segunda-feira, 16 de fevereiro de 2015

Documentário / Filme - Defcon e The Algorithm

Sugestão caso não tenha assistido e queira curtir algo, estão ambos no Youtube, especialmente o documentário da Defcon que é "antigo" porém sensacional.


ALGORITHM: The Hacker Movie
A freelance computer hacker breaks into secret government contractor and downloads a program. He must choose between his own curiosity and the lives of his friends.

Esse vídeo tem legendas em pt_BR que o Crash fez =)



DEFCON 20 Documentary Full Version.




Happy CarnaHacking =)

Abs!

quinta-feira, 12 de fevereiro de 2015

Curso OSSEC HIDS EaD (40 h) - Início 24/02/2015

Caros, 

Iniciarei um treinamento bem completo e detalhado de OSSEC partir 24/02/2015, com aulas terças e quintas das 20:00 às 22:00.

A grade do treinamento de OSSEC será:

1. Entendo funcionamento OSSEC HIDS x NIDS
   1.1. Funcionalidades OSSEC
   1.2. Modos instalação
   1.3. Sistemas suportados
 

2. Instalando o OSSEC
   2.1. Requisitos
   2.2. Modos instalação Local / Agente / Servidor
   2.3. Replicando instalação
 

3. Configurações OSSEC
   3.1. Cliente e Servidor
   3.2. Alertas
   3.3. Regras
 

4. Decoders/Regras
   4.1. Entendendo os Decoders
   4.2. Entendendo as Regras
   4.3. Linkando decoders e regras
 

5. Sistema de Integridade e detecção de rootkits
   5.1. O que é um rootkit?
   5.2. Como funciona a detecção de rootkit do ossec
   5.3. Monitorando a integridade de seu sistema (HIMS)
 

6. Active Response
   6.1. Active Response disponíveis
   6.2. Configuração de Active Response
   6.3. Ferramentas Active Response
 

7.Usando interface web
   7.1. Instalando a interface web
   7.2. Analisando e pesquisando eventos


8. Integração básica Elastic Search / Kibana

Valor investimento:

Alunos de cursos anteriores - R$780,00 reais 
Alunos novos - R$ 950,00

Sobre o instrutor:

Rodrigo "Sp0oKeR Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em sistema de segurança opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de sistemas.  Atualmente trabalha como administrator de Segurança Senior na Sucuri Security onde gerencia algumas dezenas de OSSEC que geram mais de 4 milhões de eventos diariamente. Anterior trabalhou na área de pesquisa onde onde focou seu trabalho em assinaturas para Sistema de Detecção de Intrusos, Modsecurity e realizou pesquisas para novos métodos de detecção de atividades maliciosas . Autor de 2 patentes requeridas envolvendo uma técnica para descobrir documentos digitais maliciosos e análise de cabeçalhos HTTP para detectar tráfego malicioso. É coordenador e evangelizador na Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em inúmeras conferencias opensource (FISL, Conisli, Latinoware) e de segurança Brasil e EUA (OWASP Appsec (EUA e Brasil), Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor (Canada), CNASI, Source Boston 2012/2013 e Seattle (EUA), ZonCon (Conferencia Interna da Amazon) Bsides (São Paulo e Las Vegas)) e é coordenador de um projeto para criação de um conjunto de regras para o sistema de detecção de intrusos Snort para malwares Brasileiros.

Cadastro de interesse pode ser feito aqui: Formulário Cadastro
Happy Detection!

Rodrigo "Sp0oKeR" Montoro
 

domingo, 8 de fevereiro de 2015

Problemas com OSSEC Windows Agent em desktops em pt_BR

Geralmente servidores rodamos em inglês e possivelmente nunca teremos problemas com o a Interface gráfica do OSSEC Agent no Windows. Porém as estações de trabalho geralmente rodamos no nosso idioma nativo, ou seja, algo não inglês.

O ambiente testado foi windows 7 instalado em pt_BR. Em primeiro momento, o ossec gerava as seguintes mensagens de problemas de permissão:

"Unable to set permissions on new configuration file"  
"Unable to set permissions on auth key file".

Tentamos rodar como Administrador para verificar se não era algo de permissões e também modificamos as permissões da pasta sem sucesso.

Pesquisando na lista OSSEC, descobrimos que isso acontece devido a um problema de idiomas, pois o Agente executa 2 comandos, os que geram as messagens utilizando o usuário "administrator", sendo que caso não rode em inglês esse usuário não existe.

Olhando os logs podemos ver os comandos:

2015/02/07 11:58:04 ossec-agent: INFO: Service does not exist (OssecSvc) nothing to remove.
2015/02/07 11:58:05 ossec-agent: INFO: Successfully added to the service database.
2015/02/07 11:58:06 setup-windows: INFO: System is Vista or newer (Microsoft Windows 7 Business Edition Professional Service Pack 1 (Build 7601) - OSSEC HIDS v2.8).
2015/02/07 12:00:36 ossec-win32ui: INFO: Running the following command (C:\Windows\system32\cmd.exe /c echo y|cacls "new-ossec.conf" /T /G Administrators:f)
2015/02/07 12:00:59 ossec-win32ui: INFO: Running the following command (C:\Windows\system32\cmd.exe /c echo y|cacls "client.keys" /T /G Administrators:f)

Como resolver isso ?

Fazendo alguns testes, podemos adicionar a chave na mão no client.keys e modificar a configuração do ossec.conf onde é adicionar o IP do Servidor OSSEC manualmente, com isso rodando a Interface funcionara, ou basicamente no services recarregar o serviço OssecSvc.

A entrada no client.keys precisa ser o decode do base64 que é o export do manage_agents

[root@spookerlabs ~]# cd /var/ossec/bin/
[root@spookerlabs bin]# ./manage_agents 
****************************************
* OSSEC HIDS v2.8 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: E

Available agents:
   ID: 001, Name: Sp0oKeRLabs-Home, IP: any
   ID: 002, Name: WinAWS, IP: any
   ID: 1000, Name: Teste_Blog, IP: 10.10.20.20
Provide the ID of the agent to extract the key (or '\q' to quit): 1000

Agent key information for '1000' is:
MTAwMCBUZXN0ZV9CbG9nIDEwLjEwLjIwLjIwIGQ3YjJiNDJhMDU5OGMxN2Y1ZjA
3MDJiMGQ5ZjA0Yjc5Yzk4NDczZDY2OTU1ODA3MjI1NjVhMDk5MTJhOWE1ZjY=
** Press ENTER to return to the main menu.

Para fazer o decode do base4
echo MTAwMCBUZXN0ZV9CbG9nIDEwLjEwLjIwLjIwIGQ3YjJiNDJhMDU5OGMxN2Y1ZjA3MDJiM
GQ5ZjA0Yjc5Yzk4NDczZDY2OTU1ODA3MjI1NjVhMDk5MTJhOWE1ZjY= | base64 --decode
 
O output do comando acima será

1000 Teste_Blog 10.10.20.20 d7b2b42a0598c17f5f0702b0d9f04b79c98473d6695580722565a09912a9a5f6

Essa linha é a entrada do client.keys. No ossec.conf basta adicionar a entrada do server como mencionei, na verdade basicamente é a única configuração caso queria usar agent.conf compartilhada que farei um post no futuro =)

Alguns dias atrás o pessoal também publicou um Beta do Agent 2.9 que resolve esse problema, porém eu ainda não fiz testes.

https://github.com/ossec/ossec-hids/releases/tag/2.9.0-beta02

Outra solução que vi nas discussões na lista foi a criação de um grupo Administrator, porém eu não gostei muito dessa solução.

"Since the code appears to be hardcoded in the executables I can't fix the problem at the roots. But I've created the group and added an administrative account I use to install OSSEC to that new 'Administrators' group and then the installation succeeded."

Lembrando que partir 24/02/2015 iniciaremos a turma do treinamento OSSEC HIDS online, caso tenha interesse entrem em contato spooker@gmail.com  e mais info http://spookerlabs.blogspot.com.br/2014/09/treinamento-intrusion-detection-snort.html .

Espero que ajude.

Happy Detection!

Rodrigo "Sp0oKeR" Montoro

terça-feira, 20 de janeiro de 2015

Videos: 2012 Red Hat Summit: Achieving top network performance

Hoje assisti esse vídeo sobre performance e alguns testes que fazem na Redhat e achei bem interessante compartilhar.



Na palestra ele comenta de testes de tuning de kernel, uso do netperf, Numa, lspci para usar o slot correto com o hardware, ferramentas como dropwatch, básico do sar para ver onde está possível gargalo além da rede, cstates / power management.

Vale a pena investir os 50 min da palestra.

Abs!

Rodrigo "Sp0oKeR" Montoro 

quinta-feira, 8 de janeiro de 2015

Vídeos: Behavior Based Security with Repsheet: Aaron Bedra @nginxconf 2014

Prometi que assisterei várias horas de palestras, vídeos da área TI/Segurança por mês e compartilharei o que assistir aqui.  Postarei links do que assistir, algumas vezes resumos ou simples comandos que achar interessante.

Hoje pela manhã assisti esse vídeo da NGINX conference (quero ir nela em 2015, ano passado foi a primeira) bem interessante falando sobre Behavior para detectar usuários maliciosos. Peguei alguns insights interessante que tentarei usar para o meu mundo, visto que na Sucuri atendemos múltiplos clientes e não tenho como ser tão especifico como ele no site do Groupon.


O projeto pode ser acessado aqui:  https://github.com/repsheet/

Esse ano postarei bastante, acompanhem o blog =)

Happy Detection!

terça-feira, 28 de outubro de 2014

Slides - Reversing Engineering a Web Application - For fun, behavior and detection

Galera,
Fiz essa apresentação no AppSec em Denver e na SecTor em Toronto. Segue os slides da mesma:



Happy Detection!

Rodrigo Montoro

domingo, 21 de setembro de 2014

Treinamento Intrusion Detection - Snort + OSSEC

Caros,

Estou lançando meu treinamento de OSSEC, mas aproveitando e adicionando um combo especial para os interessados. O combo completo terá por volta de 80 h, será um treinamento bem longo, mas interessante e com muitos laboratórios e prática.

A grade do treinamento de OSSEC será:

1. Entendo funcionamento OSSEC HIDS x NIDS
   1.1. Funcionalidades OSSEC
   1.2. Modos instalação
   1.3. Sistemas suportados
2. Instalando o OSSEC
   2.1. Requisitos
   2.2. Modos instalação Local / Agente / Servidor
   2.3. Replicando instalação
3. Configurações OSSEC
   3.1. Cliente e Servidor
   3.2. Alertas
   3.3. Regras
4. Decoders/Regras
   4.1. Entendendo os Decoders
   4.2. Entendendo as Regras
   4.3. Linkando decoders e regras
5. Sistema de Integridade e detecção de rootkits
   5.1. O que é um rootkit?
   5.2. Como funciona a detecção de rootkit do ossec
   5.3. Monitorando a integridade de seu sistema (HIMS)
6. Active Response
   6.1. Active Response disponíveis
   6.2. Configuração de Active Response
   6.3. Ferramentas Active Response
7.Usando interface web
   7.1. Instalando a interface web
   7.2. Analisando e pesquisando eventos

8. Integração básica Elastic Search / Kibana


O conteúdo do treinamento Snort será a mesma base do passado, somente teremos um visão geral do Open AppID ( http://blog.snort.org/2014/02/snort-2970-alpha-with-openappid-quick.html )

1-) Introdução a protocolos
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)
3-) Atacantes
4-) Como funciona o Snort
5-) Entendendo a aquisição de dados (DAQ)
6-) Posicionamento dos sensores
7-) Decoders
8-) Preprocessadores (teoria e prática)

       - Frag3
       - Stream5
       - sfPortScan
       - SMTP/POP/IMAP
       - Arp Spoof
       - HTTP Inspect
       - DCE/RPC2
       - Sensitive Data
       - IP Reputation

9-) Analise de performance
        - Performance das regras
        - Performance dos preprocessadores
        - Performance pacotes


10-) Output
         - Syslog
         - Unified 2

11-) Host Attribute Table
12-) Configurações Múltiplas
13-) Escrevendo e lendo regras para o Snort
         - Básico
            - Cabeçalho
            - Opções de Regra
         - Genericas
         - Payload
         - Non-Payload
         - Após detecção / Resposta Ativa

14-) Regras Shared Object
15-) PulledPork – Atualização de Regas
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes – Snorby
17-) Dicas finais
Datas e investimentos:
Início: 28 Outubro 2014 (será iniciado com treinamento de Snort e na sequência teremos do OSSEC)
Aulas às Terças e Quintas das 19:30 até as 21:30. 
Valor do treinamento completo* (OSSEC + Snort): R$ 1750,00 (parceláveis no PagSeguro)
Formato EaD utilizando GoToMeeting.
Total do treinamento: 80 horas (40 horas por treinamento)
É necessário o mínimo de 6 aulas por curso para que o mesmo aconteça.

* O valor de cada treinamento separado caso tenha interesse em somente 1 deles será de R$1100,00 reais.
** Alunos antigos do treinamento de Snort terão desconto de 10% no valor do treinamento OSSEC.
*** Pagamentos realizado até final de setembro terá um extra de 10% de desconto (R$1575,00)
**** Caso seja aluno antigo do treinamento Snort e pague até final de setembro, terá um desconto total de 20%. (R$880,00)

Para pagamento via DOC/TED será cobrado R$1550,00, pedir dados via e-mail em spooker@gmail.com

Sobre o instrutor:

Rodrigo "Sp0oKeR Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em sistema de segurança opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de sistemas.  Atualmente trabalha como administrator de Segurança Senior na Sucuri Security onde gerencia algumas dezenas de OSSEC que geram mais de 4 milhões de eventos diariamente. Anterior trabalhou na área de pesquisa onde onde focou seu trabalho em assinaturas para Sistema de Detecção de Intrusos, Modsecurity e realizou pesquisas para novos métodos de detecção de atividades maliciosas . Autor de 2 patentes requeridas envolvendo uma técnica para descobrir documentos digitais maliciosos e análise de cabeçalhos HTTP para detectar tráfego malicioso. É coordenador e evangelizador na Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em inúmeras conferencias opensource (FISL, Conisli, Latinoware) e de segurança Brasil e EUA (OWASP Appsec (EUA e Brasil), Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor (Canada), CNASI, Source Boston 2012/2013 e Seattle (EUA), ZonCon (Conferencia Interna da Amazon) Bsides (São Paulo e Las Vegas)) e é coordenador de um projeto para criação de um conjunto de regras para o sistema de detecção de intrusos Snort para malwares Brasileiros.
Cadastro de interesse pode ser feito aqui: Formulário Cadastro

Happy Detection!

Rodrigo "Sp0oKeR" Montoro