terça-feira, 12 de junho de 2012

MySQL Authentication Bypass Exploit - WTF...

Foi divulgada recentemente uma falha no MySQL que permite a autenticação de qualquer usuário válido (ou seja, root em 99% das instalações) sem a necessidade de senha, utilizando apenas um simples loop exaustivo de conexões [1]. É quase inacreditável que ainda existam vulnerabilidades como essa em softwares tão usados como o MySQL.

terça-feira, 15 de maio de 2012

Dilbert - Segurança da Informação

Scott Adams sempre abordou, de forma inteligente e engraçada, a segurança da informação no ambiente corporativo através de suas tirinhas. E mesmo após muito tempo, é incrível como diversas delas continuam sendo perfeitamente relevantes. Eis aqui as melhores, na minha opinião:

quarta-feira, 28 de março de 2012

VPN site-to-site utilizando OpenBSD e isakmpd

Devido a surpreendente quantidade de emails que continuo recebendo, mesmo depois de 6 anos, decidi resgatar esse post que fiz no falecido SecForum em 2006.

"Este manual tem o objetivo de demonstrar a criação de uma VPN simples para interligar dois escritórios através da Internet com segurança. Serão utilizados neste procedimento: OpenBSD, isakmpd, openssl e certpatch."

quarta-feira, 7 de dezembro de 2011

Navegando com mais segurança usando Google Docs

Atualmente, o maior desafio da segurança, ao meu ver, é conscientizar o usuário sobre os riscos presentes na Internet. A tarefa é difícil, trabalhosa, as vezes desanimadora, e dificilmente você terá sucesso pleno. Diferente das pessoas que trabalham na área, e sempre desconfiam de tudo presente na Web, os usuários comuns não tem essa preocupação e gostam de clicar compulsivamente.

Com a onda de códigos maliciosos embutidos em documentos Word/Excel/Powerpoint e PDFs, ficou ainda mais dificil evitar a contaminação dos usuários, pois grande parte deles não enxerga esses programas e seus respectivos arquivos como uma ameaça, e abrem qualquer documento anexado em seu email.

Levando em consideração que a grande maioria dos desktops não possuem versões de Office nem Adobe Reader (leitor de PDF mais usado) atualizadas, a taxa de contaminação é altíssima. Mesmo aqueles que mantêm todos os softwares atualizados, inclusive assinaturas dos antivirus, não estão totalmente protegidos, principalmente para novas falhas de segurança, já que os antivirus trabalham reativamente.

terça-feira, 1 de novembro de 2011

Splunk com autenticação Apache + SSL

Seguindo a linha do último artigo, outra peça importante em qualquer ambiente é um centralizador de logs, principalmente para auditoria e rastreamento de usuários.

Uma excelente opção é o Splunk. Na sua versão free, é possível indexar 500MB de logs diários, o que é bastante pra qualquer ambiente. Apesar desta limitação, essa quantidade de dados é suficiente para atender grande parte dos ambientes que conheço. 

Como medida de comparação, já vi ambientes com mais de 1000 servidores utilizando essa versão gratuita do Splunk para registrar apenas a autenticação de usuários nos servidores (AUTHPRIV do syslog), não atingindo nem 10% da sua capacidade diária.

Porém, na minha visão, a grande limitação desta versão gratuita é a falta de autenticação no acesso à sua console de gerenciamento e busca. Como não existe autenticação, qualquer usuário que conheça a URL de acesso poderá manipular os logs já coletados, inclusive apagar completamente o que já foi indexado.

A solução que encontrei para contornar essa situação foi incluir uma autenticação do Apache com SSL na frente do Splunk através de um proxy, junto com algumas configurações adicionais no próprio Splunk.

quinta-feira, 27 de outubro de 2011

Geração de chave e certificado para Apache SSL

Como muitos dos meus artigos citarão a necessidade de um Apache com SSL, resolvi escrever uma dica de como gerar tanto a chave como o certificado rapidamente no Linux. Com exceção da instalação do mod_ssl, específica aqui para CentOS/RedHat e Fedora, todos esses comandos podem ser utilizados em qualquer sistema que tenha OpenSSL com Apache.

segunda-feira, 17 de outubro de 2011

HomeMade Patch Management System - Parte 1

Com a facilidade da virtualização, percebi que possuia inúmeros sistemas desatualizados em casa e como não era trivial saber o que realmente precisava ser atualizado. Independente da criticidade dos mesmos, como em qualquer outro ambiente, vi que finalmente era hora de ter um controle efetivo das atualizações de segurança pendentes.

Após algumas pesquisas, não consegui achar um software que atendesse as minhas necessidades de automatizar e consolidar esse processo. Foi então que resolvi integrar algumas tecnologias que conheço para resolver o meu problema e criar um HomeMade Patch Management System utilizando:
  • LAMP (Linux, Apache, MySQL, PHP)
  • Nessus
  • Perl