O VRT da Sourcefire não realizou nenhum update essa semana mas pode prepara que na próxima semanas certamente lançaram várias regras visto a grande quantidade de updates que sairão no Patch Tuesday da Microsoft.
O Emerging Threats como citei sempre terá regras visto o foco um pouco diferente do VRT da Sourcefire . Abaixo a listagem de novas regras que sairam nessa semana .
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX stack overfow Function call Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX Buildpath method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX GetDriveName method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DriveExists method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS SoftArtisans XFile FileManager ActiveX DeleteFile method stack overflow Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter SELECT FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter DELETE FROM SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UNION SELECT SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter INSERT INTO SQL Injection Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Joomla com_musicgallery Component Id Parameter UPDATE SET SQL Injection Attempt (emerging-web_specific_apps.rules)
ET DOS IBM DB2 kuddb2 Remote Denial of Service Attempt (emerging-dos.rules)
ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET WEB_CLIENT VLC Media Player Aegisub Advanced SubStation (.ass) File Request flowbit set (emerging-web_client.rules)
ET WEB_CLIENT VLC Media Player .ass File Buffer Overflow Attempt (emerging-web_client.rules)
ET EXPLOIT Xerox WorkCentre PJL Daemon Buffer Overflow Attempt (emerging-exploit.rules)
ET WEB_CLIENT Possible Gracenote CDDBControl ActiveX Control ViewProfile Method Heap Buffer Overflow Attempt (emerging-web_client.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery UserCommand Attempt (emerging-web_specific_apps.rules)
ET WEB_SPECIFIC_APPS Possible Zenoss Cross Site Request Forgery Ping UserCommand Attempt (emerging-web_specific_apps.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)
ET TROJAN Zalupko/Koceg/Mandaph HTTP Checkin (2) (emerging-virus.rules)
ET POLICY Proxy TRACE Request - inbound (emerging-policy.rules)
ET POLICY TRACE Request - outbound (emerging-policy.rules)
ET WEB_SERVER Open-Proxy ScannerBot (webcollage-UA) (emerging-user_agents.rules)
ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)
ET WEB_SPECIFIC_APPS HP System Management Homepage Input Validation Cross Site Scripting Attempt (emerging-web_specific_apps.rules)
Eu particularmente gosto das regras que monitoram botnet especialmente em grandes redes pois isso pode se transformar num grande problema visto que se uma máquina foi infectada por algo que seu AntiVirus não detectou o que não seria nenhuma novidade, possivelmente todo seu parque podera estar vulneravel e a detecção pro-ativa facilitara e dominuira seu trabalho certamente . Eu sugiro as regras abaixo a serem utilizadas.
ET TROJAN Sasfis Botnet Client Reporting Back to Controller After Command Execution (emerging-virus.rules)
ET TROJAN Oficla Checkin (2) (emerging-virus.rules)
Essas regras se analisarem são BEM similares até enviarei um e-mail pro Matt Jonkman sugerindo uma regra mais generica . Aproveitando um link de referência bem interessante sobre analise do Sasfis botnet pode ser visto em www.fortiguard.com/analysis/sasfisanalysis.html .
Outra regra interessante de ser utilizada é a regra abaixo que explora mais falhas do IE . Vale lembrar que as maiorias de regras que pegam ataques client-side precisam que seu snort.conf possua a configuração no pre-processador http_inspect de flow_depth 0, pois sem essa configuração somente será analisado os 300 primeiros bytes de resposta da requisição (porém tem que cuidar para performance). Escreverei algo em breve sobre client-side e snort =)
ET CURRENT_EVENTS Possible Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Attempt (emerging-current_events.rules)
Outra falha que acho legal monitorar é o CSRF , nesse caso saiu para o Zenos como podem ver nessa regra "Zenoss Cross Site Request Forgery" . O CSRF geralmente é um ataque bem dificil de ser percebido por quem sofreu o que torna esse monitoramento caso utilize Zenoss interessante. Logicamente lembrando que a melhor solução é sempre utilizar a versão mais atual sem a falha mas monitorar nunca é demais =) .
Para ver as mudanças completas da semana no ET acesse: http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-February/006081.html
Eu enviei algumas regras para alertas sobre Chat no Facebook mas ainda não fizeram comentários e quem sabe na próxima na estara por lá, de qualquer forma segue as regras sugeridas para quem quiser utilizar :
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (sending message)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/send.php";content:"facebook.com";sid:101010;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (buddy list)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/buddy_list.php";content:"facebook.com";sid:101011;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET Facebook Chat (settings)";flow:established,to_server;content:"POST ";depth:5;uricontent:"/ajax/chat/settings.php";content:"facebook.com";sid:101012;)
** Lembre de modificar o sid caso for utilizar .
Lembro que esse são meus comentários e não que dizer que melhor uso. O uso das regras depende totalmente do seu ambiente e necessidade .
Até o próximo SRW que certamente será cheio de novas regras especialmente para cobrir as novas correções do MS Patch Tuesday .
Happy Snorting
Rodrigo Montoro(Sp0oKeR)
sábado, 6 de fevereiro de 2010
quarta-feira, 3 de fevereiro de 2010
[issabr] Confirmação do encontro de abertura GEC (Grupo Estudos CISSP) 2010 - 06/02/10
Caros,
A ISSA Brasil como todo ano possui um grupo de estudos para quem interessar pelas certificações CISSP e/ou CISA . Para participar do grupo voce precisa se associar ao capitulo Brasil do ISSA . O primeiro encontro porém é aberto e quem se interessar conhecer vale dar uma passada lá . O pessoal que tem estudado no grupo tem tido otimos resultados nos exames. Se você tem interesse nas certs certamente um bom local a se frequentar. Se não tem interesse o conteudo tambem é bom e o networking sempre é valido.
Amigos,
Está Confirmado o encontro de abertura do Grupo de Estudos CISSP e CISA 2010 (GEC 2010) - SP para este Sábado, a partir das 8:30h.
Local do encontro: Microsoft Brasil - Avenida das Nações Unidas, 12.901 - 31o. Andar - Torre Norte, São Paulo-SP.
Opções de estacionamento:Shopping D&D localizado ao lado do prédio ou nas ruas adjacentes, a maioria destas exige cartão de zona azul.
Quem estiver interessado em participar e ainda não efetuou inscrição para o evento solicitamos fazer-la através do link a seguir, preferencialmente até às 21:00h de quinta-feira, 4 de Fevereiro de 2010.
http://www.issabrasil.org/grupo-de-estudos/
Neste encontro estaremos expondo a dinâmica do grupo, calendários, material de estudos, entre outros.
Abraços,
Ricardo Leiva
Coordenação GEC - SP
Lembrando que o primeiro dia sempre acontece um roda de papo e cerveja nos arredores .
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
A ISSA Brasil como todo ano possui um grupo de estudos para quem interessar pelas certificações CISSP e/ou CISA . Para participar do grupo voce precisa se associar ao capitulo Brasil do ISSA . O primeiro encontro porém é aberto e quem se interessar conhecer vale dar uma passada lá . O pessoal que tem estudado no grupo tem tido otimos resultados nos exames. Se você tem interesse nas certs certamente um bom local a se frequentar. Se não tem interesse o conteudo tambem é bom e o networking sempre é valido.
Amigos,
Está Confirmado o encontro de abertura do Grupo de Estudos CISSP e CISA 2010 (GEC 2010) - SP para este Sábado, a partir das 8:30h.
Local do encontro: Microsoft Brasil - Avenida das Nações Unidas, 12.901 - 31o. Andar - Torre Norte, São Paulo-SP.
Opções de estacionamento:Shopping D&D localizado ao lado do prédio ou nas ruas adjacentes, a maioria destas exige cartão de zona azul.
Quem estiver interessado em participar e ainda não efetuou inscrição para o evento solicitamos fazer-la através do link a seguir, preferencialmente até às 21:00h de quinta-feira, 4 de Fevereiro de 2010.
http://www.issabrasil.org/grupo-de-estudos/
Neste encontro estaremos expondo a dinâmica do grupo, calendários, material de estudos, entre outros.
Abraços,
Ricardo Leiva
Coordenação GEC - SP
Lembrando que o primeiro dia sempre acontece um roda de papo e cerveja nos arredores .
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
terça-feira, 2 de fevereiro de 2010
(IN)SECURE Magazine 24 is out
Revista online excelente sempre tratando assuntos interessantes no mundo de segurança =)
* Writing a secure SOAP client with PHP: Field report from a real-world project
* How virtualized browsing shields against web-based attacks
* Review: 1Password 3
* Preparing a strategy for application vulnerability detection
* Threats 2.0: A glimpse into the near future
* Preventing malicious documents from compromising Windows machines
* Balancing productivity and security in a mixed environment
* AES and 3DES comparison analysis
* OSSEC: An introduction to open source log and event management
* Secure and differentiated access in enterprise wireless networks
* AND MORE!
Para acessa-la: http://www.net-security.org/insecuremag.php
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
* Writing a secure SOAP client with PHP: Field report from a real-world project
* How virtualized browsing shields against web-based attacks
* Review: 1Password 3
* Preparing a strategy for application vulnerability detection
* Threats 2.0: A glimpse into the near future
* Preventing malicious documents from compromising Windows machines
* Balancing productivity and security in a mixed environment
* AES and 3DES comparison analysis
* OSSEC: An introduction to open source log and event management
* Secure and differentiated access in enterprise wireless networks
* AND MORE!
Para acessa-la: http://www.net-security.org/insecuremag.php
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
segunda-feira, 1 de fevereiro de 2010
[GTER] GTS-15 Sao Paulo / Chamada de Propostas
GTER - Grupo de Trabalho de Engenharia e Operação de Redes - 29ª Reunião
GTS - Grupo de Trabalho em Segurança de Redes - 15ª Reunião
São Paulo - 14 e 15 de maio de 2010
http://gter.nic.br/
http://gts.nic.br/
% Chamada de Trabalhos
O GTS - Grupo de Trabalho em Segurança de Redes, está organizando sua 15a. Reunião em conjunto com a 29a. Reunião do Grupo de Trabalho de Engenharia e Operação de Redes (GTER), nos dias 14 e 15 de MAIO de 2010, em SÃO PAULO, SP.
A reunião do GTS estará ocorrendo conjuntamente com o GTER, mas desta vez será realizada no primeiro dia do evento, para que o programa de segurança se integre melhor com a ocorrência prévia do IV CeCOS - Counter-eCrime Operations Summit http://www.antiphishing.org/events/2010_opSummit.html
% Agenda:
11 a 13.05.2010: IV CeCOS (Counter-eCrime Operations Summit)
14.05.2010: GTS-15
15.05.2010: GTER-29
% PATROCINADORES:
A infra-estrutura do evento é patrocinada pelo Comitê Gestor da Internet no Brasil, mas há oportunidades de patrocínio de camisetas, coffee-breaks e eventos sociais. Detalhes de patrocínio podem ser encontrados em http://gter.nic.br/reunioes/como-patrocinar
% Chamada
Assim, convidamos a comunidade de profissionais de Internet no Brasil para o envio de propostas de apresentações.
O material deve tratar principalmente de aspectos práticos e
operacionais da atualidade da segurança da Internet no país. O comitê de
programa do GTS busca identificar apresentações que procurem
compartilhar aplicações práticas e experiências de sucesso (ou fracasso)
na área, envolvendo novas tecnologias de segurança e estudos de casos.
Segue uma lista não exaustiva, de sugestões para tópicos:
* . Análise de artefatos;
* . Análise de risco;
* . Assinaturas digitais;
* . Combate a fraudes por computador;
* . Combate a DoS / DDoS;
* . Continuidade de negócios e operações;
* . Detecção e proteção de intrusão;
* . Filtros, proxies e firewalls;
* . Perícia e análise forense;
* . Políticas de segurança;
* . Prevenção e combate ao spam;
* . Programação segura;
* . Recuperação de desastres;
* . Segurança wireless;
* . Segurança de infra-estrutura;
* . Segurança de sistemas e redes;
* . Segurança de operação de DNS;
* . Tratamento de incidentes;
* . Outros temas de interesse da comunidade de segurança.
Ressalta-se que que as apresentações sejam aplicadas e *não* devem ser voltadas a produtos e soluções de fornecedores específicos, com fins comerciais, nem trabalhos que sejam com ênfase puramente acadêmica. As reuniões do GTS e do GTER buscam a pluralidade de soluções, com ênfase em "expertise", e não em produtos proprietários específicos, excetuando-se aqueles de código aberto.
A chamada específica de trabalhos para a reunião do GTER pode ser consultada em http://gter.nic.br
% Formato de Envio:
Para a reunião do GTS-15 as propostas deverão ser apresentadas de acordo com as instruções disponíveis no endereço: http://gts.nic.br/reunioes/proposta
As apresentações devem ter duração máxima de 50 minutos incluindo tempo
para perguntas e respostas.
Datas Importantes
-----------------
Limite para envio depropostas: 29/03/2010
Notificações dos Autores: 09/04/2010
Pré-agenda: 12/04/2010
Abertura das Inscrições: 12/04/2010
Local
-----
Blue Tree Towers Morumbi - São Paulo - SP
Apoio
-----
Comitê Gestor da Internet no Brasil
Organização
-----------
NIC.br
GTS - Grupo de Trabalho em Segurança de Redes - 15ª Reunião
São Paulo - 14 e 15 de maio de 2010
http://gter.nic.br/
http://gts.nic.br/
% Chamada de Trabalhos
O GTS - Grupo de Trabalho em Segurança de Redes, está organizando sua 15a. Reunião em conjunto com a 29a. Reunião do Grupo de Trabalho de Engenharia e Operação de Redes (GTER), nos dias 14 e 15 de MAIO de 2010, em SÃO PAULO, SP.
A reunião do GTS estará ocorrendo conjuntamente com o GTER, mas desta vez será realizada no primeiro dia do evento, para que o programa de segurança se integre melhor com a ocorrência prévia do IV CeCOS - Counter-eCrime Operations Summit http://www.antiphishing.org/events/2010_opSummit.html
% Agenda:
11 a 13.05.2010: IV CeCOS (Counter-eCrime Operations Summit)
14.05.2010: GTS-15
15.05.2010: GTER-29
% PATROCINADORES:
A infra-estrutura do evento é patrocinada pelo Comitê Gestor da Internet no Brasil, mas há oportunidades de patrocínio de camisetas, coffee-breaks e eventos sociais. Detalhes de patrocínio podem ser encontrados em http://gter.nic.br/reunioes/como-patrocinar
% Chamada
Assim, convidamos a comunidade de profissionais de Internet no Brasil para o envio de propostas de apresentações.
O material deve tratar principalmente de aspectos práticos e
operacionais da atualidade da segurança da Internet no país. O comitê de
programa do GTS busca identificar apresentações que procurem
compartilhar aplicações práticas e experiências de sucesso (ou fracasso)
na área, envolvendo novas tecnologias de segurança e estudos de casos.
Segue uma lista não exaustiva, de sugestões para tópicos:
* . Análise de artefatos;
* . Análise de risco;
* . Assinaturas digitais;
* . Combate a fraudes por computador;
* . Combate a DoS / DDoS;
* . Continuidade de negócios e operações;
* . Detecção e proteção de intrusão;
* . Filtros, proxies e firewalls;
* . Perícia e análise forense;
* . Políticas de segurança;
* . Prevenção e combate ao spam;
* . Programação segura;
* . Recuperação de desastres;
* . Segurança wireless;
* . Segurança de infra-estrutura;
* . Segurança de sistemas e redes;
* . Segurança de operação de DNS;
* . Tratamento de incidentes;
* . Outros temas de interesse da comunidade de segurança.
Ressalta-se que que as apresentações sejam aplicadas e *não* devem ser voltadas a produtos e soluções de fornecedores específicos, com fins comerciais, nem trabalhos que sejam com ênfase puramente acadêmica. As reuniões do GTS e do GTER buscam a pluralidade de soluções, com ênfase em "expertise", e não em produtos proprietários específicos, excetuando-se aqueles de código aberto.
A chamada específica de trabalhos para a reunião do GTER pode ser consultada em http://gter.nic.br
% Formato de Envio:
Para a reunião do GTS-15 as propostas deverão ser apresentadas de acordo com as instruções disponíveis no endereço: http://gts.nic.br/reunioes/proposta
As apresentações devem ter duração máxima de 50 minutos incluindo tempo
para perguntas e respostas.
Datas Importantes
-----------------
Limite para envio depropostas: 29/03/2010
Notificações dos Autores: 09/04/2010
Pré-agenda: 12/04/2010
Abertura das Inscrições: 12/04/2010
Local
-----
Blue Tree Towers Morumbi - São Paulo - SP
Apoio
-----
Comitê Gestor da Internet no Brasil
Organização
-----------
NIC.br
domingo, 31 de janeiro de 2010
SRW - Snort Rules Week (VRT e ET) - edição 1 (25 Jan 2010/31 Jan 2010)
Começarei com esse post uma serie semanal que pretendo postar todo domingo ou segunda-feira de cada semana comentando sobre os updates realizados pelo Emerging-Threats e as regras do VRT (Oficiais da Sourcefire). Aqui não farei comentários de updates de regras antigas ou algo relacionado e também pretendo adicionar links de referência de for o caso .
Inicialmente vamos a update do VRT lançado em 28/01/2010
http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-01-28.html
O update possui
3 regras com alta criticidade
1 regra de baixa criticidade
Analisando as regras a que mais chamou atenção apesar foi a 16391 <-> SPECIFIC-THREATS Gozi Trojan connection to C&C attempt (specific-threats.rules, High) pois olhadando a referência que era a analise do sample da mesma a detecção dos AntiVirus foi 0 de 40 o que cada vez mais demonstram a fragilidade dos AV's e necessidade crescente de multiplos pontos de proteção . Vejam a referência citada na regra AQUI .
Sobre o Emerging-threats vocês podem acompanhar as mudanças da semana assinando a lista ou vendo o archive da lista . O desta semana pode ser visto em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-January/005939.html
Algumas regras que achei interessante
ET USER_AGENTS Internet Explorer 6 in use - Significant Security Risk (emerging-policy.rules) - devido ao 0day correndo pela internet e alguns grandes portais falando que não suportarão mais o mesmo é legal voce habilitar essa regra . Logicamente se no seu parque possuir muitas maquinas com IE ainda e for do seu conhecimento será um PESSIMO negocio habilitar a mesma .
ET TROJAN Oficla Russian Malware Bundle C&C instruction response with runurl (emerging-virus.rules)
ET TROJAN Oficla Russian Malware Bundle C&C instruction response (emerging-virus.rules)
ET TROJAN Oficla Checkin (emerging-virus.rules)
ET TROJAN Oficla Russian Malware Bundle C&C instruction response (emerging-virus.rules)
O Oficla foi o nome dado aos problemas de um possivel C&C que o Aurora formaria. Essas quatros regras detectam essa possivel comunição avisando para maquinas da sua rede que façam parte da botnet .
Existem algumas regras que iniciam com "ET EXPLOIT FTP" no qual eu não usuaria visto que o snort possuem o pre-processador FTP/TELNET e no caso eles alegam que seria a detecção de comando FTP sem o usuário ter se logado o que eu acho que temos que detectar o exploit/falha que possibilitou a realização dos comandos e não o pos-detection (mas como frisado essa é minha opinião) .
Ao contrario do VRT o ET possui um ruleset que costumo dizer que é de administrador pra administrador pegando ameaças mais atuais e do dia a dia sendo que possui updates bem maiores de regras frequentemente mas vale frisar que sem um QA de performance o que obriga voce a usá-lo com maior cuidado .
Sempre vale frisar que não é porque a regra é crítica ou baixa ela deva ser habilitada ou não, vale muito analisar se sua rede esta sujeita aos ataques visto que muitas regras podem comprometer a melhor performance do seu IDS/IPS.
Lembro que esse são meus comentários e não que dizer que melhor uso. O uso das regras depende totalmente do seu ambiente e necessidade .
Até o próximo SRW .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
Inicialmente vamos a update do VRT lançado em 28/01/2010
http://www.snort.org/vrt/docs/ruleset_changelogs/CURRENT/changes-2010-01-28.html
O update possui
3 regras com alta criticidade
1 regra de baixa criticidade
Analisando as regras a que mais chamou atenção apesar foi a 16391 <-> SPECIFIC-THREATS Gozi Trojan connection to C&C attempt (specific-threats.rules, High) pois olhadando a referência que era a analise do sample da mesma a detecção dos AntiVirus foi 0 de 40 o que cada vez mais demonstram a fragilidade dos AV's e necessidade crescente de multiplos pontos de proteção . Vejam a referência citada na regra AQUI .
Sobre o Emerging-threats vocês podem acompanhar as mudanças da semana assinando a lista ou vendo o archive da lista . O desta semana pode ser visto em http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-January/005939.html
Algumas regras que achei interessante
ET USER_AGENTS Internet Explorer 6 in use - Significant Security Risk (emerging-policy.rules) - devido ao 0day correndo pela internet e alguns grandes portais falando que não suportarão mais o mesmo é legal voce habilitar essa regra . Logicamente se no seu parque possuir muitas maquinas com IE ainda e for do seu conhecimento será um PESSIMO negocio habilitar a mesma .
ET TROJAN Oficla Russian Malware Bundle C&C instruction response with runurl (emerging-virus.rules)
ET TROJAN Oficla Russian Malware Bundle C&C instruction response (emerging-virus.rules)
ET TROJAN Oficla Checkin (emerging-virus.rules)
ET TROJAN Oficla Russian Malware Bundle C&C instruction response (emerging-virus.rules)
O Oficla foi o nome dado aos problemas de um possivel C&C que o Aurora formaria. Essas quatros regras detectam essa possivel comunição avisando para maquinas da sua rede que façam parte da botnet .
Existem algumas regras que iniciam com "ET EXPLOIT FTP" no qual eu não usuaria visto que o snort possuem o pre-processador FTP/TELNET e no caso eles alegam que seria a detecção de comando FTP sem o usuário ter se logado o que eu acho que temos que detectar o exploit/falha que possibilitou a realização dos comandos e não o pos-detection (mas como frisado essa é minha opinião) .
Ao contrario do VRT o ET possui um ruleset que costumo dizer que é de administrador pra administrador pegando ameaças mais atuais e do dia a dia sendo que possui updates bem maiores de regras frequentemente mas vale frisar que sem um QA de performance o que obriga voce a usá-lo com maior cuidado .
Sempre vale frisar que não é porque a regra é crítica ou baixa ela deva ser habilitada ou não, vale muito analisar se sua rede esta sujeita aos ataques visto que muitas regras podem comprometer a melhor performance do seu IDS/IPS.
Lembro que esse são meus comentários e não que dizer que melhor uso. O uso das regras depende totalmente do seu ambiente e necessidade .
Até o próximo SRW .
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)
sexta-feira, 29 de janeiro de 2010
whois atualizado para 1/8 alocado para APNIC
Como muitos sabem o range 1.0.0.0/8 foi alocado para APNIC . A alguns dias atrás o whois ainda estava desatualizado mas agora já esta ok =) . Como comentaram no twitter será legal quem possuir o ip 1.2.3.4 nem de DNS precisara heheheh.
Whois realizado dia 24/01/2010
spooker@notsecure:~$ whois 1.2.3.4
OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US
NetRange: 1.0.0.0 - 1.255.255.255
CIDR: 1.0.0.0/8
NetName: RESERVED-9
NetHandle: NET-1-0-0-0-1
Parent:
NetType: IANA Reserved
Comment:
RegDate:
Updated: 2002-09-12
OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org
OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org
# ARIN WHOIS database, last updated 2010-01-21 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html
spooker@notsecure:~$
Whois realizado hoje 29/01/2010
spooker@notsecure:~$ whois 1.2.3.4
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
ReferralServer: whois://whois.apnic.net
NetRange: 1.0.0.0 - 1.255.255.255
CIDR: 1.0.0.0/8
NetName: APNIC-1
NetHandle: NET-1-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: NS2.LACNIC.NET
NameServer: NS-SEC.RIPE.NET
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:
Updated: 2010-01-27
OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3188
OrgTechEmail: search-apnic-not-arin@apnic.net
# ARIN WHOIS database, last updated 2010-01-28 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html
Found a referral to whois.apnic.net.
% [whois.apnic.net node-3]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 1.2.3.0 - 1.2.3.255
netname: Debogon-prefix
descr: APNIC Debogon Project
descr: APNIC Pty Ltd
country: AU
admin-c: AP16-AP
tech-c: AP16-AP
mnt-by: APNIC-HM
mnt-routes: MAINT-APNIC-DEBOGON
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20100122
status: ASSIGNED PORTABLE
source: APNIC
route: 1.2.3.0/24
descr: APNIC debogon project testing
origin: AS12654
country: AU
mnt-by: MAINT-APNIC-DEBOGON
changed: hm-changed@apnic.net 20100122
source: APNIC
person: Arth Paulite
nic-hdl: AP16-AP
e-mail: arth@apnic.net
address: PO BOX 2131
address: 4064 QLD
phone: +617-38583188
fax-no: +617-38583199
country: AU
mnt-by: MAINT-APNIC-HELPDESK
changed: hm-changed@apnic.net 20080917
source: APNIC
spooker@notsecure:~$
Mais info:
http://seclists.org/nanog/2010/Jan/776
http://tech.slashdot.org/story/10/01/24/2139250/IPv4-Free-Pool-Drops-Below-10-10008-Allocated?art_pos=1
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
Whois realizado dia 24/01/2010
spooker@notsecure:~$ whois 1.2.3.4
OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US
NetRange: 1.0.0.0 - 1.255.255.255
CIDR: 1.0.0.0/8
NetName: RESERVED-9
NetHandle: NET-1-0-0-0-1
Parent:
NetType: IANA Reserved
Comment:
RegDate:
Updated: 2002-09-12
OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org
OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org
# ARIN WHOIS database, last updated 2010-01-21 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html
spooker@notsecure:~$
Whois realizado hoje 29/01/2010
spooker@notsecure:~$ whois 1.2.3.4
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
ReferralServer: whois://whois.apnic.net
NetRange: 1.0.0.0 - 1.255.255.255
CIDR: 1.0.0.0/8
NetName: APNIC-1
NetHandle: NET-1-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: NS2.LACNIC.NET
NameServer: NS-SEC.RIPE.NET
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:
Updated: 2010-01-27
OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3188
OrgTechEmail: search-apnic-not-arin@apnic.net
# ARIN WHOIS database, last updated 2010-01-28 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html
Found a referral to whois.apnic.net.
% [whois.apnic.net node-3]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 1.2.3.0 - 1.2.3.255
netname: Debogon-prefix
descr: APNIC Debogon Project
descr: APNIC Pty Ltd
country: AU
admin-c: AP16-AP
tech-c: AP16-AP
mnt-by: APNIC-HM
mnt-routes: MAINT-APNIC-DEBOGON
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20100122
status: ASSIGNED PORTABLE
source: APNIC
route: 1.2.3.0/24
descr: APNIC debogon project testing
origin: AS12654
country: AU
mnt-by: MAINT-APNIC-DEBOGON
changed: hm-changed@apnic.net 20100122
source: APNIC
person: Arth Paulite
nic-hdl: AP16-AP
e-mail: arth@apnic.net
address: PO BOX 2131
address: 4064 QLD
phone: +617-38583188
fax-no: +617-38583199
country: AU
mnt-by: MAINT-APNIC-HELPDESK
changed: hm-changed@apnic.net 20080917
source: APNIC
spooker@notsecure:~$
Mais info:
http://seclists.org/nanog/2010/Jan/776
http://tech.slashdot.org/story/10/01/24/2139250/IPv4-Free-Pool-Drops-Below-10-10008-Allocated?art_pos=1
Happy Hacking!
Rodrigo Montoro(Sp0oKeR)
quarta-feira, 27 de janeiro de 2010
Brasileiros/Segurança no twitter - Update 30/01/2010
Baseado no post de nossos hermanos Argentinos resolvi postar sobre os security brazukas twiteiros que estão perdidos por ai =)
Last Update: 30/01/2010 - 16:00 am
Lembrando que o Anchises fez um post com vários profissionais também em http://anchisesbr.blogspot.com/2010/01/seguranca-72-perfis-de-profissionais-de.html
Update 30/01/2010
@brinhosa - Rafael Brinhosa
@WeberRess - Weber Ress
@danielcid - Daniel Cid
@tbordini - Thiago Bordini
@kynder1 - Hudson G M Figueredo
@lymas - Joao Lyma
@1bogus - Rubens Hilcko
@chm0dz - Cristiano Fernandes
@AlexandreFiori - Alexandre Fiori
@rainer_alves - Rainer Alves
@gsilos - Fabiano Silos
@djserdan - Cassiano Serdan
@coelhobruno - Bruno Coelho Costa
@lookbeat - Pedro Ortale Neto
@thmusa - Thiago Musa
@rncury - Roberto Cury Jr.
@elmalmeida - Emanuel Almeida
@b1n - Marcio Ribeiro
@felipesalum - Felipe Salum
@wolmergodoi - Wolmer Godoi
@alanjumpi - Alan Jumpi
@caloni - Caloni
@besecure - Pedro Bueno
@cnacorrea - Carlos 'Bill' Nilton
@vpereira - Vitor Pereira
@marcelotoledo - MarceloToledo
@arnaldostream - Arnaldo Pereira
@consultorlinux - Alberto Reis
@dverzolla - David Verzolla
@gustavorobertux - Gustavo Roberto
@egodinho - Edu Godinho
@anchisesbr - Anchises de Paula
Lista Inicial
@spookerlabs - Rodrigo Montoro
@mphx2 - Bruno Gonçalves
@ronaldotcom - Ronaldo Vasconcellos
@elduardo - Luiz Eduardo
@wcaprino - Willian Caprino
@jczucco - Jeronimo Zucco
@nelsonmurilo - Nelson Murilo
@welias - Wagner Elias
@ivocarv - Ivo Carvalho
@efjgrub - Edison Figueira Junior
@stdiasp - Sergio Dias
@juliocesarfort - Julio Cesar Fort
@evcneves - Eduardo Camargo Neves
@suffert - Sandro Süffert
@_eth0_ - Eduardo Serrano Neves
@clebeer - Cleber Brandão
@zaninotti - Thiago Zaninotti
@usscastro - Ulisses Castro
@nnovaes - Nelson Novaes
@julioauto - Julio Auto
@gustavoid - Gustavo Scotti
@nbrito - Nelson Brito
@altieres - Altieres Rohr
@rodrigoantao - Rodrigo Antao
@luizcabuloso - Luiz Cabuloso
@jespinhara - Joaquim Espinhara
@segfault - Carlos E. Santiviago
@aramosorg - Anderson Ramos
@bsdaemon - Rodrigo Rubira Branco
@famatte - Fernando Amatte
@filipebalestra - Filipe Balestra
@viniciuskmax - Vinicius K-Max
@alexandrosilva - Alexandro Silva
@joaorodolfo - João Rodolfo
@lzanardo - Luiz Zanardo
@fmilagres - Francisco Milagres
@leocm - Leonardo Cavallari
@assolini - Fabio Assolini
@fernandofonseca - Fernando Fonseca
@prenato - Paulo Renato
@lucasdonato - Lucas Donato
@rodrigojorge - Rodrigo Jorge
Eventos / Papers / Podcasts / Blogs / Grupos / Empresas
@ystscon - You Shot the Sheriff Conference
@istspodcast - Podcast You Shot The Sheriff
@thebugzine - The Bug! Magazine
@risesecurity - Rise Security Group
@h2hconference - Hackers 2 Hackers Conferente
@hcfbr - Hacker For Charities Brazil
@linhadefensiva - Linha Defensiva
@nstalker - Nstalker Web Security Scanner
@issabrasil - ISSA Brasil
Logicamente faltam pessoas nessa lista visto que não tive paciencia pra olhar todos os que sigo . Me enviem sugestões por favor para completa-la =).
Podemos também dividir isso em área que atuam como pentesters, network security, pesquisadores, auditores ...
Happy Hacking!
Rodrigo Montoro (Sp0oKeR)
Last Update: 30/01/2010 - 16:00 am
Lembrando que o Anchises fez um post com vários profissionais também em http://anchisesbr.blogspot.com/2010/01/seguranca-72-perfis-de-profissionais-de.html
Update 30/01/2010
@brinhosa - Rafael Brinhosa
@WeberRess - Weber Ress
@danielcid - Daniel Cid
@tbordini - Thiago Bordini
@kynder1 - Hudson G M Figueredo
@lymas - Joao Lyma
@1bogus - Rubens Hilcko
@chm0dz - Cristiano Fernandes
@AlexandreFiori - Alexandre Fiori
@rainer_alves - Rainer Alves
@gsilos - Fabiano Silos
@djserdan - Cassiano Serdan
@coelhobruno - Bruno Coelho Costa
@lookbeat - Pedro Ortale Neto
@thmusa - Thiago Musa
@rncury - Roberto Cury Jr.
@elmalmeida - Emanuel Almeida
@b1n - Marcio Ribeiro
@felipesalum - Felipe Salum
@wolmergodoi - Wolmer Godoi
@alanjumpi - Alan Jumpi
@caloni - Caloni
@besecure - Pedro Bueno
@cnacorrea - Carlos 'Bill' Nilton
@vpereira - Vitor Pereira
@marcelotoledo - MarceloToledo
@arnaldostream - Arnaldo Pereira
@consultorlinux - Alberto Reis
@dverzolla - David Verzolla
@gustavorobertux - Gustavo Roberto
@egodinho - Edu Godinho
@anchisesbr - Anchises de Paula
Lista Inicial
@spookerlabs - Rodrigo Montoro
@mphx2 - Bruno Gonçalves
@ronaldotcom - Ronaldo Vasconcellos
@elduardo - Luiz Eduardo
@wcaprino - Willian Caprino
@jczucco - Jeronimo Zucco
@nelsonmurilo - Nelson Murilo
@welias - Wagner Elias
@ivocarv - Ivo Carvalho
@efjgrub - Edison Figueira Junior
@stdiasp - Sergio Dias
@juliocesarfort - Julio Cesar Fort
@evcneves - Eduardo Camargo Neves
@suffert - Sandro Süffert
@_eth0_ - Eduardo Serrano Neves
@clebeer - Cleber Brandão
@zaninotti - Thiago Zaninotti
@usscastro - Ulisses Castro
@nnovaes - Nelson Novaes
@julioauto - Julio Auto
@gustavoid - Gustavo Scotti
@nbrito - Nelson Brito
@altieres - Altieres Rohr
@rodrigoantao - Rodrigo Antao
@luizcabuloso - Luiz Cabuloso
@jespinhara - Joaquim Espinhara
@segfault - Carlos E. Santiviago
@aramosorg - Anderson Ramos
@bsdaemon - Rodrigo Rubira Branco
@famatte - Fernando Amatte
@filipebalestra - Filipe Balestra
@viniciuskmax - Vinicius K-Max
@alexandrosilva - Alexandro Silva
@joaorodolfo - João Rodolfo
@lzanardo - Luiz Zanardo
@fmilagres - Francisco Milagres
@leocm - Leonardo Cavallari
@assolini - Fabio Assolini
@fernandofonseca - Fernando Fonseca
@prenato - Paulo Renato
@lucasdonato - Lucas Donato
@rodrigojorge - Rodrigo Jorge
Eventos / Papers / Podcasts / Blogs / Grupos / Empresas
@ystscon - You Shot the Sheriff Conference
@istspodcast - Podcast You Shot The Sheriff
@thebugzine - The Bug! Magazine
@risesecurity - Rise Security Group
@h2hconference - Hackers 2 Hackers Conferente
@hcfbr - Hacker For Charities Brazil
@linhadefensiva - Linha Defensiva
@nstalker - Nstalker Web Security Scanner
@issabrasil - ISSA Brasil
Logicamente faltam pessoas nessa lista visto que não tive paciencia pra olhar todos os que sigo . Me enviem sugestões por favor para completa-la =).
Podemos também dividir isso em área que atuam como pentesters, network security, pesquisadores, auditores ...
Happy Hacking!
Rodrigo Montoro (Sp0oKeR)
Assinar:
Postagens (Atom)
