the client cert fails, the connection is terminated
    4. If a CRL is used by the server, the presented cert must not be listed as revoked
  4. If the client is configured to send user credentials to the server, it does so over the now-authenticated TLS link
  5. If the server is configured to process user credentials, then:
    1. Credentials must have been supplied by the client unless configured to make this optional
    2. The program or plugin responsible for checking the user credentials is invoked
    3. If the check fails, the client is told the auth was rejected and the connection is terminated
  6. If a ccd (client-config-dir) is used on the server, then:
    1. If the named client is listed as disabled, the connection is terminated
    2. If ccd-exclusive is used, then the namaed client must have a ccd entry or the connection is terminated
  7. At this point authentication by both sides is complete

Certificates vs. usernames

Certificates are cryptographically signed by the CA, so these provide a strong level of security and authentication. By contrast, usernames are somewhat less secure given the types of passphrases often used, and the prolific re-use of same or similar passphrase.
When the server is configured not to check client certificates, the entire security of the VPN relies on the security of the user credentials and the program checking them. When combined together, both valid certificates and valid credentials are required, which improves security.

Advanced authentication options

Some advanced directives can be used in addition to the normal process. These include:

tls-verify

The tls-verify directive allows an additional program to review the presented cert's details. When tls-export-cert is also used, the program has access to the cert itself for any additional verification steps. Exiting non-zero causes the connection to be terminated.

client-connect

The client-connect script can also terminate a connection by exiting with a non-zero code. This script is normally used to do dynamic on-connect tasks or populate options to be pushed to the client, but it can be used as a form of authentication control using the exit code as well.


fonte: https://community.openvpn.net/openvpn/wiki/Concepts-Authentication

terça-feira, 13 de dezembro de 2016

ubuntu -avaliar redirect

Hello,

We have changed nothing in our network infrastructure but only upgraded from Linux kernel 2.6.36.2 to 3.0.3. Here is the problem we are experiencing: ICMP redirected routes are cached forever, and they can be cleared only by a reboot.
Here is an example:

root@machine5:~# ip route get 1.1.1.1
1.1.1.1 via 9.0.0.1 dev eth0  src 5.5.5.5
    cache   ipid 0xfb5d rtt 1475ms rttvar 450ms cwnd 10

root@machine5:~# ip route list cache match 1.1.1.1
1.1.1.1 tos lowdelay via 9.0.0.1 dev eth0  src 5.5.5.5
    cache   ipid 0xfb5d rtt 1475ms rttvar 450ms cwnd 10
1.1.1.1 via 9.0.0.1 dev eth0  src 5.5.5.5
    cache   ipid 0xfb5d rtt 1475ms rttvar 450ms cwnd 10
...(two more entries, all go via 9.0.0.1)...

1.1.1.1 is the test destination address
5.5.5.5 is the source IP address of "machine5" via dev eth0, the only interface besides "lo" 9.0.0.1 is the incorrect gateway which we were redirected to; we want to change the route to 9.0.0.8
I found no way to clear this route. What I tried:

root@machine5:~# ip route flush cache ### CACHE FLUSH ###
root@machine5:~# ip route list cache match 1.1.1.1 # empty

root@machine5:~# ip route flush cache ### CACHE FLUSH ###
root@machine5:~# echo 1 > /proc/sys/net/ipv4/route/flush
root@machine5:~# ip route list cache match 1.1.1.1 # empty

root@machine5:~# ip route get 1.1.1.1 # magically re-inserts the route, tcpdump sees NO ICMP traffic
1.1.1.1 via 9.0.0.1 dev eth0  src 5.5.5.5
    cache   ipid 0xfb5d rtt 1475ms rttvar 450ms cwnd 10

I also tried to force a scheduled route flush:

root@machine5:~# echo 1 > /proc/sys/net/ipv4/route/gc_timeout
root@machine5:~# echo 1 > /proc/sys/net/ipv4/route/gc_interval

A reboot fixed it all.

terça-feira, 6 de dezembro de 2016

Artigo - Trend Micro analisa ransomware que paralisou sistema de trens em São Francisco

Versão evoluída do malware HDDCryptor pode ter sido a possível causa do hackeamento de transportes da cidade californiana

shutterstock_319763930_enzozo

Em análise feita pela Trend Micro, existe a possibilidade de que uma versão evoluída do ransomware HDDCryptor, descoberto em agosto deste ano, foi vista “in-the-wild” na semana passada e possa ter gerado o ataque contra a SFMTA.

Neste ataque, assim como constatado pela Trend Micro em outras versões do HDDCryptor, o ransomware usou algumas ferramentas para executar a criptografia total do disco, além da criptografia de compartilhamento de rede mapeado.

É possível que os responsáveis pelas ameaças por trás do ataque não tenham usado exploit kits de maneira automatizada para comprometer e infectar as vítimas de forma instantânea. Ao invés disso, os hackers tentaram primeiramente obter acesso à máquina, muito provavelmente por meio de um ataque mais direcionado ou por um exploit, antes de acionar e executar o ransomware manualmente.

Apesar da Trend Micro não ter obtido informações específicas sobre como isso foi feito em 2 mil máquinas da SFMTA, é muito provável que a execução deste trabalho tenha sido executada em todos os dispositivos que utilizam alguma forma de credencial como administrador.

Quando contatados por nossos pesquisadores, os responsáveis que utilizaram a nova versão do HDDCryptor responderam com uma mensagem semelhante a que foi vista neste artigo online do CSO.


tmicro1
Instruções explicam como obter um Bitcoin (Divulgação)


Como o HDDCryptor evoluiu?


Anteriormente, o HDDCryptor executava sua operação por meio de uma conta de usuário conhecida como “mythbusters”. Pouco depois, observou-se que o ransomware mudou o nome do usuário para “ABCD”, provavelmente para evitar que fossem detectados. Na versão mais recente observada, o HDDCryptor não adicionou um usuário. No entanto, o ransomware criou um diretório “C:\Users\WWW” no qual são feitos colocados os arquivos necessários para executar a criptografia tanto do disco rígido local quanto de quaisquer compartilhamentos de arquivos mapeados.

Depois de tentar criptografar compartilhamentos remotos da rede, o ransomware coloca em prática todas as peças necessárias para a criptografia local e o sistema é reiniciado. A partir daí o HDDCryptor começa a executar os itens que ele precisa.


tmicro2
Print das atividades maliciosas do HDDCryptor após a reinicialização (Divulgação)


Em nenhum dos casos os pesquisadores conseguiram atribuir os executáveis do HDDCryptor a qualquer campanha de phishing ou outros tipos de ataques usados. Aparentemente, os responsáveis têm acesso prévio aos sistemas e executam o malware manualmente.

Qual o Próximo Passo para o HDDCryptor?


Há especulações de que o ataque contra a SFMTA exfiltrou 30 GB de dados e poderão ser divulgados e vendidos na Deep Web. Embora a Trend Micro não possa confirmar que seja este o caso, já era prevista há algum tempo, a evolução do ransomware.

Normalmente, o resgate é exigido para devolver os arquivos originais para o proprietário e fim da história. Em grande escala, é realmente difícil filtrar todos esses dados criptografados e encontrar informações valiosas que poderiam ser vendidas.

Se, no entanto, a vítima for uma organização como a SFMTA, os atacantes imediatamente podem aumentar o resgate e ameaçar divulgar os arquivos como uma extorsão adicional.

Últimas informações


A Trend Micro suspeita que o grupo atacante seja russo ou pelo menos tenha fortes ligações com o país, dado o uso do serviço de e-mail russo Yandex e do software de criptografia DiskCryptor, que, estranhamente, teve seu site removido do ar nos últimos dias. Notícias recentes atrelam o grupo ao Irã, mas mantém a suspeita de alguma ligação com a Rússia, o que pode significar um grupo multi-regional trabalhando junto.

Até o momento não foi encontrada uma maneira de reverter a ação deste ransomware, que utiliza inclusive um software idôneo para criptografar todo o disco rígido das máquinas infectadas. A análise da Trend Micro mostra que a ameaça já se encontra em sua terceira versão e vem evoluindo com o tempo.


fonte: http://securityreport.com.br/overview/mercado/trend-micro-analisa-ransomware-que-paralisou-sistema-de-trens-em-sao-francisco/

sexta-feira, 2 de dezembro de 2016

Segurança - TR069 - as operadoras do Brasil tambem usam esta m....a?

O ataque aos roteadores na Alemanha

De acordo com Pavel Šrámek, analista de malwares da Avast, o problema está na implementação vulnerável de um protocolo de gerenciamento remoto dos equipamentos


shutterstock_283829786_profit_image
Cerca de 900 mil roteadores ficaram fora do ar no domingo (27) e segunda-feira (28) na Alemanha, após hackers os terem atacado com o objetivo de integrá-los a uma botnet. Muitos alemães ficaram sem TV, Telefone e Internet.

“O problema está em uma implementação vulnerável do protocolo de gerenciamento CPE WAN (ou CWMP, também chamado TR-069). Esse protocolo é usado por alguns provedores de internet, como a Deutsche Telekom, para gerenciar remotamente os roteadores de seus clientes quando precisam, por exemplo, ajustar as configurações do DNS (Domain Name Service) ou do Network Time Protocol (NTP). Esse protocolo usa a porta TCP 7547, que é amplamente utilizada para isso em todo o mundo. De fato, com mais de 40 milhões de instâncias abertas, a porta TCP 7547 é a segunda mais aberta em toda a Internet pública, já que a primeira é a porta TCP 80, usada para HTTP.

No entanto, já que que muitos provedores de internet a deixam aberta, ela é livremente acessível e por isso pode ser abusada por parte de atacantes, para hackear roteadores nos quais o serviço CWMP está vulnerável. O que é especialmente desagradável sobre isso é que os invasores podem fechar a porta depois de ter infectado o roteador com malware, para que o provedor de internet não possa mais acessar aquela porta para removê-lo remotamente.

O ataque aproveitou uma falha, recentemente divulgada, no processamento dos endereços de servidores NTP (servidores de horário). Normalmente, o protocolo CWMP permite que o provedor de internet envie o nome de um servidor NTP no qual o roteador poderá obter a hora atual, para configurar o seu relógio. Através dessa vulnerabilidade, é possível que os invasores substituam o nome do servidor NTP por uma série de comandos que são executados pelo roteador – por exemplo, o download e a execução de malware. No entanto, nem todos os roteadores gerenciados pelo CWMP são afetados – estão vulneráveis apenas os que não exigem autenticação para esse pedido. Portanto, os roteadores da Deutsche Telekom foram afetados, enquanto os da Verizon, que exigem uma autenticação, não foram.

Essa vulnerabilidade permite a execução remota de código em muitos outros roteadores e está presente, por exemplo, em roteadores Speedport distribuídos pela Deutsche Telekom. Muitos provedores de internet negligenciaram a atualização de seus dispositivos, deixando um verdadeiro paraíso para os cibercriminosos, já que através dessa vulnerabilidade podem atacar centenas de milhares de dispositivos ao mesmo tempo. Os autores da rede de bots Mirai, que anteriormente infectaram câmeras IP protegidas apenas pelas senhas-padrão, já começaram a abusar desta vulnerabilidade, e é possível que também estejam por trás do ataque aos clientes da Deutsche Telekom.

Muitos clientes da Deutsche Telekom agora sabem que é encrenca ter um roteador inseguro. No entanto, podemos afirmar que isso pode ser apenas o começo do que poderá acontecer no futuro. O próximo passo para os invasores pode ser hackear outros dispositivos domésticos, como câmeras web, TVs inteligentes ou termostatos, uma vez que eles ganham acesso ao roteador.

Como empresa de segurança digital, estamos colaborando com os fabricantes de roteadores para encontrar soluções que os tornarão mais seguros. O software de segurança deve ser implementado diretamente no roteador, que é o ponto central da rede doméstica, conectando todos os dispositivos de uma casa inteligente com a Internet.

fonte: http://securityreport.com.br/overview/mercado/o-ataque-aos-roteadores-na-alemanha/