terça-feira, 27 de agosto de 2013

Spammers using Google Calendar ?

Not sure if something new or old but I just got this twice this week. I thought it's interesting approach since 3 chances to read:

1-) Invitation


2-) Alert (if you have this option enable as I have)


3-) Calendar




Is this something that AV protections are detecting ? How about antispam solutions ?

Funny since this spam is "google to google" not going to spam folder.

Not an analysis, just sharing and basics comments.

Happy Snorting!

Rodrigo "Sp0oKeR" Montoro

terça-feira, 20 de agosto de 2013

Pagamento Curso Snort Promo - PagSeguro

Segue abaixo para a compra do Curso Snort EaD em promoção pelo PagSeguro.

Alguns cartões possibilitam o pagamento em até 18x (com juros).

Qualquer problema só entrar em contato!

Happy Snorting!



domingo, 11 de agosto de 2013

Webinar sobre Treinamento Completo Snort

Conforme publiquei no post anterior, iniciaremos em Setembro (dia 03) uma nova turma do curso de Snort IDS completo, formato Ensino a Distância.

Resumo do curso
 
Treinamento Snort Completo
Carga Horária: 40h sendo 4h semanais dividido em 2 aulas de 2h (19:30 as 21:30 - Terças / Quintas)
Modo: Ensino a Distancia
Data Inicio: 03 de Setembro 2013

Maiores informações e conteúdo http://spookerlabs.blogspot.com.br/2013/08/treinamento-snort-completo-ensino.html

Para esclarecer dúvidas e demonstrar melhor o conteúdo do curso, agendei um Webinar para próxima Quinta-Feira dia 15/08 às 20:00 horas.

Caso queria participar, basta se registrar https://attendee.gotowebinar.com/register/2041863813849669120

Espero vocês por lá!

Happy Snorting!

Rodrigo "Sp0oKeR" Montoro

sexta-feira, 9 de agosto de 2013

Treinamento Snort Completo - Ensino a Distância (EaD) - Segunda Edição

Resumo
Treinamento Snort Completo
Carga Horária: 40h sendo 4h semanais dividido em 2 aulas de 2h (19:30 as 21:30 - Terças / Quintas)
Modo: Ensino a Distancia
Data Inicio: 03 de Setembro 2013

Instrutor

Rodrigo "Sp0oKeR Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em sistema de segurança opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de sistemas.  Atualmente trabalha como Gerente de Produtos na Conviso Application Security. Anterior a Conviso trabalhou na área de pesquisa onde onde focou seu trabalho em assinaturas para Sistema de Detecção de Intrusos, Modsecurity e realizou pesquisas para novos métodos de detecção de atividades maliciosas . Autor de 2 patentes requeridas envolvendo uma técnica para descobrir documentos digitais maliciosos e análise de cabeçalhos HTTP para detectar tráfego malicioso. É coordenador e evangelizador na Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em inúmeras conferencias opensource (FISL, Conisli, Latinoware) e de segurança Brasil e EUA (OWASP Appsec, Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor (Canada), CNASI, Source Boston 2012/2013 e Seattle (EUA), ZonCon (Conferencia Interna da Amazon) ) e é coordenador de um projeto para criação de um conjunto de regras para o sistema de detecção de intrusos Snort para malwares Brasileiros.

Objetivo
O treinamento completo visa ensinar ao profissional o real funcionamento do snort, demonstrando e explicando funcionamento de protocolos além das funcionalidades, combinando fortemente teoria e prática. Também é abordado leitura e escrita de regras sendo que temos um desafio no treinamento onde o aluno analisará o malware do binário até a escrita das regras.
 
Ao final do treinamento o aluno entenderá o funcionamento pleno do snort, bem como melhores práticas e performance. Além disso entenderá melhor os alertas pois saberá como ler as regras e entender o que foi detectado deixando a resposta ao incidente mais rápida.

Conteúdo Programático

1-) Introdução a protocolos
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)
3-) Atacantes
4-) Como funciona o Snort
5-) Entendendo a aquisição de dados (DAQ)
6-) Posicionamento dos sensores
7-) Decoders
8-) Preprocessadores (teoria e prática)
       - Frag3
       - Stream5
       - sfPortScan
       - SMTP/POP/IMAP
       - Arp Spoof
       - HTTP Inspect
       - DCE/RPC2
       - Sensitive Data
       - IP Reputation

9-) Analise de performance
        - Performance das regras
        - Performance dos preprocessadores
        - Performance pacotes

10-) Output
         - Syslog
         - Unified 2

11-) Host Attribute Table
12-) Configurações Múltiplas
13-) Escrevendo e lendo regras para o Snort
         - Básico
            - Cabeçalho
            - Opções de Regra
         - Genericas
         - Payload
         - Non-Payload
         - Após detecção / Resposta Ativa

14-) Regras Shared Object
15-) PulledPork – Atualização de Regas
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes – Snorby
17-) Dicas finais

FAQ

- Suporte via e-mail durante todo curso (caso necessário Webinar um a um)
- Webinar extras sobre novidades snort lançadas e ameaças atuais.
-  Material 
      - Virtual Machine
      -  Slides
- Compartilhamento da experiência na instalação de inúmeros IDS em pequenas e grandes empresas
- Necessidade de no mínimo de 8 alunos inscritos

Investimento

Valor: R$ 950,00 (5% desconto para DOC / Deposito em conta)
MEGA PROMO para Inscrição e Pagamento até 20/08 por R$650,00 (após retornara valor normal de R$950)

Forma de Pagamento: PagSeguro (possibilidade de parcelar em até 18x).

Aproveita a promoção e cadastre-se aqui: Formulário Cadastro
Happy Snorting!

Rodrigo Montoro

segunda-feira, 10 de junho de 2013

Trabalho e Esporte - Porque tem tudo a ver ?

Desde criança, sempre fui uma pessoa super ativa, pratiquei diversos esportes, passava o dia no Clube da cidade. Num determinado período da vida, trabalhando remotamente, foquei 100% ou talvez 110% da vida na carreira, onde ganhei alguns BONS quilos a mais.

Felizmente valeu a pena para o período, pois minha carreira evoluiu dentro do esperado, perdi saúde, mas obtive um retorno profissional. Cheguei a pesar 101 KG, isso mesmo, 3 dígitos na balança, o que me fez voltar a tentar emagrecer, além de exames de sangue com resultados péssimos. Daquela época para cá, sou um viciado em atividade física novamente, quem acompanha meu FaceBook percebe o quanto sou alucinado atualmente.

Mas o que onde quero chegar, não é em ser gordo ou magro, forte ou não, simplesmente é mostrar os benefícios do esportes, do ficar Offline, natureza, novos amigo(a)s. Algo legal também é como as empresas tem visto e valorizado isso. Tentarei sempre que puder, publicar coisas relacionadas a esporte e trabalho, mas nos últimos tempos vi reportagens que valorizaram mais ainda esse conjunto (tanto em benefícios, networking e melhorias), como alguns links abaixo:

Empresa terá centro de treinamento de Triathlon na Sede para funcionários Triatletas - http://triathlon.competitor.com/2013/03/news/a-triathletes-dream-job_72055

Bicicleta o Novo Golfe - http://www.economist.com/blogs/prospero/2013/04/business-networking

Estudo prova que passar quatro dias na natureza sem tecnologias aumenta criatividade em 50% - http://sicnoticias.sapo.pt/vida/2012/12/12/estudo-prova-que-passar-quatro-dias-na-natureza-sem-tecnologias-aumenta-criatividade-em-50

Além da saúde, a prática esportiva te da disposição e energia, faz você crescer mentalmente, planejamento a longo prazo, especialmente se você se envolver em prova longas, que chamamos de Endurance. O esporte ensina, especialmente nós Nerds em modo Extreme, a ficar Offline e descobrir como isso é bom e aumenta seu desempenho. Muitas vezes, vale mais 1h de trabalho produtiva, do que ficar enrolando horas na frente do computador sem produzir nada.

Eu no meu dia a dia, acordo, vou fazer exercícios físico, faço corridas em trilhas aqui em Floripa, volto e estou pronto para trabalhar. Muitos vão dizer: "Ah, você mora em Florianópolis, dai é fácil.". Concordo que é mais fácil, mas quando morava em São Paulo, acordava as 4:00 da manhã, para começar a pedalar as 5:00 na USP de Terças e Quintas, fiz isso por muito tempo e o pior que era divertido, só era ruim levantar na cama no inverno. Isso é algo que o esporte te faz ter, DISCIPLINA e basicamente era o que precisava para acordar as 4:00 para pedalar.

Aproveito aqui e faço o convite, tente fazer 3 meses direito de academia e um mudança alimentar leve, mesmo que não queira, se force por esse 3 meses e veja a diferença que fará. Aposto que você nunca mais será sedentário. Lembre que não estou falando para você ficar sarado, apenas para fazer exercícios =)!

Pra finalizar um videozinho da Salomon "Designed for Freedom".



E sua empresa te incentiva a fazer algo? Te da algum benefício, nem que seja um horário flexível ? Já pensou em pedir ?

Caso queiram mais informações sobre onde treinar, com quem, conheço bastante gente não só em São Paulo como fiz amigos e treinadores de outros estados também. Deixe seus comentários também sobre o que acham dessa relação!

Vamos que vamos!

Meu Facebook caso queiram acompanhar minhas aventuras - http://www.facebook.com/spookerlabs .

Happy Running!

quarta-feira, 30 de janeiro de 2013

PESQUISA - Detectando PDFs maliciosos

Caros,

Desde 2010 tenho uma pesquisa sobre detecção de pdfs maliciosos analisando a estrutura do arquivo, sem a necessidade de olhar o payload. Já fiz algumas palestras aqui e fora sobre essa pesquisa no qual posso listar

- H2HC 2010 ( São Paulo e México)
- OWASP Florianopolis
- Toorcon San Diego (EUA)
- Source Seattle (EUA)

No caso, a ultima palestra na Source foi filmada e o vídeo está online

Caso tenha interesse em conhecer mais, assista o video (em ingles)



Se tiver interesse em conversar mais sobre isso deixe um e-mail.


Abs!

Rodrigo Montoro

quarta-feira, 9 de janeiro de 2013

CAIS-Alerta: Resumo dos Boletins de Segurança Microsoft - Janeiro/2013

Prezados,

A Microsoft publicou 7 boletins de segurança em 08 de janeiro de 2013 que abordam ao todo 11 vulnerabilidades em produtos da empresa. A exploração destas vulnerabilidades permitem execução remota de código, elevação de privilégios, negação de serviços entre outros.

Até o momento da publicação deste alerta não foram divulgados códigos de exploração para as vulnerabilidades listadas.

SEVERIDADE

Crítica

- - MS13-001 - Vulnerabilidade nos componentes do Spooler de impressão
             do Windows podem permitir execução remota de código.

- - MS13-002 - Vulnerabilidades no Microsoft XML Core Services podem
             permitir a execução remota de código.

Importante

- - MS13-003 - Vulnerabilidades no System Center Operations Manager
             podem permitir a elevação de privilégio.

- - MS13-004 - Vulnerabilidades no .NET Framework podem permitir
             elevação de privilégio.

- - MS13-005 - Vulnerabilidade no driver do modo do kernel do Windows
             pode permitir a elevação de privilégio.

- - MS13-006 - Vulnerabilidade no Microsoft Windows pode permitir burlar
             recurso de segurança.

- - MS13-007 - Vulnerabilidade no Protocolo de Dados Abertos (OData)
             pode permitir a realizaçaõ de ataques de negação de serviço.

Moderada

- - Nenhum boletim


Baixa

- - Nenhum boletim


O sistema de classificação de severidade das vulnerabilidades adotado pelo CAIS neste resumo é o da própria Microsoft. O CAIS recomenda que se aplique, minimamente, as correções para vulnerabilidades classificadas como crítica e importante. No caso de correções para vulnerabilidades
classificadas como moderadas o CAIS recomenda que ao menos as recomendações de mitigação sejam seguidas.

Crítica - Vulnerabilidades cuja exploração possa permitir a propagação de um worm sem a necessidade de interação com o usuário.

Importante - Vulnerabilidades cuja exploração possa resultar no comprometimento de confidencialidade, integridade ou disponibilidade de dados de usuários ou a integridade ou disponibilidade de recursos de processamento.

Moderada - exploração é mitigada significativamente por fatores como configuração padrão, auditoria ou dificuldade de exploração.

Baixa - uma vulnerabilidade cuja exploração seja extremamente difícil ou cujo impacto seja mínimo.


CORREÇÕES DISPONÍVEIS

Recomenda-se atualizar os sistemas para as versões disponíveis em:

. Microsoft Update
  https://www.update.microsoft.com/microsoftupdate/

. Microsoft Download Center
  http://www.microsoft.com/pt-br/download/security.aspx

MAIS INFORMAÇÕES

. Resumo do Boletim de Segurança da Microsoft de janeiro 2013
  http://technet.microsoft.com/pt-br/security/bulletin/ms13-jan

. Microsoft TechCenter de Segurança
  http://technet.microsoft.com/pt-br/security/

. Microsoft Security Response Center - MSRC
  http://www.microsoft.com/security/msrc/

. Microsoft Security Research & Defense - MSRD
  http://blogs.technet.com/srd/

. Central de Proteção e Segurança Microsoft
  http://www.microsoft.com/brasil/security/


Identificador CVE (http://cve.mitre.org <http://cve.mitre.org/>):

CVE-2013-0011 CVE-2013-0006 CVE-2013-0007 CVE-2013-0009 CVE-2013-0001 CVE-2013-0002 CVE-2013-0003 CVE-2013-0004 CVE-2013-0008 CVE-2013-0013 CVE-2013-0005


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:http://www.rnp.br/cais/alertas/rss.xml

Siga @caisrnp


Atenciosamente,
Equipe do CAIS/RNP