Dicas

Visite a página da inoviT Consultoria e Soluções em TI - www.inoviT.com.br

Remote Desktop Protocol (RDP) com conexão segura, usando TLS / SSL.

Acesse as máquinas de sua empresa de qualquer lugar de forma simplres e segural

Previna-se contra a Injeção SQL

Segurança na Web: Recomendações no Gerenciamento

Retirando vírus

Teste a eficiência do seu anti-vírus

Dicas de boa senha

Como melhorar a segurança do ssh

Dicas de segurança para redes Wireless

Evitando acesso anônimo

Interpretando nome de vírus

Controle Remoto com acesso via NAT

Regras Básica e indispensáveis

Como saber se um site é confiável

Compartilhamento, use o windows com mais segurança

Evitando golpes online

Evite vírus em sete passos

 

Remote Desktop Protocol (RDP) com conexão segura, usando TLS / SSL

Uma grande novidade da Microsoft com o Service Pack 1 do Windows 2003, foi a possibilidade de criptografar a conexão via RDP (Remoto Desktop Protocol).

Veja 2 boas matérias sobre o assunto:

oxid

WindowsSecutiry

 

Acesse as máquinas de sua empresa de qualquer lugar de forma simplres e segura

Já postei uma matéria onde ensino como preparar um ambiente empresarial para que possa ser realizado conexões remotas através do mundo externo de qualquer lugar, muitas vezes mesmo fazendo toda essa mudança nas configurações do seu firewall interno, não é possível conectar nas máquinas da sua rede, isso simplesmente porque do outro lado existe um outro firewall que bloqueia a saída/entrada de certas portas, sendo assim, você não irá conseguir conectar na tão deseja máquina dentro da empresa onde trabalha para poder efetuar o suporte. Sendo assim, vem aqui uma BAITA sugestão para você não mais precisar ter dor de cabeça quando precisar se ausentar da empresa e precisar conectar em servidores e estações para poder fazer algum tipo de manutenção.

A solução é através do site www.logmein.com , existe uma versão Free (gratuita) onde só é possível conectar-se nas máquinas onde o cliente foi instalado, e existe a versão Paga onde é possível também fazer copia de arquivos por exemplo.

Como funciona:

1. Você acessa o site : www.logmein.com e cria uma conta para você

2. Vai até a máquina onde deseja instalar o cliente e acessa o site com sua conta, dai, é só clicar em add computer que o sistema irá instalar um cliente e add aquela máquina dentro da área de computadores dentro do www.logmein.com

2. Agora, de qualquer lugar que estiver você poderá acessar as máquinas que você instalou o seu cliente logmein.

-- O site utiliza conexão criptografada via ssl, com isso, os dados são seguros.

Boa sorte!

 

 

Renato Junior

www.rjunior.com.br

Previna-se contra a Injeção SQL

A SQL - Structured Query Language - é largamente usada para interagir com banco de dados relacionais. Se você considerar que 90% das aplicações utilizam banco de dados com suporte a SQL vai concluir que o uso da SQL é quase uma unanimidade por ser prática , fácil e portátil.

Em se falando de aplicações Web temos uma grande utilização de banco de dados para armazenar as mais diversas informações :  endereços e documentos pessoais , contas e valores financeiros , números de cartões de crédito , dados empresariais , etc.

Ao colocar sua aplicação na Web você a esta expondo a um acesso mais amplo e indiscriminado. Afinal qualquer um que tenha acesso a url do site terá acesso a sua aplicação e aos dados que ela disponibiliza. Pensando na segurança de suas informações as  empresas investem pesado em firewalls , certificação digital e outros recursos , com o objetivo de se proteger de invasores.

Para que o controlar o acesso as informações normalmente restringe-se o acesso aos usuários cadastrados usando um nome e senha para identificação ; estes dados são colhidos através de um formulário de login e são então verificados com as informações armazenadas em um banco de dados dos usuários cadastrados; se estiverem corretas  o acesso é permitido caso contrário o acesso é negado.

É assim que funciona o home banking na internet e uma infinidade de outras aplicações web na qual o acesso é restrito.

Você pode ter o aparato mais moderno em termos de tecnologia de segurança protegendo o seu site de um ataque hacker e nem se dar conta de que a vulnerabilidade da sua aplicação esta ali naquele formulário de login. Ele pode ser a porta de entrada para ataques maliciosos através da injeção de SQL.

A injeção SQL ocorre quando um invasor consegue inserir comandos SQL na instrução SQL que você usa no seu script de modo a burlar a restrição e ter acesso ou danificar as informações armazenadas no seu banco de dados.

Neste artigo eu vou mostrar como a injeção de SQL ocorre e falar sobre algumas das medidas que você pode tomar para evitá-la. Embora as informações sejam focadas em páginas ASP e banco de dados SQL Server /Access elas se aplicam a qualquer script e banco de dados que usam um dialeto SQL.

Como ocorre a injeção SQL

Abaixo temos um típico formulário de login :

image form name="frmLogin" action="login.asp" method="post">
   Nome : <input type="text" name="nomeUsuario">
   Senha: <input type="text" name="senhaUsuario">
   <input type="Enviar">
</form>

Geralmente quando o usuário clicar no botão - Enviar - o script login.asp será executado para efetuar a validação dos dados informados. Abaixo temos um script típico para um arquivo de validação de informações:

<%

dim nomeUsuario, senhaUsuario, consulta
dim conn, rS

nomeUsuario = Request.Form("nomeUsuario")
senhaUsuario = Request.Form("senhaUsuario")

set conn = server.createObject("ADODB.Connection")
set rs = server.createObject("ADODB.Recordset")

consulta = "select count(*) from usuarios where nomeUsuario='" & nomeUsuario & "' and senhaUsuario='" & senhaUsuario & "'"

conn.Open "Provider=SQLOLEDB; Data Source=(local);  
Initial Catalog=myDB; User Id=sa; senhaUsuario="

rs.activeConnection = conn
rs.open consulta

if not rs.eof then
    response.write "Acesso Concedido"
else
    response.write "Acesso Negado"
end if

%>

Vamos analisar o que ocorre quando um usuário tenta se autenticar. Vamos supor que ele é usuário cadastrado com nome Macoratti e senha 123456 (só suposição). Ao informar o nome e a senha e clicar no botão Enviar o script do arquivo login.asp será executado. Vamos ver como ficou a instrução SQL montada neste caso :

select count(*) from usuarios where nomeUsuario='macoratti' and senhaUsuario='123456'

Neste caso o usuário macoratti, senha 123456 será autenticado e terá acesso ao sistema. Tubo bem ?

Não ,  se você usa este tipo de instrução SQL nada esta bem  pois o texto final da consulta SQL depende inteiramente do conteúdo das variáveis , e ,  se o conteúdo destas variáveis não for validado e tratado o texto final concatenado poderá ser um SQL adulterado através de uma injeção SQL.

Quer ver ? Vou começar pegando leve. Vamos supor que um hacker decidiu invadir sua página. Uma das primeiras coisas que ele pode fazer é tentar uma injeção SQL , e,  vai começar verificando se você esta tratando o apóstrofe (aspa simples: '). Se você não sabe a presença de um caractere de apóstrofe (') no conteúdo de uma variável concatenada no SQL é usada para delimitar strings de texto. Então suponha que ele digite os seguintes dados nos campos nome e senha:

nome = tes'te
senha =

Se você não tratar o apóstrofe vai ocorrer um erro de SQL (incorrect Sintax) ,e , vendo isto o hacker vai ficar mais animado...

Agora vou pegar pesado. Suponha então que a seguir ele digite os seguintes dados

nome = ' ; drop table users--
senha =

Este comando irá excluir a tabela users (se ela existir). E se você pensa que é muito difícil o hacker adivinhar o nome da sua tabela vou mostrar mais abaixo que ele pode fazer isto de uma maneira simples. Isto é possível pois o caractere (;) indica o fim de uma consulta e o começo de outra em T-SQL , e , o caractere (--) no final da linha faz com que o scrpt ASP  seja executada sem erro.

Continuando o ataque , ele pode também informar o seguinte :

nome = admin
senha = ' or 1=1--

veja como vai ficar a consulta SQL montada:

select count(*) from usuarios where nomeUsuario='admin' and senhaUsuario='' or 1=1--'

Aqui a consulta irá verificar se o nome do usuário é admin e se senha é vazio ou 1 for igual a 1 ( o que é verdade) ; bingo, se existir um usuário admin ele entrou no seu sistema.

Ele pode também tentar o seguinte :

nome = ' or 1=1--
senha =

a consulta SQL montada será :

select count(*) from usuarios where nomeUsuario='' or 1=1 --' and senhaUsuario=''

e bingo , ele burlou o seu sistema.

O hacker pode também tentar o seguinte :

nome = ' OR "='
senha = ' OR "='

e a consulta SQL montada será :

select count(*) from usuarios where nomeUsuario='' OR "=" AND senhaUsuario='' OR "="

a consulta agora esta fazendo a comparação : OR "="  que é sempre verdadeira. Bingo ele entrou no seu site.

Para saber o nome das tabelas e campos o hacker pode fazer o seguinte :

nome = '  having 1=1--
senha =

isto pode causar o seguinte erro:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft] [ODBC SQL Server Driver] [SQL Server] Column 'usuarios.codigo' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.

/login.asp , line 28

e bingo , o hacker agora sabe que o nome da tabela é usuarios e o nome do campo relacionado no formulário como nome é codigo.

E então , o que você acha que ele vai fazer ?  Fazer a mesma coisa para o campo senha e então ele vai saber o nome da tabela e dos campos relacionados ao formulário. Imagine o estrago que ele não será capaz de fazer agora...

Pensa que ele pode ficar somente nisto. Já conhecendo o nome da tabela e das colunas se o hacker quiser saber o tipo de dados do campo ele pode fazer o seguinte :

nome = '  UNION SELECT SUM(nomeUsuario) FROM usuarios--
senha =

como o SQL Server vai tentar aplicar a cláusula SUM antes de determinar se o número dos campos nas duas colunas é igual. Ao tentar fazer um SUM em um campo texto o sistema pode emitir a seguinte mensagem de erro:

Microsoft OLE DB Provider for ODBC Drivers error '80040e7'

[Microsoft] [ODBC SQL Server Driver] [SQL Server] The Sum or average aggregate operation cannot take a varchar data type as na argument.

/login.asp , line 109

e bingo de novo , ele agora sabe o tipo de dado do campo nomeUsuario.

Agora sabe o que ele vai fazer ? Vai inserir um usuário com nome senha para se logar ,  assim :

nome = '  ; INSERT INTO usuarios VALUES('hacker','111111')--
senha =

e bingo , ele vai se logar como hacker e senha 111111.

Acho que com estes exemplos já deu para você perceber que você tem que cuidar com muito mais cuidado das suas instruções SQL .Tenha certeza de uma coisa : as possibilidades do hacker são muitas.

Como evitar uma ataque de injeção SQL

A seguir algumas orientações de como você pode evitar um ataque de injeção SQL :

1- Estabeleça uma política de segurança rígida e criteriosa limitando o acesso dos seus usuários. Isto quer dizer que você deve dar somente os poderes necessários aos seus usuários. Não de acesso de escrita a tabelas e dê somente acesso as tabelas que o usuário vai precisar.

2- Faça a validação da entrada de dados no formulário e não permita os caracteres inválidos como : (') , (--) e (;)  nem de palavras maliciosas como insert , drop , delete, xp_ . Abaixo algumas funções que você pode usar:

- Substituindo o apóstrofe(') pelo duplo apóstrofe ('')

<%

Function ExpurgaApostrofe(texto)
    ExpurgaApostrofe = replace( texto , "'" , "''")
End function

%>

- Substituindo os caracteres e palavras maliciosas por vazio("").

<%
Function LimpaLixo( input )

    dim lixo
    dim textoOK

    lixo = array ( "select" , "drop" ,  ";" , "--" , "insert" , "delete" ,  "xp_")

    textoOK = input

     for i = 0 to uBound(lixo)
          textoOK = replace( textoOK ,  lixo(i) , "")
     next

     LimpaLixo = textoOK

end Function
%>

- Rejeitando os dados maliciosos:

<%
Function ValidaDados( input )

      lixo = array ( "select" , "insert" , "update" , "delete" , "drop" , "--" , "'")

      ValidaDados = true

      for i = lBound (lixo) to ubound(llixo)
            if ( instr(1 ,  input , lixo(i) , vbtextcompare ) <> 0 ) then
                  ValidaDados = False
                  exit function}
            end if
      next
end function
%>

3- Limite a entrada de texto para o usuário no formulário de entrada de dados. Se o campo nome deve ter somente 10 caracteres restrinja a isto a entrada de dados no formulário. O mesmo vale para a senha.

4- Faça o tratamento adequado de erros não permitindo que mensagens de erros exponham informações sobre a estrutura dos seus dados.

5- Faça um log para auditoria dos erros ocorridos e das operações mais importantes da aplicação.

Segurança é coisa séria e vale a pena tomar todas as precauções a nosso alcance para preservar nossos dados e nossos empregos..... Até breve...

 

 

topo

Fonte : http://www.superasp.com.br

 

 

Segurança na Web: Recomendações no Gerenciamento

Segurança na Web: Recomendações no Gerenciamento

A Web é um serviço importante que tem se tornado alvo de constantes ataques de hackers que procuram muitas vezes denegrir a integridade das organizações ou até mesmo desviar acessos por razões diversas. Este artigo descreve algumas recomendações de segurança que devem ser consideradas para seu servidor Web.

Atenção a algumas recomendações protege seu servidor Web da maioria dos comprometimentos de segurança que se enfrenta atualmente. Podem ocorrer desde ataques de negação de serviços (denial-of-service), substituição do conteúdo das páginas de seu site, ou a remoção de arquivos, até a implantação de software maliciosos em seu servidor. Descrevemos neste artigo algumas práticas, informadas no boletim J-042 do CIAC (Computer Incident Advisory Capability, USA Department of Energy).

Recomendações

1. Coloque seu servidor Web em uma DMZ (De-Militarized Zone).

Isto significa, instale um firewall em sua rede, de forma que se tenha um nível a mais de proteção na rede interna. Na DMZ, conhecida também como rede de perímetro, normalmente residem máquinas que provêem serviços ao público externo (eg, a Internet), como: Servidores Web, DNS, bastion host, etc. A figura abaixo apresenta uma arquitetura de firewall que ilustra melhor este caso.
firewall

* Firewall

Um componente ou um conjunto de componentes que permitem restringir acesso entre uma rede protegida e a Internet, ou entre conjuntos de redes.

* Rede de Perímetro (DMZ - De-Militarized Zone)

É uma rede posicionada entre uma rede protegida (rede interna) e uma rede externa, afim de proporcionar um nível adicional de segurança a seus sistemas internos e usuários.

* Bastion host

Máquina de acesso externo, normalmente com poucos serviços de rede configurados. Permite acesso remoto via conexão segura, por exemplo "SSH".

2. Remova os serviços desnecessários da máquina do servidor Web.

Minimizando serviços para minimizar riscos. Esta é uma boa estratégia para começar minimizar ameaças a servidores Web. Ao reduzir o número de serviços providos em uma máquina servidora de WWW, indiretamente se está reduzindo possíveis ameaças que estes serviços possam carregar. Vários serviços não necessitam ser executados em uma máquina servidora de WWW. Recomenda-se a remoção de serviços, como: DNS, Mail (SMTP), Finger, Telnet, comandos "r" do Unix (rlogin, rsh, rcp), FTP, etc. Um serviço desnecessário pode tornar-se uma "avenida" de ataques.

3. Não permita administração remota, a menos que seja feita utilizando one-time password ou via uma conexão segura (link com criptografia).

4. Limite o número de pessoas que possuem acesso de administrador ("root"/"administrator") de seu servidor Web.

5. Log todas as atividades do usuário e mantenha-as criptografadas em seu servidor ou em outra máquina de sua rede interna/intranet.

6. Monitore os logs do sistema regularmente.

Instale algumas "armadilhas" que possam capturar ataques ao servidor (tal como: ataque PHF). Crie macros que são executadas de hora em hora que checam a integridade de senhas e outros arquivos críticos. Quando são encontradas alterações nestes arquivos um e-mail é enviado para o administrador de sistemas.
7. Remova todos os arquivos desnecessários tais como phf do diretório de scripts /cgi-bin

8. Remova a árvore de documento default que é distribuída pelos servidores Web

9. Aplique todos os patches de segurança relevantes sempre que são anunciados

10. Evite o uso de gerenciador de janelas no servidor.

Se você tem que utilizar um ambiente de janelas no console da máquina servidora Web, remova os comandos que iniciam automaticamente o gerenciador de janelas, inicialize-o via linha de comandos. Utilize gerenciadores de janelas somente quando necessário. Não deixe um ambiente de janelas rodando por um período longo.
11. Se a máquina precisa ser administrada remotamente, estabeleça sempre conexões seguras, via SSH (Secure Shell) por exemplo. Não permita conexões "telnet" ou ftp não-anônimo de máquinas não confiáveis. Um boa política seria limitar estas conexões a um número mínimo de máquinas seguras e que estejam dentro de sua intranet.

12. Faça o seu servidor Web "enxergar" somente parte da árvore de diretórios de seu sistema. NÃO permita, de forma alguma, acesso a arquivos de seu sistema. Restrinja o seu web space.

13. Faça o seu servidor anônimo de FTP ter acesso a uma árvore de diretórios diferente da árvore de seu servidor Web.

14. Faça suas atualizações (de páginas) em sua Intranet. Depois atualize o seu servidor Web público via uma conexão SSL. Se você faz esta operação automaticamente de hora em hora, vai evitar ter um servidor corrompido exposto por um período maior.

15. Verifique/analise seu servidor Web periodicamente com ferramentas como ISS e nmap em busca de vulnerabilidades.

16. Tenha software de detecção de intrusão que possa monitorar as conexões para o servidor. Instale/implemente mecanismos que possam detectar exploits conhecidos e atividades suspeitas e que possam capturar estas sessões para uma análise posterior. Estas informações podem ajudá-lo a se recuperar de uma invasão e melhorar suas defesas.

17. Não execute o servidor Web como "root".

Falhas em scripts CGI podem ser extremamente danosas para seu sistema. Recomenda-se a criação de um usuário/grupo específico sob o qual o servidor Web estará sendo executado. Não execute o servidor Web como usuário "nobody", pois outras aplicações sendo executadas como "nobody" passam a ter acesso a operação/dados do servidor Web.

topo

Fonte : http://www.revista.unicamp.br

 

Retirando Vírus

.:. Retire vírus perigosos
Utilize uma feramenta que retira virus, trojans e variantes.

.:. Veja como tirar todos os seus virus, aqui

.:. Lista dos últimos vírus encontrados
www.symantec.com.br

.:. Teste se o seu micro tem Vírus (e retire)
Para um rastreamento rápido e gratuito

.:. O Panda também tem um Teste on-line
Verifique a situação do seu micro com esse novo teste automático.

.:. Avaliação de Antivírus: pela TopTen

.:. Ferramenta de Remoção de Software Mal-Intencionado: Microsoft

Retire o vírus que vem com a Baratinha no MSN
Preparamos um pequeno passo a passo para você retirar esse vírus (keylogger) com rapidez.

 

topo

Fonte : http://www.invasao.com.br

 

 

Teste a eficiência do seu anti-vírus

Que tal testar as defesas de seu sistema? Existem diversas maneiras de se fazer isso e as que indico aqui são as mais simples e gratuitas, direcionadas a usuários básicos.

Antivírus

Quer testar a eficácia de seu software antivírus? Fácil...

Para isso o Instituto Europeu para Pesquisa de Antivírus de Computador - EICAR desenvolveu um pequeno arquivo cuja execução simula uma contaminação por vírus isso porque esse arquivo tem sua assinatura listada junto com as assinaturas de vírus conhecidos nos softwares antivírus, sendo assim o antivírus deve acha-lo e acusa-lo como “EICAR-STANDARD-ANTIVIRUS-TEST-FILE!”. Não existe nenhum perigo, nenhum vírus, é apenas um teste...

Basta copiar X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* (Atenção: O não é zero , é O de Ovo! Todos os caracteres são em maiúsculas e não existem espaçosentre eles). Basta salvar esse texto em um arquivo com a extensão .com, chame-o como quiser e salve-o onde preferir. Como salvar como .com? Copie e cole ou digite se preferir (eu usei o Bloco de Notas - Notepad) o texto exatamente como está e salve-o como teste.com.txt (o nome tanto faz...), depois disso renomeie-o para teste.com (botão direito>renomar) e execute-o (clicar 2x). Dependendo do antivírus o arquivo pode ser detectado simplesmente ao copiar o texto, ao salvar o arquivo; ao executa-lo ou mesmo não ser acusado e isso depende do antivírus usado e sua configuração. Mais detalhes no site da EICAR http://www.eicar.org (em inglês).

-- Caso não consiga com o procedimento acime baixe o arquivo em http://www.eicar.org/anti_virus_test_file.htm

 

topo

Fonte : http://www.winxptutoriais.com

Dicas de uma boa senha

Para garantir a segurança de sua senha, siga estas diretrizes para criar uma senha exclusiva:

- Seja criativo. Não utilize palavras que possam ser encontradas em um dicionário.
- Utilize, no mínimo, seis caracteres.
- Não use uma senha que você já tenha utilizado em algum outro lugar.
- Não utilize padrões do teclado (asdf) ou números seqüenciais (1234).
- Crie um acrônimo. Não utilize um acrônimo comum, como NASA ou SCUBA.
Não use apenas um acrônimo, combine-o com números e sinais de pontuação.
- Inclua sinais de pontuação. Misture letras maiúsculas e minúsculas.
- Inclua números.
- Inclua substituições semelhantes, como a letra 'O' pelo número zero ou a letra 'S' pelo sinal $.
- Inclua substituições fonéticas, como 'Kd' para 'Cadê'.
- Não crie uma senha apenas com números ou com todas as letras maiúsculas ou minúsculas.
- Encontre maneiras de reunir letras e números aleatórios, abrindo livros, olhando placas de automóveis ou tirando a terceira letra das dez primeiras palavras que você encontrar.
- Não utilize caracteres repetidos (aa11).
- Não utilize uma senha que seja exemplo de como escolher uma boa senha.

 

topo

Fonte : Desconhecida

Como melhorar a segurança do ssh

Colaboração: Ederson L. Corrêa

Sabemos que o ssh é uma forma de acesso remoto razoalvelmente segura, bem mais segura que nosso velho conhecido telnet.

Entretanto, na net encontram-se disponiveis diversos scripts de "brute force" para tentar se obter acesso pelo ssh, e como não faltam idiotas metidos a crackers para tentarem essas coisas, sempre é bom se cercar de todo o uidado.

Aqui listarei algumas sugestões coletadas de várias fontes (agradecimentos especiais ao Alejandro Flores, que me deu boas idéias), que ajudam a aumentarmos nossa segurança.

1. Use senhas fortes: Não use senhas fáceis, muito menos pequenas, de preferência assimétricas e sem padrão (nada de"letra numero letra numero ..." ou "numero letra numero letra ...") e faça bom uso dos caracteres como @,#,$,&, ...;

2. Mude a porta do ssh: Só com isso minimizamos problemas com um ataque automatizado, ou ataques de script kiddies que não sabem mudar a porta do ssh no exploit que baixaram da internet. Isso
pode ser feito através da opção 'Port' do /etc/ssh/sshd_config.

3. Bloqueie o acesso como usuário root: Assim, evita-se problemas de alguém conseguir quebrar a senha do root e já acessar com plenos poderes. Com isso, o 'atacante' teria que descobrir o login e password de um usuário e depois a senha do root. Isso pode ser feito adicionando 'PermitRootLogin no' no /etc/ssh/sshd_config.

4. Certifique-se de o sshd estar rodando com separação de privilegios: Dessa forma, o sshd cria um processo não
privilegiado para tratar as conexões iniciais. Após sucesso na autenticação, cria um outro processo que tem os provilegios necessários. Isso é default no ssh, mas devemos garantir que NÃO exista uma linha com 'UsePrivilegeSeparation no' no /etc/ssh/sshd_config.

5. Permita acesso a apenas um usuário: Issoé possivel através da opção 'AllowUsers' do /etc/ssh/sshd_config. Bastaria acrescentar uma linha com 'AllowUsers nome_do_usuario_autorizado_a_logar_via_ssh'.

6. Crie um usário com o máximo de restrições possiveis e que você só use para o shh: Exemplos de restrições:

- Não o inclua em nenhum outro grupo além do users;
- Edite o /etc/ftpusers e acrescente o nome desse usuário. Assim bloqueamos o acesso dele ao ftp.
- Evite que ele possa se tornar root (adicione uma linha com 'root:nome_usuario_do_ssh:DENY' no /etc/suauth). Assim, vc deverá se tornar outro usuário e ai sim se tornar root. Exemplo, suponhamos que 'teste' seja o usuario criado para o acesso por ssh, e que 'elcorrea' seja um outro usuário cadastrado na máquina, assim para se tornar root estando logado com teste teriamos que fazer:

$ (aqui somos teste)
$ su - elcorrea (aqui nos logamos como usuario elcorrea)
Password: (password do elcorrea)
$ (agora somos elcorrea)
$ su - (aqui nos tornamos root)
Password: (password do root)
# (agora somos root)

Assim, vemos que alguém teria que descobrir dois nomes de usuário e três senhas para conseguir se tornar root.

- Utilize algum programa pós-login para efetuar um 'challenge' para certificar de que você é você mesmo. Essa foi uma grande idéia do Alejandro. O que ele quis dizer é para criarmos um programa ou script que faz uma pergunta, a qual pode ser um gerador de caracteres baseado na hora ou uma simples pergunta de carater pessoal, que só você saberia responder. E caso o usuário erre ou tente fechar o programa/script (ctrl+c) a sessão é fechada. Um exmeplo bem simplista seria:

- Crie (ou edite acrescentando no inicio) um .bash_profile para o usuário do ssh com o seguinte conteudo:

trap '' SIGINT SIGTERM
./eu.sh
if [ -e sou_eu.txt ]; then
echo "Acesso Autorizado"
rm -f sou_eu.txt
else
echo "Acesso Negado"
logout
fi
trap SIGINT SIGTERM

- Crie um arquivo chamado eu.sh no home do usuário do ssh, com:

#!/bin/bash
echo "Qual a senha do seu cartao?"
read resp
if [ "$resp" == "123456" ]; then
touch sou_eu.txt
fi

E não se esqueça de torna-lo executavel: chmod +x eu.sh

7. Se possivel, limite os endereços IPs que podem acessar a maquina por ssh: Caso você sempre acesse a máquina através de um número limitado de maquinas, ou então somente internamente a rede, você pode limitar o acesso ao ssh a somente essas maquinas.

Isso pode ser feito de diversas formas, com regras no iptables, através da dupla /etc/hosts.allow e /etc/hosts.deny, e, o que eu acho mais fácil, através da opção AllowUsers na forma user em host.

Assim, suponhamos que eu sempre acesso a maquina remoatamente através de uma máquina de IP 10.0.0.5 e que eu criei o usuário 'teste' para acesso por ssh, assim eu acrescentaria uma linha com 'AllowUsers teste em 10.0.0.5' no /etc/ssh/sshd_config, e limitaria o acesso a apenas esse usuário e de apenas essa maquina.

Se você não pode limitar os endereços, por qualquer razão, é bom utilizar um script que detecte uma tentaiva de acesso por brute force e que bloqueie o IP do atacante. Veja também um script desse tipo (http://www.vivaolinux.com.br/scripts/verFonte.php?codigo=656&arquivo=dtct), criado pelo Mastah listado abaixo:

#!/bin/bash
# Shellscript criado para bloquear os corriqueiros bruteforce probes
# feitos para a porta do ssh. Pega as ultimas 20 tentativas ilegais na porta do ssh.
# Verifica se voce já bloqueou o mané e se voce quer adicionar na regra do iptables.
# Caso queira usar no crontab, é so mudar o valor da var $MODE pra "AUTO"...
# Abracos, Mastah

MODE="AUTO"
#MODE="MANUAL"

if [ -f /var/log/messages ] ; then
ips=$(cat -n /var/log/messages | tail -n 20 | grep -i Illegal | grep -i sshd | awk -F" " {'print $11'})
attempts=1
for ip in $ips ; do
lastip=$ip
if [ "$lastip" == "$ip" ] ; then
attempts=$(expr $attempts + 1)
if [ $attempts -ge 5 ] ; then
echo "Brute force SSHD attack detected from $ip"
attempts=1
lastip=""
blocked=$(iptables -L INPUT | grep -i $ip | grep -i DROP)
if [ "$blocked" ] ; then
echo "Ip Already Blocked. Continuing with scan"
echo " "
else
if [ $MODE == "MANUAL" ] ; then
echo "Do You Want to add this IP to INPUT DROP in IPTABLES rules? (y/n)"
read resp
if [ "$resp" == "y" ] ; then
iptables -A INPUT -s $ip -j DROP
echo "IP $ip ADDED TO IPTABLES INPUT DROP ruleset"
echo " "
fi
else
iptables -A INPUT -s $ip -j DROP
echo "IP $ip ADDED TO IPTABLES INPUT DROP ruleset"
echo " "
fi
fi
fi
fi
done
fi

Assim, utilizando apenas algumas dessas dicas já aumentamos enormemente a nossa segurança.

Caso não tenha ficado claro, todas as alterações mencionados aqui devem ser feitas na maquina que será acessada remotamente.

Referências

- Configurações para o SU - by Piter Punk (http://www.openslack.org/~piterpk/artigos/suauth.html)
- Segurança da rede e Controle de acesso - by Guia Foca Gnu/Linux (http://focalinux.cipsga.org.br/guia/avancado/ch-rede.htm#s-rede-seg-tcpd)
- man sshd_config
- man sshd
- man hosts_access

 

topo

Fonte : Dicas-L

 

Dicas de segurança para redes Wireless

Segurança em redes wireless ainda é um assunto tratado de forma muito delicada, tanto pelos que são usuários da tecnologia, quanto pelos os fabricantes de equipamentos. Segurança, apesar de ser um item fundamental em qualquer projeto de rede, ainda é tratada com certo descaso por aqueles que estão montando uma pequena rede. Apesar dos recursos de segurança atuais não serem 100% invioláveis, é sempre bom garantir, ao máximo, que seu ambiente e possíveis dados estejam bem guardados.

A segurança é o calcanhar de Aquiles das tecnologias wireless atuais, principalmente o Wi-Fi. Se já era difícil garantir e proteger redes convencionais, imagine conseguir essa façanha com informações voando pelo ar, de um lado para outro. Por ainda não ser uma tecnologia 100% segura, todas medidas de segurança adicionais, mesmo que simples, são bem-vindas.

Qualquer pessoa, sem muito conhecimento avançado sobre o assunto, pode adotar medidas básicas para melhorar a segurança de uma rede wireless, o que muitas vezes acaba não acontecendo, criando assim, um verdadeiro paraíso para curiosos e intrusos, muitas vezes conhecidos como hackers.

Para dificultar ao máximo invasões indesejadas em sua rede particular e manter vizinhos bisbilhoteiros longe dos seus arquivos, você pode tomar algumas precauções que veremos a seguir.

1) Habilite e configure a encriptação de dados.
Utilizar a encriptação de dados é a melhor coisa que você pode fazer para começar a melhorar sua segurança. O método de encriptação mais comum é o WEP (wired equivalent privacy), que lhe permite criar chaves de 64, 128 ou 265 bits. Outros métodos, como o WPA (Wi-Fi Protected Access), também podem ser utilizados, sempre levando em consideração que a encriptação, apesar de ser um item fundamental, não é a garantia de uma rede impenetrável. O novo protocolo Wi-Fi 802.11i especificado pelo IEEE há pouco tempo , além das chaves convencionais, também traz o sistema AES (Advanced Encryption Standard) que demonstra ser um grande avanço no que diz respeito ao Wi-Fi e seu futuro. Sem dúvidas, uma rede com dados encriptados, provavelmente espantará 99% dos curiosos de plantão, já que a quebra de chaves de 256 bits ainda não é uma tarefa para qualquer um.

2) Defina um SSID.
SSID (service set identifier) é o nome do seu ponto de acesso, que equipamentos visitantes precisam saber para conectar-se a ele. Pontos de acesso costumam vir com SSIDs padrão de fábrica: nomes como Linksys, Default, 3Com, são alguns dessa longa lista. Um SSID padrão como esses pode ser uma informação bastante útil para quem está tentando invadir uma rede wireless, afinal, sabendo qual a marca e modelo de determinado aparelho, fica fácil arriscar e tentar encontrar o endereço IP, usuário e senha do mesmo. Um SSID padrão geralmente significa que a rede foi configurada por alguém com muita pressa e/ou pouco conhecimento.

3) Mude a senha de administrador do seu hotspot.
Uma vez com o SSID padrão em mãos, é muito simples chegar ao endereço IP, pelo qual é possível ter acesso ao módulo de administrador do aparelho. Cada fabricante tem um padrão de endereço IP que é configurado de fábrica, ou quando é dado reset no aparelho, por isso é importante habilitar a senha do módulo administrador do seu ponto de acesso. Com a senha habilitada, mesmo que o invasor consiga o número IP do seu ponto, ele não terá como ir adiante e entrar no módulo de administração, conseguindo informações valiosas para quem está atacando.

4) Use filtros MAC
Se possível, defina no hotspot quais são os endereços MAC das máquinas autorizadas a se conectar(muitos equipamentos permitem isso). Também limite o número de endereços IPs fornecidos pelo servidor DHCP do seu ponto.

5) Desligue o broadcast do SSID.
O envio do nome SSID pelo sinal é bastante útil nos casos onde o acesso do ponto é aberto ao público, pois quem se conecta precisa saber o nome do SSID para efetuar a conexão. Em redes sem visitantes (apenas computadores que raramente mudam) é possível desligar o envio do SSID pelo sinal, informando manualmente esse nome aos dispositivos autorizados a conectar-se ao ponto. Dessa forma, um estranho pode até saber que a sua rede está ali, mas terá isso como um desafio a mais na hora de invadir o seu ambiente. Caso a sua opção de broadcast de SSID esteja habilitada, o ideal então é mudar o nome padrão para algum outro.

6) Regule a intensidade do sinal.
Este, talvez, seja o ponto onde a maioria acaba por pecar ao instalar uma rede sem fio. A maior parte dos aparelhos permite que você configure a força do sinal, reduzindo ao máximo os sinais que ultrapassam os limites físicos de seu ambiente, impedindo que ele chegue ao alcance do vizinho curioso. O ideal é ir abaixando o sinal aos poucos e testando nos vários pontos da casa ou ambiente. Assim, você dificulta ao máximo uma invasão via rádio, já que a grande maioria dos curiosos de plantão não vai estar equipada com antenas direcionais de alto ganho.

7) Instale uma firewall.
Todos os pontos acima estão relacionados aos estágios a serem vencidos antes do invasor alcançar o seu computador. A instalação de uma firewall (software ou hardware) no computador reforça ainda mais a segurança, impedindo o acesso de pessoas indesejadas, mesmo que elas tenham vencido todos os estágios anteriores. As mais conhecidos para o mercado doméstico são as soluções de segurança da Zone Alarm, McAfee e Norton.

Caso sua rede wireless precise de um nível de segurança maior que a alcançada através das medidas acima, isso indica que ela precisa ser desenhada e implementada por especialistas. Redes para escolas, locais públicos, médias e grandes empresas, condomínios, etc, precisam ser muito bem projetadas. O projeto de uma rede com tamanha importância ou proporções leva em conta fatores como clima e topografia, tarefa que é executada por empresas especializadas.

Visite nossa seção de Links: Soluções wireless e conheça algumas das principais empresas especializadas em projetar e implementar soluções wireless nos mais diversos tipos de ambiente.

Segurança a mais nunca é demais.

Esses texto é protegido pelas leis de direito autoral e não deve ser copiado, modificado ou reproduzido sem a prévia autorização do MobileZone. Caso deseje reproduzir esse material, por favor, entre em contato.

 

topo

Fonte : Ricardo Menezes - mobilizone

 

 

Evitando o acesso anônimo na internet

Proxy free

Se fizerem uma pesquina aos administraores de rede perguntando quem lhe dar mais dor de cabeça, com certeza a resposta será unânime : usuário interno. Eles tentam de tudo para burlar nossos controles, sendo assim, vai uma dica de como minimizar as possibilidades de acesso anônimo a internet desses usuários:
Meu cenário consta um proxy, GPO e firewall, mais precisamente o squid + iptables + GPO for Windows, porém, a ídeia será a mesma para quaisquers softwares que façam essas funções.

- Proxy
Existem diversos proxys free na internet, sendo assim, precisamos pesquisa-los na internet e adiciona-los ao ao blacklist no squid. Ex:

www.stayinvisible.com/index.pl
www.inetprivacy.com/a4proxy
www.nonymouse.com
www.proxy4free.com
www.publicproxyservers.com/index.html

Isso não impede que o usuário traga de "casa" sua istinha de proxies free, mas, temos que fazer nem que seja o mínimo.

- Firewall
Como regra de firewaal, o ideal é liberar o acesso à porta do proxy somente para máquina que faz o proxy, sendo assim, devemos barrar o acesso das máquinas da rede interna. Como muitos não se preocupam em barrar o acesso interno,e sim só o extreno, o que é um furo, nessa dica, sugiro que barrem as portas geralmente usadas pelos proxies :
8000
6588
32767
3382
3128
10576
1080
32127
32167
1233668

- Um boa opção é redirecionar é redirecionar o acesso, conforme regra a seguir :
iptables -t nat -A PREROUTING -i <interface_interna> -p tcp --dport 8080 -j REDIRECT --to-port 3128

- Outra opção é barrar o IP dos proxies free, é só ver nos sites acimas a lista de ip´s e barrar
- Com disse acima, sempre precisamos procurar por novas portas e inclui-las na regra do firewall

- GPO
Para quem usa GPO, sugiro barrar as opções de conexões do internet explorer, sendo asism, o usuário não terá a opção de ir lá incluir um proxy free.
Obs1: Não esquecer de colocar na GPO uma regra apra configurar o seu proxy interno.
Obs2: O GPO do windows, só configurar o internet explorer, sendo assim, se usar outro browser em sua empresa ... já viu né.

Renato Junior

www.rjunior.com.br

topo

Interpretando nome de vírus

Introdução

Interpretar nomes de vírus (ou de qualquer tipo de código malicioso) é uma tarefa simples depois que você se acostuma. Entretanto, algumas coisas não são tão óbvias a princípio e por isso esse artigo foi criado: para que você comece a entender o funcionamento básico de um código malicioso apenas vendo o nome dele.

Por exemplo, você saberá que P2P-Worm.Win32.Tibick.f é a sexta variante de um worm que utiliza programas como o KaZaA e eMule para se espalhar, enquanto Trojan.Win32.Agent.cp é um trojan que pode ser evitado com um firewall.

Antes de começar, é necessário que você saiba que, enquanto os vírus biológicos possuem um nome padronizado em Latim, tal padronização não existe para os vírus de computador. Cada empresa de antivírus pode dar nomes diferentes para malwares iguais. Existem exceções: quando algum vírus se torna uma epidemia (como o MyDoom), as empresas entram em acordo e renomeiam o código malicioso. O MyDoom também foi chamado de Novarg e SCO (por fazer um ataque de negação de serviço no site da SCO).

Essa ausência de padrões causará uma enorme dor de cabeça. Para os worms e trojans mais comuns você até pode conseguir todos os nomes diferentes, mas para alguns pode ficar bastante complicado. Se você sabe inglês, você poderá ler a documentação da empresa de antivírus sobre os nomes e poderá entender mais facilmente.
Partes do Nome de um Malware
Tipo (ou Prefixo)

Antes de tudo, é importante que você saiba que nem todo vírus ou código malicios infecta outros arquivos. Atualmente, os vírus como eram conhecidos (que infectavam todos os arquivos no disco) estão realmente raros, embora alguns deles ainda possam ser encontrados.

Os valores para o Tipo variam muito de empresa para empresa. Algumas empresas utilizam tipos extremamente detalhados, outras usam tipos mais gerais. Para entender os tipos é necessário que você saiba que:

* Um Droppper é um trojan que apenas instala outros trojans no sistema. Em um dropper, o código do trojan a ser instalado está dentro do trojan que vai instalá-lo. Abreviando como “DR” por algumas empresas.
* Um Downloader é igual um Dropper, mas o trojan que vai ser instalado é baixado da Internet. Abreviando como “DLDR” por algumas empresas.
* Um Proxy (na linguagem de segurança em worms e trojans) é um backdoor que permite o envio de e-mails camuflados
* IRC se refere ao sistema de bate-papo Internet Relay Chat
* IM são programas de Mensagem Instantânea
* P2P são programas como KaZaA e eMule

Dessa forma, um Trojan-Proxy é um trojan que possui um backdoor para envio de e-mails, enquanto um P2P-Worm é um worm que usa o KaZaA e o eMule para se espalhar.

É importante que você veja, no nosso Dicionário, a definição dos seguintes termos:

* Adware (abreviado: ADW)
* Dialer (abreviado: Dial)
* Exploit
* Backdoor
* Joke
* Macro (ver abaixo)
* Trojan (abreviado: Troj)
* Worm
* Spyware

Você deve entender porque cada um dos termos acima, pois esses são os Tipos principais usados pelas companhias de antivírus.

Devido a falta de um padrão, você deve tentar tentar raciocionar o que cada Tipo significa. Sabendo o que é um Trojan e um Spyware, por exemplo, você poderá saber que um Trojan-Spy é m trojan com funcionalidades de Spyware e que um Trojan-Downloader é um código malicios que vai baixar trojans.

Tipos Adicionais

Alguns tipos que não estão no dicionário e que você deve saber.

Win32, W32

Usados para identificar algum código malicioso que infecta arquivos em versões 32 bit do Windows. Win64 e Win64 são usados para Windows 64, W95 e Win95 para Windows 95; WinNT e WNT para Windows NT, etc. Algumas empresas utilizam Win32/W32 apenas como modificar de plataforma, ou seja, não necessariamente infectam arquivos. A Symantec utiliza para identificar infectores de arquivo, mas é anulado se o malware terminar com “Worm” ou @mm.

VBS

Define trojans ou vírus criados em Visual Basic Script.

PWS ou PWSTEAL

Malwares feitos para roubar senhas

JS ou HTML

Define trojans ou vírus criados em Javascript ou HTML.

BAT

Define trojans escritos na forma de arquivos batch do MS-DOS (.bat).

HLLC

High Level Language Companion. Define um vírus programado em uma linguagem alto nível e que “acompanha” os arquivos originais. Ao invés de infectar o arquivo, os companions renomeiam ele e escondem do usuário e depois copiam os vírus onde estava o arquivo. Assim o usuário vai executar o vírus ao invés do arquivo original. Quando o usuário copiar o arquivo em disquetes ou gravar em CD, o vírus também será salvo ao invés do arquivo original.

HLLW

Define um worm que foi feito em uma linguagem de alto nível. Todos os worms atuais são programados em uma linguagem de alto nível, então este termo é um pouco raro de ser visto, já que as companhias não utilizam esse termo por ser pouco conhecido.

HLLO

Define um vírus irreparável que vai sobreescrever os arquivos no disco com seu código, tornando os arquivos impossíveis de recuperar. Se algum antivírus detectar um HLLO no seu computador, faça backup de todos os dados importantes antes que seja tarde.

HLLP

High Level Languange Parasite. Um vírus comum programado em uma linguagem de alto nível como Pascal ou C++.

HackTool

Tipo usado para definir ferramentas usadas para comprometer sistemas.

Tipos Específicos

Esses são alguns tipos usados pelas principais companhias de antivírus. Listar todos é quase impossível, serão listados apenas alguns mais comuns:

Ablank

Usado pela Sophos para definir os diversos trojans da família do StartPage. Muitas empresas apenas colocam Variantes na família do Startpage.

PE

Usado pela Trend Micro para definir Vírus (ou seja, um código malicioso capaz de infectar outros arquivos)

I-Worm, P2P-Worm,IRC-Worm

Worms que usam a rede, P2P e canais de IRC, respectivamente. Usado pela Kaspersky e compatíveis.

Vírus do Tipo Macro

Para vírus do tipo Macro (que infectam arquivos criados através do Microsoft Office), é um pouco mais complicado. Empresas diferentes usam nomes completamente diferentes. Você precisa lembrar sempre das iniciais para facilitar:

* M = Macro
* MS = Microsoft
* O = Office
* W = Word
* A = Access
* X = Excel

A2KM

Vírus Macro de Access 2000

X97M, XM97, MSExcel

Vírus de Macro do Excel 97

OM

Vírus de macro de Office (sem versões específica)

O97

Vírus Macro de Office 97.

Seguindo esse raciocício, você saberá que W97 ou W97M é um vírus de macro para Word, etc.

Nome de Família

O nome da família é o nome do malware propriamente dito. Na maioria dos casos o nome da família não nos dá qualquer informação sobre o funcionamento do vírus. Exemplo de nomes de família: Netsky, MyDoom, Sasser.

Algumas vezes o nome da família pode nos dar informações sobre o funcionamento. No Trojan.Startpage, por exemplo, sabendo que Start Page é Página Inicial em inglês, podemos entender que o Trojan.Startpage é um trojan que modificada a página inicial do usuário.
Variante

A Variante é colocada logo após o nome da família. Por exemplo, MyDoom.B é o segundo MyDoom lançado. Ele provavelmente será muito parecido com o anterior em vários aspectos, mas pode ser difernete. A variante AA (por exemplo, Netsky.AA) significa que é a 27ª variante, ou seja, depois do Z (contando K, W e Y) temos o AA, então o AB. Depois do AZ temos o BA. Depois do ZZ temos o AAA e assim enquanto houverem novas variantes.

Não existe regra sobre capitalização. Algumas empresas utilizam apenas letras maiúsculas, outras utilizam apenas minúsculas. Algumas empresas também utilizam números (ex: Startpage.19.j).
Assinaturas Genéricas e Malware sem Nome

Diversos malwares recebem assinaturas genéricas. No lado bom, o antivírus poderá detectar diversos trojans, worms e vírus da mesma família sem novas atualizações. No lado ruim, você não poderá saber exatamente qual a variante que você tem e isso pode dificultar a procura de informações.

O avast! é particularmente famoso pela sua Win32.Trojan-Gen. Ela é uma assinatura genérica que detecta vários trojans sem nome.

A McAfee também possui backdoors sem nome. São definidos como Backdoor-Variante. Ou seja, o BackDoor-AAB é um Backdoor sem nome mais antigo que o BackDoor-CDN, outro backdoor sem nome.

Geralmente, entretanto, assinaturas genéricas terminam em Gen de Genérico, como é o caso do avast!. Você pode ver o Bagle-Gen da Sophos e o Rbot.gen da Kaspersky.

Antigamente também eram comuns malwares sem nome ou malwares sem variantes. No lugar do nome ou da variante, era colocado o tamanho (em bytes) do vírus. Atualmente, porém, geralmente se usam variantes ao invés do tamanho em Bytes. O Rugrat, o primeiro vírus para Windows 64, recebeu o nome de W64.Rugrat.3344 pela Symantec, enquanto a Kaspersky o deu nome de Virus.Win64.Rugrat.a. Cada empresa possui suas próprias regras de nomenclatura, e essas diferenças podem ser pequenas (como no caso do Rugrat) ou maiores.
Famílias Úteis

É útil que você decore os nomes de algumas famílias.

Startpage

Trojans que mudam a página inicial, tal como hijackers da família CoolWebSearch .

Bloodhound

Usado pela Symantec para identificar vírus que ainda não possuem nome e que foram detectados por sistemas de heurística . Se você encontrar um malware identificado como Bloodhound e o Norton estiver totalmente atualizado, é recomendado que você entre em contato com o suporte da Symantec para enviar o arquivo para análise para que o malware receba um nome e seja identificado corretamente. (Obs: A Symantec considera Bloodhound um prefixo)

NewHeur_PE

Usado pela ESET (NOD32) para identificar trojans detectados pela heurística, idêntico ao Bloodhound da Symantec.

Agent

São trojans que geralmente baixam outros trojans (Downloaders). Outras versões do Agent também podem ser variantes do Startpage (acima) como o Backdoor.Agent.B da Symantec. A diferença principal do Agent para o Small (abaixo) é que o Agent geralmente instala Adware e também pode capturar algumas informações do sistema infectado.

Small

É uma família de trojans que baixa outros trojans (como o Agent).

Download.Trojan

É usado pela Symantec para definir milhares de trojans qeu baixam outros trojans (como versões do Small e Agent).

Sabendo os nomes acima, você sabe que deve sempre eliminar trojans AGENT e SMALL primeiro, já que eles podem reinstalar os demais através de downloads na Internet. Você pode também instalar um firewall para prevenir o funcionamento de um trojan Agent ou Small, sem nem mesmo saber informações exatas do trojan.

Sufixos

Existem diversos sufixos para os nomes de vírus. Um você já conhece: o Gen geralmente identifica uma assinatura genérica. Mas existem diversos outros:

dam

Do inglês de DAMaged. Significa que o arquivo está possui um vírus, mas está danificado e não vai funcionar. Algumas empresas usam corrupt , como pode ser visto W95.CIH.corrupt e W32.Bugbear.B.Dam .

@m @mm

Um @m significa que o worm envia e-mails, mas de uma forma pouco agressiva. Um @mm envia e-mails em massa de forma extremamente agressiva.

dldr

Usado por algumas empresas para identificar downloaders. Por exemplo, o Dialer-205.dldr é um downloader que vai baixar o Dialer-205.

dr

Dr é usado como DRopper. Trojans do tipo Dropper apenas instalam outros trojans no sistema e não usam a Internet para instalar esses novos trojans, pois possuem os outros trojans dentro do seu próprio. Trojan.Qforager.Dr é um trojan que instala o Trojan.Qforager no sistema, por exemplo.

Exemplos

O melhor jeito de entender os diferentes estilos de nomes é vendo exemplo. Abaixo você pode ver diversos exemplos com suas interpretações:

* [McAfee] W32/Mydoom@MM Primeira variante do MyDoom, um mass-mailer (@mm) agressivo que roda em Windows. Deve-se desconectar o computador da rede até limpar o mesmo.
* [Kaspersky] Trojan-Proxy.Win32.Mitglieder.a Um Trojan, que possui um proxy de e-mail para enviar mensagens de e-mail anônimas. Deve-se instalar um firewall para evitar que o proxy seja usado.
* [Trend Micro] PE_WINDANG.B Um infector de arquivos (PE) em sua segunda variante (B). Deve-se iniciar o computador no Modo de Segurança para executar o antivírus e desinfectar os arquivos.
* [Symantec] W32.HLLW.Lovgate@mm Um worm chamado Lovgate que enviará a si mesmo e via e-mail (@mm) e potencialmente usará outros recursos da rede para se espalhar (HLLW). Deve-se desconectar o sistema da rede para a desinfecção ou usar um firewall.
* [Sophos] Dial/Datemake-A Primeira variante de um Dialer. Nesse caso, deve-se desconectar a linha telefônica do computador até a desinfecção para evitar que o Dialer funcione.
* [McAfee] A2KM/Sadip@MM Primeira variante de um vírus de macro que infecta arquivos do Microsoft Access e enviará a si mesmo de forma agressiva via e-mail.
* [Kaspersky] Exploit.Win32.MS04-028.gen Detecção genérica para um exploit que se aproveita da falha detalhada no boletim MS04-028.
* [Sophos] W32/MyDoom-O 15ª variante do MyDoom, um malware que roda em Windows. O nome não nos deu informações suficientes nesse caso. É necessário procurar mais informações.

Como você conseguiu perceber, algumas empresas separam tipos com pontos, outras com barras e a Trend Micro utiliza um _. Conhecendo os tipos de malware e interpretando seus nomes é possível, na maioria das vezes, ter uma idéia do que deve ser feito sem mesmo a necessidade de buscar mais informações sobre a praga. Outras vezes, o nome não será suficiente.
Conclusão

Interpretar o nome dos vírus é com certeza algo útil, mas podemos enfrentar dificuldades algumas vezez devido à falta de um padrão que regule os nomes. Agora que você já sabe interpretar esses nomes, com certeza algumas coisas ficarão mais claras para você.

 

topo

Fonte : linhadefensiva

 

 

Controle Remoto com acesso via NAT

Conexão remota cem cenários com NAT

O objetivo desse artigo é mostrar como fazer conexões remotas entre máquinas de uma rede interna sem IP público ( usando NAT ).

Termos :

Escolhendo as ferramentas e detectando o cenário em que o artigo se refere :

Cenário :

Instalando e configurando :

  1. Instalar o UltraVNC na máquina que deseja fazer o controle remoto
    1. Instalar, como serviço, pois, como processo em algumas situações não se consegue conectar, o UltraVNC SERVER ,
    2. Colocar um SENHA COMPLEXA e NÃO divulgar a senha para ninguém, se não quiser correr riscos.
  2. O próximo passo é configurar o redirecionamento da porta (PAT) no seu servidor que chega a Internet, como o nosso intuito é fazer conexão com uma máquina local, onde não tem IP Público, teremos que informar ao servidor NAT que quando chegar uma requisição na porta do UltraVNC (5900) , ele deverá redirecionar essa requisição para uma outra máquina ou outro IP. Geralmente os firewall´s (que fazem NAT) suportam redirecionamento de porta (PAT), caso não suportem é só instalar e acessar o analogx e fazer as devidas configurações, é muito simples a configuração :
    1. Colocar a porta da requisição externa, no caso a 5900
    2. Informar o endereço IP e porta da máquina que receberá a requisição, que será submetida ao controle remoto
  3. Após as etapas acima estarem concluídas, só resta :
    1. Instalar o UltraVNC na máquina que FARÁ o controle remoto
    2. Iniciar o UltraVNC VIEWER
    3. Colocar o IP do seu servidor NAT
    4. Colocar a senha e pronto, terá sua máquina controlada de qualquer lugar no mundo

Chegamos ao final, espero ter ajudado.

 

Renato Junior

www.rjunior.com.br

Regras básicas e indispensáveis

Sempre ouvimos que nunca estamos 100 % seguros, com isso, o mínimo que podemos fazer é diminuir as probabilidades desse fato tão assustador. Muitas vezes coisas simples de se fazer pode evitar sérios danos e prejuízos, com isso, vou listar algumas dicas para ajudar a diminuir as estatísticas de fraudes e prejuízos com a segurança da informação:

  • Anti-vírus - Esse é o mais conhecido de todos, simples de instalar, fácil de achar na Internet e free.
    • Atualizar – Muito pouco adianta instalar um anti-vírus e não atualizá- lo freqüentemente, com isso, configure para que a atualização seja feita freqüentemente e automática.
  • Atualização do seu sistema operacional - Essa sem dúvida é o vacilo que os invasores mais gostam, vou usar o mesmo exemplo da uma atualização de um anti-vírus citada acima : Novas vulnerabilidades são encontradas a cada dia, com isso, sempre mantenha seu sistema operacional atualizado, principalmente usando plataforma Microsoft, que por se tratar do grande nicho do mercado, é sem sombra de dúvidas a mais visada pelo invasor.
  • Firewall – Toda conexão de Rede, trabalha em cima de socket ( ip+porta), com isso, podemos com o firewall, por exemplo, bloquear todas as portas do seu micro, o que diminuirá as possibilidades de um ataque externo. Podemos também criar regras para aceitar um determinado número de IP. No Windows XP SP2, vem com um firewall, com isso, não perca tempo e habilite-o logo, caso use sua máquina para uso remoto, deixe somente a porta que vai usar. Existem também muitas ferramentas free que vale a pena instalar na sua máquina de casa ou num servidor.
    • No caso de uma empresa, é recomendado colocar o firewall antes da sua rede interna.
    • Na verdade existem vários tipos de firewall, porém, não vou relatar aqui. No futuro disponibilizarei informações à respeito
  • A regra do não conheço = shift+Del - Quem nunca recebeu um e-mail de alguém que você nunca ouviu falar, ou de empresa, geralmente banco, solicitando re-cadastro ? Pois bem, essa é o que chamamos de engenharia social, que nada mais é que uma técnica que visa enganar o usuário a fazer do remetente. Com um simples clique você poderá ta enviando sua senha do banco para um invasor, para daí, ele fazer um pequeno estrago na sua conta, a gravidade vai depender do seu saldo J .
  • Senha seguras e complexas – Quem nunca colocou por pressa, ou preguiça, ou por medo de esquecer, uma senha como 123, 126456 ou em branco ? Olha que beleza : Um invasor tentando invadir sua máquina ou conta no banco usuário vai fazer a primeira tentativa na senha e coloca 123, justamente a senha fácil que você colocou por um dos motivos acima ..., Já pensou no estrago ??? Sendo assim, como ninguém quer perder nada que é seu ou se sentir invadido, trate de mudar sua senha para uma senha COMPLEXA (números+letras+simbolos), e nada de escrever em papel, ou post-it e pra completar deixar em cima da sua mesa.
    • Na empresa, aplique políticas de senha : Período de expiração, complexibilidade, histórico de senha
    • Mude o nome do administrador, e sempre deixe os servidores bloqueados.

Existem outras ferramentas e técnicas para aumentar a segurança, tais como IDS, IPS, Proxy, NAT, VPN, Certificação digital, dentre outras.

Acho que os detalhes acima, os deixarão menos vulneráveis de agora em diante. Em breve colocarei mais informações no site, como artigos e dicas.

topo

Fonte : Renato Junior - www.rjunior.com.br

 

Como saber se um site é confiável

Os indicativos visuais de um site seguro são a expressão https na barra de endereços do navegador e o símbolo do cadeado fechado em algum ponto da barra inferior do navegador.

O Certificado Digital é uma garantia fornecida por uma entidade certificadora, que confirma a identificação do titular do certificado e o nível de segurança que está sendo utilizado nas páginas que estão sendo acessadas.

Para visualizá-lo, basta que você clique sobre o ícone do cadeado existente no seu navegador ( ):

Algumas das principais informações encontradas em um certificado digital são dados que identificam o dono (nome, número de identificação, estado, etc), nome da Autoridade Certificadora (AC) que emitiu o certificado (no caso da Unesp, a AC é a Verisign ), o número de série do certificado, o período de validade do certificado e assinatura digital da AC.

O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informações nele contidas.

topo

fonte : www.acmesecurity.org

 

Compartilhamento: use windows com mais segurança

Para reduzir o risco de que outros tenham acesso ao seu micro ou às suas senhas, siga alguns procedimentos a seguir, ou peça ajuda para alguém mais experiente fazê-lo:

1. Caso utilize seu computador fora de uma rede doméstica ou no trabalho, vá ao Painel de Controle; Rede e elimine cliente para redes Microsoft e logon para produtos Microsoft; e desabilite compartilhamento de arquivos e impressoras. Caso esteja em rede, consulte o seu administrador sobre a melhor forma de se proteger.

2. Nunca diga suas senhas a qualquer pessoa (senha segura é aquela que só você sabe); altere-a sistematicamente (uma vez a cada dois meses), nunca use Salvar Senhas (save password) nos seu programas de e-mail ou nas páginas Web que você visita. Se desejar conferir se tem deixado senhas largadas no seu winchester, vá no CD-ROM original do Windows 98 e procure o aplicativo Password Editor (pwledit.exe), no subdiretório Tools/Reskit/Netadmin/Pwledit/. Marque todas as senhas que você quiser apagar e pronto: não haverá senhas no HD. Além disso, em PCs isolados, simplesmente apague todos os arquivos com extensão .PWL;

3. No seu navegador preferido (Netscape ou Internet Explorer), coloque não salvar páginas criptografadas no disco rígido. Isto evitará que outros tenham acesso aos dados das páginas que você visitou em servidores seguros como lojas online ou bancos. No menu do IE ou no ícone Internet (no Painel de Controle do Windows) vá em Ferramentas, Opções de Internet e abra em Segurança.

Marque em Máxima. Escolha desativar scripts ActiveX; consultar antes de aceitar cookies (arquivos que têm como objetivo facilitar a sua navegação, mas que poderiam ser usados para fazer uma ponte entre algum invasor e o seu micro), controles ActiveX, navegar por IFrame; marque segurança Java em alta, escolha não salvar páginas criptografadas no disco. Marque em apagar arquivos temporários da Internet após sua navegação e limpe o histórico do seu passeio pela Web. Saiba que isso tornará, no futuro, o acesso à Web mais lento. Se sua preocupação é oconteúdo que pode ser visto através do seu browser, clique em Ferramentas, Opções da Internet, Conteúdo e escolha o que deseja que os usuários do seu PC tenham acesso. Outra opção bem eficiente é experimentar softwares de controle de acesso, como o CyberPatrol (www.cyberpatrol.com) ou NetNanny (www.netnanny.com), ambos permitem aos pais restringir o acesso a sites perigosos ou pornográficos. É bom lembrar que mais eficiente do que censura é um bom papo com seus filhos, explicando o porquê de não entrar em páginas que contenham conteúdos racistas, preconceituosos ou com perversões como a pedofilia.

4. Nada é mais importante do que manter as versões dos seus antivírus (e as suas bibliotecas) atualizadas. Outros preferem firewalls, ou programas de criptografia de arquivos para não perder os seus trabalhos, elaborados, às vezes, durante anos). A diferença do firewall (algo como porta corta-fogo) e o antivírus é que o primeiro usualmente filtra de onde vem determinada mensagem ou arquivo (ou ainda o IP/endereço naRede e o tipo de acesso) e o segundo examina seu conteúdo à procura de vírus, trojans (cavalos de tróia), scripts e controles maliciosos. Como a Internet permite algumas formas de transmissão de vírus de computador por e-mail (SMTP e POP), HTTP (WWW), FTP (transferência e download de arquivos), controles, scripts e aplicativos ActiveX e Java não assinados, é bom conhecer os lançamentos dos grandes fabricantes de antivírus que são comercializados em suítes (conjuntos de programas) com tudo acoplado, para Redes. Pode ser uma boa alternativa para sua rede com Windows NT, ou Netware (Novell): NeaTSuite, da TrendMicro (www.trendmicro.com); Norton Antivirus for Windows NT/Netware e Norton Antivirus for Exchange/Notes, da Symantec (www.symantec.com), Total Virus Defense Enterprise, da Network Associates (www.nai.com), e outras opções como as oferecidas pela Computer Associates (www.cai .com). Um bom firewall para quem deseja mais privacidade no seu microcomputador é o PCFirewall, da Canadense Signal 9 (www.signal9.com), adquirida pela Network Associates (www.nai.com);

5. Se você usa Windows 98, conecte-se à Internet e vá no botão Iniciar, Windows Update para atualizar os dispositivos do seu sistema operacional e navegador (mesmo que use o Netscape, vale a pena baixar os arquivos mais recentes dos protocolos TCP/IP, Winsock, Internet Explorer 5.x e do próprio Windows 98). Manter seu micro com os arquivos novos é importante porque os fabricantes procuram sempre falhas (com ajuda dos seus usuários) e incorporam os ajustes de segurança e funcionalidade necessários aos softwares. A Microsoft, por exemplo, prima em deixar o Outlook sempre livre de bugs de segurança (confira em www.microsoft.com);

6. Jamais forneça o número do seu cartão de crédito em sites desconhecidos ou que não estejam em servidores do tipo httpS (onde o S é sinal de servidor seguro).

Qualquer programa que você compra na loja já vem com uma configuração padrão (default), um mínimo necessário para funcionar na sua máquina. Mas existem opções de configuração que permitem estabelecer parâmetros de funcionamento, ou seja, dizer a ele quando, como e o que fazer e torná-lo mais seguro. Preparado? Então, vamos lá.
Visualização das extensões de arquivos - Em sua configuração padrão o Windows não mostra as extensões dos arquivos. Sabendo disso, muitos criadores de vírus programam seus ''filhotes'' para que apresentem uma dupla extensão de arquivo. Exemplo: o vírus MTX envia arquivos contaminados com diversos nomes, todos eles com dupla extensão, sendo que um deles chama-se nude-me.avi.pif.

Se o Windows não está configurado para mostrar as extensões, esse arquivo aparecerá como nude-me.avi, pretendendo enganar o usuário incauto que pensará estar executando um arquivo de vídeo pornográfico...

Ao escolher a opção de visualizar a extensão, ficará claro que a verdadeira é PIF e que executará alguma coisa escondida nesse arquivo. Clicar em Iniciar / Programas / Windows Explorer. No Windows Explorer clicar em Exibir / Opções de pasta / Modo de exibição. Marcar a opção Mostrar Todos os Arquivos. Desmarcar a opção Ocultar Arquivos Extensões para os Tipos de Arquivos Conhecidos / OK.

Windows Scripting Host - Esse recurso serve para automatizar certas tarefas do Windows e é explorado para a execução automática de alguns scripts hostis ao sistema. Desabilitando-o, fechamos uma entrada para elementos indesejados.

Clicar em Iniciar / Configurações / Painel de Controle / Adicionar ou remover programas / Instalação do Windows / Acessórios. Desmarcar a opção Windows Scripting Host / OK

Naveadores - O primeiro passo para a segurança online é ter certeza de que seu navegador é compatível com o nível mais alto de criptografia. Atualmente, o padrão ideal disponível é baseado em chaves de 128 bits. Para verificar que chave está sendo usada no Internet Explorer, clique em Ajuda / Sobre. Se for 40 ou 56 bits, clique no link Update Information. Um download automático atualiza o navegador para a criptografia baseada em chaves de 128 bits. No Netscape Navigator, quando você estiver conectado, selecione Ajuda / Atualizações de Software para abrir o site da Netscape; clique no link Your Installed Software para encontrar a criptografia usada pelo seu navegador.

Outlook - Alguns vírus se aproveitam de uma falha do Outlook que faz com que sejam executados códigos hostis inseridos no corpo das mensagens somente com uma pré-visualização destas.

Clicar em Exibir / Layout. Desmarcar a opção Mostrar painel de visualização / OK.

Macros do Office - Todos os arquivos do Microsoft Office (Word, Excel, Power Point) podem conter macros (seqüência de comandos e instruções do Word que você agrupa como um único comando para executar uma tarefa automaticamente). O macro pode conter um código hostil, portanto é recomendável que se tome algum cuidado antes de executá-los.

Clicar em Ferramentas / Opções / Macro / Segurança / Nível de Segurança. Marcar Alto / OK.

topo

fonte - www.invasão.com.br

 

Evitando golpes online

A Trend Micro forneceu uma lista com dicas para evitar golpes online, também conhecidos por scams, que têm acontecido cada vez com mais freqüência no Brasil. Os golpes, que geralmente são iniciados por e-mail, podem ser evitados se o internauta estiver atento a alguns detalhes importantes. Geralmente, os scammers, como são chamados os golpistas online, deixam traços muito claros nos e-mails falsos que mandam.

O procedimento dos golpistas é padronizado na maior parte das vezes: eles usam o nome de empresas ou instituições famosas e enviam e-mails falsos com ofertas, promoções e vantagens para o internauta. Outras vezes, eles pedem que a vitíma se recadastre em algum serviço, uma isca útil para coletar informações confidenciais das pessoas. Atualmente, os scammers chegam até a usar a ironia, incluindo avisos de segurança geralmente válidos, que conquistam a confiança dos internautas e tornam os golpes mais fáceis.

Veja a seguir as características mais comuns dos e-mails falsos usados em golpes online:

Erros de português e textos fora de formatação:

É muito comum encontrar erros grosseiros de português nos e-mails falsos, além de se notar uma formatação estranha no texto, geralmente em formato HTML. Esse é um sinal de que o e-mail provavelmente é falso, já que as empresas legítimas tomam cuidado para enviar textos bem escritos e formatados.

URL estranha:

Os golpistas costumam incluir endereços da Web (URLs) nos e-mails falsos para coletar informações das vítimas. Alguns têm o cuidado de criar endereços bem parecidos com os da empresa que usam como disfarce, mas é possível identificar o golpe pela URL estranha. Por exemplo: em vez de www.nomedobanco.com.br, o link é www.nomedobanco-sp.com.br

Sites hospedados em serviços de hospedagem gratuita:

Empresas legítimas não hospedam seus sites em serviços gratuitos como HpG, Geocities, Lycos, Kit.Net ou Gratisweb. Portanto, se você receber um e-mail que o direcione para uma página em um desses serviços, desconfie. Normalmente, as empresas possuem seu próprio domínio.

Pedido para enviar o e-mail para "o maior número de pessoas possível":

Os golpistas online têm várias maneiras de distribuir seus e-mails falsos e, muitas vezes, pedem para as próprias vítimas divulgarem o golpe incluindo no e-mail o texto "envie para o maior número de pessoas possível". As empresas que fazem marketing pela Web usam seus próprios bancos de dados para enviar e-mails e nunca recorrem a esse recurso.

Oferta válida só pela Internet:

Existem empresas que fazem ofertas válidas apenas pela Internet, mas, quando são legítimas, sempre disponibilizam algum telefone de contato para atender o consumidor. É comum encontrar em golpes por e-mail a afirmação de que a promoção ou oferta só é válida pela Internet, numa tentativa de evitar que o internauta entre em contato com a empresa real e descubra que a oferta é um golpe.

Além disso, os internautas devem ficar atentos para as ofertas que incluem preenchimento de cadastros, entrada em links ou download de algum arquivo. É recomendável ignorar essas ofertas ou entrar em contato com a empresa responsável e verificar se são reais. Tomando esses cuidados, é possível ficar mais seguro e evitar as armadilhas digitais que surgem todos os dias.

topo

fonte - www.trendmicro.com.br

 

Evite vírus com sete passos

A maioria das infestações de vírus poderia ser evitada com simples precauções. Embora não se deve esperar segurança total, esses passos vão ajudar sua empresa a ficar mais “fechada” aos ataques.
Mas não os siga apenas uma vez, a vigilância constante é a chave de uma empresa segura:

1. Nunca exponha um computador ou outro equipamento à internet sem antivírus ou com correções de software. Os PCs só devem se conectar a Web se estiverem rodando todas as correções sugeridas pelos fabricantes e equipados com software antivírus atualizados.

2. Sempre use um firewall entre sua empresa e a internet. O ideal é usá-lo entre partes de sua rede e um software em cada máquina.

3. Treine os usuários. Muitas redes “seguras” são invadidas ou infectadas por usuários que fazem donwload de e-mails ou visitam Web sites infectados.

4. Faça as correções e atualizações de sua máquina com freqüência. Sim, é doloroso, e requer tempo para testar as correções. Mas, com certeza, é muito mais barato do que livrar os computadores de um vírus ou ter que explicar para seu chefe como você infectou uma conexão.

5. Exija um software antivírus atualizado em cada máquina. Esses pacotes também protegem contra worms.

6. Crie, reforce e audite sua política de segurança. Você deve ter regras e elas devem ser reforçadas com cada usuário.

7. Cheque, com freqüência, as vulnerabilidades da sua companhia. Uma boa tática é visitar Web sites sobre o tema. Novos problemas são explorados por crackers constantemente e se você não os conhece, nunca vai se proteger deles

[ Wayne Rash – InfoWorld/EUA ]

topo

 

 

e-mail: contato@rjunior.com.br