sexta-feira, 27 de fevereiro de 2009

Novo Pré-Processador dcerpc2 e ruleset / Falso positivos / Conficker

A semanas atrás fizemos (tradução do blog do VRT) o post no snort-br sobre o lançamento do novo pré-processador dcerpc2 no RC do snort 2.8.4 em http://snort.org.br/index.php?option=com_content&task=view&id=76&Itemid=43

Dias após o lançamento do novo modulo no qual uma das caracteristicas sera a melhoria de performance e menor número de regras, o pessoal do VRT da Sourcefire fez o release das novas regras baseado na utilização do novo pré processor.

http://vrt-sourcefire.blogspot.com/2009/02/dcerpc2-ruleset-now-available.html

Interessante que de mais de 5000 regras o novo ruleset possui por volta de algumas dezenas como poderão ver em http://www.snort.org/vrt/tools/dcerpc2-snort-2.8.4-RC-1.rules

Algo que me chamou atenção foi a quantidade de paginas de documentação do dcerpc2, por volta de 14 paginas, o que mostra que esse pre-processador é de suma importancia ser bem configurado, assim como o bom e velho http_inspect. Deem uma olhada no README do mesmo http://www.snort.org/vrt/tools/README.dcerpc2

Reportar Falso positivos ?

O VRT como todo outra equipe no mundo não consegue gerar regras perfeitas para todos ambientes e escreveram ano passado sobre como reportar um Falso Positivo, sendo que assim eles podem fazer o tuning das regras

http://www.snort.org/vrt/falsepos.html

Qual o motivo de citar o Conficker ?

A quantidade de regras geradas pelo conficker, bem como as milhares ja existente fizeram com que a performance dos sensores ficasse totalmente utilizada, sendo que eu acredito que o conficker foi um grande impulso para o novo pre processador.

Como citado, saiu a variante B++ do conficker, e as regras do snort ainda detectam visto que a forma de propagação na rede

Vejam http://vrt-sourcefire.blogspot.com/2009/02/conficker-variant-b-still-detected.html


Sucesso na utlização do novo pré-processor e espero que na sejam infectados com o conficker =)


Happy Snorting!

Rodrigo Montoro (Sp0oKeR)

quinta-feira, 26 de fevereiro de 2009

Sp0oKeR Virtual World

english

I'm that kind of guy that love to use all social networking stuff and blogging . If you like and wanna become my friend or follow my stuff extra blog click URL bellow.

Linkedin: http://www.linkedin.com/in/spooker
Twitter Personal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
N-Stalker Research Labs: http://community.nstalker.com/
Snort Brazilian Group: http://www.snort.org.br
Training Company: http://www.dynsec.com.br

Most of my time I'm working and/or having fun on something listed above . I'll post soon my friends blog =)


pt_BR

Sou do tipo de pessoa que adora rede sociais e blogar. Se voce tambem curte, quer me adicionar na sua rede de amigos ou seguir o que faço no dia a dia basta seguir os links abaixo:

Linkedin: http://www.linkedin.com/in/spooker
Twitter Pessoal: http://www.twitter.com/spookerlabs
Twitter N-Stalker Labs: http://www.twitter.com.br/nstalker
Laboratório de pesquisas da N-Stalker : http://community.nstalker.com/
Grup Usuário Snort Brasil: http://www.snort.org.br
Empresa de Treinamentos: http://www.dynsec.com.br

Maioria do meu tempo estou trabalhando e/ou me divertindo nesses links. Em breve postarei o blog dos meus amigos por aqui.


Happy Hacking!

Rodrigo Montoro(Sp0oKeR)

quarta-feira, 25 de fevereiro de 2009

Novo blog / New blog

pt_BR

Após alguns anos utilizando o multiply decidi migrar para o blogspot visto que o multiply estava muito engessado.

Espero contar com os leitores do outro blog (isso se voces existirem eheheh).

Continuem acompanhado e espero postar bastante novidades aqui.

english

After years using multiply I solved to change to blogspot cause multiply was so bad to change stuff and "freedom".

I hope to keep readers from other blog here too (if anyone read that ) .

Keep following my blog and I hope to have news .

Coisas Antigas / Old Stuff - http://spookerlabs.multiply.com

Happy Hacking!

Rodrigo Montoro(Sp0oKeR)