terça-feira, 27 de novembro de 2012

Pesquisa de Interesse - Treinamentos na área de Detecção de Intrusos (Gravados)

Caros,

Estou fazendo uma pesquisa para lançar em 2013 alguns treinamentos, dependendo da demanda todos os treinamentos. Serão treinamentos com Snort, OSSEC, ModSecurity e RazorBack.

Caso possam ajudar ou tiverem interesse

Link para o formulário: http://bit.ly/Y0LNEO

Obrigado desde já!

Happy Detection!

Rodrigo Montoro

quarta-feira, 3 de outubro de 2012

Curso de Inglês voltado para TI - Ensino a Distância

Caros,

Atualmente é quase impossível não saber inglês apra trabalhar na area de TI. Especialmente para leituras e palestras internacionais, bem como vagas de empregos em grandes empresas isso se torna quase um quesito obrigatório.

Sabendo da necessidade, da falta de paciência para cursos tradicionais e a falta do vocabulário técnico que no final o que mais importante montamos um treinamento focados para profissionas de TI (Redes, Segurança, Desenvolvimento ...).

O grande diferencial do treinamento será a utilização desde do inicio de material de apoio como manuais, guias bem como palestras da área em inglês. O curso será desenvolvido e ministrado por professoras de inglês com o meu lado técnico, problemas que enfrentei (e enfrento) e materiais interessantes, que além de ensinar o inglês técnico poderá trazer conhecimento pois indiretamente estara estudando novos assunto.

Os cursos devem ser lançados para inicio de Janeiro/2013 devido aos problemas de férias no final do ano, o que não seria bom para a turma. Porém estamos com cadastro de interessados:

https://docs.google.com/spreadsheet/viewform?fromEmail=true&formkey=dHd5TDQwc29nanpzV0hYTmcyZjJJcUE6MQ

Qualquer dúvidas fique a vontade para entrar em contato.

Att,

Rodrigo "Sp0oKeR" Montoro

quarta-feira, 15 de agosto de 2012

5 bons motivos para você fazer treinamento a distância

Hoje estava pensando em vantagens do treinamento a distância e essas 5 me pareceram as grandes vantagens:

1-) Você não perde tempo com deslocamento

      Em alguns grandes centros como São Paulo, além das horas do treinamento voce podera perder tranquilamente 2h para ir e voltar para casa

2-) Valores mais baixos

      O custo para quem ministra o curso é muito mais baixo, fazendo com que o valor do treinamento muitas vezes custe 30% do valor de um treinamento presencial.

3-) Maior tempo para debater assuntos

     Em uma aula presencial, especialmente intensivos de 40h na semana o professor tem que seguir a risca o conteúdo para dar tempo de cumprir o planejado, enquanto no online simplesmente pode se adicionar uma aula.

4-) Acesso a bons instrutores sem a necessidade de gastos astronomicos

     Uma das grandes vantagens é que o EaD abrange qualquer local com conexão com internet, o aluno não precisa gastar uma grana com avião, hotel, taxi e refeições para ter acesso a bons treinamentos nos grandes centros.

5-) As aulas são gravadas

       Caso você não consiga comparecer a aula por algum motivo (sério ou simplesmente porque não quer) voce podera assistir a gravação.

Logicamente isso é minha opinião, não sou contra treinamentos presenciais até porque o presencial possue algumas vantagens e alguns treinamentos são complicados de se ministrar online visto estrutura necessária.

Caso você veja mais vantagens poste nos comentários, adiciono um update aqui.

Viva o EaD!

Happy Snorting!

Rodrigo "Sp0oKeR" Montoro

terça-feira, 7 de agosto de 2012

Palestrarei sobre PDFScore na Source Seattle (EUA)

Fui notificado que palestrarei em Setembro na Source Seattle (EUA). Fiquei bem feliz, primeira palestra do pdfscore após um bom tempo de standby.

Muito empolgado em alguns novos testes que tenho em mente para aprimorar a técnica e apresentar.

Mais info:

Scoring PDF structure to detect malicious files

http://www.sourceconference.com/seattle/speakers_2012.asp


Happy Detection!

Rodrigo "Sp0oKeR" Montoro

domingo, 22 de julho de 2012

Palestras a caminho - Mobile Snitch (EUA e Brasil)

Para quem interessar próximas 2 palestras que ministrarei (Brasil e EUA) juntamente com o Luiz Eduardo :

BSides Las Vegas (26 Julho)

http://bsideslv.com/talks.php#ug201

Seginfo Rio de Janeiro (27 Agosto até 1 de Setembro)

http://www.evento.seginfo.com.br/palestras/

Nos vemos por lá!

Happy Detection!

Rodrigo "Sp0oKeR" Montoro

quarta-feira, 18 de julho de 2012

Introdução Pre-Processadores - Serie Snortando (Parte 6)

Depois de algum tempo sumido estamos de volta com a Série Snortando. Caso não tenha visto os post anteriores e a Agenda basta acessa aqui: http://spookerlabs.blogspot.com.br/2012/01/agenda-da-serie-snortando.html

Como comentamos anteriormente o Snort possui um ciclo, no qual o quanto mais rápido o pacote for analisado ou retirado do ciclo melhor a performance. Basicamente temos:

Aquisição do tráfego (DAQ) -> Decoders -> Pré-Processadores -> Engine de Detecção (Assinaturas/Regras) -> Plugins de Saída

Os pré-processadores tem um papel MUITO importante nesse ciclo de detecção e é de suma importância entende-los. Alguma das funções que podemos salientar:

- Remontagem pacotes IP fragmentados (frag3)
- Reassemble protocolo TCP (stream5)
- Normalização de encodes HTTP (http_inspect)
- Javascript (http_inspect)
- Analise de performance (perfmonitor)
- Normalização de tráfego de e-mail (SMTP / POP e IMAP)
- Normalização tráfego SMB/Netbios (DCERPC2)
- Arp Spoofing (arpspoof)
- Lista de Reputação IP (ip_reputation)
- Detecção dados confidenciais (sensitive_data)

No total o snort possui por volta de 22 pre-processadores que tem o trabalho de repassar os dados o mais normalizado e "original" possivel para o sistema de deteção possa fazer seu trabalhando, mitigando os falsos-negativos, vulgo, bypass.

Como citei na agenda falaremos em especifico da maioria dos pre-processadores visto a grande importancia dos mesmo. O interessante que o pre-processador pode remover os dados do ciclo ganhando assim tempo visto que isso dara oportunidade para analisar outro pacote.

Algo que é de suma importancia para a configuração correta dos mesmo é entender como os protocolos funcionam, pois sem isso fica dificil configura-los de forma correta. Também temos as pre-proc rules que serão comentadas no próximo blogpost no qual cobrirei esse assunto.

Em resumo os pre-processadores são a parte mais importante do Snort, muito mais que as assinaturas pois se a normalização não acontecer de forma correta de nada adiantara as regras.

Lembrando que ministrarei treinamento completo EaD no próximo mes (Agosto/2012) - http://spookerlabs.blogspot.com.br/2012/06/treinamento-snort-completo-ensino.html

Happy Snorting!

Rodrigo "Sp0oKeR" Montoro

quarta-feira, 4 de julho de 2012

Silver Bullet 2012 - Chamada de Trabalhos

10 e 11 de Novembro de 2012
FECOMERCIO, São Paulo
http://www.sbconference.com.br

Sobre

O Silver Bullet tem por objetivo agrupar em um mesmo espaço especialistas e interessados em segurança da informação, além de promover novas pesquisas e palestrantes nacionais da comunidade.

A segunda edição do Silver Bullet será realizada na FECOMERCIO, em São Paulo, nos dias 10 e 11 de Novembro de 2012.

O evento é organizado pelos mesmos criadores da reconhecida conferência You Sh0t the Sheriff, que este ano completou sua sexta edição.

Submissão de trabalhos

Qualquer assunto relacionado com segurança da informação, técnico ou não, pode ser submetido, cabendo ao comitê organizador avaliá-lo, levando em consideração aspectos que incluem originalidade, criatividade, atualidade, ineditismo, interesse da audiência e relevância.

A submissão deve ser planejada para ser apresentada em um tempo máximo de 40 minutos.

Benefícios aos palestrantes

- 700 reais para ajuda de custos de translado e hospedagem para palestrantes residentes fora da grande São Paulo.

Processo de submissão

As submissões devem ser encaminhadas para: cfp (arroba) sbconference.com.br APENAS no formato txt. Serão aceitas palestras em portugues, inglês ou espanhol.

Cada submissão deve conter as seguintes informações:

1. Nome
2. Apelido ou como deseja ser chamado
3. Email, Twitter, Site
4. Telefone/Celular
5. Empresa
6. Breve biografia
7. Titulo da apresentação
8. Sumário da apresentação
9. Onde este material foi apresentado antes e diferenças para a versão atual
10. Se serão incluidas demostrações
11. Equipamentos necessários para apresentação, além de projetor e tela

Datas importantes

Encerramento de recebimento dos trabalhos: 21 de Setembro 23:59 (GMT-3)
Anúncio aos palestrantes escolhidos: 01 de Outubro
Evento 10 e 11 de Novembro

Outras Informações

Email: info (arroba) sbconference com br
Twitter: @SilverBulletCon
Site: http://sbconference.com.br

segunda-feira, 25 de junho de 2012

Treinamento Snort Completo - Ensino a Distância (EaD)

Resumo
Treinamento Snort Completo
Carga Horária: 40h sendo 4h semanais dividido em 2 aulas de 2h (19:30 as 21:30 - Terças / Quintas)
Modo: Ensino a Distancia
Data Inicio: 07 de Agosto 2012

Instrutor

Rodrigo "Sp0oKeR Montoro é certificado LPI, RHCE e SnortCP com 14 anos de experiência em sistema de segurança opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de sistemas.  Na Trustwave Rodrigo trabalha no time de pesquisas do Spiderlabs onde ele foca seu trabalho em assinaturas para Sistema de Detecção de Intrusos, Modsecurity e realiza pesquisas para novos métodos de detecção de atividades maliciosas ( PDFScore, HTTP Header Hunter e uma nova idéia para descobrir binários maliciosos através de scoring). Autor de uma patente requerida envolvendo uma técnica para descobrir documentos digitais maliciosos. É coordenador e evangelizador na Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em inúmeras conferencias opensource (FISL, Conisli) e de segurança Brasil e EUA (OWASP Appsec, Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor (Canada), CNASI, Source Boston (EUA) ) e é coordenador de um projeto para criação de um conjunto de regras para o sistema de detecção de intrusos Snort para malwares Brasileiros.

Objetivo

O treinamento completo visa ensinar ao profissional o real funcionamento do snort, demonstrando e explicando funcionamento de protocolos além das funcionalidades, combinando fortemente teoria e prática. Também é abordado leitura e escrita de regras sendo que temos um desafio no treinamento onde o aluno analisará o malware do binário até a escrita das regras.

Ao final do treinamento o aluno entenderá o funcionamento pleno do snort, bem como melhores práticas e performance. Além disso entenderá melhor os alertas pois saberá como ler as regras e entender o que foi detectado deixando a resposta ao incidente mais rápida.

Conteúdo Programático

1-) Introdução a protocolos
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)
3-) Atacantes
4-) Como funciona o Snort
5-) Entendendo a aquisição de dados (DAQ)
6-) Posicionamento dos sensores
7-) Decoders
8-) Preprocessadores (teoria e prática)
       - Frag3
       - Stream5
       - sfPortScan
       - SMTP/POP/IMAP
       - Arp Spoof
       - HTTP Inspect
       - DCE/RPC2
       - Sensitive Data
       - IP Reputation

9-) Analise de performance
        - Performance das regras
        - Performance dos preprocessadores
        - Performance pacotes

10-) Output
         - Syslog
         - Unified 2

11-) Host Attribute Table
12-) Configurações Múltiplas
13-) Escrevendo e lendo regras para o Snort
         - Básico
            - Cabeçalho
            - Opções de Regra
         - Genericas
         - Payload
         - Non-Payload
         - Após detecção / Resposta Ativa

14-) Regras Shared Object
15-) PulledPork – Atualização de Regas
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes – Snorby
17-) Dicas finais

FAQ

- Suporte via e-mail durante todo curso (caso necessário Webex um a um)
- Webinar extras sobre novidades snort lançadas e ameaças atuais
-  Material 
      - Virtual Machine
      -  Slides
- Compartilhamento da experiência na instalação de inúmeros IDS em pequenas e grandes empresas
- Necessidade de no mínimo de 5 alunos inscritos

Investimento

Valor: R$ 950,00 (5% desconto para DOC / Deposito em conta)

Forma de Pagamento: PagSeguro (possibilidade de parcelar em até 18x).

Caso queira se inscrever aproveita a promoção agora cadastre-se aqui: Formulário Cadastro


Happy Snorting!

Rodrigo Montoro

terça-feira, 5 de junho de 2012

Série Snortando - Retorna semana que vem

Galera,

Fiquei um tempo afastado do blog por motivo trabalho, férias e meu Ironman. Agora estou voltando a rotina normalizada e continuarei a serie =)!

Quem quiser ler sobre o Ironman fiz um post em ingles no blog da empresa

http://blog.spiderlabs.com/2012/06/now-ironspider-go-hard-or-go-home-im-an-ironman.html

Continue acompanhando que teremos muita coisa legal por vir!

Happy Snorting!

Rodrigo "Sp0oKeR" Montoro

quarta-feira, 4 de abril de 2012

Frag3 Preprocessor - Serie Snortando (Parte 5)

Bom, como sabemos o pacote passa por diversos caminhos até chegar ao seu destino final. Durante esse caminho os "pacotes" podem ser quebrados em partes menores na camada 3 (IP) devido ao MTU. Quando isso acontece chamamos de fragmentação IP.

Primeiramente o que seria o MTU ?

MTU é a sopinha de letras para Maximum Transmission Unit que resumidamente seria o tamanho máximo em bytes do payload. Existem diferente valores de MTU dependendo da tecnologia utilizada (ver figura abaixo) mas para Ethernet o padrão é 1500 bytes onde. Um simples exemplo para ver o MTU da sua máquina (no meu caso Mac) seria com o ifconfig:

$ ifconfig en1

en1: flags=8863 mtu 1500
    ether 00:26:bb:11:88:0d
    inet6 fe80::226:bbff:fe11:880d%en1 prefixlen 64 scopeid 0x6
    inet 192.168.0.3 netmask 0xffffff00 broadcast 192.168.0.255
    media: autoselect
    status: active




No caso existe a fragmentação necessaria visto algum MTU menor no caminho e também existe a malicioso no qual o atacante já envia os pacotes fragmentados tentando bypassar a proteção.
Bem resumidamente teriamos:

1-) Host A envia seu trafego para maquina Host B que está em outra rede
2-) Máquina Host A vai montando o pacote da camada 7 para baixo até chegar a camada fisica
3-) O pacote então é enviado para o roteador default configurado no Host A caso não esteja na mesma rede .
4-) Esse roteador default possui outras rotas e cada roteador abre o pacote até a camada 3 para ver opções IP assim como o endereço destino
5-) Quando o "pacote" sai da minha máquina ele sai com um tamanho X que é o MTU no qual caso ele seja menor no caminho o pacote precisara ser fragmentado (Comparando com algo do dia a dia seria como um encanamento onde a água sairia de um cano maior e entraria num menor).
6-) O "pacote" quando fragmentado é divido em partes menores e todos chegarão na maquina Host B com uma sequencia para que possam ser remontados.

A questão em jogo é que o seu snort (NIDS) estará no meio desse tráfego, se o mesmo não remontar o "pacote" fragmentado, ele não conseguira ver o real conteúdo que esta sendo tráfegado nas camadas superiores e NUNCA irá conseguir fazer o match com algum regra visto que so terá um pedaço da informação. Por isso existe o preprocessador FRAG3.

Para melhor entender o que é fragmentação devemos primeiramente entender o cabeçalho IP . Nesse artigo falaremos apenas sobre IPv4.


Não entrarei em detalhes do cabeçalho inteiro aqui mas o que é importante para nos serão os campos: IP Flags e Fragment Offset .

Na parte de IP Flags

- D não fragmentado
- M mais fragmentos

No caso se a flag D estiver setada quer dizer que o pacote está fragmentado e no caso M indicara se é o ultimo ou se mais fragmentos estão por vir

O Fragment Offset é onde fica setado a ordem dos pacotes e onde ele se encaixara na remontagem falando de forma bem simples. Com base nisso existem o Overlapping do fragmento quando 2 gramentos diferentes chegam com o mesmo offset .

Se analisarmos no wireshark veremos que normalmente os pacotes não são fragmentados (muitos são parte de uma remontagem que acontece na camada TCP e falaremos no post do Stream5) como podemos observar no exemplo abaixo:



Após explicarmos como funciona a fragmentação da para se  entender a importancia do preprocessador frag3 onde podemos listar:

- Evitar evasions (veja exemplos abaixo)

a-) Nesse primeiro exemplo o atacante aproveitaria que o timeout do IDS é menor que do computador da vitima fazendo com que o IDS drop o "pacote" enquanto a maquina vitima aguardara o segundo fragmento.



b-) No exemplo abaixo atacante aproveita da diferença de timeout entre o sensor de IDS e o host atrás do mesmo sendo que ele engana a remontagem enviando "pacotes" com timeout preparados para isso onde o IDS remontara errado e a vitima recebera o ataque.


c-) Como citado existem o Overlapping que seria quando dois fragmentos chegam com o mesmo offset no qual alguns sistemas remontam o "pacote" com o segundo que chegar .



Existem outros ataques mas vou ilustrar apenas esses 3 =)!

* Imagens retiradas desse artigo que diga-se de passagem muito bom em Ingles - http://www.symantec.com/connect/articles/evading-nids-revisited

- Policy based, ou seja, cada sistema operacional remonta esses pacotes em uma ordem. Sugiro lerem o paper no site do Snort onde Judy Novak explicou seus estudos para criação desse preprocessador . Abaixo diferente sistemas operacionais versus a policy a ser utilizada



Alguns exempos de configuração do frag3:

 preprocessor frag3_global: prealloc_memcap 8192 
 preprocessor frag3_engine: policy linux, bind_to 192.168.1.0/24
 preprocessor frag3_engine: policy first, bind_to [10.1.47.0/24,172.16.8.0/24]
 preprocessor frag3_engine: policy last, detect_anomalies

No exemplo acima usaremos um memoria de 8mb prealocada o que fará o preprocessador mais veloz. Na segunda linux vamos usar a policy linux para a rede 192. Na terceira linha a policy first para as redes 10 e 172. Na ultima linha o que não fizer bind nas redes acima será considerado policy last. No caso vale lembra da opcão detect_anomalies onde com regras de preprocessor ele detectara algumas anomalias de fragmentação.

Mais info sobre frag3 no manual do snort http://manual.snort.org/node17.html#SECTION00321000000000000000

* Vale a dica que caso não conheça todas as maquinas utilize a policy que possui maior numero de SO instalados . O ideal seria setar tudo corretamente mas isso leva tempo.

Agora edit seu snort.conf e faça as devidas configurações =)!

Espero que tenha ajudado!

Happy Snorting!

Rodrigo "Sp0oKeR" Montoro